JPH11305660A - エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 - Google Patents
エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法Info
- Publication number
- JPH11305660A JPH11305660A JP10197531A JP19753198A JPH11305660A JP H11305660 A JPH11305660 A JP H11305660A JP 10197531 A JP10197531 A JP 10197531A JP 19753198 A JP19753198 A JP 19753198A JP H11305660 A JPH11305660 A JP H11305660A
- Authority
- JP
- Japan
- Prior art keywords
- value
- integer
- group
- terms
- values
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 暗号化システムにおいて、群の元から計算効
率よく安全なセッション・パラメータを計算すること。 【解決手段】 第1の成分は、累乗計算を容易にするた
めにベキとして比較的小さなハミング・ウェイトを有す
る整数(k)から得られる。第2の成分は、要求される
ハミング・ウェイトを有する整数によって群の生成元の
累乗として得られる予め計算された秘密の値(γ)であ
る。これらの2つの値を数学的に合成して、求めるセッ
ション・パラメータを得る。
率よく安全なセッション・パラメータを計算すること。 【解決手段】 第1の成分は、累乗計算を容易にするた
めにベキとして比較的小さなハミング・ウェイトを有す
る整数(k)から得られる。第2の成分は、要求される
ハミング・ウェイトを有する整数によって群の生成元の
累乗として得られる予め計算された秘密の値(γ)であ
る。これらの2つの値を数学的に合成して、求めるセッ
ション・パラメータを得る。
Description
【0001】
【発明の属する技術分野】本発明は、公開鍵暗号化シス
テムに関し、更に詳しくは、公開鍵プロトコルと共に用
いるセッション・パラメータの生成に関する。
テムに関し、更に詳しくは、公開鍵プロトコルと共に用
いるセッション・パラメータの生成に関する。
【0002】
【従来の技術】公開鍵データ暗号化システムは、広く知
られており、更に確実なものとして、有限群(finite g
roup)の離散対数問題(discrete log problem)の多項
式での表現不可能性(intractability)に基づくものが
ある。この公開鍵暗号化システムでは、群の元(要素、
element)と生成元(generator)とを用いる。生成元と
は、それ以外のすべての元が、この生成元に基礎となる
群演算を反復して行うことによって、すなわち、生成元
の反復的な合成(コンポジション)によって、得ること
ができるような元である。便宜的には、これは、生成元
の整数ベキの累乗計算として考えることができ、基礎と
なる群演算に応じて、生成元のk回の乗算として、又
は、生成元のk回の加算として見ることができる。この
ような公開鍵暗号化システムでは、整数kが、秘密鍵と
して用いられ、秘密とされる。対応する公開鍵は、生成
元αの整数kのベキの累乗を計算することによって得ら
れ、これにより、αkの形式の公開鍵が得られる。整数
kの値は、αkの値が知られている場合でも、導くこと
はできない。
られており、更に確実なものとして、有限群(finite g
roup)の離散対数問題(discrete log problem)の多項
式での表現不可能性(intractability)に基づくものが
ある。この公開鍵暗号化システムでは、群の元(要素、
element)と生成元(generator)とを用いる。生成元と
は、それ以外のすべての元が、この生成元に基礎となる
群演算を反復して行うことによって、すなわち、生成元
の反復的な合成(コンポジション)によって、得ること
ができるような元である。便宜的には、これは、生成元
の整数ベキの累乗計算として考えることができ、基礎と
なる群演算に応じて、生成元のk回の乗算として、又
は、生成元のk回の加算として見ることができる。この
ような公開鍵暗号化システムでは、整数kが、秘密鍵と
して用いられ、秘密とされる。対応する公開鍵は、生成
元αの整数kのベキの累乗を計算することによって得ら
れ、これにより、αkの形式の公開鍵が得られる。整数
kの値は、αkの値が知られている場合でも、導くこと
はできない。
【0003】公開及び秘密鍵は、通話者(corresponden
ts)の一方が受信者の公開鍵αkを用いてデータを暗号
化するようなメッセージの交換において、用いられる。
受信者は、暗号化されたメッセージを受け取り、自分の
秘密鍵を用いてそのメッセージを復号化して、内容を検
索する。メッセージが途中で捕捉されても、整数kを導
くことができないので、内容を得ることはできない。
ts)の一方が受信者の公開鍵αkを用いてデータを暗号
化するようなメッセージの交換において、用いられる。
受信者は、暗号化されたメッセージを受け取り、自分の
秘密鍵を用いてそのメッセージを復号化して、内容を検
索する。メッセージが途中で捕捉されても、整数kを導
くことができないので、内容を得ることはできない。
【0004】同様の技術を用いて、デジタル署名を用い
ることにより、メッセージの真正を確認することができ
る。この技術では、メッセージの送信者は、秘密鍵kを
用いてメッセージに署名を行い、受信者は、送信者の公
開鍵αkを用いてメッセージを復号化することによっ
て、送信者からのメッセージを確認することができる。
平文のメッセージの関数と回復されたメッセージの関数
とを比較することによって、メッセージの真正が確認さ
れる。
ることにより、メッセージの真正を確認することができ
る。この技術では、メッセージの送信者は、秘密鍵kを
用いてメッセージに署名を行い、受信者は、送信者の公
開鍵αkを用いてメッセージを復号化することによっ
て、送信者からのメッセージを確認することができる。
平文のメッセージの関数と回復されたメッセージの関数
とを比較することによって、メッセージの真正が確認さ
れる。
【0005】
【発明が解決しようとする課題】両方の技術において、
群の元αの累乗を計算することが必要となる。セキュリ
ティのために、kは、比較的大きな数であって、従っ
て、累乗の計算が、比較的長くなるようにしなければな
らない。指数ベキが長期的な公開鍵として用いられる場
合には、計算時間は、特に考慮すべきことではない。し
かし、デジタル署名方式では、短期的なセッション鍵
が、長期的な公開鍵と共に用いられる。それぞれのメッ
セージは、異なる秘密鍵kを用いて署名され、対応する
公開セッション鍵αkが計算され、メッセージと共に送
信されなければならない。従って、累乗(exponentiati
on)の計算において、いくらかの効率化が必要となる。
群の元αの累乗を計算することが必要となる。セキュリ
ティのために、kは、比較的大きな数であって、従っ
て、累乗の計算が、比較的長くなるようにしなければな
らない。指数ベキが長期的な公開鍵として用いられる場
合には、計算時間は、特に考慮すべきことではない。し
かし、デジタル署名方式では、短期的なセッション鍵
が、長期的な公開鍵と共に用いられる。それぞれのメッ
セージは、異なる秘密鍵kを用いて署名され、対応する
公開セッション鍵αkが計算され、メッセージと共に送
信されなければならない。従って、累乗(exponentiati
on)の計算において、いくらかの効率化が必要となる。
【0006】累乗の計算時間は、比較的小さなハミング
・ウェイト(Hamming weight)を有する整数ベキ(inte
ger exponent)kを用いることにより減少させることが
できる。ハミング・ウェイトが小さいとは、この整数の
2進表現における1の数が小さいということであり、す
なわち、別の基数においても同様に、ベキが非ゼロの係
数を有することである。しかし、ハミング・ウェイトの
小さな整数は、平方根攻撃(square root attack)を含
む様々な攻撃に対して脆弱であるために、暗号化プロト
コルにおいて用いることは推奨されていない。
・ウェイト(Hamming weight)を有する整数ベキ(inte
ger exponent)kを用いることにより減少させることが
できる。ハミング・ウェイトが小さいとは、この整数の
2進表現における1の数が小さいということであり、す
なわち、別の基数においても同様に、ベキが非ゼロの係
数を有することである。しかし、ハミング・ウェイトの
小さな整数は、平方根攻撃(square root attack)を含
む様々な攻撃に対して脆弱であるために、暗号化プロト
コルにおいて用いることは推奨されていない。
【0007】従って、本発明の目的は、上述の短所を解
消又は克服する、公開鍵交換プロトコルのためのセッシ
ョン・パラメータの計算方法を提供することである。
消又は克服する、公開鍵交換プロトコルのためのセッシ
ョン・パラメータの計算方法を提供することである。
【0008】
【課題を解決するための手段】一般的に表現すると、本
発明は、所定の値よりも小さなハミング・ウェイトを有
する整数k'が選択されるような公開鍵交換プロトコル
において用いられるベキを計算する方法を提供する。生
成元αに対する累乗計算が実行され、結果として得られ
る中間的なセッション・パラメータであるαk'が、秘密
の値γと数学的に組み合わ(合成)される。γは、前記
の所定の値よりも大きなハミング・ウェイトを有するラ
ンダムな整数iから導かれる。αと中間的なセッション
・パラメータとを数学的に組み合わせることにより、そ
のベキのハミング・ウェイトが前記の所定の値よりも大
きなセッション・パラメータが得られ、これは、計算の
観点から見て安全であると考えられる。
発明は、所定の値よりも小さなハミング・ウェイトを有
する整数k'が選択されるような公開鍵交換プロトコル
において用いられるベキを計算する方法を提供する。生
成元αに対する累乗計算が実行され、結果として得られ
る中間的なセッション・パラメータであるαk'が、秘密
の値γと数学的に組み合わ(合成)される。γは、前記
の所定の値よりも大きなハミング・ウェイトを有するラ
ンダムな整数iから導かれる。αと中間的なセッション
・パラメータとを数学的に組み合わせることにより、そ
のベキのハミング・ウェイトが前記の所定の値よりも大
きなセッション・パラメータが得られ、これは、計算の
観点から見て安全であると考えられる。
【0009】秘密の値γは、リアルタイムの累乗計算が
整数k'を用いたベキの生成に限定されるように、予め
計算しておくことができる。
整数k'を用いたベキの生成に限定されるように、予め
計算しておくことができる。
【0010】この方法は、乗法群(multiplicative gro
up)Z*pと共に用いることができるし、又は、有限体
上の楕円曲線などのそれ以外の群と共に用いることもで
きる。
up)Z*pと共に用いることができるし、又は、有限体
上の楕円曲線などのそれ以外の群と共に用いることもで
きる。
【0011】
【発明の実施の形態】以下では、本発明の実施例を図面
を参照して説明する。
を参照して説明する。
【0012】図1を参照すると、データ通信システム1
0は、1対の通話者12、14を含む。通話者12、1
4は、それぞれが、メッセージMを生成し、そのメッセ
ージMを、通信リンク16を介して、他方の通話者に送
ることができ、それぞれが、暗号化モジュール18を有
しており、送信の前と受信時とにメッセージMを処理す
る。
0は、1対の通話者12、14を含む。通話者12、1
4は、それぞれが、メッセージMを生成し、そのメッセ
ージMを、通信リンク16を介して、他方の通話者に送
ることができ、それぞれが、暗号化モジュール18を有
しており、送信の前と受信時とにメッセージMを処理す
る。
【0013】通話者14があるメッセージが通話者12
によって生成されたものであると確認するために、メッ
セージMの署名とそのメッセージの受信時に送信者を確
認することを可能にする様々なプロトコルが作られてき
ている。説明の目的で、ここでは、メッセージMに署名
する単純なエルガマル(El Gamal)型のプロトコルを用
いることにする。もちろん、これ以外のより複雑なプロ
トコルを用いても同様な効果を得ることができる。同様
に、このセッション・パラメータの生成は、デジタル署
名以外のディフィ・ヘルマン(Diffie Hellman)暗号化
方式にも用いることができる。
によって生成されたものであると確認するために、メッ
セージMの署名とそのメッセージの受信時に送信者を確
認することを可能にする様々なプロトコルが作られてき
ている。説明の目的で、ここでは、メッセージMに署名
する単純なエルガマル(El Gamal)型のプロトコルを用
いることにする。もちろん、これ以外のより複雑なプロ
トコルを用いても同様な効果を得ることができる。同様
に、このセッション・パラメータの生成は、デジタル署
名以外のディフィ・ヘルマン(Diffie Hellman)暗号化
方式にも用いることができる。
【0014】図2に示されているように、メッセージに
署名するためには、通話者12は、整数k'を整数生成
器20から選択してそれをコンパレータ22でチェック
して、この整数が計算的に安全であると通常考えられる
所定のレベルよりも小さなハミング・ウェイトを有して
いることを確認する。例えば、155の体では、15よ
りも小さなハミング・ウェイトを有する整数k'を用い
ることができる。必要であれば、乱数を発生させて、ハ
ミング・ウェイトをコーム(comb)24で調整し、それ
が計算を容易にする所定のレベルよりも小さいことを確
認する。
署名するためには、通話者12は、整数k'を整数生成
器20から選択してそれをコンパレータ22でチェック
して、この整数が計算的に安全であると通常考えられる
所定のレベルよりも小さなハミング・ウェイトを有して
いることを確認する。例えば、155の体では、15よ
りも小さなハミング・ウェイトを有する整数k'を用い
ることができる。必要であれば、乱数を発生させて、ハ
ミング・ウェイトをコーム(comb)24で調整し、それ
が計算を容易にする所定のレベルよりも小さいことを確
認する。
【0015】生成元αのk'回の組合せ(合成)が次に
行われる。modp(pを法とする合同関係)の整数の
乗法群を用いる公開鍵システムでは、中間的なセッショ
ン鍵αk'は、「平方及び加算」アルゴリズムなどの既知
の累乗アルゴリズムを用いて、累乗器(exponentiato
r)26で計算される。2進数の桁の過半数はゼロであ
るから、累乗計算は比較的迅速に行われて、中間的なセ
ッション・パラメータが得られる。
行われる。modp(pを法とする合同関係)の整数の
乗法群を用いる公開鍵システムでは、中間的なセッショ
ン鍵αk'は、「平方及び加算」アルゴリズムなどの既知
の累乗アルゴリズムを用いて、累乗器(exponentiato
r)26で計算される。2進数の桁の過半数はゼロであ
るから、累乗計算は比較的迅速に行われて、中間的なセ
ッション・パラメータが得られる。
【0016】通話者12は、次に、テーブル28から、
αiの形式の元γの予め計算された値を検索する。整数
iは乱数であり、そのハミング・ウェイトは、50%の
オーダーであると想定することができる。iの値とγの
対応する値とを含むテーブル28は、安全に維持されて
いる。
αiの形式の元γの予め計算された値を検索する。整数
iは乱数であり、そのハミング・ウェイトは、50%の
オーダーであると想定することができる。iの値とγの
対応する値とを含むテーブル28は、安全に維持されて
いる。
【0017】γの秘密の値と中間的なセッション・パラ
メータαk'とは、算術プロセッサ30において乗算さ
れ、セッション・パラメータαk'+I=αを得る。2つの
成分の乗算は、比較的迅速に行われるので、セッション
・パラメータαkは、リアルタイムで計算することがで
きる。
メータαk'とは、算術プロセッサ30において乗算さ
れ、セッション・パラメータαk'+I=αを得る。2つの
成分の乗算は、比較的迅速に行われるので、セッション
・パラメータαkは、リアルタイムで計算することがで
きる。
【0018】同時に、i+k'に等しい値kが、算術プ
ロセッサ30において計算され、暗号化モジュール18
においてメッセージMを暗号化する、すなわち、メッセ
ージMに署名するのに用いられる。メッセージMと署名
とは、セッション・パラメータαkと共に、通信チャネ
ル16上を、受信者14に送信される。受信者14は、
次に、セッション・パラメータαkを用いて署名された
メッセージを復号化し、復号化されたメッセージを、送
信されたメッセージと比較して、それらが同じであるこ
とを確認する。
ロセッサ30において計算され、暗号化モジュール18
においてメッセージMを暗号化する、すなわち、メッセ
ージMに署名するのに用いられる。メッセージMと署名
とは、セッション・パラメータαkと共に、通信チャネ
ル16上を、受信者14に送信される。受信者14は、
次に、セッション・パラメータαkを用いて署名された
メッセージを復号化し、復号化されたメッセージを、送
信されたメッセージと比較して、それらが同じであるこ
とを確認する。
【0019】整数k'に対して比較的小さなハミング・
ウェイトを用いることにより、セッション・パラメータ
αkが脆弱になることはないが、これは、秘密の値γが
適切なハミング・ウェイトを有しているからである。従
って、整数kのハミング・ウェイトもまた、セキュリテ
ィの目的に関しては、適切である。
ウェイトを用いることにより、セッション・パラメータ
αkが脆弱になることはないが、これは、秘密の値γが
適切なハミング・ウェイトを有しているからである。従
って、整数kのハミング・ウェイトもまた、セキュリテ
ィの目的に関しては、適切である。
【0020】この技術は、図3に示されているように、
楕円曲線暗号化システムにおいても用いることができ
る。図3では、同じ構成要素は、同じ参照番号に添え字
のaを付すことによって、識別している。楕円曲線暗号
化システムでは、公開鍵として用いられる群の元は、生
成元Pのk回の加算から得られる点kPに対応する。基
礎となる体の演算は加算であるので、群の元kPは、生
成元Pのk乗のベキの累乗を表す。公開鍵kPのセキュ
リティは、曲線上の点の加算の結果として、又は、複数
回の加算と同等の整数による点の乗算の結果として、生
じる。
楕円曲線暗号化システムにおいても用いることができ
る。図3では、同じ構成要素は、同じ参照番号に添え字
のaを付すことによって、識別している。楕円曲線暗号
化システムでは、公開鍵として用いられる群の元は、生
成元Pのk回の加算から得られる点kPに対応する。基
礎となる体の演算は加算であるので、群の元kPは、生
成元Pのk乗のベキの累乗を表す。公開鍵kPのセキュ
リティは、曲線上の点の加算の結果として、又は、複数
回の加算と同等の整数による点の乗算の結果として、生
じる。
【0021】曲線上の1対の点の加算は、比較的複雑で
あり、複数回の加算が要求されることによって、楕円曲
線暗号化システムの本来のより大きな強度から生じる長
所のいくらかは相殺されてしまう。
あり、複数回の加算が要求されることによって、楕円曲
線暗号化システムの本来のより大きな強度から生じる長
所のいくらかは相殺されてしまう。
【0022】そのような暗号化システムの使用を容易に
するために、これは通常は安全ではないと考えられるの
であるが、所定の値よりも小さなハミング・ウェイトを
有する整数k'が、生成器20aによって、選択され
る。中間的なセッション・パラメータk'Pが、点Pの
k'回の合成によって、すなわち、楕円点アキュムレー
タ26aにおける最初の点Pをk'回加算することによ
って、計算される。比較的小さなハミング・ウェイトの
ために、k'Pの値の計算を容易にするのに必要な点の
加算が少なくなる。
するために、これは通常は安全ではないと考えられるの
であるが、所定の値よりも小さなハミング・ウェイトを
有する整数k'が、生成器20aによって、選択され
る。中間的なセッション・パラメータk'Pが、点Pの
k'回の合成によって、すなわち、楕円点アキュムレー
タ26aにおける最初の点Pをk'回加算することによ
って、計算される。比較的小さなハミング・ウェイトの
ために、k'Pの値の計算を容易にするのに必要な点の
加算が少なくなる。
【0023】秘密の値γは、ランダムに生成され所定の
値よりも大きなハミング・ウェイトを有する整数iか
ら、予め計算される。γの値は、点Pのi回の加算か
ら、すなわち、α=iPから得られる。ここで、αとI
とは、テーブル28aに記憶されている。
値よりも大きなハミング・ウェイトを有する整数iか
ら、予め計算される。γの値は、点Pのi回の加算か
ら、すなわち、α=iPから得られる。ここで、αとI
とは、テーブル28aに記憶されている。
【0024】中間的なセッション・パラメータk'Pと
値iPとは、算術プロセッサ30aに与えられ、新たな
値kPが得られる。整数kは、k'とiとの加算と暗号
化モジュールにおいて準備される結果的な署名とから、
送信者12によって、プロセッサ30aにおいて計算さ
れる。
値iPとは、算術プロセッサ30aに与えられ、新たな
値kPが得られる。整数kは、k'とiとの加算と暗号
化モジュールにおいて準備される結果的な署名とから、
送信者12によって、プロセッサ30aにおいて計算さ
れる。
【0025】しかし、比較的小さなハミング・ウェイト
を有する最初のk'の選択は、やはり、中間的なセッシ
ョン・パラメータを得るための計算時間を短縮し、秘密
の値とのその後の数学的な合成により、その乗算値kが
要求されるハミング・ウェイトを有するセッション・パ
ラメータが得られる。
を有する最初のk'の選択は、やはり、中間的なセッシ
ョン・パラメータを得るための計算時間を短縮し、秘密
の値とのその後の数学的な合成により、その乗算値kが
要求されるハミング・ウェイトを有するセッション・パ
ラメータが得られる。
【0026】それぞれの場合に、整数k'に対して用い
られる比較的小さなハミング・ウェイトの使用は、所定
の値よりも大きなハミング・ウェイトを有するランダム
な整数との合成によって、マスクされる。
られる比較的小さなハミング・ウェイトの使用は、所定
の値よりも大きなハミング・ウェイトを有するランダム
な整数との合成によって、マスクされる。
【0027】楕円曲線暗号化システムが変則的(anomal
ous)な曲線を用いる場合には、累乗は、平方及び加算
のアルゴリズムによって、得られる。
ous)な曲線を用いる場合には、累乗は、平方及び加算
のアルゴリズムによって、得られる。
【0028】別の実施例が、図4に示されている。この
図では、同じ参照番号の前に1を付すことによって、同
じ構成要素を示している。図4の実施例では、追加的な
項が整数kの計算に導入され、セキュリティを強化して
いる。整数kは、整数生成器120によって生成された
小さなハミング・ウェイトの項k'と追加的な整数kC、
kL、kDから導かれる変動する項との組合せから得ら
れ、次の形式を有する。
図では、同じ参照番号の前に1を付すことによって、同
じ構成要素を示している。図4の実施例では、追加的な
項が整数kの計算に導入され、セキュリティを強化して
いる。整数kは、整数生成器120によって生成された
小さなハミング・ウェイトの項k'と追加的な整数kC、
kL、kDから導かれる変動する項との組合せから得ら
れ、次の形式を有する。
【0029】
【数1】k=k'+k*C+k*L+k*D 同様に、次も成立する。
【0030】
【数2】kP=k'P+k*CP+k*LP+k*DP 整数kC、kL、kDは、予め計算された対応する値k
CP、kLP、kDPと共に、ルックアップ・テーブル1
28に記憶されている。図4では、整数kC、kL、kD
は、別々の値の組であるとされているが、後に説明する
ように、1組の整数を用いることもできる。テーブル1
28における整数の値は、典型的にはセッション鍵kの
それぞれの生成の際に増加するインクリメント・カウン
タ32の出力である基準項tに対して、インデックスが
付けられている。
CP、kLP、kDPと共に、ルックアップ・テーブル1
28に記憶されている。図4では、整数kC、kL、kD
は、別々の値の組であるとされているが、後に説明する
ように、1組の整数を用いることもできる。テーブル1
28における整数の値は、典型的にはセッション鍵kの
それぞれの生成の際に増加するインクリメント・カウン
タ32の出力である基準項tに対して、インデックスが
付けられている。
【0031】好適実施例では、項k*Cは、与えられた
値tに対してルックアップ・テーブル128から検索さ
れる整数に対応する定数項である。項k*L、k*Dは、
セッション鍵kのそれぞれの生成に対して変動するよう
に基準項tによって修正される整数kL及びkDによって
与えられる。
値tに対してルックアップ・テーブル128から検索さ
れる整数に対応する定数項である。項k*L、k*Dは、
セッション鍵kのそれぞれの生成に対して変動するよう
に基準項tによって修正される整数kL及びkDによって
与えられる。
【0032】項k*Lは、t・kIの形式の線形項であ
り、項k*Dは、2t・kDの形式を有する。tが変動す
ると、kC、kL、kDは、ルックアップ・テーブルから
変動し、対応する値であるk*L及びk*Dが、基準項t
の値と共に変動する。
り、項k*Dは、2t・kDの形式を有する。tが変動す
ると、kC、kL、kDは、ルックアップ・テーブルから
変動し、対応する値であるk*L及びk*Dが、基準項t
の値と共に変動する。
【0033】従って、この実施例では、値kは、次の形
式を有する。ただし、kCt、kLt、kDtは、kC、kL、
kDの時間tにおける値である。
式を有する。ただし、kCt、kLt、kDtは、kC、kL、
kDの時間tにおける値である。
【0034】
【数3】k=k'+kCt+tkLt+2tkDt 従って、動作においては、図4に示されているように、
セッション鍵kの生成の開始時には、小さなハミング・
ウェイトを有するk'の値が、生成器128から選択さ
れ、対応する値k'Pが累乗器126によって、計算さ
れる。カウンタ32の出力は、ルックアップ・テーブル
128が対応する値kC、kL、kDと関連する点である
kCP、kLP、kDPとを検索する基準項として用いら
れる。
セッション鍵kの生成の開始時には、小さなハミング・
ウェイトを有するk'の値が、生成器128から選択さ
れ、対応する値k'Pが累乗器126によって、計算さ
れる。カウンタ32の出力は、ルックアップ・テーブル
128が対応する値kC、kL、kDと関連する点である
kCP、kLP、kDPとを検索する基準項として用いら
れる。
【0035】項kCPは、項k*CPに対応し、従って、
算術プロセッサ130において、k'Pに加算される。
項k*Lは、テーブル128から検索された点kLPの
t回の加算から得られ、プロセッサ130において、値
k'P+kCPに加算される。
算術プロセッサ130において、k'Pに加算される。
項k*Lは、テーブル128から検索された点kLPの
t回の加算から得られ、プロセッサ130において、値
k'P+kCPに加算される。
【0036】同様にして、項k*DPは、テーブル12
8から検索されたkDPの2t回の加算から得られ、先の
値に加算されて、セッション鍵kPを与える。同じよう
に、kの値は、k'、kC、k*L、k*Dの加算から得る
ことができる。
8から検索されたkDPの2t回の加算から得られ、先の
値に加算されて、セッション鍵kPを与える。同じよう
に、kの値は、k'、kC、k*L、k*Dの加算から得る
ことができる。
【0037】それぞれの加算は、楕円曲線上の1対の点
の加算を含むことを理解すべきである。k*LP及びk
*DPの計算は、tの値の2進表現における点の連続的
な2倍化(doubling)又は置換(substitution)を用い
て、比較的容易に得られる。
の加算を含むことを理解すべきである。k*LP及びk
*DPの計算は、tの値の2進表現における点の連続的
な2倍化(doubling)又は置換(substitution)を用い
て、比較的容易に得られる。
【0038】更に、k*C、k*L、k*Dの使用は、連
続的な署名が計算され追加的な複雑さが導入されるにつ
れて、順序を交換される。
続的な署名が計算され追加的な複雑さが導入されるにつ
れて、順序を交換される。
【0039】値は、適切に小さなハミング・ウェイトを
有するように選択される。同様にして、kL又はkDの値
は、計算を容易にするために好ましい場合には、比較的
小さなハミング・ウェイトを有するように選択される
が、t=0において適切なセキュリティを与えるために
十分なハミング・ウェイトをkCが有していることが好
ましい。しかし、一般的には、kC、kL、kDの値は、
計算的なセキュリティのために、適切なハミング・ウェ
イトを有していることが好ましい。後に述べるように、
署名の間で要求される計算は、減少させることができ、
それによって、kL及びkDの値を所定のレベルよりも上
に維持することが望ましくなる。上述の例では、kC、
kL、kDの値は、異なる値の組から選択されることが想
定されていた。しかし、これらの値は、値を所定の態様
で順序を交換することによって、同じテーブルから選択
することもできるし、又は、計算を単純化するために、
それぞれの項において用いられる同じ整数でもよい。
有するように選択される。同様にして、kL又はkDの値
は、計算を容易にするために好ましい場合には、比較的
小さなハミング・ウェイトを有するように選択される
が、t=0において適切なセキュリティを与えるために
十分なハミング・ウェイトをkCが有していることが好
ましい。しかし、一般的には、kC、kL、kDの値は、
計算的なセキュリティのために、適切なハミング・ウェ
イトを有していることが好ましい。後に述べるように、
署名の間で要求される計算は、減少させることができ、
それによって、kL及びkDの値を所定のレベルよりも上
に維持することが望ましくなる。上述の例では、kC、
kL、kDの値は、異なる値の組から選択されることが想
定されていた。しかし、これらの値は、値を所定の態様
で順序を交換することによって、同じテーブルから選択
することもできるし、又は、計算を単純化するために、
それぞれの項において用いられる同じ整数でもよい。
【0040】同様にして、kの形式は、追加的な及び/
又は異なる項を含み、上述の定数、線形、2倍の項以外
の非線形性や複雑さを導入することができる。更には、
適切な場合には、kの計算において、フロベニウス(Fr
obenius)作用素などの追加的な関数を含むこともでき
る。これらの追加的な項は、計算を容易にし、最終的な
ハミング・ウェイトが計算的に安全であると考えられて
いる所定の値よりも大きくなるように、選択される。
又は異なる項を含み、上述の定数、線形、2倍の項以外
の非線形性や複雑さを導入することができる。更には、
適切な場合には、kの計算において、フロベニウス(Fr
obenius)作用素などの追加的な関数を含むこともでき
る。これらの追加的な項は、計算を容易にし、最終的な
ハミング・ウェイトが計算的に安全であると考えられて
いる所定の値よりも大きくなるように、選択される。
【0041】図5には、k及びkPの連続的な値を決定
する別のアルゴリズムが示されている。
する別のアルゴリズムが示されている。
【0042】kが次のような形式を有していると仮定す
る。
る。
【0043】
【数4】k=k'+kC+tkL+2tkD 及び
【数5】kP=k'P+kCP+tkLP+2tkDP まず、kC、kL、kDの値と、対応する値であるkCP、
kLP、kDPとが、レジスタ34に記憶される。
kLP、kDPとが、レジスタ34に記憶される。
【0044】時間tにおける新たな値は、k'(t)+
k''(t)である。ただし、ここで、k''(t)=kC
+tkL+2tkDである。k'(t)は、生成器200に
よって生成された小さなハミング・ウェイトを有する新
たな整数である。
k''(t)である。ただし、ここで、k''(t)=kC
+tkL+2tkDである。k'(t)は、生成器200に
よって生成された小さなハミング・ウェイトを有する新
たな整数である。
【0045】kの新たな値を計算するために、k''
(t)の値が、レジスタ34に記憶された値を用いて、
算術プロセッサ230において計算される。k''(t)
の結果的な値は、k'(t)に加算され、kの新たな値
を得る。
(t)の値が、レジスタ34に記憶された値を用いて、
算術プロセッサ230において計算される。k''(t)
の結果的な値は、k'(t)に加算され、kの新たな値
を得る。
【0046】kの次の値、すなわち、k(t+1)の計
算を容易にするために、k''(t)と2tkDの計算され
た値が、kC及びkLと共に記憶される。
算を容易にするために、k''(t)と2tkDの計算され
た値が、kC及びkLと共に記憶される。
【0047】k(t+1)を得るためには、k'(t+
1)を得て、k''(t+1)を生成することが必要であ
る。これは、記憶された値をもちいることによって、次
のように、容易に達成される。
1)を得て、k''(t+1)を生成することが必要であ
る。これは、記憶された値をもちいることによって、次
のように、容易に達成される。
【0048】
【数6】 k''(t+1)=kC+(t+1)kL+2(t+1)kD =(kC+tkL+2tkD)+2tkD+kL =k''(t)+2tkD+kL これらの項は、それぞれが、レジスタ34に記憶され、
容易に検索が可能であり、k''(t+1)の値を与え、
この値が、k'(t+1)と組み合わされて、時間(t
+1)における新たなkを与える。
容易に検索が可能であり、k''(t+1)の値を与え、
この値が、k'(t+1)と組み合わされて、時間(t
+1)における新たなkを与える。
【0049】レジスタ34は、更新され、k''(t)の
値が、保持されているkLの値であるk''(t+1)と
交換され、2tkDの値が2(t+1)kDと交換される。
値が、保持されているkLの値であるk''(t+1)と
交換され、2tkDの値が2(t+1)kDと交換される。
【0050】時間(t+2)におけるkの次の値も、同
様にして得ることができる。
様にして得ることができる。
【0051】類似の手順が、k(t+1)+Pの値を計
算する際にも利用できる。
算する際にも利用できる。
【0052】k''(t)P、kLP、2tkDPの値は、
レジスタ34に記憶されている。
レジスタ34に記憶されている。
【0053】k'(t+1)Pは、上述の場合と同じよ
うに、楕円点アキュムレータ226における複数回の点
の加算によって得ることができる。
うに、楕円点アキュムレータ226における複数回の点
の加算によって得ることができる。
【0054】k''(t+1)Pの値は、k''(t)P+
tkLP+2tkDPを計算することによって、得られ
る。
tkLP+2tkDPを計算することによって、得られ
る。
【0055】これらの項は、それぞれが、レジスタ34
に記憶され、容易に検索が可能である。
に記憶され、容易に検索が可能である。
【0056】これらの項は、時間(t+1)に対する項
に対応することによって更新されるが、これを容易にす
るために、点2tkDPが最初に2倍されて、2(t+1)kD
Pを得る。次に、これが、記憶され、kLP及びk''
(t)に加算されて、k''(t+1)Pを得る。これ
は、再び記憶され、k'(t+1)Pに加算され、k
(t+1)Pの新たな値を得る。
に対応することによって更新されるが、これを容易にす
るために、点2tkDPが最初に2倍されて、2(t+1)kD
Pを得る。次に、これが、記憶され、kLP及びk''
(t)に加算されて、k''(t+1)Pを得る。これ
は、再び記憶され、k'(t+1)Pに加算され、k
(t+1)Pの新たな値を得る。
【0057】従って、計算k''(t+1)Pは、1つの
点の2倍と3つの点の加算とによって達成され、これ
は、k'の小さなハミング・ウェイトと組み合わされ
て、システム・パラメータの非常に効果的な生成につな
がる。
点の2倍と3つの点の加算とによって達成され、これ
は、k'の小さなハミング・ウェイトと組み合わされ
て、システム・パラメータの非常に効果的な生成につな
がる。
【0058】上述のように、セッション・パラメータk
及びαkの連続的な生成のために、記憶された値の関連
するついを含むレジスタの順序を交換することによっ
て、追加的な複雑さを導入することができる。
及びαkの連続的な生成のために、記憶された値の関連
するついを含むレジスタの順序を交換することによっ
て、追加的な複雑さを導入することができる。
【0059】まとめると、セッション・パラメータの生
成は、計算の容易さのために、ハミング・ウェイトが小
さな整数を用い、その整数を、予め計算されている値又
は値の組と組み合わせて小さなハミング・ウェイトをマ
スクすることによって、容易になる。追加的な複雑さ
は、値の組に非線形項を提供することによって、又は、
署名の間で値の組の順序を交換することによって、導入
することができる。このようにして、連続的なセッショ
ン値が、攻撃に対して抵抗性を有しながら、計算は効率
的に行うことができる。
成は、計算の容易さのために、ハミング・ウェイトが小
さな整数を用い、その整数を、予め計算されている値又
は値の組と組み合わせて小さなハミング・ウェイトをマ
スクすることによって、容易になる。追加的な複雑さ
は、値の組に非線形項を提供することによって、又は、
署名の間で値の組の順序を交換することによって、導入
することができる。このようにして、連続的なセッショ
ン値が、攻撃に対して抵抗性を有しながら、計算は効率
的に行うことができる。
【0060】上述の計算は、具体的な応用例に応じて、
集積回路において実行することができるし、又は、汎用
コンピュータ上のソフトウェアにおいて実行することが
できる。
集積回路において実行することができるし、又は、汎用
コンピュータ上のソフトウェアにおいて実行することが
できる。
【図1】データ通信システムの概略図である。
【図2】乗法群Z*pにおけるセッション・パラメータ
の生成を示す流れ図である。
の生成を示す流れ図である。
【図3】楕円曲線におけるセッション・パラメータの生
成を示す流れ図である。
成を示す流れ図である。
【図4】セッション・パラメータの生成の別の実施例に
関する図3と類似の流れ図である。
関する図3と類似の流れ図である。
【図5】セッション・パラメータの生成の更に別の実施
例を示す流れ図である。
例を示す流れ図である。
フロントページの続き (72)発明者 ロバート・ジェイ・ランバート カナダ国 エヌ3シー・3エヌ3 オンタ リオ,ケンブリッジ,ホーム・ストリート 63 (72)発明者 ロナルド・シー・マリン カナダ国 エヌ2エル・4アール9 オン タリオ,ウォータールー,ツイン・オーク ス・クレッセント 533
Claims (13)
- 【請求項1】 群の生成元のk回の合成に対応する公開
鍵暗号化方式の公開要素として用いるために前記群の元
を得る方法であって、kは、所定の値よりも大きなハミ
ング・ウェイトを有する整数である、方法において、 i)所定の値よりも小さなハミング・ウェイトを有する
整数k'を選択するステップと、 ii)前記生成元のk'回の合成を実行して、中間的な
セッション・パラメータを提供するステップと、 iii)前記中間的なセッション・パラメータを、前記
生成元のi回の合成から導かれる秘密の値γと合成し
て、前記群の元を得るステップであって、ここで、i
は、前記所定の値よりも大きなハミング・ウェイトを有
する整数である、ステップと、 iv)前記整数k'とiとを合成して、対応する秘密鍵
要素kを提供するステップと、を含むことを特徴とする
方法。 - 【請求項2】 請求項1記載の方法において、前記安全
な値γは、予め計算され秘密にされていることを特徴と
する方法。 - 【請求項3】 請求項1記載の方法において、前記群
は、modpの整数から成る乗法群であることを特徴と
する方法。 - 【請求項4】 請求項3記載の方法において、前記中間
的なセッション・パラメータと安全な値とは、乗法によ
って合成されることを特徴とする方法。 - 【請求項5】 請求項1記載の方法において、前記群
は、有限体上の楕円曲線であることを特徴とする方法。 - 【請求項6】 請求項5記載の方法において、前記安全
な値と前記中間的なセッション・パラメータとは、有限
体上の楕円曲線上の加算を実行することによって合成さ
れることを特徴とする方法。 - 【請求項7】 請求項1記載の方法において、前記安全
な値は、乱数をベキとして生成することによって得られ
ることを特徴とする方法。 - 【請求項8】 請求項7記載の方法において、前記乱数
と結果的に得られる安全な値とは、前記中間的なセッシ
ョン・パラメータと合成されるために、記憶され抽出さ
れることを特徴とする方法。 - 【請求項9】 請求項1記載の方法において、前記安全
な値は、項の合成によって導かれ、これらの項のそれぞ
れは、前記群の元の整数的なコンポジションから導かれ
る値を有することを特徴とする方法。 - 【請求項10】 請求項9記載の方法において、前記項
の少なくとも1つは、連続的な秘密の値に非線形性を導
入することを特徴とする方法。 - 【請求項11】 請求項10記載の方法において、前記
項の前記1つは、前記コンポジションにおける時間変動
する整数を含むことを特徴とする方法。 - 【請求項12】 請求項9記載の方法において、前記項
に対応する値は、連続的な署名の間で順序を交換される
ことを特徴とする方法。 - 【請求項13】 請求項12記載の方法において、前記
項の少なくとも1つは、連続的な秘密の値に非線形性を
導入することを特徴とする方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US08/948,796 US6337909B1 (en) | 1996-10-10 | 1997-10-10 | Generation of session keys for El Gamal-like protocols from low hamming weight integers |
| US948796 | 1997-10-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11305660A true JPH11305660A (ja) | 1999-11-05 |
| JP4462511B2 JP4462511B2 (ja) | 2010-05-12 |
Family
ID=25488256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP19753198A Expired - Lifetime JP4462511B2 (ja) | 1997-10-10 | 1998-07-13 | エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4462511B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002521724A (ja) * | 1998-07-21 | 2002-07-16 | サーティコム コーポレーション | タイミングアタック防止暗号システム |
| WO2007080633A1 (ja) * | 2006-01-11 | 2007-07-19 | Mitsubishi Denki Kabushiki Kaisha | 楕円曲線暗号パラメータ生成装置及び楕円曲線暗号演算装置及び楕円曲線暗号パラメータ生成プログラム及び楕円曲線暗号演算プログラム |
-
1998
- 1998-07-13 JP JP19753198A patent/JP4462511B2/ja not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002521724A (ja) * | 1998-07-21 | 2002-07-16 | サーティコム コーポレーション | タイミングアタック防止暗号システム |
| JP4699610B2 (ja) * | 1998-07-21 | 2011-06-15 | サーティコム コーポレーション | タイミングアタック防止暗号システム |
| WO2007080633A1 (ja) * | 2006-01-11 | 2007-07-19 | Mitsubishi Denki Kabushiki Kaisha | 楕円曲線暗号パラメータ生成装置及び楕円曲線暗号演算装置及び楕円曲線暗号パラメータ生成プログラム及び楕円曲線暗号演算プログラム |
| JPWO2007080633A1 (ja) * | 2006-01-11 | 2009-06-11 | 三菱電機株式会社 | 楕円曲線暗号パラメータ生成装置及び楕円曲線暗号演算装置及び楕円曲線暗号パラメータ生成プログラム及び楕円曲線暗号演算プログラム |
| JP4688886B2 (ja) * | 2006-01-11 | 2011-05-25 | 三菱電機株式会社 | 楕円曲線暗号パラメータ生成装置及び楕円曲線暗号システム及び楕円曲線暗号パラメータ生成プログラム |
| US8111826B2 (en) | 2006-01-11 | 2012-02-07 | Mitsubishi Electric Corporation | Apparatus for generating elliptic curve cryptographic parameter, apparatus for processing elliptic curve cryptograph, program for generating elliptic curve cryptographic parameter, and program for processing elliptic cyptograph |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4462511B2 (ja) | 2010-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2329590C (en) | Method of public key generation | |
| EP0946018B1 (en) | Scheme for fast realization of a decryption or an authentication | |
| EP2375628A2 (en) | Signature schemes using bilinear mappings | |
| EP2686978B1 (en) | Keyed pv signatures | |
| CN115102688A (zh) | 数据处理方法、多项式计算方法及电子设备 | |
| US20040125949A1 (en) | Method of and apparatus for determining a key pair and for generating RSA keys | |
| US6337909B1 (en) | Generation of session keys for El Gamal-like protocols from low hamming weight integers | |
| Heninger | RSA, DH, and DSA in the Wild | |
| GB2391139A (en) | Key generation and data transfer with a trusted third party | |
| CN110798313B (zh) | 基于秘密动态共享的包含秘密的数的协同生成方法及*** | |
| Kota et al. | Implementation of the RSA algorithm and its cryptanalysis | |
| CN114362912A (zh) | 基于分布式密钥中心的标识密码生成方法、电子设备及介质 | |
| EP2395698B1 (en) | Implicit certificate generation in the case of weak pseudo-random number generators | |
| US6507656B1 (en) | Non malleable encryption apparatus and method | |
| KR100431047B1 (ko) | Crt에 기초한 rsa 공개키 암호화 방식을 이용한디지털 서명방법 및 그 장치 | |
| Garg et al. | Improvement over public key cryptographic algorithm | |
| JP4563037B2 (ja) | 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法 | |
| Wang et al. | Signature schemes based on two hard problems simultaneously | |
| JP4462511B2 (ja) | エルガマル・ライクなプロトコルのためのセッション・パラメータ生成方法 | |
| CA2217925C (en) | Generation of session parameters for el gamal-like protocols | |
| KR100513958B1 (ko) | 메시지의 전자서명 및 암호화 방법 | |
| CA2585738C (en) | Generation of session parameters for el gamal-like protocols | |
| JP2624634B2 (ja) | 暗号装置および復号化装置および暗号・復号化装置および暗号システム | |
| EP1921790A1 (en) | Signature schemes using bilinear mappings | |
| Goyal | More efficient server assisted one time signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050713 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050713 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080603 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080903 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080908 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100119 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100212 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130226 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140226 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |