JPH0353367A - 分散型情報処理システム - Google Patents

分散型情報処理システム

Info

Publication number
JPH0353367A
JPH0353367A JP1189677A JP18967789A JPH0353367A JP H0353367 A JPH0353367 A JP H0353367A JP 1189677 A JP1189677 A JP 1189677A JP 18967789 A JP18967789 A JP 18967789A JP H0353367 A JPH0353367 A JP H0353367A
Authority
JP
Japan
Prior art keywords
calculation
information
card
terminal
conversion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP1189677A
Other languages
English (en)
Inventor
Kyoko Takabayashi
高林 京子
Shinichi Kawamura
信一 川村
Atsushi Shinpo
淳 新保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP1189677A priority Critical patent/JPH0353367A/ja
Priority to US07/474,404 priority patent/US5046094A/en
Priority to EP19900301126 priority patent/EP0381523A3/en
Publication of JPH0353367A publication Critical patent/JPH0353367A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 [発明の目的] (産業上の利用分野) 本発明は、秘密情報に係る演算を秘密情報を漏らさずに
捕助装置を用いて分散処理し、更に検算機能も備えた分
散型情報処理システムに関する。
(従来の技術) 社会の情報化・ネットワーク化の進展により我々の生活
や仕事はより効率化され、便利になりつつある。しかし
その一方で情報の悪用やプライバシーの侵害など新たな
問題もクローズアップされている。プライバシーを保護
するためには、ネットワークを介して様々なサービスが
提供されるとき、そのサービスを受けようとする個人が
サービス提供者に対して自分の秘密を漏らすことなくサ
ービスを受けるという技術が重要となってくると考えら
れる。例えばプライバシーを守ることを第一とするなら
ば、データベースの検索では個人がどのデータにアクセ
スしたのかはサービス提供者に分らないほうが良い。ま
たコンピュータの協同利用の場合にはユーザが何を計算
したのかハコンピュータの提供者に分からせる必要も本
来ない。
この様な“秘密を漏らさずにサービスを受ける方法“を
論じた文献としては例えば、「秘密を漏らさずにサービ
スを依頼する方広について」 (松本今井: 19g9
年暗号と情報セキュリティシンポジウム資料11−L 
L989年2月)がある。具体的にはRSA公開鍵暗号
の変換を秘密情報やメッセージ内容を演算装置に漏らさ
ずに実行するものや行列ABの内容を漏らさずにその積
を計算する方法や線形方程式の根を相手に知られないよ
うにしながら}n手の力をfΔりて求める方法などが提
案されている。これらのうち、その特徴が最も端的に分
かるものとして、RSA暗号の変換を行う依頼計算方式
を説明する。
RSA暗号はl978年にRlvesL等によって提案
された公開鍵暗号である(文献: R.L. Rlvc
st,A. Shamlr and L. Adlma
n:″^method or obtainingdi
gital S1gnaturOS and eryp
tosyste+ms″. Cotan. of AC
j4, pp.l20−126”)。RSA暗号では暗
号化の鍵として正の整数eとnを用い、復号化の鍵とし
て同じく正の整数dとnを用いる(但し、nは大きな二
つの索数p,qの積である)。これら鍵情報の具体的選
び方は前記文献を参照することで知ることができる。平
文Sと暗号文Mは共に公開の法n未満の整数である。暗
号化は次のようにして行う。
M−38sod  n       (1)また、復号
化は次のようにして行う。
d S=M   Ilodn      (2)RSA暗号
は以上のような手続きで実現されるが、ここでこの暗号
の要点を整理すると、[A]各人ごと異なる公開鍵e,
nはリストのような形で公開されており、だれでもアク
セスできる。
[Bコlea(a,b)をaとbの最小公倍数とすると
き、秘密鍵d,  p.Q,  λ(n)−1eIIl
(p−1,q−1)は個人の秘密であり、他人に知られ
ないように十分注意する必ザがある。
[C]暗号化機能のほかに署名機能がある。
[D]RSA暗号の安全性を保障するためには秘密鍵p
,qの桁数を各々十進百桁程度の大きさに選ぶ必要があ
る。nはこの場合十進二百桁程度の数になり、RSAの
暗号化・復号化変換は膨大な処理量の計算となる。
ところで、多くの人が加入するネットワークでRSA暗
号の利点を最大限に引き出せる運用法としては、各人に
個別に鍵を発行して、可搬の記憶媒体にその鍵を記憶さ
せ、それを各自が持ち歩くのがよい。このとき上記CB
]に述べた点は運用上非常に重要である。[B]の条件
を満足させることのできる個人の秘密鍵の格納媒体とし
ては、CPUとメモリを内蔵させたICカードが最適で
ある。しかしながら実際にICカードを利用したRSA
暗号のシステムを構築しようとすると次のような二つの
問題が生ずる。
ICカードに鍵を格納した場合、上記[B]の要求から
、理想的にはICカード内でRSAの復号変換および署
名作成を行うのが良い。ICカードにはパスワード照合
によるアクセス制御機能があるので、ICカード内で変
換を行えばd,p,q,λ(n)がICカード外に漏れ
る心配はまず無くなるからである。しかしながら現状で
は上記[D]に述べた事およびICカードの計算力不足
が理由でRSA暗号の変換をICカードで行った場合に
、実用上十分な処理速度を達成することができない。ま
た、RSA専用の高速演算LSIをICカードに実装す
ることも考えられるが、力一ドコストの増大は避けられ
ない。
一方、ICカードを単にアクセス制御機能のある、鍵メ
モリとして利用することは容易である。
手間のかかる暗号変換は計算能力の高いICカード外の
装置、例えば端末に行わせることによって実用的な処理
速度を達成可能である。しかしこの場合にはdを端末に
渡すことになるので、端末装置の設計および維持管理に
十分な注意を怠ると、端末経由でdが他人に漏れる恐れ
がある。また偽の端末によって知らぬ間にdを盗まれる
かもしれない。
この様な二つの問題点を解決する方法として、端末には
秘密鍵dに関する情報を漏らさずに、端末の計算力のみ
を借りてICカードで効率良くRSAの暗号変換を行え
る依頼計算法が前記文献「秘密を漏らさずにサービスを
依頼する方法について」ばか幾つかの文献に開示されて
いる。また、RSA暗号に対する別の依頼計算法が「I
Cカードシステムにおける依頼計算」 (川村、新保、
平成元年電子悄報通信学会巻季全国大会、1989年、
3月)に開示されている。
依頼計算において、計算依頼側をICカード、計算請負
側を端末とする場合のシステム構成例を示す。まず、装
置の全体概要は、第4図に示すように、秘密情報を処理
する装置1に少なくとも一つの演算補助を行わせる補助
装置2−1.2−2・・・2−3を適宜通信線3を介し
て接続したような形となる。具体的な装置構成としては
、第5図に示すように、袖助装置としてディスプレイ装
置4及びキーボード5、ICカード6のリーダ●ライタ
7、フロッピィディスク8の挿入口などを備えた端末9
を用い、ICカ一ド6との間で情報交換を行う例が挙げ
られる。この例でのICカード6は、第6図に示すよう
に、その内部に、CPUIOと、これに接続されるE2
FROMで構成されるところのデータメモリ11と、プ
ログラムメモリ(ROM)12と、接触式のI/013
を備えた例である。本例では、このICカード6に秘密
情報が保持されている。一方、前記端末9は、第7図に
示すように、内部データバス14に、第1、第2の通信
ポートl5,16と、フロッピィディスクドライバ17
と、キーボードI/018と、ディスプレイコントロー
ラ19と、中央処理装置(CPU)20と、メインメモ
リ21を接続して構成される。各部材には前述の各部材
4,5.7.8が適宜接続されている。
ICカードを使用する際の上記端末9の制御処理の代表
例を示したのが第8図である。まず、ユーザは端末9に
向かい、ステップ801でICカード6をリーダ・ライ
タ7に挿入すると、ステップ802でICカード6の初
期化が行われ、ステップ802でユーザにパスワードの
要求がなされる。所定時間内にパスワードの入力がない
場合にはステップ805で時間切れが判定され、処理が
中断される。一方、ステップ804.806でバスワー
ドが入力されると、ユーザが入力したバスワードはステ
ップ807,808でICカード6内に記憶されている
登録パスワードと比較され、一致すればICカード6は
使用可能状態となるが、一致しない場合にはICカード
6は使用不能である。これ以後ユーザはコマンドの形で
端末9に指示を与えて(ステップ809〜811)、依
頼計算を行うことができる。
次に、具体的な依頼計算方式として、上述した「秘密を
漏らさずにサービスを依頼する方法について」 (松本
、今井: 1989年暗号と情報セキュリテイシンポジ
ウム資料11−1, 1989年2月)による依頼計算
法を第9図を用いて説明する。この依頼計算法は、IC
カードが端末の力を借りて、メッセージXと秘密鍵dか
らRSAの署名yd (−xmodn)を作るアルゴリズムである。
ICカードは、ステップ901で秘密鍵dを次式のよう
に分解する。
d−f1dl+f2d2+・・・ + f   d      sod(p−1)MM d ”” g r d t 十g 2 d 2 + ”
’+ g Md Mllod ( Q− 1 )但し、
f.とd1は整数で、 1 F−[f   .f   .・・・,fM] G−[g
1l2 g2 ,・・・.g)4]、D− [d1 .d2 .
・・・dM]とする。続いて、メッセージXとDを端末
に送る。
端末はステップ905でDを受信したら、ステップ90
6で次式の21を計算する。
z  −x’λsod n l ステップ807でZ − [z   .z   .−,
  zM]l2 をtCカードに送信する。
ICカードはステップ902でZを受信したら、ステッ
プ903で次式を計算する。
1−1 H 1−1 次に、中国剰余定理を用いて、y Sy からpq 署名yを得る(ステップ904)。
以上の様な方式を使用すると、ICカードの秘密を漏ら
さずに端末の力を借りて高速に処理をすることができる
が、外部装置は必ずしも信用できないことや外部装置と
の間の通信情報を第三者が改ざんするかもしれないと言
う前提の下では、依頼元(ICカード)は請負側(端末
)の不正や通信情報の第三者による改ざんを検出できな
ければ、依頼計算の有効性そのものが疑わしくなる。こ
のような問題点を解決する方法が、rRSA暗号の依頼
計算における検算問題について」 (新保5川村、電子
情報通信学会技術研究報告Vol.89  k45)お
よび「検算可能な依頼計算」 (松本,今井、電子情報
通信学会技術研究報告Vol.89  No.45)に
開示されている。
次に、前記論文の検算の手広を三つに分類し(■逆変換
を利用する方式、■逆変換は利用せず検算も依頼計算す
る方式、■逆変換も依頼計算する方式)   ICカー
ドが使用可能となったときに実行される依頼計算と検算
の処理を、第10図〜第12図を用いて説明する。
第10図は逆変換を用いて検算をする例である。
計算依頼元は、第一処理部22で入力情報Xに秘密情報
kを与え、請負側の処理部23の補助を請けつつy =
 f k(X)を演算し、次いで、第二−1 処理部24でx’−f   (y)を求め、比較部k 25でX′と入力情報Xとを比較して、処理結果を検算
する。従って、比較部25で入力情報Xと逆変換により
得られる情報X′とを比較して演算結果yを確認するの
で、依頼計算を真に有効なものとすることができる。し
かし、この方法は、逆−l 変換f  の計算量が多い場合には計算依頼元にk とって検算のための負担が大きくなるので、よいアルゴ
リズムとはいえない。
第11図は、逆変換の処理を用いずに、請負側に検算の
処理も依頼する例である。
計算依頼元は、第一処理部26で入力情報Xに秘密情報
kを与え、請負側の処理部27の補助を請けつつy−f
(x)を計算して結果y1を得k る。次に、依頼元及び請負側の第二の処理28,2つを
用いて結果y を得る。依頼元の比較部32 0でy とy を比較し、一致していれば結果はl2 正しいものとみなし、一致しなければ結果は正しくない
ことを検出する。
第11図で説明した一般的な構成の具体例として、RS
A暗号の署名生成について説明する。本例のべき乗剰余
計算の依頼計算は、端末9の処理が正しく行われたかど
うか確認し、正しく行われなかった場合にはそれを検出
する手順を含む。本方式の基本アイディアは、依頼計算
プロトコノレ1;用いる鍵の分割子を複数用意しておき
、異なる分割子で求めた署名が一致することを利用して
確認する点である。
まず、計算の依頼元をICカード6、請負側をICカー
ド6より演算力の大きい端末つとする。
ICカ一ド6には固有の秘密鍵dが記憶されている。ま
た公開鍵であるeと法であるnは計算の依頼側、請負側
共に知っている。
まず、ICカードは、秘密鍵dを(3) −1,(3)
−2,(3)−3,(3)−4式のように分解する。こ
の処理はICカード自身が行っても良いし、鍵の発行手
続きとしてセンタが行い、ICカード内に秘密に格納す
るようにしても良い。
d=s  +f  s  +f 2s 2+−op  
 L  I +f  s  Ilod (p−1)   (3) −
1mI1 d−s  +e  s  十e 2s  ,,+−゛o
q   l  l 十e  s  mod (q−1)   (3) −2
mII! d−top + g  t t  t + g  2 
t  2+・・・+g  t  膓od (p−1) 
  (3) − 3m    国 d”to9+h  tt  l十h  2t  ,,+
−゛゜+h  t  n+od(’1−1)   (3
) −4m    m 但し、S  %S  st  %”  は小さい値であ
op     oq     op     oqる。
F−[f  ,f  ,・・・ ,f 〕.E−[e1
1      2          m.e2.・−
−.e,コ,D−[sl,s2,−=S     コ 
 ,G−[g+g.  ・・・   .g].H−a 
             l      2    
      tA[h   ,h   .・・・ ,h
  ]D−[tl.t21     2       
 11      2・・・ ,t コ,s  ,s 
 ,t  ,t  を鍵dの分ffi        
Op     Oq     Op     Oq割子
と呼ぶ。
これらのd,E,F,G,H,s  ,s  ,op 
    oq 1  ,1  はICカードの秘密情報となる。ここo
p     oq に示したIdの分割はRSA−S2プロトコル(松本、
今井、”How to ask services w
ithoutviolating privacy”,
 1989年暗号と情報セキュリティシンポジウム予稿
集、■989年2月)の方法を改良したものである。
この鍵の分割を利用した依頼計算プロトコルは第12図
に示す通りである。
■ICカードはD1を端末に送る(ステップ1201)
  。
■端末は、ステップ1210で分割子D1を受信し、ス
テップ1211で(4)式のZ,(15i≦m)を計算
し、ステップ1212でこれをまとめたZ″″[ z 
1  ・z2 に送る。
・・・,Z  ]をICカード m zl−x”  tsod n      (4)■IC
カードは、ステップ1202でこのZtを受信し、ステ
ップ1203で(5)−1式と(5) −2式のY1p
とYlqを計算する。次に、このy ,y と中国剰余
定理からy1tp    tq を求める。
一 r4 y=(rIz、   sod p )  ・x”” m
adtp         1 1−1 −XdIIod p         (5) − 1
麿 ”  mod q )  ・x”  madylq″″
( rT  z l 1−1 −X’ sod q         (5) − 2
■続いて、dをステップ1204のように分割して、D
2を端末へ送信する。
■端末9側では、ステップ1213でD2を受信後、ス
テップ1214で、 W, −x’ Ilod n  (1≦i≦m’)の計
算をし、ステップ1215で、W一[W  ,W  ,
・・・,W −]を求め、これを1   2     
11 ICカ一ド6へ送信する。
■ICカード側では、ステップ1205で端末よりWを
受信後、ステップ1206で (5)’−1式と(5)’−2式のY 2pとY 2Q
を計算する。
一 i−1 −X’Ilodp (5)’−1 α 1−1 −X’ mod q        (5) ’  −
2■ステップ1207でy とy2を比較し、1 致していればステップ1208で計算結果y(−y−y
2)は正しいものとみなし、l 一致していなければステップ1209で結果が正しくな
いことを検出する。
なお、e  ,f  ,g  =h1を0.1に限定1
11 厘 『λ した場合にはnz   等の演算はべき乗を用いl 1−1 ず実現することも可能である。
また、本方式は分割D1に関する依頼計算と、分割D2
に関する依頼計算を同時に行うことも可能である。
以上の手続きによって端末が正しく処理したか否かをチ
ェックできる。ただし、本方式の計算依頼元と請負側で
やりとりするデータ量は第10図で説明した方式の2倍
(2種類の分割子とその結果)になるという欠点がある
第12図は、逆変換の処理を請負側に依頼して検算をす
る例である。
ここで説明する方式は、概念的には第10図で説明七た
方式に近い。すなわち、第13図にその概要を示すよう
に、一般的に、変換前の情報をx1変換後の情報をyと
するとき、秘密情報kに基づく変換y−fk (x)に
関する依頼計算法において第一の処理部31.32で変
換処理を実行し、一l 逆変換f  が存在する場合に、これを第二の処k 理部33,34で求め、比較部35で逆変換を利一l 用して計算の請負側の忠実度をx’ =f    (y
)k がXに一致することで確認しようというものである。
プロトコルの大筋は次の通りである。
■Xを順方向の変換に関する依頼計算を用いて変換し、
計算依頼元はyを得る。
■yを逆方向の変換に関する依頼計算を用いて変換し、
計算依頼元はX′を得る。
■計算依頼元はXとX′を比較して一致していれば結果
yを正しいものと確認する。
ただし、第10図の例では逆変換が依頼元でも容易に実
行できる場合に適用可能であった。この例では逆変換が
依頼元だけでは困難な場合にも適用できる方式である。
これを実現するために、この例では、逆変換に対しても
依頼計算を適用する。
具体的な順方向の依頼計算と逆方向の依頼計算をどの様
な構成にすべきかは個々の問題ごとに考える必要がある
ここで注意しなければならないのは、順方向の依頼計算
に関する情報と、逆方向の依頼計算に関する情報を総合
しても秘密情報kが計算依頼元以外に漏れないようにプ
ロトコルを構成しなければならないということである。
さらに、第12図で説明した方式は異なる分割子をまと
めて依頼計算元から請負側へ送り、結果もまとめて請負
側から依頼計算元へ送ることができるのに対し、本方式
では順方向変換に関する処理結果が得られてはじめて、
逆方向の処理を開始することが可能となる。
従って、データをまとめて依頼計算元と請負側でやり取
りすることができないので、端末とICカードとの間の
情報のやり取りが必ず2往復は必要となる欠点がある。
また通信するデータ量についてみれば、(第10図で説
明した方式の通信量)+(逆方向変換に必要な通信量)
だけの通信量が必要になるという欠点もある。
(発明が解決しようとする課題) 以上のように、RSA暗号のように秘密の情報dによる
変換を行いたいときに、計算を行いたい装置そのものに
とっては計算の手間が膨大な場合には、演算時間が過度
に掛かってしまうと言う問題が生ずる。たとえばICカ
ードのような計算力が比較的小さい装置で実行させよう
とすると多大な計算時間を要する。
また計算主体となる装置だけでなくこれを補助する装置
を用意して、これらが分担して秘密情報に係る計算を行
うことによって演算時間を削減する事が考えられるが、
秘密情報を補助装置に直接示すと補助装置や第三者によ
りこの秘密情報を盗用される恐れがある。例えばRSA
の計算を高速に行える外部装置を用意してこれに秘密鍵
dを示して計算させようとすると、復号変換を外部装置
に知られてしまい不正使用される恐れがある。
更に、外部装置は必ずしも信用できないことや外部装置
との間の通信情報を第三者が改ざんするかも知れないと
言う前提の下では、依頼元は請負側の不正や通信情報の
第三者による改ざんを険出できないため、依頼計算の有
効性そのものが疑わしくなる。
これに対して、「依頼計算」を用いて秘密情報を外部装
置に漏らすこと無く、外部装置の計算力を借りて効率よ
く変換を行い、「検算」によって請負側の不正や通信情
報の第三者による改ざんを検出する手法が提案されてい
る。
しかしながら、従来の検算手法は、手法によって通信量
や通信回数が増加したり、検算のための計算量が大きい
という問題があった。
そこで、本発明は、秘密情報を主装置以外に漏らすこと
無く、しかも補助装置の計算力を借りて処理を効率良く
失行し、かつ効率良く険算を行うことができる分散型情
報処理システムを提供することを目的とする。
[発明の構或] (課題を解決するための手段) 上記課題を解決する本発明の分散型情報処理システムは
、第1図に示すように、秘密情報を処理する主装置IA
及びこの主装置の演算補助を行う少なくとも一つの補助
装置2−1、2−2、・・・2−3を備え、前記秘密情
報を前記主装置以外には漏らさずに前記秘密情報に基づ
く変換を分散処理する分散型処理システムにおいて、前
記入力情報に対して前記変換を行う第1の変換手段と、
前記入力情報に対して前記秘密情報に基づいて恒等変換
を行う第2の変換手段と、前記恒等変換手段の結果を前
記入力情報と比較し、前記恒等変換手段の結果と前記入
力情報とが一致した時、有効とみなす比較手段(検算手
段IB)とを備えたものである。
(作 用) 以上のように構成された本発明では、主装置固有の秘密
情報を計算の請負側である補助装置に漏らすこと無く、
しかも請負側の計算力を借りて変換を実行することがで
きる。更に、前記変換の請負側の処理結果を用いる恒等
変換手段により得られた結果と入力情報を比較すること
により、補助装置の処理結果が正しいことを確認するた
めだけに補助装置に依頼計算させなくても、計算依頼元
は簡単に確認することができる。
(実施例) 以下、本発明の実施例を説明する。なお、以下の実施例
の説明では従来例で示した第5図〜第8図をそのまま援
用する。
第2図及び第3図は本発明の第一の実施例を示す処理の
フローチャート及び一般的構成を示す説明図である。
ここでは、中国剰余定理を利用したRSA暗号の秘密変
換(署名生成)の依頼計算について説明する。従来例と
同様に、計算の依頼元をICカード6、請負側をICカ
ード6より演算力の大きい端末9とする。
さて、ICカード6にはそのICカード固有のRSA暗
号の復号化鍵が記憶されている。これをd,n,p,q
とする。但し、p,qはそれぞれ十分大きい素数であり
、これは、ICカ一ド6以外に対して秘密である。公開
の法nはp,qの積である。またdは秘密の指数である
。公開鍵暗号を構成する指数eと法nは計算の請負側が
知ってもかまわない。
最初に、端末9はICカード6を使用するために、従来
技術のところで述べた方法で制御処理をしてICカード
6を使用可能状態とする。この部分は本発明の本質部分
ではない。’ICカード6が使用可能状態となった後、
適当な依頼計算法を用いると、計算の依頼側には変換前
のメッセージMと計算結果のメッセージSが得られる。
計算の請負側か正しく変換を行ったのであれば、MとS
の間に次の(6)の等式が成り立つはずである。
e M−S   wodn        (6)以上の手
続きの具体的な方式として、ICカードは、秘密鍵dを
次の(7)式、(8)式のように分解する。更に、(9
)式、(10)式を満たすIm[i  ,t  .・・
・, tM], J− [j,I2 J2  ,・・・JMIを計算する。この処理はICカ
ード自身が行っても良いし、鍵の発行手続きとしてセン
タが行い、ICカード内に秘密に洛納するようにしても
良い。
d″″do,+f  ,d  i+−゛゜+ f  d
  fflod (p−1)   (7)II1 d−d  +g  ,d  ,+・・・Oq + g  d  sod (q−1)   (8)11
1m 1■h  +i,d l+・・・ Op + i  d  sod (p−1)   (9)膳 
    1 1″″ho9+j  ld  l+−゛゜+j   d
   ■od(q−1)    (10)IIm ただし、d  Sd  Sh  ,h  は小さい値で
op     oq     op     oqある
。D−[d   ,d   .・・・ .d],F−[
1   2     tp f   ,f   .・・・ ,f  ],G−[g 
  ,g21   2     m        l
・・・ .g  ],Im[i   .t   .・・
・ ,i]J−ta       1   2    
 m[J1  .J2  ,・・・ ,j  ],d 
 ,d  ,h  ,1         0p   
 OQ     01)h を鍵dの分割子と呼ぶ。こ
れらのd,G,F,09 1,J,d  .d  .h  .h  はICカード
のop     oq     op     oq秘
密情報となる。
この鍵の分割子を利用した検算機能を含む依頼計算プロ
トコル(RSA暗号による署名作成)は第2図に示す通
りである。
■ICカードはDを端末に送る(ステップ2o1)。
■端末は、ステップ210で分割子を受信し、ステップ
211でZ .−M’″aodn(1≦11 ≦m)を計算し、ステップ212でこれをまとめたZ−
[z   .z   .−,z  ]をIC1  2 
   雪 カードに送る。
■ICカードは、ステップ203でこのZを受信し、分
割子F,G,d.d  を用いてスop     oq テップ204で次式を計算する。端末が不正を行わなか
った場合には、計算結果は次のようになる。
i−1 − Mda+od p 1−1 −M’modq 次に、中国剰余定理を用いてSp 名Sを求める。
S から署 q a nzl”modなとの演算はべき乗を用いず1−1 実現することが可能である。
次に、署名Sの正当性を確認するために、端末9の処理
が正しく行われたかどうかを検出する方法を述べる。
■ステップ203で、端末から受信したZと、分割子1
,Jを用いてステップ205で次式を計算する。端末が
不正な計算を行わなかった場合には、結果は次のように
なる。
塵 1−1 劇 Msodp ■ 1−1 −Mmodq 次に、中国剰余定理を用いて、W 1W からpq Wを求める。
■ステップ206でMとWを比較し、一致していれば署
名Sの正当性を確認し(ステップ207)、一致してい
なければSが正しくないことを検出する(ステップ20
8)。
以上の手続きによって、署名Sが端末の正しい処理によ
って生成されたかどうかをチェックすることができる。
署名Sが端末の正しい処理によって生成されたとき、S
の正当性を信用する。
前記の処理方式につき安全性を検討すると、端末9が正
当な演算を実行した場合にはICカ一ド6により「端末
9は正当な演算を実行した」と判断されることは明らか
である。
次に、端末9が最後の検査式は通るが、結果Sは正当な
署名とは異なるように導くことができるか否かを考える
。W − Mが最後の検査式である。
Wは、第2図のステップ205でICカードしか知らな
い秘密情報1,J,p,q,h  .h  をop  
   oq 使ってつくられる。ここで、h  .h  の項は、o
p     oq id  十・・・+L  d  ,jld l+・・・
十11      m+i jd  の項がでたらめな依頼計算結果を使ってl  
  a 計算されたのに、最後の検査式を通るようにする攻撃法
を防いでいる。したがって、端末から受信したZを使っ
て生或した署名が不当であるにもかかわらず、検査式を
通ってしまうような分割子Zを端末が求める行為は困難
である。
また、端末はプロトコルを通じてd  .d  ,op
     oq F,Gを知ることはないので、秘密情報dを知ることは
できない。
上記の分割子F,G,I,Jは、F,GとI,Jの間の
共通部分の有無によって、以下の(1)〜(4)のよう
に分類することができる。
(1)FとGの第h+1項〜第k項と、■とJの第h+
1項〜第k項が各々等しい場合。
F−{f   .・・・ ”h  .fhat  ’・
・・ ,fk1 0 ,・・・ ,0} G−(g   ・゛゛ ・gh  ’ gh+1  ・
゜゜゜  ・gk1 0 .・・・ ,0} 1−[1,・・・ ,f   ,・・・ + f k,
l k+1  ・・・h+1 .1  ) 劇 J−tO.・・・ .g    ,・・・ ,gk  
”k+1hat ・・・ ,j ) ■ (2)FとIのはじめのk項と、GとJのはじめのk項
が各々等しく、FとGのk+1項からm項はすべてOの
場合。
F−ff   ,・・・ .f,  ,0  .・・・
 ,01l G−{g   ,・・・ ,gk ,o  ,・・・ 
.0}l 1−(f   .・・・ ”k  ”k+1  ’・・
・ .i  1lIm J=(gt  .・・・ .gk  ”k+1  ’・
・・ ,j1(3)Fと1のはじめのk項と、GとJの
はじめのk項が各々等しく、lとJのk+l項がらm項
はすべてOの場合。
F−(f   ,・・・ ”k  ”k+1  ’・・
・.f  1lII G−(g.・・・ ”k  ,gk+1  ’・・・ 
.g  1lIl 1− (f   .・ ,fk ,0  .−,01l J−1g   ,・・・ .gk .0  .・・・ 
.01l (4)F,GとI,Jの間に等しい項がない場合。
F−ff   ,・・・ ,fk ,0 .・・・ ,
0)1 G−tg,・・・ ,gk .o  .・・・ ,0}
l I−  (0  .・・・ .0  .i      
.・・・ .ilk+1 m J−to.・・・ ,O.j      ,・・・ ,
j  }k+1         ■ 上記の(1)〜(4)の分割子の作り方について、考察
する。
(1)は一般形で、F,GとI,Jに共通の項もあれば
、共通でない項もある場合である。本提案方式は、依頼
計算と検算で必要な情報を一度の通信でまとめてやりと
りするので、どの項が検算に使われるのかは計算依頼側
だけが知っている。
従って、署名生成に必要なZのすべての項をチエツクす
るわけではないが(つまり、I,JとZの内積をとった
時、I,Jの“0゛の項と、対応するZの項との積は“
0゛のため、仮にI,Jの“0”の項と対応する2の項
に不正が行われたとしてもみつけることはできない。)
、チェックされない項を正しくない値に変えたり、依頼
計算に関する情報と検算に関する情報を別々に送受信す
る時のように、この二つの情報をうまく組み合わせてz
iが不当であるにも拘らず、チェック式を通ってしまう
といった狙い撃ち攻撃を十分防ぐことができる。
(2)は、署名生成に必要なZのすべての項をチェック
するので、この分割方式も上で述べた狙い撃ち攻撃を防
ぐことができる。
(3)は、署名生成中に、正当性を確認するためにMと
比較されるWが表れるので、もしZが不当な結果のとき
は、署名Sを求める前にZの有効性を確かめることがで
きるし、誤った署名をつくらずに済むため、計算量を減
らすことができる。
このような分割子の作り方をした場合には、署名生成に
必要なZのすべての項をチェックするわけではないが、
本発明方式は、(1)の考察で述べた狙い撃ち攻撃を十
分に防ぐことができる。
(4)も、すべての項をチェックするわけではないが、
本発明方式は、(1)の考察で述べた狙い撃ち攻撃を十
分に防ぐことができる。
一般に拡張した場合のシステム構成を第3図に示す。
第3図において、計算依頼元は、第一処理部301で入
力情報Xに秘密情報kを与え、請負側の処理部304の
援助を請けつつy = f k(x)とx’ mgk 
(X)の前処理をし、次に、第三処理1305で処理結
果をもとめ、第二処理部302でx’ −gk (x)
の後処理をしてX′をもとめ、比較部303でX′とX
とを比較して、第三処理部で求めた処理結果を検算する
従って、本発明では、比較部で入力情報Xと第二処理部
で得られる情報X′とを比較して演算結果を確認する。
なお、請負側が正しい処理を行えばX−X−となり、そ
のとき関数G,は恒等変換となる。
さらに、本発明は上記実施例に限定されるものではなく
、その要旨を逸脱しない範囲で各種変形をして実施でき
る。
[発明の効果] 以上の通り、本発明によれば、主装置固有の秘密情報を
計算の請負側である補助装置に漏らすこと無く、しかも
請負側の計算力を借りて変換を実行することができる。
更に、前記変換の請負側の処理結果を用いる恒等変換手
段により得られた結果と入力情報を比較することにより
、補助装置の処理結果が正しいことを確認するためだけ
に補助装置に依頼計算させなくても、計算依頼元は簡i
llに確認することができる。
【図面の簡単な説明】
第1図は本発明の概要を示す図、第2図及び第3図は本
発明の実施例を示す処理フローチャート及び一般的な構
成例の概要図、第4図は従来の情報処理装置の概要を示
すブロック図、第5図はICカードと端末の外観を示す
斜視図、第6図はICカードの構成内容を示すブロック
図、第7図は端末の構成例を示すブロック図、第8図は
端末の初期化処理のフローチャート、第9図〜第13図
は従来の処理方式を示すフローチャート及び一般的な構
成例を示す概要図である。 IA・・・主装置、IB・・・検算手段、2−1.2−
2.2−3・・・補助装置、6・・・ICカード、9・
・・端末。

Claims (1)

  1. 【特許請求の範囲】 秘密情報を処理する主装置及びこの主装置の演算補助を
    行う少なくとも一つの補助装置を備え、前記秘密情報を
    前記主装置以外には漏らさずに前記秘密情報に基づく変
    換を分散処理する分散型処理システムにおいて、 前記入力情報に対して前記変換を行う第1の変換手段と
    、 前記入力情報に対して前記秘密情報に基づいて恒等変換
    を行う第2の変換手段と、 前記恒等変換手段の結果を前記入力情報と比較し、前記
    恒等変換手段の結果と前記入力情報とが一致した時、有
    効とみなす比較手段と を備えたことを特徴とする分散型情報処理システム。
JP1189677A 1989-02-02 1989-07-20 分散型情報処理システム Pending JPH0353367A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP1189677A JPH0353367A (ja) 1989-07-20 1989-07-20 分散型情報処理システム
US07/474,404 US5046094A (en) 1989-02-02 1990-02-02 Server-aided computation method and distributed information processing unit
EP19900301126 EP0381523A3 (en) 1989-02-02 1990-02-02 Server-aided computation method and distributed information processing unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP1189677A JPH0353367A (ja) 1989-07-20 1989-07-20 分散型情報処理システム

Publications (1)

Publication Number Publication Date
JPH0353367A true JPH0353367A (ja) 1991-03-07

Family

ID=16245334

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1189677A Pending JPH0353367A (ja) 1989-02-02 1989-07-20 分散型情報処理システム

Country Status (1)

Country Link
JP (1) JPH0353367A (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012078446A (ja) * 2010-09-30 2012-04-19 Nippon Telegr & Teleph Corp <Ntt> 不正検知方法、秘密計算システム、計算装置、計算プログラム
KR20150119285A (ko) 2013-03-12 2015-10-23 제이에프이 스틸 가부시키가이샤 다층 용접 조인트 ctod 특성이 우수한 후강판 및 그 제조 방법
KR20160088375A (ko) 2013-12-12 2016-07-25 제이에프이 스틸 가부시키가이샤 강판 및 그 제조 방법
KR20160090399A (ko) 2011-02-15 2016-07-29 제이에프이 스틸 가부시키가이샤 용접 열 영향부의 저온 인성이 우수한 고장력 강판 및 그 제조 방법
KR20160119243A (ko) 2014-03-31 2016-10-12 제이에프이 스틸 가부시키가이샤 용접 조인트
KR20160127808A (ko) 2014-03-31 2016-11-04 제이에프이 스틸 가부시키가이샤 고장력 강판 및 그 제조 방법
KR20170038071A (ko) 2014-09-05 2017-04-05 제이에프이 스틸 가부시키가이샤 다층 용접 조인트 ctod 특성이 우수한 후강판 및 그의 제조 방법
US9945015B2 (en) 2011-10-03 2018-04-17 Jfe Steel Corporation High-tensile steel plate giving welding heat-affected zone with excellent low-temperature toughness, and process for producing same
US10036079B2 (en) 2013-03-12 2018-07-31 Jfe Steel Corporation Thick steel sheet having excellent CTOD properties in multilayer welded joints, and manufacturing method for thick steel sheet
KR20190022845A (ko) 2016-08-09 2019-03-06 제이에프이 스틸 가부시키가이샤 고강도 후강판 및 그의 제조 방법
KR20190142358A (ko) 2017-05-22 2019-12-26 제이에프이 스틸 가부시키가이샤 후강판 및 그 제조 방법

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012078446A (ja) * 2010-09-30 2012-04-19 Nippon Telegr & Teleph Corp <Ntt> 不正検知方法、秘密計算システム、計算装置、計算プログラム
KR20160090399A (ko) 2011-02-15 2016-07-29 제이에프이 스틸 가부시키가이샤 용접 열 영향부의 저온 인성이 우수한 고장력 강판 및 그 제조 방법
US9945015B2 (en) 2011-10-03 2018-04-17 Jfe Steel Corporation High-tensile steel plate giving welding heat-affected zone with excellent low-temperature toughness, and process for producing same
US10036079B2 (en) 2013-03-12 2018-07-31 Jfe Steel Corporation Thick steel sheet having excellent CTOD properties in multilayer welded joints, and manufacturing method for thick steel sheet
US10023946B2 (en) 2013-03-12 2018-07-17 Jfe Steel Corporation Thick steel sheet having excellent CTOD properties in multilayer welded joints, and manufacturing method for thick steel sheet
KR20150119285A (ko) 2013-03-12 2015-10-23 제이에프이 스틸 가부시키가이샤 다층 용접 조인트 ctod 특성이 우수한 후강판 및 그 제조 방법
KR20160088375A (ko) 2013-12-12 2016-07-25 제이에프이 스틸 가부시키가이샤 강판 및 그 제조 방법
KR20160119243A (ko) 2014-03-31 2016-10-12 제이에프이 스틸 가부시키가이샤 용접 조인트
KR20160127808A (ko) 2014-03-31 2016-11-04 제이에프이 스틸 가부시키가이샤 고장력 강판 및 그 제조 방법
US10300564B2 (en) 2014-03-31 2019-05-28 Jfe Steel Corporation Weld joint
US10316385B2 (en) 2014-03-31 2019-06-11 Jfe Steel Corporation High-tensile-strength steel plate and process for producing same
KR20170038071A (ko) 2014-09-05 2017-04-05 제이에프이 스틸 가부시키가이샤 다층 용접 조인트 ctod 특성이 우수한 후강판 및 그의 제조 방법
KR20190022845A (ko) 2016-08-09 2019-03-06 제이에프이 스틸 가부시키가이샤 고강도 후강판 및 그의 제조 방법
KR20190142358A (ko) 2017-05-22 2019-12-26 제이에프이 스틸 가부시키가이샤 후강판 및 그 제조 방법

Similar Documents

Publication Publication Date Title
Yoon et al. Robust biometrics-based multi-server authentication with key agreement scheme for smart cards on elliptic curve cryptosystem
Wang et al. Cryptanalysis and improvement on two efficient remote user authentication scheme using smart cards
Khan et al. Improving the security of ‘a flexible biometrics remote user authentication scheme’
US4633036A (en) Method and apparatus for use in public-key data encryption system
US5201000A (en) Method for generating public and private key pairs without using a passphrase
EP1261903B2 (en) Method of authenticating users of software
CN109660338B (zh) 基于对称密钥池的抗量子计算数字签名方法和***
JP2004530331A (ja) 一時的(エフェメラル)モジュールを用いた暗号認証法
CN110519046A (zh) 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和***
CN109921905B (zh) 基于私钥池的抗量子计算密钥协商方法和***
Buldas et al. Server-supported RSA signatures for mobile devices
JPH0353367A (ja) 分散型情報処理システム
Brickell et al. Interactive identification and digital signatures
US9641333B2 (en) Authentication methods, systems, devices, servers and computer program products, using a pairing-based cryptographic approach
Epstein et al. Security for the digital information age of medicine: Issues, applications, and implementation
Chida et al. Digital money–a survey
Giri et al. An improved remote user authentication scheme with smart cards using bilinear pairings
Dandash et al. Fraudulent Internet Banking Payments Prevention using Dynamic Key.
Lou et al. Efficient biometric authenticated key agreements based on extended chaotic maps for telecare medicine information systems
JPH024018B2 (ja)
Gaskell et al. Integrating smart cards into authentication systems
Rihaczek Teletrust
Kwon Virtual software tokens-a practical way to secure PKI roaming
Geng et al. A dynamic ID-based user authentication and key agreement scheme for multi-server environment using bilinear pairings
TWI381696B (zh) 基於利用個人化秘密的rsa非對稱式密碼學之使用者認證