JP4576824B2 - 情報処理装置および情報処理方法 - Google Patents
情報処理装置および情報処理方法 Download PDFInfo
- Publication number
- JP4576824B2 JP4576824B2 JP2003353311A JP2003353311A JP4576824B2 JP 4576824 B2 JP4576824 B2 JP 4576824B2 JP 2003353311 A JP2003353311 A JP 2003353311A JP 2003353311 A JP2003353311 A JP 2003353311A JP 4576824 B2 JP4576824 B2 JP 4576824B2
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- information
- information processing
- key
- devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、情報処理装置および情報処理方法に関する。さらに、詳細には、generalized Diffie−Hellman assumptionに基づいたブロードキャスト暗号方式により、効率的な暗号文送受信および解析を可能とし、生成する暗号文の削減、暗号文を受領し復号するユーザデバイス、受信機等の情報処理装置における計算量の削減を実現する情報処理装置および情報処理方法に関する。
昨今、音楽等のオーディオデータ、映画等の画像データ、ゲームプログラム、各種アプリケーションプログラム等、様々なソフトウエアデータ(以下、これらをコンテンツ(Content)と呼ぶ)が、インターネット等のネットワークを介して、あるいはCD(Compact Disc)、DVD(Digital Versatile Disk)、MD(Mini Disk)等の情報記録媒体(メディア)を介して流通している。これらの流通コンテンツは、ユーザの所有するPC(Personal Computer)、CDプレーヤ、DVDプレーヤ、MDプレーヤ等の再生装置、あるいはゲーム機器等の様々な情報処理装置において再生され利用される。
音楽データ、画像データ等、多くのコンテンツは、一般的にその作成者あるいは販売者に頒布権等が保有されている。従って、これらのコンテンツの配布に際しては、一定の利用制限、すなわち、正規なユーザに対してのみ、コンテンツの利用を許諾し、許可のない複製等が行われないようにする構成をとるのが一般的となっている。
特に、近年においては、情報をデジタル的に記録する記録装置や記憶媒体が普及しつつある。このようなデジタル記録装置および記憶媒体によれば、例えば画像や音声を劣化させることなく記録、再生を繰り返すことが可能であり、不正コピーコンテンツのインターネットを介した配信や、CD−R等の記録媒体に対する不正コピーという問題が発生している。
このようなコンテンツの不正利用を防止する1つの方式として、コンテンツあるいは暗号化コンテンツを復号するための鍵を暗号化して提供するシステムがある。例えばブロードキャスト・エンクリプション(Broadcast Encryption)方式の一態様である階層型木構造を適用した暗号化データ提供構成は、提供する暗号化データに含まれる暗号文の設定を適宜変更することで、特定の選択された正規ユーザまたは正規デバイスのみにおいて復号可能な暗号文の提供を行うシステムである。
階層型木構造を適用した暗号鍵等の暗号データ提供処理については、例えば特許文献1に詳細が記述されている。
同報通信路を用いて、暗号文の提供者としての送信機(送信者)が任意に選択した暗号文の受領者、すなわち受信機(受信者)のグループに安全にコンテンツキーなどの秘密情報を送信する手法は、一般的にリボケーションスキーム(revocation scheme)や、ブロードキャスト・エンクリプション(broadcast encryption scheme)と呼ばれる。
リボケーションスキームや、ブロードキャスト・エンクリプションを実現する各方式の効率を評価する主要項目として、
(1)暗号文を受領して処理を行なうユーザデバイス、受信機等の情報処理装置が安全に保管しなければならない鍵の数(サイズ)
(2)同報通信されるメッセージの数(サイズ)、
(3)暗号文を受領して処理を行なうユーザデバイス、受信機等の情報処理装置が必要とする計算量
の3つの評価項目がある。
(1)暗号文を受領して処理を行なうユーザデバイス、受信機等の情報処理装置が安全に保管しなければならない鍵の数(サイズ)
(2)同報通信されるメッセージの数(サイズ)、
(3)暗号文を受領して処理を行なうユーザデバイス、受信機等の情報処理装置が必要とする計算量
の3つの評価項目がある。
上記の3つの評価項目のすべてを小さくする方式、あるいは少なくとも上記項目中の1つまたは2つを小さくする方式が、より優れた方式であるとされるが、これまでに公知となっている各方式では、総受信機数Nや、暗号文の復号許容受信機以外の排除受信機(リボーク受信機)数rに依存していずれかの評価項目が大きくなってしまうという問題があった。
これまでに公知となっている方式のうち、非特許文献1に記載された方式では、Diffie−Hellman inversion assumptionを満たす暗号学的なnマルチリニアマップ(n−multilinear map)が存在するという仮定のもとで、上記の(1)と(2)の評価項目をともに定数とするようなブロードキャスト・エンクリプション方式が提案されている。なお、マルチリニアマップ(n−multilinear map)については、本明細書の[発明を実施するための最良の形態]中において詳細を説明する。
しかしながら、この方式が前提としているDiffie−Hellman inversion assumptionの妥当性はこれまであまり研究されておらず、近い将来にこの仮定を置くことは不適当であるようになる可能性もある。たとえば、Diffie−Hellman inversion問題を現実的な時間で解くアルゴリズムが発見される可能性もある。このため、この仮定ではなく別の仮定に基づいた同程度もしくはそれ以上に効率のよいブロードキャスト暗号方式を構成することが課題となっている。
特開2001−352322号公報
D.Boneh and A.Silverberg著の論文"Applications of Multilinear Forms to Cryptography"(この論文は、国際暗号研究協会が管理しているウェブサイトのテクニカルレポートとしてhttp://eprint.iacr.org/2002/080/に掲載されているとともに、著者の一人であるProf.Bonehが管理するウェブサイトにhttp://crypto.stanford.edu/~dabo./papers/mlinear.pdfとして掲載されている)
本発明は、このような状況に鑑みてなされたものであり、上記論文「D.Boneh and A.Silverberg著の論文"Applications of Multilinear Forms to Cryptography」の方式と同程度に効率(受信機の鍵数,メッセージ量)のよい方式を実現する情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラムを提供することを目的とする。
本発明においては、Diffie−Hellman inversion assumptionではなく、上記の論文で別の応用のために用いられているgeneralized Diffie−Hellman assumptionに基づいたブロードキャスト暗号方式を提唱する。上記の論文においては、generalized Diffie−Hellman assumptionはユニークデジタル署名方式に用いられているが、本発明においてこれをブロードキャスト暗号方式に応用することにより、効率的な暗号文送受信および解析を可能とし、生成する暗号文の削減、暗号文を受領し復号するユーザデバイス、受信機等の情報処理装置における計算量の削減を実現した情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラムを提供することを目的とする。
本発明の第1の側面は、
暗号文復号許容機器に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して暗号鍵を生成し、該暗号鍵によって出力情報を暗号化して暗号文を生成する暗号文生成部と、
前記暗号文復号許容機器の集合を表す情報および前記暗号文生成部で生成された暗号文を送信または記録媒体に記録する情報出力部と
を備える情報処理装置にある。
暗号文復号許容機器に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して暗号鍵を生成し、該暗号鍵によって出力情報を暗号化して暗号文を生成する暗号文生成部と、
前記暗号文復号許容機器の集合を表す情報および前記暗号文生成部で生成された暗号文を送信または記録媒体に記録する情報出力部と
を備える情報処理装置にある。
さらに、本発明の情報処理装置の一実施態様において、前記暗号文生成部は、前記nマルチリニアマップを適用して生成する暗号鍵として、下式により、セッションキーKsを生成する。
ただし、
G2は、generalizedDiffie−Hellman assumptionを満たすnマルチリニアマップe:G1 n→G2を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
xjは、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)であり、hj=gxjが公開値、pは群G1,G2の位数、gは群G1の生成元、xiは、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
G2は、generalizedDiffie−Hellman assumptionを満たすnマルチリニアマップe:G1 n→G2を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
xjは、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)であり、hj=gxjが公開値、pは群G1,G2の位数、gは群G1の生成元、xiは、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
さらに、本発明の第2の側面は、
暗号文復号許容機器の集合を表す情報および暗号文を受信または記録媒体から再生して取得する情報取得部と、
秘密鍵を格納した記憶部と、
前記情報取得部で取得された前記暗号文許容機器の集合を表す情報に基づいて自機器が暗号文復号許容機器の集合に含まれているか判断する判断部と、
前記判断部で自機器が暗号文復号許容機器の集合に含まれていると判断されるとき、前記記憶部に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して生成された暗号鍵を算出する暗号鍵算出部と、
前記暗号鍵算出部で算出された暗号鍵に基づいて、前記情報取得部で取得された暗号文を復号して情報を得る暗号文復号部と
を備える情報処理装置にある。
さらに、本発明の情報処理装置の一実施態様において、前記暗号鍵算出部は、下式により、暗号鍵としてのセッションキーKsを算出する。
ただし、
G 2 は、generalized Diffie−Hellman assumptionを満たすnマルチリニアマップe:G 1 n →G 2 を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
x j は、ランダムな整数x j ∈[1,p−1](ただし、j=1,・・・,2N−1)であり、h j =g xj が公開値、pは群G 1 ,G 2 の位数、gは群G 1 の生成元、x i は、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
暗号文復号許容機器の集合を表す情報および暗号文を受信または記録媒体から再生して取得する情報取得部と、
秘密鍵を格納した記憶部と、
前記情報取得部で取得された前記暗号文許容機器の集合を表す情報に基づいて自機器が暗号文復号許容機器の集合に含まれているか判断する判断部と、
前記判断部で自機器が暗号文復号許容機器の集合に含まれていると判断されるとき、前記記憶部に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して生成された暗号鍵を算出する暗号鍵算出部と、
前記暗号鍵算出部で算出された暗号鍵に基づいて、前記情報取得部で取得された暗号文を復号して情報を得る暗号文復号部と
を備える情報処理装置にある。
さらに、本発明の情報処理装置の一実施態様において、前記暗号鍵算出部は、下式により、暗号鍵としてのセッションキーKsを算出する。
G 2 は、generalized Diffie−Hellman assumptionを満たすnマルチリニアマップe:G 1 n →G 2 を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
x j は、ランダムな整数x j ∈[1,p−1](ただし、j=1,・・・,2N−1)であり、h j =g xj が公開値、pは群G 1 ,G 2 の位数、gは群G 1 の生成元、x i は、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
さらに、本発明の第3の側面は、
暗号文復号許容機器に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して暗号鍵を生成し、該暗号鍵によって出力情報を暗号化して暗号文を生成する暗号文生成ステップと、
前記暗号文復号許容機器の集合を表す情報および前記暗号文生成ステップで生成された暗号文を送信または記録媒体に記録する情報出力ステップと
を有する情報処理方法にある。
暗号文復号許容機器に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して暗号鍵を生成し、該暗号鍵によって出力情報を暗号化して暗号文を生成する暗号文生成ステップと、
前記暗号文復号許容機器の集合を表す情報および前記暗号文生成ステップで生成された暗号文を送信または記録媒体に記録する情報出力ステップと
を有する情報処理方法にある。
さらに、本発明の情報処理方法の一実施態様において、前記暗号文生成ステップでは、前記nマルチリニアマップを適用して生成する暗号鍵として、下式により、セッションキーKsを生成する。
ただし、
G2は、generalizedDiffie−Hellman assumptionを満たすnマルチリニアマップe:G1 n→G2を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
xjは、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)であり、hj=gxjが公開値、pは群G1,G2の位数、gは群G1の生成元、xiは、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
G2は、generalizedDiffie−Hellman assumptionを満たすnマルチリニアマップe:G1 n→G2を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
xjは、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)であり、hj=gxjが公開値、pは群G1,G2の位数、gは群G1の生成元、xiは、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
さらに、本発明の第4の側面は、
暗号文復号許容機器の集合を表す情報および暗号文を受信または記録媒体から再生して取得する情報取得ステップと、
前記情報取得ステップで取得された前記暗号文許容機器の集合を表す情報に基づいて自機器が暗号文復号許容機器の集合に含まれているか判断する判断ステップと、
前記判断ステップで自機器が暗号文復号許容機器の集合に含まれていると判断されるとき、記憶部に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して生成された暗号鍵を算出する暗号鍵算出ステップと、
前記暗号鍵算出ステップで算出された暗号鍵に基づいて、前記情報取得ステップで取得された暗号文を復号して情報を得る暗号文復号ステップと
を有する情報処理方法にある。
さらに、本発明の情報処理方法の一実施態様において、前記暗号鍵算出ステップでは、下式により、暗号鍵としてのセッションキーKsを算出する。
ただし、
G 2 は、generalized Diffie−Hellman assumptionを満たすnマルチリニアマップe:G 1 n →G 2 を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
x j は、ランダムな整数x j ∈[1,p−1](ただし、j=1,・・・,2N−1)であり、h j =g xj が公開値、pは群G 1 ,G 2 の位数、gは群G 1 の生成元、x i は、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
暗号文復号許容機器の集合を表す情報および暗号文を受信または記録媒体から再生して取得する情報取得ステップと、
前記情報取得ステップで取得された前記暗号文許容機器の集合を表す情報に基づいて自機器が暗号文復号許容機器の集合に含まれているか判断する判断ステップと、
前記判断ステップで自機器が暗号文復号許容機器の集合に含まれていると判断されるとき、記憶部に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して生成された暗号鍵を算出する暗号鍵算出ステップと、
前記暗号鍵算出ステップで算出された暗号鍵に基づいて、前記情報取得ステップで取得された暗号文を復号して情報を得る暗号文復号ステップと
を有する情報処理方法にある。
さらに、本発明の情報処理方法の一実施態様において、前記暗号鍵算出ステップでは、下式により、暗号鍵としてのセッションキーKsを算出する。
G 2 は、generalized Diffie−Hellman assumptionを満たすnマルチリニアマップe:G 1 n →G 2 を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
x j は、ランダムな整数x j ∈[1,p−1](ただし、j=1,・・・,2N−1)であり、h j =g xj が公開値、pは群G 1 ,G 2 の位数、gは群G 1 の生成元、x i は、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
本発明の構成によれば、複数の情報処理装置から選択した特定の暗号文復号許容機器の格納鍵のみに基づいて復号可能な暗号文を送信する構成を、generalized Diffie−Hellman assumptionを満たすマルチリニアマップ(multilinear map)に基づくブロードキャスト暗号方式に基づいて構築することにより、送信暗号文数の削減、および各情報処理装置に格納する鍵数の削減が実現され、効率的な暗号文ブロードキャスト処理が実現可能となる。
以下、図面を参照しながら本発明の情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラムの詳細について説明する。
本発明は、generalized Diffie−Hellman assumptionを満たすマルチリニアマップ(multilinear map)を用いたブロードキャスト暗号方式であり、効率的な暗号文送受信および解析を可能とするものである。
まず、上記背景技術の欄で説明した非特許文献「D.Boneh and A.Silverberg著の論文"Applications of Multilinear Forms to Cryptography」に基づいて、暗号学的なnマルチリニアマップ(n−multilinear map)について説明する。
nマルチリニアマップe:G1 n→G2とは、下記の条件(1),(2),(3)を満たすものである。
(1)G1とG2は同じ素数の位数を持つ群である。
(2)下記条件を満足する。
(1)G1とG2は同じ素数の位数を持つ群である。
(2)下記条件を満足する。
(3)もしg∈G1がG1の生成元であるならば、e(g,・・・g)はG2の生成元である。
そして、暗号学的なnマルチリニアマップ(n−multilinear map)とは、
(1)G1およびG2上の群の演算が効率的に行える。
(2)nマルチリニアマップeが効率的に計算可能である。
(3)G1上の離散対数問題を解く効率的なアルゴリズムがない。
という3つの条件を満たすようなnマルチリニアマップである。
(1)G1およびG2上の群の演算が効率的に行える。
(2)nマルチリニアマップeが効率的に計算可能である。
(3)G1上の離散対数問題を解く効率的なアルゴリズムがない。
という3つの条件を満たすようなnマルチリニアマップである。
後述するように、また、前述の非特許文献にも記載されているように、現在までに、n=2については、Tate paringまたはWeil paringという技術を用いて暗号学的なnマルチリニアマップを構成できると考えられている。
本実施例の説明においては、以下の(a)(b)の態様順に具体的な暗号文配信構成について説明する。
(a)任意数n(n>1)について暗号学的なnマルチリニアマップが存在すると仮定し、そのようなマップであるnマルチリニアマップeを用いたブロードキャスト・エンクリプション方式
(b)n=2とした暗号学的な2マルチリニアマップを用いたブロードキャスト・エンクリプション方式
(a)任意数n(n>1)について暗号学的なnマルチリニアマップが存在すると仮定し、そのようなマップであるnマルチリニアマップeを用いたブロードキャスト・エンクリプション方式
(b)n=2とした暗号学的な2マルチリニアマップを用いたブロードキャスト・エンクリプション方式
なお、本実施例において、暗号文の配信処理を実行する送信者は、総受信機数Nから、特定の選択された暗号文復号許容受信機集合Sを選択し、その他の受信機をリボーク(排除)受信機として設定する。すなわち、暗号文提供者は、暗号文復号許容受信機においてのみ、解読可能な暗号文を生成して送信する。
暗号文は、ネットワークを介した通信、あるいはCD,DVD等の情報記録媒体に格納して提供される。この暗号文は、全ての受信機(ユーザ)が取得可能である。ただし、提供した暗号文は、リボークされた機器に格納された鍵を用いて復号することはできず、リボーク機器以外の機器、すなわち、暗号文復号許容機器に格納された鍵によってのみ復号できる。
(a)任意数n(n>1)のnマルチリニアマップeを用いたブロードキャスト・エンクリプション方式
まず、任意数n(n>1)のnマルチリニアマップeを用いたブロードキャスト・エンクリプション方式について説明する。
本実施例において説明するブロードキャスト・エンクリプション方式は、
(1)セットアップ、
(2)暗号化および送信、
(3)受信および復号、
の3つのフェーズに分かれている。セットアップフェーズは、システムの立ち上げ時に1度だけ行う。暗号化および送信、受信および復号の各フェーズは、情報の送信を行うたびに繰り返す。
(1)セットアップ、
(2)暗号化および送信、
(3)受信および復号、
の3つのフェーズに分かれている。セットアップフェーズは、システムの立ち上げ時に1度だけ行う。暗号化および送信、受信および復号の各フェーズは、情報の送信を行うたびに繰り返す。
ブロードキャスト・エンクリプション方式を構成するエンティティは、
(a)暗号文の生成および提供処理を行なう情報処理装置としての送信者(送信機)、
(b)暗号文の受領および復号処理を行なう情報処理装置としてのユーザデバイス等の受信機あるいは受信者(ユーザ)
(c)ブロードキャスト・エンクリプション・システムを管理する管理センタ
である。
(a)暗号文の生成および提供処理を行なう情報処理装置としての送信者(送信機)、
(b)暗号文の受領および復号処理を行なう情報処理装置としてのユーザデバイス等の受信機あるいは受信者(ユーザ)
(c)ブロードキャスト・エンクリプション・システムを管理する管理センタ
である。
暗号文の受領および復号処理を行なう情報処理装置またはユーザの総数をNとする。また、システムを管理する管理センタを設ける。上記(1)セットアップ処理は、送信者あるいは管理センタが実行する。
(1)セットアップ
以下、暗号文の生成および提供処理を行なうエンティティまたは情報処理装置を送信者または送信機とし、暗号文を受領するエンティティまたは情報処理装置を受信者または受信機として説明する。セットアップ処理は、送信者側、あるいはシステム管理者によって実行されるが、以下では、送信者においてセットアップ処理を行うものとして説明する。
以下、暗号文の生成および提供処理を行なうエンティティまたは情報処理装置を送信者または送信機とし、暗号文を受領するエンティティまたは情報処理装置を受信者または受信機として説明する。セットアップ処理は、送信者側、あるいはシステム管理者によって実行されるが、以下では、送信者においてセットアップ処理を行うものとして説明する。
図1を参照して、暗号文を生成し提供する送信装置等の情報処理装置、暗号文を受領して、暗号文を選択し復号する処理を実行する受信装置等の情報処理装置の構成例について説明する。なお、本方式においてディスクなどの記録媒体に暗号文、鍵指定コードを格納して提供する場合は、送信装置はディスク書き込み装置もしくはディスク製造装置、受信機はディスク再生装置などの情報処理装置によって構成される。
一例としての情報処理装置は、図1に示すように、コントローラ101、演算ユニット102、入出力インタフェース103、セキュア記憶部104、メイン記憶部105、大容量記憶部106を備える。
コントローラ101は、例えばコンピュータ・プログラムに従ったデータ処理を実行する制御部としての機能を有するCPUによって構成される。演算ユニット102は、例えば暗号鍵の生成、乱数生成、及び暗号処理のための専用の演算機能を提供する。入出力インタフェース103は、キーボード、マウス等の入力手段からのデータ入力や、外部出力装置に対するデータ出力、ネットワークを介したデータ送受信処理に対応するインタフェースである。
セキュア記憶部104は、例えば暗号鍵としての固有鍵、各種IDなど、安全にまたは秘密に保持すべきデータを保存する記憶部である。メイン記憶部105は、例えばコントローラ101において実行するデータ処理プログラム、その他、一時記憶処理パラメータ、プログラム実行のためのワーク領域等に使用されるメモリ領域である。セキュア記憶部104及びメイン記憶部105は、例えばRAM、ROM等によって構成されるメモリである。大容量記憶部106は、ハードディスク、CD、DVD、MD等の大容量のデータ記録、読み出し可能な記憶部であり暗号化コンテンツなどを記録する。
なお、以下の説明においては、理解を容易にするため、暗号文を提供する情報処理装置を送信機、暗号文を受領する情報処理装置を受信機と称して説明する。ただし、ユーザに対する暗号文の提供は、前述したように、ネットワークを介して、あるいは情報記録媒体に格納して提供することができるものであり、暗号文提供側、受領側においてデータ送受信構成が必ずしも必要な構成ではない。
セットアップ処理について、詳細に説明する。送信者はgeneralized Diffie−Hellman assumptionを満たすnマルチリニアマップ(n−multilinear map)を定め、受信機に公開する。ただし、nは総受信機数Nに対し、n=N−1と定める。
ここで、generalized Diffie−Hellman assumptionを満たすとは、
と、
n個の受信機{1,・・・,n}のうちの部分集合、情報復号許容受信機集合S⊂{1,・・・,n}に対する
が与えられたときに、
を求めることが困難であることを言う。ここでgは群G1の生成元である。
n個の受信機{1,・・・,n}のうちの部分集合、情報復号許容受信機集合S⊂{1,・・・,n}に対する
また、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)を定め、
を求める。
ここでpは群G1,G2の位数であり、gはG1の生成元である。各hjは、公開し、また、受信機i(ただし、i=1,・・・,N)に対して、xiを秘密鍵として与える。受信機はxiを安全に保管する。xiは、各受信機iの秘密鍵として設定される。
ここでpは群G1,G2の位数であり、gはG1の生成元である。各hjは、公開し、また、受信機i(ただし、i=1,・・・,N)に対して、xiを秘密鍵として与える。受信機はxiを安全に保管する。xiは、各受信機iの秘密鍵として設定される。
いま、送受信機数N=4とすると、n=N−1=3となる。
送信者は、ランダムな整数x1,・・・,x7およびh1,・・・,h7を作成し、h1,・・・,h7を公開し、受信機1に対してx1を、受信機2に対してx2を、以下同様に受信機iに鍵xiを秘密鍵として与える。
送信者は、ランダムな整数x1,・・・,x7およびh1,・・・,h7を作成し、h1,・・・,h7を公開し、受信機1に対してx1を、受信機2に対してx2を、以下同様に受信機iに鍵xiを秘密鍵として与える。
(2)暗号化および送信
送信者はN個の受信機のうち、その通信において情報を復号させる受信機の集合、すなわち、情報復号許容受信機集合S⊆{1,・・・,n}を選択する。次に、セッションキーKsを下記のようにして導出し、このセッションキーKsを用いて送信情報を暗号化して、情報復号許容受信機集合S⊆{1,・・・,n}を表す情報とともに同報送信する。
送信者はN個の受信機のうち、その通信において情報を復号させる受信機の集合、すなわち、情報復号許容受信機集合S⊆{1,・・・,n}を選択する。次に、セッションキーKsを下記のようにして導出し、このセッションキーKsを用いて送信情報を暗号化して、情報復号許容受信機集合S⊆{1,・・・,n}を表す情報とともに同報送信する。
ここで、排除すべき受信機、すなわち情報復号許容受信機集合Sに含まれないリボーク受信機がなく、|S|=Nである場合は、上式のxN+1xN+2・・・x2N+n−|S|の部分は使用されない点に注意されたい。
また、情報復号許容受信機集合Sを表す情報は、たとえば、受信機番号のリストを用いて表すことが可能である。さらに、情報の暗号化は、セッションキーKsをそのまま使ってもよいし、たとえばセッションキーKsをSHA−1や、MD5等のハッシュ関数に入力して所望のサイズに変換した値を用いてもよい。
例えば、上記の設定、すなわち送受信機数N=4、n=N−1=3の場合に、情報復号許容受信機集合S={1,2}であるとすると、セッションキーKsは、
となる。
たとえば放送アプリケーションの場合には、情報復号許容受信機集合Sを表す情報を送信した後に放送コンテンツをセッションキーKsで暗号化して送信してもよいし、情報復号許容受信機集合Sを表す情報と、セッションキーKsを用いてコンテンツキーKcを暗号化した暗号文を送信した後に、コンテンツキーKcで暗号化されたコンテンツを送信してもよい。CDなどの記録メディアのアプリケーションの場合には、放送アプリケーションにおいて放送していた情報をディスクに記録して配布すればよい。
ところで、送信者がセッションキーKsを導出する際には、別の方法を用いてもよい。すなわち、j∈Sである|S|個のjをピックアップし、さらにNから2N−|S|までのN−|S|個のjをピックアップする。ピックアップされた全部でN個のjのうちのn=N−1個に対応するhjをそれぞれ入力としてマップeの出力を求め、その出力に対し残ったひとつのjに対するxj乗(G2上で)を行うことにより上記と等しいセッションキーKsを求めることができる。なお、この求め方は、後述の、受信機iがセッションキーKsを求める方法と同様である。
(3)受信および復号
受信機iは、同報通信路から送信された情報を受信し、自分がその通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sに含まれるかどうかを調べる。もし自分が情報復号許容受信機集合Sに含まれなければ、その通信を復号できないので処理を終了する。自分が情報復号許容受信機集合Sに含まれていれば、下記の処理によりセッションキーKsを求め、これを用いて送信された情報を復号する。
受信機iは、同報通信路から送信された情報を受信し、自分がその通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sに含まれるかどうかを調べる。もし自分が情報復号許容受信機集合Sに含まれなければ、その通信を復号できないので処理を終了する。自分が情報復号許容受信機集合Sに含まれていれば、下記の処理によりセッションキーKsを求め、これを用いて送信された情報を復号する。
1.カウンタj,kを用意し、j=1,k=1とセットする。
2.カウンタkがN以下の間、下記の処理を繰り返す
(a)k=iかと,kがSに含まれるかを調べる。
i.もし、kがSに含まれ、かつk≠iならば、Hjとしてhkをセットし、jとkを1増やす。
ii.そうでなければ、kを1増やす。
3.もしカウンタjがn以下であれば、その関係が成り立つ間、下記の処理を繰り返す
(b)Hjとしてhkをセットし、jとkを1増やす。
4.以下の式により、セッションキーKsを求める。
2.カウンタkがN以下の間、下記の処理を繰り返す
(a)k=iかと,kがSに含まれるかを調べる。
i.もし、kがSに含まれ、かつk≠iならば、Hjとしてhkをセットし、jとkを1増やす。
ii.そうでなければ、kを1増やす。
3.もしカウンタjがn以下であれば、その関係が成り立つ間、下記の処理を繰り返す
(b)Hjとしてhkをセットし、jとkを1増やす。
4.以下の式により、セッションキーKsを求める。
たとえば、上記の設定、すなわち送受信機数N=4、n=N−1=3の場合に、情報復号許容受信機集合S={1,2}であるとした場合、受信記2は、セッションキーKsを、
として求めることができる。
上記の構成とすることにより、受信機が安全に保管しなければならない鍵は1つ(xi)であり、また、鍵配信のために同報通信されるメッセージも1つのみとなる。すなわち、セッションキーKsを用いて送信情報、例えばコンテンツキーKcを暗号化した暗号文、
E(Ks,Kc)
のみとなる。E(A,B)は鍵AによるBの暗号化データを示す。
また、セッションキーKsを、直接コンテンツを暗号化する場合には、受信機は、セッションキーで暗号化された暗号化コンテンツの復号時に、自装置に格納された秘密情報を用いてセッションキーを算出することが可能であり、新たな送信情報は不要(ゼロ)となる。
E(Ks,Kc)
のみとなる。E(A,B)は鍵AによるBの暗号化データを示す。
また、セッションキーKsを、直接コンテンツを暗号化する場合には、受信機は、セッションキーで暗号化された暗号化コンテンツの復号時に、自装置に格納された秘密情報を用いてセッションキーを算出することが可能であり、新たな送信情報は不要(ゼロ)となる。
上述した処理例、すなわち、generalized Diffie−Hellman assumptionを満たすマルチリニアマップ(multilinear map)に基づくブロードキャスト暗号方式において、暗号文を生成し、提供する情報処理装置において実行する処理シーケンスと、暗号文を受領して復号処理を行なう例えば受信機等の情報処理装置における処理シーケンスについてフローチャートを参照して説明する。
まず、図2を参照して、暗号文を生成し、提供する情報処理装置において実行する処理シーケンスについて説明する。
暗号文送信側の情報処理装置は、まず、ステップS101において、N個の受信機のうち、その通信において情報を復号させる受信機の集合S⊆{1,・・・,n}を選択する。
ステップS102において、リボーク機器を除く情報を復号させる受信機の集合Sに基づいて、セッションキーKsを設定する。セッションキーKsは、
として計算する。
ステップS103において、
セッションキーKsによってコンテンツキーKcを暗号化し、暗号化コンテンツキー
Enc(Ks,Kc)
を算出する。
セッションキーKsによってコンテンツキーKcを暗号化し、暗号化コンテンツキー
Enc(Ks,Kc)
を算出する。
ステップS104において、
a.情報復号許容受信機集合S(たとえば、受信機番号のリスト)
b.暗号化コンテンツキーEnc(Ks,Kc)
c.暗号化コンテンツEnc(Kc,Con)
を通信路を介して送信する。あるいは情報記録媒体に書き込み、提供する。
a.情報復号許容受信機集合S(たとえば、受信機番号のリスト)
b.暗号化コンテンツキーEnc(Ks,Kc)
c.暗号化コンテンツEnc(Kc,Con)
を通信路を介して送信する。あるいは情報記録媒体に書き込み、提供する。
情報記録媒体に格納した情報例を図3に示す。情報記録媒体200は、例えばCD、DVD等の情報記録媒体である。ここに、
a.情報復号許容受信機集合S情報201、たとえば、受信機番号のリスト
b.暗号化コンテンツキーEnc(Ks,Kc)202
c.暗号化コンテンツEnc(Kc,Con)203
を格納し、提供する。
a.情報復号許容受信機集合S情報201、たとえば、受信機番号のリスト
b.暗号化コンテンツキーEnc(Ks,Kc)202
c.暗号化コンテンツEnc(Kc,Con)203
を格納し、提供する。
ユーザ機器としての情報処理装置は、いずれも同報通信路あるいは情報記録媒体を介して、これらの情報を受領することが可能である。しかし、その通信において情報を復号させる受信機の集合Sに含まれる機器のみが暗号文Enc(Ks,Kc)202に適用したセッションキーKsを自己の保有鍵に基づいて算出可能であり、リボーク機器は、暗号文Enc(Ks,Kc)202に適用したセッションキーKsを算出することができないので、受信機の集合Sに含まれる機器のみが暗号文Enc(Ks,Kc)202を復号してコンテンツキーKcを取得し、取得したコンテンツキーKcに基づいて暗号化コンテンツEnc(Kc,Con)203を復号してコンテンツ(Con)を取得できる。
次に、図4を参照して、
a.情報復号許容受信機集合S情報201、たとえば、受信機番号のリスト
b.暗号化コンテンツキーEnc(Ks,Kc)202
c.暗号化コンテンツEnc(Kc,Con)203
上記a〜cの各情報を受領したユーザ機器としての情報処理装置における処理手順について説明する。
a.情報復号許容受信機集合S情報201、たとえば、受信機番号のリスト
b.暗号化コンテンツキーEnc(Ks,Kc)202
c.暗号化コンテンツEnc(Kc,Con)203
上記a〜cの各情報を受領したユーザ機器としての情報処理装置における処理手順について説明する。
まず、ステップS201において、情報復号許容受信機集合Sを示す情報(たとえば、受信機番号のリスト)を読み出す。
ステップS202において、自身の装置が、その通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sに含まれるか否かを判定する。もし、情報復号許容受信機集合Sに含まれなければ、その通信を復号できないので処理を終了する。
自分が情報復号許容受信機集合Sに含まれていれば、ステップS203に進み、セッションキーKsを導出する。
セッションキーKsの具体的計算例を、図5に示す。この図5に示す処理は、前述したとおり、以下の処理である。
1.カウンタj,kを用意し、j=1,k=1とセットする。
2.カウンタkがN以下の間、下記の処理を繰り返す
(a)k=iかと、kがSに含まれるかを調べる。
i.もし、kがSに含まれ、かつk≠iならば、Hjとしてhkをセットし、jとkを1増やす。
ii.そうでなければ、kを1増やす。
3.もしカウンタjがn以下であれば,その関係が成り立つ間、下記の処理を繰り返す
(b)Hjとしてhkをセットし、jとkを1増やす。
4.以下の式により、セッションキーKsを求める。
1.カウンタj,kを用意し、j=1,k=1とセットする。
2.カウンタkがN以下の間、下記の処理を繰り返す
(a)k=iかと、kがSに含まれるかを調べる。
i.もし、kがSに含まれ、かつk≠iならば、Hjとしてhkをセットし、jとkを1増やす。
ii.そうでなければ、kを1増やす。
3.もしカウンタjがn以下であれば,その関係が成り立つ間、下記の処理を繰り返す
(b)Hjとしてhkをセットし、jとkを1増やす。
4.以下の式により、セッションキーKsを求める。
ステップS204において、セッションキーKsを適用して暗号文Enc(Ks,Kc)を復号してコンテンツキーKcを取得し、取得したコンテンツキーKcに基づいて暗号化コンテンツEnc(Kc,Con)を復号してコンテンツ(Con)を取得する。
(b)n=2とした暗号学的な2マルチリニアマップを用いたブロードキャスト・エンクリプション方式
上述の実施例においては、任意のn(n>1)に対する暗号学的なnマルチリニアマップ(n−multilinear map)が存在することを前提としているが、以下、既に実証されているn=2とした暗号学的なnマルチリニアマップ、すなわち2マルチリニアマップを適用した具体例を説明する。なお、n=2とした暗号学的なnマルチリニアマップについては、D.Boneh and M.Franklin著の論文"Identity−Based Encryption from the Weil Paring"(この論文は、著者の一人であるProf.Bonehが管理するウェブサイトにhttp://crypto.stanford.edu/~dabo./papers/ibe.pdfとして掲載されている)
以下、n=2とした2マルチリニアマップを適用したブロードキャスト・エンクリプション方式について、上述の例と同様、
(1)セットアップ、
(2)暗号化および送信、
(3)受信および復号、
の3つのフェーズに区分して説明する。
(1)セットアップ、
(2)暗号化および送信、
(3)受信および復号、
の3つのフェーズに区分して説明する。
セットアップフェーズは、システムの立ち上げ時に1度だけ行う。暗号化および送信、受信および復号の各フェーズは、情報の送信を行うたびに繰り返す。
ブロードキャスト・エンクリプション方式を構成するエンティティは、暗号文の生成および提供処理を行なう情報処理装置としての送信者(送信機)と、暗号文の受領および復号処理を行なう情報処理装置としてのユーザデバイス等の受信機あるいは受信者(ユーザ)であり、暗号文の受領および復号処理を行なう情報処理装置またはユーザの総数をNとする。また、システムを管理する管理センタを設ける。上記(1)セットアップ処理は、送信者あるいは管理センタが実行する。
(1)セットアップ
以下、暗号文の生成および提供処理を行なうエンティティまたは情報処理装置を送信者または送信機とし、暗号文を受領するエンティティまたは情報処理装置を受信者または受信機として説明する。セットアップ処理は、送信者側、あるいはシステム管理者によって実行されるが、以下では、送信者においてセットアップ処理を行うものとして説明する。
以下、暗号文の生成および提供処理を行なうエンティティまたは情報処理装置を送信者または送信機とし、暗号文を受領するエンティティまたは情報処理装置を受信者または受信機として説明する。セットアップ処理は、送信者側、あるいはシステム管理者によって実行されるが、以下では、送信者においてセットアップ処理を行うものとして説明する。
送信者はgeneralized Diffie−Hellman assumptionを満たすnマルチリニアマップ(n−multilinear map)を定め、受信機に公開する。ただし、n=2である。
また、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,N+2)を定め、
を求める。ここでpは群G1,G2の位数であり、gはG1の生成元である。また、Nは総受信機数である。各hjは、公開し、また、受信機i(ただし、i=1,・・・,N)に対して、xiを秘密鍵として与える。受信機はxiを安全に保管する。xiは、各受信機iの秘密鍵として設定される。また、実在しないダミーの受信機N+1およびN+2を仮想的に想定し、それぞれにxN+1およびxN+2が与えられているものと想定する。
いま、送受信機数N=10と仮定すると、
送信者は、ランダムな整数x1,・・・,x12およびh1,・・・,h12を作成し、h1,・・・,h12を公開し、受信機1に対してx1を、受信機2に対してx2を、以下同様に受信機iに鍵xiを秘密鍵として与える。
送信者は、ランダムな整数x1,・・・,x12およびh1,・・・,h12を作成し、h1,・・・,h12を公開し、受信機1に対してx1を、受信機2に対してx2を、以下同様に受信機iに鍵xiを秘密鍵として与える。
(2)暗号化および送信
送信者はN個の受信機のうち、その通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合S⊆{1,・・・,n}を選択する。例えば、送受信機数N=10として、10個の受信機1,・・・,10のうち、2,6,7をリボーク受信機とした場合、情報復号許容受信機集合S⊆{1,3,4,5,8,9,10}となる。
送信者はN個の受信機のうち、その通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合S⊆{1,・・・,n}を選択する。例えば、送受信機数N=10として、10個の受信機1,・・・,10のうち、2,6,7をリボーク受信機とした場合、情報復号許容受信機集合S⊆{1,3,4,5,8,9,10}となる。
次に、Sの要素をその番号iの順に、3つずつ、
個のサブグループSGkに分割する。
ただし、
である。
なお、
|S|は、情報復号許容受信機集合Sの要素数を示し、
は、|S|/3以上である最小の整数を表す。
|S|は、情報復号許容受信機集合Sの要素数を示し、
ただし、最後のサブグループ
にSの要素が1つしか入らない場合には、ダミー受信機N+1とN+2もサブグループの要素であるとし、また、
に、Sの要素が2つだけ入る場合には、ダミーの受信機N+1もこのサブグループの要素であるとする。
上述の例、すなわち、送受信機数N=10として、10個の受信機1,・・・,10のうち、2,6,7をリボーク受信機とした場合、情報復号許容受信機集合S⊆{1,3,4,5,8,9,10}となり、サブグループは、
SG1={1,3,4}
SG2={5,8,9}
SG3={10,11,12}
となる。ただし、受信機11,12,はダミー受信機である。
SG1={1,3,4}
SG2={5,8,9}
SG3={10,11,12}
となる。ただし、受信機11,12,はダミー受信機である。
そして、その通信におけるサブグループSGk用のサブグループキーKSGkを、
として定める。
上記の例では、サブグループSG1とサブグループSG2とサブグループSG3のサブグループキーは以下のように示される。
次に、その通信における全体のセッションキーKsをランダムに定める。セッションキーKsは通信の内容(たとえば映画などのコンテンツ)を暗号化するための鍵であり、たとえば暗号化アルゴリズムに米国標準のAESの128bit版を用いる際には、セッションキーKsは128bitとなる。
次に、個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文
を、暗号文
CTk=E(H(KSGk),Ks)として設定する。
ただし、E(A,B)は鍵Aを用いた平文Bの暗号化を示す。
CTk=E(H(KSGk),Ks)として設定する。
ただし、E(A,B)は鍵Aを用いた平文Bの暗号化を示す。
暗号化アルゴリズムとしてはたとえば米国標準のAESの128bit版を用いる。関数Hは、G2の任意の要素を、使用する暗号化アルゴリズムの鍵長(たとえば128bit)に縮約するハッシュ関数である。暗号化アルゴリズムEとハッシュ関数Hはシステムであらかじめ定めてあり(送信者が定めてもよい)、公開されている。
送信者は、送信すべき情報をセッションキーKsを用いて暗号化して、情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)と、上記の暗号文、
とを、ともに同報通信路で受信機に送信する。
たとえば放送アプリケーションの場合には、情報復号許容受信機集合Sを表す情報を送信した後に、暗号文、
を送信し、その後に放送コンテンツをセッションキーKsで暗号化して送信してもよいし、通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sを表す情報と、暗号文
と、セッションキーKsで暗号化したコンテンツキーKcを送信した後に、コンテンツキーKcで暗号化されたコンテンツを送信してもよい。CDなどの記録メディアのアプリケーションの場合には、放送アプリケーションにおいて放送していた情報をディスクに記録して配布すればよい。
(3)受信および復号
受信機iは、同報通信路から送信された情報を受信し、自分がその通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sに含まれるかどうかを調べる。
受信機iは、同報通信路から送信された情報を受信し、自分がその通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sに含まれるかどうかを調べる。
もし自分が情報復号許容受信機集合Sに含まれなければ、その通信を復号できないので処理を終了する。自分が情報復号許容受信機集合Sに含まれていれば、自分がどのサブグループの暗号文を復号すべきかを調べる。これは、情報復号許容受信機集合Sの要素を3つずつ区切ったときの何番目に、自分が入るかを探すことで求められる。そして、受信機iは、自分が所属するサブグループSGkのサブグループキーを下記のようにして求める。
たとえば上記の例で受信機5は、自己の所有する秘密情報x5に基づいて、
KSG2=e(h8,h9)x5
としてサブグループSG2のサブグループキーKSG2を求めることができる。
KSG2=e(h8,h9)x5
としてサブグループSG2のサブグループキーKSG2を求めることができる。
次に、受信機iは、上で求めたサブグループキーKSGkからハッシュ値H(KSGk)を計算し、これを用いて暗号文CTkを復号してセッションキーKsを求め、これを用いて送信された情報を復号する。
上記のような構成とすることにより、2マルチリニアマップを用いてN個の受信機に鍵(セッションキーKs)を安全に配信できるシステムを構成することが可能となる。上記構成では受信機が安全に保管しなければならない鍵は1つ(xi)だけであり、たとえばセッションキーKsを直接コンテンツの暗号化に用いる場合などにおいて、鍵配信のために同報通信されるメッセージの個数は、
となる。
上記は2マルチリニアマップを用いる方法について詳しく述べたが、この方式は、前述したように、任意の整数n>1に対するnマルチリニアマップを用いる方式にそのまま拡張可能である。nが大きくなると、受信機が保管する鍵数は1のままであるのに対し、同報通信されるメッセージ数が、
となり、上記のn=2の場合に比べてこの面での効率がよくなる。
上述した処理例、すなわち、generalized Diffie−Hellman assumptionを満たす2マルチリニアマップを用いたプロードキャストエンクリプション方式によって、各受信機が必要とする計算量を削減させることを可能とした構成例において、暗号文を生成し、提供する情報処理装置において実行する処理シーケンスと、暗号文を受領して復号処理を行なう例えば受信機等の情報処理装置における処理シーケンスについてフローチャートを参照して説明する。
まず、図6を参照して、暗号文を生成し、提供する情報処理装置において実行する処理シーケンスについて説明する。
暗号文送信側の情報処理装置は、まず、ステップS301において、N個の受信機のうち、その通信において情報を復号させる受信機の集合S⊆{1,・・・,n}を選択する。
ステップS302において、Sの要素をその番号iの順に、3つずつ分割しサブグループを設定し、サブグループSGk用のサブグループキーKSGkを、
として定める。
ステップS303において、その通信における全体のセッションキーKsをランダムに定める。セッションキーKsは通信の内容(たとえば映画などのコンテンツ)を暗号化するための鍵であり、たとえば暗号化アルゴリズムに米国標準のAESの128bit版を用いる際には、セッションキーKsは128bitとなる。
次に、ステップS304において、個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文
CTk=E(H(KSGk),Ks)を導出する。
CTk=E(H(KSGk),Ks)を導出する。
次にステップS305において、セッションキーKsによってコンテンツキーKcを暗号化し、暗号化コンテンツキー
Enc(Ks,Kc)
を算出する。
Enc(Ks,Kc)
を算出する。
ステップS306において、
a.情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)
b.個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)
c.暗号化コンテンツキーEnc(Ks,Kc)
d.暗号化コンテンツEnc(Kc,Con)
を通信路を介して送信する。あるいは情報記録媒体に書き込み、提供する。
a.情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)
b.個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)
c.暗号化コンテンツキーEnc(Ks,Kc)
d.暗号化コンテンツEnc(Kc,Con)
を通信路を介して送信する。あるいは情報記録媒体に書き込み、提供する。
情報記録媒体に格納した情報例を図7に示す。情報記録媒体300は、例えばCD、DVD等の情報記録媒体である。ここに、
情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)301
個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)302
暗号化コンテンツキーEnc(Ks,Kc)303
暗号化コンテンツEnc(Kc,Con)304
を格納し、提供する。
情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)301
個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)302
暗号化コンテンツキーEnc(Ks,Kc)303
暗号化コンテンツEnc(Kc,Con)304
を格納し、提供する。
ユーザ機器としての情報処理装置は、いずれも同報通信路あるいは情報記録媒体を介して、これらの情報を受領することが可能である。しかし、その通信において情報を復号させる受信機の集合Sに含まれる機器のみが、個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)302に適用したサブグループキーを算出可能であり、リボーク機器は、暗号文CTk=E(H(KSGk),Ks)3502に適用したサブグループキーを算出できないので、情報復号許容受信機集合Sに含まれる機器のみが暗号文CTk=E(H(KSGk),Ks)302を復号してセッションキーKsを取得し、さらに、取得したセッションキーKsにより、暗号化コンテンツキーEnc(Ks,Kc)を復号してコンテンツキーKcを取得し、取得したコンテンツキーKcに基づいて暗号化コンテンツEnc(Kc,Con)303を復号してコンテンツ(Con)を取得できる。
図8を参照して、
a.情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)
b.個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)
c.暗号化コンテンツキーEnc(Ks,Kc)
d.暗号化コンテンツEnc(Kc,Con)
上記a〜dの各情報を受領したユーザ機器としての情報処理装置における処理手順について説明する。
a.情報復号許容受信機集合Sを表す情報(たとえば、受信機番号のリスト)
b.個々のサブグループキーを用いてセッションキーKsを暗号化した暗号文CTk=E(H(KSGk),Ks)
c.暗号化コンテンツキーEnc(Ks,Kc)
d.暗号化コンテンツEnc(Kc,Con)
上記a〜dの各情報を受領したユーザ機器としての情報処理装置における処理手順について説明する。
まず、ステップS401において、情報復号許容受信機集合Sを示す情報(たとえば、受信機番号のリスト)を読み出す。
ステップS402において、自身の装置が、その通信において情報を復号させる受信機の集合、すなわち情報復号許容受信機集合Sに含まれるか否かを判定する。これは、情報復号許容受信機集合Sの要素を3つずつ区切ったときの何番目に、自分が入るかを探すことで求められる。もし、情報復号許容受信機集合Sに含まれなければ、その通信を復号できないので処理を終了する。
自分が情報復号許容受信機集合Sに含まれていれば、ステップS403に進み、自分が所属するサブグループSGkのサブグループキーを前述したように、下記のようにして求める。
次に、ステップS404において、サブグループキーKSGkからハッシュ値H(KSGk)を計算し、これを用いてセッションキーの暗号化データである暗号文CTk=E(H(KSGk),Ks)を復号してセッションキーKsを求める。
ステップS405において、セッションキーKsを適用して暗号文Enc(Ks,Kc)を復号してコンテンツキーKcを取得し、ステップS406において、取得したコンテンツキーKcに基づいて暗号化コンテンツEnc(Kc,Con)を復号してコンテンツ(Con)を取得する。
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、冒頭に記載した特許請求の範囲の欄を参酌すべきである。
なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
例えば、プログラムは記録媒体としてのハードディスクやROM(Read Only Memory)に予め記録しておくことができる。あるいは、プログラムはフレキシブルディスク、CD−ROM(Compact Disc Read Only Memory),MO(Magneto optical)ディスク,DVD(Digital Versatile Disc)、磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納(記録)しておくことができる。このようなリムーバブル記録媒体は、いわゆるパッケージソフトウエアとして提供することができる。
なお、プログラムは、上述したようなリムーバブル記録媒体からコンピュータにインストールする他、ダウンロードサイトから、コンピュータに無線転送したり、LAN(Local Area Network)、インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
以上、説明したように、本発明の構成によれば、複数の情報処理装置から選択した特定の暗号文復号許容機器の格納鍵のみに基づいて復号可能な暗号文を送信する構成を、generalized Diffie−Hellman assumptionを満たすマルチリニアマップ(multilinear map)に基づくブロードキャスト暗号方式に基づいて構築することにより、送信暗号文数の削減、および各情報処理装置に格納する鍵数の削減が実現され、効率的な暗号文ブロードキャスト処理が実現可能となる。従って、本発明は、利用権を制限した暗号文提供処理において利用可能であり、具体的には、暗号文生成、提供、送信を実行する情報処理装置、暗号文の復号、再生を実行するユーザデバイスとしての情報処理装置、暗号化コンテンツ等を格納した情報記録媒体において適用可能である。
101 コントローラ
102 演算ユニット
103 入出力インタフェース
104 セキュア記憶部
105 メイン記憶部
106 大容量記憶部
200 情報記録媒体
201 暗号文複合許容受信機集合S情報
202 暗号化コンテンツキーEnc(Ks,Kc)
203 暗号化コンテンツEnc(Kc,Con)
300 情報記録媒体
301 暗号文複合許容受信機集合S情報
302 暗号文CTk=E(H(KSGk),Ks)
303 暗号化コンテンツキーEnc(Ks,Kc)
304 暗号化コンテンツEnc(Kc,Con)
102 演算ユニット
103 入出力インタフェース
104 セキュア記憶部
105 メイン記憶部
106 大容量記憶部
200 情報記録媒体
201 暗号文複合許容受信機集合S情報
202 暗号化コンテンツキーEnc(Ks,Kc)
203 暗号化コンテンツEnc(Kc,Con)
300 情報記録媒体
301 暗号文複合許容受信機集合S情報
302 暗号文CTk=E(H(KSGk),Ks)
303 暗号化コンテンツキーEnc(Ks,Kc)
304 暗号化コンテンツEnc(Kc,Con)
Claims (8)
- 暗号文復号許容機器に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して暗号鍵を生成し、該暗号鍵によって情報を暗号化して暗号文を生成する暗号文生成部と、
前記暗号文復号許容機器の集合を表す情報および前記暗号文生成部で生成された暗号文を送信または記録媒体に記録する情報出力部と
を備える情報処理装置。 - 前記暗号文生成部は、
前記nマルチリニアマップを適用して生成する暗号鍵として、下式により、セッションキーKsを生成する
請求項1に記載の情報処理装置。
G2は、generalizedDiffie−Hellman assumptionを満たすnマルチリニアマップe:G1 n→G2を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
xjは、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)であり、hj=gxjが公開値、pは群G1,G2の位数、gは群G1の生成元、xiは、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。 - 暗号文復号許容機器の集合を表す情報および暗号文を受信または記録媒体から再生して取得する情報取得部と、
秘密鍵を格納した記憶部と、
前記情報取得部で取得された前記暗号文許容機器の集合を表す情報に基づいて自機器が暗号文復号許容機器の集合に含まれているか判断する判断部と、
前記判断部で自機器が暗号文復号許容機器の集合に含まれていると判断されるとき、前記記憶部に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して生成された暗号鍵を算出する暗号鍵算出部と、
前記暗号鍵算出部で算出された暗号鍵に基づいて、前記情報取得部で取得された暗号文を復号して情報を得る暗号文復号部と
を備える情報処理装置。 - 前記暗号鍵算出部は、下式により、暗号鍵としてのセッションキーKsを算出する
請求項3に記載の情報処理装置。
G 2 は、generalized Diffie−Hellman assumptionを満たすnマルチリニアマップe:G 1 n →G 2 を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
x j は、ランダムな整数x j ∈[1,p−1](ただし、j=1,・・・,2N−1)であり、h j =g xj が公開値、pは群G 1 ,G 2 の位数、gは群G 1 の生成元、x i は、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。 - 暗号文復号許容機器に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して暗号鍵を生成し、該暗号鍵によって情報を暗号化して暗号文を生成する暗号文生成ステップと、
前記暗号文復号許容機器の集合を表す情報および前記暗号文生成ステップで生成された暗号文を送信または記録媒体に記録する情報出力ステップと
を有する情報処理方法。 - 前記暗号文生成ステップでは、
前記nマルチリニアマップを適用して生成する暗号鍵として、下式により、セッションキーKsを生成する
請求項5に記載の情報処理方法。
G2は、generalizedDiffie−Hellman assumptionを満たすnマルチリニアマップe:G1 n→G2を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
xjは、ランダムな整数xj∈[1,p−1](ただし、j=1,・・・,2N−1)であり、hj=gxjが公開値、pは群G1,G2の位数、gは群G1の生成元、xiは、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。 - 暗号文復号許容機器の集合を表す情報および暗号文を受信または記録媒体から再生して取得する情報取得ステップと、
前記情報取得ステップで取得された前記暗号文許容機器の集合を表す情報に基づいて自機器が暗号文復号許容機器の集合に含まれているか判断する判断ステップと、
前記判断ステップで自機器が暗号文復号許容機器の集合に含まれていると判断されるとき、記憶部に格納されている秘密鍵を用い、nマルチリニアマップ(ただし、nは2以上の整数)を適用して生成された暗号鍵を算出する暗号鍵算出ステップと、
前記暗号鍵算出ステップで算出された暗号鍵に基づいて、前記情報取得ステップで取得された暗号文を復号して情報を得る暗号文復号ステップと
を有する情報処理方法。 - 前記暗号鍵算出ステップでは、下式により、暗号鍵としてのセッションキーKsを算出する
請求項7に記載の情報処理方法。
G 2 は、generalized Diffie−Hellman assumptionを満たすnマルチリニアマップe:G 1 n →G 2 を定義する群であり、
Nは暗号文受領機器としての情報処理装置総数、
nは、nマルチリニアマップの規定数nであり2以上の整数、
|S|は、暗号文復号許容機器集合Sの要素数、
x j は、ランダムな整数x j ∈[1,p−1](ただし、j=1,・・・,2N−1)であり、h j =g xj が公開値、pは群G 1 ,G 2 の位数、gは群G 1 の生成元、x i は、各暗号文受領機器としての情報処理装置i(ただし、i=1,・・・,N)に対して付与される秘密鍵である。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003353311A JP4576824B2 (ja) | 2003-10-14 | 2003-10-14 | 情報処理装置および情報処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003353311A JP4576824B2 (ja) | 2003-10-14 | 2003-10-14 | 情報処理装置および情報処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005123679A JP2005123679A (ja) | 2005-05-12 |
| JP4576824B2 true JP4576824B2 (ja) | 2010-11-10 |
Family
ID=34611628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003353311A Expired - Fee Related JP4576824B2 (ja) | 2003-10-14 | 2003-10-14 | 情報処理装置および情報処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4576824B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4878443B2 (ja) | 2005-04-21 | 2012-02-15 | 日産フォークリフト株式会社 | 計器表示装置及び計器表示方法 |
| WO2021064444A1 (en) * | 2019-09-30 | 2021-04-08 | Nokia Technologies Oy | Physical layer security by pseudo-random layer mapping |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000216766A (ja) * | 1999-01-20 | 2000-08-04 | Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk | 排他的鍵共有法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3620138B2 (ja) * | 1996-02-05 | 2005-02-16 | 松下電器産業株式会社 | 鍵共有システム |
-
2003
- 2003-10-14 JP JP2003353311A patent/JP4576824B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000216766A (ja) * | 1999-01-20 | 2000-08-04 | Kodo Ido Tsushin Security Gijutsu Kenkyusho:Kk | 排他的鍵共有法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005123679A (ja) | 2005-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7757082B2 (en) | Efficient revocation of receivers | |
| US20070133806A1 (en) | Information processing method, decryption method, information processing device, and computer program | |
| JP2001352321A (ja) | 情報処理システム、情報処理方法、および情報記録媒体、並びにプログラム提供媒体 | |
| JP2006086568A (ja) | 情報処理方法、復号処理方法、および情報処理装置、並びにコンピュータ・プログラム | |
| JP5492007B2 (ja) | コンテンツサーバ、コンテンツ受信装置、属性鍵発行サーバ、ユーザ鍵発行サーバ、アクセス制御システム、コンテンツ配信プログラムおよびコンテンツ受信プログラム | |
| JP2010124071A (ja) | 通信装置、通信方法及びプログラム | |
| JP4561074B2 (ja) | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
| KR20090127716A (ko) | 브로드캐스트 암호화에서 디바이스 키를 추적하는 방법 | |
| KR101533422B1 (ko) | 브로드캐스트 암호화 방법 및 시스템 | |
| JP4989293B2 (ja) | コンテンツ配信システム | |
| JP2006115464A (ja) | 情報処理方法、復号処理方法、および情報処理装置、並びにコンピュータ・プログラム | |
| JP5469618B2 (ja) | 暗号化システム、復号方法、鍵更新方法、鍵生成装置、受信装置、代理計算装置、プログラム | |
| JP2008131072A (ja) | 情報処理装置、端末装置、情報処理方法、及び鍵生成方法 | |
| JP4576824B2 (ja) | 情報処理装置および情報処理方法 | |
| JP7325689B2 (ja) | 暗号文変換システム、変換鍵生成方法、及び、変換鍵生成プログラム | |
| JP2004229128A (ja) | 暗号データ配信システム、および情報処理装置、情報処理方法、並びにコンピュータ・プログラム | |
| JP2007189597A (ja) | 暗号化装置および暗号化方法、並びに復号化装置および復号化方法 | |
| JP4161859B2 (ja) | 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム | |
| JP4635459B2 (ja) | 情報処理方法、復号処理方法、および情報処理装置、並びにコンピュータ・プログラム | |
| JP2007020025A (ja) | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
| JP2005191805A (ja) | 暗号文配信方法、情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
| JP2005252916A (ja) | 情報処理方法、復号処理方法、および情報処理装置、並びにコンピュータ・プログラム | |
| JP6885325B2 (ja) | 暗号化装置、復号装置、暗号化方法、復号方法、プログラム | |
| JP2008131079A (ja) | 情報処理装置、端末装置、情報処理方法、及び鍵生成方法 | |
| WO2009157050A1 (ja) | 情報処理装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060904 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091022 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091110 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100727 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100809 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130903 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130903 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |