WO1997031449A1

WO1997031449A1 - Methode de communication utilisant une cle cryptographique commune

Info

Publication number: WO1997031449A1
Application number: PCT/JP1997/000433
Authority: WO
Inventors: Yoshimi Baba
Original assignee: Card Call Service Co., Ltd.
Priority date: 1996-02-21
Filing date: 1997-02-19
Publication date: 1997-08-28
Also published as: KR19990082665A; IL125829A0; KR19990087103A; TW395103B; IL125832A0; EP0792043A3; AU1732497A; CA2247509A1; US5987129A; EP0792042A3; EP0792043A2; WO1997031448A1; CN1211362A; CN1211363A; CA2247478A1; US5987128A; EP0792042A2; TW395104B; AU1732597A

Description

明細書暗号鍵共有方法技術分野

本発明は、ネットワーク上のエンティティ間で暗号による通信を行うための喑号鍵を共有する方法に関する。背景技術

近年、イン夕一ネット等のネットワーク上で通信を行う際に、通信データの機密保持等のために暗号文による通信技術が望まれている。

この種の通信技術としては、例えば公開鍵方式としての R S Aが著名であるが、この他に、ネットワークに含まれるエンティティ同士で通信を行う際に、送信側のエンティティ力通信データ（平文）を暗号鍵により暗号化して受信側のェンティティに送信し、それを受信側のェンティティが送信側の上記暗号鍵と共通の暗号鍵により元の通信データに復号する暗号鍵共有方法が一般に知られている。尚、ここで、エンティティとは、ネットワークに接続された端末機等の装置、その装置の使用者、その装置のソフトゥヱァ、あるいはそれらの集合等、通信を行う主体を意味するものである。

そして、このような暗号鍵共有方法にあっては、例えば Rolf Blomによる論文「匪 - PUBLIC KEY DISTRIBUTION /Advances in Cryptology : Proceedings of CRYPTO ' 82/Plenum Press 1983. pp.231- 236」、同じく Rolf Blom による論文「 An Optimal Class of Symmetric Key Generation Systems /Advances in Crypto logy : E画 CRYPT ' 84 /Springer LNCS 209. 1985, pp. 335-338 J 、あるいは特公 ¥ 5 - 4 8 9 8 0号公報もしくは米国特許第 5 0 1 6 2 7 6号に見られる技術が知られている。

これらの技術では、ネットワーク上に設立されたセンターにおいて、あらかじめ各エンティティに固有で且つ公開性の識別子（名前、住所等）に、セン夕一だけが秘密に保持するセンターアルゴリズムを施したものが、各エンティティに固有の個人鍵として各エンティティに配付される。そして、エンティティ同士で通信を行う際には、それらの各エンティティは、互いに通信相手側のエンティティの識別子を自己が保持する個人鍵に作用させることで、ェンティティ同士で共通の暗号鍵を生成し、その共通暗号鍵を用いて通信データの暗号化 ·復号化を行う。より詳しくは、センターアルゴリズムは、これを例えば任意の二つの識別子を示す変数 X, yの関数 P (X, y) として表現したとき、 P (x, y) =P (y ， x)なる対称性を有するように設定される。そして、この関数 P (X, y) の変数 X, yのうち、例えば変数 yの値を各エンティティの実際の識別子 iとした関数 P (X, i) (以下、これを Pi (x) と表現する）が各エンティティの個人鍵として各エンティティに配付される。その後、識別子 iのエンティティが他の識別子 jのェンティティと通信を行う場合には、識別子 iのエンティティ側では、自己の個人鍵 P i (X) に相手側の識別子 jを作用（変数 Xの値を jとする ) させてなる P i (j)が暗号鍵として生成される。同様に、識別子 jのェンティティ側では、自己の個人鍵 P j (x) に相手側の識別子 iを作用させてなる P j (i)が暗号鍵として生成される。このとき、前記の対称性によって、 P i ( j) =P j (i) となり、これにより、識別子 jのエンティティ同士で共通の暗号鍵が得られることとなる。

このような暗号鍵共有方法によれば、各エンティティは、通信相手側の識別子を自己の個人鍵に作用させるだけで、センタ一の関与を伴うことなく他の任意のエンティティとの間での共通の暗号鍵を得ることができるので、ネットワークにおける暗号通信システムの簡素化を図ることができる。

ところで、このような暗号鍵共有方法では、前記センターアルゴリズムを容易に解読することができないことが暗号通信の機密性を確保する上で重要な課題となる。

しかるに、かかる暗号鍵共有方法では、上記のような利点を有する反面、各ェンティティの個人鍵やこれから生成される暗号鍵、あるレ、はその暗号鍵により暗号化された通信データには、いずれも前記センタ一アルゴリズムに係わる情報が含まれ、しかも該センターアルゴリズムは各ェンティティに対して共通であるため、例えば松本による論文「Performance of Linear Schemes for the Keypredi stribution System /IEICE Technical Report on Information Securi ty, May 20. 1988， PP.29-32」に示されているように、一般に複数のエンティティの結託等よる攻撃に対して弱いものとなり易い。

また、識別子としてエンティティの氏名を用いた場合、類似の氏名が多く現れやすいため、識別子の分散性が悪く（識別子の値の分布の偏りを生じやすい）、ひいてはこの識別子に if己センターアルゴリズムを施してなる各エンティティの個人鍵にも類似のものが多数現れ易い。このため、所謂、差分攻撃を受けやすいものとなっていた。

従って、前述のような暗号鍵共有方法では、種々の攻撃に対する安全性を高めること力望まれていた。

本発明はかかる背景に鑑み、通信に際しての共通の暗号鍵の生成ゃネットヮ一ク上の暗号通信システムの簡素化を図りつつ、種々の攻撃に対する安全性を高めることができる暗号鍵共有方法を提供することを目的とする。発明の開示

本発明の暗号鍵共有方法の第 1の態様はかかる目的を達成するために、複数のエンティティとセンターとを含むネットワークにおいて、通信を行うェンティティ間で通信データの暗号 ·復号化を行うための共通の暗号鍵を両エンティティが所有する方法であって、あらかじめ前記センターは、各エンティティに固有で且つ公開性の識別子を、該センターのみが保持する各エンティティに共通で且つ少なくとも積分変換アルゴリズ厶を含むセンターアルゴリズムにより変換して各ェンティティに固有の個人鍵を生成すると共にその個人鍵と前記積分変換アルゴリズムとを各エンティティに配付しておき、前記ェンティティ同士が相互に通信を行うとき、互いに通信相手側の識別子に自己が保持する前記積分変換アルゴリズム及び前記個人鍵を作用させることにより該エンティティ同士が共通の暗号鍵を所有することを特徴とする。

かかる本発明の第 1の態様によれば、前記各エンティティの個人鍵は、前記セン夕一において、各エンティティの識別子を、前記積分変換アルゴリズムを含むセンタ一アルゴリズムにより変換して生成されるので、各エンティティの識別子自体の分散性が悪くても、該識別子に積分変換アルゴリズ厶が作用することで、その結果に得られるデ一夕の分散性は高まる。従って、前記個人鍵の分散性が高まり、各エンティティ毎に類似性の乏しレ、個人鍵が前記セン夕ーにおレ、て生成され、これが前記積分変換アルゴリズムと共に各エンティティに配付される。そして、エンティティ同士の通信に際しては、各エンティティにおいて、通信相手側のエンティティの識別子に自己が保持する前記積分変換アルゴリズ厶及び個人鍵を作用させる。このとき、各エンティティの個人鍵には、前記積分変換アルゴリズムに基づく成分が含まれているので、通信相手側のェンティティの識別子に前記個人鍵だけでなく前記積分変換アルゴリズムをも作用させることで、前記センタ一ァルゴリズ厶の積分変換アルゴリズ厶を除くァルゴリズム部分（この部分は前述の対称性を有するものとする）によって、通信を行うエンティティ同士で共通の暗号鍵が生成される。

このように本発明の第 1の態様によれば、各エンティティの識別子を、積分変換ァルゴリズムを含むセン夕ーアルゴリズムにより変換することで、通信の際の共通の暗号鍵を生成するための各エンティティに固有の個人鍵を生成するので、その個人鍵の分散性が高まり、その結果、差分攻撃等に対する安全性が高まる。そして、通信に際しては、通信相手側の識別子のみを、自己が保持する積分変換アルゴリズム及び個人鍵に作用させるだけで、従来と同様にセンターの関与を伴うことなく通信相手のエンティティとの共通の暗号鍵を生成することができる。よって、本発明の第 1の態様によれば、通信に際しての共通の暗号鍵の生成やネットワーク上の暗号通信システムの簡素化を図りつつ、差分攻撃等の攻撃に対する安全性を高めることができ、ひいては、簡便で信頼性の高い暗号通信システムを提供できる。

尚、前記識別子は、各エンティティの氏名、住所等の他、ネットワーク上のメールアドレス、ドメイン名、あるいはそれらを組み合わせたもの等、各ェンティティに対して固定的に用いられ、且つ少なくとも通信相手に対して公開性のあるものであればよい。

かかる本発明の第 1の態様では、前記積分変換アルゴリズ厶としては、フーリェ変換（高速フーリエ変換を含む）、ラプラス変換、ミラー変換、ヒルベルト変換等が挙げられ、これらのいずれの積分変換を用いることも可能である力、これらの積分変換は解析学的な無限区間上で定義されたものである。これに対して、本発明の第 1の態様において積分変換アルゴリズムで変換する識別子は、有限区間上で表されるもの（例えば有限環上の剰余類）であるため、コンピュータ等を用いて識別子のデータを積分変換したとき、変換結果の異常分散（エイシァリング）が生じやすい。

そこで、本発明の第 1の態様では、好ましくは前記積分変換アルゴリズムは重み関数付きの積分変換アルゴリズムを用いる。このように、識別子に積分変換を施すに際して、重み関数を付加することで、上記の異常分散を防止することができる。さらに、該重み関数は、異常分散を防止できるものであれば任意に設定することができるので、この重み関数を付加した積分変換アルゴリズムを含むセンターアルゴリズムにより識別子を変換して成る前記個人鍵には、該重み関数に基づく未知の成分が付加されることとなる。その結果、本発明の第 1の態様を適用した暗号通信システムの安全性をさらに高めることができることとなる。

このように重み関数を付加する場合、該重み関数は、基本的には識別子のデー夕の区間の端側で、値が「0」に近づくように設定するのであるが、この場合、本発明の第 1の態様では、さらに、該重み関数は前記センタ一において生成された乱数データにより予想のつかないパターンに決定され、より好ましくは、該乱数データとして一回性の乱数データを用いる。ここで、前記乱数データによる重み関数の決定は、前記乱数データによって、識別子のデータの区間における重み関数の値の変化度合い（区間の端側で「0」に近づく形態）を決定することで行われる。また、一回性の乱数データとは、再現性がなく、もしくは再現性に極めて乏しい乱数データであり、さらに詳しくは乱数データを構成する各ビット数値の出現頻度がレ、ずれの数値でも同等で、また乱数デー夕の相関がなレ、ものであり、このような乱数データは、例えば人間がある語句もしくは文章をコンピュータに入力する際のタイミングに基づいて生成することが可能である。

このように重み関数を舌 L数データによって予想のつかないパターンに決定しておくことで、攻撃者にとっては、該重み関数を予測しづらくなり、本発明の第 1 の態様を適用した暗号通信システムの安全性を高めることができる。特に、一回性の乱数デー夕により重み関数を決定したときには、該乱数デ一夕の再現性が排除されるので、さらにシステムの安全性が高まる。

前述の如く、前記積分変換アルゴリズムは、各種のものを適用できるが、特に、本発明の第 1の態様では該積分変換アルゴリズムとしてフーリエ変換アルゴリズムを用いることが好ましい。すなわち、該フ一リエ変換は、コンピュータを用いて迅速且つ容易に行うことができる積分変換であり、また、一般に変換結果のデータの分散化が生じやすい。従って、このようなフーリエ変換アルゴリズムを積分変換アルゴリズムとして用いることで、識別子から前記個人鍵を迅速且つ容易に生成することができるようになると同時に、個人鍵の分散性が効果的に高まつて、暗号通信システムの安全性を顕著に高めることができる。

また、本発明の第 1の態様では、前記センターは、前記識別子を前記センターァルゴリズ厶により変換したものに、さらに各ェンティティに固有で且つ各ェンティティには不知の一回性の個別乱数データによりランダマイズ変換を施して前記個人鍵を生成すると共に、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すためのァルゴリズムと前記接分変換アルゴリズムとからなる識別子変換ァルゴリズムを該個人鍵と共に各ェンティティに配付しておき、前記ェンティティ同士が相互に通信を行うとき、互いに通信相手側の識別子に自己が保持する前記識別子変換ァルゴリズム及び前記個人鍵を作用させることにより該ェンティティ同士が共通の暗号鍵を所有する。

ここで、前記ランダマイズ変換は、前記識別子を前記センターアルゴリムにより変換したものを表すデータ列の各ビットの値を前記個別乱数デー夕により変更し、あるいは、該データ列を配置変換し、もしくは、それらを組み合わせて処理することで行われるものである。

これによれば、前記個人鍵には、前記センターアルゴリズムに加えて、前記ランダマイズ変換による成分が含まれることとなる。そして、このとき、該ランダマイズ変換は、その変換を各ェンティティに固有で且つ各エンティティには不知の一回性の個別乱数デー夕（再現性がなく、もしくは再現性に極めて乏しい乱数データ）により行うため、各エンティティの個人鍵毎に、各別の偶然的な成分が含まれることとなる。その結果、暗号通信システムの種々の攻撃に対する安全性をより一層強固なものとすることができる。

尚、この場合、通信に際して、相手側のエンティティの識別子に作用させる個人鍵には、各エンティティ毎に各別の前記ランダマイズ変換による成分が含まれている。このため、それを打ち消すためのアルゴリズムと前記積分変換アルゴリズムとからなる識別子変換ァルゴリズムを前記個人鍵と共に各エンティティに配付しておき、通信に際しては、相手側のエンティティの識別子に該識別子変換ァルゴリズム及び個人鍵を作用させることで、通信を行うェンティティ同士で共通の暗号鍵を生成することができる。

このようにランダマイズ変換を行う場合、該ランダマイズ変換は、例えば前記各エンティティの識別子を前記セン夕一アルゴリズムにより変換したものを表すデータ列を前記一回性の個別乱数デ一夕により配置変換することにより行うことができる。

さらに好ましくは、前記各ェンティティの識別子を前記センタ一アルゴリズムにより変換したものを表すデータ列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビットの値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することにより行う。このように各ェンティティの識別子を前記センターアルゴリズムにより変換したものを表すデータ列の不要ビットの値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することで、攻撃者（暗号通信システムの解読者）にとつては、獲得したデータのどこに不要ビットに対応する部分があり、また、どこに必要なデータがあるかが判らなくなり、暗号通信システムの安全性が高まる。

また、前記ランダマイズ変換を行うための前記一回性の個別乱数デ一夕は、前記各エンティティの所定の処理に基づき生成し、より具体的には、前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的夕ィミングに基づき前記一回性の個別舌し数データを生成する。

このように、各エンティティの人間による入力操作（例えばある文章や語句を入力する操作）の時間的タイミングに基づき乱数データを生成することで、その舌し数データは、再現性がなく、もしくは再現性に極めて乏しいものとなり、前記一回性の個別乱数データを的確に生成することができる。

次に、本発明の第 2の態様は、複数のエンティティとセンターとを含むネットワークにぉレ、て、通信を行うエンティティ間で通信デ一夕の暗号 ·復号化を行うための共通の暗号鍵を両ェンティティが所有する方法であって、あらかじめ前記セン夕一は、各エンティティに固有で且つ公開性の識別子を該セン夕ーのみが保持する各エンティティに共通のセンターアルゴリズムにより変換したものに、各エンティティに固有で且つ各ェンティティには不知の一回性の個別乱数デ一夕によりランダマイズ変換を施して各エンティティに固有の個人鍵を生成すると共に、その個人鍵と、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すァルゴリズムを含む識別子変換アルゴリズムとを各ェンティティに配付しておき、前記エンティティ同士が相互に通信を行うとき、互いに通信相手側の識別子に自己が保持する前記識別子変換アルゴリズ厶及び個人鍵を作用させることにより該エンティティ同士が共通の暗号鍵を所有することを特徴とする。

力、かる本発明の第 2の態様によれば、前記各エンティティの個人鍵は、前記センターにおいて、各エンティティの識別子を前記センターアルゴリズム（これは前述の対称性を有する部分を含むものとする）により変換したものに、各ェンティティに固有で且つ各ェンティティには不知の一回性の個別乱数データ（再現性がなく、もしくは再現性に極めて乏しい乱数データ）に基づくランダマイズ変換を施して生成されるので、各エンティティの個人鍵毎に、各別の偶然的な成分が含まれることとなる。その結果、本発明の第 2の態様を適用した暗号通信システムの種々の攻撃に対する安全性が高まる。この場合、前記第 1の態様で説明した場合と同様に、各エンティティの個人鍵には、各エンティティ毎に各別の前記ランダマィズ変換による成分が含まれているため、それを打ち消すためのアルゴリズムを含む前記識別子変換アルゴリズムを前記個人鍵と共に各エンティティに配付しておく。そして、通信に際しては、相手側のエンティティの識別子に、前記識別子変換アルゴリズム及び個人鍵を作用させることで、前記センターの関与を伴うことなく通信を行うェンティティ同士で共通の暗号鍵を生成することができ。

よって、本発明の第 2の態様によっても、通信に際しての共通の暗号鍵の生成ゃネットワーク上の暗号通信システムの簡素化を図りつつ、種々の攻撃に対する安全性を高めることができ、ひいては、簡便で信頼性の高い暗号通信システムを提供できる。

かかる本発明の第 2の態様では、前記第 1の態様で説明した場合と同様に、前記ランダマイズ変換は、前記各エンティティの識別子を前記センターアルゴリズムにより変換したものを表すデータ列を前記一回性の個別乱数デー夕により配置変換することにより行うことができる。そして、より好ましくは、前記各ェンティティの識別子を前記センターアルゴリズムにより変換したものを表すデー夕列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビットの値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記デ一夕列の全体を配置変換することにより行う。これにより、本発明の第 2の態様を適用した暗号通信システムの安全性を高めることができる。

また、本発明の第 2の態様では、前記第 1の態様で説明した場合と同様に、前記一回性の個別乱数デ一夕は、前記各エンティティの所定の処理に基づき生成し、より具体的には、前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の個別乱数データを生成する。これにより、前記一回性の個別乱数データを的確に生成することができる。図面の簡単な説明

図 1は本発明の暗号鍵共有方法の一実施形態を適用した暗号通信システムの全体構成を示す図、図 2は図 1のシステムの基本構造を概念的に説明するための図、図 3は図 1のシステムにおける処理手順の概要を説明するためのフロー図、図 4は図 3の手 I頃 1における処理の詳細を示すフロ一図、図 5は図 3の手順 2における処理の詳細を示すフロー図、図 6は図 3の手順 3及び手順 4における処理の詳細を示すフ口一図、図 7は図 3の手順 3及び手順 5における処理の詳細を示すフ口一図、図 8は図 6及び図 7の処理を行うためのコンピュータマシンの構成を示すブロック図である。発明を実施するための最良の実施の形態

本発明の一実施形態を図 1乃至図 8を参照して説明する。まず、図 1及び図 2 を参照して本実施形態の暗号鍵共有方法を適用した暗号通信システムの概要を説明する。

図 1を参照して、本実施形態では暗号通信システムの基本的な構築主体であるセンター 1と、その暗号通信システムに加入して相互に暗号通信を行う複数のェンティティ 2とがインターネット、パソコン通信網等のネットワーク 3を介して相互に通信可能とされている。これらのセンター 1及び各エンティティ 2は、図示を省略するが、実際の通信やデータ処理を行うためのパソコン等のコンピュ一夕マシンや、該コンピュータマシンの使用者を包含している。

このようなネットワーク 3上で構築された本システムでは、図 2に示すように、センター 1に加入した各エンティティ 2 (図 2では各エンティティ 2を参照符号 j , …により示している）は、それぞれに対応した固有の識別子 y i , y j ， … （詳細は後述する）を有する。この場合、 i≠ jならば、 y i ≠y j である。そして、各エンティティ 2 ( i , j， …）には、それぞれの識別子 y i , y j , … （以下、必要に応じて識別子 yn と総称する）に基づきセンタ一 1により生成された各エンティティ 2に固有の個人鍵 Xi , Xj , … （詳細は後述する。以下、必要に応じて個人鍵 Χη と総称する）カ^らかじめセンター 1から与えられる。さらに、任意のエンティティ i， j同士で暗号通信を行う際には、その通信データの暗号化（送信側）及び復号化（受信側）を行うための共通の暗号鍵 K i jがそれぞれのエンティティ i， j毎に各別に各エンティティ i , jの個人鍵 X i ， X j を用いて生成され、その共通暗号鍵 Κϋを用いてエンティティ i , j間での暗号通信が行われる。

ここで、本実施形態のシステムをさらに詳説する前に、前記識別子 yn について説明しておく。本実施形態では、各エンティティ 2の識別子 yn は、各ェンティティ 2の氏名、住所、メールアドレス、ドメイン名、あるいはこれらを組み合わせたもの等、各エンティティ 2に固有のものであり、し力、も、公開性のあるものを使用する。尚、センタ一 1や各エンティティ 2のコンピュータマシンにおける識別子 yn の実際の取り扱い上では、各識別子 yn は、それを例えば有限環上の剰余類でコ一ド化してなるべクトルデ一夕として扱われる。

上記のような暗号通信を行うための本実施形態のシステムを、以下に図 3乃至図 8を参照して詳説する。

図 3を参照して、本実施形態のシステムでは、センタ一 1による前記個人鍵 X n等の生成及び配付等の事前準備処理を経た後、個々のエンティティ i， j間での暗号通信が行われる。

前記センター 1による事前準備処理では、センター 1はその設立時、あるいはシステムの更新時に、まず、各エンティティ 2の前記個人鍵 Xn を生成するための基本となるセンターアルゴリズムを生成する（手順 1 ) 。

このセンターアルゴリズムは、本実施形態ではセンター行列と、重み関数と、積分変換ァルゴリズムとにより構成されてレ、る。

ここで、前記積分変換アルゴリズムは、各エンティティ 2の識別子 y n のデ一夕を積分変換するためのアルゴリズムであり、本実施形態では、積分変換アルゴリズムとしてフーリエ変換（詳しくは高速フーリエ変換）を使用する。この種のフーリエ変換としては、複数種のものが知られており、そのうちの一種類をセンター 1で選択して、本実施形態で使用するフーリエ変換アルゴリズムを生成する □ 尚、該フーリエ変換アルゴリズムは、実際上は、識別子 y n のデ一夕に作用させる行列として表現される。

また、重み関数は、有限区間のデータである識別子 y n をフーリエ変換する際の異常分散（エイシァリング）を防止するためのものであり、識別子 yn のデー夕の区間の端点側で値が「0」に近づくような関数である。さらに、センター行列は、対称行列であり、より詳しくは非特異な対称行列である。

この場合、前記重み関数及びセンター行列は、一回性の乱数データを用いて生成する。すなわち、図 4を参照して、重み関数及びセンター行列を生成する際には、センタ一 1はまず、センター 1のコンピュータマシンにおけるオペレー夕の人為的操作に基づき乱数データを生成する（手順 1一 1 ) 。具体的には、例えばォペレ一夕がセンター 1のコンピュータマシンに対して適当な語句や文章等を入力し、この際の入力タイミング（例えば各単語の入力時刻や各単語の入力の時間間隔）をコンピュータマシンで逐次計測する。そして、その計測した入カタイミングに基づき乱数データを時系列で生成する。このようにして生成される乱数デ一夕は、あいまいさを有する人為的な入力操作のタイミングに基づいて生成されるため、事実上、再現性の無い偶然的なものとなり、これにより一回性の乱数デ —夕が生成される。

そして、このように一回性の乱数デ一夕を生成した後、センター 1は、その生成した一回性の乱数データに基づき、前記重み関数とセン夕一行列とを決定する (手順 1一 2 ) 。この場合、重み関数の決定は、上記の一回性乱数データによつて、識別子 yn のデータの区間における重み関数の値の変化度合い（区間の端側で「0」に近づく形態）を決定することで行われ、これにより該重み関数が予想のっかないパターンに決定される。尚、該重み関数は、実際上は、対角行列として表現される。また、センター行列の決定は、その対称性及び非特異性を確保しつつ該行列の成分の値を前記一回性の乱数データによって決定することで行われ以上のように生成されたセンター行列、重み関数及び積分変換アルゴリズムから成るセンターアルゴリズムは、センター 1において秘密裏に保管され、特に、センタ一行列及び重み関数は、センター 1の特定者以外の第三者（各ェンティティ 2等を含む）力参照することができないように厳重に保管される。尚、これらのセン夕一アルゴリズムは各ェンティティ 2に対して共通のものである。

図 3に戻って、次に、センタ一 1は、各エンティティ 2 ( i， j…… ) がシステムに加入したとき、前述の如く生成されて保管されたセンタ一アルゴリズムや各エンティティ 2の識別子 y n等を用いて、各エンティティ 2に固有の個人鍵 X n と、これと合わせて後述の如く共通暗号鍵 Κ Πを生成するための識別子変換ァルゴリズムとを生成して各エンティティ 2に配付する（手順 2 )。

さらに詳細には、図 5を参照して、この手順 2では、センタ一 1は、ェンティティ 2の識別子 y nのデータ（ベクトルデータ）に前記フーリエ変換アルゴリズム及び重み関数の行列を作用させることで、該識別子 y n に重み付き高速フ一リェ変換を施す（手順 2— 1 ) 。さらに、この手順 2— 1により得られたベクトルデータに前記センタ一行列を乗算する（手順 2— 2 ) 。この場合、前記識別子 y nのデータに冗長性をもたせておくことで、手順 2— 2により得られるべクトルデータには、識別子 y n のデータとして意味のあるビット列に前記重み関数、積分変換アルゴリズム及びセンタ行列を作用させてなる複数の有用ビットと、それ以外の複数の不要ビットとが現れる。

一方、センター 1は、エンティティ 2との通信（例えばエンティティ 2の加人手続き等の際の通信）によって、該エンティティ 2に固有で、しかもェンティティ 2には判らないような一回性の個別乱数データを生成する（手順 2— 3 ) 。具体的には、前述の如く重み関数等を決定する際に一回性の乱数データを生成した場合と同様に、エンティティ 2のコンピュータマシン上で、その使用者にある語句もしくは文章を入力させ、それをセンター 1側で逐次受信することで、該ェンティティ 2の人為的な入力操作のタイミングをセンター 1のコンピュータマシンにより計測する。そして、その計測した入力操作のタイミングに基づいて前記個別乱数データを生成する。このようにして個別乱数データを生成することで、その個別乱数データは、重み関数等の生成時の乱数データと同様に、再現性のない偶然的なものとなると共に、エンティティ 2に固有のものとなり、これにより一回性の個別乱数データが得られる。尚、エンティティ 2は、どのような入力操作のタイミングでどのような乱数データが生成されるかは判らず、また、その人為的な入力操作のタイミングを正確にコントロールすることはできないので、前記個別乱数デ一タをエンティティ 2が知ることはできなレ、。

次いで、セン夕一 1は、前記手順 2— 2で得られたベクトルデ一夕のうちの前記不要ビットの各ビット値を手順 2— 3で得られた一回性の個別乱数データによつてランダム化する（手順 2— 4 ) 。さらに、そのランダム化した不要ビットと前記有用ビッ卜とを合わせたべクトルデータを上記一回性の個別乱数データによつて、ランダムに配置変換し（べクトルデータの成分の配列を変更する。手順 2 - 5 ) 、これにより手順 2— 2で得られたベクトルデータ（識別子 y n をセン夕一アルゴリズムにより変換したもの）をランダマイズ変換する。そして、このランダマイズ変換により得られたべクトルデ一夕をエンティティ 2の個人鍵 Xn として生成する。尚、上記ランダマイズ変換は、実際上は行列（対称行列とは限らない）で表され、より詳しくは該行列の転置行列と逆行列とが等しくなるような行列で表される。また、センター 1は、前記一回性の個別乱数データと前記フーリエ変換アルゴリズム及び重み関数とから、前記識別子変換アルゴリズムを生成する（手順 2— 6 ) 。この識別子変換アルゴリズムは、前記個人鍵 Xn に反映されている前記ランダマイズ変換の成分を打ち消すためのァルゴリズム（これはランダマイズ変換を表す行列の逆行列により表される）と、前記フーリエ変換アルゴリズム及び重み関数とを合成（それぞれを表す行列同士を乗算）したものである。

このようにしてセンタ一 1によって生成された各エンティティ 2に対応する個人鍵 Xn と識別子変換アルゴリムとが各エンティティ 2に通信等により事前に配付される（図 3の手順 2を参照）。以上説明した内容がセンター 1における事前準備処理の詳細である。

尚、センタ 1は前述のように各エンティティ 2の個人鍵 Xnや識別子変換アルゴリズムを生成した後には、そのエンティティ 2に対応する前記一回性の個別乱数データや前記ランダマイズ変換を表す行列は保管せずに消去する。また、自身の個人鍵 Xn及び識別子変換アルゴリムを受け取った各エンティティ 2は、それらを自身のコンピュータマシンの適宜の記憶装置に秘密裏に保管する。

図 3に戻って、前述のような事前準備処理が行われた後、任意のエンティティ 2間で、次のように暗^ τΐ信が行われる。尚、ここでは、各エンティティ 2のうち、エンティティ i， j ( i≠ j ) 間で、エンティティ iを送信側、ェンティティ jを受信側として暗^!信を行うものとする。

この暗号通信では、送信側のエンティティ iは、まず、自身が保持する前記個人鍵 X i 及び識別子変換アルゴリズムと、受信側のエンティティ jの識別子 y j とからエンティティ jとの共通暗号鍵 K i jを生成する（手順 3 )。

さらに詳細には、図 6を参照して、まず、受信側のエンティティ jの識別子 y j に、送信側エンティティ iのコンピュータマシン上で該エンティティ iの識別子変換アルゴリズムを作用させる（識別子 y j のベクトルデ一夕に識別子変換ァルゴリズムの行列を乗算する。手順 3 - 1 ) 。次いで、この手順 3 - 1により得られるべクトルデータと、送信側エンティティ iの個人鍵 X i (べクトルデ一夕 ) との内積を演算することで、エンティティ jとの共通暗号鍵 Ki jを生成する（手順 3— 2 ) o 同様にして、受信側のエンティティ jは、図 7に示すように自身のコンビユータマシン上で自身の識別子変換アルゴリズムを送信側のエンティティ iの識別子 yi に作用させ（手順 3— 1)、さらにその結果に得られるベクトルデータとェンティティ jの個人鍵 Xj との内積を演算する（手順 3— 2) ことで、ェンティティ iとの共通暗号鍵 Kjiを生成する。

このとき、送信側エンティティ iで独自に生成される共通暗号鍵 KUと受信側エンティティ jで独自に生成される共通暗号鍵 Kjiとは同一となる。

すなわち、送信側及び受信側の各エンティティ i， jカ、それぞれ保持している個人鍵 Xi， Xj は、それぞれ、各エンティティ i, jの識別子 yi , yj に、前述の重み関数付きのフーリエ変換アルゴリズム、センタ一行列及びランダマィズ変換を作用させてなるベクトルデ一夕であり、また、各エンティティ i, j がそれぞれ共通暗号鍵 ΚΠ, Kjiを生成するに際して、相手側のエンティティ j , iの識別子 yj , yi に作用させる前記識別子変換アルゴリズムは、重み関数付きのフーリエ変換アルゴリズムと、各個人鍵 Xi , Xj に反映されている各ェンティティ i， j毎のランダマイズ変換の成分を打ち消すアルゴリズムとを合成したものである。

このため、前記手順 3— 2で行う内積演算では、各エンティティ i, j毎のランダマイズ変換の影響が排除され、該内積演算の結果として得られる各共通暗号鍵 Kij， Kjiは、各エンティティ i, jの識別子 yi， yj に重み関数付きのフ一リエ変換アルゴリズムを施したものに、さらにセンター行列を作用させたもの (ベクトルデ一夕）と、通信相手側のエンティティ j, iの識別子 yj , yi に重み関数付きフーリエ変換アルゴリズムを施したもの（ベクトルデ一夕）との内積を演算してなる結果に等しい。すなわち、識別子 yi， yj に重み関数付きのフーリエ変換アルゴリズムを施してなるベクトルデータをそれぞれ yi'， yj' ( 但し yi', yj'は縦ベクトルとする）とおき、またセン夕一行列を Cとすると、 Kij= (yj') ^τ · C■ yi\ Kji= (yi') ^T · C · yj'である（但し、式中の添え字 Tは転置を意味する）。

そして、前述したようにセン夕一行列 Cは対称行列であるから、明らかに Kij = Kjiとなる。従って、各エンティティ i， jでそれぞれ別個に生成される共通喑号鍵 Ki j， Kjiは一致し、これにより両エンティティ i， jが共通の暗号鍵を共有することができることとなる。

—方、図 3の手順 3において前述の如く受信側エンティティ jとの共通暗号鍵

K i jを生成した送信側エンティティ iは、その共通暗号鍵 Ki jや受信側ェンティティ jに送信しょうとする平文（文章、プログラム等）等から暗号通信電文を生成する（手順 4 ) 。この場合、該喑号通信電文の生成に際しては、共通暗号鍵 K i jの他、一回性の乱数デ一夕も使用する。

さらに詳細には、図 6を参照して、暗号通信電文を生成するに際しては、前述したセンター 1における事前準備処理の場合と同様にして、送信側エンティティ iは自身のコンピュータマシンにおいて語句や文章等の入力操作の時間的タイミングに基づき一回性の乱数データ（以下、暗号通信用乱数デ一夕という）を生成しておき（手順 4— 1 ) 、この一回性の暗号通信用乱数データを、前記共通暗号鍵 Kijを本来の鍵として暗号化する（手順 4一 2 )。この場合、この暗号化は、例えば 3段構成の D E S (Data Encryption Standard) により行われる。

また、手順 4一 1で生成した一回性の暗号通信用乱数デ一夕（暗号化前のもの

) を鍵として平文を暗号化する（手順 4一 3 ) 。この暗号化は、例えば手順 4一

2と同様に 3段構成の D E Sにより行う。

そして、手順 4一 2により得られた暗号化乱数データと手順 4一 3により得られた暗号文とを合わせる（1セットにする）ことで、受信側エンティティ jに送信すべき暗号通信電文が生成される。このようにして生成された暗号通信電文はエンティティ iのコンピュータマシンからエンティティ jのコンピュータマシンに送信される。

尚、前記暗号通信用乱数データは、暗号通信を行う都度、生成して更新することが好ましいが、暗号通信を数回行う毎に、該暗号通信用乱数データを更新する (該数回分の暗号通信では同じ喑^!信用乱数データを使用する）ようにしてもよい。

一方、上記暗号通信電文を受信した受信側エンティティ jは、前述の如く生成したエンティティ iとの共通暗号鍵 Kji ( = Ki j) を用いて暗号通信電文を復号し、最終的に前記平文を得る（手順 5 ) 。すなわち、図 7を参照して、まず、エンティティ iとの共通暗号鍵 Kji ( = K ij) を本来の鍵として使用することで、エンティティ iから受信した暗号通信電文のうちの暗号化乱数データを暗号通信用乱数データに復号する（手順 5 — 1 ) 。次いで、その復号化された暗号通信用乱数データを鍵として使用することで、暗号通信電文のうちの^文を平文に復号する（手順 5— 2 ) 。これにより、最終的に受信側エンティティ jはエンティティ iからの所望の平文の内容を知ることとなり、エンティティ i , j間での暗号通信が完結する。

前述のような喑号通信のための処理を行う各エンティティ 2のコンピュータマシンは、それを構成的に示すと例えば図 8のブロック図に示すように構成されている。

すなわち、各エンティティ 2のコンピュータマシンは、キーボード 4と、図示しない C P U、 RAM, R OM等により構成された本体部 5と、前記個人鍵 Xn 及び識別子変換アルゴリズム、文章、プログラム等の平文、並びに暗号通信電文等を記憶保持するハードディスク等により構成されたデータベース 6とを具備する。そして、本体部 5には、その機能的構成として、共通暗号鍵を生成する共通鍵生成部 7と、通信データの暗号化 '復号化処理を行う暗号復号処理部 8と、暗号通信用乱数データを生成する乱数生成部 9と、暗号通信に際して共通鍵生成部 7により生成された共通暗号鍵や乱数生成部 9により生成された暗^！信用乱数データ等のデータを格納するデータ格納メモリ 1 0とが備えられている。

このような構成を具備する各エンティティ 2のコンピュータマシンは、次のような作動によって、前述のような暗号通信のための処理が行われる。

すなわち、送信側及び受信側のいずれのコンピュータマシンにおいても、共通暗号鍵を生成する際には（前記手順 3 ) 、まず、使用する前記個人鍵 Xn及び識別子変換アルゴリズ厶がキーボード 4により本体部 5に指定され、その指定された個人鍵 Xn及び識別子変換アルゴリズムが前記データベース 6から本体部 5の共通鍵生成部 7に取り込まれる。さらに、キーボード 4により、通信相手側の識別子 ynが本体部 5に入力される。そして、該本体部 5の共通鍵生成部 7は、入力された識別子 yn のデータに前述の如く識別子変換アルゴリズム及び個人鍵 X n を作用させることで共通暗号鍵を生成し（前記手順 3 - 1 , 3— 2 ) 、その生成された共通暗号鍵がデータ格納メモリ 1 0に記憶される。

また、送信側のコンピュータマシンでは、キーボード 4により、前記暗号通信用乱数データを生成するためのデ一夕（語句や文章等の入力操作データ）が本体部 5に入力される。そして、該本体部 5の乱数生成部 9はその入力されたデータに基づき、前述の如く一回性の暗号通信用乱数データを生成し（前記手順 4 - 1 ) 、その生成された暗号通信用乱数データがデータ格納メモリ 1 0に記憶される。さらに、送信側のコンピュータマシンでは、データベース 6内の送信すべき平文がキーボード 4から本体部 5に措定され、このとき、指定された平文がデータベース 6から喑号復号処理部 8に取り込まれる。そして、該暗号復号処理部 8は、データ格納メモリ 1 0に記憶された暗号通信用乱数データを、同じくデータ格納メモリ 1 0に記憶された共通暗号鍵を使用して暗号化する（前記手順 4一 2 ) と共に、その暗号化乱数データを鍵として前記平文を暗号化する（前記手順 4一 3 ) 。このようにして暗号復号処理部 8により暗号化された暗号通信用乱数デー夕及び平文は、それらを一括して成る暗号通信電文としてデータベース 6に保持された後、別途、通信相手側のコンピュータマシンに送信される。

一方、上記暗号通信電文を受信した受信側のコンピュータマシンでは、該暗号通信電文がデータベース 6に保持され、それが暗号復号処理部 8に取り込まれる。そして、喑号復号処理部 8は、デ一夕格納メモリ 1 0に記憶されている共通暗号鍵を用レ、て暗号通信電文内の暗号化乱数デ一夕を暗号通信用乱数デー夕に復号し（前記手順 5— 1 ) 、さらにその復号化した暗号通信用乱数データを鍵として、暗号通信電文内の暗号化平文を元の平文に復号する（前記手順 5— 2 ) 。このようにして喑号復号処理部 8により暗号化された平文はデータベース 6に保持される。

以上説明したように構築されている本実施形態のシステムでは、センター 1で各エンティティ 2の個人鍵 Xn を生成する際（事前準備処理）には、各ェンティティ 2の名前等の識別子 y n に積分変換としてのフーリエ変換のアルゴリズムを作用させるため、識別子 y n 自体に類似のものが多くあっても、それをフーリエ変換してなるデ一夕の分散性が良くなり、ひいてはそのデータにセンター行列等を施して成る個人鍵 Xn の分散性も高めることができる。その結果、所謂、差分攻撃等によるセンター 1のセンター行列等のセンターアルゴリズムの解読を困難なものとすることができる。

この場合、上記の積分変換としては、フーリエ変換の他、ラプラス変換、ミラ一変換、ヒルベルト変換等を使用することも可能であるが、本実施形態ではフ一リエ変換（くわしくは高速フーリエ変換）を使用しているため、上記のような分散性の向上を顕著に奏することができると同時に、識別子 y n にフーリエ変換を施す演算処理をコンピュータマシンを用レ、て高速で行うことができる。

また、個人鍵 Xn を生成する際には、センターアルゴリズムとして重み関数を付加するため、有限区間上の識別子 yn のデータをフーリエ変換してなるデータの異常分散を防止することができると同時に、センタ一アルゴリズムを解読しようとする攻撃者にとっては、センター行列やフーリェ変換アルゴリズム等の他、重み関数という未知のァルゴリズム要素が増えるため、セン夕一アルゴリズムの解読をさらに困難なものとすることができる。特に、該重み関数が、一回性の乱数データに基づいて予想のつかない形状に生成されているため、上記の解読の困難性をより確実に確保することができる。

さらに、個人鍵 Xn を生成する際には、センターアルゴリズムの他、各ェンティティ 2に固有の一回性の個別乱数データに基づくランダマイズ変換をも付加するため、各エンティティ 2の個人鍵 Xn には、各エンティティ 2毎に各別で、しかも相互に相関性のないランダマイズ変換に基づく成分が含まれることとなる。このため、例えば複数のエンティティ 2が結託して、各々が保持する個人鍵 Xn からセンターアルゴリズム等を解読しょうとしても、その解読を行うことは極めて困難なものとなる。この場合、特に、前記ランダマイズ変換では、識別子 y n にフーリェ変換、重み関数及びセン夕一行列を作用させてなるデータのうちの、不要ビットの値を一回性の個別乱数デー夕によりランダム化した上で、該不要ビットと有用ビットとを合わせて配置変換を行うので、このランダマイズ変換により得られる個人鍵 Xn のデータのうちのどの部分に不要ビッ卜に対応するものが含まれているのかが判らず、上記の解読がより一層困難なものとなる。また、その解読者にとっては、本実施形態のシステムを完全に破るためには、個人鍵 Xn 等のデータから、センター行列、重み関数、フーリエ変換（積分変換）、及びランダマイズ変換の 4種類ものアルゴリズムを解読しなければならないこととなり

、このような解読は事実上、不可能なものとなる。

尚、本実施形態のシステムでは、暗号通信の際に共通暗号鍵を生成するためには、個人鍵 Xn に反映されている前記ランダマイズ変換による成分を打ち消すためのアルゴリズムを含む前記識別子変換アルゴリズムを個人鍵 Xn と共に各ェンティティ 2に配付しておく必要がある。しかるに、該識別子変換アルゴリズムは、ランダマイズ変換による成分を打ち消すためのァルゴリズムとフーリェ変換ァルゴリムと重み関数とを合成したものであるため、該識別子変換アルゴリズムからセンタ一 1のセンターアルゴリズムを構成するランダマイズ変換のァルゴリズムゃ重み関数、フーリエ変換アルゴリズムを個々に解読することも極めて困難であな o

従って、本実施形態のシステムによれば、そのシステムの安全上、最も重要なセンタ一 1のセンターアルゴリズムを各ェンティティ 2の個人鍵 Xn等から解読することは事実上、不可能である。

また、任意のエンティティ i , j間で暗号通信を行う際には、平文そのものを共通暗号鍵 K i jを用いて暗号化するのではなく、該平文は偏つた特徴性をもたない一回性の暗号通信用乱数データを鍵として暗号化すると共に、その暗号化平文を復号するための鍵としての暗号通信用乱数デ一夕を共通暗号鍵 K i jを用いて喑号化するようにしたため、暗号化された通信データを第三者が傍受しても、その通信データから共通暗号鍵 Ki jを解読することは困難である。そして、該共通暗 ^ Kijを解読することが困難であるため、該共通暗号鍵 Ki jに含まれる各ェンティティ 2の個人鍵 Xnの情報、さらには該個人鍵 Xn に含まれるセン夕一アルゴリズムの情報を第三者が取得することも困難である。また、前記平文にあっては、暗号通信用乱数データを鍵として暗号化されるので、該平文の機密性も確保される。

従って、本実施形態によれば、種々の攻撃に対して安全性の高い暗号通信システムを提供できる。そして、任意のエンティティ i , j間での暗号通信に際しては、各エンティティ i , jは自己の個人鍵 X i ， X j 及び識別子変換アルゴリズムを、相手側の識別子 y j ， y i に作用させるだけで、セン夕一 1の関与ゃェンティティ i , j同士での事前連絡等を伴うことなく共通暗号鍵 Ki jを生成して共有することができるので、安全性が高いだけでなく、簡易で汎用性の高い喑号通信システムを提供できる。尚、上記のように共通暗号鍵 Ki jを生成する上で、識別子 ynが重要な役割を演じる点は、 A. Shamirによる論文「 Identity - Based Cry ptosystems and Signature Sc eraes/Advances in Cryptology :Proceeding of C RYPTO ' 84 /Springer LNCS 196, 1985, pp.47-53 」に見られる考え方と同様である。

次に、本実施形態のシステムのより理論的な有効性について説明する。

本システムでは、各エンティティ 2の個人鍵を演算し、さらに共通暗号鍵を算出する演算は線形変換に基づいて行われ、この線形変換について以下説明する。まず、 Xifを f人のエンティティ 2間で共通暗号鍵を生成する際にェンティティ iの個人鍵とする。このとき、上記の線形変換を構築するための一般的な考え方は、 ί入力対称変換 g ( f個の変数の関数で、対称性を有するもの）を任意に選択し、エンティティ iの個人鍵 Xifを、エンティティ iの識別子 y i に対して Xif ( い……， f _f— , ) = g ( y i, f …… ' f _f— , ) を満たすような f 一 1 入力変換として決定することである。ここで、添え字付きのは任意の識別子を示す変数である。この場合、上記線形変換は、 f入力対称変換 gの核が多重線形写像（f重線形写像）に従うように見いだすことができ、この線形変換は、基本的には有限体上の線形空間で定義され、環上の剰余類に一般化される。

本システムは f = 2とした場合のものであり、上記の線形変換は次のように定義される。

ここで、以下の説明において、センター 1に属するエンティティの集合を E、識別子の集合を I、共通暗号鍵の集合を Kとする（図 i参照）。また、 Qを単位元をもつ可換環、 Jを Q上の位数 mの剰余類、 Kを Q上の位数 hの剰余類とし、 J, Kの元はそれぞれ m—縦ベクトル、 h—縦ベクトルとする。尚、 Qが体であるならば、 J, Kはそれぞれ次元 m， hの線形空間となる。また、位数 mは識別子の総数に等しい。

また、 Rを Iから Jへの写像を構成する線形変換とし、以下、アイデンティティ変換と称する。このアイデンティティ変換は、前述の実施形態のシステムに対応させると、基本的には識別子のデータに重み関数付きのフーリエ変換（積分変換）を施す変換に相当し、さらには、後述の如く前記ランダマイズ変換をも含む変換に拡張されるものである。

以上のことを前提として、まず、 J₂ (Jの二つの元の組を要素とする集合）から共通喑号鍵の集合 Kへの対称 Q階多重線形写像（2入力対称変換） g ： J₂ →Kが任意に選択されて決定される。この gは任意の二つの識別子をそれぞれァイデンティティ変換したものからそれらの識別子に対応した共通暗号鍵を生成するための変換に相当する。

また、ある与えられた識別子 yi (≡ I ) に対して、 Q上の h行 m列の行列 X i が xi · ?? = g (R (yi ) , τ?) を満たすように決定される。ここで、？7は Q上の任意の m -縦ベクトルで、 Jの元である（以下、同様）。

さらに、ある与えられた yi (e i) に対して、 X i (ξ) =xi - R (ξ) (但し、 fは Iの任意の元。以下、同様）となるように 1入力変換 X i ( ）を構成する。

この X i (ξ) が、エンティティ iに対する個人鍵であり、該個人鍵 X i (ξ ) は、 1入力変換 Vi を前記行列 xi を用いて Vi (77) =xi · 7?と定義したとき、次式によって表される。

X i (ξ) =Vi (R (ξ) )

尚、センタ一が複数存在するとき、 Vi (7?) =xi · 7?における「xi 」の部分は、各センタ一毎に上記のように決定される行列 xi の総和に置き換えられこのように個人鍵 Xi を定義したとき、前述したことから容易に判るように、任意のエンティティ a， beEに対して、 Xa (yb ) =Xb (ya ) となる。すなわち、エンティティ a, bがそれぞれの個人鍵 Xa , Xb に相手側の識別子 yb , ya を入力すれば、共通の暗号鍵 Xa (yb ) =Xb (ya ) が得られる。尚、前記多重線形写像 gの代わりに、多変数多項式を選択したとしても、本システムの線形変換の適用範囲に含まれる。この理由は、任意の多項式が未知数の集合の適当な変換によって線形多項式に書き換えられるという事と、そのような変換は前記アイデンティティ変換 Rの中に吸収することができるという事とによる。更に、レ、くつかの変換は、線形変換と、指数関数のような演算との合成と見なすことができる。

次に、本システムの線形変換の実行性能とアイデンティティ変換 Rの役割とについて述べる。

任意の変換 Aに対して、 Cd (A)、 C e (A) をそれぞれ変換 Aの記述の複雑さ、及び変換 Aの評価の複雑さとする。このとき、前述の変換 Xi， R, Vi に対して、次の関係式が成り立つ。

Cd (Xi ) =Cd (R) +Cd (Vi )

C e (Xi ) ≤C e (R) +C e (Vi )

この場合、個人鍵を示す変換 Xi の入力（識別子）が w [bit ] で記述されるとすると、変換 Vi の記述の複雑さ Cd (Vi ) については

Cd (Vi ) =h - m - w [bit ]

が成り立つ。また、変換 Vi の記述の複雑さ C e (Vi ) については

C e (Vi ) =0 (h - m) [Q—演算]

力成り立つ。ここで、〇（h · πι) [Q—演算] は可換環 Q上での h · mのォ一ダーを意味し、この値は、概ね 0 (w² ) [bit 変換] 、すなわち、 w² のォーダ一によって評価できる。そして、小さい可換環 Q (例えばガロア体 GF [2] ) を選んだとき、 C e (Vi ) は低いものとなる。

従って、変換 Xi の記述の複雑さ Cd (Xi )及び評価の複雑さ Ce (Xi ) は、アイデンティティ変換 Rの記述の複雑さ Cd (R) 及び評価の複雑さ C e ( R) に負うところが大きレ、。

ここで、システムを破ろうとする 3もしくは複数のエンティティ j力、それそれの個人鍵 Xj を利用する場合について考察する。

明らかに、本システムを完璧に破ることは、前述の多重線形写像 g ： J 2 →K を決定することである。この場合、システムを完全に破るためには、センターが協力するか、あるいは、多重線形写像 gの位数と同じ数（これは概ね、識別子の総数 m (二 Jの位数）に等しい）のエンティティの協力が必要であり、実際上は、不可能である。

さらに、一部のエンティティ jによる、他のエンティティ iの個人鍵 Xi の決定の可能性について考察する。この問題については、以下に述べるようにアイデンティティ変換 Rが重要な役割を担う。

まず、「エンティティ全体の集合 Eの部分集合 Bの全てのエンティティ jが協力して、それらのエンティティ j EBがそれぞれの個人鍵 Xj の全体 {Xj I j ≡B) を使ったとしても、集合 E— B内の任意のエンティティ iの個人鍵 Xi を決定するために有用などのような情報も得ることができない」ということは、「 E— B内の各エンティティ iにとつて、アイデンティティ変換 R (yi ) 力 \ B 内のエンティティ jのそれぞれのアイデンティティ変換 R (yj ) の全体 {R ( yj ) I j≡B} から線形独立である」ということと同値であることが容易に導かれる。従って、本システムの線形変換の情報理論的安全性は、集合 {R (y i ) I i≡E} の任意の部分集合 Uが線形独立であることに帰着させられる。よつて、線形変換と線形代数学的な順列組み合わせとの間には強い関係があり、線形変換の安全性を評価する上では、特に、 m行 n列（ここで n = #E = eェンティティ Eの総数である）のパリティチェック行列 H= (R (yl ) ， ……， R (y n ) ) によって定義される線形符号 LR = {zEQⁿ | Η · ζ = 0} 、すなわち、パリティチヱック行列 Ηとの積が零べクトルとなるような可換環 Q上の η—縦べクトルで表される符号語 ζの集合を考察することが重要である。所謂、ハミング（Ha薩 ing ) 重率 sの符号語 z (E LR ) が存在するということと、 s— 1個のエンティティ jの協力によって、特定のエンティティ iの個人鍵 Xi を導くことができるということと同値であることは容易に導かれる。

一方、以下のようにアイデンティティ変換 Rを個別化する（アイデンティティ変換 Rを各エンティティに固有のものとする）ことによって、多数のェンティティが結託しても、システムを破ることは難しくなる。すなわち、仮にシステムを破ろうとする各エンティティ j ( jeB) のアイデンティティ変換 R (yj ) の集合 {R (yj ) I j EB} に対し、他のエンティティ iのアイデンティティ変換 R (yi ) が線形従属で、 R (yi ) =∑Cj · R (yj ) (但し、 Cj は適当な係数）であるならば、前述した個人鍵の定義から明らかなように、ェンティティ iの個人鍵 Xi 及びエンティティ j ( j eB) の個人鍵 Xj について、 Xi =∑Cj ' Xj が成り立つ。このため、システムを破ろうとする各エンティティ jの集合 Bは容易に他のエンティティ iの個人鍵 Xi を知ることができることとなる。ところ力、アイデンティティ変換 Rを個別化した場合には、該変換 Rは各エンティティに固有のものであるので、与えられたエンティティ jの集合 Bに対して、他の個人鍵 Xi を解読し得るような識別子 yi を有するエンティティ iを見いだすことは容易なことではない。換言すれば、集合 Bのエンティティ jは、それらが所持する個人鍵 Xj等の情報からどのエンティティ iの個人鍵 Xi を解読し得るのかを知ることができない。また、逆に、与えられた識別子 yi を有するエンティティ iに対し、その個人鍵 Xi を解読し得るような識別子 yj を含む集合 Bを見いだすことも容易ではない。換言すれば、解読しょうとする個人鍵 X i を有するエンティティ iを特定しても、その個人鍵 Xi を解読するためにどのエンティティ同士が結託すればよいのかを知ることができない。このように、ァイデンティティ変換 Rを個別化することは、システムの複雑さ理論的な安全性を高める上で本質的に重要なことである。

このようにアイデンティティ変換 Rを個別化する場合、種々の線形変換を選択することが可能であるが、それらは、基本的には二つの範醻に大別される。

その一つは、対応する線形符号 LRがよく知られた代数学的または代数幾何学的な符号になるようなアイデンティティ変換 Rを用いる場合であり、他の一つは、アイデンティティ変換 Rをエンティティ毎に個別にランダム化する場合である。この場合、前者の手法では、安全性のために識別子の総数 mを大きなものとすると、なデータ量が大規模なものとなる傾向がある。例えば、原始要素がひで Q = GF (q) ：ガロア体とし、また、 h=l、をひの f乗（l

• 10 ga) とし、さらに R (ξ) = [1， β, β² ， ···, yS^ra— ¹ ] ^τ とし、 I が {0, 1， 2, ·■·, n- 1 } と符号化されたとする。このアイデンティティ変換 Rは一方向性を有さないので、厳密な線形変換ではないが、前述の R.Blomの論文「An Optimal Class of Symmetric Key Generation Systems] 中に提案された線形変換に相当し、線形符号 LRは所謂、リード—ソロモン（Reed-Solomon) 符号に相当する。そして、この手法では、ネットワーク内のエンティティの総数 n はガロア体<3 = 0？ (q) における qよりも小さいことが必要であり、例えば n =10¹²の場合に、この手法を適用すると、最小の Qは GF ( 2⁴⁰) となって、極めて大規模なデ一夕量が必要となる。

これに対して、アイデンティティ変換 Rをエンティティ毎に個別にランダム化する後者の手法は、前述の実施形態で、前記ランダマイズ変換によって実現化した手法であり、この手法によれば、識別子の総数 m (本システムではこれはェンティティの総数 nに等しい）カきくとも、高速な処理が可能で且つ小規模なデ一夕量で済む多数のァイデンティティ変換 Rが存在する。

他方、周知の漸近的バルシャモフ 'ギルバート（Varshamov- Gilbert ) の限界式を導くのと同様の手法によって、該限界式に対応する次の関係式が得られる。

但し、 r =m · 1 o g。（q— 1 )

ここで、 Φは

Φ (u) =u · 1 o g_q ( q - 1 ) 一 ιι · l o go υ

- (1 -υ) 1 o g。（ 1一 u) によって定義される関数である。また、上記の不等式中の bはシステムを破ろうとするエンティティ jの総数（=#B) である。

上記の不等式は、システムを破るために必要なエンティティ jの総数 bの限界を規定するものであり、この不等式が成立しないエンティティ数 bではシステムを破ることができないことを意味する。

そして、この不等式に基づいて、任意の m及び bに対して、高々 b個のェンティティ jが共謀しても、他のエンティティ iの個人鍵 Xi を解読することができないようなアイデンティティ変換 Rが存在することが導かれる。また、アイデンティ変換 Rの個別のランダム化は、多くの場合、上記のような条件を満たしつつ良好な線形独立な構造をもたらすことも判る。

従って、本システムは、アイデンティティ変換 Rの個別的なランダム化によつて、安全性の高いシステムを提供することができるものである。言い換えれば、本システムは、アイデンティティ変換 Rの個別的なランダム化によって、該変換 Rの記述の複雑さ Cd (R) 及び評価の複雑さ C e (R) を高め、ひいては、個人鍵 Xi の記述の複雑さ Cd (Xi ) 及び評価の複雑さ C e (Xi ) を高めてシステムの安全性を確保したものである。実際、例えば Q = GF [2] . m= 8 1 92、 h=64とした場合、 Cd (X i ) = 64 [Kby t e] となる。この場合、 1 6 Ob i tの共通暗号鍵によつて、最大で 1 0 1 20個のエンティティまでを含むシステム上の任意の二つのェンティティ間で暗号通信を行うことができる。そして、例えばクロック 200 M Hzで 32 b i tの CPUと 64 OKby t eのメモリを使用した場合、 20m s以内に各個人鍵を算出することができる。さらに、このシステムは 8 1 92個のエンティティが結託しなければシステムを完全に破ることはできず、また、各エンティティ毎の個別のランダム化によって、 256個以上のエンティティが結託しなければ、他のェンティティの個人鍵に対するいかなる情報も得ることができない。

尚、前述の実施形態では、センターアルゴリズムとして、重み関数及びフーリェ変換アルゴリズムの他、センタ一行列を設定したが、重み関数自体をセンター行列として用いることも可能である。

また、前記実施形態では、積分変換としてフーリエ変換を用いたが、ラプラス変換、ミラー変換、ヒルベルト変換等、他の形式の積分変換を用いてもよい。産業上の利用可能性

本発明はインタ一ネット、パソコン通信網等のネットワークにおいて、共通鍵方式による暗号通信を簡便且つ安全に行うことができる手法として有用である。

Claims

請求の範囲

1 . 複数のエンティティとセンターとを含むネットワークにおいて、通信を行うエンティティ間で通信データの暗号 ·復号化を行うための共通の暗号鍵を両ェンティティが所有する方法であつて、

あらかじめ前記センターは、各エンティティに固有で且つ公開性の識別子を、該センターのみが保持する各エンティティに共通で且つ少なくとも積分変換アルゴリズムを含むセンターアルゴリズムにより変換して各エンティティに固有の個人鍵を生成すると共にその個人鍵と前記積分変換アルゴリズムとを各ェンティティに配付しておき、

前記エンティティ同士が相互に通信を行うとき、互いに通信相手側の識別子に自己が保持する前記積分変換アルゴリズム及び前記個人鍵を作用させることにより該エンティティ同士が共通の暗号鍵を所有することを特徴とする暗号鍵共有方

2 . 前記積分変換アルゴリズムは重み関数付きの積分変換アルゴリズムであることを特徴とする請求の範囲第 1項記載の暗号鍵共有方法。

3 . 前記重み関数は前記セン夕一におレ、て生成された乱数デー夕により予想のつかないパターンに決定されていることを特徴とする請求の範囲第 2項記載の暗号鍵共有方法。

4 . 前記乱数デ一夕は一回性の乱数データであることを特徴とする請求の範囲第 3項記載の暗号鍵共有方法。

5 . 前記積分変換アルゴリズムはフーリェ変換アルゴリズ厶であることを特徴とする請求の範囲第 1項又は第 2項記載の暗号鍵共有方法。

6 . 前記センターは、前記識別子を前記セン夕一アルゴリズムにより変換したものに、さらに各エンティティに固有で且つ各エンティティには不知の一回性の個別乱数デー夕によりランダマィズ変換を施して前記個人鍵を生成すると共に、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すためのアルゴリズムと前記積分変換アルゴリズ厶とからなる識別子変換アルゴリズ厶を該個人鍵と共に各エンティティに配付しておき、 2 θ 前記ェンティティ同士は相互に通信を行うとき、互いに通信相手側の識別子に自己が保持する前記識別子変換アルゴリズム及び前記個人鍵を作用させることにより該エンティティ同士が共通の暗号鍵を所有することを特徴とする請求の範囲第 1項に記載の暗号鍵共有方法。

7 . 前記ランダマイズ変換は、前記各エンティティの識別子を前記センタ一ァルゴリズムにより変換したものを表すデータ列を前記一回性の個別乱数デ一夕により配置変換することにより行うことを特徴とする請求の範囲第 6項記載の暗号鍵共有方法。

8 . 前記各ェンティティの識別子を前記セン夕ーアルゴリズムにより変換したものを表すデ一夕列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビットの値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することにより行うことを特徴とする請求の範囲第 7項記載の暗号鍵共有方法。

9 . 前記一回性の個別乱数データは、前記各エンティティの所定の処理に基づき生成することを特徴とする請求の範囲第 6項記載の暗号鍵共有方法。

1 0 . 前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の個別乱数データを生成することを特徴とする請求の範囲第 9項記載の暗号鍵共有方法。

1 1 . 複数のエンティティとセンターとを含むネットワークにおいて、通信を行うェンティティ間で通信データの暗号 ·復号化を行うための共通の暗号鍵を両エンティティが所有する方法であつて、

あらかじめ前記セン夕一は、各エンティティに固有で且つ公開性の識別子を該センターのみが保持する各エンティティに共通のセン夕一アルゴリズムにより変換したものに、各エンティティに固有で且つ各エンティティには不知の一回性の個別乱数デ一夕によりランダマイズ変換を施して各ェンティティに固有の個人鍵を生成すると共に、その個人鍵と、該個人鍵に含まれる前記ランダマイズ変換の成分を打ち消すァルゴリズムを含む識別子変換ァルゴリズムとを各ェンティティに配付しておき、

前記エンティティ同士が相互に通信を行うとき、互いに通信相手側の識別子に自己が保持する前記識別子変換アルゴリズム及び個人鍵を作用させることにより該ェンティティ同士が共通の暗号鍵を所有することを特徴とする暗号鍵共有方法。

1 2 . 前記ランダマイズ変換は、前記各エンティティの識別子を前記センタ一アルゴリズ厶により変換したものを表すデータ列を前記一回性の個別乱数データにより配置変換することにより行うことを特徴とする請求の範囲第 1 1項記載の暗号鍵共有方法。

1 3 . 前記各エンティティの識別子を前記センターアルゴリズムにより変換したものを表すデータ列は複数の不要ビットを含み、前記ランダマイズ変換は、該不要ビッ卜の値を前記一回性の個別乱数データによりランダム化し、さらに該不要ビットを含む前記データ列の全体を配置変換することにより行うことを特徴とする請求の範囲第 1 2項記載の暗号鍵共有方法。

1 4 . 前記一回性の個別乱数データは、前記各エンティティの所定の処理に基づき生成することを特徴とする請求の範囲第 1 1項記載の暗号鍵共有方法。

1 5 . 前記所定の処理は前記各エンティティの人間による入力操作であり、その入力操作の時間的タイミングに基づき前記一回性の個別乱数デ一夕を生成することを特徴とする請求の範囲第 1 4項記載の暗号鍵共有方法。