JP3953235B2 - 暗号通信方法及び暗号通信システム - Google Patents
暗号通信方法及び暗号通信システム Download PDFInfo
- Publication number
- JP3953235B2 JP3953235B2 JP20390399A JP20390399A JP3953235B2 JP 3953235 B2 JP3953235 B2 JP 3953235B2 JP 20390399 A JP20390399 A JP 20390399A JP 20390399 A JP20390399 A JP 20390399A JP 3953235 B2 JP3953235 B2 JP 3953235B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- key
- secret
- unique
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、暗号文にて通信を行う暗号通信方法及び暗号通信システムに関する。
【0002】
【従来の技術】
高度情報化社会と呼ばれる現代社会では、コンピュータネットワークを基盤として、ビジネス上の重要な文書・画像情報が電子的な情報という形で伝送通信されて処理される。このような電子情報は、容易に複写が可能である、複写物とオリジナルとの区別が困難であるという性質があり、情報保全の問題が重要視されている。特に、「コンピュータリソースの共有」,「マルチアクセス」,「広域化」の各要素を満たすコンピュータネットワークの実現が高度情報化社会の確立に不可欠であるが、これは当事者間の情報保全の問題とは矛盾する要素を含んでいる。このような矛盾を解消するための有効な手法として、人類の過去の歴史上主として軍事,外交面で用いられてきた暗号技術が注目されている。
【0003】
暗号とは、情報の意味が当事者以外には理解できないように情報を交換することである。暗号において、誰でも理解できる元の文(平文)を第三者には意味がわからない文(暗号文)に変換することが暗号化であり、また、暗号文を平文に戻すことが復号であり、この暗号化と復号との全過程をまとめて暗号系と呼ぶ。暗号化の過程及び復号の過程には、それぞれ暗号化鍵及び復号鍵と呼ばれる秘密の情報が用いられる。復号時には秘密の復号鍵が必要であるので、この復号鍵を知っている者のみが暗号文を復号でき、暗号化によって情報の秘密性が維持され得る。
【0004】
暗号化鍵と復号鍵とは、等しくても良いし、異なっていても良い。両者の鍵が等しい暗号系は、共通鍵暗号系と呼ばれ、米国商務省標準局が採用したDES(Data Encryption Standards)はその典型例である。また、両者の鍵が異なる暗号系の一例として、公開鍵暗号系と呼ばれる暗号系が提案された。この公開鍵暗号系は、暗号系を利用する各ユーザ(エンティティ)が暗号化鍵と復号鍵とを一対ずつ作成し、暗号化鍵を公開鍵リストにて公開し、復号鍵のみを秘密に保持するという暗号系である。公開鍵暗号系では、この一対となる暗号化鍵と復号鍵とが異なり、一方向性関数を利用することによって暗号化鍵から復号鍵を割り出せないという特徴を持たせている。
【0005】
公開鍵暗号系は、暗号化鍵を公開するという画期的な暗号系であって、高度情報化社会の確立に必要な上述した3つの要素に適合するものであり、情報通信技術の分野等での利用を図るべく、その研究が活発に行われ、典型的な公開鍵暗号系としてRSA暗号系が提案された。このRSA暗号系は、一方向性関数として素因数分解の困難さを利用して実現されている。また、離散対数問題を解くことの困難さ(離散対数問題)を利用した公開鍵暗号系も種々の手法が提案されてきた。
【0006】
また、各エンティティの住所,氏名等の個人を特定するID(Identity)情報を利用する暗号系が提案された。この暗号系では、ID情報に基づいて送受信者間で共通の暗号化鍵を生成する。また、このID情報に基づく暗号技法には、(1)暗号文通信に先立って送受信者間での予備通信を必要とする方式と、(2)暗号文通信に先立って送受信者間での予備通信を必要としない方式とがある。特に、(2)の手法は予備通信が不要であるので、エンティティの利便性が高く、将来の暗号系の中枢をなすものと考えられている。
【0007】
この(2)の手法による暗号系は、ID−NIKS(ID-based non-interactive key sharing scheme)と呼ばれており、通信相手のID情報を用いて予備通信を行うことなく暗号化鍵を共有する方式を採用している。ID−NIKSは、送受信者間で公開鍵,秘密鍵を交換する必要がなく、また鍵のリスト及び第三者によるサービスも必要としない方式であり、任意のエンティティ間で安全に通信を行える。
【0008】
図4は、このID−NIKSのシステムの原理を示す図である。信頼できるセンタの存在を仮定し、このセンタを中心にして共有鍵生成システムを構成している。図4において、エンティティXの特定情報であるエンティティXの名前,住所,電話番号等のID情報は、ハッシュ関数h(・)を用いてh(IDX )で表す。センタは任意のエンティティXに対して、センタ公開情報{PCi },センタ秘密情報{SCi }及びエンティティXのID情報h(IDX )に基づいて、以下のように秘密情報SXiを計算し、秘密裏にエンティティXへ配布する。
SXi=Fi ({SCi },{PCi },h(IDX ))
【0009】
エンティティXは他の任意のエンティティYとの間で、暗号化,復号のための共有鍵KXYを、エンティティX自身の秘密情報{SXi},センタ公開情報{PCi }及び相手先のエンティティYのID情報h(IDY )を用いて以下のように生成する。
KXY=f({SXi},{PCi },h(IDY ))
また、エンティティYも同様にエンティティXに対する共有鍵KYXを生成する。もし常にKXY=KYXの関係が成立すれば、この鍵KXY,KYXをエンティティX,Y間で暗号化鍵,復号鍵として使用できる。
【0010】
上述した公開鍵暗号系では、例えばRSA暗号系の場合にその公開鍵の長さは現在の電話番号の十数倍となり、極めて煩雑である。これに対して、ID−NIKSでは、各ID情報を名簿という形式で登録しておけば、この名簿を参照して任意のエンティティとの間で共有鍵を生成することができる。従って、図4に示すようなID−NIKSのシステムが安全に実現されれば、多数のエンティティが加入するコンピュータネットワーク上で便利な暗号系を構築できる。このような理由により、ID−NIKSが将来の暗号系の中心になると期待されている。
【0011】
【発明が解決しようとする課題】
通信相手のID情報を用いて予備通信を行うことなく暗号化鍵及び復号鍵となる共有鍵を互いに共有するようなID−NIKSにあっては、複数のエンティティの結託等の攻撃に対して十分に安全であることが望まれる。しかしながら、以上のようなID−NIKSにおいては、攻撃法が検討されて、適当な人数のエンティティが結託すればセンタの秘密パラメータが露呈するという問題を含んでいる。暗号学的に安全なID−NIKSを構築できるか否かは、高度情報化社会に重要な問題であり、より理想的な暗号方式の探究が進められている。
【0012】
上述したような結託攻撃に対して安全性を高めるために、センタから各エンティティへ配布される秘密鍵に予め乱数成分を加えておき、鍵共有の際の非線形操作によってこの乱数成分を除去して共有鍵を得るようにした方式(以下、先行例1という),2つの有限体上での演算により各エンティティ毎に乱数成分を含む複数個1組の秘密鍵を生成し、鍵共有の際に整数環上でこれらの秘密鍵を加算することにより乱数成分を除去して共有鍵を得るようにした方式(特願平10−262035号,特願平10−338190号等、以下、先行例2という)等が、本発明者等によって考案されている。
【0013】
このような先行例1,先行例2は何れも、秘密鍵生成関数及び鍵共有関数が分離不可能であり、鍵共有が十分に高い確率で成功するという特徴があり、従来のID−NIKSに比較して結託攻撃に対して強い。しかしながら、IDベクトルの次元が比較的小さい場合には、LLL(Lenstra-Lenstra-Lovasz)アルゴリズムの適用によって、第三者の秘密鍵を偽造する攻撃ばかりでなく、センタの秘密行列を導く攻撃も行える可能性があるということが解明された。
【0014】
本発明は斯かる事情に鑑みてなされたものであり、LLLアルゴリズムに基づく攻撃に対して安全性が高い暗号通信方法及び暗号通信システムを提供することを目的とする。
【0015】
【課題を解決するための手段】
請求項1に係る暗号通信方法は、センタ装置から各エンティティ装置へ各エンティティ固有の秘密鍵を送付し、一方のエンティティ装置が前記センタ装置から送付された該エンティティ固有の秘密鍵と公開された他方のエンティティの公開鍵とから求めた共有鍵を利用して平文を暗号文に暗号化して他方のエンティティ装置へ伝送し、該他方のエンティティ装置が伝送された暗号文を、前記センタ装置から送付された該エンティティ固有の秘密鍵と公開された前記一方のエンティティの公開鍵とから求めた、前記共有鍵と同一の共有鍵を利用して元の平文に復号することにより、暗号文通信に先立ってエンティティ装置間での予備通信を必要としない方式にて、エンティティ装置間で情報の通信を行う暗号通信方法において、前記センタ装置は、前記各エンティティ毎に固有の法を設定し、前記各エンティティ毎に設定した固有の法により前記各エンティティ固有の秘密鍵を生成し、前記一方及び他方のエンティティ装置は、前記各エンティティ毎に設定した固有の法に基づいて共通の法を求め、求めた共通の法により前記共有鍵を生成することを特徴とする。
【0017】
請求項2に係る暗号通信方法は、請求項1において、前記センタ装置は、各エンティティの公開鍵を用いて各エンティティの秘密ベクトルを求め、求めた各エンティティの秘密ベクトルと各エンティティ固有の個人秘密乱数ベクトルとを用いて、前記各エンティティ毎に設定した固有の法により前記各エンティティ固有の秘密鍵を生成することを特徴とする。
請求項3に係る暗号通信方法は、請求項1又は請求項2において、前記センタ装置は、前記各エンティティの公開鍵を、各エンティティの特定情報に基づいて求めることを特徴とする。
請求項4に係る暗号通信システムは、送信すべき情報である平文を暗号文に暗号化する処理、及び、送信された暗号文を元の平文に復号する処理を、暗号文通信に先立って複数のエンティティ装置間での予備通信を必要としない方式にて、複数のエンティティ装置間で相互に行う暗号通信システムにおいて、各エンティティ毎に固有の法を設定する手段、設定した法により各エンティティ固有の秘密鍵を生成する手段、及び、生成した秘密鍵を各エンティティ装置へ送付する手段を備えるセンタ装置と、各エンティティ毎に設定した固有の法に基づいて共通の法を求める手段、及び、求めた共通の法により、前記センタ装置から送付された自身固有の秘密鍵と通信対象のエンティティの公開鍵とを用いて、前記暗号化する処理及び復号する処理を行うための共有鍵を生成する手段を備える複数のエンティティ装置とを有することを特徴とする。
【0018】
本発明では、、各エンティティ毎に各エンティティ固有の法を設定し、設定した法により各エンティティ固有の秘密鍵を生成する。よって、先行例1,2も含めた従来のID−NIKSのように、秘密鍵を生成する際に全エンティティで共通の法を用いることがないので、LLLアルゴリズムを用いた攻撃に対して強力となる。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態について具体的に説明する。
図1は、本発明の暗号通信システムの構成を示す模式図である。情報の隠匿を信頼できる1個の統括センタ1とdg 個の分割センタ10とが設定されている。これらの統括センタ1及び分割センタ10としては、例えば社会の公的機関を該当できる。この統括センタ1と、この暗号系システムを利用するユーザとしての複数の各エンティティa,b,…,zとは秘密通信路2a,2b,…,2zにより接続されており、この秘密通信路2a,2b,…,2zを介してセンタ1から秘密の鍵情報が各エンティティa,b,…,zへ伝送されるようになっている。また、2人のエンティティの間には通信路3ab,3az,3bz,…が設けられており、この通信路3ab,3az,3bz,…を介して通信情報を暗号化した暗号文が互いのエンティティ間で伝送されるようになっている。
【0020】
本発明は、先行例1の手法を基本とした方式及び先行例2の手法を基本とした方式の何れにも適用可能であるが、以下の例では先行例1の手法を基本とした方式に本発明を適用した場合について説明する。
【0021】
(統括センタ1での準備処理)
▲1▼ 第1IDベクトル(df 次元,各成分はLf ビット)を生成するための一方向性関数f(・)を公開する。
▲2▼ 第2IDベクトル(dg 次元,各成分はGF(2)の元)を生成するための一方向性関数g(・)を公開する。
▲3▼ エンティティiの固有の乱数ベクトルri (dr 次元,各成分はLr ビット)を生成する。
【0022】
但し、エンティティiの第1IDベクトル,第2IDベクトルは夫々、下記(1),(2)で表すものとし、第2IDベクトルwi に対して成分が1となるインデックスの集合をWi ={j|wij=1}とする。
【0023】
【数1】
【0024】
(j番目(j=1,2,・・・,dg )の分割センタ10での準備処理)
▲1▼ 素数P(j) を生成して、これを公開する。
▲2▼ 秘密対称行列T(j) を生成する。
【0025】
(エンティティの登録処理)
エンティティiに登録を依頼された統括センタ1及び各分割センタ10は、以下のような処理を行う。
▲1▼ 統括センタ1は、j∈Wi なるj番目の分割センタ10に対して、エンティティi用の秘密ベクトルxi の計算を依頼する。
▲2▼ j番目の分割センタ10は、ベクトルvi を用いて、エンティティi用の秘密ベクトルxi (j) を下記(3)に従って計算し、これを統括センタ1へ送付する。
ベクトルxi (j) ≡T(j) ベクトルvi (mod P(j) ) …(3)
▲3▼ 統括センタ1は、エンティティiに固有の法Pi を下記(4)に従って求めた後、中国人の剰余定理を用いて秘密ベクトルxi を下記(5)に従って計算する。ここで、秘密ベクトルxi はPi を法として一意に定まる。
【0026】
【数2】
【0027】
▲4▼ 統括センタ1は、更に、個人秘密乱数ベクトルri を用いてエンティティiの秘密鍵si を下記(6)に従って計算し、これをエンティティiへ秘密裏に送る。
【0028】
【数3】
【0029】
(エンティティ間の共有鍵の生成処理)
エンティティiは、以下のような計算手順によって、通信対象のエンティティmとの共有鍵Kimを求める。
▲1▼ エンティティiとエンティティmとの間での共通の法Pimを下記(7)に従って求める。
【0030】
【数4】
【0031】
▲2▼ 下記(8)に従ってKim′を計算する。
【0032】
【数5】
【0033】
▲3▼ 下記(9)に従って共有鍵Kimを計算する。但し、Dは統括センタ1が予め公開している自然数であり、下記(10)の条件を満たす。
【0034】
【数6】
【0035】
次に、上述した暗号システムにおけるエンティティ間の情報の通信について説明する。図2は、2人のエンティティi,m間における情報の通信状態を示す模式図である。図2の例は、エンティティiが平文(メッセージ)Mを暗号文Cに暗号化してそれをエンティティmへ伝送し、エンティティmがその暗号文Cを元の平文(メッセージ)Mに復号する場合を示している。
【0036】
エンティティi側には、エンティティmの個人識別情報IDm を入力し、関数h(・)を利用してベクトルvm (公開鍵)を得る公開鍵生成器11と、統括センタ1から送られる秘密鍵ベクトルsi と公開鍵生成器11からの公開鍵であるベクトルvm と公開された自然数Dとに基づいてエンティティiが求めるエンティティmとの共有鍵Kimを生成する共有鍵生成器12と、共有鍵Kimを用いて平文(メッセージ)Mを暗号文Cに暗号化して通信路30へ出力する暗号化器13とが備えられている。
【0037】
また、エンティティm側には、エンティティiの個人識別情報IDi を入力し、関数h(・)を利用してベクトルvi (公開鍵)を得る公開鍵生成器21と、統括センタ1から送られる秘密のベクトルsm と公開鍵生成器21からの公開鍵であるベクトルvi と公開された自然数Dとに基づいてエンティティmが求めるエンティティiとの共有鍵Kmiを生成する共有鍵生成器22と、共有鍵Kmiを用いて通信路30から入力した暗号文Cを平文(メッセージ)Mに復号して出力する復号器23とが備えられている。
【0038】
次に、動作について説明する。エンティティiからエンティティmへ情報を伝送しようとする場合、まず、エンティティmの個人識別情報IDm が公開鍵生成器11に入力されてベクトルvm (公開鍵)が得られ、得られたベクトルvm が共有鍵生成器12へ送られる。また、統括センタ1及び分割センタ10にて上記(3)〜(6)に従って求められたベクトルsi が共有鍵生成器12へ入力される。そして、上記式(7)〜(9)に従って共有鍵Kimが求められ、暗号化器13へ送られる。暗号化器13において、この共有鍵Kimを用いて平文(メッセージ)Mが暗号文Cに暗号化され、暗号文Cが通信路30を介して伝送される。
【0039】
通信路30を伝送された暗号文Cはエンティティmの復号器23へ入力される。エンティティiの個人識別情報IDi が公開鍵生成器21に入力されてベクトルvi (公開鍵)が得られ、得られたベクトルvi が共有鍵生成器22へ送られる。また、統括センタ1及び分割センタ10にて上記(3)〜(6)に従って求められたベクトルsm が共有鍵生成器22へ入力される。そして、上記式(7)〜(9)に従って共有鍵Kmiが求められ、復号器23へ送られる。復号器23において、この共有鍵Kmiを用いて暗号文Cが平文(メッセージ)Mに復号される。
【0040】
なお、先行例1の手法を基本とした方式に本発明を適用した場合について説明したが、本発明は先行例2の手法を基本とした方式にも適用できる。この場合には、例えば、上記(6)に加えて下記(11)のような秘密鍵ベクトルsi ′を用いて、鍵共有を行うようにすれば良い。但し、Qi はエンティティi固有の法である。この場合には、鍵共有の段階で個人秘密乱数ベクトルri が消去されるので、そのベクトルri の成分を大きく設定することが可能である。
【0041】
【数7】
【0042】
以下、本発明の方式におけるエンティティ間での鍵共有に必要な諸条件について説明する。
【0043】
(各要素のビット数)
十分に高い確率で鍵共有を成功させるためには、エンティティiに固有の秘密乱数ベクトルri の各成分の大きさLr を log 2(Pim),Dよりも十分小さく設定する必要がある。即ち、下記(12)とし、更に下記(13)となるようにすれば良い。また、LLL法による結託攻撃に対してより安全にするためには、下記(14)を満たすようにLr を設定する。なお、eは桁上がりのための余裕、kは設計値である。
【0044】
【数8】
【0045】
(関数g)
関数gにより、第2IDベクトルwi が定まるが、ベクトルwi は、秘密鍵ベクトルxi の法Pi 及び鍵共有の際に用いる法Pimの設定に用いられる。従って、法Pi 及び法Pimがある程度以上の大きさになるように、ベクトルwi の成分が1となる個数(ベクトルwi の重み=#Wi )及び#{Wi ∩Wm }の大きさを適切に与える必要がある。
【0046】
#Wi 及び#{Wi ∩Wm }がある一定の大きさよりも必ず大きくなるようなベクトルwi ,ベクトルwm を生成するためには、例えばID情報をある一方向性関数h(・)に通したデータをM系列符号のような定重み符号で符号化すれば良い。符号長nビット,重み2dの定重み符号語を第2IDベクトルとした場合、異なる2つの符号語の1の位置はd箇所で必ず一致する。従って、この定重み2dの符号語を用いることにより、法Pimの大きさをある大きさ以上にすることが可能である。
【0047】
例えば、3ビットの情報記号に対して、符号長n=23 −1=7,重み2d=2k-1 =4となる定重み符号を考える。この場合、情報記号は(0,0,0)を除いて3ビットで表せるので、7種類存在する。エンティティiの第2IDベクトルが符号語(1,1,1,0,0,1,0)、エンティティmの第2IDベクトルが符号語(1,0,0,1,0,1,1)で与えられた場合、Pim=P(1) P(6) となる。
【0048】
(定重み符号による第2IDベクトルの生成)
後述するように、第2IDベクトルの0の成分の割合が高ければ高い程、LLL法を用いた結託攻撃に対する安全性は高くなるが、0の成分の割合を高くすれば、#{Wi ∩Wm }をある値以上に保つことは容易でない。これを実現するために、以下のような定重み符号を階層的に適用する。
【0049】
▲1▼ h(・)を一方向性関数として、エンティティのID情報から生成した値をb=2k −1進数で表記する。即ち、下記(15)のように定義する。
【0050】
【数9】
【0051】
▲2▼ wij′を符号化し、この符号語をcijとする。但し、符号化は、M系列(例:k=3の場合に(1001011))をwij′ビットだけ左巡回シフトすることによって行う。
▲3▼ ci0の0の位置をbビットの0に置き換え、1の位置を左から順に下記(16)に示すbビットの符号語で置き換える。これにより、符号長b2 ,重み(2k-1 )2 の符号語に拡大することができる。
【0052】
【数10】
【0053】
▲4▼ 以上の処理をt回階層的に繰り返すことにより、符号長bt ,重み(2k-1 )t の符号語に拡大することができる。なお、異なる第2IDベクトルのビットANDをとった場合の1の個数、即ち#Wimは必ず(2k-2 )t 以上となる。
【0054】
上記▲1▼〜▲4▼を簡単な例で説明する。k=3,b=2k −1=7,t=2とした場合、以下のようになる。
h(IDA )=14761 =6+3・7+0・72 +1・73 +2・74
ベクトルwA ′=(6,3,0,1,2)
ベクトルwA ′の符号化:
(6,3,0,1,2)→(1100101, 1011100, 1001011, 0010111, 0101110) この場合、g(IDA )の計算結果は、下記(17)で与えられる。
【0055】
【数11】
【0056】
次に、本発明のID−NIKSに対するLLLアルゴリズムを用いた攻撃手法について考察する。
【0057】
(第三者の秘密ベクトルの偽造攻撃)
LLLアルゴリズムを用いて犠牲エンティティvの秘密鍵ベクトルsv の近似値を求める手法について検討する。犠牲エンティティvの秘密鍵ベクトルsv の近似値を求めるためには、犠牲エンティティvと同じ法Pv またはそれを因数に含む法で生成された結託エンティティの秘密鍵ベクトルが必要である。即ち、第2IDベクトルが犠牲エンティティvのそれと同じか、それを含むような第2IDベクトルを有する結託エンティティが必要であり、第2IDベクトルの構成を工夫することにより、この攻撃法を不可能とすることができる。
【0058】
また、犠牲エンティティvの法Pv の因数を部分的に含む法を有する結託エンティティによる攻撃法も考えられるが、もし各P(j) における法で攻撃を行おうとしても、ベクトルri の成分がP(j) よりも大きくなり、攻撃は不可能である。また、先行例2の手法に基づく方式では、ベクトルri の成分がより大きく設定可能であり、この攻撃法はより困難となる。更に、攻撃の最終段階で中国人の剰余定理を適用する必要があり、そのときに各結託エンティティ固有の小さな乱数項に大きな値が乗じられるので、このような攻撃手法も成功する確率は十分低い。
【0059】
(センタ秘密行列を求める結託攻撃法)
LLLアルゴリズムを適用して、直接センタの秘密対称行列Tを導く攻撃に関して検討する。ここで、tp,j は対称行列Tの第p行第j列の成分であり、対称行列Tは、T≡T(j) (mod P(j) )(j=1,2,・・・,dg )を満たす。
【0060】
結託エンティティiの秘密鍵ベクトルsi の第1成分は、下記(18)で表せる。これをri1について解くと、下記(19)となる。式(19)における既知項は下記(20)であり、未知項は下記(21)である。
【0061】
【数12】
【0062】
ここで、n人の結託エンティティ(i=1,2,・・・,n)の上記式(19)における既知項と未知項とから、下記(22)の行列方程式を構成する。
【0063】
【数13】
【0064】
上記(22)の右辺の[−r11,−r12,・・・,−r1n]は小さなベクトルであるため、これを格子の最小基底ベクトルと見なしてLLLアルゴリズムを適用した場合には、下記(23)に示す未知項が求まる可能性がある。
【0065】
【数14】
【0066】
下記(24)に示す未知項は、下記(25)に示す法のもとに一意に定まり、それらの桁数は下記(26)に示すものの桁数にほぼ等しくなる。
【0067】
【数15】
【0068】
一方、エンティティiが保有する秘密成分は、法Pi を用いて導出されており、未知項tp,j と結託エンティティiが保有する秘密成分との桁数の大きさの比は、関数g(・)の次元数dg とその成分が1である個数との比にほぼ等しくなる。この比をRとした場合、このような結託攻撃が成功するためには、少なくともdf Rの結託エンティティが必要となる。
【0069】
従って、結託攻撃に対してより安全な方式にするためには、この比Rを大きくすれば良い。例えば、前述したようなM系列定重み符号を階層的に用いてg(・)を構成する場合、各パラメータをk=3,t=4としたとき、その次元dg は74 =2401となるのに対して、その重みは44 =256 であり、比Rは約9.38となる。この場合、鍵共有の際に用いる法Piwの大きさを規定するパラメータ#Wimは24 =16となる。更に、P(j) を20ビット程度の素数とした場合、 log 2(Pim)は約320 であり、結託攻撃に用いる共通の法の大きさは、下記(27)となる。
【0070】
【数16】
【0071】
この場合の本発明の方式に対する結託攻撃では、結託エンティティ数を9df 以上必要とし、LLLアルゴリズムを用いた攻撃の際の計算は48020 ビット程度の演算になって、膨大な計算量を必要とする。
【0072】
このように本発明の方式は、結託閾値と個々の乗除算の計算量との二点に関して、先行例1,2に比べて、LLLアルゴリズムを用いた結託攻撃に対してより安全な方式となっている。また、上述した暗号通信システムでは、1つの統括センタと複数の分割センタとが設けられ、各分割センタがエンティティの秘密ベクトルを求めるようにしたので、全てのエンティティの秘密を1つのセンタが握るようなことはなく、 Big Brother 問題を解決できている。
【0073】
図3は、本発明の記録媒体の実施の形態の構成を示す図である。以下に説明する記録媒体に記録されており、上記(4)に示す各エンティティ固有の法を求める処理と、上記(5),(6)に示す各エンティティ固有の秘密鍵を計算する処理とを含むプログラムがロードされるコンピュータ40は、統括センタ1側に設けられている。また、以下に説明する記録媒体に記録されており、上記(7)に示すエンティティ間での共通の法を求める処理と、上記(8),(9)に示すエンティティ間の共有鍵を計算する処理とを含むプログラムがロードされるコンピュータ40は、各エンティティ側に設けられている。
【0074】
図3において、コンピュータ40とオンライン接続する記録媒体41は、コンピュータ40の設置場所から隔たって設置される例えばWWW(World Wide Web)のサーバコンピュータを用いてなり、記録媒体41には前述の如きプログラム41a が記録されている。記録媒体41から読み出されたプログラム41a がコンピュータ40を制御することにより、統括センタ1において各エンティティ固有の秘密鍵を生成し、各エンティティにおいて通信対象のエンティティに対する共有鍵を生成する。
【0075】
コンピュータ40の内部に設けられた記録媒体42は、内蔵設置される例えばハードディスクドライブまたはROMなどを用いてなり、記録媒体42には前述の如きプログラム42a が記録されている。記録媒体42から読み出されたプログラム42a がコンピュータ40を制御することにより、統括センタ1において各エンティティ固有の秘密鍵を生成し、各エンティティにおいて通信対象のエンティティに対する共有鍵を生成する。
【0076】
コンピュータ40に設けられたディスクドライブ40aに装填して使用される記録媒体43は、運搬可能な例えば光磁気ディスク,CD−ROMまたはフレキシブルディスクなどを用いてなり、記録媒体43には前述の如きプログラム43a が記録されている。記録媒体43から読み出されたプログラム43a がコンピュータ40を制御することにより、統括センタ1において各エンティティ固有の秘密鍵を生成し、各エンティティにおいて通信対象のエンティティに対する共有鍵を生成する。
【0077】
【発明の効果】
以上詳述したように、本発明では、各エンティティ毎に各エンティティ固有の法を設定し、設定した法により各エンティティ固有の秘密鍵を生成するようにしたので、LLLアルゴリズムに基づく攻撃に対して安全性を高くすることが可能となる。
【図面の簡単な説明】
【図1】本発明の暗号通信システムの構成を示す模式図である。
【図2】2人のエンティティ間における情報の通信状態を示す模式図である。
【図3】記録媒体の実施の形態の構成を示す図である。
【図4】ID−NIKSのシステムの原理構成図である。
【符号の説明】
1 統括センタ
10 分割センタ
11,21 公開鍵生成器
12,22 共有鍵生成器
13 暗号化器
23 復号器
30 通信路
40 コンピュータ
41,42,43 記録媒体
【発明の属する技術分野】
本発明は、暗号文にて通信を行う暗号通信方法及び暗号通信システムに関する。
【0002】
【従来の技術】
高度情報化社会と呼ばれる現代社会では、コンピュータネットワークを基盤として、ビジネス上の重要な文書・画像情報が電子的な情報という形で伝送通信されて処理される。このような電子情報は、容易に複写が可能である、複写物とオリジナルとの区別が困難であるという性質があり、情報保全の問題が重要視されている。特に、「コンピュータリソースの共有」,「マルチアクセス」,「広域化」の各要素を満たすコンピュータネットワークの実現が高度情報化社会の確立に不可欠であるが、これは当事者間の情報保全の問題とは矛盾する要素を含んでいる。このような矛盾を解消するための有効な手法として、人類の過去の歴史上主として軍事,外交面で用いられてきた暗号技術が注目されている。
【0003】
暗号とは、情報の意味が当事者以外には理解できないように情報を交換することである。暗号において、誰でも理解できる元の文(平文)を第三者には意味がわからない文(暗号文)に変換することが暗号化であり、また、暗号文を平文に戻すことが復号であり、この暗号化と復号との全過程をまとめて暗号系と呼ぶ。暗号化の過程及び復号の過程には、それぞれ暗号化鍵及び復号鍵と呼ばれる秘密の情報が用いられる。復号時には秘密の復号鍵が必要であるので、この復号鍵を知っている者のみが暗号文を復号でき、暗号化によって情報の秘密性が維持され得る。
【0004】
暗号化鍵と復号鍵とは、等しくても良いし、異なっていても良い。両者の鍵が等しい暗号系は、共通鍵暗号系と呼ばれ、米国商務省標準局が採用したDES(Data Encryption Standards)はその典型例である。また、両者の鍵が異なる暗号系の一例として、公開鍵暗号系と呼ばれる暗号系が提案された。この公開鍵暗号系は、暗号系を利用する各ユーザ(エンティティ)が暗号化鍵と復号鍵とを一対ずつ作成し、暗号化鍵を公開鍵リストにて公開し、復号鍵のみを秘密に保持するという暗号系である。公開鍵暗号系では、この一対となる暗号化鍵と復号鍵とが異なり、一方向性関数を利用することによって暗号化鍵から復号鍵を割り出せないという特徴を持たせている。
【0005】
公開鍵暗号系は、暗号化鍵を公開するという画期的な暗号系であって、高度情報化社会の確立に必要な上述した3つの要素に適合するものであり、情報通信技術の分野等での利用を図るべく、その研究が活発に行われ、典型的な公開鍵暗号系としてRSA暗号系が提案された。このRSA暗号系は、一方向性関数として素因数分解の困難さを利用して実現されている。また、離散対数問題を解くことの困難さ(離散対数問題)を利用した公開鍵暗号系も種々の手法が提案されてきた。
【0006】
また、各エンティティの住所,氏名等の個人を特定するID(Identity)情報を利用する暗号系が提案された。この暗号系では、ID情報に基づいて送受信者間で共通の暗号化鍵を生成する。また、このID情報に基づく暗号技法には、(1)暗号文通信に先立って送受信者間での予備通信を必要とする方式と、(2)暗号文通信に先立って送受信者間での予備通信を必要としない方式とがある。特に、(2)の手法は予備通信が不要であるので、エンティティの利便性が高く、将来の暗号系の中枢をなすものと考えられている。
【0007】
この(2)の手法による暗号系は、ID−NIKS(ID-based non-interactive key sharing scheme)と呼ばれており、通信相手のID情報を用いて予備通信を行うことなく暗号化鍵を共有する方式を採用している。ID−NIKSは、送受信者間で公開鍵,秘密鍵を交換する必要がなく、また鍵のリスト及び第三者によるサービスも必要としない方式であり、任意のエンティティ間で安全に通信を行える。
【0008】
図4は、このID−NIKSのシステムの原理を示す図である。信頼できるセンタの存在を仮定し、このセンタを中心にして共有鍵生成システムを構成している。図4において、エンティティXの特定情報であるエンティティXの名前,住所,電話番号等のID情報は、ハッシュ関数h(・)を用いてh(IDX )で表す。センタは任意のエンティティXに対して、センタ公開情報{PCi },センタ秘密情報{SCi }及びエンティティXのID情報h(IDX )に基づいて、以下のように秘密情報SXiを計算し、秘密裏にエンティティXへ配布する。
SXi=Fi ({SCi },{PCi },h(IDX ))
【0009】
エンティティXは他の任意のエンティティYとの間で、暗号化,復号のための共有鍵KXYを、エンティティX自身の秘密情報{SXi},センタ公開情報{PCi }及び相手先のエンティティYのID情報h(IDY )を用いて以下のように生成する。
KXY=f({SXi},{PCi },h(IDY ))
また、エンティティYも同様にエンティティXに対する共有鍵KYXを生成する。もし常にKXY=KYXの関係が成立すれば、この鍵KXY,KYXをエンティティX,Y間で暗号化鍵,復号鍵として使用できる。
【0010】
上述した公開鍵暗号系では、例えばRSA暗号系の場合にその公開鍵の長さは現在の電話番号の十数倍となり、極めて煩雑である。これに対して、ID−NIKSでは、各ID情報を名簿という形式で登録しておけば、この名簿を参照して任意のエンティティとの間で共有鍵を生成することができる。従って、図4に示すようなID−NIKSのシステムが安全に実現されれば、多数のエンティティが加入するコンピュータネットワーク上で便利な暗号系を構築できる。このような理由により、ID−NIKSが将来の暗号系の中心になると期待されている。
【0011】
【発明が解決しようとする課題】
通信相手のID情報を用いて予備通信を行うことなく暗号化鍵及び復号鍵となる共有鍵を互いに共有するようなID−NIKSにあっては、複数のエンティティの結託等の攻撃に対して十分に安全であることが望まれる。しかしながら、以上のようなID−NIKSにおいては、攻撃法が検討されて、適当な人数のエンティティが結託すればセンタの秘密パラメータが露呈するという問題を含んでいる。暗号学的に安全なID−NIKSを構築できるか否かは、高度情報化社会に重要な問題であり、より理想的な暗号方式の探究が進められている。
【0012】
上述したような結託攻撃に対して安全性を高めるために、センタから各エンティティへ配布される秘密鍵に予め乱数成分を加えておき、鍵共有の際の非線形操作によってこの乱数成分を除去して共有鍵を得るようにした方式(以下、先行例1という),2つの有限体上での演算により各エンティティ毎に乱数成分を含む複数個1組の秘密鍵を生成し、鍵共有の際に整数環上でこれらの秘密鍵を加算することにより乱数成分を除去して共有鍵を得るようにした方式(特願平10−262035号,特願平10−338190号等、以下、先行例2という)等が、本発明者等によって考案されている。
【0013】
このような先行例1,先行例2は何れも、秘密鍵生成関数及び鍵共有関数が分離不可能であり、鍵共有が十分に高い確率で成功するという特徴があり、従来のID−NIKSに比較して結託攻撃に対して強い。しかしながら、IDベクトルの次元が比較的小さい場合には、LLL(Lenstra-Lenstra-Lovasz)アルゴリズムの適用によって、第三者の秘密鍵を偽造する攻撃ばかりでなく、センタの秘密行列を導く攻撃も行える可能性があるということが解明された。
【0014】
本発明は斯かる事情に鑑みてなされたものであり、LLLアルゴリズムに基づく攻撃に対して安全性が高い暗号通信方法及び暗号通信システムを提供することを目的とする。
【0015】
【課題を解決するための手段】
請求項1に係る暗号通信方法は、センタ装置から各エンティティ装置へ各エンティティ固有の秘密鍵を送付し、一方のエンティティ装置が前記センタ装置から送付された該エンティティ固有の秘密鍵と公開された他方のエンティティの公開鍵とから求めた共有鍵を利用して平文を暗号文に暗号化して他方のエンティティ装置へ伝送し、該他方のエンティティ装置が伝送された暗号文を、前記センタ装置から送付された該エンティティ固有の秘密鍵と公開された前記一方のエンティティの公開鍵とから求めた、前記共有鍵と同一の共有鍵を利用して元の平文に復号することにより、暗号文通信に先立ってエンティティ装置間での予備通信を必要としない方式にて、エンティティ装置間で情報の通信を行う暗号通信方法において、前記センタ装置は、前記各エンティティ毎に固有の法を設定し、前記各エンティティ毎に設定した固有の法により前記各エンティティ固有の秘密鍵を生成し、前記一方及び他方のエンティティ装置は、前記各エンティティ毎に設定した固有の法に基づいて共通の法を求め、求めた共通の法により前記共有鍵を生成することを特徴とする。
【0017】
請求項2に係る暗号通信方法は、請求項1において、前記センタ装置は、各エンティティの公開鍵を用いて各エンティティの秘密ベクトルを求め、求めた各エンティティの秘密ベクトルと各エンティティ固有の個人秘密乱数ベクトルとを用いて、前記各エンティティ毎に設定した固有の法により前記各エンティティ固有の秘密鍵を生成することを特徴とする。
請求項3に係る暗号通信方法は、請求項1又は請求項2において、前記センタ装置は、前記各エンティティの公開鍵を、各エンティティの特定情報に基づいて求めることを特徴とする。
請求項4に係る暗号通信システムは、送信すべき情報である平文を暗号文に暗号化する処理、及び、送信された暗号文を元の平文に復号する処理を、暗号文通信に先立って複数のエンティティ装置間での予備通信を必要としない方式にて、複数のエンティティ装置間で相互に行う暗号通信システムにおいて、各エンティティ毎に固有の法を設定する手段、設定した法により各エンティティ固有の秘密鍵を生成する手段、及び、生成した秘密鍵を各エンティティ装置へ送付する手段を備えるセンタ装置と、各エンティティ毎に設定した固有の法に基づいて共通の法を求める手段、及び、求めた共通の法により、前記センタ装置から送付された自身固有の秘密鍵と通信対象のエンティティの公開鍵とを用いて、前記暗号化する処理及び復号する処理を行うための共有鍵を生成する手段を備える複数のエンティティ装置とを有することを特徴とする。
【0018】
本発明では、、各エンティティ毎に各エンティティ固有の法を設定し、設定した法により各エンティティ固有の秘密鍵を生成する。よって、先行例1,2も含めた従来のID−NIKSのように、秘密鍵を生成する際に全エンティティで共通の法を用いることがないので、LLLアルゴリズムを用いた攻撃に対して強力となる。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態について具体的に説明する。
図1は、本発明の暗号通信システムの構成を示す模式図である。情報の隠匿を信頼できる1個の統括センタ1とdg 個の分割センタ10とが設定されている。これらの統括センタ1及び分割センタ10としては、例えば社会の公的機関を該当できる。この統括センタ1と、この暗号系システムを利用するユーザとしての複数の各エンティティa,b,…,zとは秘密通信路2a,2b,…,2zにより接続されており、この秘密通信路2a,2b,…,2zを介してセンタ1から秘密の鍵情報が各エンティティa,b,…,zへ伝送されるようになっている。また、2人のエンティティの間には通信路3ab,3az,3bz,…が設けられており、この通信路3ab,3az,3bz,…を介して通信情報を暗号化した暗号文が互いのエンティティ間で伝送されるようになっている。
【0020】
本発明は、先行例1の手法を基本とした方式及び先行例2の手法を基本とした方式の何れにも適用可能であるが、以下の例では先行例1の手法を基本とした方式に本発明を適用した場合について説明する。
【0021】
(統括センタ1での準備処理)
▲1▼ 第1IDベクトル(df 次元,各成分はLf ビット)を生成するための一方向性関数f(・)を公開する。
▲2▼ 第2IDベクトル(dg 次元,各成分はGF(2)の元)を生成するための一方向性関数g(・)を公開する。
▲3▼ エンティティiの固有の乱数ベクトルri (dr 次元,各成分はLr ビット)を生成する。
【0022】
但し、エンティティiの第1IDベクトル,第2IDベクトルは夫々、下記(1),(2)で表すものとし、第2IDベクトルwi に対して成分が1となるインデックスの集合をWi ={j|wij=1}とする。
【0023】
【数1】
(j番目(j=1,2,・・・,dg )の分割センタ10での準備処理)
▲1▼ 素数P(j) を生成して、これを公開する。
▲2▼ 秘密対称行列T(j) を生成する。
【0025】
(エンティティの登録処理)
エンティティiに登録を依頼された統括センタ1及び各分割センタ10は、以下のような処理を行う。
▲1▼ 統括センタ1は、j∈Wi なるj番目の分割センタ10に対して、エンティティi用の秘密ベクトルxi の計算を依頼する。
▲2▼ j番目の分割センタ10は、ベクトルvi を用いて、エンティティi用の秘密ベクトルxi (j) を下記(3)に従って計算し、これを統括センタ1へ送付する。
ベクトルxi (j) ≡T(j) ベクトルvi (mod P(j) ) …(3)
▲3▼ 統括センタ1は、エンティティiに固有の法Pi を下記(4)に従って求めた後、中国人の剰余定理を用いて秘密ベクトルxi を下記(5)に従って計算する。ここで、秘密ベクトルxi はPi を法として一意に定まる。
【0026】
【数2】
▲4▼ 統括センタ1は、更に、個人秘密乱数ベクトルri を用いてエンティティiの秘密鍵si を下記(6)に従って計算し、これをエンティティiへ秘密裏に送る。
【0028】
【数3】
(エンティティ間の共有鍵の生成処理)
エンティティiは、以下のような計算手順によって、通信対象のエンティティmとの共有鍵Kimを求める。
▲1▼ エンティティiとエンティティmとの間での共通の法Pimを下記(7)に従って求める。
【0030】
【数4】
▲2▼ 下記(8)に従ってKim′を計算する。
【0032】
【数5】
▲3▼ 下記(9)に従って共有鍵Kimを計算する。但し、Dは統括センタ1が予め公開している自然数であり、下記(10)の条件を満たす。
【0034】
【数6】
次に、上述した暗号システムにおけるエンティティ間の情報の通信について説明する。図2は、2人のエンティティi,m間における情報の通信状態を示す模式図である。図2の例は、エンティティiが平文(メッセージ)Mを暗号文Cに暗号化してそれをエンティティmへ伝送し、エンティティmがその暗号文Cを元の平文(メッセージ)Mに復号する場合を示している。
【0036】
エンティティi側には、エンティティmの個人識別情報IDm を入力し、関数h(・)を利用してベクトルvm (公開鍵)を得る公開鍵生成器11と、統括センタ1から送られる秘密鍵ベクトルsi と公開鍵生成器11からの公開鍵であるベクトルvm と公開された自然数Dとに基づいてエンティティiが求めるエンティティmとの共有鍵Kimを生成する共有鍵生成器12と、共有鍵Kimを用いて平文(メッセージ)Mを暗号文Cに暗号化して通信路30へ出力する暗号化器13とが備えられている。
【0037】
また、エンティティm側には、エンティティiの個人識別情報IDi を入力し、関数h(・)を利用してベクトルvi (公開鍵)を得る公開鍵生成器21と、統括センタ1から送られる秘密のベクトルsm と公開鍵生成器21からの公開鍵であるベクトルvi と公開された自然数Dとに基づいてエンティティmが求めるエンティティiとの共有鍵Kmiを生成する共有鍵生成器22と、共有鍵Kmiを用いて通信路30から入力した暗号文Cを平文(メッセージ)Mに復号して出力する復号器23とが備えられている。
【0038】
次に、動作について説明する。エンティティiからエンティティmへ情報を伝送しようとする場合、まず、エンティティmの個人識別情報IDm が公開鍵生成器11に入力されてベクトルvm (公開鍵)が得られ、得られたベクトルvm が共有鍵生成器12へ送られる。また、統括センタ1及び分割センタ10にて上記(3)〜(6)に従って求められたベクトルsi が共有鍵生成器12へ入力される。そして、上記式(7)〜(9)に従って共有鍵Kimが求められ、暗号化器13へ送られる。暗号化器13において、この共有鍵Kimを用いて平文(メッセージ)Mが暗号文Cに暗号化され、暗号文Cが通信路30を介して伝送される。
【0039】
通信路30を伝送された暗号文Cはエンティティmの復号器23へ入力される。エンティティiの個人識別情報IDi が公開鍵生成器21に入力されてベクトルvi (公開鍵)が得られ、得られたベクトルvi が共有鍵生成器22へ送られる。また、統括センタ1及び分割センタ10にて上記(3)〜(6)に従って求められたベクトルsm が共有鍵生成器22へ入力される。そして、上記式(7)〜(9)に従って共有鍵Kmiが求められ、復号器23へ送られる。復号器23において、この共有鍵Kmiを用いて暗号文Cが平文(メッセージ)Mに復号される。
【0040】
なお、先行例1の手法を基本とした方式に本発明を適用した場合について説明したが、本発明は先行例2の手法を基本とした方式にも適用できる。この場合には、例えば、上記(6)に加えて下記(11)のような秘密鍵ベクトルsi ′を用いて、鍵共有を行うようにすれば良い。但し、Qi はエンティティi固有の法である。この場合には、鍵共有の段階で個人秘密乱数ベクトルri が消去されるので、そのベクトルri の成分を大きく設定することが可能である。
【0041】
【数7】
以下、本発明の方式におけるエンティティ間での鍵共有に必要な諸条件について説明する。
【0043】
(各要素のビット数)
十分に高い確率で鍵共有を成功させるためには、エンティティiに固有の秘密乱数ベクトルri の各成分の大きさLr を log 2(Pim),Dよりも十分小さく設定する必要がある。即ち、下記(12)とし、更に下記(13)となるようにすれば良い。また、LLL法による結託攻撃に対してより安全にするためには、下記(14)を満たすようにLr を設定する。なお、eは桁上がりのための余裕、kは設計値である。
【0044】
【数8】
(関数g)
関数gにより、第2IDベクトルwi が定まるが、ベクトルwi は、秘密鍵ベクトルxi の法Pi 及び鍵共有の際に用いる法Pimの設定に用いられる。従って、法Pi 及び法Pimがある程度以上の大きさになるように、ベクトルwi の成分が1となる個数(ベクトルwi の重み=#Wi )及び#{Wi ∩Wm }の大きさを適切に与える必要がある。
【0046】
#Wi 及び#{Wi ∩Wm }がある一定の大きさよりも必ず大きくなるようなベクトルwi ,ベクトルwm を生成するためには、例えばID情報をある一方向性関数h(・)に通したデータをM系列符号のような定重み符号で符号化すれば良い。符号長nビット,重み2dの定重み符号語を第2IDベクトルとした場合、異なる2つの符号語の1の位置はd箇所で必ず一致する。従って、この定重み2dの符号語を用いることにより、法Pimの大きさをある大きさ以上にすることが可能である。
【0047】
例えば、3ビットの情報記号に対して、符号長n=23 −1=7,重み2d=2k-1 =4となる定重み符号を考える。この場合、情報記号は(0,0,0)を除いて3ビットで表せるので、7種類存在する。エンティティiの第2IDベクトルが符号語(1,1,1,0,0,1,0)、エンティティmの第2IDベクトルが符号語(1,0,0,1,0,1,1)で与えられた場合、Pim=P(1) P(6) となる。
【0048】
(定重み符号による第2IDベクトルの生成)
後述するように、第2IDベクトルの0の成分の割合が高ければ高い程、LLL法を用いた結託攻撃に対する安全性は高くなるが、0の成分の割合を高くすれば、#{Wi ∩Wm }をある値以上に保つことは容易でない。これを実現するために、以下のような定重み符号を階層的に適用する。
【0049】
▲1▼ h(・)を一方向性関数として、エンティティのID情報から生成した値をb=2k −1進数で表記する。即ち、下記(15)のように定義する。
【0050】
【数9】
▲2▼ wij′を符号化し、この符号語をcijとする。但し、符号化は、M系列(例:k=3の場合に(1001011))をwij′ビットだけ左巡回シフトすることによって行う。
▲3▼ ci0の0の位置をbビットの0に置き換え、1の位置を左から順に下記(16)に示すbビットの符号語で置き換える。これにより、符号長b2 ,重み(2k-1 )2 の符号語に拡大することができる。
【0052】
【数10】
▲4▼ 以上の処理をt回階層的に繰り返すことにより、符号長bt ,重み(2k-1 )t の符号語に拡大することができる。なお、異なる第2IDベクトルのビットANDをとった場合の1の個数、即ち#Wimは必ず(2k-2 )t 以上となる。
【0054】
上記▲1▼〜▲4▼を簡単な例で説明する。k=3,b=2k −1=7,t=2とした場合、以下のようになる。
h(IDA )=14761 =6+3・7+0・72 +1・73 +2・74
ベクトルwA ′=(6,3,0,1,2)
ベクトルwA ′の符号化:
(6,3,0,1,2)→(1100101, 1011100, 1001011, 0010111, 0101110) この場合、g(IDA )の計算結果は、下記(17)で与えられる。
【0055】
【数11】
次に、本発明のID−NIKSに対するLLLアルゴリズムを用いた攻撃手法について考察する。
【0057】
(第三者の秘密ベクトルの偽造攻撃)
LLLアルゴリズムを用いて犠牲エンティティvの秘密鍵ベクトルsv の近似値を求める手法について検討する。犠牲エンティティvの秘密鍵ベクトルsv の近似値を求めるためには、犠牲エンティティvと同じ法Pv またはそれを因数に含む法で生成された結託エンティティの秘密鍵ベクトルが必要である。即ち、第2IDベクトルが犠牲エンティティvのそれと同じか、それを含むような第2IDベクトルを有する結託エンティティが必要であり、第2IDベクトルの構成を工夫することにより、この攻撃法を不可能とすることができる。
【0058】
また、犠牲エンティティvの法Pv の因数を部分的に含む法を有する結託エンティティによる攻撃法も考えられるが、もし各P(j) における法で攻撃を行おうとしても、ベクトルri の成分がP(j) よりも大きくなり、攻撃は不可能である。また、先行例2の手法に基づく方式では、ベクトルri の成分がより大きく設定可能であり、この攻撃法はより困難となる。更に、攻撃の最終段階で中国人の剰余定理を適用する必要があり、そのときに各結託エンティティ固有の小さな乱数項に大きな値が乗じられるので、このような攻撃手法も成功する確率は十分低い。
【0059】
(センタ秘密行列を求める結託攻撃法)
LLLアルゴリズムを適用して、直接センタの秘密対称行列Tを導く攻撃に関して検討する。ここで、tp,j は対称行列Tの第p行第j列の成分であり、対称行列Tは、T≡T(j) (mod P(j) )(j=1,2,・・・,dg )を満たす。
【0060】
結託エンティティiの秘密鍵ベクトルsi の第1成分は、下記(18)で表せる。これをri1について解くと、下記(19)となる。式(19)における既知項は下記(20)であり、未知項は下記(21)である。
【0061】
【数12】
ここで、n人の結託エンティティ(i=1,2,・・・,n)の上記式(19)における既知項と未知項とから、下記(22)の行列方程式を構成する。
【0063】
【数13】
上記(22)の右辺の[−r11,−r12,・・・,−r1n]は小さなベクトルであるため、これを格子の最小基底ベクトルと見なしてLLLアルゴリズムを適用した場合には、下記(23)に示す未知項が求まる可能性がある。
【0065】
【数14】
下記(24)に示す未知項は、下記(25)に示す法のもとに一意に定まり、それらの桁数は下記(26)に示すものの桁数にほぼ等しくなる。
【0067】
【数15】
一方、エンティティiが保有する秘密成分は、法Pi を用いて導出されており、未知項tp,j と結託エンティティiが保有する秘密成分との桁数の大きさの比は、関数g(・)の次元数dg とその成分が1である個数との比にほぼ等しくなる。この比をRとした場合、このような結託攻撃が成功するためには、少なくともdf Rの結託エンティティが必要となる。
【0069】
従って、結託攻撃に対してより安全な方式にするためには、この比Rを大きくすれば良い。例えば、前述したようなM系列定重み符号を階層的に用いてg(・)を構成する場合、各パラメータをk=3,t=4としたとき、その次元dg は74 =2401となるのに対して、その重みは44 =256 であり、比Rは約9.38となる。この場合、鍵共有の際に用いる法Piwの大きさを規定するパラメータ#Wimは24 =16となる。更に、P(j) を20ビット程度の素数とした場合、 log 2(Pim)は約320 であり、結託攻撃に用いる共通の法の大きさは、下記(27)となる。
【0070】
【数16】
この場合の本発明の方式に対する結託攻撃では、結託エンティティ数を9df 以上必要とし、LLLアルゴリズムを用いた攻撃の際の計算は48020 ビット程度の演算になって、膨大な計算量を必要とする。
【0072】
このように本発明の方式は、結託閾値と個々の乗除算の計算量との二点に関して、先行例1,2に比べて、LLLアルゴリズムを用いた結託攻撃に対してより安全な方式となっている。また、上述した暗号通信システムでは、1つの統括センタと複数の分割センタとが設けられ、各分割センタがエンティティの秘密ベクトルを求めるようにしたので、全てのエンティティの秘密を1つのセンタが握るようなことはなく、 Big Brother 問題を解決できている。
【0073】
図3は、本発明の記録媒体の実施の形態の構成を示す図である。以下に説明する記録媒体に記録されており、上記(4)に示す各エンティティ固有の法を求める処理と、上記(5),(6)に示す各エンティティ固有の秘密鍵を計算する処理とを含むプログラムがロードされるコンピュータ40は、統括センタ1側に設けられている。また、以下に説明する記録媒体に記録されており、上記(7)に示すエンティティ間での共通の法を求める処理と、上記(8),(9)に示すエンティティ間の共有鍵を計算する処理とを含むプログラムがロードされるコンピュータ40は、各エンティティ側に設けられている。
【0074】
図3において、コンピュータ40とオンライン接続する記録媒体41は、コンピュータ40の設置場所から隔たって設置される例えばWWW(World Wide Web)のサーバコンピュータを用いてなり、記録媒体41には前述の如きプログラム41a が記録されている。記録媒体41から読み出されたプログラム41a がコンピュータ40を制御することにより、統括センタ1において各エンティティ固有の秘密鍵を生成し、各エンティティにおいて通信対象のエンティティに対する共有鍵を生成する。
【0075】
コンピュータ40の内部に設けられた記録媒体42は、内蔵設置される例えばハードディスクドライブまたはROMなどを用いてなり、記録媒体42には前述の如きプログラム42a が記録されている。記録媒体42から読み出されたプログラム42a がコンピュータ40を制御することにより、統括センタ1において各エンティティ固有の秘密鍵を生成し、各エンティティにおいて通信対象のエンティティに対する共有鍵を生成する。
【0076】
コンピュータ40に設けられたディスクドライブ40aに装填して使用される記録媒体43は、運搬可能な例えば光磁気ディスク,CD−ROMまたはフレキシブルディスクなどを用いてなり、記録媒体43には前述の如きプログラム43a が記録されている。記録媒体43から読み出されたプログラム43a がコンピュータ40を制御することにより、統括センタ1において各エンティティ固有の秘密鍵を生成し、各エンティティにおいて通信対象のエンティティに対する共有鍵を生成する。
【0077】
【発明の効果】
以上詳述したように、本発明では、各エンティティ毎に各エンティティ固有の法を設定し、設定した法により各エンティティ固有の秘密鍵を生成するようにしたので、LLLアルゴリズムに基づく攻撃に対して安全性を高くすることが可能となる。
【図面の簡単な説明】
【図1】本発明の暗号通信システムの構成を示す模式図である。
【図2】2人のエンティティ間における情報の通信状態を示す模式図である。
【図3】記録媒体の実施の形態の構成を示す図である。
【図4】ID−NIKSのシステムの原理構成図である。
【符号の説明】
1 統括センタ
10 分割センタ
11,21 公開鍵生成器
12,22 共有鍵生成器
13 暗号化器
23 復号器
30 通信路
40 コンピュータ
41,42,43 記録媒体
Claims (4)
- センタ装置から各エンティティ装置へ各エンティティ固有の秘密鍵を送付し、一方のエンティティ装置が前記センタ装置から送付された該エンティティ固有の秘密鍵と公開された他方のエンティティの公開鍵とから求めた共有鍵を利用して平文を暗号文に暗号化して他方のエンティティ装置へ伝送し、該他方のエンティティ装置が伝送された暗号文を、前記センタ装置から送付された該エンティティ固有の秘密鍵と公開された前記一方のエンティティの公開鍵とから求めた、前記共有鍵と同一の共有鍵を利用して元の平文に復号することにより、暗号文通信に先立ってエンティティ装置間での予備通信を必要としない方式にて、エンティティ装置間で情報の通信を行う暗号通信方法において、前記センタ装置は、前記各エンティティ毎に固有の法を設定し、前記各エンティティ毎に設定した固有の法により前記各エンティティ固有の秘密鍵を生成し、前記一方及び他方のエンティティ装置は、前記各エンティティ毎に設定した固有の法に基づいて共通の法を求め、求めた共通の法により前記共有鍵を生成することを特徴とする暗号通信方法。
- 前記センタ装置は、各エンティティの公開鍵を用いて各エンティティの秘密ベクトルを求め、求めた各エンティティの秘密ベクトルと各エンティティ固有の個人秘密乱数ベクトルとを用いて、前記各エンティティ毎に設定した固有の法により前記各エンティティ固有の秘密鍵を生成する請求項1記載の暗号通信方法。
- 前記センタ装置は、前記各エンティティの公開鍵を、各エンティティの特定情報に基づいて求める請求項1又は2記載の暗号通信方法。
- 送信すべき情報である平文を暗号文に暗号化する処理、及び、送信された暗号文を元の平文に復号する処理を、暗号文通信に先立って複数のエンティティ装置間での予備通信を必要としない方式にて、複数のエンティティ装置間で相互に行う暗号通信システムにおいて、各エンティティ毎に固有の法を設定する手段、設定した法により各エンティティ固有の秘密鍵を生成する手段、及び、生成した秘密鍵を各エンティティ装置へ送付する手段を備えるセンタ装置と、各エンティティ毎に設定した固有の法に基づいて共通の法を求める手段、及び、求めた共通の法により、前記センタ装置から送付された自身固有の秘密鍵と通信対象のエンティティの公開鍵とを用いて、前記暗号化する処理及び復号する処理を行うための共有鍵を生成する手段を備える複数のエンティティ装置とを有することを特徴とする暗号通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20390399A JP3953235B2 (ja) | 1999-07-16 | 1999-07-16 | 暗号通信方法及び暗号通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20390399A JP3953235B2 (ja) | 1999-07-16 | 1999-07-16 | 暗号通信方法及び暗号通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001036516A JP2001036516A (ja) | 2001-02-09 |
| JP3953235B2 true JP3953235B2 (ja) | 2007-08-08 |
Family
ID=16481624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP20390399A Expired - Fee Related JP3953235B2 (ja) | 1999-07-16 | 1999-07-16 | 暗号通信方法及び暗号通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3953235B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7213004B2 (en) * | 2001-04-12 | 2007-05-01 | Koninklijke Philips Electronics N.V. | Apparatus and methods for attacking a screening algorithm based on partitioning of content |
-
1999
- 1999-07-16 JP JP20390399A patent/JP3953235B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001036516A (ja) | 2001-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7164580B2 (ja) | ウォレット管理システムと併せたブロックチェーンベースのシステムのための暗号鍵のセキュアなマルチパーティ損失耐性のある記憶及び転送 | |
| Mambo et al. | Proxy cryptosystems: Delegation of the power to decrypt ciphertexts | |
| US7239701B1 (en) | Key sharing method, secret key generating method, common key generating method and cryptographic communication method in ID-NIKS cryptosystem | |
| JP2010161826A (ja) | 証明書に基づく暗号化および公開鍵構造基盤 | |
| JP2001211153A (ja) | 秘密鍵生成方法 | |
| Son et al. | Conditional proxy re-encryption for secure big data group sharing in cloud environment | |
| JP4450969B2 (ja) | 鍵共有システム,秘密鍵生成装置,共通鍵生成システム,暗号通信方法,暗号通信システム及び記録媒体 | |
| CN116830523A (zh) | 阈值密钥交换 | |
| JP2001211154A (ja) | 秘密鍵生成方法,暗号化方法及び暗号通信方法 | |
| CN108599941A (zh) | 随机非对称扩充字节通信数据加密方法 | |
| JP4758110B2 (ja) | 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法 | |
| JP4485122B2 (ja) | 公開鍵暗号システム,署名システム,暗号通信システム,秘密鍵生成器,公開鍵生成器及びコンピュータプログラム | |
| JP3953235B2 (ja) | 暗号通信方法及び暗号通信システム | |
| Son et al. | On secure data sharing in cloud environment | |
| Srinadh et al. | Data security and recovery approach using elliptic curve cryptography | |
| Mathur et al. | A Modified RSA Approach for Encrypting and Decrypting Text and Images Using Multi-Power, Multi Public Keys, Multi Prime Numbers and K-nearest Neighbor Algorithm | |
| JP3622072B2 (ja) | 暗号通信方法 | |
| JP7254296B2 (ja) | 鍵交換システム、情報処理装置、鍵交換方法及びプログラム | |
| US11824979B1 (en) | System and method of securing a server using elliptic curve cryptography | |
| CN113141249B (zh) | 一种门限解密方法、***及可读存储介质 | |
| Wall et al. | Cryptographically enforced orthogonal access control at scale | |
| JP2007325318A (ja) | 署名システム | |
| JP2005321719A (ja) | 通信システム、復号装置、復元装置、鍵生成装置及び通信方法 | |
| JP3587746B2 (ja) | 秘密鍵生成器,暗号化装置,暗号通信方法,暗号通信システム及び記録媒体 | |
| JP3592118B2 (ja) | 暗号化装置,暗号通信方法,暗号通信システム及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040817 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041015 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20041021 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20050624 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070323 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070424 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |