JP5871826B2 - Authenticator generation device, verification device, and program - Google Patents
Authenticator generation device, verification device, and program Download PDFInfo
- Publication number
- JP5871826B2 JP5871826B2 JP2013003625A JP2013003625A JP5871826B2 JP 5871826 B2 JP5871826 B2 JP 5871826B2 JP 2013003625 A JP2013003625 A JP 2013003625A JP 2013003625 A JP2013003625 A JP 2013003625A JP 5871826 B2 JP5871826 B2 JP 5871826B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- random number
- verification
- value
- secret key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、情報セキュリティ技術に関し、特に、メッセージ認証子技術に関する。 The present invention relates to information security technology, and more particularly to message authenticator technology.
証明可能安全性を持つメッセージ認証子が、共通鍵暗号のプリミティブの安全性の下で提案されている。また、通常の安全性を持つ暗号方式を関連鍵攻撃に対する安全性をもつ方式に変換する技術もいくつか知られている(例えば、非特許文献1から3参照)。
A message authenticator with provable security has been proposed under the security of the common key cryptography primitive. There are also known some techniques for converting an encryption system having normal security into a system having security against related key attacks (for example, see Non-Patent
しかしながら、従来の関連鍵攻撃に対する安全性をもつ方式は、関連鍵攻撃を検知した場合に自壊しなければ安全性を保てない。 However, a conventional method with security against a related key attack cannot maintain security unless it breaks itself when a related key attack is detected.
本発明では、自壊することなく関連鍵攻撃に対する安全性を向上させることができるメッセージ認証子技術を提供する。 The present invention provides a message authenticator technique that can improve security against related key attacks without self-destruction.
メッセージ認証子の生成時には、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と当該乱数対応値とを含むメッセージ認証子を得る。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。検証時には、対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得、メッセージ認証子と秘密鍵対応値と検証ラベル情報とを用いてメッセージを検証する。 When generating a message authenticator, label information corresponding to information including the corresponding key and the message is obtained, and a message authenticator including an image corresponding to the random number corresponding value, the secret key corresponding value, the label information, and the random number corresponding value is obtained. . However, the secret key and the corresponding key are a key pair, the random number corresponding value corresponds to information including a random number, and the secret key corresponding value corresponds to information including the secret key. At the time of verification, verification label information corresponding to information including the corresponding key and the message is obtained, and the message is verified using the message authenticator, the secret key corresponding value, and the verification label information.
本発明では、ラベル情報が秘密鍵の対応鍵とメッセージとに対応する。そのため、自壊を行うことなく、関連鍵攻撃に対する安全性を向上させることができる。 In the present invention, the label information corresponds to the corresponding key of the secret key and the message. Therefore, it is possible to improve security against related key attacks without performing self-destruction.
以下、図面を参照して本発明の実施形態を説明する。
<定義>
各実施形態で用いる記号や用語を定義する。
[ラベルに基づく適応的トラップドア関係の属]
ラベルに基づく適応的トラップドア関係(ATR:Adaptive Trapdoor Relations)の属は、以下の属Ff,LとアルゴリズムSetup(1κ),TrapGen(pp),Samp(pp,f,L),G(s)とからなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。1κはκ個の1からなる列を表す。κは1以上の所定の整数である。
TrapGen(pp)は、鍵生成アルゴリズムであり、ppを入力とし、秘密鍵tとそれに対応する対応鍵(例えば公開鍵)fとの鍵ペア(f,t)を得て出力する。鍵ペア(f,t)は、写像μ(第1写像)に対してf=μ(t)の関係を満たす。すなわち、tの鍵空間を表す集合がTSであり、fの鍵空間を表す集合がFSである場合、写像μは鍵空間TSを鍵空間FSに写す写像μ:TS→FSである。本形態の写像μは準同型性写像である。また、写像の例は関数やアルゴリズムなどである。
Samp(pp,f,L)は、公開サンプリングアルゴリズムであり、ppとfとラベル情報Lとを入力とし、乱数sとy=Ff,L(s)とを得て出力する。Ff,Lは、fとLとの組に対応する単射なラベル付き写像の属である。言い換えると、Ff,Lは、fとLとの組に対応する単射な写像を要素とする集合である。すなわち、y=Ff,L(s)は、pp,f,L,sを入力とし、fとLとの組に対応する単射な写像をsに作用させてyを得て出力することを表す。本形態のFf,L(s)は準同型性を持つ。Inv(pp,t,L,y)は、逆元探索アルゴリズムであり、pp,t,L,yを入力とし、逆元s=Ff,L −1(y)を出力する。
G(s)は、抽出アルゴリズムであり、sを入力として共通鍵(セッション鍵)G(s)∈GKを出力する。GKは加法的な可換群(アーベル群)を表す。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Definition>
Symbols and terms used in each embodiment are defined.
[Adaptive trapdoor genus based on label]
The genus of adaptive trapdoor relations (ATR) based on labels includes the following genus F f, L and algorithms Setup (1 κ ), TrapGen (pp), Samp (pp, f, L), G ( s).
Setup (1 κ ) is a setup algorithm, which receives the
TrapGen (pp) is a key generation algorithm, and receives pp as an input, and obtains and outputs a key pair (f, t) of a secret key t and a corresponding key (for example, public key) f corresponding thereto. The key pair (f, t) satisfies the relationship f = μ (t) with respect to the map μ (first map). That is, when the set representing the key space of t is TS and the set representing the key space of f is FS, the mapping μ is a mapping μ: TS → FS that maps the key space TS to the key space FS. The map μ in this embodiment is a homomorphic map. Examples of mapping are functions and algorithms.
Samp (pp, f, L) is a public sampling algorithm, which receives pp, f, and label information L, and obtains and outputs a random number s and y = F f, L (s). F f, L is a genus of a bijective labeled map corresponding to a set of f and L. In other words, F f, L is a set whose elements are injective maps corresponding to pairs of f and L. That is, y = F f, L (s) is obtained by obtaining y by applying pp, f, L, s as input, and applying a bijective mapping corresponding to a pair of f and L to s. Represents. F f, L (s) in this embodiment has homomorphism. Inv (pp, t, L, y) is an inverse element search algorithm, and inputs pp, t, L, y, and outputs an inverse element s = F f, L −1 (y).
G (s) is an extraction algorithm, and outputs a common key (session key) G (s) εG K with s as an input. G K represents an additive commutative group (Abelian group).
[ハッシュ証明系]
ラベルに基づくハッシュ証明系(HPS:hash proof system)は、以下のアルゴリズムSetup(1κ),SampR(r),Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)からなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。ppは、有限集合Υ,ν,FS,TS、写像の集合Df,L、および写像μである。ν⊂Υであり、Df,Lはf∈FSとL∈LSとの組に対応する写像を要素とする集合であり、LSはラベル情報Lの空間を表す集合である。
SampR(r)は、サンプリングアルゴリズムであり、乱数rを入力とし、υ∈ν⊂Υを得て出力する。
Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを用い、fとLとの組に対応する写像をυに作用させて得られる値jを計算して出力する。
Priv(pp,t,L,υ)は、pp,t,L,υを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Priv(pp,t,L,υ)は、fとLとの組に対応する写像Df,Lをυに作用させて値jを得て出力する。本形態の写像Df,Lは準同型性を持つ。
[Hash proof system]
Hash proof system based on the label (HPS: hash proof system), the following algorithm Setup (1 κ), SampR ( r), Pub (pp, μ (t), L, r), Priv (pp, t, L , Υ).
Setup (1 κ ) is a setup algorithm, which receives the
SampR (r) is a sampling algorithm, receives a random number r, obtains ν∈ν⊂Υ and outputs it.
Pub (pp, μ (t), L, r) is an algorithm that receives pp, μ (t), L, r and obtains and outputs j = D f, L (υ). That is, Pub (pp, μ (t), L, r) is a value j obtained by using pp, μ (t), L, r and applying a mapping corresponding to a pair of f and L to υ. Is calculated and output.
Priv (pp, t, L, υ) is an algorithm that receives pp, t, L, υ and obtains and outputs j = D f, L (υ). That is, Priv (pp, t, L, υ) operates the mapping D f, L corresponding to the set of f and L on υ to obtain and output the value j. The map D f, L in this embodiment has homomorphism.
[双線形写像]
双線形写像e:GK×GK→GTは、双線形性、非退化性および効率的計算可能性を持つ写像である。ただし、GK,GTは位数が素数qである可換群である。
双線形性により、任意のh1,h2∈GKおよび任意のα,β∈Zqについてe(h1 α,h2 β)=e(h1,h2)αβとなる。非退化性により、e(h1,h1)のGTでの位数がqとなる。効率的計算可能性により、eを効率よく計算することができる。なお、Zqはqによる剰余群を表す。双線形写像の例はペアリングである。
[Bilinear map]
Bilinear mapping e: G K × G K → G T is bilinearity a map whose non-degenerate and efficiency calculations possible. However, G K, G T is an abelian that place the number is a prime number q.
Due to the bilinearity, e (h 1 α , h 2 β ) = e (h 1 , h 2 ) αβ for any h 1 , h 2 εG K and any α, βεZ q . The non-degenerative, of order in the G T of e (h 1, h 1) is q. Due to the efficient computability, e can be calculated efficiently. Z q represents a remainder group by q. An example of a bilinear map is pairing.
[使い捨て署名]
使い捨て署名は、三つ組のアルゴリズムots.gen(1κ),ots.sign(osk,M),ots.vrfy(ovk,σ)からなる。
ots.gen(1κ)は、鍵生成アルゴリズムであり、セキュリティパラメータ1κを入力とし、署名検証鍵ovkとそれに対応する署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する。
ots.sign(osk,m)は、署名生成アルゴリズムであり、oskとメッセージmとを入力として、署名σを得て出力する。
ots.vrfy(ovk,σ,m)は、署名検証アルゴリズムであり、ovk,σ,mを入力として署名検証を行って、受け入れaccまたは拒絶rejを出力する。
[Disposable signature]
The disposable signature is a triplet algorithm ots. gen (1 κ), ots. sign (osk, M), ots. It consists of vrfy (ovk, σ).
ots. gen (1 κ ) is a key generation algorithm, which receives the
ots. sign (osk, m) is a signature generation algorithm, and receives and outputs a signature σ with the input of osk and message m.
ots. vrfy (ovk, [sigma], m) is a signature verification algorithm, performs signature verification with ovk, [sigma], m as input, and outputs accept acc or reject reg.
[衝突困難性(衝突耐性)を持つ写像]
写像Hが衝突困難性を持つとは、多項式時間で動作する敵が、写像の属からそれに属する写像Hを定める情報とセキュリティパラメータ1κとを受け取ったとき、γ≠δかつH(γ)=H(δ)なる組(γ,δ)を無視できる確率でしか出力することができないことを表す。衝突困難性を持つ写像Hの例は、SHA−1等の暗号学的なハッシュ関数などである。通常、衝突困難性を持つ写像は一方向性も持つ。
[Mapping with collision difficulty (collision resistance)]
Map H has collision difficulty when an enemy operating in polynomial time receives information defining map H belonging to it from the genus of the map and
<原理>
各実施形態に共通する原理を説明する。
認証子生成装置は、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と乱数対応値とを含むメッセージ認証子を得、メッセージとメッセージ認証子とを出力する。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。
<Principle>
The principle common to each embodiment will be described.
The authenticator generating device obtains label information corresponding to information including a corresponding key and a message, obtains a message authenticator including an image corresponding to a random number corresponding value, a secret key corresponding value, and label information, and a random number corresponding value. And a message authenticator. However, the secret key and the corresponding key are a key pair, the random number corresponding value corresponds to information including a random number, and the secret key corresponding value corresponds to information including the secret key. An example of label information is a value obtained by applying a map having difficulty in collision to information including a corresponding key and a message.
メッセージとメッセージ認証子とは検証装置に入力される。検証装置は、対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得、メッセージ認証子と秘密鍵対応値と検証ラベル情報とを用いてメッセージを検証し、検証結果を出力する。検証ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。 The message and the message authenticator are input to the verification device. The verification device obtains verification label information corresponding to information including the corresponding key and the message, verifies the message using the message authenticator, the secret key corresponding value, and the verification label information, and outputs a verification result. An example of verification label information is a value obtained by applying a mapping having difficulty in collision to information including a corresponding key and a message.
以上の構成では、ラベル情報が秘密鍵の対応鍵とメッセージとに対応するため、自壊を行うことなく、関連鍵攻撃に対する安全性を向上させることができる(詳細は後述)。 In the above configuration, since the label information corresponds to the corresponding key and message of the secret key, the security against the related key attack can be improved without performing self-destruction (details will be described later).
<第1実施形態>
第1実施形態を説明する。第1実施形態は、ラベルに基づく適応的トラップドア関係の属に上述の原理を適用したものである。
[構成]
図1に例示するように、本形態の認証システム1は、設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とを有する。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とは、それぞれ、CPU(central processing unit)、RAM(random-access memory)等を含む汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
<First Embodiment>
A first embodiment will be described. In the first embodiment, the above principle is applied to the genus of the adaptive trapdoor relation based on the label.
[Constitution]
As illustrated in FIG. 1, the
認証子生成装置130は、入力部131と記憶部132と対応鍵生成部133とラベル情報生成部134とメッセージ認証子生成部135と出力部136とを有する。メッセージ認証子生成部135は、サンプリング部135aと暗号化部135bと署名鍵生成部135cと署名生成部135dとを有する。認証子生成装置130は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み出される。
The
検証装置140は、入力部141と記憶部142と対応鍵生成部143と検証ラベル情報生成部144と検証部145と出力部146とを有する。検証部145は、署名検証部145aと逆元探索部145bと判定部145cとを有する。検証装置140は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部142に格納され、必要に応じて各部に読み出される。
The
[セットアップ処理]
本形態のセットアップ処理では、設定装置110がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づく適応的トラップドア関係の属の共通パラメータppを得て出力する。さらに設定装置110は、衝突困難性を持つ写像H:{0,1}*→GKを得て出力する。例えば、設定装置110は、暗号学的なハッシュ関数を写像Hとして出力する。ppは鍵生成装置120に送られて格納され、ppおよびHは、認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
[Setup process]
In the setup process of this embodiment, the
[鍵生成処理]
本形態の鍵生成処理では、鍵生成装置120が、共通パラメータppを入力とし、鍵生成アルゴリズムTrapGen(pp)を実行して鍵ペア(f,t)を得る。さらに鍵生成装置120は、群GKからランダムに秘密鍵k∈GKを得る。鍵生成装置120は、第1秘密鍵tおよび第2秘密鍵kからなる秘密鍵(t,k)を出力する。秘密鍵(t,k)は認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
[Key generation process]
In the key generation process of this embodiment, the
[認証子生成処理]
任意長のメッセージM∈{0,1}*が認証子生成装置130の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図2A)が実行される。
[Authentication generation process]
An arbitrary-length message Mε {0,1} * is input to the
対応鍵生成部133は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS131)。署名鍵生成部135cは、セキュリティパラメータ1κを入力とし、鍵生成アルゴリズムots.gen(1κ)を実行し、使い捨て署名の署名検証鍵ovkと署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する(ステップS132)。
The corresponding
ラベル情報生成部134は、対応鍵fとメッセージMとを入力とし、対応鍵fとメッセージMとを含む情報に写像Hを作用させてラベル情報d=H(f,M)∈GKを得て出力する。対応鍵fとメッセージMとを含む情報の例は、対応鍵fのビット列表現値とメッセージMとのビット結合値や、対応鍵fのビット列表現値とメッセージMと付加ビット列とのビット結合値などである。付加ビット列の例は、共通パラメータの一部やヘッダ情報などである。写像Hがハッシュ関数である場合、ラベル情報dは、対応鍵fとメッセージMとを含む情報のダイジェスト値となる(ステップS133)。
The label
サンプリング部135aは、共通パラメータppと対応鍵fと署名検証鍵ovkとを入力とし、公開サンプリングアルゴリズムSamp(pp,f,ovk)を実行し、乱数sと乱数対応値yとの組(s,y)を得て出力する。この乱数対応値yは、対応鍵fと署名検証鍵ovkとに対応する第2写像Ff,ovkを乱数sに作用させて得られる値y=Ff,ovk(s)である(ステップS134)。
The
暗号化部135bは、乱数sと第2秘密鍵kを入力とし、抽出アルゴリズムG(s)を実行して乱数sに対応する共通鍵G(s)を得、所定の共通鍵暗号方式に則り、共通鍵G(s)で第2秘密鍵kを暗号化することで秘密鍵対応値cを得て出力する。暗号化部135bは、例えば、c=G(s)・kを得て出力する(ステップS135)。ただし、「・」は群で定義された演算を表す。例えば、G(s),k∈{0,1}κである場合、G(s)・kはG(s)とkの排他的論理和である。
The
署名生成部135dは、署名生成鍵oskと乱数対応値yと秘密鍵対応値cとラベル情報dとを入力とし、署名生成アルゴリズムots.sign(osk,(d,y,c))を実行し、乱数対応値yと秘密鍵対応値cとラベル情報dとを含む情報に対する署名σ(乱数対応値と秘密鍵対応値とラベル情報とに対する像)を得て出力する。乱数対応値yと秘密鍵対応値cとラベル情報dを含む情報の例は、y,c,dのビット列表現値のビット結合値や、y,c,dと付加ビット列とのビット結合値などである(ステップS136)。
The
出力部136は、署名検証鍵ovkと乱数対応値yと秘密鍵対応値cと署名σとを含むメッセージ認証子τ=(ovk,y,c,σ)を得て(ステップS137)、メッセージ認証子τとメッセージMとを出力する(ステップS138)。メッセージ認証子τとメッセージMとは検証装置140に送られる。
The
[検証処理]
メッセージ認証子τ=(ovk,y,c,σ)とメッセージMとが検証装置140の入力部141に入力され、記憶部142に格納され、以下の検証処理(図2B)が実行される。
[Verification processing]
The message authenticator τ = (ovk, y, c, σ) and the message M are input to the
対応鍵生成部143は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS141)。
The corresponding
検証ラベル情報生成部144は、対応鍵fとメッセージMとを入力とし、対応鍵fとメッセージMとを含む情報に写像Hを作用させて検証ラベル情報d’=H(f,M)∈GKを得て出力する。なお、検証ラベル情報生成部144での「写像H」および「対応鍵fとメッセージMとを含む情報」の構造は、ラベル情報生成部134での「写像H」および「対応鍵fとメッセージMとを含む情報」と同じである(ステップS142)。
The verification label
署名検証部145aは、署名検証鍵ovkと署名σと検証ラベル情報d’とを入力とし、署名検証アルゴリズムots.vrfy(ovk,σ,(d’,y,c))を実行し、署名検証鍵ovkを用いて、乱数対応値yと秘密鍵対応値cと検証ラベル情報d’とを含む情報に対して署名σが合格であるかを検証し、受け入れ(合格)accまたは拒絶(不合格)rejを出力する(ステップS143)。なお、「乱数対応値yと秘密鍵対応値cと検証ラベル情報d’とを含む情報」の構造は、署名生成部135dでの「乱数対応値yと秘密鍵対応値cとラベル情報dとを含む情報」の構造と同じである。署名検証部145aが拒絶rejを出力した場合、出力部146は拒絶rejを出力し(ステップS147)、処理を終了する。
The
一方、署名検証部145aが受け入れaccを出力した場合、逆元探索部145bは、共通パラメータppと秘密鍵tと署名検証鍵ovkと乱数対応値yとを入力とし、逆元探索アルゴリズムInv(pp,t,ovk,y)を実行し、対応鍵fと署名検証鍵ovkとに対応する逆元探索写像Ff,L −1を乱数対応値yに作用させて乱数復元値s’=Ff,L −1(y)を得て出力する(ステップS144)。
On the other hand, when the
判定部145cは、乱数復元値s’と秘密鍵対応値cと第2秘密鍵kとを入力とし、抽出アルゴリズムG(s’)を実行して乱数復元値s’に対応する共通鍵G(s’)を得、前述の共通鍵暗号方式に則り、共通鍵G(s’)で第2秘密鍵kを復号することで得られる復号値と、第2秘密鍵kとが一致するかを判定する。判定部145cは、例えば、k=c・G(s’)−1を満たすかを判定する(ステップS145)。ただし、G(s’)−1は、G(s’)の逆元を表す。
The
ここで、復号値と第2秘密鍵kとが一致しないと判定された場合、出力部146は拒絶rejを出力し(ステップS147)、処理を終了する。一方、復号値と第2秘密鍵kとが一致すると判定された場合、出力部146は受け入れaccを出力し(ステップS146)、処理を終了する。
Here, when it is determined that the decrypted value and the second secret key k do not match, the
<第1実施形態の実施例1>
第1実施形態の実施例1として、「参考文献1:Hoeteck Wee, “Public key encryption against related key attacks,” in Marc Fischlin, Johannes Buchmann, and Mark Manulis, editors, PKC 2012, volume 7293 of Lecture Notes in Computer Science, pages 262-279, Springer, Heidelberg, 2012.」および「参考文献2:Dennis Hofheinz and Eike Kiltz, “Practical chosen ciphertext secure encryption from factoring,” in Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of Lecture Notes in Computer Science, pages 313-332, Springer, Heidelberg, 2009.」に開示された素因数分解仮定に基づく適応的トラップドア関係に本発明を適用した例を示す。本実施例では、Λ,Ω,κおよびωが定数、gが位数Nの群の生成元、rが乱数、f=gΛΩt、s=gΩr、y=(u,w)、u=gΩΛr、w=(f・govk)r、共通鍵が(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))、v(i)=2i、lsbN(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報となり、乱数復元値が2c=a*ovk+bΛΩを満たす整数a,b,cに対するs’=(wa・ub−at)v(ovk−c)である。ただし「α*β」はαとβとの乗算を表し、特に混乱がない場合にはαとβとの乗算を「αβ」と表記する。
<Example 1 of the first embodiment>
As Example 1 of the first embodiment, “Reference 1: Hoeteck Wee,“ Public key encryption against related key attacks, ”in Marc Fischlin, Johannes Buchmann, and Mark Manulis, editors, PKC 2012, volume 7293 of Lecture Notes in Computer Science, pages 262-279, Springer, Heidelberg, 2012. "and Reference 2: Dennis Hofheinz and Eike Kiltz,“ Practical chosen ciphertext secure encryption from factoring, ”in Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of Lecture An example in which the present invention is applied to an adaptive trapdoor relationship based on the prime factorization assumption disclosed in "Notes in Computer Science, pages 313-332, Springer, Heidelberg, 2009." is shown. In this embodiment, Λ, Ω, κ and ω are constants, g is a generator of a group of order N, r is a random number, f = g ΛΩt , s = g Ωr , y = (u, w), u = g ΩΛr , w = (f · g ovk ) r , the common key is (lsb N (s), lsb N (s 2 ),..., lsb N (s v (κ−1) )), v (i) = 2 i , lsb N (α) is information corresponding to a value in which α is represented by an integer of − (N−1) / 2 or more and (N−1) / 2 or less, and the random number restoration value is 2 c = a * ovk + bΛΩ it is s' = relative integer a, b, c satisfying (w a · u b-at ) v (ovk-c). However, “α * β” represents multiplication of α and β, and when there is no particular confusion, multiplication of α and β is expressed as “αβ”.
本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。簡単のため、κおよびωを正整数、Ω=2ω,Λ=2κとする。この場合、[0,Ω−1]がラベル情報dおよび検証ラベル情報d’の空間となる。ただし、[ι1,ι2]はι1以上ι2以下の区間を表す。 Setup of the embodiment (1 κ), TrapGen (pp ), Samp (pp, f, ovk), shown Inv (pp, t, ovk, y), the details of the G (s). For simplicity, let κ and ω be positive integers, Ω = 2 ω , Λ = 2 κ . In this case, [0, Ω−1] is a space for label information d and verification label information d ′. However, [ι 1 , ι 2 ] represents a section from ι 1 to ι 2 .
Setup(1κ)は、セキュリティパラメータ1κを入力とし、κビットの強素数P,Q≡3(mod4)を一様分布に従ってランダムに選び(P=2p+1,Q=2ε+1)、N=P*Qとする。さらにSetup(1κ)は、QRN +=JN +となる符号付商群QRN +を定め、gをQRN +の生成元とし、共通パラメータpp=(N,g)を出力する。QRN +およびJN +は以下のように定義される。
QRN +={|x||x∈QRN +}
JN +={|x||x∈JN} (すなわち、JN +=JN/(±1))
ただし、ZN *はNによる剰余のうちで逆元をもつもの全体がなす群であり、JNはヤコビ記号1のものがなすZN *の部分群であり、QRNは平方剰余がなす群であり、|x|∈ZNはx∈[−(N−1)/2,(N−1)/2]とみたときのxの絶対値である。
Setup (1 κ ) receives the
QR N + = {| x || x∈QR N + }
J N + = {| x || x∈J N } (ie, J N + = J N / (± 1))
However, Z N * is a group formed by the whole of N remainders having an inverse element, J N is a subgroup of Z N * formed by
TrapGen(pp)は、ppを入力とし、区間[1,(N−1)/4]から一様分布に従ってtをランダムに選び、f=μ(t)=gΛΩtを計算し、鍵ペア(f,t)を出力する。 TrapGen (pp) receives pp as input, randomly selects t from the interval [1, (N−1) / 4] according to a uniform distribution, calculates f = μ (t) = g ΛΩt, and generates a key pair ( f, t) is output.
Samp(pp,f,ovk)は、pp,f,ovkを入力とし、第2乱数rについて(s,u)=(gΩr,gΩΛr)を計算し、w=(f・govk)rを計算し、sとy=(u,w)とを出力する。 Samp (pp, f, ovk) takes pp, f, ovk as input, calculates (s, u) = ( gΩr , gΩΛr ) for the second random number r, and w = (f · g ovk ) r And s and y = (u, w) are output.
Inv(pp,t,ovk,y)は、y=(u,w)について、u,w∈QRN +かどうかを確認し、u,w∈QRN +である場合にwΩΛ=uovk+ΛΩtかどうかを確認し、wΩΛ=uovk+ΛΩtである場合に、2c=a*ovk+bΛΩとなる整数a,b,c∈Zに対するs’=(wa・ub−at)v(ovk−c)を計算し、s’を出力する。 Inv (pp, t, ovk, y) checks whether or not u, w ∈ QR N + for y = (u, w), and if u, w ∈ QR N + , w ΩΛ = u ovk + ΛΩt If w ΩΛ = u ovk + ΛΩt , then s ′ = (w a · u b-at ) v (ovk-c ) for integers a, b, c∈Z such that 2 c = a * ovk + bΛΩ ) And outputs s ′.
G(s)は、s∈QRN +を入力として(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))∈{0,1}κを出力する。lsbN(α)は、αを[−(N−1)/2,(N−1)/2]で表現し、さらにそれをビット列表現した場合の最下位ビットを表す。 G (s) takes sεQR N + as an input and sets (lsb N (s), lsb N (s 2 ),..., Lsb N (s v (κ−1) )) ε {0, 1} κ Output. lsb N (α) represents the least significant bit when α is represented by [− (N−1) / 2, (N−1) / 2] and further represented by a bit string.
[G(s)の可換性]
本実施例のG(s)で得られる共通鍵は{0,1}κの元である。{0,1}κは位数2の有限体GF(2)のκ次拡大体GF(2)κとみることができる。従って本実施例のG(s)で得られる共通鍵は加法的な可換群の元であるといえる。
[Commutability of G (s)]
The common key obtained by G (s) in this embodiment is an element of {0, 1} κ . {0,1} κ can be regarded as a κ-order extension GF (2) κ of a finite field GF (2) of order 2. Therefore, it can be said that the common key obtained by G (s) of this embodiment is an element of an additive commutative group.
[写像μの準同型性]
任意のΔ∈Zとt∈[1,(N−1)/4]について以下が成立する。ただし、Zは整数集合を表す。
μ(t+Δ)=gΛΩ(t+Δ)=gΛΩt・gΛΩΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
[Homomorphism of map μ]
For any Δ∈Z and t∈ [1, (N−1) / 4], the following holds: However, Z represents an integer set.
μ (t + Δ) = g ΛΩ (t + Δ) = g ΛΩt · g ΛΩΔ = μ (t) + μ (Δ)
Therefore, the map μ has homomorphism.
[写像Fμ(t),ovkの準同型性]
t∈[1,(N−1)/4]と任意のovkについてs=gΩrとしたとき、Fμ(t),ovk(s)=(u,w)=(gΩΛr,(gΛΩt・govk)r)である。このとき任意のΔ∈Zについて、以下が成立する。
Fμ(t+Δ),ovk(s)=(gΩΛr,(gΛΩ(t+Δ)・govk)r)
=(gΩΛr,(gΛΩt・govk)r・gΛΩrΔ)
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
[Map F μ (t), homomorphism of ovk ]
For t∈ [1, (N−1) / 4] and any ovk, s = g Ωr , F μ (t), ovk (s) = (u, w) = (g ΩΛr , (g ΛΩt G ovk ) r ). At this time, the following holds for an arbitrary Δ∈Z.
F μ (t + Δ), ovk (s) = (g ΩΛr , (g ΛΩ (t + Δ) · g ovk ) r )
= ( GΩΛr , ( gΛΩt · g ovk ) r · g ΛΩrΔ )
= (U, w · u Δ )
Therefore, F μ (t + Δ), ovk (s) can be calculated from F μ (t), ovk (s) and Δ, and the map F μ (t), ovk has homomorphism.
<第1実施形態の実施例2>
第1実施形態の実施例2として、非特許文献3に開示されたDBDH仮定に基づく適応的トラップドア関係に本形態を適用した例を示す。本実施例では、vおよびhが群の元、gが群の生成元、rが乱数、eが双線形写像、第1秘密鍵がt、第2秘密鍵がkであり、f=gt、s=vr、y=(u,w)、u=gr、w=(f・vovk)rであり、共通鍵がe(s,h)、乱数復元値がs’=(w・u−t)(1/ovk)である。以下に本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。
<Example 2 of the first embodiment>
As Example 2 of the first embodiment, an example in which the present embodiment is applied to an adaptive trapdoor relationship based on the DBDH assumption disclosed in Non-Patent Document 3 will be described. In this embodiment, v and h are group elements, g is a group generator, r is a random number, e is a bilinear mapping, the first secret key is t, the second secret key is k, and f = g t , S = v r , y = (u, w), u = g r , w = (f · v ovk ) r , the common key is e (s, h), and the random number restoration value is s ′ = (w U− t ) (1 / ovk) . Details of Setup (1 κ ), TrapGen (pp), Samp (pp, f, ovk), Inv (pp, t, ovk, y), and G (s) of the present example will be described below.
Setup(1κ)は、セキュリティパラメータ1κを入力とし、双線形写像用グループ(GK,GT,q,e,g)を生成する。さらにSetup(1κ)は、群GKからv,h∈GKをランダムに選び、共通パラメータpp=(GK,GT,q,e,g,v,h)を得て出力する。
Setup (1 κ ) receives the
TrapGen(pp)は、ppを入力としてt∈Zqをランダムに選び、f=gtを計算し、鍵ペア(f,t)を出力する。 TrapGen (pp) randomly selects T∈Z q a pp as input, calculates the f = g t, outputs a key pair (f, t).
Samp(pp,f,ovk)は、pp,f,ovkを入力とし、乱数rについて(s,u)=(vr,gr)を計算する。さらにSamp(pp,f,ovk)は、w=(f・vovk)rを計算し、sとy=(u,w)を出力する。 Samp (pp, f, ovk) receives pp, f, ovk and calculates (s, u) = (v r , g r ) for random number r. Further, Samp (pp, f, ovk) calculates w = (f · v ovk ) r and outputs s and y = (u, w).
Inv(pp,t,ovk,y)は、pp,t,ovk,yを入力とし、y=(u,w)について、u,w∈GKかどうかを確認し、u,w∈GKである場合にs’=(w・u−t)(1/ovk)を計算する。さらにInv(pp,t,ovk,y)は、e(g,s’)=e(v,u)かどうかを確認し、e(g,s’)=e(v,u)である場合にs’を出力する。 Inv (pp, t, ovk, y) takes pp, t, ovk, y as inputs, checks whether u, wεG K for y = (u, w), and u, wεG K S ′ = (w · u −t ) (1 / ovk) is calculated. Further, Inv (pp, t, ovk, y) checks whether e (g, s ′) = e (v, u), and if e (g, s ′) = e (v, u) Output s'.
G(s)は、ppおよびs∈GKを入力とし、e(s,h)∈GTを出力する。 G (s) inputs the pp and S∈G K, and outputs the e (s, h) ∈G T .
[G(s)の可換性]
本実施例のG(s)で得られる共通鍵は可換群GTの元である。
[Commutability of G (s)]
Common key obtained in the G (s) of this embodiment is the original abelian G T.
[写像μの準同型性]
任意のΔ∈Zqとt∈Zqについて以下が成立する。
μ(t+Δ)=g(t+Δ)=gt・gΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
[Homomorphism of map μ]
The following holds for any Δ∈Z q and t∈Z q .
μ (t + Δ) = g (t + Δ) = g t · g Δ = μ (t) + μ (Δ)
Therefore, the map μ has homomorphism.
[写像Fμ(t),ovkの準同型性]
t∈Zqと任意のovkについてs=vrとしたとき、Fμ(t),ovk(s)=(u,w)=(gr,(gt・vovk)r)である。このとき任意のΔ∈Zqについて、以下が成立する。
Fμ(t+Δ),ovk(s)=(gr,(gt+Δ・vovk)r)
=(gr,(gt・vovk)r・gΔr)
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、gの離散対数仮定により証明可能である。
[Map F μ (t), homomorphism of ovk ]
When s = v r for tεZ q and an arbitrary ovk, F μ (t), ovk (s) = (u, w) = (g r , (g t · v ovk ) r ). At this time, for any Δ∈Z q , the following holds.
F μ (t + Δ), ovk (s) = (g r , ( gt + Δ · v ovk ) r )
= (G r, (g t · v ovk) r · g Δr)
= (U, w · u Δ )
Therefore, F μ (t + Δ), ovk (s) can be calculated from F μ (t), ovk (s) and Δ, and the map F μ (t), ovk has homomorphism.
[Collision difficulty of map μ]
The difficulty of collision of the map μ can be proved by the discrete logarithm assumption of g.
<関連鍵攻撃に対する安全性について>
次に本形態の方式の関連鍵攻撃に対する安全性を説明する。
[関連鍵攻撃に対する安全性の指標]
関連鍵攻撃に対する安全性の指標として、敵Aの利得を以下のように定義する。
Pr|Θ|は|Θ|の確率を表す。KS(pp)は、共通パラメータppを入力として秘密鍵key(第1実施形態ではkey=(t,k))を出力する鍵生成アルゴリズムである。R−Tagκは関連鍵攻撃の秘密鍵間の写像φとメッセージMとを入力とし、pp,key,Mに対する署名TAG(pp,φ(key),M)を返す神託機械である。LTは神託機械R−Tagκへの問合せ内容の順序付きリスト((φ1,M1),...,(φη,Mη))である。任意の多項式時間の敵Aに対して、式(1)の利得が無視できるとき、メッセージ認証子はUF−RK−CMVA安全であるという。
<Security against related key attacks>
Next, the security against the related key attack of the system of this embodiment will be described.
[Indicator of security against related key attacks]
As an index of security against related key attacks, the gain of enemy A is defined as follows.
Pr | Θ | represents the probability of | Θ |. KS (pp) is a key generation algorithm that outputs the secret key key (in the first embodiment, key = (t, k)) with the common parameter pp as an input. R-Tag κ is a oracle machine that receives a mapping φ between a secret key of a related key attack and a message M, and returns a signature TAG (pp, φ (key), M) for pp, key, M. L T is an ordered list of the inquiry to the oracle machine R-Tag κ ((φ 1 , M 1), ..., (φ η, M η)) is. For any polynomial time enemy A, the message authenticator is said to be UF-RK-CMVA secure when the gain of equation (1) is negligible.
本形態の方式は従来構成よりも式(1)の利得を小さくでき、関連鍵攻撃に対する安全性を向上させることができる。特に、本形態の方式は加法的な関連鍵攻撃に対して強い。また、写像μおよびFμ(t),ovkが準同型性を持つとき、式(1)の利得が無視できることを証明できる(詳細な証明は省略)。以下では非特許文献3に基づくメッセージ認証子方式に対する加法的な関連鍵攻撃を想定し、その関連鍵攻撃が本形態の構成で成功しないことを示す。 The system of this embodiment can reduce the gain of the formula (1) compared to the conventional configuration, and can improve the security against related key attacks. In particular, the method of this embodiment is strong against additive related key attacks. Further, when the mapping μ and F μ (t), ovk have homomorphism, it can be proved that the gain of the expression (1) can be ignored (detailed proof is omitted). In the following, an additive related key attack for the message authenticator method based on Non-Patent Document 3 is assumed, and it is shown that the related key attack is not successful with the configuration of this embodiment.
[非特許文献3に基づくメッセージ認証子方式]
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵(t,k)=((t1,t2,t3,t4),k)∈Zq 4×GKをランダムに選択する。g1,g2が群GKの生成元であり、暗黙ではあるがg2=g1 t1である。
認証子生成:認証子生成アルゴリズムは、メッセージM∈{0,1}*について、rを乱数とし、c1=g1 r、c2=c1 t1(=g2 r)、ラベル情報L=H(c1,c2,M)とする。さらに認証子生成アルゴリズムは、ν=c1 t2*L+t3,c=k・c1 t4とし、メッセージ認証子τ=(c1,c2,ν,c)を出力する。
検証:検証アルゴリズムは、τとMを入力とし、L’=H(c1,c2,M)を得て、ν=c1 t2*L’+t3およびk=c・c1 −t4かどうかを確かめ、ν=c1 t2*L’+t3およびk=c・c1 −t4であればaccを出力し、そうでないならrejを出力する。
[Message authenticator based on Non-Patent Document 3]
A message authenticator method based on Non-Patent Document 3 will be exemplified below.
Key generation: The key generation algorithm randomly selects a secret key (t, k) = ((t1, t2, t3, t4), k) εZ q 4 × G K. g 1 and g 2 are generators of the group G K , and implicitly g 2 = g 1 t1 .
Authentication code generation: The authentication code generation algorithm uses r as a random number for message Mε {0,1} * , c 1 = g 1 r , c 2 = c 1 t1 (= g 2 r ), label information L = Let H (c 1 , c 2 , M). Further, the authenticator generation algorithm sets ν = c 1 t2 * L + t3 , c = k · c 1 t4, and outputs a message authenticator τ = (c 1 , c 2 , ν, c).
Verification: The verification algorithm takes τ and M as inputs, obtains L ′ = H (c 1 , c 2 , M), and whether ν = c 1 t2 * L ′ + t3 and k = c · c 1 −t4 If ν = c 1 t2 * L ′ + t3 and k = c · c 1 −t4 , acc is output, otherwise rej is output.
[加法的な関連鍵攻撃]
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈{0,1}*とする。
2.敵は0以外のδ,η∈Zqを適当に選び、Δ=(0,ξ2,ξ3,0,1G)∈Zq 4×GKとする。ただし、1Gは群GKの単位元である。
3.敵は秘密鍵(t,k)=((t1,t2,t3,t4),k)を関連鍵φ(t,k)=(t+ξ,k)=((t1,t2+ξ2,t3+ξ3,t4),k)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(c1,c2,ν’,c)=(c1,c2,c1 (t2+ξ2)*L+(t3+ξ3),k・c1 t4)
ここで、L=H(c1,c2,M),c1=g1 r,c2=g2 r(=c1 t1)である。
5.敵は上記の返答を用い、L=H(c1,c2,M)を計算し、さらにν=ν’・(c1 ξ2*L・c1 ξ3)−1を計算する。
6.敵は偽造したメッセージ認証子τ=(c1,c2,ν,c)を出力する。
このメッセージ認証子τは、秘密鍵(t,k)=((t1,t2,t3,t4),k)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
[Additive key attack]
The following additive key attack succeeds against the message authenticator method based on Non-Patent Document 3 described above.
1. The enemy sets the counterfeit message to M∈ {0,1} * .
2. The enemy appropriately selects δ, η∈Z q other than 0, and sets Δ = (0, ξ2, ξ3, 0, 1 G ) ∈Z q 4 × G K. However, 1 G is a unit element of the group G K.
3. The enemy has the secret key (t, k) = ((t1, t2, t3, t4), k) and the related key φ (t, k) = (t + ξ, k) = ((t1, t2 + ξ2, t3 + ξ3, t4), k) Inquires of the oracle machine R-Tag κ with the map φ and the message M to be mapped.
4). The enemy receives the following as a reply from the oracle machine R-Tag κ .
τ ′ = (c 1 , c 2 , ν ′, c) = (c 1 , c 2 , c 1 (t2 + ξ2) * L + (t3 + ξ3) , k · c 1 t4 )
Here, L = H (c 1 , c 2 , M), c 1 = g 1 r , c 2 = g 2 r (= c 1 t1 ).
5. The enemy uses the above response to calculate L = H (c 1 , c 2 , M), and further calculates ν = ν ′ · (c 1 ξ 2 * L · c 1 ξ 3 ) −1 .
6). The enemy outputs a forged message authenticator τ = (c 1 , c 2 , ν, c).
This message authenticator τ is the same as that obtained for the forged message M using the secret key (t, k) = ((t1, t2, t3, t4), k), and the verification algorithm is acc. Output. Therefore, the gain of Expression (1) is 1.
この攻撃は秘密鍵(t,k)とその関連鍵φ(t,k)とでラベル情報Lが変化しないことに基づいている。これに対し、本形態のラベル情報は、対応鍵f=μ(t)とメッセージMとを含む情報に対応するd=H(f,M)である。すなわち本形態では、秘密鍵(t,k)に対応するラベル情報H(μ(t),M)と、関連鍵φ(t,k)=(t+ξ,k)に対応するラベル情報H(μ(t+ξ),M)とが異なる。よって、この攻撃は本形態には通じず、従来方式よりも式(1)の利得が小さくなる。なお、写像Hの衝突困難性により、μ(t)≠μ(t+ξ)かつH(μ(t),M)=H(μ(t+ξ),M)となる確率は無視できるほど小さい。また、写像μの衝突困難性により、敵がt≠t+ξかつμ(t)=μ(t+ξ)となるξを選ぶ確率は無視できるほど小さい。 This attack is based on the fact that the label information L does not change between the secret key (t, k) and the related key φ (t, k). On the other hand, the label information of this embodiment is d = H (f, M) corresponding to information including the corresponding key f = μ (t) and the message M. That is, in this embodiment, label information H (μ (t), M) corresponding to the secret key (t, k) and label information H (μ corresponding to the related key φ (t, k) = (t + ξ, k). (T + ξ), M). Therefore, this attack does not lead to this form, and the gain of Expression (1) is smaller than that of the conventional method. Note that due to the collision difficulty of the map H, the probability that μ (t) ≠ μ (t + ξ) and H (μ (t), M) = H (μ (t + ξ), M) is negligibly small. Further, due to the collision difficulty of the map μ, the probability that the enemy selects ξ that satisfies t ≠ t + ξ and μ (t) = μ (t + ξ) is so small that it can be ignored.
<第2実施形態>
第2実施形態を説明する。第1実施形態は、ラベルに基づくハッシュ証明系に上述の原理を適用したものである。以下では第1実施形態との相違点を説明し、第1実施形態と共通する事項については説明を簡略化する。
[構成]
図2に例示するように、本形態の認証システム2は、設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とを有する。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
Second Embodiment
A second embodiment will be described. In the first embodiment, the above-described principle is applied to a hash certification system based on labels. Hereinafter, differences from the first embodiment will be described, and descriptions of matters common to the first embodiment will be simplified.
[Constitution]
As illustrated in FIG. 2, the authentication system 2 of this embodiment includes a
認証子生成装置230は、入力部131と記憶部132と対応鍵生成部133とラベル情報生成部234とメッセージ認証子生成部235と出力部236とを有する。メッセージ認証子生成部235は、サンプリング部235aと写像部235bとを有する。認証子生成装置230は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み出される。
The
検証装置240は、入力部141と記憶部142と対応鍵生成部143と検証ラベル情報生成部244と検証部245と出力部246とを有する。検証部245は、写像部245aと判定部234bとを有する。検証装置240は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部142に格納され、必要に応じて各部に読み出される。
The
[セットアップ処理]
本形態のセットアップ処理では、設定装置210がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づくハッシュ証明系の共通パラメータppを得て出力する。さらに設定装置210は、衝突困難性を持つ写像H:{0,1}*→GKを得て出力する。ppは鍵生成装置220に送られて格納され、ppおよびHは、認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
[Setup process]
In the setup process of this embodiment, the
[鍵生成処理]
本形態の鍵生成処理では、鍵生成装置220が、共通パラメータppを入力とし、秘密鍵tをランダムに選択して出力する。秘密鍵tは認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
[Key generation process]
In the key generation processing of this embodiment, the
[認証子生成処理]
任意長のメッセージM∈{0,1}*が認証子生成装置230の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図4A)が実行される。
[Authentication generation process]
An arbitrary-length message Mε {0,1} * is input to the
対応鍵生成部133は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS131)。
The corresponding
サンプリング部235aは、乱数rを一様分布に従って選択し(ステップS232)、サンプリングアルゴリズムSampR(r)を実行し、乱数rの像SampR(r)を乱数対応値υとして得て出力する(ステップS233)。
The
ラベル情報生成部234は、対応鍵fと乱数対応値υとメッセージMとを入力とし、対応鍵fと乱数対応値υとメッセージMとを含む情報に写像Hを作用させてラベル情報d=H(f,υ,M)を得て出力する。対応鍵fと乱数対応値υとメッセージMとを含む情報の例は、対応鍵fのビット列表現値と乱数対応値υのビット列表現値とメッセージMとのビット結合値や、対応鍵fのビット列表現値と乱数対応値のビット列表現値υとメッセージMと付加ビット列とのビット結合値などである。写像Hがハッシュ関数である場合、ラベル情報dは、対応鍵fと乱数対応値υとメッセージMとを含む情報のダイジェスト値となる(ステップS234)。
The label
写像部235bは、共通パラメータppと秘密鍵tとラベル情報dと乱数対応値υとを入力とし、アルゴリズムPriv(pp,t,d,υ)を実行し、像j=Df,d(υ)を得て出力する。すなわち、像jは秘密鍵t(秘密鍵対応値)およびラベル情報dに対応する第2写像Df,dを乱数対応値υに作用させて得られる(ステップS235)。
The
出力部236は、乱数対応値υと像j(第2写像Df,d(υ)を乱数対応値υに作用させて得られる値)とを含むメッセージ認証子τ=(υ,j)を得て(ステップS237)、メッセージ認証子τとメッセージMとを出力する(ステップS138)。メッセージ認証子τとメッセージMとは検証装置240に送られる。
The
[検証処理]
メッセージ認証子τ=(υ,j)とメッセージMとが検証装置240の入力部141に入力され、記憶部142に格納され、以下の検証処理(図4B)が実行される。
[Verification processing]
The message authenticator τ = (υ, j) and the message M are input to the
対応鍵生成部143は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS141)。
The corresponding
検証ラベル情報生成部244は、対応鍵fと乱数対応値υとメッセージMとを入力とし、対応鍵fと乱数対応値υとメッセージMとを含む情報に写像Hを作用させて検証ラベル情報d’=H(f,υ,M)∈GKを得て出力する。なお、検証ラベル情報生成部144での「写像H」および「対応鍵fと乱数対応値υとメッセージMとを含む情報」の構造は、ラベル情報生成部134での「写像H」および「対応鍵fと乱数対応値υとメッセージMとを含む情報」と同じである(ステップS242)。
The verification label information generation unit 244 receives the corresponding key f, the random number corresponding value υ, and the message M, and applies the mapping H to the information including the corresponding key f, the random number corresponding value υ, and the message M to verify the label information d. '= H (f, υ, M) εG K is obtained and output. The structure of “mapping H” and “information including correspondence key f, random number correspondence value υ and message M” in verification label
写像部245aは、共通パラメータppと秘密鍵tと検証ラベル情報d’と乱数対応値υとを入力とし、アルゴリズムPriv(pp,t,d’,υ)を実行し、像j’=Df,d’(υ)を得て出力する。すなわち、像j’は秘密鍵t(秘密鍵対応値)および検証ラベル情報d’に対応する第2写像Df,d’を乱数対応値υに作用させて得られる(ステップS243)。
The
判定部245bは、得られた像j’とメッセージ認証子τ=(υ,j)に含まれる像jとを入力とし、それらが一致するかを判定する(ステップS235)。ここで、像j’と像jとが一致しないと判定された場合(j’≠j)、出力部246は拒絶rejを出力し(ステップS247)、処理を終了する。一方、像j’と像jとが一致すると判定された場合(j’=j)、出力部246は受け入れaccを出力し(ステップS246)、処理を終了する。
The
<第2実施形態の実施例>
第2実施形態の実施例として、DDH仮定に基づくハッシュ証明系に本形態を適用した例を示す。本実施例では、g1およびg2が群GK(可換群、例えば巡回群)の生成元、ラベル情報がd、検証ラベル情報がd’、秘密鍵がt=(x1,x2,y1,y2)、対応鍵が(X,Y)=(g1 x1g2 x2,g1 y1g2 y2)、乱数対応値がυ=(υ1,υ2)∈GK 2、認証子生成時の第2写像を乱数対応値に作用させて得られる値がj=υ1 x1*d+y1・υ2 x2*d+y2、検証時の第2写像を乱数対応値に作用させて得られる値がj’=υ1 x1*d’+y1・υ2 x2*d+y2である。
<Example of the second embodiment>
As an example of the second embodiment, an example in which the present embodiment is applied to a hash certification system based on the DDH assumption will be described. In this embodiment, g 1 and g 2 are generators of the group G K (commutative group, for example, cyclic group), the label information is d, the verification label information is d ′, and the secret key is t = (x1, x2, y1) , Y2), the corresponding key is (X, Y) = (g 1 x1 g 2 x2 , g 1 y1 g 2 y2 ), the random number corresponding value is υ = (υ 1 , υ 2 ) ∈G K 2 , The value obtained by applying the second mapping at the time to the random number corresponding value is j = υ 1 x1 * d + y1 · υ 2 x2 * d + y2 , and the value obtained by applying the second mapping at the time of verification to the random number corresponding value is j '= Υ 1 x1 * d' + y1 · υ 2 x2 * d + y2 .
以下に本実施例のSetup(1κ),鍵生成アルゴリズム,Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)の詳細を示す。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、g1およびg2を位数qの群GKの生成元とし、g2=g1 ωを(g1,g2)用の言語落とし戸とする。
鍵生成アルゴリズムは、共通パラメータppを入力とし、秘密鍵t=(x1,x2,y1,y2)∈Zq 4を一様分布に従ってランダムに選択し、(x1,x2,y1,y2)に写像μを作用させて対応鍵(X,Y)=(g1 x1・g2 x2,g1 y1・g2 y2)を得る。
Pub(pp,μ(t),d,r)は、pp,μ(t)=(X,Y),d,rを入力とし、j=(Xd・Y)rを計算して出力する。
Priv(pp,t,d,υ)は、pp,t,d,υ=(υ1,υ2)を入力とし、j=υ1 x1*d+y1・υ2 x2*d+y2を計算して出力する。
Details of Setup ( 1κ ), key generation algorithm, Pub (pp, μ (t), L, r), and Priv (pp, t, L, υ) of this embodiment will be described below.
Setup (1 κ ) takes
The key generation algorithm receives the common parameter pp, selects a secret key t = (x1, x2, y1, y2) εZ q 4 at random according to a uniform distribution, and maps it to (x1, x2, y1, y2) The corresponding key (X, Y) = (g 1 x1 · g 2 x2 , g 1 y1 · g 2 y2 ) is obtained by applying μ.
Pub (pp, μ (t), d, r) inputs pp, μ (t) = (X, Y), d, r and calculates and outputs j = (X d · Y) r. .
Priv (pp, t, d, υ) takes pp, t, d, υ = (υ 1 , υ 2 ) as input, and calculates and outputs j = υ 1 x1 * d + y1 · υ 2 x2 * d + y2. .
[写像μの準同型性]
任意のΔ=(δ1,δ2,η1,η2)∈Zq 4とt=(x1,x2,y1,y2)について以下が成立する。
μ(t+Δ)=(g1 x1+δ1・g2 x2+δ2,g1 y1+η1・g2 y2+η2)
=(g1x1・g2x2・g1δ1・g2δ2,
g1y1・g2y2・g1η1・g2η2)
=(g1 x1・g2 x2,g1 y1・g2 y2)・
(g1 δ1・g2 δ2,g1 η1・g2 η2)
=μ(t)・μ(Δ)
よって写像μは準同型性を有する。
[Homomorphism of map μ]
The following holds for any Δ = (δ1, δ2, η1, η2) εZ q 4 and t = (x1, x2, y1, y2).
μ (t + Δ) = (g 1 x1 + δ1 · g 2 x2 + δ2 , g 1 y1 + η1 · g 2 y2 + η2 )
= (G1 x1 · g2 x2 · g1 δ1 · g2 δ2 ,
g1 y1 · g2 y2 · g1 η1 · g2 η2 )
= (G 1 x1 · g 2 x2 , g 1 y1 · g 2 y2 ) ·
(G 1 δ1 · g 2 δ2 , g 1 η1 · g 2 η2 )
= Μ (t) · μ (Δ)
Therefore, the map μ has homomorphism.
[写像Df,dの準同型性]
任意のΔ=(δ1,δ2,η1,η2)、μ(t+Δ)=(g1 x1+δ1・g2 x2+δ2,g1 y1+η1・g2 y2+η2)、ラベル情報dおよびυ=(υ1,υ2)∈GK 2について以下が成立する。
Dμ(t+Δ),d(υ1,υ2)=υ1 (x1+δ1)d+(y1+η1)・υ2 (x2+δ2)d+(y2+η2)
=υ1 x1*d+y1・υ2 x2*d+y2・υ1 δ1*d+η1・υ2 δ2*d+η2
=Dμ(t),d(υ1,υ2)・Dμ(δ),d(υ1,υ2)
よって写像Df,dは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、(g1,g2)の離散対数仮定により証明可能である。
[Homomorphism of map D f, d ]
Arbitrary Δ = (δ1, δ2, η1, η2), μ (t + Δ) = (g 1 x1 + δ1 · g 2 x2 + δ2 , g 1 y1 + η1 · g 2 y2 + η2 ), label information d and υ = (υ 1 , υ 2 ) The following holds for ∈ G K 2 .
D μ (t + Δ), d (υ 1 , υ 2 ) = υ 1 (x1 + δ1) d + (y1 + η1) · υ 2 (x2 + δ2) d + (y2 + η2)
= Υ 1 x1 * d + y1 · υ 2 x2 * d + y2 ·
= D [ mu] (t), d ([nu] 1 , [nu] 2 ) .D [ mu] ([delta]), d ([nu] 1 , [nu] 2 ).
Therefore, the map D f, d has homomorphism.
[Collision difficulty of map μ]
The collision difficulty of the map μ can be proved by the discrete logarithm assumption of (g 1 , g 2 ).
[非特許文献3に基づくメッセージ認証子方式]
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵t=(t1,t2,t3,t4)∈Zq 4をランダムに選択する。
認証子生成:認証子生成アルゴリズムは、メッセージM∈Zqについて、υ=(υ1,υ2)=(g1 r,g2 r)をランダムに選び、ラベル情報L=Mとする。ただしg1,g2は群GKの生成元である。さらに認証子生成アルゴリズムは、j=Df,L(υ)=υ1 x1*L+y1・υ2 x2*L+y2を計算し、τ=(υ1,υ2,j)をメッセージ認証子として出力する。
検証:検証アルゴリズムは、τとMを入力とし、ラベル情報L=Mとし、j’=Df,L(υ)=υ1 x1*L+y1・υ2 x2*L+y2を計算し、j’= jであればaccを出力し、そうでないならrejを出力する。
[Message authenticator based on Non-Patent Document 3]
A message authenticator method based on Non-Patent Document 3 will be exemplified below.
Key generation: The key generation algorithm randomly selects the secret key t = (t1, t2, t3, t4) εZ q 4 .
Authentication code generation: The authentication code generation algorithm randomly selects υ = (υ 1 , υ 2 ) = (g 1 r , g 2 r ) for the message MεZ q and sets the label information L = M. However, g 1 and g 2 are generators of the group G K. Further, the authenticator generation algorithm calculates j = D f, L (υ) = υ 1 x1 * L + y1 · υ 2 x2 * L + y2, and outputs τ = (υ 1 , υ 2 , j) as a message authenticator. .
Verification: The verification algorithm takes τ and M as inputs, sets label information L = M, calculates j ′ = D f, L (υ) = υ 1 x1 * L + y1 · υ 2 x2 * L + y2 , and j ′ = j If so, acc is output, and if not, rej is output.
[加法的な関連鍵攻撃]
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈Zqとする。
2.敵は(0,0,0,0)以外のΔ=(δ1,δ2,η1,η2)∈Zq 4を適当に選ぶ
3.敵は秘密鍵t=(t1,t2,t3,t4)を関連鍵φ(t)=(t1+δ1,t2+δ2,t3+η1,t4+η2)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(υ1,υ2,j’’)=(υ1,υ2,Dμ(t+ξ),M(υ1,υ2))=(υ1,υ2,υ1 (x1+δ1)M+(y1+η1)・υ2 (x2+δ2)M+(y2+η2))
ここで、c1=g1 r,c2=g2 rである。
5.敵は上記の返答を用い、以下を計算する。
j=j’’・(υ1 δ1*M+η1・υ2 δ2*M+η2)−1
=υ1 x1*M+y1・υ2 x2*M+y2=Dμ(t),M(υ1,υ2)
6.敵は偽造したメッセージ認証子τ=(c1,c2,j)を出力する。
このメッセージ認証子τは、秘密鍵t=(t1,t2,t3,t4)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
[Additive key attack]
The following additive key attack succeeds against the message authenticator method based on Non-Patent Document 3 described above.
1. The enemy sets the counterfeit message to M∈Z q .
2. 2. Enemy properly selects Δ = (δ1, δ2, η1, η2) εZ q 4 other than (0, 0, 0, 0) The enemy makes an inquiry to the oracle machine R-Tag κ with the mapping φ that maps the secret key t = (t1, t2, t3, t4) to the related key φ (t) = (t1 + δ1, t2 + δ2, t3 + η1, t4 + η2) and the message M.
4). The enemy receives the following as a reply from the oracle machine R-Tag κ .
τ ′ = (υ 1 , υ 2 , j ″) = (υ 1 , υ 2 , D μ (t + ξ), M (υ 1 , υ 2 )) = (υ 1 , υ 2 , υ 1 (x1 + δ1) M + (y1 + η1) · υ 2 (x2 + δ2) M + (y2 + η2) )
Here, c 1 = g 1 r and c 2 = g 2 r .
5. The enemy uses the above response to calculate:
j = j ″ · (ν 1 δ1 * M + η1 · υ 2 δ2 * M + η2 ) −1
= Υ 1 x1 * M + y1 · υ 2 x2 * M + y2 = D μ (t), M (υ 1 , υ 2 )
6). The enemy outputs a forged message authenticator τ = (c 1 , c 2 , j).
This message authenticator τ is the same as that obtained for the forged message M using the secret key t = (t1, t2, t3, t4), and the verification algorithm outputs acc. Therefore, the gain of Expression (1) is 1.
この攻撃は秘密鍵tとその関連鍵φ(t)とでラベル情報L=Mが変化しないことに基づいている。これに対し、本形態のラベル情報は、対応鍵f=μ(t)と乱数対応値υとメッセージMとを含む情報に対応するd=H(f,υ,M)である。すなわち本形態では、秘密鍵tに対応するラベル情報H(μ(t),υ,M)と関連鍵φ(t)に対応するラベル情報H(μ(φ(t)),M)とが異なる。よって、この攻撃は本形態には通じず、従来方式よりも式(1)の利得が小さくなる。なお、写像Hの衝突困難性により、μ(t)≠μ(φ(t))かつH(μ(t),υ,M)=H(μ(φ(t)),υ,M)となる確率は無視できるほど小さい。また、写像μの衝突困難性により、t≠μ(t)かつμ(t)=μ(φ(t))となる確率は無視できるほど小さい。 This attack is based on the fact that the label information L = M does not change between the secret key t and its associated key φ (t). On the other hand, the label information of this embodiment is d = H (f, υ, M) corresponding to information including the corresponding key f = μ (t), the random number corresponding value υ, and the message M. That is, in this embodiment, label information H (μ (t), υ, M) corresponding to the secret key t and label information H (μ (φ (t)), M) corresponding to the related key φ (t) are obtained. Different. Therefore, this attack does not lead to this form, and the gain of Expression (1) is smaller than that of the conventional method. Note that due to the collision difficulty of the map H, μ (t) ≠ μ (φ (t)) and H (μ (t), υ, M) = H (μ (φ (t)), υ, M). The probability of becoming so small is negligible. Further, due to the difficulty of collision of the mapping μ, the probability that t ≠ μ (t) and μ (t) = μ (φ (t)) is negligibly small.
<その他の変形例等>
本発明は上述の実施の形態に限定されるものではない。例えば、認証子生成装置や検証装置が複数存在してもよい。上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
<Other variations, etc.>
The present invention is not limited to the above-described embodiment. For example, a plurality of authenticator generation devices and verification devices may exist. The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。 When the above configuration is realized by a computer, the processing contents of the functions that each device should have are described by a program. By executing this program on a computer, the above processing functions are realized on the computer. The program describing the processing contents can be recorded on a computer-readable recording medium. An example of a computer-readable recording medium is a non-transitory recording medium. Examples of such a recording medium are a magnetic recording device, an optical disk, a magneto-optical recording medium, a semiconductor memory, and the like.
このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 This program is distributed, for example, by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads a program stored in its own recording device and executes a process according to the read program. As another execution form of the program, the computer may read the program directly from the portable recording medium and execute processing according to the program, and each time the program is transferred from the server computer to the computer. The processing according to the received program may be executed sequentially. The above-described processing may be executed by a so-called ASP (Application Service Provider) type service that realizes a processing function only by an execution instruction and result acquisition without transferring a program from the server computer to the computer. Good.
上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。 In the above embodiment, the processing functions of the apparatus are realized by executing a predetermined program on a computer. However, at least a part of these processing functions may be realized by hardware.
1,2 認証システム
110,210 設定装置
120,220 鍵生成装置
130,230 認証子生成装置
140,240 検証装置
1, 2
Claims (15)
前記対応鍵とメッセージとを含む情報に対応するラベル情報を得るラベル情報生成部と、
前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像と前記乱数対応値とを含むメッセージ認証子を得るメッセージ認証子生成部と、
を有する認証子生成装置。 A secret key and a corresponding key are a key pair, a random number corresponding value corresponds to information including a random number, a secret key corresponding value corresponds to information including the secret key,
A label information generating unit for obtaining label information corresponding to information including the corresponding key and the message;
A message authenticator generating unit for obtaining a message authenticator including an image of the random number corresponding value, the secret key corresponding value, and the label information, and the random number corresponding value;
An authenticator generation device having
前記ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
ことを特徴とする認証子生成装置。 The authenticator generation device according to claim 1,
The label information is a value obtained by applying a mapping having difficulty in collision to information including the corresponding key and the message.
An authenticator generation device characterized by the above.
前記秘密鍵が、第1秘密鍵と第2秘密鍵とを含み、
前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
前記乱数対応値が、前記対応鍵と署名検証鍵とに対応する第2写像を前記乱数に作用させて得られる値であり、
前記秘密鍵対応値が、前記乱数に対応する共通鍵で前記第2秘密鍵を暗号化することで得られる暗号文であり、
前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像が、前記署名検証鍵に対応する署名生成鍵を用いて、前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とを含む情報に対して得られた署名であり、
前記メッセージ認証子が、前記署名検証鍵と前記乱数対応値と前記秘密鍵対応値と前記署名とを含む、
ことを特徴とする認証子生成装置。 The authenticator generating device according to claim 1 or 2,
The secret key includes a first secret key and a second secret key;
The corresponding key is a value obtained by applying a first mapping to the first secret key;
The random number corresponding value is a value obtained by applying a second mapping corresponding to the corresponding key and the signature verification key to the random number;
The secret key corresponding value is a ciphertext obtained by encrypting the second secret key with a common key corresponding to the random number;
An image of the random number corresponding value, the secret key corresponding value, and the label information includes the random number corresponding value, the secret key corresponding value, and the label information using a signature generation key corresponding to the signature verification key. A signature obtained on the information,
The message authenticator includes the signature verification key, the random number corresponding value, the secret key corresponding value, and the signature.
An authenticator generation device characterized by the above.
Λ,Ωおよびκが定数、gが位数Nの群の生成元、rが第2乱数、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数がs=gΩr、前記乱数対応値がy=(u,w)、u=gΩΛr、w=(f・govk)r、前記署名検証鍵がovk、前記共通鍵が(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))、v(i)=2i、lsbN(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報である、
ことを特徴とする認証子生成装置。 An authenticator generating device according to claim 3, wherein
Λ, Ω and κ are constants, g is a generator of a group of order N, r is a second random number, the first secret key is t, the second secret key is k, and the corresponding key is f = g ΛΩt , The random number is s = g Ωr , the random number corresponding value is y = (u, w), u = g ΩΛr , w = (f · g ovk ) r , the signature verification key is ovk, and the common key is (lsb N (S), lsb N (s 2 ),..., Lsb N (s v (κ−1) )), v (i) = 2 i , lsb N (α) is α − (N−1) / 2 This is information corresponding to a value expressed by an integer of (N-1) / 2 or less.
An authenticator generation device characterized by the above.
vおよびhが群の元、gが前記群の生成元、rが第2乱数、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gt、前記乱数がs=vr、前記乱数対応値がy=(u,w)、u=gr、w=(f・vovk)r、前記署名検証鍵がovk、前記共通鍵がe(s,h)である、
ことを特徴とする認証子生成装置。 An authenticator generating device according to claim 3, wherein
v and h are group elements, g is a generator of the group, r is a second random number, e is a bilinear mapping, the first secret key is t, the second secret key is k, and the corresponding key is f = g t , the random number is s = v r , the random number corresponding value is y = (u, w), u = g r , w = (f · v ovk ) r , the signature verification key is ovk, and the common key is e (s, h),
An authenticator generation device characterized by the above.
前記第1写像および前記第2写像が準同型性写像である、
ことを特徴とする認証子生成装置。 The authenticator generation device according to any one of claims 3 to 5 ,
The first map and the second map are homomorphic maps;
An authenticator generation device characterized by the above.
前記対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得る検証ラベル情報生成部と、
メッセージ認証子と秘密鍵対応値と前記検証ラベル情報とを用い、前記メッセージを検証する検証部と、を有し、
前記メッセージ認証子が、乱数対応値と前記秘密鍵対応値とラベル情報とに対する像と前記乱数対応値とを含む、
ことを特徴とする検証装置。 The private key and the corresponding key are a key pair,
A verification label information generation unit for obtaining verification label information corresponding to information including the corresponding key and the message;
Using a message authenticator, a secret key correspondence value, and the verification label information, and a verification unit that verifies the message,
The message authenticator includes a random number corresponding value, an image for the secret key corresponding value, and label information, and the random number corresponding value;
A verification apparatus characterized by that.
前記検証ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
ことを特徴とする検証装置。 The verification device according to claim 7 , comprising:
The verification label information is a value obtained by applying a mapping having difficulty in collision to information including the corresponding key and the message.
A verification apparatus characterized by that.
前記秘密鍵が、第1秘密鍵を含み、
前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
前記メッセージ認証子が、署名検証鍵と前記乱数対応値と前記秘密鍵対応値と署名とを含み、
前記検証部が、前記署名検証鍵を用い、前記乱数対応値と前記秘密鍵対応値と前記検証ラベル情報とを含む情報に対して前記署名が合格であるかを検証する署名検証部を含む、
ことを特徴とする検証装置。 The verification device according to claim 7 or 8 , comprising:
The secret key includes a first secret key;
The corresponding key is a value obtained by applying a first mapping to the first secret key;
The message authenticator includes a signature verification key, the random number corresponding value, the secret key corresponding value, and a signature;
The verification unit includes a signature verification unit that uses the signature verification key to verify whether the signature is valid for information including the random number corresponding value, the secret key corresponding value, and the verification label information;
A verification apparatus characterized by that.
前記秘密鍵が、さらに第2秘密鍵を含み、
前記検証部が、
前記対応鍵と前記署名検証鍵とに対応する逆元探索写像を前記乱数対応値に作用させて乱数復元値を得る逆元探索部と、
前記乱数復元値に対応する共通鍵で前記秘密鍵対応値を復号して得られる復号値と前記第2秘密鍵とが一致するかを判定する判定部と、をさらに含む、
ことを特徴とする検証装置。 The verification device according to claim 9 , comprising:
The secret key further includes a second secret key;
The verification unit
An inverse element search unit that obtains a random number restoration value by operating an inverse element search map corresponding to the corresponding key and the signature verification key on the random number corresponding value;
A determination unit that determines whether the decrypted value obtained by decrypting the secret key corresponding value with the common key corresponding to the random number restoration value matches the second secret key;
A verification apparatus characterized by that.
Λ,Ωおよびκが定数、gが位数Nの群の生成元、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数復元値がs、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵が(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))、v(i)=2i、lsbN(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報であり、
前記逆元探索部が、2c=a*ovk+bΛΩを満たす整数a,b,cに対する(wa・ub−at)v(ovk−c)を前記乱数復元値として得る、
ことを特徴とする検証装置。 A verification device according to claim 1 0,
Λ, Ω, and κ are constants, g is a generator of group N, the first secret key is t, the second secret key is k, the corresponding key is f = g ΛΩt , and the random number restoration value is s , The random number corresponding value is y = (u, w), the signature verification key is ovk, and the common key is (lsb N (s), lsb N (s 2 ),..., Lsb N (s v (κ−1) ) )), V (i) = 2 i , lsb N (α) is information corresponding to a value in which α is represented by an integer of − (N−1) / 2 or more and (N−1) / 2 or less,
The inverse element search unit obtains (w a · u b-at ) v (ovk−c) for integers a, b, c satisfying 2 c = a * ovk + bΛΩ as the random number restoration value,
A verification apparatus characterized by that.
vおよびhが群の元、gが前記群の生成元、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gt、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵がe(s,h)であり、
前記逆元探索部が、(w・u−t)(1/ovk)を前記乱数復元値として得る、
ことを特徴とする検証装置。 A verification device according to claim 1 0,
v and h are group elements, g is the group generator, e is a bilinear mapping, the first secret key is t, the second secret key is k, the corresponding key is f = g t , and the random number is supported The value is y = (u, w), the signature verification key is ovk, the common key is e (s, h),
The inverse element search unit obtains (w · u −t ) (1 / ovk) as the random number restoration value;
A verification apparatus characterized by that.
前記第1写像が準同型性写像である、
ことを特徴とする検証装置。 Be any of the verification device of claims 9 1 2,
The first shooting image is homomorphism mapping,
A verification apparatus characterized by that.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013003625A JP5871826B2 (en) | 2013-01-11 | 2013-01-11 | Authenticator generation device, verification device, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013003625A JP5871826B2 (en) | 2013-01-11 | 2013-01-11 | Authenticator generation device, verification device, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014135684A JP2014135684A (en) | 2014-07-24 |
| JP5871826B2 true JP5871826B2 (en) | 2016-03-01 |
Family
ID=51413656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013003625A Active JP5871826B2 (en) | 2013-01-11 | 2013-01-11 | Authenticator generation device, verification device, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5871826B2 (en) |
-
2013
- 2013-01-11 JP JP2013003625A patent/JP5871826B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014135684A (en) | 2014-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10484182B2 (en) | Encrypted text verification system, method, and recording medium | |
| WO2011061994A1 (en) | Information processing device, key generating device, signature verifying device, information processing method, signature generating method, and program | |
| CN108604984B (en) | Method and system for interest encryption in content-centric networks | |
| WO2007105749A1 (en) | Group signature system and information processing method | |
| US20180239910A1 (en) | Encrypted text verification system, method and recording medium | |
| Xin et al. | Identity-based quantum designated verifier signature | |
| JP2014157354A (en) | Cryptographic devices and methods for generating and verifying linearly homomorphic structure-preserving signatures | |
| CN116846579B (en) | A Data Validation Method for Industrial Internet of Things | |
| JP6075785B2 (en) | Cryptographic communication system, cryptographic communication method, program | |
| CN117220893A (en) | An efficient cloud storage data integrity audit method based on national secret SM9 | |
| Iwasaki et al. | Tightly-secure identity-based structured aggregate signature scheme under the computational Diffie-Hellman assumption | |
| JP5871826B2 (en) | Authenticator generation device, verification device, and program | |
| Sarier | A new biometric identity based encryption scheme secure against DoS attacks | |
| Jager et al. | Short digital signatures and ID-KEMs via truncation collision resistance | |
| JP2017038336A (en) | Decryption method | |
| CN119232417A (en) | A method and device for data encryption transmission | |
| JP5069157B2 (en) | Signature system, signature method, verification device, verification device, verification method, verification method, program | |
| Lin et al. | F2P‐ABS: A Fast and Secure Attribute‐Based Signature for Mobile Platforms | |
| Kajita et al. | Short lattice signatures in the standard model with efficient tag generation | |
| JP6228912B2 (en) | Blind secret key issuing system, blind data retrieval system, these methods, key generation server, decryption device, and program | |
| JP5871827B2 (en) | Safety enhancement system, safety enhancement device, verification device, and program | |
| JP5815754B2 (en) | Signature verification system, signature device, verification device, and signature verification method | |
| WO2017170780A1 (en) | Cryptogram collation system, node device, cryptogram collation method, and program | |
| Blazy et al. | Identity-based encryption in DDH hard groups | |
| JP4891844B2 (en) | Signature format conversion apparatus, pre-processing apparatus, signature verification apparatus, signature format conversion method, program, and storage medium thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150204 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150925 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151104 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160112 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5871826 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |