JP2002026892A - 鍵共有方法,秘密鍵生成方法,共通鍵生成方法,暗号通信方法,秘密鍵生成器,共通鍵生成器,暗号通信システム及び記録媒体 - Google Patents

鍵共有方法,秘密鍵生成方法,共通鍵生成方法,暗号通信方法,秘密鍵生成器,共通鍵生成器,暗号通信システム及び記録媒体

Info

Publication number
JP2002026892A
JP2002026892A JP2000335166A JP2000335166A JP2002026892A JP 2002026892 A JP2002026892 A JP 2002026892A JP 2000335166 A JP2000335166 A JP 2000335166A JP 2000335166 A JP2000335166 A JP 2000335166A JP 2002026892 A JP2002026892 A JP 2002026892A
Authority
JP
Japan
Prior art keywords
key
entity
secret
information
specific information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000335166A
Other languages
English (en)
Other versions
JP4450969B2 (ja
Inventor
Satoshi Ogishi
聖史 大岸
Ryuichi Sakai
隆一 境
Masao Kasahara
正雄 笠原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Murata Machinery Ltd
Original Assignee
Murata Machinery Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Murata Machinery Ltd filed Critical Murata Machinery Ltd
Priority to JP2000335166A priority Critical patent/JP4450969B2/ja
Publication of JP2002026892A publication Critical patent/JP2002026892A/ja
Application granted granted Critical
Publication of JP4450969B2 publication Critical patent/JP4450969B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)

Abstract

(57)【要約】 【課題】 両エンティティ間で予備通信を行うことなく
容易に共通鍵を共有し合える鍵共有方法、この鍵共有方
法に基づいて安全なID−NIKSを構築できる暗号通
信方法及びシステムを提供する。 【解決手段】 センタ1は、各エンティティのID情報
に基づき楕円曲線上の点に写像し、その写像値である公
開鍵とセンタ1自身の秘密情報とを用いて、各エンティ
ティの秘密鍵を生成する。各エンティティは、センタ1
から送られる自身の秘密鍵と、通信相手のID情報に基
づき楕円曲線上の点に写像した写像値である公開鍵とを
用いて、暗号化処理・復号処理に用いる共通鍵を生成す
る。この際、楕円曲線上のペアリングを利用する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、予備通信なして両
エンティティ間で共通鍵を共有し合う鍵共有方法、セン
タにて各エンティティ固有の秘密鍵を生成する秘密鍵生
成方法及び秘密鍵生成器、各エンティティで暗号化処理
・復号処理に必要な共通鍵を生成する共通鍵生成方法及
び共通鍵生成器、情報の内容が当事者以外にはわからな
いように暗号文にて通信を行う暗号通信方法及び暗号通
信システム、並びに、これらの方法を行うためのプログ
ラムを記録した記録媒体に関する。
【0002】
【従来の技術】高度情報化社会と呼ばれる現代社会で
は、コンピュータネットワークを基盤として、ビジネス
上の重要な文書・画像情報が電子的な情報という形で伝
送通信されて処理される。このような電子情報は、容易
に複写が可能である、複写物とオリジナルとの区別が困
難であるという性質があり、情報保全の問題が重要視さ
れている。特に、「コンピュータリソースの共有」,
「マルチアクセス」,「広域化」の各要素を満たすコン
ピュータネットワークの実現が高度情報化社会の確立に
不可欠であるが、これは当事者間の情報保全の問題とは
矛盾する要素を含んでいる。このような矛盾を解消する
ための有効な手法として、人類の過去の歴史上主として
軍事,外交面で用いられてきた暗号技術が注目されてい
る。
【0003】暗号とは、情報の意味が当事者以外には理
解できないように情報を交換することである。暗号にお
いて、誰でも理解できる元の文(平文)を第三者には意
味がわからない文(暗号文)に変換することが暗号化で
あり、また、暗号文を平文に戻すことが復号であり、こ
の暗号化と復号との全過程をまとめて暗号系と呼ぶ。暗
号化の過程及び復号の過程には、それぞれ暗号化鍵及び
復号鍵と呼ばれる秘密の情報が用いられる。復号時には
秘密の復号鍵が必要であるので、この復号鍵を知ってい
る者のみが暗号文を復号でき、暗号化によって情報の秘
密性が維持され得る。
【0004】暗号化鍵と復号鍵とは、等しくても良い
し、異なっていても良い。両者の鍵が等しい暗号系は、
共通鍵暗号系と呼ばれ、米国商務省標準局が採用したD
ES(Data Encryption Standards)はその典型例であ
る。また、両者の鍵が異なる暗号系の一例として、公開
鍵暗号系と呼ばれる暗号系が提案された。この公開鍵暗
号系は、暗号系を利用する各ユーザ(エンティティ)が
暗号化鍵と復号鍵とを一対ずつ作成し、暗号化鍵を公開
鍵リストにて公開し、復号鍵のみを秘密に保持するとい
う暗号系である。公開鍵暗号系では、この一対となる暗
号化鍵と復号鍵とが異なり、一方向性関数を利用するこ
とによって暗号化鍵から復号鍵を割り出せないという特
徴を持たせている。
【0005】公開鍵暗号系は、暗号化鍵を公開するとい
う画期的な暗号系であって、高度情報化社会の確立に必
要な上述した3つの要素に適合するものであり、情報通
信技術の分野等での利用を図るべく、その研究が活発に
行われ、典型的な公開鍵暗号系としてRSA暗号系が提
案された。このRSA暗号系は、一方向性関数として素
因数分解の困難さを利用して実現されている。また、離
散対数問題を解くことの困難さ(離散対数問題)を利用
した公開鍵暗号系も種々の手法が提案されてきた。
【0006】また、各エンティティの住所,氏名,電子
メールのアドレス等の個人を特定するID(Identity)
情報を利用する暗号系が提案された。この暗号系では、
ID情報に基づいて送受信者間で共通の暗号化・復号鍵
を生成する。また、このID情報に基づく暗号技法に
は、(1)暗号文通信に先立って送受信者間での予備通
信を必要とする方式と、(2)暗号文通信に先立って送
受信者間での予備通信を必要としない方式とがある。特
に、(2)の手法は予備通信が不要であるので、エンテ
ィティの利便性が高く、将来の暗号系の中枢をなすもの
と考えられている。
【0007】この(2)の手法による暗号系は、ID−
NIKS(ID-based non-interactive key sharing sch
eme)と呼ばれており、通信相手のID情報を用いて予備
通信を行うことなく暗号化・復号鍵を共有する方式を採
用している。ID−NIKSは、送受信者間で公開鍵,
秘密鍵を交換する必要がなく、また鍵のリスト及び第三
者によるサービスも必要としない方式であり、任意のエ
ンティティ間で安全に通信を行える。
【0008】図4は、このID−NIKSのシステムの
原理を示す図である。信頼できるセンタの存在を仮定
し、このセンタを中心にして共通鍵生成システムを構成
している。図4において、エンティティXの特定情報で
あるエンティティXの名前,住所,電話番号,メールア
ドレス等のID情報を{IDX }で表す。センタは任意
のエンティティXに対して、センタ公開情報{P
i },センタ秘密情報{SC i }及びエンティティX
のID情報{IDX }に基づいて、以下のように秘密情
報SXiを計算し、秘密裏にエンティティXへ配布する。 SXi=Fi ({SCi },{PCi },{IDX })
【0009】エンティティXは他の任意のエンティティ
Yとの間で、暗号化,復号のための共通鍵KXYを、エン
ティティX自身の秘密情報{SXi},センタ公開情報
{PC i }及び相手先のエンティティYのID情報{I
Y }を用いて以下のように生成する。 KXY=f({SXi},{PCi },{IDY }) また、エンティティYも同様にエンティティXへの共通
鍵KYXを生成する。もし常にKXY=KYXの関係が成立す
れば、この鍵KXY,KYXをエンティティX,Y間で暗号
化鍵,復号鍵として使用できる。
【0010】上述した公開鍵暗号系では、例えばRSA
暗号系の場合にその公開鍵の長さは現在の電話番号の十
数倍となり、極めて煩雑である。これに対して、ID−
NIKSでは、各ID情報を名簿という形式で登録して
おけば、この名簿を参照して任意のエンティティとの間
で共通鍵を生成することができる。従って、図4に示す
ようなID−NIKSのシステムが安全に実現されれ
ば、多数のエンティティが加入するコンピュータネット
ワーク上で便利な暗号系を構築できる。このような理由
により、ID−NIKSが将来の暗号系の中心になると
期待されている。
【0011】
【発明が解決しようとする課題】通信相手のID情報を
用いて予備通信を行うことなく暗号化鍵及び復号鍵とな
る共通鍵を互いに共有するようなID−NIKSにあっ
ては、特に複数のエンティティが結託する結託攻撃に対
して十分に安全であることが望まれる。そして、暗号学
的に安全なID−NIKSを構築できるか否かは、高度
情報化社会にとって重要な問題であり、より理想的な暗
号方式の探究が進められている。
【0012】本発明は斯かる事情に鑑みてなされたもの
であり、各エンティティの特定情報(ID情報)に基づ
いて、楕円暗号で利用されている楕円曲線等の代数曲線
上の点に写像することにより、予備通信を行うことなく
両エンティティ間で容易に共通鍵を共有し合える鍵共有
方法、この鍵共有方法に基づいて安全なID−NIKS
を構築できるための秘密鍵生成方法及び秘密鍵生成器,
共通鍵生成方法及び共通鍵生成器,暗号通信方法及び暗
号通信システム、並びに、これらの方法を行うためのプ
ログラムを記録した記録媒体を提供することを目的とす
る。
【0013】
【課題を解決するための手段】請求項1に係る鍵共有方
法は、エンティティ自身の秘密鍵と相手エンティティの
公開鍵とを用いて予備通信なしに鍵共有を行う方法にお
いて、前記相手エンティティを特定する特定情報に基づ
き代数曲線上の点に写像したものを前記公開鍵とするこ
とを特徴とする。
【0014】請求項2に係る鍵共有方法は、両エンティ
ティを夫々特定する特定情報に基づき前記両エンティテ
ィ間で予備通信なしに鍵共有を行う方法において、代数
曲線上で定義されるペアリングを使用することを特徴と
する。
【0015】請求項3に係る鍵共有方法は、両エンティ
ティを夫々特定する特定情報に基づき前記両エンティテ
ィ間で予備通信なしに鍵共有を行う方法において、一方
のエンティティの特定情報に基づき代数曲線上の点に写
像したものと秘密情報とから生成された秘密鍵と、他方
のエンティティの特定情報に基づき前記代数曲線上の点
に写像してなる公開鍵とを用い、前記楕円曲線上で定義
されるペアリングを使用して鍵共有を行うことを特徴と
する。
【0016】請求項4に係る鍵共有方法は、請求項2ま
たは3において、前記ペアリングは、ベイユペアリング
またはテイトペアリングであることを特徴とする。
【0017】請求項5に係る鍵共有方法は、請求項1〜
4の何れかにおいて、前記代数曲線はその上で定義され
る離散対数問題を多項式時間で解くことができないこと
を特徴とする。
【0018】請求項6に係る鍵共有方法は、請求項1〜
5の何れかにおいて、一方のエンティティと他方のエン
ティティとで鍵共有を行う際の夫々のエンティティでの
演算処理の過程にあって、互いに逆数の関係になる数値
を生成し合うことを特徴とする。
【0019】請求項7に係る鍵共有方法は、請求項1〜
6の何れかにおいて、前記各エンティティの特定情報に
基づいて複数の公開鍵を生成することを特徴とする。
【0020】請求項8に係る秘密鍵生成方法は、エンテ
ィティを特定する特定情報に基づいて前記エンティティ
の秘密鍵を生成する方法において、前記エンティティの
特定情報に基づき代数曲線上の点に写像したものと秘密
情報とを用いて、前記秘密鍵を生成することを特徴とす
る。
【0021】請求項9に係る秘密鍵生成方法は、エンテ
ィティを特定する特定情報に基づいて前記エンティティ
の秘密鍵を生成する方法において、前記エンティティの
特定情報に対して一方向性関数を作用させた値に基づき
代数曲線上の点に写像したものと秘密情報とを用いて、
前記秘密鍵を生成することを特徴とする。
【0022】請求項10に係る共通鍵生成方法は、第1
エンティティを特定する特定情報に基づく秘密鍵と通信
相手の第2エンティティを特定する特定情報に基づく公
開鍵とから共通鍵を生成する方法において、前記第1エ
ンティティの特定情報に基づき代数曲線上の点に写像し
たものと秘密情報とを用いて前記秘密鍵を生成し、前記
第2エンティティの特定情報に基づき代数曲線上の点に
写像したものを前記公開鍵とすることを特徴とする。
【0023】請求項11に係る共通鍵生成方法は、請求
項10において、前記代数曲線上で定義されるペアリン
グを使用して前記共通鍵を生成することを特徴とする。
【0024】請求項12に係る共通鍵生成方法は、請求
項6記載の鍵共有方法に基づいて共通鍵を生成する方法
であって、前記数値における逆数の関係を利用して共通
鍵を生成することを特徴とする。
【0025】請求項13に係る暗号通信方法は、センタ
から各エンティティへ各エンティティの秘密鍵を送付
し、一方のエンティティが前記センタから送付された自
身の秘密鍵と他方のエンティティの公開鍵とから求めた
共通鍵を用いて平文を暗号文に暗号化して前記他方のエ
ンティティへ伝送し、前記他方のエンティティが伝送さ
れた暗号文を、前記センタから送付された自身の秘密鍵
と前記一方のエンティティの公開鍵とから求めた、前記
共通鍵と同一の共通鍵を用いて平文に復号することによ
り、エンティティ間で情報の通信を行う暗号通信方法に
おいて、各エンティティを特定する特定情報に基づき代
数曲線上の点に写像したものと前記センタ固有の秘密情
報とを用いて各エンティティの秘密鍵を生成し、各エン
ティティの特定情報に基づき代数曲線上の点に写像した
ものを各エンティティの公開鍵とすることを特徴とす
る。
【0026】請求項14に係る秘密鍵生成器は、エンテ
ィティを特定する特定情報に基づいて前記エンティティ
の秘密鍵を生成する生成器において、前記エンティティ
の特定情報に基づき代数曲線上の点に写像して写像値を
得る手段と、該写像値と秘密情報とを用いて前記秘密鍵
を生成する手段とを備えることを特徴とする。
【0027】請求項15に係る共通鍵生成器は、一方の
エンティティを特定する特定情報に基づく秘密鍵と通信
相手の他方のエンティティを特定する特定情報に基づく
公開鍵とから共通鍵を生成する生成器において、前記他
方のエンティティの特定情報に基づき代数曲線上の点に
写像して前記公開鍵としての写像値を得る手段と、該写
像値と前記秘密鍵とを用いて前記共通鍵を生成する手段
とを備えることを特徴とする。
【0028】請求項16に係る暗号通信システムは、送
信すべき情報である平文を暗号文に暗号化する暗号化処
理、及び、送信された暗号文を平文に復号する復号処理
を、複数のエンティティ間で相互に行うこととし、各エ
ンティティを特定する特定情報に基づいて各エンティテ
ィの秘密鍵を生成して各エンティティへ送付するセンタ
と、該センタから送付された自身の秘密鍵と通信対象の
エンティティの特定情報に基づく公開鍵とを用いて前記
暗号化処理及び復号処理に使用する共通鍵を生成する複
数のエンティティとを有する暗号通信システムにおい
て、前記センタにて、各エンティティの特定情報に基づ
き代数曲線上の点に写像したものと前記センタ固有の秘
密情報とを用いて各エンティティの秘密鍵を生成し、各
エンティティにて、通信対象のエンティティの特定情報
に基づき代数曲線上の点に写像したものを前記公開鍵と
して前記共通鍵を生成するようにしたことを特徴とす
る。
【0029】請求項17に係る記録媒体は、コンピュー
タにエンティティの秘密鍵を生成させるためのプログラ
ムが記録されているコンピュータでの読み取りが可能な
記録媒体において、前記エンティティを特定する特定情
報に基づき代数曲線上の点に写像して前記公開鍵として
の写像値を得ることをコンピュータに実行させるプログ
ラムコード手段と、前記写像値と秘密情報とを用いて前
記秘密鍵を生成することをコンピュータに実行させるプ
ログラムコード手段とを含むプログラムが記録されてい
ることを特徴とする。
【0030】請求項18に係る記録媒体は、コンピュー
タに、暗号通信システムにおける平文から暗号文への暗
号化処理及び暗号文から平文への復号処理に使用する共
通鍵を第1エンティティ側で生成させるためのプログラ
ムが記録されているコンピュータでの読み取りが可能な
記録媒体において、前記第1エンティティの秘密鍵を入
力することをコンピュータに実行させるプログラムコー
ド手段と、通信相手の第2エンティティを特定する特定
情報に基づき代数曲線上の点に写像して前記公開鍵とし
ての写像値を得ることをコンピュータに実行させるプロ
グラムコード手段と、前記写像値と入力した前記秘密鍵
とを用いて前記共通鍵を生成することをコンピュータに
実行させるプログラムコード手段とを含むプログラムが
記録されていることを特徴とする。
【0031】本発明では、各エンティティの特定情報
(ID情報)に基づいて、楕円暗号で利用されている楕
円曲線,超楕円曲線等の代数曲線上の点に写像し、その
写像値を各エンティティの公開鍵とする。この代数曲線
及び写像のアルゴリスムは公開する。センタでは、各エ
ンティティの特定情報(ID情報)に基づき代数曲線上
の点に写像し、その写像値とセンタ自身の秘密情報とを
用いて、各エンティティ固有の秘密鍵を生成し、これを
対応するエンティティへ秘密裏に送付する。各エンティ
ティは、センタから送られる自身固有の秘密鍵と、通信
相手の特定情報(ID情報)に基づき代数曲線上の点に
写像した写像値とを用いて、暗号化処理・復号処理に用
いる共通鍵を生成する。この際、楕円曲線上で定義され
るペアリング(ベイユ(Weil)ペアリング,テイト(Ta
te)ペアリング等) を利用して、予備通信を行うことな
く、両エンティティ間で同一の共通鍵を共有する。本発
明における代数曲線上の点への写像は、各エンティテ
ィ,センタの何れでも可能である。
【0032】本発明では、安全性の根拠を代数曲線上の
離散対数問題(例えば楕円曲線上の離散対数問題、以
下、これを単に楕円離散対数問題という)に置いてい
る。複数のエンティティによる結託攻撃にて本発明の暗
号システムが破られることは、例えば楕円離散対数問題
が解かれることと等価であるかまたはそれ以上に困難で
あり、その安全性は極めて高い。
【0033】
【発明の実施の形態】本発明の実施の形態について具体
的に説明する。図1は、本発明の暗号通信システムの構
成を示す模式図である。情報の隠匿を信頼できるセンタ
1が設定されており、このセンタ1としては、例えば社
会の公的機関を該当できる。このセンタ1と、この暗号
通信システムを利用するユーザとしての複数の各エンテ
ィティA,B,…,Zとは、秘密通信路2a,2b,
…,2zにより接続されており、これらの秘密通信路2
a,2b,…,2zを介してセンタ1から秘密の鍵情報
(秘密鍵Sa ,Sb ,…,Sz )が各エンティティA,
B,…,Zへ伝送されるようになっている。また、2人
のエンティティの間には通信路3ab,3az,3bz,…が
設けられており、この通信路3ab,3az,3bz,…を介
して通信情報を暗号化した暗号文が互いのエンティティ
間で伝送されるようになっている。
【0034】以下、代数曲線として楕円曲線を用いる場
合の本発明における基本方式について説明する。まず、
本発明で用いる楕円曲線のベイユペアリングの基本的性
質を述べる。ベイユペアリングは、楕円曲線上の点がな
す群E/Fq から有限体上Fd (但し、d=qk )の乗
法群への写像である。ベイユペアリングには、以下に示
すよう双線形性と交換則とが成り立つ。なお、<,>は
ベイユペアリングを表し、P,P 1 ,P2 ,Q,Q1
2 は楕円曲線上の点を示す。
【0035】(双線形性) <P1 +P2 ,Q>=<P1 ,Q><P2 ,Q> <P,Q1 +Q2 >=<P,Q1 ><P,Q2 > (交換則) <P,Q>=<Q,P>-1 双線形性を有するので、mを整数とした場合、以下のよ
うな等式が成立する。 <mP,Q>=<P,Q>m <P,mQ>=<P,Q>m
【0036】ベイユペアリングに基づく鍵共有法を以下
に説明する。 (センタ1での秘密鍵生成)任意のエンティティAの名
前,住所,電話番号,メールアドレス等の特定情報(I
D情報)をIDa とする。センタ1は、ベイユペアリン
グのアルゴリズム<,>と任意のエンティティAのID
情報IDa を楕円曲線上の点Pa ∈E/Fqに変換して
(写像して)公開鍵を求める関数f()とを公開する。
また、センタ1は、秘密の乱数rを生成し、この乱数r
とエンティティAの公開鍵Pa とを用いて下記(1)の
ようにエンティティAの秘密鍵Sa を求め、求めた秘密
鍵Saを秘密裏にエンティティAへ配布する。 Sa =rPa …(1)
【0037】以上のような秘密情報,公開情報をまとめ
ると、次のようになる。 センタ1の公開情報 :<,>,f() センタ1の秘密情報 :r(ランダムな整数) エンティティAの公開鍵:Pa (=f(IDa )) エンティティAの秘密鍵:Sa (=r・f(IDa ))
【0038】(エンティティA,Bでの共通鍵生成)各
エンティティは、センタ1から配布された自身の秘密鍵
と通信相手であるエンティティの公開鍵とから、楕円曲
線上でのベイユペアリングを利用して、共通鍵を生成す
る。 (第1例)エンティティAのID情報IDa とエンティ
ティBのID情報IDb との間での大小比較を行えるア
ルゴリスムを設定し、ペアリングを計算する際にその大
小情報を用いてペアリングの順序を適切に設定する。こ
のアルゴリスムとしては、辞書式または2進数で表した
ときの大小などが可能である。なお、ペアリングの順序
を設定する方法として、ID情報IDa ,IDb を変換
(写像)した後の公開鍵Pa ,Pb の大小情報を用いる
ことも可能である。
【0039】例えば、IDa >IDb である場合、エン
ティティAは、自身の秘密鍵Sa と、エンティティBの
ID情報IDb を楕円曲線に写像した公開鍵Pb とを用
いて、下記(2)に従って共通鍵Kabを生成する。
【0040】一方、IDa >IDb である場合、エンテ
ィティBは、エンティティAのID情報IDa を楕円曲
線に写像した公開鍵Pa と自身の秘密鍵Sb とを用い
て、下記(3)に従って共通鍵Kbaを生成する。 よって、エンティティAが生成する共通鍵Kabとエンテ
ィティBが生成する共通鍵Kbaとは一致して、両エンテ
ィティA,B間で共通鍵を共有できる。
【0041】以下に、上記のようなID情報の大小関係
を設定しないで鍵共有を可能とする2つの例について説
明する。
【0042】(第2例)x,yに関する対称関数g
(x,y)(但し、g(x,y)=xyは除く)を設定
する。以下の例では、g(x,y)=x+yとする。エ
ンティティAは、g(x,y)=x+yに従って下記
(4)のように、共通鍵Kab=kab+kbaを生成する。 Kab=kab+kba =<Sa ,Pb >+<Pb ,Sa > =<rPa ,Pb >+<Pb ,rPa > =<Pa ,Pb r +<Pb ,Pa r …(4)
【0043】一方、エンティティBは、g(x,y)=
x+yに従って下記(5)のように、共通鍵Kba=kba
+kabを生成する。 Kba=kba+kab =<Sb ,Pa >+<Pa ,Sb > =<rPb ,Pa >+<Pa ,rPb > =<Pb ,Pa r +<Pa ,Pb r …(5) よって、エンティティAが生成する共通鍵Kabとエンテ
ィティBが生成する共通鍵Kbaとは一致して、両エンテ
ィティA,B間で共通鍵を共有できる。なお、他の種類
の対称関数g(x,y)を利用しても、同様に鍵共有が
可能である。
【0044】(第3例)エンティティAは、第2例で示
したkabを用いて、下記(6)のように、共通鍵Kab
ab+kab -1を生成する。 Kab=kab+kab -1 =<Sa ,Pb >+<Sa ,Pb -1 =<rPa ,Pb >+<rPa ,Pb -1 =<Pa ,Pb r +<Pa ,Pb -r …(6)
【0045】エンティティBは、第2例で示したkba
用いて、下記(7)のように、共通鍵Kba=kba+kba
-1を生成する。 Kba=kba+kba -1 =<Sb ,Pa >+<Sb ,Pa -1 =<rPb ,Pa >+<rPb ,Pa -1 =<Pb ,Pa r +<Pb ,Pa -r =<Pa ,Pb -r+<Pa ,Pb r …(7) よって、エンティティAが生成する共通鍵Kabとエンテ
ィティBが生成する共通鍵Kbaとは一致して、両エンテ
ィティA,B間で共通鍵を共有できる。
【0046】(第4例)エンティティAは、自身の秘密
鍵Sa とエンティティBの公開鍵Pb とを用いて、下記
(8)のようにして、中間鍵Iabを生成する。
【0047】エンティティBは、自身の秘密鍵Sb とエ
ンティティAの公開鍵Pa とを用いて、下記(9)のよ
うにして、中間鍵Ibaを生成する。
【0048】ここで、ベイユペアリングにおける前述し
た(交換則)により、Iab×Iba=1の関係が成立する
ことが分かる。このような逆数の関係を利用して、両エ
ンティティA,B間で鍵共有を行うことも可能である。
【0049】以上のようにして、ベイユペアリングを利
用して、各エンティティ間で等しい共通鍵を容易に生成
できる。
【0050】なお、上述した例では、エンティティAの
ID情報IDa から直接に写像点P a を求めるようにし
たが、一方向性関数を用いてID情報IDa を変換し、
その変換値から写像点Pa を求めるようにしても良い。
この際、一方向性関数の例としてハッシュ関数h()を
用いた場合、公開鍵Pa =f(h(IDa )),秘密鍵
a =r・f(h(IDa ))となる。
【0051】エンティティが、センタ1の秘密情報rを
求めることを困難にするためには、次の2つの条件が必
要である。 (条件1)qを2160 以上に設定すること。 (条件2)#E/Fq |qk −1かつqk >21024を満
たすような整数kが存在すること。
【0052】(条件1)は、楕円離散対数問題を求める
ことを困難にするために必要である。(条件2)は、有
限体Fd (但し,d=qk )の離散対数問題を求めるこ
とを困難にするために必要である。
【0053】次に、上述した鍵共有方式を利用した暗号
システムにおけるエンティティ間の情報通信について説
明する。図2は、2人のエンティティA,B間における
情報の通信状態を示す模式図である。図2の例は、エン
ティティAが平文(メッセージ)Mを暗号文Cに暗号化
してそれをエンティティBへ伝送し、エンティティBが
その暗号文Cを元の平文(メッセージ)Mに復号する場
合を示している。
【0054】センタ1には、関数f()を用いて、各エ
ンティティA,BのID情報IDa,IDb を楕円曲線
に写像した写像位置である公開鍵Pa ,Pb を得る公開
鍵生成器1aと、その公開鍵Pa ,Pb とセンタ固有の
秘密情報rとを用いて各エンティティA,Bの秘密鍵S
a ,Sb を求める秘密鍵生成器1bとが備えられてい
る。そして、センタ1から各エンティティA,Bへ、前
記(1)に従って生成された秘密鍵Sa ,Sb が送付さ
れる。
【0055】エンティティA側には、エンティティBの
ID情報IDb を入力し、それを楕円曲線に写像した写
像位置である公開鍵Pb を得る公開鍵生成器11と、セ
ンタ1から送られる秘密鍵Sa と公開鍵生成器11から
の公開鍵Pb とに基づいてエンティティAが求めるエン
ティティBとの共通鍵Kabを生成する共通鍵生成器12
と、共通鍵Kabを使用して平文(メッセージ)Mを暗号
文Cに暗号化して通信路30へ出力する暗号化器13と
が備えられている。
【0056】また、エンティティB側には、エンティテ
ィAのID情報IDa を入力し、それを楕円曲線に写像
した写像位置である公開鍵Pa を得る公開鍵生成器21
と、センタ1から送られる秘密鍵Sb と公開鍵生成器2
1からの公開Pa とに基づいてエンティティBが求める
エンティティAとの共通鍵Kbaを生成する共通鍵生成器
22と、通信路30から入力した暗号文Cを共通鍵Kba
を使用して平文(メッセージ)Mに復号して出力する復
号器23とが備えられている。
【0057】次に、動作について説明する。エンティテ
ィAからエンティティBへ情報を伝送しようとする場
合、まず、エンティティBのID情報IDb が公開鍵生
成器11に入力されて公開鍵Pb が得られ、得られた公
開鍵Pb が共通鍵生成器12へ送られる。また、センタ
1から秘密鍵Sa が共通鍵生成器12へ入力される。そ
して、前記(2),(4)または(6)に従って共通鍵
abが求められて、暗号化器13へ送られる。暗号化器
13において、この共通鍵Kabを用いて平文(メッセー
ジ)Mが暗号文Cに暗号化され、暗号文Cが通信路30
を介して伝送される。
【0058】通信路30を伝送された暗号文Cはエンテ
ィティBの復号器23へ入力される。エンティティAの
ID情報IDa が公開鍵生成器21に入力されて公開鍵
aが得られ、得られた公開鍵Pa が共通鍵生成器22
へ送られる。また、センタ1から秘密鍵Sb が共通鍵生
成器22へ入力される。そして、前記(3),(5)ま
たは(7)に従って共通鍵Kbaが求められて、復号器2
3へ送られる。復号器23において、この共通鍵Kba
用いて暗号文Cが平文(メッセージ)Mに復号される。
【0059】次に、本発明における安全性について説明
する。本発明の安全性は、楕円離散対数問題と後述する
ようにこれと等価である拡張楕円離散対数問題とに基づ
いている。
【0060】〔楕円離散対数問題と拡張楕円離散対数問
題との等価性〕通常の楕円離散対数問題とは、楕円曲線
E上の任意の点Pとそのr倍点Q=rPが与えられてい
る場合に、P,Qからrを求める問題である。ここで、
下記(10)のように、楕円曲線上の任意の点Pi (1≦
i≦n−1)とその点Pi に基づくQが与えられている
場合に、ある1組のri (1≦i≦n−1)を求める問
題を拡張楕円離散対数問題と定義する。楕円離散対数問
題と拡張楕円離散対数問題との等価性について考察す
る。なお、議論の簡単化のために楕円曲線は素数位数p
とする。
【0061】
【数1】
【0062】(楕円離散対数問題から拡張楕円離散対数
問題への帰着)楕円離散対数問題がベースポイントPを
基準として解けると仮定する。Pi (1≦i≦n−1)
及びQは、夫々楕円曲線上のベースポイントPを基準と
して係数を、下記(11)のように求めることができる。
【0063】
【数2】
【0064】係数ri ′,r′をFp の元として、下記
(12)の不定方程式を解くことにより、ri (1≦i≦
n−1)を求めることが可能である。よって、拡張楕円
離散対数問題を解くことができる。
【0065】
【数3】
【0066】(拡張楕円離散対数問題から楕円離散対数
問題への帰着)任意の拡張楕円離散対数問題が解けると
仮定する。ここで、楕円曲線上の点P i (1≦i≦n)
に対して、下記(13)で示される拡張楕円離散対数問題
を解き、これを行列を用いて表すと下記(14)のように
なる。
【0067】
【数4】
【0068】上記(14)の行列について係数のみを抜き
出すと下記(15)のような関係式が得られ、下記(16)
のように変形可能である。
【0069】
【数5】
【0070】上記(16)から分かるように、点Pi (1
≦i≦n−1)はPn の定数倍で表すことが可能であ
る。即ち、拡張楕円離散対数問題を解くことによって、
i =ri ′Pn を満たすri ′を求めることができ
る。以上のことから、楕円離散対数問題と拡張楕円離散
対数問題とは等価になる。
【0071】〔センタの秘密情報に関する安全性〕エン
ティティCの公開鍵Pc と秘密鍵Sc とからセンタの秘
密情報rを得ることは、楕円離散対数問題を解くことと
等価であって、困難である。エンティティAの公開鍵P
a とエンティティBの公開鍵Pb とから<Pa ,P b
を計算し、これと共通鍵Kab=<Pa ,Pb r とから
rを得ることは離散対数問題を解くことと等価であっ
て、困難である。よって、どのエンティティもセンタの
秘密情報rを求めることができない。
【0072】〔エンティティの秘密鍵に関する安全性〕
n人のエンティティが結託してエンティティCの秘密鍵
c を偽造する攻撃について考察する。エンティティC
の公開鍵Pc が下記(17)のように他のエンティティの
公開鍵の線形結合によって表すことが可能であると仮定
すると、前記(1)にこの線形結合を代入すると、下記
(18)の関係式が成立するので、エンティティCの秘密
鍵Sc が露呈する。 Pc =u1 1 +u2 2 +・・・+un n …(17) Sc =rPc =r(u1 1 +u2 2 +・・・+un n ) =u1 (rP1 )+u2 (rP2 )+・・・+un (rPn ) =u1 1 +u2 2 +・・・+un n …(18)
【0073】しかし、上記(17)での係数ui を得るに
は拡張楕円離散対数問題を解く必要があり、このような
攻撃は困難であるといえる。よって、安全性は拡張楕円
離散対数問題を解くことの難しさに基づいている。
【0074】ここで、この秘密鍵の安全性について更に
詳述する。拡張楕円離散対数問題は、PをE/Fq 上の
任意の点、(G1 ,G2 )をE/Fq の生成元とした場
合に、下記(19)において係数u1 ,u2 を求める問題
である。 P=u1 1 +u2 2 …(19)
【0075】G1 ,G2 の次数を#(G1 ),#
(G2 )と定義する。但し、#(G1 )|#(G2 )と
する。拡張楕円離散対数問題が解けるとすれば、P=u
1 1 +u 2 2 での係数u1 ,u2 及びQ=v1 1
+v2 2 での係数v1 ,v2 は求まり、楕円離散対数
問題Q=rPは、下記(20)のように解ける。
【0076】
【数6】
【0077】上記(17)を解く問題と拡張楕円離散対数
問題との等価性について考察する。上記(17)が解けた
とすると、下記(21)のri,j を求めることができる。
【0078】
【数7】
【0079】そして、下記(22)の式において、左辺の
(n−2)×(n−2)の行列式が、Pn-1 =G1 ,P
n =G2 である#(G2 )に素であるという仮定のもと
で、その下記(22)の式を解くことができる。行列式が
#(G2 )に素でない場合には、上記(21)の別の解r
i,j を選択できる。
【0080】
【数8】
【0081】この結果、上記(17)が解けるとすれば、
下記(23)に示すPi と(G1 ,G 2 )との拡張楕円離
散対数問題も解ける。
【0082】
【数9】
【0083】これとは逆に、拡張楕円離散対数問題が解
ければ、上記(17)が解けることを示す。Pi
(G1 ,G2 )との拡張楕円離散対数問題を下記(24)
のように定義し、PC と(G1 ,G2 )との拡張楕円離
散対数問題を下記(25)のように定義すると、下記(2
6)に示すような関係が成立する。
【0084】
【数10】
【0085】vj とri,j が与えられている場合には、
i が解けることは明らかである。よって、上記(17)
を解く問題と拡張楕円離散対数問題とは等価である。ま
た、楕円曲線の群が周期的である場合、拡張楕円離散対
数問題が楕円離散対数問題と等価であることは明らかで
ある。よって、この場合、上記(17)を解く問題は楕円
離散対数問題と等価になる。
【0086】〔エンティティ間の共通鍵に関する安全
性〕n人のエンティティの結託により、エンティティ
A,エンティティC間の共通鍵を偽造する攻撃について
考察する。エンティティCの公開鍵Pc が上記(17)の
ように他のエンティティの公開鍵の線形結合によって表
すことが可能であると仮定すると、下記(27),(28)
のように、両エンティティA,C間の共通鍵K ac,Kca
が露呈する。エンティティCの秘密鍵Sc が線形結合に
より書き表せる場合も同様に考えられる。
【0087】
【数11】
【0088】しかしながら、上記(17)での係数ui
求めるには拡張楕円離散対数問題を解くことになり、こ
のような攻撃は困難である。
【0089】もし、エンティティAが自身の公開鍵
a ,秘密鍵Sa から他のエンティティ間の共通鍵Kbc
を偽造しようとしても不可能である。なぜなら、秘密鍵
b ,S c はエンティティB,Cの秘密情報であり、そ
れらは秘密情報rなしでは求められないからである。よ
って、どのエンティティも共通鍵Kbcを偽造できない。
【0090】秘密鍵Sb ,Sc なしに結託エンティティ
Iの秘密鍵Si から共通鍵Kbcを求める結託攻撃は、秘
密鍵Si から秘密鍵Sb ,Sc を求める場合と同じ問題
になる。また、結託エンティティI,J間の共通鍵Kij
から共通鍵Kbcを求める結託攻撃は、センタの秘密情報
rを知らないので、困難な問題となる。共通鍵Kbcを求
める問題は、Diffe-Hellman 型問題に帰着する。
【0091】ところで、エンティティAは共通鍵Kab
acを算出することが可能であるので、共通鍵Kab,K
acから共通鍵Kbcを求めることができるとすれば、エン
ティティAは他エンティティ間の共通鍵を偽造可能であ
る。しかし、このような攻撃法は本発明には適用困難で
ある。
【0092】以下、本発明の他の実施の形態である、各
エンティティのID情報をベクトルに拡張した鍵共有方
式について説明する。
【0093】エンティティAのID情報であるベクトル
a を下記(29)のように表す。 ベクトルPa =(Pa1,Pa2,・・・,Pan) …(29) また、センタ1の秘密情報としてn×nの対称行列Rを
下記(30)のように設定する。
【0094】
【数12】
【0095】センタ1は、このベクトルPa 及び対称行
列Rを用い、下記(31)に従って、エンティティAの秘
密鍵(ベクトルSa )を求め、求めた秘密鍵を秘密裏に
エンティティAへ送付する。
【0096】
【数13】
【0097】エンティティAは、エンティティBとの共
通鍵Kabを下記(32)に従って生成する。但し、点と点
との積はベイユペアリングの値とする。
【0098】
【数14】
【0099】また、エンティティBは、エンティティA
との共通鍵Kbaを同様に生成する。そして、前述した実
施の形態の第1例のように各エンティティA,B間のI
D情報の大小関係を考慮するようにした場合には、Kab
=Kbaとなり、同一の共通鍵を共有し合うことができ
る。
【0100】次に、この実施の形態における安全性につ
いて考察する。 〔センタの秘密情報に関する安全性〕エンティティCの
公開鍵ベクトルPc と秘密鍵ベクトルSc とからセンタ
の秘密行列Rを得ることは、拡張楕円離散対数問題を解
くことと等価であって、困難である。エンティティAの
公開鍵ベクトルPa とエンティティBの公開鍵ベクトル
bとから<Pai,Pbj>(1≦i,j≦n)を計算
し、これと下記(33)に示す共通鍵Kabとから行列Rの
各成分rij(1≦i,j≦n)を得ることは、拡張楕円
離散対数問題が楕円離散対数問題とが等価であることと
同様に、拡張離散対数問題と離散対数問題とで等価であ
る。
【0101】
【数15】
【0102】以上のことから、センタ1の秘密情報(対
称行列R)は露呈しない。
【0103】〔エンティティの秘密鍵に関する安全性〕
n人のエンティティが結託してエンティティCの秘密鍵
ベクトルSc を偽造する攻撃について考察する。エンテ
ィティCの公開鍵ベクトルPc が下記(34)のように他
のエンティティの公開鍵ベクトルの線形結合によって表
すことが可能であると仮定すると、前記(31)にこの線
形結合を代入すると、下記(35)の関係式が成立するの
で、エンティティCの秘密鍵ベクトルSc が露呈する。
【0104】
【数16】
【0105】しかし、前記(31)での成分を得るには拡
張楕円離散対数問題を解く必要があり、このような攻撃
は困難であるといえる。よって、安全性は拡張楕円離散
対数問題を解くことの難しさに基づいている。
【0106】〔エンティティ間の共通鍵に関する安全
性〕n人のエンティティの結託により、エンティティ
A,エンティティC間の共通鍵を偽造する攻撃について
考察する。エンティティCの公開鍵ベクトルPc が上記
(34)のように他のエンティティの公開鍵ベクトルの線
形結合によって表すことが可能であると仮定すると、下
記(36),(37)のように、両エンティティA,C間の
共通鍵Kac,Kcaが露呈する。エンティティCの秘密鍵
ベクトルSc が線形結合により書き表せる場合も同様に
考えられる。
【0107】
【数17】
【0108】しかしながら、上記(34)での係数ui
求めるには拡張楕円離散対数問題を解くことになり、こ
のような攻撃は困難である。
【0109】また、この実施の形態にあっても、上述し
た実施の形態と同様に、あるエンティティが自身の共通
鍵から他のエンティティ同士間の共通鍵を生成すること
は困難である。
【0110】なお、エンティティのID情報をn×nの
対称行列に拡張することも可能である。この場合、共通
鍵行列kab=(sij)と共通鍵行列kba=(tji)と
は、下記(38)の関係を満たす。 sij=tji -1 …(38)
【0111】なお、上述した例ではベイユペアリングを
用いる場合について説明したが、楕円曲線上のペアリン
グとしてテイト(Tate)ペアリングを利用する場合
にあっても、同様に両エンティティ間で鍵共有を行え
る。
【0112】また、ベイユペアリング及びテイトペアリ
ングの何れの場合にあっても、鍵共有を行う際のペアリ
ング<P,Q>において、点Pの座標と点Qの座標とが
異なる体に属するようにペアリングの計算を拡張するこ
とができる。また、点Pの座標を小さな体で定義すると
ペアリングの計算を高速に行うことができる。
【0113】楕円曲線の定義体を変更する利点は、確実
に共通鍵が1とならないようにできるという点、及び、
高速に計算できるという点である。楕円曲線の定義体を
変更する場合、つまり、2通りの定義体を用いる場合に
は、2通りの公開鍵への対応のさせ方が必要である。従
来のID−NIKSでは、エンティティがID情報によ
って決まる1通りの公開鍵と自身の秘密鍵とを用いて鍵
共有を行っているが、この方式では、ID情報に基づい
て、定義体が異なる同一の楕円曲線上の点へ、2通りの
異なるやり方によって公開鍵を写像し、ID情報または
公開鍵に基づき、一方のエンティティが何れか一方の定
義体による公開鍵を使用し、他方のエンティティが他方
の定義体による公開鍵を使用して、鍵共有を行う。
【0114】全エンティティを2つのグループG1 ,G
2 に分ける。グループG1 に属するエンティティはPを
含む群の元を、グループG2 に属するエンティティはQ
を含む群の元を夫々ID情報として用いることにより、
グループG1 のエンティティとグループG2 のエンティ
ティとにおいて鍵を共有することが可能である。各エン
ティティが2種類のID情報を有しており、エンティテ
ィAとエンティティBとの各ID情報に何らかの大小関
係を示すアルゴリズムを設定し、何れのエンティティが
どちらのID情報を使用するかを決定することにより、
鍵の共有化を行える。各エンティティが2種類のID情
報を有しており、両エンティティ間で2種類の値を計算
し、その2つの計算値を足し合わせる等、同じ値になる
演算を用いて共通鍵を生成する。Pを含む群の元とQを
含む群の元との間の変換を適切に定め、その変換をシス
テム固有の公開情報として用いることにより、鍵の共有
化が可能である。
【0115】なお、上述した例では代数曲線として楕円
曲線を用いる場合について説明したが、超楕円曲線を用
いる場合にあっても、超楕円離散対数問題及びペアリン
グを定義できるので、簡単に拡張することができる。
【0116】図3は、本発明の記録媒体の実施の形態の
構成を示す図である。ここに例示するプログラムは、各
エンティティのID情報とセンタ固有の秘密情報とに基
づき前述した手法にて各エンティティ固有の秘密鍵を生
成する処理(エンティティのID情報に基づき楕円曲線
上の点に写像して写像値を得るステップと、その写像値
とセンタ固有の秘密情報とを用いて秘密鍵を生成するス
テップ)を含むか、または、エンティティ自身の秘密鍵
と通信相手のエンティティの公開鍵とに基づき前述した
手法にて共通鍵を生成する処理(通信相手のエンティテ
ィのID情報に基づき楕円曲線上の点に写像して写像値
を得るステップと、その写像値とエンティティ自身の秘
密鍵とを用いて共通鍵を生成するステップ)を含んでお
り、以下に説明する記録媒体に記録されている。なお、
コンピュータ40は、センタ1側か、または、各エンテ
ィティ側に設けられている。
【0117】図3において、コンピュータ40とオンラ
イン接続する記録媒体41は、コンピュータ40の設置
場所から隔たって設置される例えばWWW(World Wide
Web)のサーバコンピュータを用いてなり、記録媒体41
には前述の如きプログラム41aが記録されている。記
録媒体41から読み出されたプログラム41aがコンピ
ュータ40を制御することにより、各エンティティ固有
の秘密鍵を生成するか、または、両エンティティ間の共
通鍵を生成する。
【0118】コンピュータ40の内部に設けられた記録
媒体42は、内蔵設置される例えばハードディスクドラ
イブまたはROM等を用いてなり、記録媒体42には前
述の如きプログラム42aが記録されている。記録媒体
42から読み出されたプログラム42aがコンピュータ
40を制御することにより、各エンティティ固有の秘密
鍵を生成するか、または、両エンティティ間の共通鍵を
生成する。
【0119】コンピュータ40に設けられたディスクド
ライブ40aに装填して使用される記録媒体43は、運
搬可能な例えば光磁気ディスク,CD−ROMまたはフ
レキシブルディスク等を用いてなり、記録媒体43には
前述の如きプログラム43aが記録されている。記録媒
体43から読み出されたプログラム43aがコンピュー
タ40を制御することにより、各エンティティ固有の秘
密鍵を生成するか、または、両エンティティ間の共通鍵
を生成する。
【0120】
【発明の効果】以上詳述したように、本発明では、各エ
ンティティのID情報から生成する公開鍵を楕円曲線上
で写像するようにしたので、予備通信を行うことなく両
エンティティ間で容易に共通鍵を共有し合うことができ
る。また、本発明ではその安全性が代数曲線上の離散対
数問題に置かれており、結託攻撃などの攻撃に対して強
く、ID−NIKSの発展に本発明は寄与できる。
【図面の簡単な説明】
【図1】本発明の暗号通信システムの構成を示す模式図
である。
【図2】2人のエンティティ間における情報の通信状態
を示す模式図である。
【図3】記録媒体の実施の形態の構成を示す図である。
【図4】ID−NIKSのシステムの原理構成図であ
る。
【符号の説明】
1 センタ 11,21 公開鍵生成器 12,22 共通鍵生成器 13 暗号化器 23 復号器 30 通信路 40 コンピュータ 41,42,43 記録媒体 A,B,Z エンティティ
フロントページの続き (72)発明者 境 隆一 京都府京都市山科区四ノ宮柳山町8 (72)発明者 笠原 正雄 大阪府箕面市粟生外院4丁目15番3号 Fターム(参考) 5J104 AA16 AA41 EA01 EA04 EA19 EA25 EA26 EA30 EA33 JA03 MA06 NA02 NA16 NA31 NA32 NA36

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】 エンティティ自身の秘密鍵と相手エンテ
    ィティの公開鍵とを用いて予備通信なしに鍵共有を行う
    方法において、前記相手エンティティを特定する特定情
    報に基づき代数曲線上の点に写像したものを前記公開鍵
    とすることを特徴とする鍵共有方法。
  2. 【請求項2】 両エンティティを夫々特定する特定情報
    に基づき前記両エンティティ間で予備通信なしに鍵共有
    を行う方法において、代数曲線上で定義されるペアリン
    グを使用することを特徴とする鍵共有方法。
  3. 【請求項3】 両エンティティを夫々特定する特定情報
    に基づき前記両エンティティ間で予備通信なしに鍵共有
    を行う方法において、一方のエンティティの特定情報に
    基づき代数曲線上の点に写像したものと秘密情報とから
    生成された秘密鍵と、他方のエンティティの特定情報に
    基づき前記代数曲線上の点に写像してなる公開鍵とを用
    い、前記楕円曲線上で定義されるペアリングを使用して
    鍵共有を行うことを特徴とする鍵共有方法。
  4. 【請求項4】 前記ペアリングは、ベイユペアリングま
    たはテイトペアリングである請求項2または3記載の鍵
    共有方法。
  5. 【請求項5】 前記代数曲線はその上で定義される離散
    対数問題を多項式時間で解くことができない請求項1〜
    4の何れかに記載の鍵共有方法。
  6. 【請求項6】 一方のエンティティと他方のエンティテ
    ィとで鍵共有を行う際の夫々のエンティティでの演算処
    理の過程にあって、互いに逆数の関係になる数値を生成
    し合う請求1〜5の何れかに記載の鍵共有方法。
  7. 【請求項7】 前記各エンティティの特定情報に基づい
    て複数の公開鍵を生成する請求1〜6の何れかに記載の
    鍵共有方法。
  8. 【請求項8】 エンティティを特定する特定情報に基づ
    いて前記エンティティの秘密鍵を生成する方法におい
    て、前記エンティティの特定情報に基づき代数曲線上の
    点に写像したものと秘密情報とを用いて、前記秘密鍵を
    生成することを特徴とする秘密鍵生成方法。
  9. 【請求項9】 エンティティを特定する特定情報に基づ
    いて前記エンティティの秘密鍵を生成する方法におい
    て、前記エンティティの特定情報に対して一方向性関数
    を作用させた値に基づき代数曲線上の点に写像したもの
    と秘密情報とを用いて、前記秘密鍵を生成することを特
    徴とする秘密鍵生成方法。
  10. 【請求項10】 第1エンティティを特定する特定情報
    に基づく秘密鍵と通信相手の第2エンティティを特定す
    る特定情報に基づく公開鍵とから共通鍵を生成する方法
    において、前記第1エンティティの特定情報に基づき代
    数曲線上の点に写像したものと秘密情報とを用いて前記
    秘密鍵を生成し、前記第2エンティティの特定情報に基
    づき代数曲線上の点に写像したものを前記公開鍵とする
    ことを特徴とする共通鍵生成方法。
  11. 【請求項11】 前記代数曲線上で定義されるペアリン
    グを使用して前記共通鍵を生成する請求項10記載の共
    通鍵生成方法。
  12. 【請求項12】 請求項6記載の鍵共有方法に基づいて
    共通鍵を生成する方法であって、前記数値における逆数
    の関係を利用して共通鍵を生成することを特徴とする共
    通鍵生成方法。
  13. 【請求項13】 センタから各エンティティへ各エンテ
    ィティの秘密鍵を送付し、一方のエンティティが前記セ
    ンタから送付された自身の秘密鍵と他方のエンティティ
    の公開鍵とから求めた共通鍵を用いて平文を暗号文に暗
    号化して前記他方のエンティティへ伝送し、前記他方の
    エンティティが伝送された暗号文を、前記センタから送
    付された自身の秘密鍵と前記一方のエンティティの公開
    鍵とから求めた、前記共通鍵と同一の共通鍵を用いて平
    文に復号することにより、エンティティ間で情報の通信
    を行う暗号通信方法において、各エンティティを特定す
    る特定情報に基づき代数曲線上の点に写像したものと前
    記センタ固有の秘密情報とを用いて各エンティティの秘
    密鍵を生成し、各エンティティの特定情報に基づき代数
    曲線上の点に写像したものを各エンティティの公開鍵と
    することを特徴とする暗号通信方法。
  14. 【請求項14】 エンティティを特定する特定情報に基
    づいて前記エンティティの秘密鍵を生成する生成器にお
    いて、前記エンティティの特定情報に基づき代数曲線上
    の点に写像して写像値を得る手段と、該写像値と秘密情
    報とを用いて前記秘密鍵を生成する手段とを備えること
    を特徴とする秘密鍵生成器。
  15. 【請求項15】 一方のエンティティを特定する特定情
    報に基づく秘密鍵と通信相手の他方のエンティティを特
    定する特定情報に基づく公開鍵とから共通鍵を生成する
    生成器において、前記他方のエンティティの特定情報に
    基づき代数曲線上の点に写像して前記公開鍵としての写
    像値を得る手段と、該写像値と前記秘密鍵とを用いて前
    記共通鍵を生成する手段とを備えることを特徴とする共
    通鍵生成器。
  16. 【請求項16】 送信すべき情報である平文を暗号文に
    暗号化する暗号化処理、及び、送信された暗号文を平文
    に復号する復号処理を、複数のエンティティ間で相互に
    行うこととし、各エンティティを特定する特定情報に基
    づいて各エンティティの秘密鍵を生成して各エンティテ
    ィへ送付するセンタと、該センタから送付された自身の
    秘密鍵と通信対象のエンティティの特定情報に基づく公
    開鍵とを用いて前記暗号化処理及び復号処理に使用する
    共通鍵を生成する複数のエンティティとを有する暗号通
    信システムにおいて、前記センタにて、各エンティティ
    の特定情報に基づき代数曲線上の点に写像したものと前
    記センタ固有の秘密情報とを用いて各エンティティの秘
    密鍵を生成し、各エンティティにて、通信対象のエンテ
    ィティの特定情報に基づき代数曲線上の点に写像したも
    のを前記公開鍵として前記共通鍵を生成するようにした
    ことを特徴とする暗号通信システム。
  17. 【請求項17】 コンピュータにエンティティの秘密鍵
    を生成させるためのプログラムが記録されているコンピ
    ュータでの読み取りが可能な記録媒体において、前記エ
    ンティティを特定する特定情報に基づき代数曲線上の点
    に写像して前記公開鍵としての写像値を得ることをコン
    ピュータに実行させるプログラムコード手段と、前記写
    像値と秘密情報とを用いて前記秘密鍵を生成することを
    コンピュータに実行させるプログラムコード手段とを含
    むプログラムが記録されていることを特徴とする記録媒
    体。
  18. 【請求項18】 コンピュータに、暗号通信システムに
    おける平文から暗号文への暗号化処理及び暗号文から平
    文への復号処理に使用する共通鍵を第1エンティティ側
    で生成させるためのプログラムが記録されているコンピ
    ュータでの読み取りが可能な記録媒体において、前記第
    1エンティティの秘密鍵を入力することをコンピュータ
    に実行させるプログラムコード手段と、通信相手の第2
    エンティティを特定する特定情報に基づき代数曲線上の
    点に写像して前記公開鍵としての写像値を得ることをコ
    ンピュータに実行させるプログラムコード手段と、前記
    写像値と入力した前記秘密鍵とを用いて前記共通鍵を生
    成することをコンピュータに実行させるプログラムコー
    ド手段とを含むプログラムが記録されていることを特徴
    とする記録媒体。
JP2000335166A 2000-05-02 2000-11-01 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体 Expired - Fee Related JP4450969B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000335166A JP4450969B2 (ja) 2000-05-02 2000-11-01 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000133471 2000-05-02
JP2000-133471 2000-05-02
JP2000335166A JP4450969B2 (ja) 2000-05-02 2000-11-01 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体

Publications (2)

Publication Number Publication Date
JP2002026892A true JP2002026892A (ja) 2002-01-25
JP4450969B2 JP4450969B2 (ja) 2010-04-14

Family

ID=26591416

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000335166A Expired - Fee Related JP4450969B2 (ja) 2000-05-02 2000-11-01 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体

Country Status (1)

Country Link
JP (1) JP4450969B2 (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003298568A (ja) * 2002-03-21 2003-10-17 Docomo Communications Laboratories Usa Inc 鍵供託を使用しない、認証された個別暗号システム
JP2005500740A (ja) * 2001-08-13 2005-01-06 ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ Idベース暗号化および関連する暗号手法のシステムおよび方法
JP2006163164A (ja) * 2004-12-09 2006-06-22 Hitachi Ltd Idベース署名及び暗号化システムおよび方法
JP2006184831A (ja) * 2004-12-28 2006-07-13 Nippon Telegr & Teleph Corp <Ntt> 鍵生成装置、暗号化装置、検査装置、復号化装置並びに鍵生成プログラム、暗号化プログラム、検査プログラム、復号化プログラム
JP2007325318A (ja) * 2007-09-03 2007-12-13 Murata Mach Ltd 署名システム
JP2008519303A (ja) * 2004-11-04 2008-06-05 フランス テレコム 双線形アプリケーションの計算の安全化された委託方法
JP2009105633A (ja) * 2007-10-23 2009-05-14 Ntt Software Corp メッセージ認証装置、認証センタ装置、及びメッセージ認証システム
JP2009211109A (ja) * 2009-06-26 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> 部分群上元判定方法及び装置及びプログラム
JP2011228777A (ja) * 2010-04-15 2011-11-10 Mitsubishi Electric Corp 鍵生成装置及びデータ提供装置及び端末装置及びプログラム
US8111826B2 (en) 2006-01-11 2012-02-07 Mitsubishi Electric Corporation Apparatus for generating elliptic curve cryptographic parameter, apparatus for processing elliptic curve cryptograph, program for generating elliptic curve cryptographic parameter, and program for processing elliptic cyptograph
US8638928B2 (en) 2007-05-25 2014-01-28 Nec Corporation Key exchanging apparatus
JP2015510335A (ja) * 2012-01-25 2015-04-02 サーティボックス エルティーディーCertivox,Ltd. 安全でないトークンとpin番号などの単純な第2ファクタとを使用した、安全な2ファクタ認証idベース鍵交換およびリモート・ログインのためのシステムおよび方法
KR101527867B1 (ko) * 2007-07-11 2015-06-10 삼성전자주식회사 타원 곡선 암호 시스템에 대한 부채널 공격에 대응하는방법
WO2020075396A1 (ja) * 2018-10-10 2020-04-16 株式会社アクセル 推論装置、推論方法及び推論プログラム

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7634087B2 (en) 2001-08-13 2009-12-15 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
JP2005500740A (ja) * 2001-08-13 2005-01-06 ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ Idベース暗号化および関連する暗号手法のシステムおよび方法
US9356779B2 (en) 2001-08-13 2016-05-31 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
US8130964B2 (en) 2001-08-13 2012-03-06 The Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
US7113594B2 (en) 2001-08-13 2006-09-26 The Board Of Trustees Of The Leland Stanford University Systems and methods for identity-based encryption and related cryptographic techniques
JP2003298568A (ja) * 2002-03-21 2003-10-17 Docomo Communications Laboratories Usa Inc 鍵供託を使用しない、認証された個別暗号システム
JP4527358B2 (ja) * 2002-03-21 2010-08-18 株式会社エヌ・ティ・ティ・ドコモ 鍵供託を使用しない、認証された個別暗号システム
JP4740253B2 (ja) * 2004-11-04 2011-08-03 フランス・テレコム 双線形アプリケーションの計算の安全化された委託方法
JP2008519303A (ja) * 2004-11-04 2008-06-05 フランス テレコム 双線形アプリケーションの計算の安全化された委託方法
JP4546231B2 (ja) * 2004-12-09 2010-09-15 株式会社日立製作所 Idベース署名及び暗号化システムおよび方法
JP2006163164A (ja) * 2004-12-09 2006-06-22 Hitachi Ltd Idベース署名及び暗号化システムおよび方法
JP4528114B2 (ja) * 2004-12-28 2010-08-18 日本電信電話株式会社 鍵生成装置、暗号化装置、検査装置、復号化装置並びに鍵生成プログラム、暗号化プログラム、検査プログラム、復号化プログラム
JP2006184831A (ja) * 2004-12-28 2006-07-13 Nippon Telegr & Teleph Corp <Ntt> 鍵生成装置、暗号化装置、検査装置、復号化装置並びに鍵生成プログラム、暗号化プログラム、検査プログラム、復号化プログラム
US8111826B2 (en) 2006-01-11 2012-02-07 Mitsubishi Electric Corporation Apparatus for generating elliptic curve cryptographic parameter, apparatus for processing elliptic curve cryptograph, program for generating elliptic curve cryptographic parameter, and program for processing elliptic cyptograph
US8638928B2 (en) 2007-05-25 2014-01-28 Nec Corporation Key exchanging apparatus
KR101527867B1 (ko) * 2007-07-11 2015-06-10 삼성전자주식회사 타원 곡선 암호 시스템에 대한 부채널 공격에 대응하는방법
JP4612027B2 (ja) * 2007-09-03 2011-01-12 村田機械株式会社 署名システム
JP2007325318A (ja) * 2007-09-03 2007-12-13 Murata Mach Ltd 署名システム
JP2009105633A (ja) * 2007-10-23 2009-05-14 Ntt Software Corp メッセージ認証装置、認証センタ装置、及びメッセージ認証システム
JP2009211109A (ja) * 2009-06-26 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> 部分群上元判定方法及び装置及びプログラム
JP2011228777A (ja) * 2010-04-15 2011-11-10 Mitsubishi Electric Corp 鍵生成装置及びデータ提供装置及び端末装置及びプログラム
JP2015510335A (ja) * 2012-01-25 2015-04-02 サーティボックス エルティーディーCertivox,Ltd. 安全でないトークンとpin番号などの単純な第2ファクタとを使用した、安全な2ファクタ認証idベース鍵交換およびリモート・ログインのためのシステムおよび方法
WO2020075396A1 (ja) * 2018-10-10 2020-04-16 株式会社アクセル 推論装置、推論方法及び推論プログラム
JPWO2020075396A1 (ja) * 2018-10-10 2021-12-09 株式会社アクセル 推論装置、推論方法及び推論プログラム
JP7089303B2 (ja) 2018-10-10 2022-06-22 株式会社アクセル 推論装置、処理システム、推論方法及び推論プログラム

Also Published As

Publication number Publication date
JP4450969B2 (ja) 2010-04-14

Similar Documents

Publication Publication Date Title
US7239701B1 (en) Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem
JPWO2008087734A1 (ja) 暗号文生成装置及び暗号通信システム及び群パラメータ生成装置
JP2001211153A (ja) 秘密鍵生成方法
CN110011995A (zh) 多播通信中的加密和解密方法及装置
US20040037424A1 (en) Information distribution and processing
CN107086912B (zh) 一种异构存储***中的密文转换方法、解密方法及***
JP2002026892A (ja) 鍵共有方法,秘密鍵生成方法,共通鍵生成方法,暗号通信方法,秘密鍵生成器,共通鍵生成器,暗号通信システム及び記録媒体
Garg et al. Comparison of asymmetric algorithms in cryptography
JP2001211154A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
Joglekar et al. Lightweight Elliptical curve cryptography (ECC) for data integrity and user authentication in smart transportation IoT system
JP4485122B2 (ja) 公開鍵暗号システム,署名システム,暗号通信システム,秘密鍵生成器,公開鍵生成器及びコンピュータプログラム
JP2000047581A (ja) 暗号化方法,暗号化・復号装置及び暗号通信システム
Karki A comparative analysis of public key cryptography
JP2002023626A (ja) 公開鍵暗号方法および公開鍵暗号を用いた通信システム
JP3622072B2 (ja) 暗号通信方法
Vishwakarma et al. An Efficient Cryptosystem to Perform Encryption and Decryption of Data
JP3953235B2 (ja) 暗号通信方法及び暗号通信システム
JP2007325318A (ja) 署名システム
Tomar et al. Implementation of elliptic–curve cryptography
JP3518671B2 (ja) 暗号通信方法
JP2000216768A (ja) 暗号化方法及び暗号通信方法並びに暗号通信システム
JP3587746B2 (ja) 秘密鍵生成器,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体
Atighehchi et al. A cryptographic keys transfer protocol for secure communicating systems
JP3283202B2 (ja) 暗号通信方法
JP2001053738A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040507

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061114

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070406

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070509

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070611

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070626

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071002

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071130

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20071221

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091016

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100127

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130205

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140205

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees