Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5871827B2 - 安全性強化システム、安全性強化装置、検証装置、およびプログラム - Google Patents
[go: Go Back, main page]

JP5871827B2 - 安全性強化システム、安全性強化装置、検証装置、およびプログラム - Google Patents

安全性強化システム、安全性強化装置、検証装置、およびプログラム Download PDF

Info

Publication number
JP5871827B2
JP5871827B2 JP2013003706A JP2013003706A JP5871827B2 JP 5871827 B2 JP5871827 B2 JP 5871827B2 JP 2013003706 A JP2013003706 A JP 2013003706A JP 2013003706 A JP2013003706 A JP 2013003706A JP 5871827 B2 JP5871827 B2 JP 5871827B2
Authority
JP
Japan
Prior art keywords
information
key
unit
secret
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013003706A
Other languages
English (en)
Other versions
JP2014135687A (ja
Inventor
恵太 草川
恵太 草川
英一郎 藤崎
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013003706A priority Critical patent/JP5871827B2/ja
Publication of JP2014135687A publication Critical patent/JP2014135687A/ja
Application granted granted Critical
Publication of JP5871827B2 publication Critical patent/JP5871827B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報セキュリティ技術の分野における安全性強化技術に関し、特に関連鍵攻撃に対する安全性を強化する技術に関する。
秘密情報を持つ一般の暗号学的な回路(以下、単に「回路」という)への関連鍵攻撃に対する(アルゴリズム的な)安全性強化手法がいくつか提案されている(例えば、非特許文献1から5等参照)。
Rosario Gennaro, Anna Lysyanskaya, Tal Malkin, Silvio Micali, and Tal Rabin, "Algorithmic tamper-proof (ATP) security: Theoretical foundations for security against hardware tampering," in Moni Naor, editor, TCC 2004, volume 2951 of Lecture Notes in Computer Science, pages 258-277, Springer, Heidelberg, 2004. Stefan Dziembowski, Krzysztof Pietrzak, and Daniel Wichs, "Non-malleable codes," in Andrew Chi-Chih Yao, editor, ICS 2010, pages 434-452, Tsinghua University Press, 2010. Yuval Ishai, Manoj Prabhakaran, Amit Sahai, and DavidWagner, "Private circuits ii: Keeping secrets in tamperable circuits," in Serge Vaudenay, editor, EUROCRYPT 2006, volume 4004 of Lecture Notes in Computer Science, pages 308-327, Springer, Heidelberg, 2006. Sebastian Faust, Krzysztof Pietrzak, and Daniele Venturi, "Tamper-proof circuits: How to trade leakage for tamper-resilience," In Luca Aceto, Monika Henzinger, and Jiri Sgall, editors, ICALP 2011, Part I, volume 6755 of Lecture Notes in Computer Science, pages 391-402, Springer-Verlag, 2011. Dana Dachman-Soled and Yael Tauman Kalai. Securing circuits against constant-rate tampering. In Reihaneh Safavi-Naini and Ran Canetti, editors, CRYPTO 2012, volume 7417 of Lecture Notes in Computer Science, pages 533-551, Springer, Heidelberg, 2012.
非特許文献1では、任意の関連鍵攻撃に対する安全性強化手法が提案されている。しかしながら、非特許文献1の強化手法は信頼できる第三者を必要とする。この第三者は公開鍵を公開し、暗号デバイスを作成するたびにこの第三者が関わる必要がある。また、この強化手法では、ひとたび関連鍵攻撃を検知すると回路は自壊してしまう。
非特許文献2では、一部の関連鍵攻撃に対する安全性強化手法が提案されている。非特許文献2の強化手法は信頼できる第三者を必要としない。しかしながら、この強化手法でも、ひとたび関連鍵攻を検知すると回路は自壊してしまう。
非特許文献3から5の強化手法は自壊を必要としない。しかしながら、回路および秘密への変更箇所に制限を加えており、任意の関数をとらえていない。
このように、回路を自壊させることなく、任意の回路の関連鍵攻撃に対する安全性を向上させる手法は提案されていない。
安全性強化時に、鍵情報に対応する秘密情報に対して特定の対応関係を持つ補助情報を得て出力する。ただし、この秘密情報と異なる関連秘密情報に対して当該対応関係を持つ関連補助情報を当該補助情報から特定することは困難である。
検証時に、入力された補助情報が秘密情報に対して特定の対応関係を持つかを判定し、当該補助情報が秘密情報に対して当該対応関係を持つ場合に秘密情報に対応する鍵情報または当該鍵情報から得られる情報を得、当該補助情報が秘密情報に対して当該対応関係を持たない場合に拒絶を表す情報を出力する。
本発明では、秘密情報に対して特定の対応関係を持つ補助情報を用いる。上記の関連補助情報を補助情報から特定することは困難である。これにより、任意の回路の関連鍵攻撃に対する安全性を向上させることができる。また本発明では、回路を自壊させる必要はない。
図1は、第1,2実施形態の安全性強化システムの構成を説明するためのブロック図である。 図2Aは、第1実施形態の安全性強化処理を説明するためのフロー図であり、図2Bは、第1実施形態の検証処理を説明するためのフロー図である。 図3Aは、第2実施形態の安全性強化処理を説明するためのフロー図であり、図3Bは、第2実施形態の検証処理を説明するためのフロー図である。 図4は、第3,4実施形態の安全性強化システムの構成を説明するためのブロック図である。 図5Aは、第3実施形態の安全性強化処理を説明するためのフロー図であり、図5Bは、第3実施形態の検証処理を説明するためのフロー図である。 図6Aは、第4実施形態の安全性強化処理を説明するためのフロー図であり、図6Bは、第4実施形態の検証処理を説明するためのフロー図である。 図7は、第5,6,7実施形態の安全性強化システムの構成を説明するためのブロック図である。 図8Aは、第5実施形態の安全性強化処理を説明するためのフロー図であり、図8Bは、第5実施形態の検証処理を説明するためのフロー図である。 図9は、第6実施形態の検証処理を説明するためのフロー図である。 図10Aは、第7実施形態の安全性強化処理を説明するためのフロー図であり、図10Bは、第7実施形態の検証処理を説明するためのフロー図である。
以下、図面を参照して本発明の実施形態を説明する。
<定義>
各実施形態で用いる記号や用語を定義する。
[暗号学的デバイス]
暗号学的デバイス(Setup,Gen,C,X,Y,K)は、以下のSetup,Gen,C,X,Y,Kから構成される。
Setup(1κ)はセットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを出力する。ppは集合X,Y,Kの情報を含む。
Gen(pp)は鍵生成アルゴリズムであり、ppを入力とし、秘密の鍵情報k∈Kをランダムに選んで出力する。
C(pp,(k,x))は回路であり、ppおよび(k,x)∈K×Xを入力とし、y∈Yを出力する。
例えばC(pp,(k,x))は共通鍵暗号の復号回路であり、kは秘密鍵、xは暗号文、yは平文に対応する。
[公開鍵型暗号学的デバイス]
公開鍵型暗号学的デバイス(Setup,Gen,C,X,Y,K,Ω)は、以下のSetup,Gen,C,X,Y,K,Ωから構成される。
Setup(1κ)はセットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを出力する。ppは集合X,Y,K,Ωの情報を含む。
Gen(pp;r)は鍵生成アルゴリズムであり、ppを入力とし、乱数r∈Ωに基づいて、秘密の鍵情報k∈Kと公開の鍵情報pを出力する。
C(pp,(k,x))は回路であり、ppおよび(k,x)∈K×Xを入力とし、y∈Yを出力する。
例えばC(pp,(k,x))は公開鍵暗号の復号回路であり、kは復号鍵、pは暗号鍵、xは暗号文、yは平文に対応する。他にもC(pp,(k,x))を電子署名の署名回路とすれば、kは署名鍵、pは検証鍵、xはメッセージ、yは署名となる。
[鍵カプセル化方式(Key Encapsulation Mechanism (KEM))]
鍵カプセル化方式は、以下の4つ組からなる。
Setup(1κ)はセットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを出力する。
GenKEM(pp)は鍵生成アルゴリズムであり、ppを入力とし、公開鍵pkと秘密鍵skとの鍵ペア(pk,sk)を生成する。
Encaps(pp,pk;s)は、鍵暗号化アルゴリズムであり、ppとpkを入力とし、秘密情報s∈Sに基づいた鍵kとその暗号文cとを出力する。Sは秘密情報が属する集合を表す。以下では簡単のため、Encaps(pp,pk)をEncaps(pp,pk;s)とEncaps(pp;s)とに分離して表記する。Encaps(pp,pk;s)は暗号文cを出力するアルゴリズムであり、Encaps(pp;s)は鍵kを出力するアルゴリズムである。
Decaps(pp,sk,c)は、鍵復号アルゴリズムであり、ppとskとcを入力とし、鍵kまたは⊥を出力する。なお、⊥は拒絶を表す情報である。
[公開鍵暗号方式(Public-Key Encryption (PKE))]
公開鍵暗号方式は、以下の4つ組からなる。
Setup(1κ)はセットアップアルゴリズムであり、セキュリティパラメータ(1κ)を入力とし、共通パラメータppを出力する。
GenPKE(pp)は鍵生成アルゴリズムであり、ppを入力とし、暗号化鍵ekと復号鍵dkとの鍵ペア(ek,dk)を生成する。
Enc(pp,ek,m;ρ)は暗号化アルゴリズムであり、ppとekとメッセージmを入力にとり、乱数ρ∈RPKEに基づいてメッセージmの暗号文cmを得て出力する。RPKEは乱数空間を表す。
Decaps(pp,dk,cm)は復号アルゴリズムであり、ppとdkとcmを入力にとり、メッセージmまたは⊥を出力する。
[非対話零知識証明(Non-Interactive Zero-Knowledge (NIZK))]
Bを二項関係とし、LをBから定義される言語とする。すなわち、L={x∈{0,1}*:B(x,w)=1 for some w}である。x∈Lのときに対応するwを証拠と呼ぶ。
非対話零知識証明とは三つ組みのアルゴリズムであり、NIZK=(G,P,V)と書く。
G(1κ)はセットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、CRS(Common Reference String)と呼ばれる共通パラメータcrsNIZKを出力する。なお、1κはκ個の1からなる列を表す。κは1以上の所定の整数である。
P(crsNIZK,x,w)は証明者アルゴリズムであり、共通パラメータcrsNIZKと、文字列x∈L⊆{0,1}*と、その証拠wを入力とし、x∈Lの証明πを出力する。
V(crsNIZK,x,π)は検証者アルゴリズムであり、共通パラメータcrsNIZKと、文字列xと、証明πを入力とし、yes(合格)/no(不合格)を出力する。
[双線形写像]
双線形写像e:G×G→Gは、双線形性、非退化性および効率的計算可能性を持つ写像である。ただし、G,Gは位数が素数qである可換群である。
双線形性により、任意のh,h∈Gおよび任意のα,β∈Zについてe(h α,h β)=e(h,hαβとなる。非退化性により、e(h,h)のGでの位数がqとなる。効率的計算可能性により、eを効率よく計算することができる。なお、Zはqによる剰余群を表す。双線形写像の例はペアリングである。
[衝突困難性(衝突耐性)を持つ写像]
写像Hが衝突困難性を持つとは、多項式時間で動作する敵が、写像の属からそれに属する写像Hを定める情報とセキュリティパラメータ1κとを受け取ったとき、γ≠δかつH(γ)=H(δ)なる組(γ,δ)を無視できる確率でしか出力することができないことを表す。衝突困難性を持つ写像Hの例は、SHA−1等の暗号学的なハッシュ関数などである。通常、衝突困難性を持つ写像は一方向性も持つ。
<原理>
各実施形態に共通する原理を説明する。
安全性強化装置では、秘密の鍵情報に対応する秘密情報を格納し、秘密情報に対して特定の対応関係を持つ補助情報を得て出力する。ただし、当該秘密情報と異なる関連秘密情報に対して当該対応関係を持つ関連補助情報を当該補助情報から特定することは困難である。
検証装置では、入力された補助情報が秘密情報に対して特定の対応関係を持つかを判定し、当該補助情報が秘密情報に対して当該対応関係を持つ場合に秘密情報に対応する秘密の鍵情報または当該鍵情報から得られる情報を得、当該補助情報が秘密情報に対して当該対応関係を持たない場合に拒絶を表す情報を出力する。
以上の構成では、秘密情報に対して特定の対応関係を持つ補助情報を用いる。上記の関連補助情報を補助情報から特定することは困難である。これにより自壊することなく、任意の回路の関連鍵攻撃に対する安全性を向上させることができる。本構成は任意の回路に汎用的に適用可能であるが、ここでは特定の従来構成に対する関連鍵攻撃を例示し、その関連鍵攻撃がこの原理を適用した方式に通じないことを示す。
[従来の公開鍵型暗号学的デバイスの一例]
以下に従来の公開鍵型暗号学的デバイスを例示する。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、Gとqと生成元g,g∈Gと衝突困難性を持つ写像H:G →Zとを得、共通パラメータpp=(G,q,g,g,H)として出力する。
Gen(pp;r)は、ppを入力とし、秘密情報sである鍵情報dk=(x1,x2,y1,y2,z1,z2)と公開情報である鍵情報ek=(Xek,Yek,Zek)=(g x1・g x2,g y1・g y2,g z1・g z2)とを得て出力する。
Enc(pp;ek,m)は、ppとekとメッセージmとを入力とし、乱数r’∈Zを生成し、c1=g r’,c2=g r’,E=m・Zek r’,ω=H(c1,c2,E),ν=(Xek ω・Yekr’を得て、暗号文ct=(c1,c2,E,ν)を出力する。
Dec(pp;dk,ct)は、ppとdkとctとを入力とし、ct∈G であれば、ct=(c1,c2,E,ν)からω=H(c1,c2,E)を得、さらにc1x1*ω+y1・c2x2*ω+y2=νであれば、m=E/(c1z1・c2z2)を出力する。
[従来構成に対する関連鍵攻撃の一例]
上記の従来の公開鍵型暗号学的デバイスに対し、以下の一方向性を破る関連鍵攻撃が成功する。
1.敵はメッセージmの暗号文ct=(c1,c2,E,ν)を受け取る。
2.敵は0以外のΔ∈Zを選択し、鍵情報dk=(x1,x2,y1,y2,z1,z2)を関連鍵情報φ(x1,x2,y1,y2,z1,z2)=(x1,x2,y1+Δ,y2,z1,z2)に移す写像φと、新しい暗号文ct’=(c1,c2,E,ν・c1Δ)をDecに問い合わせる。
3.Decは鍵情報dkに写像φを適用し、関連鍵情報(x1,x2,y1+Δ,y2,z1,z2)を得、それを用いてct’を復号し、メッセージmを敵に返す。
4.敵はmをそのまま出力する。
この例では秘密情報が鍵情報である。また、上述の原理を上述の公開鍵型暗号学的デバイスの一例に適用する場合には、例えば、Decに検証装置を組み込んで機能させる。鍵情報および関連鍵情報は秘密情報であり、敵はこれらの情報を知らない。また敵は、鍵情報(x1,x2,y1,y2,z1,z2)に対する補助情報を知ったとしても、関連鍵情報(x1,x2,y1+Δ,y2,z1,z2)に対する補助情報(秘密情報と異なる関連秘密情報に対して特定の対応関係を持つ関連補助情報)を得ることができない。よって敵は、関連鍵情報に対する補助情報をDecに与えることができない。そのため検証装置は、Decからの問い合わせに対して拒絶を返し、Decは敵に対して拒絶を返す。その結果、敵は暗号文ct’=(c1,c2,E,ν’)を復号することができず、メッセージmも得ることができない。
<第1実施形態>
第1実施形態を説明する。本形態は、暗号学的デバイス(Setup,Gen,C,X,Y,K)に上述の原理を適用したものである。本形態の安全性強化装置は、非対話零知識証明(NIZK=(G,P,V))を用いて補助情報を生成する。この補助情報は、秘密情報に対応する第1暗号文と、秘密情報と乱数とに対応する第2暗号文と、秘密情報と乱数とを証拠情報として第1暗号文と第2暗号文とに対する非対話零知識証明を行うための証明情報とを含む。本形態の検証装置は、補助情報が含む証明情報を用いて第1暗号文と第2暗号文とに対する非対話零知識証明検証を行い、さらに秘密情報に対応する検証用暗号文と第1暗号文とが一致するかを判定する。
[構成]
図1に例示するように、本形態の安全性強化システム1は、設定装置110と安全性強化装置120と検証装置130とを有する。設定装置110と安全性強化装置120と検証装置130とは、それぞれ、CPU(central processing unit)、RAM(random-access memory)等を含む汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置110と安全性強化装置120と検証装置130は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
安全性強化装置120は、例えば、暗号化を行う際に用いる鍵を得る鍵生成装置である(暗号学的デバイスに上述の原理を適用する以降の実施形態の安全性強化装置についても同様)。安全性強化装置120は、入力部121と記憶部122と補助情報生成部123と出力部124とを有する。補助情報生成部123は、乱数生成部123aと鍵・鍵暗号文生成部123bと暗号化部123cと証明生成部123dとを有する。安全性強化装置120は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部122に格納され、必要に応じて各部に読み込まれる。
検証装置130は、例えば、暗号文を復号する際に用いる鍵を得る鍵生成装置である(暗号学的デバイスに上述の原理を適用する以降の実施形態の検証装置についても同様)。検証装置130は、入力部131と記憶部132と判定部133と鍵制御部136と出力部137とを有する。判定部133は、検証部133aと鍵暗号文生成部133bと暗号文比較部133cとを有する。検証装置130は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
設定装置110は、セキュリティパラメータ(1κ)を入力としてセットアップアルゴリズムSetup(1κ)を実行し、共通パラメータppを得る。この共通パラメータppは、暗号学的デバイス、鍵カプセル化方式、および公開鍵暗号方式に共通することとする。また設定装置110は、セキュリティパラメータ(1κ)を入力として非対話零知識証明のセットアップアルゴリズムG(1κ)を実行し、共通パラメータcrsNIZKを得る。さらに設定装置110は、鍵カプセル化方式の鍵生成アルゴリズムGenKEM(pp)を実行し、鍵ペア(pk,sk)を得る。また設定装置110は、公開鍵暗号方式の鍵生成アルゴリズムGenPKE(pp)を実行し、鍵ペア(ek,dk)を得る。設定装置110は、以上のように得られた共通パラメータcrs=(pp,pk,ek,crsNIZK)を出力する。共通パラメータcrsは、それぞれ、安全性強化装置120および検証装置130の入力部121および131に入力され、記憶部122および132に格納される。
また、設定装置110はランダムな秘密情報s∈Sを生成して出力する。秘密情報sは、安全性強化装置120および検証装置130の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理(図2A)]
安全性強化装置120の乱数生成部123aが、乱数ρ∈RPKEを生成して出力する(ステップS121)。鍵・鍵暗号文生成部123bが、共通パラメータppと公開鍵pkと秘密情報sを用いて鍵暗号化アルゴリズムEncaps(pp,pk;s)を実行し、鍵(鍵情報)kとそれに対応する暗号文c(第1暗号文)とを出力する(ステップS122)。暗号化部123cが、共通パラメータppと暗号化鍵ekと秘密情報sと乱数ρとを用いて暗号化アルゴリズムEnc(pp,ek,m;ρ)を実行し、秘密情報sの暗号文τ(第2暗号文)を得て出力する(ステップS123)。証明生成部123dが、共通パラメータcrsNIZKと、暗号文c,τに対応する文字列x=(c,τ)と、その証拠wである証拠情報(s,ρ)とを入力とし、証明者アルゴリズムP(crsNIZK,(c,τ),(s,ρ))を実行し、その証明である証明情報πを得て出力する。なお、文字列xの例は、c,τのビット列表現値のビット結合値である。証拠情報(s,ρ)の例は、s,ρのビット列表現値のビット結合値である。また、非対話零知識証明の二項関係Bを以下のように定義する。
B(x,w)={((c,τ),(s,ρ)):((c,*)=Encaps(pp,pk;s)∧(τ=Enc(pp,ek,s;ρ)))}
ここで「*」はワイルドカードを表す(ステップS124)。出力部124は、暗号文c,τと証明情報πとを含む補助情報aux=(c,τ,π)を出力する(ステップS125)。得られた鍵kは、例えば共通鍵暗号方式に則って暗号化するための共通鍵として用いられる(暗号学的デバイスに上述の原理を適用する以降の実施形態についても同様)。
[検証処置(図2B)]
補助情報aux=(c,τ,π)は、検証装置130の入力部131に入力されて記憶部132に格納される。検証部133aが、共通パラメータcrsNIZKと暗号文c,τと証明情報πとを入力とし、検証者アルゴリズムV(crsNIZK,(c,τ),π)を実行し、証明情報πを用いた暗号文c,τに対する非対話零知識証明検証を行い、その検証結果がyesであるかを判定する(ステップS131)。検証結果がnoであれば、出力部137が⊥を出力し(ステップS135)、処理を終える。検証結果がyesであれば、鍵暗号文生成部133bが、共通パラメータppと公開鍵pkと秘密情報sを用い、アルゴリズムEncaps(pp,pk;s)を実行し、秘密情報sに対応する検証用暗号文c’を得て出力する(ステップS132)。暗号文比較部133cが、暗号文cと検証用暗号文c’とが一致するかを判定する(ステップS133)。これらが一致しないと判定された場合(c≠c’)、出力部137が⊥を出力し(ステップS135)、処理を終える。暗号文cと検証用暗号文c’とが一致すると判定された場合(c=c’)、鍵制御部136が、共通パラメータppと秘密情報sとを用い、アルゴリズムEncaps(pp;s)を実行し、秘密情報sに対応する鍵k’を得て出力する(ステップS134)。出力部137は、鍵(鍵情報)k’を出力し(ステップS136)、処理を終える。出力された鍵k’は、例えば共通鍵暗号方式に則って復号するための共通鍵として用いられる(暗号学的デバイスに上述の原理を適用する以降の実施形態についても同様)。
<第2実施形態>
第2実施形態を説明する。本形態は、公開鍵型暗号学的デバイス(Setup,Gen,C,X,Y,K,Ω)に上述の原理を適用したものである。本形態の安全性強化装置は、非対話零知識証明(NIZK=(G,P,V))を用いて補助情報を生成する。この補助情報は、秘密情報に対応する公開鍵と、秘密情報に対応する第1暗号文と、秘密情報と乱数とに対応する第2暗号文と、秘密情報と乱数とを証拠情報として第1暗号文と第2暗号文とに対する非対話零知識証明を行うための証明情報とを含む。本形態の検証装置は、補助情報が含む証明情報を用いて第1暗号文と第2暗号文とに対する非対話零知識証明検証を行い、秘密情報に対応する検証用暗号文と第1暗号文とが一致するかを判定し、さらに秘密情報に対応する検証用公開鍵と公開鍵とが一致するかを判定する。以降、これまで説明したものと共通する事項については、同じ参照番号を用いて説明を省略する。
[構成]
図1に例示するように、本形態の安全性強化システム2は、設定装置210と安全性強化装置220と検証装置230とを有する。設定装置210と安全性強化装置220と検証装置230とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置210と安全性強化装置220と検証装置230は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
安全性強化装置220は、例えば、暗号化や署名を行う際に用いる鍵を得る鍵生成装置またはその一部である(公開鍵型暗号学的デバイスに上述の原理を適用する以降の実施形態の安全性強化装置についても同様)。安全性強化装置220は、入力部121と記憶部122と補助情報生成部223と出力部224とを有する。補助情報生成部223は、乱数生成部123aと鍵・鍵暗号文生成部223bと暗号化部123cと証明生成部123dと鍵ペア生成部223eとを有する。安全性強化装置220は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部122に格納され、必要に応じて各部に読み込まれる。
検証装置230は、例えば、暗号文の復号や署名検証を行う際に用いる鍵を得る生成装置である(公開鍵型暗号学的デバイスに上述の原理を適用する以降の実施形態の検証装置についても同様)。検証装置230は、入力部131と記憶部132と判定部233と鍵制御部236と出力部237とを有する。判定部233は、検証部133aと鍵暗号文生成部133bと暗号文比較部133cと公開鍵比較部233dを有する。検証装置230は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
本形態の設定装置210のセットアップ処理で生成される共通パラメータppは、公開鍵型暗号学的デバイス、鍵カプセル化方式、および公開鍵暗号方式に共通するものである。その他のセットアップ処理の内容は第1実施形態の設定装置110と同じである。設定装置210は、生成した共通パラメータcrs=(pp,pk,ek,crsNIZK)および秘密情報s∈Sを出力する。これらはそれぞれ、安全性強化装置220および検証装置230の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理(図3A)]
安全性強化装置220の乱数生成部123aが第1実施形態で説明したステップS121の処理を実行した後、鍵・暗号文生成装置223bが第1実施形態で説明したステップS122の処理を「k」を「r」に置換して実行し(ステップS222)、その後、暗号化部123cおよび証明生成部123dが第1実施形態で説明したステップS123およびS124の処理を実行する。次に安全性強化装置220の鍵ペア生成部223eが、共通パラメータppと秘密情報sを入力とし、鍵生成アルゴリズムkey−extract(pp,s)を実行し、公開鍵pと秘密鍵k(鍵情報)との鍵ペア(p,k)を得て出力する。ただし、key−extract(pp,s)は、共通パラメータppと秘密情報sを入力とし、鍵カプセル化方式のアルゴリズムEncaps(pp;s)を実行して鍵rを得、公開鍵型暗号学的デバイスの鍵生成アルゴリズムGen(pp;r)を実行して、秘密鍵k∈Kと公開鍵pを得て出力するアルゴリズムである。ただし、鍵rを新たに得るのではなく、ステップS222で得られた鍵rがkey−extract(pp,s)で流用されてもよい(ステップS224)。出力部224は、公開鍵pと暗号文c,τと証明情報πとを含む補助情報aux=(p,c,τ,π)を出力する(ステップS225)。得られた秘密鍵kは、例えば公開鍵暗号方式に則って暗号化するために用いられる(公開鍵型暗号学的デバイスに上述の原理を適用する以降の実施形態についても同様)。
[検証処置(図3B)]
補助情報aux=(p,c,τ,π)は、検証装置230の入力部131に入力されて記憶部132に格納される。その後、ステップS131〜S133,S135の処理が第1実施形態で説明した通りに実行される。ステップS133で暗号文cと検証用暗号文c’とが一致すると判定された場合(c=c’)、公開鍵比較部233dが、共通パラメータppと秘密情報sを入力とし、鍵生成アルゴリズムkey−extract(pp,s)を実行し、秘密情報に対応する検証用公開鍵p’と秘密鍵k’との鍵ペア(p’,k’)を得る(ステップS233)。さらに公開鍵比較部233dは、検証用公開鍵p’と公開鍵pとが一致するかを判定する(ステップS234)。これらが一致しないと判定された場合(p≠p’)、出力部237が⊥を出力し(ステップS135)、処理を終える。一方、検証用公開鍵p’と公開鍵pとが一致すると判定された場合(p=p’)、鍵制御部236が、秘密鍵k’を出力部237に送り、出力部237は秘密鍵k’(鍵情報)を出力し(ステップS236)、処理を終える。出力された秘密鍵k’は、例えば公開鍵暗号方式に則って復号するためや署名生成に用いられる(公開鍵型暗号学的デバイスに上述の原理を適用する以降の実施形態についても同様)。
<第3実施形態>
第3実施形態を説明する。本形態は、暗号学的デバイス(Setup,Gen,C,X,Y,K)として、K=Gとし、双線形写像を用いたものに上述の原理を適用したものである。本形態では、h、z、VおよびWが群Gの元、gが群Gの生成元、Hが衝突困難性を持つ写像、e:G →Gが双線形写像であり、秘密情報が乱数σに対するs=hσ∈Gであり、鍵情報がe(z,s)∈Gを含み、補助情報がX=gσ∈GとT=(V・WH(X)σ∈Gとを含む。本形態の検証装置は、e(g,T)∈Gとe(X,V・WH(X))∈Gとが一致するかを判定し、e(g,s)∈Gとe(X,h)∈Gとが一致するかを判定する。
[構成]
図3に例示するように、本形態の安全性強化システム3は、設定装置310と安全性強化装置320と検証装置330とを有する。設定装置310と安全性強化装置320と検証装置330とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置310と安全性強化装置320と検証装置330は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
安全性強化装置320は、入力部121と記憶部122と乱数生成部323と秘密情報生成部324と鍵生成部325と補助情報生成部326と出力部327とを有する。補助情報生成部326は、群演算部326a,326bを有する。安全性強化装置320は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部122に格納され、必要に応じて各部に読み込まれる。
検証装置330は、入力部131と記憶部132と判定部333と鍵制御部336と出力部337とを有する。判定部333は、比較部333a,333bを有する。検証装置330は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
設定装置310は、セキュリティパラメータ(1κ)を入力としてセットアップアルゴリズムSetup(1κ)を実行し、共通パラメータppとして、G,G,q,e,gと衝突困難性を持つ写像H:G→Zとを得、pp=(G,G,q,e,g,H)とする。写像Hの例は、SHA−1等の暗号学的なハッシュ関数などである。また設定装置310は、群Gの元h,z,V,W∈Gをランダムに選び、crs=(pp,h,z,V,W)を出力する。共通パラメータcrsは、それぞれ、安全性強化装置320および検証装置330の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理(図5A)]
安全性強化装置320の乱数生成部323は、ppを入力として乱数σ∈Zを選択して出力する(ステップS321)。秘密情報生成部324は、pp,σを入力とし、乱数σに対する秘密情報s=hσ∈Gを得て出力する(ステップS322)。鍵生成部325は、pp,z,sを入力とし、秘密の鍵(鍵情報)k=e(z,s)∈Gを生成して出力する(ステップS323)。群演算部326aは、pp,σを入力としてX=gσ∈Gを得て出力する(ステップS324)。群演算部326bは、pp,X,σを入力としてT=(V・WH(X)σ∈Gを得て出力する(ステップS325)。出力部327は、XとTとを含む補助情報aux=(X,T)と秘密情報sを出力する(ステップS326)。
[検証処置(図5B)]
補助情報aux=(X,T)と秘密情報sは、検証装置330の入力部131に入力されて記憶部132に格納される。比較部333aは、pp,auxを入力とし、e(g,T)∈Gとe(X,V・WH(X))∈Gとが一致するかを判定する(ステップS331)。これらが一致しないと判定された場合(e(g,T)≠e(X,V・WH(X)))、出力部337が⊥を出力し(ステップS135)、処理を終える。e(g,T)とe(X,V・WH(X))とが一致すると判定された場合(e(g,T)=e(X,V・WH(X)))、比較部333aは、pp,sを入力とし、e(g,s)∈Gとe(X,h)∈Gとが一致するかを判定する(ステップS332)。これらが一致しないと判定された場合(e(g,s)≠e(X,h))、出力部337が⊥を出力し(ステップS135)、処理を終える。e(g,s)とe(X,h)とが一致すると判定された場合(e(g,s)=e(X,h))、鍵制御部336がpp,z,sを入力とし、秘密の鍵(鍵情報)k’=e(z,s)∈Gを生成し(ステップS334)、出力部337が鍵kを出力する(ステップS336)。
<第4実施形態>
第4実施形態を説明する。本形態は、公開鍵型暗号学的デバイス(Setup,Gen,C,X,Y,K,Ω)として、K=Gとし、双線形写像を用いたものに上述の原理を適用したものである。本形態では、h、z、VおよびWが群Gの元、gが群Gの生成元、Hが衝突困難性を持つ写像、e:G →Gが双線形写像であり、秘密情報が乱数σに対するs=hσ∈Gであり、鍵情報がe(z,s)∈Gを含み、補助情報が秘密情報sに対応する公開鍵とX=gσ∈GとT=(V・WH(X)σ∈Gとを含む。本形態の検証装置は、e(g,T)∈Gとe(X,V・WH(X))∈Gとが一致するかを判定し、e(g,s)∈Gとe(X,h)∈Gとが一致するかを判定し、さらに秘密情報に対応する検証用公開鍵と公開鍵とが一致するかを判定する。
[構成]
図4に例示するように、本形態の安全性強化システム4は、設定装置410と安全性強化装置420と検証装置430とを有する。設定装置410と安全性強化装置420と検証装置430とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置410と安全性強化装置420と検証装置430は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
安全性強化装置420は、入力部121と記憶部122と乱数生成部323と秘密情報生成部324と補助情報生成部426と出力部427とを有する。補助情報生成部426は、鍵生成部426cと群演算部326a,326bとを有する。安全性強化装置420は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部122に格納され、必要に応じて各部に読み込まれる。
検証装置430は、入力部131と記憶部132と判定部433と鍵制御部436と出力部437とを有する。判定部433は、比較部333a,333bと公開鍵比較部433cとを有する。検証装置430は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
本形態の設定装置410は、第3実施形態の共通パラメータppに加え、さらに公開鍵型暗号学的デバイスの共通パラメータを生成し、それらを共通パラメータppとして、共通パラメータcrs=(pp,h,V,W)を得る。その他のセットアップ処理の内容は第3実施形態の設定装置310と同じである。設定装置410はcrs=(pp,h,V,W)を出力し、共通パラメータcrsは、それぞれ、安全性強化装置420および検証装置430の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理(図6A)]
安全性強化装置420の乱数生成部323および秘密情報生成部324が、第3実施形態で説明したステップS321およびS322の処理を実行する。鍵生成部426cが、共通パラメータppと秘密情報sを入力とし、鍵生成アルゴリズムkey−extract(pp,s)を実行し、秘密情報sに対応する公開鍵pと秘密鍵k(鍵情報)との鍵ペア(p,k)を得て出力する(ステップS423)。その後、第3実施形態で説明したステップS324およびS325と同じ処理が実行され、出力部427は、pとXとTとを含む補助情報aux=(p,X,T)と秘密情報sを出力する(ステップS426)。
[検証処置(図6B)]
補助情報aux=(p,X,T)と秘密情報sは、検証装置430の入力部131に入力されて記憶部132に格納される。その後、ステップS331,332,S135の処理が、第3実施形態で説明した通りに実行される。ステップS332でe(g,s)とe(X,h)とが一致すると判定された場合(e(g,s)=e(X,h))、公開鍵比較部433cが、共通パラメータppと秘密情報sを入力とし、鍵生成アルゴリズムkey−extract(pp,s)を実行し、秘密情報sに対応する検証用公開鍵p’と秘密鍵k’(鍵情報)との鍵ペア(p’,k’)を得る。公開鍵比較部433cは、検証用公開鍵p’と公開鍵pとが一致するかを判定する(ステップS434)。検証用公開鍵p’と公開鍵pとが一致しないと判定された場合(p≠p’)、出力部437が⊥を出力し(ステップS135)、処理を終える。検証用公開鍵p’と公開鍵pとが一致すると判定された場合(p=p’)、鍵制御部436が、秘密鍵k’を出力部437に送り、出力部437が秘密鍵k’(鍵情報)を出力し(ステップS436)、処理を終える。
<第5実施形態>
第5実施形態を説明する。本形態でも、双線形写像を用いた公開鍵型暗号学的デバイス(Setup,Gen,C,X,Y,K,Ω)に上述の原理を適用する。ただし本形態では、補助情報auxの一部であるX=gσ∈Gを公開鍵pとして流用する。すなわち、本形態の公開鍵pは補助情報auxの一部であるX=gσを含み、これに対応する秘密鍵k(鍵情報)は秘密情報s=hσ∈Gを含む。これにより、補助情報auxのサイズを第4実施形態よりも小さくできる。
[構成]
図7に例示するように、本形態の安全性強化システム5は、設定装置510と安全性強化装置520と検証装置530とを有する。設定装置510と安全性強化装置520と検証装置530とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置510と安全性強化装置520と検証装置530は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
安全性強化装置520は、入力部121と記憶部122と乱数生成部323と秘密情報生成部324と補助情報生成部526と出力部527とを有する。補助情報生成部526は、群演算部326a,326bを有する。安全性強化装置520は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部122に格納され、必要に応じて各部に読み込まれる。
検証装置530は、入力部131と記憶部132と判定部333と鍵制御部536と出力部537とを有する。検証装置530は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
本形態の設定装置510は、第3実施形態と同じ共通パラメータpp=(G,G,q,e,g,H)を生成し、共通パラメータcrs=(pp,h,V,W)を得る。設定装置510はcrs=(pp,h,V,W)を出力する。crsは、それぞれ、安全性強化装置520および検証装置530の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理(図8A)]
安全性強化装置520の乱数生成部323および秘密情報生成部324が、第3実施形態で説明したステップS321およびS322の処理を実行する。ただし、ステップS322で得られた秘密情報sは秘密鍵(鍵情報)として機能する。その後、補助情報生成部526の群演算部326aおよび326bが、第3実施形態で説明したステップS324およびS325の処理を実行し、X=gσ∈GとT=(V・WH(X)σ∈Gを得て出力する。ただし、出力部524は、XとTとを含む補助情報aux=(X,T)と秘密情報sを出力する。ただし、Xは補助情報として用いられるだけではなく、さらに暗号化処理等に公開鍵として用いられる(ステップS326)。
[検証処置(図8B)]
補助情報aux=(X,T)と秘密情報sと暗号化対象のメッセージxが、検証装置530の入力部131に入力されて記憶部132に格納される。その後、ステップS331,332,S135の処理が、第3実施形態で説明した通りに実行される。ステップS332でe(g,s)とe(X,h)とが一致すると判定された場合(e(g,s)=e(X,h))、鍵制御部536が、秘密情報sを秘密鍵k’とし、メッセージxに対する暗号文CPP(s,x)(鍵情報から得られる情報)を得(ステップS534)、出力部537が当該暗号文CPP(s,x)を出力し(ステップS536)、処理を終える。なお、ステップS534で暗号文CPP(s,x)を得、ステップS536で当該暗号文CPP(s,x)を出力する代わりに、ステップS534で秘密情報sを秘密鍵k’とし、ステップS536で秘密鍵k’(鍵情報)を出力してもよい。
<第6実施形態>
第6実施形態を説明する。本形態でも、双線形写像を用いた公開鍵型暗号学的デバイス(Setup,Gen,C,X,Y,K,Ω)に上述の原理を適用する。ただし本形態では、公開鍵型暗号学的デバイスとしてWaters IDベース暗号を用い、さらに補助情報auxであるX=gσ∈GおよびT=(V・WH(X)σ∈Gをマスター公開鍵mpkとして流用し、秘密情報s=hσ∈Gをマスター秘密鍵(鍵情報)mskとして用いる。これにより、補助情報auxのサイズを第4実施形態よりも小さくできる。
[構成]
図7に例示するように、本形態の安全性強化システム6は、設定装置610と安全性強化装置520と検証装置630とを有する。検証装置630は、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置610と安全性強化装置520と検証装置630は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
検証装置630は、入力部131と記憶部132と判定部333と鍵制御部636と出力部637とを有する。検証装置630は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
本形態の設定装置610は、第3実施形態と同じ共通パラメータpp=(G,G,q,e,g,H)を生成し、さらに群GからランダムにY,Y,...,Y∈Gを選択し、共通パラメータcrs=(pp,h,V,W,Y,Y,...,Y)を得る。ただし、nは正整数である。設定装置610はcrs=(pp,h,V,W,Y,...,Y)を出力し、crsは、それぞれ、安全性強化装置620および検証装置630の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理]
本形態の安全性強化処理は第5実施形態と同じである。ただし、X=gσおよびT=(V・WH(X)σがマスター公開鍵mpkとして機能し、秘密情報s=hσをマスター秘密鍵(鍵情報)mskとして機能する。マスター公開鍵mpkはID=(ID,...,ID)∈{0,1}に対応する公開鍵の生成に用いられ、マスター秘密鍵mskはIDに対応する秘密鍵の生成に用いられる。
[検証処置(図9)]
補助情報aux=(X,T)と秘密情報sとIDとが、検証装置530の入力部131に入力されて記憶部132に格納される。その後、ステップS331,332,S135の処理が、第3実施形態で説明した通りに実行される。ステップS332でe(g,s)とe(X,h)とが一致すると判定された場合(e(g,s)=e(X,h))、鍵制御部636が、共通パラメータppとマスター秘密鍵(鍵情報)msk=sとIDとを入力とし、乱数d∈Zを生成し、ID=(ID,...,ID)∈{0,1}に対応する秘密鍵k’=dkID(鍵情報から得られる情報)を以下のように生成する。
k’=dkID=(g,s・(WatH(ID)))∈G
ただし、WatH(ID)を
Figure 0005871827

とする(ステップS634)。出力部637は秘密鍵k’を出力し(ステップS636)、処理を終える。
<第7実施形態>
第7実施形態を説明する。本形態でも、双線形写像を用いた公開鍵型暗号学的デバイス(Setup,Gen,C,X,Y,K,Ω)に上述の原理を適用する。ただし本形態では、公開鍵型暗号学的デバイスとしてBoyen−Mei−Waters鍵カプセル化方式の変種を用いる。本形態の補助情報はX=gσとT=(V・WH(X)σに加えてR=hρとT=(v・wH(R)ρとを含む。ただし、v、wが群Gの元であり、ρが乱数である。形態の検証装置は、e(g,T)とe(X,V・WH(X))とが一致するかを判定し、e(g,s)とe(X,h)とが一致するかを判定し、さらにe(g,T)とe(R,v・wH(R))とが一致するかを判定する。
[構成]
図7に例示するように、本形態の安全性強化システム7は、設定装置710と安全性強化装置720と検証装置730とを有する。設定装置710と安全性強化装置720と検証装置730とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置710と安全性強化装置720と検証装置730は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
安全性強化装置720は、入力部121と記憶部122と乱数生成部323と秘密情報生成部324と補助情報生成部726と鍵生成部725と出力部727とを有する。補助情報生成部726は、群演算部326a,326b,726d,726eと乱数生成部726cを有する。安全性強化装置720は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部122に格納され、必要に応じて各部に読み込まれる。
検証装置530は、入力部131と記憶部132と判定部733と鍵制御部736と出力部737とを有する。判定部733は、比較部333a,333b,733cを有する。検証装置730は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み込まれる。
[セットアップ処理]
本形態の設定装置710は、第3実施形態と同じ共通パラメータpp=(G,G,q,e,g,H)を生成し、第3実施形態と同じpp,h,V,Wに加え、さらにランダムに元v,w∈Gを選択し、共通パラメータcrs=(pp,h,V,W, v, w)を得る。共通パラメータcrsは、それぞれ、安全性強化装置720および検証装置730の入力部121および131に入力され、記憶部122および132に格納される。
[安全性強化処理(図10A)]
安全性強化装置720の乱数生成部323および秘密情報生成部324が、第3実施形態で説明したステップS321およびS322の処理を実行し、群演算部326a,326bが、第3実施形態で説明したステップS324およびS325の処理を実行する。次に、乱数生成部726cが、ppを入力として第2乱数ρ∈Zを選択して出力する(ステップS721)。群演算部726dは、pp,ρを入力とし、乱数ρに対するR=gρ∈Gを得て出力する(ステップS722)。群演算部726eは、pp,v,w,R,ρを入力とし、T=(v・wH(R)ρ∈Gを得て出力する(ステップS723)。鍵生成部725は、pp,X,h,ρを入力とし、鍵(鍵情報)k=e(X,h)ρ∈Gを得て出力する。出力部727は、XとTとRとTとを含む補助情報aux=(X,T,R,T)を暗号文とし、当該補助情報auxと鍵kと秘密情報sとを出力する(ステップS726)。
[検証処置(図10B)]
補助情報aux=(X,T,R,T)と鍵kと秘密情報sは、検証装置730の入力部131に入力されて記憶部132に格納される。その後、ステップS331,332,S135の処理が、第3実施形態で説明した通りに実行される。ステップS332でe(g,s)とe(X,h)とが一致すると判定された場合(e(g,s)=e(X,h))、比較部733cが、e(g,T)∈Gとe(R,v・wH(R))∈Gとが一致するかを判定する(ステップS733)。これらが一致しないと判定された場合(e(g,T)≠e(R,v・wH(R)))、出力部737が⊥を出力し(ステップS135)、処理を終える。e(g,T)とe(R,v・wH(R))とが一致すると判定された場合(e(g,T)=e(R,v・wH(R)))、鍵制御部736が、pp,R,sを入力とし、鍵(鍵情報)k’=e(R,s)∈Gを得て出力し、出力部737が鍵k’を出力する。
<その他の変形例等>
なお、本発明は上述の実施形態に限定されるものではない。例えば、安全性強化装置や検証装置が複数個存在してもよい。また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。
上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。
1〜7 安全性強化システム
110〜710 設定装置
120〜720 安全性強化装置
130〜730 検証装置

Claims (10)

  1. 秘密の鍵情報に対応する秘密情報を格納する記憶部と前記秘密情報に対して特定の対応関係を持つ補助情報を得て出力する補助情報生成部と、を含む安全性強化装置と、
    入力された前記補助情報が前記秘密情報に対して前記特定の対応関係を持つかを判定する判定部と、前記補助情報が前記秘密情報に対して前記対応関係を持つ場合に前記秘密情報に対応する秘密の鍵情報または前記鍵情報から得られる情報を得、前記補助情報が前記秘密情報に対して前記対応関係を持たない場合に拒絶を表す情報を出力する鍵制御部と、を含む検証装置と、を有し、
    前記秘密情報と異なる関連秘密情報に対して前記対応関係を持つ関連補助情報を前記補助情報から特定することが困難である、
    ことを特徴とする安全性強化システム
  2. 請求項1の安全性強化システムであって、
    前記補助情報が、前記秘密情報に対応する第1暗号文と、前記秘密情報と乱数とに対応する第2暗号文と、前記秘密情報と前記乱数とを証拠情報として前記第1暗号文と前記第2暗号文とに対する非対話零知識証明を行うための証明情報と、を含
    前記判定部が、
    前記証明情報を用いて前記第1暗号文と前記第2暗号文とに対する非対話零知識証明検証を行う検証部と、
    前記秘密情報に対応する検証用暗号文と前記第1暗号文とが一致するかを判定する暗号文比較部と、を含む、
    ことを特徴とする安全性強化システム
  3. 請求項1の安全性強化システムであって、
    h、z、VおよびWが群Gの元、gが前記群Gの生成元、Hが衝突困難性を持つ写像、eが双線形写像であり、
    前記秘密情報が、乱数σに対するs=hσであり、
    前記鍵情報が、e(z,s)を含み、
    前記補助情報が、X=gσとT=(V・WH(X)σとを含
    前記判定部が、
    e(g,T )とe(X,V・W H(X) )とが一致するかを判定する第1比較部と、
    e(g,s)とe(X,h)とが一致するかを判定する第2比較部と、を含む、ことを特徴とする安全性強化システム
  4. 請求項2または3の安全性強化システムであって、
    前記補助情報が、さらに、前記秘密情報に対応する公開鍵を含
    前記判定部が、さらに、前記秘密情報に対応する検証用公開鍵と前記公開鍵とが一致するかを判定する公開鍵比較部を含む、
    ことを特徴とする安全性強化システム
  5. 請求項1の安全性強化システムであって、
    h、VおよびWが群Gの元、gが前記群Gの生成元、Hが衝突困難性を持つ写像、eが双線形写像であり、
    前記秘密情報が、乱数σに対するs=hσであり、
    前記鍵情報が、sを含み、
    前記補助情報が、X=gσとT=(V・WH(X)σとを含
    前記判定部が、
    e(g,T )とe(X,V・W H(X) )とが一致するかを判定する第1比較部と、
    e(g,s)とe(X,h)とが一致するかを判定する第2比較部と、を含む、ことを特徴とする安全性強化システム
  6. 請求項5の安全性強化システムであって、
    v、w、RおよびTが前記群Gの元であり、
    前記補助情報が、さらに、第2乱数ρに対するR=hρとT=(v・wH(R)ρとを含
    前記判定部が、e(g,T)とe(R,v・w H(R) )とが一致するかを判定する第3比較部を含む、
    ことを特徴とする安全性強化システム
  7. 請求項1から6の何れかの安全性強化システムにおける安全性強化装置。
  8. 請求項1から6の何れかの安全性強化システムにおける検証装置。
  9. 請求項の安全性強化装置としてコンピュータを機能させるためのプログラム。
  10. 請求項の検証装置としてコンピュータを機能させるためのプログラム。
JP2013003706A 2013-01-11 2013-01-11 安全性強化システム、安全性強化装置、検証装置、およびプログラム Active JP5871827B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013003706A JP5871827B2 (ja) 2013-01-11 2013-01-11 安全性強化システム、安全性強化装置、検証装置、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013003706A JP5871827B2 (ja) 2013-01-11 2013-01-11 安全性強化システム、安全性強化装置、検証装置、およびプログラム

Publications (2)

Publication Number Publication Date
JP2014135687A JP2014135687A (ja) 2014-07-24
JP5871827B2 true JP5871827B2 (ja) 2016-03-01

Family

ID=51413659

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013003706A Active JP5871827B2 (ja) 2013-01-11 2013-01-11 安全性強化システム、安全性強化装置、検証装置、およびプログラム

Country Status (1)

Country Link
JP (1) JP5871827B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6267657B2 (ja) * 2015-01-07 2018-01-24 日本電信電話株式会社 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4961909B2 (ja) * 2006-09-01 2012-06-27 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP5682527B2 (ja) * 2011-03-28 2015-03-11 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム

Also Published As

Publication number Publication date
JP2014135687A (ja) 2014-07-24

Similar Documents

Publication Publication Date Title
Coron et al. Fully homomorphic encryption over the integers with shorter public keys
Abusukhon et al. A hybrid network security algorithm based on Diffie Hellman and Text-to-Image Encryption algorithm
JP4786531B2 (ja) 暗号システム、暗号装置、復号装置、プログラムおよび集積回路
US20140233731A1 (en) Device and Method for Generating Keys with Enhanced Security for Fully Homomorphic Encryption Algorithm
CN105933101B (zh) 一种基于参数高次偏移的全同态加密公钥压缩方法
TWI511517B (zh) Information processing apparatus, information processing method, program and recording medium
JP4620669B2 (ja) 署名生成装置、署名検証装置、それらの方法、および集積回路
JP5730805B2 (ja) 格子問題に基づく階層型内積暗号システム,格子問題に基づく階層型内積暗号方法,装置
JP5871827B2 (ja) 安全性強化システム、安全性強化装置、検証装置、およびプログラム
JPWO2006114948A1 (ja) 署名生成装置および署名検証装置
JP5300373B2 (ja) 代数的トーラスを用いたデータ圧縮処理を行う装置およびプログラム
JP5314449B2 (ja) 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム
JP2017038336A (ja) 復号方法
CN112733176B (zh) 基于全域哈希的标识密码加密方法
Easttom More approaches to quantum-resistant cryptography
JP6267657B2 (ja) 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム
Harjito et al. Comparative Analysis between Elgamal and NTRU Algorithms and their implementation of Digital Signature for Electronic Certificate
Biryukov et al. PURED: A unified framework for resource-hard functions
WO2017203743A1 (ja) 暗号化装置、復号装置及び暗号システム
CN118764170B (zh) 数据处理方法、系统、设备、存储介质和程序产品
JP5931797B2 (ja) 署名システム及び方法、署名生成装置並びに署名検証装置
Orsini et al. Bootstrapping BGV ciphertexts with a wider choice of p and q
JP5871826B2 (ja) 認証子生成装置、検証装置、およびプログラム
JP2015213233A (ja) 鍵生成装置、再暗号化装置、およびプログラム
JP6087849B2 (ja) 代理署名装置、署名検証装置、鍵生成装置、代理署名システム、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160112

R150 Certificate of patent or registration of utility model

Ref document number: 5871827

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350