二機能付きIDベース暗号化方法及び暗号システム
【課題】
プロキシが代理復号機能及び代理再暗号機能を行うことが可能ID ベース二機能付きプロキシ暗号システムであって、代理人権限の解除可能なシステムを提供すること。
【解決手段】
双線形写像と複雑性の仮定を適用してシステムで共有されるパラメータを求め、このシステム共有パラメータを変数とする設定(setup)アルゴリズム、元の復号鍵の生成(KeyGen)アルゴリズム、代理復号鍵の生成(ProxyDecKeyGen)アルゴリズム、代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズム、暗号化(Enc)アルゴリズム、再暗号化(REnc)アルゴリズム、復号化アルゴリズム(DecID, Decjob,
RDecID’)を具備し、復号者端末からプロキシ端末に送信されるデータに係るパラメータが乱数の変更を可能とすることを特徴とする。
プロキシが代理復号機能及び代理再暗号機能を行うことが可能ID ベース二機能付きプロキシ暗号システムであって、代理人権限の解除可能なシステムを提供すること。
【解決手段】
双線形写像と複雑性の仮定を適用してシステムで共有されるパラメータを求め、このシステム共有パラメータを変数とする設定(setup)アルゴリズム、元の復号鍵の生成(KeyGen)アルゴリズム、代理復号鍵の生成(ProxyDecKeyGen)アルゴリズム、代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズム、暗号化(Enc)アルゴリズム、再暗号化(REnc)アルゴリズム、復号化アルゴリズム(DecID, Decjob,
RDecID’)を具備し、復号者端末からプロキシ端末に送信されるデータに係るパラメータが乱数の変更を可能とすることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、たとえば暗号化方法及び暗号システムに係り、特に二機能付きIDベース暗号化方法及び暗号システムに関する。
【背景技術】
【0002】
1996年、満保雅浩氏と岡本栄司氏が代理署名方式を提案して以来、元の復号者の仕事を減らすためのプロキシ暗号システムも提案されてきた。具体的には、プロキシの役割によって下記の2種類のプロキシ暗号システムが研究されてきた。
(1)代理復号システム:1年後、満保雅浩氏と岡本栄司氏は、暗号文を復号する権限を委任するものとしての代理暗号システムを発明した。
(2)代理再暗号システム:1998年、ブレーズ(Blaze)氏らは、原子代理暗号文を導入した。これは原子プロキシ機能が1つの鍵による暗号文を他の鍵による暗号文へと変換するものである。
【0003】
プロキシ暗号システムは、元の復号者が大量の復号機能を処理する必要がある場合に有効である。プロキシは上記作業の1つを行うよう委任されるものであり、本発明者はこれらを単機能プロキシ暗号システムと名付ける。しかし、実社会において、プロキシは2つまたはそれ以上の役割を行うよう要求されることがある。この場合、プロキシはこれらの任務を果たすために1つ以上のプロキシ暗号システムを使用しなければならない。したがって、プロキシが複数の権限を委任される多機能プロキシ暗号システムが望ましいのである。だが残念ながら、本発明者が知る限りでは、現状で存在するプロキシ暗号システム(例えば非特許文献1、同4〜7、同9)は単機能のものである。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】M.ブレイズ、G.ブリューマーおよびM.シュトラウス「方向転換可能なプロトコルおよび原子プロキシ暗号法」暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 1998、LNCS 1403、127−144ページ、スプリンガー・フェアラーク、ベルリン、1998年
【0005】
【非特許文献2】D.ボネー およびX.ボイエン 「ランダムオラクルを持たない高安全性識別子ベース暗号」 暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 2004、LNCS 3152、443−459ページ、スプリンガー・フェアラーク、ベルリン、2001年
【0006】
【非特許文献3】D.ボネー およびM.フランクリン 「Weilペアリングからの識別子ベース暗号」暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 2001、LNCS 2139、213−229ページ、スプリンガー・フェアラーク、ベルリン、2001年
【0007】
【非特許文献4】満保雅浩、臼田啓介および岡本栄司 「署名機能の委任のためのプロキシ署名」 コンピュータ及び通信セキュリティに関するACM会議 1996、48−57ページ、1996年
【0008】
【非特許文献5】満保雅浩、および岡本栄司「プロキシ暗号システム:暗号文復号権限の委任」IEICE訳、基本原理集、E80−A版 No.1、54−63ページ、1997年
【0009】
【非特許文献6】松尾俊彦「識別子ベースの暗号に関するプロキシ再暗号システム」ペアリングベースの暗号学―ペアリング2007、LNCS 4575 247−267ページ、スプリンガー・フェアラーク、ベルリン、2007年
【0010】
【非特許文献7】Y.ムー、V.ヴァラドハラジャン およびK.Q.ヌグーェン「復号化の委任」 IMA−クリプト(暗号)およびコーティング(符号)‘99、LNCS 1746 258−269ページ、スプリンガー・フェアラーク、ベルリン、1999年
【0011】
【非特許文献8】境隆一、大岸聖史および笠原正雄「ペアリングに基づく暗号システム」SCIS2000−C20,2000年
【0012】
【非特許文献9】王立華、J.シャオ(邵俊)、Z.カオ(曹珍富)、満保雅浩および山村明弘「解除可能な復号権限を有する認証ベースのプロキシ暗号システム」暗号学の進歩、「INDOCRYPTO(インドクリプト)」2007、LNCS 4859、297−311ページ、スプリンガー・フェアラーク、ベルリン、2007年
【0013】
【非特許文献10】B.ウォータズ 「ランダムオラクルを持たない効率的識別子ベースの暗号化」暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 2005、LNCS 3494、114−127ページ、スプリンガー・フェアラーク、ベルリン、2005年
【発明の概要】
【発明が解決しようとする課題】
【0014】
本発明では、プロキシが代理復号機能及び代理再暗号機能という複数の機能を行うことが可能な、初めてのIDベース二機能付きプロキシ暗号システム(2−F IBPシステム)を提供することを目的とする。また、本発明は、代理人の代理権限の解除可能性(リボカビリティ)を備えたIDベース二機能付きプロキシ暗号システム(2−F IBPシステム)を提供することを目的とする。
【課題を解決するための手段】
【0015】
本発明者による2−F IBP方式は、先に本発明者によって提案されたリボカビリティ(解除可能性)を有する認証ベースプロキシ暗号システム(CBPdシステム)に記述された技術、及び松尾俊彦氏によって提案されるIDベースプロキシ再暗号方式の考え方をもとに構築される。
【0016】
かかる課題を解決するために、本願の請求項1に係る二機能付きIDベース暗号化方法は、第1の復号者端末、第2の復号者端末のそれぞれに関する公開情報である第1復号者端末識別子情報及び第2復号者端末識別子情報が、前記第1の復号者端末からセンターに対して送信されるステップと、前記送信された識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータの関数である秘密鍵情報及び再暗号化鍵情報が前記センターから前記第1の復号者端末に対して送信されるステップと、前記第1の復号者から特定のジョブについて委任される代理者に係るプロキシ端末に対して前記第1の復号者端末から、委任ジョブ情報及び前記秘密鍵情報に基づくプロキシ復号鍵情報と、前記委任ジョブ情報及び前記再暗号化鍵情報に基づくプロキシ再暗号化鍵情報とが送信されるステップと、伝達内容である平文が前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化されて暗号文に変換されるステップと、前記暗号文が送信者端末から前記プロキシ端末に対して送信されるステップと、前記プロキシ端末にて受信された前記暗号文が前記プロキシ再暗号化鍵情報を用いて再暗号化され、この再暗号化文が前記プロキシ端末から前記第2の復号者端末に対して送信されるステップ、もしくは代替的に、前記プロキシ端末にて受信された暗号文が前記プロキシ復号鍵情報を用いて前記平文に復号化されるステップと、前記再暗号化文が前記第2の復号者端末にて受信された場合には、該受信された再暗号化文が前記第2復号者端末識別子情報を用いて得られる鍵情報を用いて前記平文に復号化されるステップとを具備し、前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記第1の復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする。
【0017】
第1の復号者とは元の復号者(以下、「元復号者」ともいう。)(装置)、第2の復号者とは元の復号者から最も信頼を受けて、代理人であるプロキシですら読めない文書を復号化する権限を持つもの(以下、「元復号者信頼先(者)」ともいう。)(装置)をいう。
【0018】
センターとは、代理権限等の認証を行い得る機能を有する暗号化の中央センター(装置)をいう。
【0019】
プロキシ(代理者、代理人)とは、指定された特定のジョブに関して元復号者の代理人としての権限、代理復号化権限及び代理再暗号化権限を有したもの(装置)をいう。
【0020】
代理復号化とは、元復号者からの委任に基づき、プロキシが元復号者に代わって、元復号者宛の暗号文の復号化を行うことをいう。このためには、代理鍵を使用する。
【0021】
代理再暗号化とは、元復号者からの委任に基づき、プロキシが元復号者に代わって、元復号者宛の暗号文を元復号者から指定された最信頼者(元復号者信頼先)に対して、再暗号化を施した上で送信することをいうが、この場合、プロキシが該暗号文及び再暗号文を復号化する権限は与えられていない。
【0022】
第1復号者端末識別子情報及び第2復号者端末識別子情報とは、それぞれの端末に固有の識別子を含む情報であればよく、たとえばそれぞれ対応する電子メールアドレスであってもよい。
【0023】
秘密鍵情報とは、第1復号者端末識別子情報(たとえば元復号者の電子メールアドレス)を用いて作成される情報である。第1復号者端末識別子情報は公開情報であるが、秘密鍵情報は非公開情報である。
【0024】
再暗号化鍵情報とは、第1復号者端末識別子情報(たとえば元復号者の電子メールアドレス)及び第2復号者端末識別子情報(たとえば元復号者信頼者の電子メールアドレス)を用いて作成される情報である。作成元情報は公開情報であるが、再暗号化鍵情報は非公開情報である。
【0025】
委任ジョブ情報とは、元復号者がプロキシに対して委任するジョブに係る情報であり、複数のジョブを元復号者が抱えている場合には、各ジョブごとにプロキシを変えることができる。また、元復号者は自身をプロキシとして指定することもできる。
【0026】
プロキシ復号鍵情報とは、元復号者のあるジョブに関する代理人であるプロキシが元復号者に代わって当該ジョブに関する機密文書(暗号化情報)を復号化するための鍵を与える情報であり、委任ジョブ情報及び元復号者(第1復号者)の秘密鍵情報に基づいて数学的に算出される情報である。この算出に当たっては、好適には、識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成する。これにより、楕円曲線上の離散対数の原理による計算量困難性の効果が享受される。
【0027】
プロキシ再暗号化鍵情報とは、元復号者のあるジョブに関する代理人であるプロキシが、元復号者の厚く信頼する者(第2の復号者すなわち元復号者信頼先)に対して、当該ジョブに関する機密文書(暗号化情報)を再暗号化するための鍵を与える情報であり、委任ジョブ情報及び再暗号化鍵情報に基づいて数学的に算出される情報である。この算出に当たっても、好適には、識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成する。
【0028】
「前記プロキシ端末にて受信された前記暗号文が前記プロキシ再暗号化鍵情報を用いて再暗号化され、この再暗号化文が前記プロキシ端末から前記第2の復号者端末に対して送信される…、もしくは代替的に、前記プロキシ端末にて受信された暗号文が前記プロキシ復号鍵情報を用いて前記平文に復号化される」とは、たとえば、暗号文に含まれるパラメータ(もしくは暗号種別情報あるいはフラグ情報)によって復号化もしくは再暗号化が自動的に選択されることをいう。具体的には、ある暗号文が与えられるとき、最高度の機密な情報(たとえば、秘書を含む全従業員に関する人事評定データ、ボーナス支給額データ等)として暗号者(たとえば役員会)から暗号化された情報が送信される場合については、元復号者(たとえば部門長)のプロキシ(たとえば部門長の秘書)でさえ復号化することが好ましくない一方で元復号者の最信任者(たとえば副部門長)と情報共有することが望ましいと仮定する。この場合には、プロキシは復号化する権限を与えられることなく再暗号化のみ行い、当該最信任者に対して送信することが求められる。或いは、中級程度の秘密データ(たとえば部門目標データ)が暗号者(たとえば役員会)から暗号化された情報として元復号者(たとえば部門長)に対して送信される場合については、プロキシ(たとえば部門長の秘書)が元復号者に代わって復号化することが求められると推定できる。上記の構成はこれらの場合等に有効となる。
【0029】
「鍵情報を用いて前記平文に復号化」するとは、第2の復号者(たとえば元復号者信頼者)端末に対して送信された再暗号化文を該第2の復号者が自身の識別情報を基に復号化することをいう。この場合の鍵情報とは、第2復号者端末識別子情報(たとえば元復号者信頼者自身の電子メールアドレス)を用いて数学的に算出される情報をいう。
【0030】
上記構成によれば、これらの暗号化、復号化、再暗号化の鍵となる鍵情報には公開鍵を用いているため、文書(情報)の送信者は容易に暗号化を行うことができる。この際、システム共有パラメータが識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められ、秘密鍵情報及び再暗号化鍵情報がこのシステム共有パラメータを変数とする構成から、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなる。したがって実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0031】
また、代理人であるプロキシ端末は暗号文に含まれるパラメータ(もしくは暗号種別情報あるいはフラグ情報)を読み取ることで、そこに記述されている情報に基づき、復号化もしくは再暗号化がアルゴリズム上自動的に選択される。したがって、情報の種別によって、プロキシに復号化を認めたり、復号化を認めずに転送(再暗号化及び転送)のみを認めたりするという情報ごとの処理ルーチンの種別分けが、自動的になされることになる。つまり、代理復号化機能と代理再暗号化機能という二機能を一つのプロキシが同時に果たせ、かつ、この機能の振り分けを情報種別に応じて自動的に振り分けることが可能となる。したがって、機密情報の復号化、再暗号化について、特にそれぞれの代理機能を個別に果たす場合と比して、利便性が向上するばかりでなく、経営資源の消費削減も図れる。
【0032】
また、プロキシ復号鍵情報及びプロキシ再暗号化鍵情報が含んでいる関数は第1の復号者端末によって設定可能なデータを変数とするために、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができ、リボカビリティを実現できる。したがって、利便性がよいと同時に、機密保持環境の変動(たとえば、今迄信頼していた代理人が急に不良化したため、即座に代理権限をシステム的に剥奪したい場合等)に即時的に対応できる態勢が整えられて安全性の向上が実現される。なぜならば、仮にプロキシの一人が安全上、情報機密上良からぬ行動に出たとしても、上記変数を変更させ、変更後の変数によって作製されるプロキシ復号鍵情報及びプロキシ再暗号化鍵情報を当該問題あるプロキシ相手に送信しないことで、当該プロキシの代理権限を無効化する。この場合、その他の情報については変動させないことで、代理復号機能及び代理再暗号化機能自体には支障なく維持することができる。さらにこの場合、パラメータとして採用する変数をショートターム(短期間)データとロングターム(長期間)データとに分けるようにし、ショートターム(短期間)データについては日々更新したり時関の関数としたりすることで、リボカビリティの容易な実現が達成される。
【0033】
また、上記課題を解決するために、本願の請求項2に係る暗号システムは、伝達対象である平文を公開鍵を用いて暗号化した暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人であるプロキシ端末において受信され、公開情報である前記元復号者端末に係る識別子情報を用いて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、記憶装置を備え、
セキュリティパラメータ1kが入力されて前記記憶装置に記憶され、該記憶装置から読みだされた前記セキュリティパラメータ1kを用いて認証者のマスター秘密鍵情報msk、前記システムで共有される公開パラメータparamsが双線形ペアリングを適用して算出・出力される設定(setup)アルゴリズムと、
システムパラメータparams、前記設定(setup)アルゴリズムで出力された前記マスター秘密鍵情報msk及び前記元復号者端末に係る識別子情報であるユーザーIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーIDに対応する秘密鍵情報SKIDが算出・出力される元の復号鍵の生成(KeyGen)アルゴリズムと、
代理鍵の分配(ProxyKeyGen)アルゴリズムと、
平文情報m、前記ユーザーID、前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記平文情報mの暗号文情報Cが算出・出力される暗号化(Enc)アルゴリズムと、
前記暗号文情報C、前記ユーザーID及び前記元復号者信頼先端末に係る識別子情報であるユーザーID′が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーID′に係る前記元復号者信頼先端末によって復号可能な前記平文情報mの暗号文情報C′が算出・出力される再暗号化(REnc)アルゴリズムと、
復号化アルゴリズム(DecID, Decjob,
RDecID’)と
をコンピュータに実行させるプログラムを有し、
前記代理鍵の分配(ProxyKeyGen)アルゴリズムは、
前記システムパラメータparams、前記元の復号鍵の生成(KeyGen)アルゴリズムで出力された前記秘密鍵情報SKID、および前記プロキシ端末に委任されるジョブに係る主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記主題情報jobに基づく前記ユーザーIDに係る代理復号鍵が算出・出力される代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムと、
前記システムパラメータparams、前記マスター秘密鍵情報msk、前記元復号者端末に係る識別子情報及び元復号者信頼先端末に係る識別子情報(ID→ID’)が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて代理再暗号鍵情報rKID→ID’が算出・出力される代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムとを備え、
前記復号化アルゴリズム(DecID, Decjob,
RDecID’)は、
前記暗号文情報C及び前記ユーザーIDの元の復号鍵情報SKIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記暗号文情報Cの平文mが算出・出力される元の/基本の復号化アルゴリズムDecIDと、
暗号文情報Cjob、代理鍵情報
、前記ユーザーID及び前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記Cjobの平文mを算出・出力する代理復号化アルゴリズムDecjobと、
前記ユーザーID′用として再暗号化された暗号文情報C’及び前記ユーザーID′の前記元の復号鍵情報SKID’が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いてこれに対応する平文情報mが算出・出力される復号化アルゴリズムRDecID’とを備える。
【0034】
かかる構成によれば、設定(setup)アルゴリズムでは、公開パラメータparamsが双線形ペアリングを適用して算出されるから、楕円曲線上の離散対数の原理から、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0035】
また、元復号者端末からプロキシ端末に送信されるデータに係る乱数dτが変更されることによって、たとえば1日に1度Y(τ)が更新されるため、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、安全性の向上が即時態勢で実現される。すなわち、プロキシであるJobの役割変更、Jobの代理鍵の露呈、Jobの破損などのような場合においては、委任者がJobの代理復号権限を無効化することができることとなり、機密保持程度に変動が生じた場合により柔軟に対応できる高性能の暗号化システムが実現される。
【0036】
また、上記構成において、前記設定(setup)アルゴリズムにおいては、
BDHパラメータ生成元であるIGを前記セキュリティパラメータ1k上で動作させて、素数p,次数pの2つの乗法群G1とG2、及び
とし、
前記元の復号鍵の生成(KeyGen)アルゴリズムにおいては、
前記ユーザーIDに対する復号鍵情報として
を計算し、
前記ユーザーIDに係る前記元復号者端末からd1が前記プロキシ端末に送信され、
として計算され、
乱数dτが変更されることが可能でとし、
前記代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムにおいては、
前記ユーザーIDとしては、
を送り、
前記代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムにおいては、
前記ユーザーIDは再暗号鍵である
を送り、
前記暗号化(Enc)アルゴリズムにおいては、
を送信し、
前記再暗号化(REnc)アルゴリズムにおいては、
を送信し、
前記元の/基本の復号化アルゴリズムDecIDにおいては、
を計算することによって復号化し、
前記代理復号化アルゴリズムDecjobにおいては、
を計算することによって復号化し、
前記復号化アルゴリズムRDecID’ においては、
を計算することによって復号化するようにしてもよい。
【0037】
かかる構成により、素数p ,次数pの2つの乗法群G1とG2、及び双線形写像
として、これらの関数として定義されるから、楕円曲線上の離散対数の原理から、復号化鍵の計算困難性という特徴を有効に享受でき、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0038】
また、元の復号鍵の生成(KeyGen)アルゴリズムにおいて、有限体上の離散対数問題の性質から、gとgαが知られていたとしてもαは実質的に解読が困難であるから、生成される複合鍵SKIDは高セキュリティ性を保持でき、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0039】
また、上記構成により、暗号文においてC=(C1、C2、C3)で指標される場合には、一級情報すなわち元復号者IDしか復号できない情報として判断でき、代理人Jobとしての対応は、暗号文Cをそのまま元復号者IDへ渡す。暗号文においてC=(C1、C2、C3、C4)で指標される場合には、二級情報すなわちプロキシは解読できないが、元復号者IDが指定した元復号者信頼者ID’へ再暗号化できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを再暗号文C’ に代理再暗号化し、元復号者信頼者ID’へ渡す。暗号文においてC=(C1、C2、C3、C4、C5)で指標される場合には、三級情報すなわちプロキシが解読できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを代理復号する。このように、暗号文CにパラメータであるC1、C2、C3、C4、C5のうちの必要要素を適宜含ませることで暗号文Cの情報としての機密の級別を行うことができる。また、情報の受領者側では暗号文Cに含まれるパラメータであるC1、C2、C3、C4、C5の要素の存在状況に応じて情報の機密程度が判断できるから、代理人が復号権限を有するもの、復号権限を有しないもの、復号権限を有しないが再暗号化権限を有するものに種類分けして、それぞれに必要なルーチンを(自動的に)選択してプロキシ装置に必要機能を実行させることができる。
【0040】
また、上記課題を解決するために、本願の請求項4に係る暗号システムは、伝達対象である平文が公開鍵を用いて暗号化された暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人に係るプロキシ端末において受信され、公開情報である前記元復号者に係る識別子情報に基づいて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、
前記センター装置は、ネットワークを介して前記元復号者端末及び元復号者信頼先端末のそれぞれに関する公開情報である元復号者端末識別子情報及び元復号者信頼先端末識別子情報を受信しこれらを記憶装置に記録するための受信部と、前記記憶装置に記録された前記元復号者端末識別子情報及び/もしくは元復号者信頼先端末識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められたパラメータを含む関数としての秘密鍵情報及び再暗号化鍵情報を生成しこれら生成された各情報を前記記憶装置に記録する復号鍵生成部と、前記記録装置から前記秘密鍵情報及び前記再暗号化鍵情報を読みだしネットワークを介して送信する送信部とを具備し、
前記元復号者端末は、ネットワークを介して情報を送受信する元復号側送受信部と、前記元復号側送受信部を介して前記センター装置から受信した前記秘密鍵情報委任ジョブ情報に基づいてプロキシ復号鍵情報を生成し前記再暗号化鍵情報及び前記委任ジョブ情報に基づいてプロキシ再暗号化鍵情報を生成して前記元復号側送受信部を介して前記プロキシ端末に対して送信するプロキシ鍵生成分配部とを具備し、
前記送信者端末は、前記平文を公開情報である前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化する暗号化部と、前記暗号化された暗号文をネットワークを介して前記プロキシ端末に対して送信する送信側送信部とを具備し、
前記プロキシ端末は、ネットワークを介して情報を送受信するプロキシ側送受信部と、前記プロキシ側送受信部により受信された前記暗号文に書き込まれたパラメータ情報に応じて処理ルーチンを判定するルーチン判定部と、前記選択部により再暗号化ルーチンが選択された場合には前記プロキシ再暗号化鍵情報を用いて前記暗号文に対して再暗号化処理し得られた再暗号化文をプロキシ側記録装置に記憶し該再暗号化文をプロキシ側送受信部を介して前記元復号者信頼先端末に対して送信する再暗号化部と、前記選択部により復号化ルーチンが選択された場合には前記暗号文を前記プロキシ復号鍵情報を用いて前記平文に復号化するプロキシ側復号部とを具備し、
前記元復号者信頼先端末は、ネットワークを介して情報を送受信する元復号者信頼先側送受信部と、元復号者信頼先端末に係る識別子情報を用いて復号鍵情報を算出する復号鍵算出部と、前記元復号者信頼先側送受信部を介して前記プロキシ端末から受信した前記再暗号化文を前記復号鍵情報を用いて前記平文に復号化する元復号者信頼先側復号部とを具備し、
前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記元復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする。
【0041】
かかる構成によれば、復号鍵生成部によって生成される秘密鍵情報及び再暗号化鍵情報を初めとして、各アルゴリズムは識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成されるために、楕円曲線上の離散対数の原理による計算量困難性の効果が享受される。したがって、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0042】
また、プロキシ復号鍵情報及びプロキシ再暗号化鍵情報が含んでいる関数は第1の復号者端末によって設定可能なデータを変数とするために、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【発明の効果】
【0043】
本願によれば、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0044】
また、本願によれば、情報の種別によって、プロキシに復号化を認めたり、復号化を認めずに転送(再暗号化及び転送)のみを認めたりすることが、自動的になされる。したがって、機密情報の復号化、再暗号化について、特にそれぞれの代理機能を個別に果たす場合と比して、利便性が向上する。
【0045】
さらに本願によれば、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【図面の簡単な説明】
【0046】
【図1】本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システムを6つのアルゴリズムを備えて構成されるものとして捉えたアルゴリズム構成ブロック図である。
【図2】本発明の概略の動作フローを示したフローチャートである。
【図3】本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システムの構成を示した機能ブロック図である。
【図3A】本発明の一実施形態に係る代理権限について説明するための概念図である。
【図4】本発明の一実施形態に係る元復号者装置10の詳細な構成を示した機能ブロック図である。
【図5】本発明の一実施形態に係るPKG装置20の詳細な構成を示した機能ブロック図である。
【図6】本発明の一実施形態に係るプロキシ装置30の詳細な構成を示した機能ブロック図である。
【図7】本発明の一実施形態に係る送信者装置40の詳細な構成を示した機能ブロック図である。
【図8】本発明の一実施形態に係る元復号者信頼先装置11の詳細な構成を示した機能ブロック図である。
【図9】本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システム1の動作及び情報のやり取りのタイミングを表したタイミング・フローチャートである。
【本願の骨子】
【0047】
<バイリニア・ペアリング(双線形写像)と複雑性の仮定>
本発明者の方式は、サカイ氏ら、およびボネー氏らが独自に暗号システムを構築するのに最初に使用したアドミッシブル・ペアリングに基づいている。超特異楕円曲線に関連付けられる修正ヴェイルペアリングとテートペアリングは、このようなアドミッシブル・ペアリングの一例である。しかし、ここではより一般的なフォーマットでのペアリングと関連数学について述べる。
【0048】
G1とG2を、素数位数pを有する2つの乗法群とし、かつgをG1の生成元とする。以下の3つの条件が満たされれば、G1はG2に対して適格性を有する双線形写像、
を有する。
【0049】
双線形Diffie−Hellman(ディフィー・へルマン)(BDH)パラメータ生成元(非特許文献3):IGがセキュリティパラメータk > 0を取り、1kを変数とする多項式の時間で実行され、同一の素数位数pを持つ2つの乗法群G1とG2についての記述と、アドミッシブル・ペアリング
という記述とを出力するのであれば、任意抽出されたアルゴリズムIGは、BDH変数生成元である。
【0050】
次の3つの問題は、いかなる多項式時間アルゴリズムに対しても解決困難であると推定される。
【0051】
【0052】
決定の双曲線Diffie−Hellman問題(dBDH問題)(非特許文献10):
が選ばれるとき、dBDH問題を解く上でアルゴリズムAの利益は次のとおりである。dBDH問題を解くのが難しいという過程をdBDH仮定という。
【0053】
確率がランダムに選ばれた整数a、b、c、さらにランダムに選ばれるη∈RG2 、かつAによって使用されるランダムなビットよりも大きいとき、
である。上記のゲームを解く上で、いかなるt次の攻撃相手も少なくともe利益を有していない場合、この決定の( t , e )-DBDH 仮定は真となる。
【0054】
<関連作業>
<解除可能性を有するCBPdシステム(非特許文献9)>
本発明者らは、解除可能性を持った認証ベースプロキシ復号(CBPd)システムを導入した(非特許文献9)。この解除可能性の特性は、プロキシによる復号権限を、元の復号者の公開情報を変更することなく、代理鍵の有効期間内であっても、無効にすることができる、というものである。
【0055】
正式には、解除可能性を有するCBPdシステムは、次の6つのアルゴリズム(Setup、KeyGen、ProxyDecKeyGen、Enc、Dec、Rev)から成るが、これは、元の復号者による基本的復号工程DecID、ユーザーID、およびプロキシであるJobによる代理復号工程DecjobをDecが決定する場合である。
【0056】
CBPdシステムにおける解除可能性という特性は、アルゴリズムRevによって保証される。しかし、この特性を満たす方法は唯一とはいえない可能性がある。本発明者らの方式によれば、代理復号鍵分配アルゴリズム ProxyDecKeyGen と、代理復号アルゴリズム Decjob は、以下のように解除可能性要件を満たすものとして考案されている。
【0057】
(1)元の復号者であるユーザーIDは有効期間内にある代理鍵を主題ごとのプロキシへ分配する。たとえば、
は、ユーザーIDがプロキシであるJobに分配する代理鍵を意味し、プロキシであるJobには主題であるjobを対象とした代理復号権限が委任される。
【0058】
(2)元の復号者であるユーザーIDは共通のデータを分配し、時々(たとえば、1日に1度)、すべてのプロキシに対してこれらのデータを更新する。i =
1,2,…のとき、Y(τi)はτi日のデータを意味するとする。これら共通のデータは常に短期間である。
【0059】
(3)主題であるjobおよびτ時間に関する暗号文を受信すると、プロキシであるJobは
とY(τ)を使って暗号文Cを復号する。
【0060】
<IDベース再暗号方式(識別子を利用した再暗号方式)(非特許文献6)>
松尾俊彦氏は、非特許文献6においてIDベースプロキシ再暗号システムを導入したが、この構築はランダムオラクルを持たないボネー氏およびボーエン氏のIBEに基づいている。IDベースプロキシ再暗号システムによって、プロキシはユーザーであるIDの識別子IDに基づいて計算された暗号文を、ユーザーであるIDの秘密鍵で復号できる暗号文に変換することができる。このシステムは、次のように機能する。ユーザーであるIDまたは信頼される第3者が再暗号鍵rkID→ID’を生成し、あるプロキシ内に設定する。ユーザーであるIDの暗号文を受信すると、当該プロキシはrkID→ID’を用いた再暗号化アルゴリズムを実行してその暗号文を変換し、この変換した暗号文をユーザーID′に送る。ユーザーID′はこれを秘密鍵で復号する。
【0061】
正式には、IDベースプロキシ再暗号システムは、次の6つのアルゴリズム(Setup、KeyGen、ProxyDecKeyGen、Enc、REnc、(R)Dec)から成るが、これは、アルゴリズムREncが再暗号鍵rkID→ID’を持つプロキシによって実行され、かつ(R)DecがユーザーID′によって実行される場合である。再暗号化された暗号文に対する復号操作は、元の復号操作と見分けがつかない。
【0062】
松尾俊彦氏は2種類のIDベース再暗号システムを構築している。1つは、プロキシがPKIにおいて暗号文を変換するものである。
【0063】
非特許文献6では、松尾俊彦氏は2つのプロキシ再暗号システムを提案した。1つは従来のPKIベース公開鍵に基づいて暗号化された暗号文から、識別子ベース暗号用の秘密鍵によって復号可能な暗号文に変換するというものであり、もう1つは、IBE方式によって暗号化された暗号文からIBEに対する別の秘密鍵で復号可能な別個の暗号文に変換するというものである。後者は、再暗号鍵rkID→ID’が設定された後は、プロキシはユーザーIDのだけではなく他のユーザーの暗号文をもID′によって復号可能な暗号文へと常に変換可能となってしまうというデメリットがある。
【0064】
松尾俊彦氏のIDベースプロキシ再暗号システムでは、プロキシの再暗号の権限を無効にすることはできないのに対して、本発明者らによるCBPdシステムでは、プロキシに再暗号の権限はない。これら2つのプロキシ暗号システムの利点を組み合わせによる、二機能付きプロキシ暗号システムを次の項以降で提案する。
【0065】
<本願に係る発明>
<IDベース二機能付きプロキシ暗号システム>
非特許文献6と同様に、たとえばボネー氏およびボーエン氏のIBEに基づいて、本発明者はシステムを構築する。なお、本発明を実現するための方式としてはボネー氏およびボーエン氏のIBEに限定されない。たとえば非特許文献10の方式によっても実現できる。解除可能性問題については、非特許文献9に述べた方法を用いて処理する。
【0066】
<定義 (2−F IBP)>
IDベース二機能付きプロキシ(2−F IBP)暗号システムは、図1に示すように、次の6つのアルゴリズム(Setup、KeyGen、ProxyKeyGen(ProxyDecKeyGen、ProxyReKeyGen)、Enc、REnc、Dec(DecID,
Decjob, RDecID’))からなる。
【0067】
(1)設定(setup) :このアルゴリズムはセキュリティパラメータ1kを入力としてとり、認証者のマスター秘密鍵mskと、マスター公開鍵mpkを戻す。さらに、このシステムで共有される公開パラメータparamsを出力もする。
【0068】
(2)元の復号鍵の生成(KeyGen):このアルゴリズムは、システムパラメータparams、マスター鍵msk及びユーザーのIDを入力としてとる。ユーザーIDの秘密鍵SKIDを出力する。
【0069】
(3)代理(プロキシ)鍵の分配(ProxyKeyGen)
(3ア)代理復号鍵の生成(ProxyDecKeyGen):このアルゴリズムはシステムパラメータparams、ユーザーの秘密鍵SKID、および主題jobを入力としてとる。主題jobに基づくユーザーIDの代理復号鍵を出力する。
【0070】
(3イ)代理再暗号鍵の生成(ProxyReKeyGen):このアルゴリズムは、システムパラメータparams、マスター鍵msk、および(ID → ID’)を入力としてとる。代理再暗号鍵rkID→ID’を出力する。rkID→ID’を使うことによって、プロキシはユーザーIDに対する暗号文をユーザーID′に対する暗号文へと再暗号化することができる。
【0071】
(4)暗号化(Enc):この暗号化アルゴリズムEncは、平文m、ユーザーであるIDの識別子ID、および主題名であるjobを入力としてとる確率的アルゴリズムである。mの暗号文Cを出力する。
【0072】
(5)再暗号化(REnc):再暗号化アルゴリズムREncは、ユーザーIDに対するmの暗号文C、対応するユーザーの識別子であるID及びID′を入力としてとる。ユーザーID′によって復号可能なmの暗号文C′を出力する。
【0073】
(6)復号化(Dec):この復号化アルゴリズム(DecID, Decjob,
RDecID’) は、元の/基本の復号化アルゴリズムであるDecID、代理復号化アルゴリズムであるDecjob、再暗号化された暗号文C′に対応する復号化アルゴリズムであるRDecID’から成る決定のアルゴリズムである。
【0074】
(6ア)DecIDは暗号文C及びユーザーIDの元の復号鍵SKIDを入力としてとる。Cの平文mを出力する。
【0075】
(6イ)Decjobは、暗号文Cjob、代理鍵
、及びユーザーIDの識別子であるID及びjobを入力としてとる。Cjobの平文mを出力する。
【0076】
(6ウ)RDecID’は、ユーザーID′用として再暗号化された暗号文C’と、ユーザーID′の元の復号鍵SKID’を入力としてとる。これに対応する平文mを出力する。
【0077】
この上記二機能付きプロキシ暗号システムにおいて、委任主題であるjobは、プロキシの「識別子」として作用する。そのため、暗号者は元復号者のプロキシが誰であるか、即ち、ユーザーIDについて知る必要はない。
【0078】
<正確性>
正確性の特性を有するためには、所与のマスター秘密鍵である msk 、システムパラメータである params、メッセージスペースにおけるあらゆるメッセージ m、および任意のIDの秘密鍵 SKID ← PKG(1k) に対して次の条件が満たされなければならない。
【0079】
【0080】
<本願の方式>
図2は本発明の概略の動作フローを示したフローチャートである。次に同図を参照しながら本願の方式について説明する。
設定(ステップS101):信任を受けている権限である PKG は次のとおりである。
BDHパラメータ生成元であるIGを入力された1k上で動作させて、素数p,次数pの2つの乗法群G1とG2、及び適格性を有する
である。
【0081】
元の復号鍵抽出(ステップS102):PKGはユーザーIDに対する復号鍵を、
を計算することで生成する。
【0082】
代理(プロキシ)鍵分配(ステップS103):各プロキシに対する長期間用個人代理鍵、及び自身の全プロキシに対する短期間用共通データを生成する前に、ユーザーIDが
を計算する。
【0083】
代理復号鍵(ステップS103A):Job、すなわちユーザーIDのプロキシの1つは、主題であるjobの復号化権限を委任される。ユーザーIDとしては、
を送る。
【0084】
代理再暗号鍵(ステップS103B):ユーザーIDは再暗号鍵である
を送る。
【0085】
共通データの分配(PDK):ユーザーIDは、
・
d1を自身のプロキシに送信する。
のように計算する。
【0086】
乱数dτを変えることによって、1日に1度 Y(τ) を更新する。そのとき、プロキシの情報が含まれないので、Y(τ)は自身の全プロキシに対する共通データである。
【0087】
パラメータυ(またはγ)、job ∈ {job1,…,
jobn} に対するdjob、及びτ=τ1, τ2に対するdτは、ユーザーID自身によって秘密が保たれなければならないことに注意する。
【0088】
暗号化(Enc)(ステップS104):
を計算する。
復号者に
を送信する。
【0089】
再暗号化(ステップS106):
を計算し、
・ユーザーID′にC´=(C´1、C2、C3)を送信する。
【0090】
復号化:
DecID:(C1、C2、C3)が入力されると、元の復号者であるIDはいかなる主題下にある暗号文も、
を計算することによって復号することができる。
【0091】
Decjob:(C1、C2、C3、C4、C5)が入力されると、Jobは自身の主題であるJobに対する暗号文の代理復号機能を、
を計算することによって実行する。
【0092】
RDecID´:(C´1、C2、C3)が入力されると、秘密鍵としてSKID’ =(d’0,
d’1)を持つユーザーID′は、
を計算することによって復号機能を実行する(ステップS105)。
【0093】
ここで注意すべきは、上記の機能は当該基本の復号機能である、
RDecID’
(C’) = Dec ID’ (C’)と区別できない点に注意する。
【0094】
<正確性>
正確性は以下のように立証されうる。
Dec
ID :
【0095】
【0096】
【0097】
したがって、
【0098】
<安全性>
プロキシであるJobの役割変更、Jobの代理鍵の露呈、Jobの破損などのような場合においては、委任者がJobの代理復号権限を無効化することができることが望ましい。また、プロキシは代理復号権限及び代理再暗号権限の両方を委任されるため、二機能付きプロキシ暗号システムは、少なくとも以下の安全性要件を満たすべきである。
【0099】
(1)委任者であるユーザーIDは、いかなる主題下のいかなる平文も取得可能であること。
(2)プロキシであるJobは、自身の主題であるjob下にあるIDに対する代理復号機能を行うことのみ可能であり、他の主題に対してはその機能を行うことができないこと。
(3)再暗号鍵rkID → ID’を委任されたプロキシは、IDの識別子(であって他のいかなるユーザーの識別子ではなく)で暗号化された暗号文をID′の秘密鍵で復号可能な暗号文に変換することのみ可能であること。
(4)ユーザーであるID′は、そのプロキシの協力がなければ、対応する平文を取得することができないこと。
(5)委任者は、必要であれば、Jobの代理権限を無効にすることができること。送信者側の無駄な作業を避けるために、プロキシに割り当てられる主題は、プロキシの復号権限が無効化される場合には、不変の状態のままであるべきである。
【発明を実施するための形態】
【0100】
以下、図面を参照して本発明を実施するための形態について説明する。なお、以下では、本発明の目的を達成するための説明に必要な範囲を模式的に示し、本発明の該当部分の説明に必要な範囲を主に説明することとし、説明を省略する箇所については公知技術によるものとする。
【0101】
図3は、本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システムの構成を示した機能ブロック図である。図4はそのうちの元復号者装置10の詳細な構成を、図5はPKG装置20の詳細な構成を、図6はプロキシ装置30の詳細な構成を、図7は送信者装置40の詳細な構成を、図8は元復号者信頼先装置11の詳細な構成を、それぞれ示している。
【0102】
図3に示すとおり、IDベース二機能付きプロキシ(2−F IBP)暗号システム1は、機密文書の主受け取り手である元復号者装置10、元復号者からの厚い信頼を受ける信頼先である元復号者信頼先装置11、システムに共通なパラメータの設定や秘密鍵の生成・送信等を行うセンター的機能を持つPKG装置20、元復号者のジョブごとの代理人(たとえば秘書)に係るプロキシ装置30、元復号者の代理人であるプロキシに対して情報を暗号化して送信する送信者装置40がネットワーク50を介して通信可能に連接されて構成される。同図において、矢印はその方向に情報が伝達・配信されることを示している。
【0103】
元復号者のジョブごとの代理人たるプロキシは、図3Aに示されるように、ジョブごとに設けられ、また、何人いてもよい。
【0104】
元復号者装置10(図4)は、プロキシ鍵を生成するプロキシ鍵生成分配部101と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部103と、ネットワークを介して外部装置との間で情報のやり取りをする送受信部105とを備えて構成される。プロキシ鍵生成分配部101は、代理復号鍵生成部1011と、代理再暗号鍵生成部1012とを備えて構成される。
【0105】
PKG装置20(図5)は、システムに共通するパラメータの設定等の各種設定機能を実行するセットアップルーチン部201と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部203と、元の復号者が復号する場合の鍵を生成するための元の復号鍵生成部205と、ネットワークを介して外部装置との間で情報のやり取りをする送信部207及び受信部209とを備えて構成される。
【0106】
プロキシ装置30(図6)は、ネットワークを介して外部装置との間で情報のやり取りをする送受信部301と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部303と、パラメータに記述されたC=(C1、C2、C3、C4、C5)のうちどのデータが存在しているかによって代理人の当該ジョブに対する代理権限を判定するルーチン判定部305と、代理人に代理復号権限が与えられるときに代理復号化を行う復号化部307と、代理人に代理再暗号権限が与えられるときに代理再暗号化を行う再暗号化部309とを備えて構成される。
【0107】
送信者装置40(図7)は、平文を所定のIDを用いて暗号化する暗号化部401と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部403と、ネットワークを介して外部装置との間で情報のやり取りをする送受信部405とを備えて構成される。
【0108】
元復号者信頼先装置11(図8)は、ネットワークを介して外部装置との間で情報のやり取りをする送受信部111と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部113と、元の復号者から委任されて再暗号文を復号する場合の鍵を生成するための復号鍵算出部115と、復号鍵算出部115で算出された復号鍵を用いてプロキシから送信された再暗号文を復号する復号化部117とを備えて構成される。
【0109】
次に、上記のように構成されるIDベース二機能付きプロキシ(2−F IBP)暗号システムの動作について説明する。
【0110】
図9は、本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システム1の動作及び情報のやり取りのタイミングを表したタイミング・フローチャートである。同図に示すとおり、まず、PKGセンター20のセットアップルーチン部201がシステムに共通するパラメータ設定等の各種設定機能を実行する(ステップS101)。設定されたパラメータを含む各種情報は記憶部203に格納される。このパラメータに関して、上述したように、素数p,次数pの2つの乗法群G1とG2、及び双線形写像
として、これらの関数として定義されるから、楕円曲線上の離散対数の原理から、復号化鍵の計算困難性を有効に享受でき、攻撃者、剽窃者からの情報盗難を効果的に排除できることになる。
【0111】
次に、元復号者装置10の送受信部105及び元復号者信頼先11の送受信部111により、それぞれ自分の識別子情報がPKGセンター20に対して送信される(ステップS10−1)。受信部209はこれを受信し(ステップS20−1)、受信したデータを記憶部203に格納する。
【0112】
次に、元の復号鍵生成部205が元の復号鍵の生成アルゴリズムKeyGenによって、それぞれ元復号者装置10及び元復号者信頼先11の復号鍵を生成し(ステップS102)、記憶部203に格納する。このアルゴリズムにおいては、有限体上の離散対数問題の性質からgとgαが知られていたとしてもαは実質的に解読が困難であるから、生成される複合鍵SKIDは高セキュリティ性を保持でき、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0113】
次に、こうして生成された元の復号鍵を、送信部207が安全チャンネルを介して、それぞれ元復号者装置10及び元復号者信頼先11に対して送信する(ステップS20−2)と、元復号者装置10の送受信部105が受信して(ステップS10−2)、これを記憶部103に記録する。元復号者信頼先11の送受信部111が受信して(ステップS10−2)、これを記憶部113に記録する。
【0114】
次に元復号者装置10では、プロキシ鍵生成分配部101が代理鍵の生成を行う(ステップS103)。具体的には、代理復号鍵生成部1011が代理復号鍵生成機能を、代理再暗号鍵生成部1012が代理再暗号鍵生成機能を果たすように動作する(ステップS103A、S103B)。代理復号鍵生成部1011は上述したように、代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムとして、
ユーザーIDとしては、
を送ることを実行する(ステップS103A)。なお、生成された代理復号鍵は記憶部103に格納される。
【0115】
代理再暗号鍵生成部1012は上述したように、代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムとして、
前記ユーザーIDは再暗号鍵である
を送ることを実行する(ステップS103B)。なお、生成された代理再暗号鍵は記憶部103に格納される。
【0116】
こうして生成された代理鍵を送受信部105が安全チャンネルを介してプロキシ装置30に対して送信(分配)する(ステップS10−4)と、プロキシ装置30では送受信部301がこれを受信して(ステップS30−1)、記憶部303に格納する。
【0117】
一方、送信者40では元復号者10に対して伝達を所望する平文を、暗号化部401が公開鍵を用いて暗号化して暗号文Cを生成する(ステップS104)。具体的には、上述のように、暗号化部401は、暗号化(Enc)アルゴリズムとして、
を送信することを実行する(ステップS104)。こうして作成された暗号文Cを記憶部403に格納するとともに送受信部405がネットワーク50を介してプロキシ装置30に対して送信する(ステップS104)と、プロキシ装置30では送受信部301がこの暗号文Cを受信して(ステップS30−2)、記憶部303に格納する。
【0118】
次に、プロキシ装置30のルーチン判定部305が、暗号文C中の特定パラメータを読み取ることにより、代理人に委任された代理権限及び爾後の処理ルーチンを判定する(ステップS30−3)。具体的には、上述したように、暗号文においてC=(C1、C2、C3)で指標される場合(つまり、C4、C5が値を持たない場合)には、一級情報すなわち元復号者IDしか復号できない情報として判断でき、代理人Jobとしての対応は、暗号文Cをそのまま元復号者IDへ渡す。暗号文においてC=(C1、C2、C3、C4)で指標される場合(つまり、C5が値を持たない場合)には、二級情報すなわちプロキシは解読できないが、元復号者IDが指定した元復号者信頼者ID’へ再暗号化できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを再暗号文C’ に代理再暗号化し、元復号者信頼者ID’へ渡す。暗号文においてC=(C1、C2、C3、C4、C5)で指標される場合には、三級情報すなわちプロキシが解読できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを代理復号する。このように、暗号文CにパラメータであるC1、C2、C3、C4、C5のうちの必要要素を適宜含ませる/含ませないことで暗号文Cの情報としての機密の級別を行うことができる。
【0119】
上記で代理人(プロキシ装置30)に代理復号権限が与えられていると判断されるときには、復号化部307が復号鍵を用いて復号化を行う(ステップS105)。具体的には、復号化部307は、Decjob:(C1、C2、C3、C4、C5)が入力されると、Jobは自身の主題であるJobに対する暗号文の代理復号機能を、
を計算することによって実行する(ステップS105)。
【0120】
(プロキシ装置30)に復号権限が与えられていず、代理再暗号化権限が与えられていると判断されるときには、再暗号化部309が再暗号化を行う(ステップS106)。具体的には、再暗号化部309は、再暗号化(REnc)アルゴリズムとして、
を計算し、ユーザーID′に対してC´=(C´1、C2、C3)を送信することを実行する(ステップS106)。なお、この場合、プロキシとしてはもとの暗号文Cを復号化することはできないで、暗号化されたCに対して更なる暗号化(再暗号化)をかけることになる。こうして得られた再暗号文は記憶部303に格納される。
【0121】
ステップS106で再暗号化された再暗号文C´は、送受信部301がネットワーク50を介して元復号者信頼先装置11に対して送信する(ステップS30−4)と、元復号者信頼先装置11側では送受信部111がこれを受信して(ステップS11−1)、記憶部113に格納する。
【0122】
次に、元復号者信頼先装置11の復号鍵算出部115が復号鍵を自身のID情報をもとに算出する。
【0123】
次に、元復号者信頼先装置11の復号化部117が上記で算出された復号鍵を元に、再暗号文C´を復号化する(ステップS107)。具体的には、復号化部117としては、
RDecID´:(C´1、C2、C3)が入力されると、秘密鍵としてSKID’ =(d’0,
d’1)を
持つことで、
を計算することによって復号機能を実行する(ステップS107)。こうして復号されて得られた平文mは、記憶部113に格納される。
【0124】
ここで、上記の機能は当該基本の復号機能である、
RDecID’(C’)
= DecID’(C’)と区別できない。したがって、元復号者信頼先装置11側としては、暗号化されたものなのか再暗号化されたものなのかに拘らず、同じ自身のID´情報を用いて復号化できる。
【0125】
ここで、代理人の代理権限解除について補足する。
暗号者による無駄な作業を避けるため、代理復号者に割り当てられたボブの公開情報鍵、およびサブジェクトは、代理による代理権限が無効とされる場合、変えず不変の状態で保持されねばならない。
まず、新しいパラメータv*を使ってデータY (τ)を更新する。
次に、新しいパラメータに関して、他のプロキシに対する代理鍵を更新する。
次に、上記の新しいパラメータv*と他のアシスタントd*jobに関する復号権限を委任する前に、元の復号DecIDを実行する。
【0126】
以上、詳細に説明したように、本発明によれば、代理復号と代理再暗号の機能を同時に有する二機能付きIDベースプロキシ暗号システムが実現される。したがって、これまで単機能でしか存在していなかった代理暗号システムに、より資源の無駄をなくし、効率的で、実用上の利用価値の高いものを提供することができる。
【0127】
また、本発明によれば、各アルゴリズムは識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成されるために、楕円曲線上の離散対数の原理による計算量困難性の効果が享受される。したがって、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難や反セキュリティ活動を効果的に排除できる。
【0128】
また、本発明によれば、代理権(代理復号権限と代理再暗号権限)を解除可能となるシステムが実現される。より詳細には、プロキシ復号鍵情報及びプロキシ再暗号化鍵情報が含んでいる関数は第1の復号者端末によって設定可能なデータを変数とするために、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【0129】
また、上記の数式中に、α(選択した乱数)の値を関数式から合理的に消去してしまう工夫が施されているので、αの設定と暗号の機密性とを別個独立のものとすることができる。したがって、管理上の必要に応じて自由度高く機密管理を行うことを可能とする暗号システムが実現される。
【0130】
上記では、IDベース二機能付きプロキシ暗号システム(2−F IBP システム)を呈示したが、これは多機能プロキシ暗号システムの一例である。この2−F IBP システムのプロキシは、委任者のために2つの機能、つまり代理復号機能および代理再暗号機能を行うように委任されたものである。当該提案に係る2−F IBP システムは、解除可能性の特性を継承したものである。多機能暗号システムは安全性、および安全なセンサーネットワークを構築するために活用することが可能である。
【0131】
将来的には、代理権の有効性は Y (τ)でコントロールされるから、一人のプロキシの代理権を廃止するため、全員のプロキシの鍵を更新しなければならない点を改善したい。また、二機能を超えた多機能までの拡張したい。
【0132】
上述した実施形態は、本発明に係る技術思想を具現化するため一例を示したにすぎないものであり、他の実施形態でも本発明に係る技術思想を適用することが可能である。
【0133】
さらにまた、本発明を用いて生産される装置、方法、システムが、その2次的生産品に搭載されて商品化された場合であっても、本発明の価値は何ら減ずるものではない。
【産業上の利用可能性】
【0134】
上述したように、本願によれば、本発明によれば、代理復号と代理再暗号の機能を同時に有する二機能付きIDベースプロキシ暗号システムが実現される。したがって、これまで単機能でしかなかった代理暗号システムに、より資源の無駄をなくし、効率的で、実用上の利用価値の高いものを提供することができる。また、実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。さらに、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【0135】
したがって、本願に係る暗号システムを製造する情報処理産業において相対的に廉価化及び高効率化が可能となり、この効果は、情報産業にとどまらず、広く暗号システムが活用されるあらゆる産業、たとえば金融産業、証券産業を始め、観光業、サービス業、安全産業等のあらゆる産業にとって、非常に巨大な有益をもたらすものである。
【符号の説明】
【0136】
1…IDベース二機能付きプロキシ暗号システム、10…元復号者装置、11…元復号者信頼先装置、20…PKG装置、30…プロキシ装置、40…送信者装置、50…ネットワーク
【技術分野】
【0001】
本発明は、たとえば暗号化方法及び暗号システムに係り、特に二機能付きIDベース暗号化方法及び暗号システムに関する。
【背景技術】
【0002】
1996年、満保雅浩氏と岡本栄司氏が代理署名方式を提案して以来、元の復号者の仕事を減らすためのプロキシ暗号システムも提案されてきた。具体的には、プロキシの役割によって下記の2種類のプロキシ暗号システムが研究されてきた。
(1)代理復号システム:1年後、満保雅浩氏と岡本栄司氏は、暗号文を復号する権限を委任するものとしての代理暗号システムを発明した。
(2)代理再暗号システム:1998年、ブレーズ(Blaze)氏らは、原子代理暗号文を導入した。これは原子プロキシ機能が1つの鍵による暗号文を他の鍵による暗号文へと変換するものである。
【0003】
プロキシ暗号システムは、元の復号者が大量の復号機能を処理する必要がある場合に有効である。プロキシは上記作業の1つを行うよう委任されるものであり、本発明者はこれらを単機能プロキシ暗号システムと名付ける。しかし、実社会において、プロキシは2つまたはそれ以上の役割を行うよう要求されることがある。この場合、プロキシはこれらの任務を果たすために1つ以上のプロキシ暗号システムを使用しなければならない。したがって、プロキシが複数の権限を委任される多機能プロキシ暗号システムが望ましいのである。だが残念ながら、本発明者が知る限りでは、現状で存在するプロキシ暗号システム(例えば非特許文献1、同4〜7、同9)は単機能のものである。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】M.ブレイズ、G.ブリューマーおよびM.シュトラウス「方向転換可能なプロトコルおよび原子プロキシ暗号法」暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 1998、LNCS 1403、127−144ページ、スプリンガー・フェアラーク、ベルリン、1998年
【0005】
【非特許文献2】D.ボネー およびX.ボイエン 「ランダムオラクルを持たない高安全性識別子ベース暗号」 暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 2004、LNCS 3152、443−459ページ、スプリンガー・フェアラーク、ベルリン、2001年
【0006】
【非特許文献3】D.ボネー およびM.フランクリン 「Weilペアリングからの識別子ベース暗号」暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 2001、LNCS 2139、213−229ページ、スプリンガー・フェアラーク、ベルリン、2001年
【0007】
【非特許文献4】満保雅浩、臼田啓介および岡本栄司 「署名機能の委任のためのプロキシ署名」 コンピュータ及び通信セキュリティに関するACM会議 1996、48−57ページ、1996年
【0008】
【非特許文献5】満保雅浩、および岡本栄司「プロキシ暗号システム:暗号文復号権限の委任」IEICE訳、基本原理集、E80−A版 No.1、54−63ページ、1997年
【0009】
【非特許文献6】松尾俊彦「識別子ベースの暗号に関するプロキシ再暗号システム」ペアリングベースの暗号学―ペアリング2007、LNCS 4575 247−267ページ、スプリンガー・フェアラーク、ベルリン、2007年
【0010】
【非特許文献7】Y.ムー、V.ヴァラドハラジャン およびK.Q.ヌグーェン「復号化の委任」 IMA−クリプト(暗号)およびコーティング(符号)‘99、LNCS 1746 258−269ページ、スプリンガー・フェアラーク、ベルリン、1999年
【0011】
【非特許文献8】境隆一、大岸聖史および笠原正雄「ペアリングに基づく暗号システム」SCIS2000−C20,2000年
【0012】
【非特許文献9】王立華、J.シャオ(邵俊)、Z.カオ(曹珍富)、満保雅浩および山村明弘「解除可能な復号権限を有する認証ベースのプロキシ暗号システム」暗号学の進歩、「INDOCRYPTO(インドクリプト)」2007、LNCS 4859、297−311ページ、スプリンガー・フェアラーク、ベルリン、2007年
【0013】
【非特許文献10】B.ウォータズ 「ランダムオラクルを持たない効率的識別子ベースの暗号化」暗号学の進歩、「EUROCRYPT(ユーロクリプト)」 2005、LNCS 3494、114−127ページ、スプリンガー・フェアラーク、ベルリン、2005年
【発明の概要】
【発明が解決しようとする課題】
【0014】
本発明では、プロキシが代理復号機能及び代理再暗号機能という複数の機能を行うことが可能な、初めてのIDベース二機能付きプロキシ暗号システム(2−F IBPシステム)を提供することを目的とする。また、本発明は、代理人の代理権限の解除可能性(リボカビリティ)を備えたIDベース二機能付きプロキシ暗号システム(2−F IBPシステム)を提供することを目的とする。
【課題を解決するための手段】
【0015】
本発明者による2−F IBP方式は、先に本発明者によって提案されたリボカビリティ(解除可能性)を有する認証ベースプロキシ暗号システム(CBPdシステム)に記述された技術、及び松尾俊彦氏によって提案されるIDベースプロキシ再暗号方式の考え方をもとに構築される。
【0016】
かかる課題を解決するために、本願の請求項1に係る二機能付きIDベース暗号化方法は、第1の復号者端末、第2の復号者端末のそれぞれに関する公開情報である第1復号者端末識別子情報及び第2復号者端末識別子情報が、前記第1の復号者端末からセンターに対して送信されるステップと、前記送信された識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータの関数である秘密鍵情報及び再暗号化鍵情報が前記センターから前記第1の復号者端末に対して送信されるステップと、前記第1の復号者から特定のジョブについて委任される代理者に係るプロキシ端末に対して前記第1の復号者端末から、委任ジョブ情報及び前記秘密鍵情報に基づくプロキシ復号鍵情報と、前記委任ジョブ情報及び前記再暗号化鍵情報に基づくプロキシ再暗号化鍵情報とが送信されるステップと、伝達内容である平文が前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化されて暗号文に変換されるステップと、前記暗号文が送信者端末から前記プロキシ端末に対して送信されるステップと、前記プロキシ端末にて受信された前記暗号文が前記プロキシ再暗号化鍵情報を用いて再暗号化され、この再暗号化文が前記プロキシ端末から前記第2の復号者端末に対して送信されるステップ、もしくは代替的に、前記プロキシ端末にて受信された暗号文が前記プロキシ復号鍵情報を用いて前記平文に復号化されるステップと、前記再暗号化文が前記第2の復号者端末にて受信された場合には、該受信された再暗号化文が前記第2復号者端末識別子情報を用いて得られる鍵情報を用いて前記平文に復号化されるステップとを具備し、前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記第1の復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする。
【0017】
第1の復号者とは元の復号者(以下、「元復号者」ともいう。)(装置)、第2の復号者とは元の復号者から最も信頼を受けて、代理人であるプロキシですら読めない文書を復号化する権限を持つもの(以下、「元復号者信頼先(者)」ともいう。)(装置)をいう。
【0018】
センターとは、代理権限等の認証を行い得る機能を有する暗号化の中央センター(装置)をいう。
【0019】
プロキシ(代理者、代理人)とは、指定された特定のジョブに関して元復号者の代理人としての権限、代理復号化権限及び代理再暗号化権限を有したもの(装置)をいう。
【0020】
代理復号化とは、元復号者からの委任に基づき、プロキシが元復号者に代わって、元復号者宛の暗号文の復号化を行うことをいう。このためには、代理鍵を使用する。
【0021】
代理再暗号化とは、元復号者からの委任に基づき、プロキシが元復号者に代わって、元復号者宛の暗号文を元復号者から指定された最信頼者(元復号者信頼先)に対して、再暗号化を施した上で送信することをいうが、この場合、プロキシが該暗号文及び再暗号文を復号化する権限は与えられていない。
【0022】
第1復号者端末識別子情報及び第2復号者端末識別子情報とは、それぞれの端末に固有の識別子を含む情報であればよく、たとえばそれぞれ対応する電子メールアドレスであってもよい。
【0023】
秘密鍵情報とは、第1復号者端末識別子情報(たとえば元復号者の電子メールアドレス)を用いて作成される情報である。第1復号者端末識別子情報は公開情報であるが、秘密鍵情報は非公開情報である。
【0024】
再暗号化鍵情報とは、第1復号者端末識別子情報(たとえば元復号者の電子メールアドレス)及び第2復号者端末識別子情報(たとえば元復号者信頼者の電子メールアドレス)を用いて作成される情報である。作成元情報は公開情報であるが、再暗号化鍵情報は非公開情報である。
【0025】
委任ジョブ情報とは、元復号者がプロキシに対して委任するジョブに係る情報であり、複数のジョブを元復号者が抱えている場合には、各ジョブごとにプロキシを変えることができる。また、元復号者は自身をプロキシとして指定することもできる。
【0026】
プロキシ復号鍵情報とは、元復号者のあるジョブに関する代理人であるプロキシが元復号者に代わって当該ジョブに関する機密文書(暗号化情報)を復号化するための鍵を与える情報であり、委任ジョブ情報及び元復号者(第1復号者)の秘密鍵情報に基づいて数学的に算出される情報である。この算出に当たっては、好適には、識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成する。これにより、楕円曲線上の離散対数の原理による計算量困難性の効果が享受される。
【0027】
プロキシ再暗号化鍵情報とは、元復号者のあるジョブに関する代理人であるプロキシが、元復号者の厚く信頼する者(第2の復号者すなわち元復号者信頼先)に対して、当該ジョブに関する機密文書(暗号化情報)を再暗号化するための鍵を与える情報であり、委任ジョブ情報及び再暗号化鍵情報に基づいて数学的に算出される情報である。この算出に当たっても、好適には、識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成する。
【0028】
「前記プロキシ端末にて受信された前記暗号文が前記プロキシ再暗号化鍵情報を用いて再暗号化され、この再暗号化文が前記プロキシ端末から前記第2の復号者端末に対して送信される…、もしくは代替的に、前記プロキシ端末にて受信された暗号文が前記プロキシ復号鍵情報を用いて前記平文に復号化される」とは、たとえば、暗号文に含まれるパラメータ(もしくは暗号種別情報あるいはフラグ情報)によって復号化もしくは再暗号化が自動的に選択されることをいう。具体的には、ある暗号文が与えられるとき、最高度の機密な情報(たとえば、秘書を含む全従業員に関する人事評定データ、ボーナス支給額データ等)として暗号者(たとえば役員会)から暗号化された情報が送信される場合については、元復号者(たとえば部門長)のプロキシ(たとえば部門長の秘書)でさえ復号化することが好ましくない一方で元復号者の最信任者(たとえば副部門長)と情報共有することが望ましいと仮定する。この場合には、プロキシは復号化する権限を与えられることなく再暗号化のみ行い、当該最信任者に対して送信することが求められる。或いは、中級程度の秘密データ(たとえば部門目標データ)が暗号者(たとえば役員会)から暗号化された情報として元復号者(たとえば部門長)に対して送信される場合については、プロキシ(たとえば部門長の秘書)が元復号者に代わって復号化することが求められると推定できる。上記の構成はこれらの場合等に有効となる。
【0029】
「鍵情報を用いて前記平文に復号化」するとは、第2の復号者(たとえば元復号者信頼者)端末に対して送信された再暗号化文を該第2の復号者が自身の識別情報を基に復号化することをいう。この場合の鍵情報とは、第2復号者端末識別子情報(たとえば元復号者信頼者自身の電子メールアドレス)を用いて数学的に算出される情報をいう。
【0030】
上記構成によれば、これらの暗号化、復号化、再暗号化の鍵となる鍵情報には公開鍵を用いているため、文書(情報)の送信者は容易に暗号化を行うことができる。この際、システム共有パラメータが識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められ、秘密鍵情報及び再暗号化鍵情報がこのシステム共有パラメータを変数とする構成から、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなる。したがって実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0031】
また、代理人であるプロキシ端末は暗号文に含まれるパラメータ(もしくは暗号種別情報あるいはフラグ情報)を読み取ることで、そこに記述されている情報に基づき、復号化もしくは再暗号化がアルゴリズム上自動的に選択される。したがって、情報の種別によって、プロキシに復号化を認めたり、復号化を認めずに転送(再暗号化及び転送)のみを認めたりするという情報ごとの処理ルーチンの種別分けが、自動的になされることになる。つまり、代理復号化機能と代理再暗号化機能という二機能を一つのプロキシが同時に果たせ、かつ、この機能の振り分けを情報種別に応じて自動的に振り分けることが可能となる。したがって、機密情報の復号化、再暗号化について、特にそれぞれの代理機能を個別に果たす場合と比して、利便性が向上するばかりでなく、経営資源の消費削減も図れる。
【0032】
また、プロキシ復号鍵情報及びプロキシ再暗号化鍵情報が含んでいる関数は第1の復号者端末によって設定可能なデータを変数とするために、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができ、リボカビリティを実現できる。したがって、利便性がよいと同時に、機密保持環境の変動(たとえば、今迄信頼していた代理人が急に不良化したため、即座に代理権限をシステム的に剥奪したい場合等)に即時的に対応できる態勢が整えられて安全性の向上が実現される。なぜならば、仮にプロキシの一人が安全上、情報機密上良からぬ行動に出たとしても、上記変数を変更させ、変更後の変数によって作製されるプロキシ復号鍵情報及びプロキシ再暗号化鍵情報を当該問題あるプロキシ相手に送信しないことで、当該プロキシの代理権限を無効化する。この場合、その他の情報については変動させないことで、代理復号機能及び代理再暗号化機能自体には支障なく維持することができる。さらにこの場合、パラメータとして採用する変数をショートターム(短期間)データとロングターム(長期間)データとに分けるようにし、ショートターム(短期間)データについては日々更新したり時関の関数としたりすることで、リボカビリティの容易な実現が達成される。
【0033】
また、上記課題を解決するために、本願の請求項2に係る暗号システムは、伝達対象である平文を公開鍵を用いて暗号化した暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人であるプロキシ端末において受信され、公開情報である前記元復号者端末に係る識別子情報を用いて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、記憶装置を備え、
セキュリティパラメータ1kが入力されて前記記憶装置に記憶され、該記憶装置から読みだされた前記セキュリティパラメータ1kを用いて認証者のマスター秘密鍵情報msk、前記システムで共有される公開パラメータparamsが双線形ペアリングを適用して算出・出力される設定(setup)アルゴリズムと、
システムパラメータparams、前記設定(setup)アルゴリズムで出力された前記マスター秘密鍵情報msk及び前記元復号者端末に係る識別子情報であるユーザーIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーIDに対応する秘密鍵情報SKIDが算出・出力される元の復号鍵の生成(KeyGen)アルゴリズムと、
代理鍵の分配(ProxyKeyGen)アルゴリズムと、
平文情報m、前記ユーザーID、前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記平文情報mの暗号文情報Cが算出・出力される暗号化(Enc)アルゴリズムと、
前記暗号文情報C、前記ユーザーID及び前記元復号者信頼先端末に係る識別子情報であるユーザーID′が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーID′に係る前記元復号者信頼先端末によって復号可能な前記平文情報mの暗号文情報C′が算出・出力される再暗号化(REnc)アルゴリズムと、
復号化アルゴリズム(DecID, Decjob,
RDecID’)と
をコンピュータに実行させるプログラムを有し、
前記代理鍵の分配(ProxyKeyGen)アルゴリズムは、
前記システムパラメータparams、前記元の復号鍵の生成(KeyGen)アルゴリズムで出力された前記秘密鍵情報SKID、および前記プロキシ端末に委任されるジョブに係る主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記主題情報jobに基づく前記ユーザーIDに係る代理復号鍵が算出・出力される代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムと、
前記システムパラメータparams、前記マスター秘密鍵情報msk、前記元復号者端末に係る識別子情報及び元復号者信頼先端末に係る識別子情報(ID→ID’)が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて代理再暗号鍵情報rKID→ID’が算出・出力される代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムとを備え、
前記復号化アルゴリズム(DecID, Decjob,
RDecID’)は、
前記暗号文情報C及び前記ユーザーIDの元の復号鍵情報SKIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記暗号文情報Cの平文mが算出・出力される元の/基本の復号化アルゴリズムDecIDと、
暗号文情報Cjob、代理鍵情報
、前記ユーザーID及び前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記Cjobの平文mを算出・出力する代理復号化アルゴリズムDecjobと、
前記ユーザーID′用として再暗号化された暗号文情報C’及び前記ユーザーID′の前記元の復号鍵情報SKID’が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いてこれに対応する平文情報mが算出・出力される復号化アルゴリズムRDecID’とを備える。
【0034】
かかる構成によれば、設定(setup)アルゴリズムでは、公開パラメータparamsが双線形ペアリングを適用して算出されるから、楕円曲線上の離散対数の原理から、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0035】
また、元復号者端末からプロキシ端末に送信されるデータに係る乱数dτが変更されることによって、たとえば1日に1度Y(τ)が更新されるため、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、安全性の向上が即時態勢で実現される。すなわち、プロキシであるJobの役割変更、Jobの代理鍵の露呈、Jobの破損などのような場合においては、委任者がJobの代理復号権限を無効化することができることとなり、機密保持程度に変動が生じた場合により柔軟に対応できる高性能の暗号化システムが実現される。
【0036】
また、上記構成において、前記設定(setup)アルゴリズムにおいては、
BDHパラメータ生成元であるIGを前記セキュリティパラメータ1k上で動作させて、素数p,次数pの2つの乗法群G1とG2、及び
とし、
前記元の復号鍵の生成(KeyGen)アルゴリズムにおいては、
前記ユーザーIDに対する復号鍵情報として
を計算し、
前記ユーザーIDに係る前記元復号者端末からd1が前記プロキシ端末に送信され、
として計算され、
乱数dτが変更されることが可能でとし、
前記代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムにおいては、
前記ユーザーIDとしては、
を送り、
前記代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムにおいては、
前記ユーザーIDは再暗号鍵である
を送り、
前記暗号化(Enc)アルゴリズムにおいては、
を送信し、
前記再暗号化(REnc)アルゴリズムにおいては、
を送信し、
前記元の/基本の復号化アルゴリズムDecIDにおいては、
を計算することによって復号化し、
前記代理復号化アルゴリズムDecjobにおいては、
を計算することによって復号化し、
前記復号化アルゴリズムRDecID’ においては、
を計算することによって復号化するようにしてもよい。
【0037】
かかる構成により、素数p ,次数pの2つの乗法群G1とG2、及び双線形写像
として、これらの関数として定義されるから、楕円曲線上の離散対数の原理から、復号化鍵の計算困難性という特徴を有効に享受でき、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0038】
また、元の復号鍵の生成(KeyGen)アルゴリズムにおいて、有限体上の離散対数問題の性質から、gとgαが知られていたとしてもαは実質的に解読が困難であるから、生成される複合鍵SKIDは高セキュリティ性を保持でき、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0039】
また、上記構成により、暗号文においてC=(C1、C2、C3)で指標される場合には、一級情報すなわち元復号者IDしか復号できない情報として判断でき、代理人Jobとしての対応は、暗号文Cをそのまま元復号者IDへ渡す。暗号文においてC=(C1、C2、C3、C4)で指標される場合には、二級情報すなわちプロキシは解読できないが、元復号者IDが指定した元復号者信頼者ID’へ再暗号化できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを再暗号文C’ に代理再暗号化し、元復号者信頼者ID’へ渡す。暗号文においてC=(C1、C2、C3、C4、C5)で指標される場合には、三級情報すなわちプロキシが解読できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを代理復号する。このように、暗号文CにパラメータであるC1、C2、C3、C4、C5のうちの必要要素を適宜含ませることで暗号文Cの情報としての機密の級別を行うことができる。また、情報の受領者側では暗号文Cに含まれるパラメータであるC1、C2、C3、C4、C5の要素の存在状況に応じて情報の機密程度が判断できるから、代理人が復号権限を有するもの、復号権限を有しないもの、復号権限を有しないが再暗号化権限を有するものに種類分けして、それぞれに必要なルーチンを(自動的に)選択してプロキシ装置に必要機能を実行させることができる。
【0040】
また、上記課題を解決するために、本願の請求項4に係る暗号システムは、伝達対象である平文が公開鍵を用いて暗号化された暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人に係るプロキシ端末において受信され、公開情報である前記元復号者に係る識別子情報に基づいて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、
前記センター装置は、ネットワークを介して前記元復号者端末及び元復号者信頼先端末のそれぞれに関する公開情報である元復号者端末識別子情報及び元復号者信頼先端末識別子情報を受信しこれらを記憶装置に記録するための受信部と、前記記憶装置に記録された前記元復号者端末識別子情報及び/もしくは元復号者信頼先端末識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められたパラメータを含む関数としての秘密鍵情報及び再暗号化鍵情報を生成しこれら生成された各情報を前記記憶装置に記録する復号鍵生成部と、前記記録装置から前記秘密鍵情報及び前記再暗号化鍵情報を読みだしネットワークを介して送信する送信部とを具備し、
前記元復号者端末は、ネットワークを介して情報を送受信する元復号側送受信部と、前記元復号側送受信部を介して前記センター装置から受信した前記秘密鍵情報委任ジョブ情報に基づいてプロキシ復号鍵情報を生成し前記再暗号化鍵情報及び前記委任ジョブ情報に基づいてプロキシ再暗号化鍵情報を生成して前記元復号側送受信部を介して前記プロキシ端末に対して送信するプロキシ鍵生成分配部とを具備し、
前記送信者端末は、前記平文を公開情報である前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化する暗号化部と、前記暗号化された暗号文をネットワークを介して前記プロキシ端末に対して送信する送信側送信部とを具備し、
前記プロキシ端末は、ネットワークを介して情報を送受信するプロキシ側送受信部と、前記プロキシ側送受信部により受信された前記暗号文に書き込まれたパラメータ情報に応じて処理ルーチンを判定するルーチン判定部と、前記選択部により再暗号化ルーチンが選択された場合には前記プロキシ再暗号化鍵情報を用いて前記暗号文に対して再暗号化処理し得られた再暗号化文をプロキシ側記録装置に記憶し該再暗号化文をプロキシ側送受信部を介して前記元復号者信頼先端末に対して送信する再暗号化部と、前記選択部により復号化ルーチンが選択された場合には前記暗号文を前記プロキシ復号鍵情報を用いて前記平文に復号化するプロキシ側復号部とを具備し、
前記元復号者信頼先端末は、ネットワークを介して情報を送受信する元復号者信頼先側送受信部と、元復号者信頼先端末に係る識別子情報を用いて復号鍵情報を算出する復号鍵算出部と、前記元復号者信頼先側送受信部を介して前記プロキシ端末から受信した前記再暗号化文を前記復号鍵情報を用いて前記平文に復号化する元復号者信頼先側復号部とを具備し、
前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記元復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする。
【0041】
かかる構成によれば、復号鍵生成部によって生成される秘密鍵情報及び再暗号化鍵情報を初めとして、各アルゴリズムは識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成されるために、楕円曲線上の離散対数の原理による計算量困難性の効果が享受される。したがって、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0042】
また、プロキシ復号鍵情報及びプロキシ再暗号化鍵情報が含んでいる関数は第1の復号者端末によって設定可能なデータを変数とするために、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【発明の効果】
【0043】
本願によれば、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0044】
また、本願によれば、情報の種別によって、プロキシに復号化を認めたり、復号化を認めずに転送(再暗号化及び転送)のみを認めたりすることが、自動的になされる。したがって、機密情報の復号化、再暗号化について、特にそれぞれの代理機能を個別に果たす場合と比して、利便性が向上する。
【0045】
さらに本願によれば、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【図面の簡単な説明】
【0046】
【図1】本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システムを6つのアルゴリズムを備えて構成されるものとして捉えたアルゴリズム構成ブロック図である。
【図2】本発明の概略の動作フローを示したフローチャートである。
【図3】本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システムの構成を示した機能ブロック図である。
【図3A】本発明の一実施形態に係る代理権限について説明するための概念図である。
【図4】本発明の一実施形態に係る元復号者装置10の詳細な構成を示した機能ブロック図である。
【図5】本発明の一実施形態に係るPKG装置20の詳細な構成を示した機能ブロック図である。
【図6】本発明の一実施形態に係るプロキシ装置30の詳細な構成を示した機能ブロック図である。
【図7】本発明の一実施形態に係る送信者装置40の詳細な構成を示した機能ブロック図である。
【図8】本発明の一実施形態に係る元復号者信頼先装置11の詳細な構成を示した機能ブロック図である。
【図9】本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システム1の動作及び情報のやり取りのタイミングを表したタイミング・フローチャートである。
【本願の骨子】
【0047】
<バイリニア・ペアリング(双線形写像)と複雑性の仮定>
本発明者の方式は、サカイ氏ら、およびボネー氏らが独自に暗号システムを構築するのに最初に使用したアドミッシブル・ペアリングに基づいている。超特異楕円曲線に関連付けられる修正ヴェイルペアリングとテートペアリングは、このようなアドミッシブル・ペアリングの一例である。しかし、ここではより一般的なフォーマットでのペアリングと関連数学について述べる。
【0048】
G1とG2を、素数位数pを有する2つの乗法群とし、かつgをG1の生成元とする。以下の3つの条件が満たされれば、G1はG2に対して適格性を有する双線形写像、
を有する。
【0049】
双線形Diffie−Hellman(ディフィー・へルマン)(BDH)パラメータ生成元(非特許文献3):IGがセキュリティパラメータk > 0を取り、1kを変数とする多項式の時間で実行され、同一の素数位数pを持つ2つの乗法群G1とG2についての記述と、アドミッシブル・ペアリング
という記述とを出力するのであれば、任意抽出されたアルゴリズムIGは、BDH変数生成元である。
【0050】
次の3つの問題は、いかなる多項式時間アルゴリズムに対しても解決困難であると推定される。
【0051】
【0052】
決定の双曲線Diffie−Hellman問題(dBDH問題)(非特許文献10):
が選ばれるとき、dBDH問題を解く上でアルゴリズムAの利益は次のとおりである。dBDH問題を解くのが難しいという過程をdBDH仮定という。
【0053】
確率がランダムに選ばれた整数a、b、c、さらにランダムに選ばれるη∈RG2 、かつAによって使用されるランダムなビットよりも大きいとき、
である。上記のゲームを解く上で、いかなるt次の攻撃相手も少なくともe利益を有していない場合、この決定の( t , e )-DBDH 仮定は真となる。
【0054】
<関連作業>
<解除可能性を有するCBPdシステム(非特許文献9)>
本発明者らは、解除可能性を持った認証ベースプロキシ復号(CBPd)システムを導入した(非特許文献9)。この解除可能性の特性は、プロキシによる復号権限を、元の復号者の公開情報を変更することなく、代理鍵の有効期間内であっても、無効にすることができる、というものである。
【0055】
正式には、解除可能性を有するCBPdシステムは、次の6つのアルゴリズム(Setup、KeyGen、ProxyDecKeyGen、Enc、Dec、Rev)から成るが、これは、元の復号者による基本的復号工程DecID、ユーザーID、およびプロキシであるJobによる代理復号工程DecjobをDecが決定する場合である。
【0056】
CBPdシステムにおける解除可能性という特性は、アルゴリズムRevによって保証される。しかし、この特性を満たす方法は唯一とはいえない可能性がある。本発明者らの方式によれば、代理復号鍵分配アルゴリズム ProxyDecKeyGen と、代理復号アルゴリズム Decjob は、以下のように解除可能性要件を満たすものとして考案されている。
【0057】
(1)元の復号者であるユーザーIDは有効期間内にある代理鍵を主題ごとのプロキシへ分配する。たとえば、
は、ユーザーIDがプロキシであるJobに分配する代理鍵を意味し、プロキシであるJobには主題であるjobを対象とした代理復号権限が委任される。
【0058】
(2)元の復号者であるユーザーIDは共通のデータを分配し、時々(たとえば、1日に1度)、すべてのプロキシに対してこれらのデータを更新する。i =
1,2,…のとき、Y(τi)はτi日のデータを意味するとする。これら共通のデータは常に短期間である。
【0059】
(3)主題であるjobおよびτ時間に関する暗号文を受信すると、プロキシであるJobは
とY(τ)を使って暗号文Cを復号する。
【0060】
<IDベース再暗号方式(識別子を利用した再暗号方式)(非特許文献6)>
松尾俊彦氏は、非特許文献6においてIDベースプロキシ再暗号システムを導入したが、この構築はランダムオラクルを持たないボネー氏およびボーエン氏のIBEに基づいている。IDベースプロキシ再暗号システムによって、プロキシはユーザーであるIDの識別子IDに基づいて計算された暗号文を、ユーザーであるIDの秘密鍵で復号できる暗号文に変換することができる。このシステムは、次のように機能する。ユーザーであるIDまたは信頼される第3者が再暗号鍵rkID→ID’を生成し、あるプロキシ内に設定する。ユーザーであるIDの暗号文を受信すると、当該プロキシはrkID→ID’を用いた再暗号化アルゴリズムを実行してその暗号文を変換し、この変換した暗号文をユーザーID′に送る。ユーザーID′はこれを秘密鍵で復号する。
【0061】
正式には、IDベースプロキシ再暗号システムは、次の6つのアルゴリズム(Setup、KeyGen、ProxyDecKeyGen、Enc、REnc、(R)Dec)から成るが、これは、アルゴリズムREncが再暗号鍵rkID→ID’を持つプロキシによって実行され、かつ(R)DecがユーザーID′によって実行される場合である。再暗号化された暗号文に対する復号操作は、元の復号操作と見分けがつかない。
【0062】
松尾俊彦氏は2種類のIDベース再暗号システムを構築している。1つは、プロキシがPKIにおいて暗号文を変換するものである。
【0063】
非特許文献6では、松尾俊彦氏は2つのプロキシ再暗号システムを提案した。1つは従来のPKIベース公開鍵に基づいて暗号化された暗号文から、識別子ベース暗号用の秘密鍵によって復号可能な暗号文に変換するというものであり、もう1つは、IBE方式によって暗号化された暗号文からIBEに対する別の秘密鍵で復号可能な別個の暗号文に変換するというものである。後者は、再暗号鍵rkID→ID’が設定された後は、プロキシはユーザーIDのだけではなく他のユーザーの暗号文をもID′によって復号可能な暗号文へと常に変換可能となってしまうというデメリットがある。
【0064】
松尾俊彦氏のIDベースプロキシ再暗号システムでは、プロキシの再暗号の権限を無効にすることはできないのに対して、本発明者らによるCBPdシステムでは、プロキシに再暗号の権限はない。これら2つのプロキシ暗号システムの利点を組み合わせによる、二機能付きプロキシ暗号システムを次の項以降で提案する。
【0065】
<本願に係る発明>
<IDベース二機能付きプロキシ暗号システム>
非特許文献6と同様に、たとえばボネー氏およびボーエン氏のIBEに基づいて、本発明者はシステムを構築する。なお、本発明を実現するための方式としてはボネー氏およびボーエン氏のIBEに限定されない。たとえば非特許文献10の方式によっても実現できる。解除可能性問題については、非特許文献9に述べた方法を用いて処理する。
【0066】
<定義 (2−F IBP)>
IDベース二機能付きプロキシ(2−F IBP)暗号システムは、図1に示すように、次の6つのアルゴリズム(Setup、KeyGen、ProxyKeyGen(ProxyDecKeyGen、ProxyReKeyGen)、Enc、REnc、Dec(DecID,
Decjob, RDecID’))からなる。
【0067】
(1)設定(setup) :このアルゴリズムはセキュリティパラメータ1kを入力としてとり、認証者のマスター秘密鍵mskと、マスター公開鍵mpkを戻す。さらに、このシステムで共有される公開パラメータparamsを出力もする。
【0068】
(2)元の復号鍵の生成(KeyGen):このアルゴリズムは、システムパラメータparams、マスター鍵msk及びユーザーのIDを入力としてとる。ユーザーIDの秘密鍵SKIDを出力する。
【0069】
(3)代理(プロキシ)鍵の分配(ProxyKeyGen)
(3ア)代理復号鍵の生成(ProxyDecKeyGen):このアルゴリズムはシステムパラメータparams、ユーザーの秘密鍵SKID、および主題jobを入力としてとる。主題jobに基づくユーザーIDの代理復号鍵を出力する。
【0070】
(3イ)代理再暗号鍵の生成(ProxyReKeyGen):このアルゴリズムは、システムパラメータparams、マスター鍵msk、および(ID → ID’)を入力としてとる。代理再暗号鍵rkID→ID’を出力する。rkID→ID’を使うことによって、プロキシはユーザーIDに対する暗号文をユーザーID′に対する暗号文へと再暗号化することができる。
【0071】
(4)暗号化(Enc):この暗号化アルゴリズムEncは、平文m、ユーザーであるIDの識別子ID、および主題名であるjobを入力としてとる確率的アルゴリズムである。mの暗号文Cを出力する。
【0072】
(5)再暗号化(REnc):再暗号化アルゴリズムREncは、ユーザーIDに対するmの暗号文C、対応するユーザーの識別子であるID及びID′を入力としてとる。ユーザーID′によって復号可能なmの暗号文C′を出力する。
【0073】
(6)復号化(Dec):この復号化アルゴリズム(DecID, Decjob,
RDecID’) は、元の/基本の復号化アルゴリズムであるDecID、代理復号化アルゴリズムであるDecjob、再暗号化された暗号文C′に対応する復号化アルゴリズムであるRDecID’から成る決定のアルゴリズムである。
【0074】
(6ア)DecIDは暗号文C及びユーザーIDの元の復号鍵SKIDを入力としてとる。Cの平文mを出力する。
【0075】
(6イ)Decjobは、暗号文Cjob、代理鍵
、及びユーザーIDの識別子であるID及びjobを入力としてとる。Cjobの平文mを出力する。
【0076】
(6ウ)RDecID’は、ユーザーID′用として再暗号化された暗号文C’と、ユーザーID′の元の復号鍵SKID’を入力としてとる。これに対応する平文mを出力する。
【0077】
この上記二機能付きプロキシ暗号システムにおいて、委任主題であるjobは、プロキシの「識別子」として作用する。そのため、暗号者は元復号者のプロキシが誰であるか、即ち、ユーザーIDについて知る必要はない。
【0078】
<正確性>
正確性の特性を有するためには、所与のマスター秘密鍵である msk 、システムパラメータである params、メッセージスペースにおけるあらゆるメッセージ m、および任意のIDの秘密鍵 SKID ← PKG(1k) に対して次の条件が満たされなければならない。
【0079】
【0080】
<本願の方式>
図2は本発明の概略の動作フローを示したフローチャートである。次に同図を参照しながら本願の方式について説明する。
設定(ステップS101):信任を受けている権限である PKG は次のとおりである。
BDHパラメータ生成元であるIGを入力された1k上で動作させて、素数p,次数pの2つの乗法群G1とG2、及び適格性を有する
である。
【0081】
元の復号鍵抽出(ステップS102):PKGはユーザーIDに対する復号鍵を、
を計算することで生成する。
【0082】
代理(プロキシ)鍵分配(ステップS103):各プロキシに対する長期間用個人代理鍵、及び自身の全プロキシに対する短期間用共通データを生成する前に、ユーザーIDが
を計算する。
【0083】
代理復号鍵(ステップS103A):Job、すなわちユーザーIDのプロキシの1つは、主題であるjobの復号化権限を委任される。ユーザーIDとしては、
を送る。
【0084】
代理再暗号鍵(ステップS103B):ユーザーIDは再暗号鍵である
を送る。
【0085】
共通データの分配(PDK):ユーザーIDは、
・
d1を自身のプロキシに送信する。
のように計算する。
【0086】
乱数dτを変えることによって、1日に1度 Y(τ) を更新する。そのとき、プロキシの情報が含まれないので、Y(τ)は自身の全プロキシに対する共通データである。
【0087】
パラメータυ(またはγ)、job ∈ {job1,…,
jobn} に対するdjob、及びτ=τ1, τ2に対するdτは、ユーザーID自身によって秘密が保たれなければならないことに注意する。
【0088】
暗号化(Enc)(ステップS104):
を計算する。
復号者に
を送信する。
【0089】
再暗号化(ステップS106):
を計算し、
・ユーザーID′にC´=(C´1、C2、C3)を送信する。
【0090】
復号化:
DecID:(C1、C2、C3)が入力されると、元の復号者であるIDはいかなる主題下にある暗号文も、
を計算することによって復号することができる。
【0091】
Decjob:(C1、C2、C3、C4、C5)が入力されると、Jobは自身の主題であるJobに対する暗号文の代理復号機能を、
を計算することによって実行する。
【0092】
RDecID´:(C´1、C2、C3)が入力されると、秘密鍵としてSKID’ =(d’0,
d’1)を持つユーザーID′は、
を計算することによって復号機能を実行する(ステップS105)。
【0093】
ここで注意すべきは、上記の機能は当該基本の復号機能である、
RDecID’
(C’) = Dec ID’ (C’)と区別できない点に注意する。
【0094】
<正確性>
正確性は以下のように立証されうる。
Dec
ID :
【0095】
【0096】
【0097】
したがって、
【0098】
<安全性>
プロキシであるJobの役割変更、Jobの代理鍵の露呈、Jobの破損などのような場合においては、委任者がJobの代理復号権限を無効化することができることが望ましい。また、プロキシは代理復号権限及び代理再暗号権限の両方を委任されるため、二機能付きプロキシ暗号システムは、少なくとも以下の安全性要件を満たすべきである。
【0099】
(1)委任者であるユーザーIDは、いかなる主題下のいかなる平文も取得可能であること。
(2)プロキシであるJobは、自身の主題であるjob下にあるIDに対する代理復号機能を行うことのみ可能であり、他の主題に対してはその機能を行うことができないこと。
(3)再暗号鍵rkID → ID’を委任されたプロキシは、IDの識別子(であって他のいかなるユーザーの識別子ではなく)で暗号化された暗号文をID′の秘密鍵で復号可能な暗号文に変換することのみ可能であること。
(4)ユーザーであるID′は、そのプロキシの協力がなければ、対応する平文を取得することができないこと。
(5)委任者は、必要であれば、Jobの代理権限を無効にすることができること。送信者側の無駄な作業を避けるために、プロキシに割り当てられる主題は、プロキシの復号権限が無効化される場合には、不変の状態のままであるべきである。
【発明を実施するための形態】
【0100】
以下、図面を参照して本発明を実施するための形態について説明する。なお、以下では、本発明の目的を達成するための説明に必要な範囲を模式的に示し、本発明の該当部分の説明に必要な範囲を主に説明することとし、説明を省略する箇所については公知技術によるものとする。
【0101】
図3は、本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システムの構成を示した機能ブロック図である。図4はそのうちの元復号者装置10の詳細な構成を、図5はPKG装置20の詳細な構成を、図6はプロキシ装置30の詳細な構成を、図7は送信者装置40の詳細な構成を、図8は元復号者信頼先装置11の詳細な構成を、それぞれ示している。
【0102】
図3に示すとおり、IDベース二機能付きプロキシ(2−F IBP)暗号システム1は、機密文書の主受け取り手である元復号者装置10、元復号者からの厚い信頼を受ける信頼先である元復号者信頼先装置11、システムに共通なパラメータの設定や秘密鍵の生成・送信等を行うセンター的機能を持つPKG装置20、元復号者のジョブごとの代理人(たとえば秘書)に係るプロキシ装置30、元復号者の代理人であるプロキシに対して情報を暗号化して送信する送信者装置40がネットワーク50を介して通信可能に連接されて構成される。同図において、矢印はその方向に情報が伝達・配信されることを示している。
【0103】
元復号者のジョブごとの代理人たるプロキシは、図3Aに示されるように、ジョブごとに設けられ、また、何人いてもよい。
【0104】
元復号者装置10(図4)は、プロキシ鍵を生成するプロキシ鍵生成分配部101と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部103と、ネットワークを介して外部装置との間で情報のやり取りをする送受信部105とを備えて構成される。プロキシ鍵生成分配部101は、代理復号鍵生成部1011と、代理再暗号鍵生成部1012とを備えて構成される。
【0105】
PKG装置20(図5)は、システムに共通するパラメータの設定等の各種設定機能を実行するセットアップルーチン部201と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部203と、元の復号者が復号する場合の鍵を生成するための元の復号鍵生成部205と、ネットワークを介して外部装置との間で情報のやり取りをする送信部207及び受信部209とを備えて構成される。
【0106】
プロキシ装置30(図6)は、ネットワークを介して外部装置との間で情報のやり取りをする送受信部301と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部303と、パラメータに記述されたC=(C1、C2、C3、C4、C5)のうちどのデータが存在しているかによって代理人の当該ジョブに対する代理権限を判定するルーチン判定部305と、代理人に代理復号権限が与えられるときに代理復号化を行う復号化部307と、代理人に代理再暗号権限が与えられるときに代理再暗号化を行う再暗号化部309とを備えて構成される。
【0107】
送信者装置40(図7)は、平文を所定のIDを用いて暗号化する暗号化部401と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部403と、ネットワークを介して外部装置との間で情報のやり取りをする送受信部405とを備えて構成される。
【0108】
元復号者信頼先装置11(図8)は、ネットワークを介して外部装置との間で情報のやり取りをする送受信部111と、各アルゴリズムとの間で情報の授受・記憶を行う記憶部113と、元の復号者から委任されて再暗号文を復号する場合の鍵を生成するための復号鍵算出部115と、復号鍵算出部115で算出された復号鍵を用いてプロキシから送信された再暗号文を復号する復号化部117とを備えて構成される。
【0109】
次に、上記のように構成されるIDベース二機能付きプロキシ(2−F IBP)暗号システムの動作について説明する。
【0110】
図9は、本発明の一実施形態に係るIDベース二機能付きプロキシ(2−F IBP)暗号システム1の動作及び情報のやり取りのタイミングを表したタイミング・フローチャートである。同図に示すとおり、まず、PKGセンター20のセットアップルーチン部201がシステムに共通するパラメータ設定等の各種設定機能を実行する(ステップS101)。設定されたパラメータを含む各種情報は記憶部203に格納される。このパラメータに関して、上述したように、素数p,次数pの2つの乗法群G1とG2、及び双線形写像
として、これらの関数として定義されるから、楕円曲線上の離散対数の原理から、復号化鍵の計算困難性を有効に享受でき、攻撃者、剽窃者からの情報盗難を効果的に排除できることになる。
【0111】
次に、元復号者装置10の送受信部105及び元復号者信頼先11の送受信部111により、それぞれ自分の識別子情報がPKGセンター20に対して送信される(ステップS10−1)。受信部209はこれを受信し(ステップS20−1)、受信したデータを記憶部203に格納する。
【0112】
次に、元の復号鍵生成部205が元の復号鍵の生成アルゴリズムKeyGenによって、それぞれ元復号者装置10及び元復号者信頼先11の復号鍵を生成し(ステップS102)、記憶部203に格納する。このアルゴリズムにおいては、有限体上の離散対数問題の性質からgとgαが知られていたとしてもαは実質的に解読が困難であるから、生成される複合鍵SKIDは高セキュリティ性を保持でき、攻撃者、剽窃者からの情報盗難を効果的に排除できる。
【0113】
次に、こうして生成された元の復号鍵を、送信部207が安全チャンネルを介して、それぞれ元復号者装置10及び元復号者信頼先11に対して送信する(ステップS20−2)と、元復号者装置10の送受信部105が受信して(ステップS10−2)、これを記憶部103に記録する。元復号者信頼先11の送受信部111が受信して(ステップS10−2)、これを記憶部113に記録する。
【0114】
次に元復号者装置10では、プロキシ鍵生成分配部101が代理鍵の生成を行う(ステップS103)。具体的には、代理復号鍵生成部1011が代理復号鍵生成機能を、代理再暗号鍵生成部1012が代理再暗号鍵生成機能を果たすように動作する(ステップS103A、S103B)。代理復号鍵生成部1011は上述したように、代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムとして、
ユーザーIDとしては、
を送ることを実行する(ステップS103A)。なお、生成された代理復号鍵は記憶部103に格納される。
【0115】
代理再暗号鍵生成部1012は上述したように、代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムとして、
前記ユーザーIDは再暗号鍵である
を送ることを実行する(ステップS103B)。なお、生成された代理再暗号鍵は記憶部103に格納される。
【0116】
こうして生成された代理鍵を送受信部105が安全チャンネルを介してプロキシ装置30に対して送信(分配)する(ステップS10−4)と、プロキシ装置30では送受信部301がこれを受信して(ステップS30−1)、記憶部303に格納する。
【0117】
一方、送信者40では元復号者10に対して伝達を所望する平文を、暗号化部401が公開鍵を用いて暗号化して暗号文Cを生成する(ステップS104)。具体的には、上述のように、暗号化部401は、暗号化(Enc)アルゴリズムとして、
を送信することを実行する(ステップS104)。こうして作成された暗号文Cを記憶部403に格納するとともに送受信部405がネットワーク50を介してプロキシ装置30に対して送信する(ステップS104)と、プロキシ装置30では送受信部301がこの暗号文Cを受信して(ステップS30−2)、記憶部303に格納する。
【0118】
次に、プロキシ装置30のルーチン判定部305が、暗号文C中の特定パラメータを読み取ることにより、代理人に委任された代理権限及び爾後の処理ルーチンを判定する(ステップS30−3)。具体的には、上述したように、暗号文においてC=(C1、C2、C3)で指標される場合(つまり、C4、C5が値を持たない場合)には、一級情報すなわち元復号者IDしか復号できない情報として判断でき、代理人Jobとしての対応は、暗号文Cをそのまま元復号者IDへ渡す。暗号文においてC=(C1、C2、C3、C4)で指標される場合(つまり、C5が値を持たない場合)には、二級情報すなわちプロキシは解読できないが、元復号者IDが指定した元復号者信頼者ID’へ再暗号化できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを再暗号文C’ に代理再暗号化し、元復号者信頼者ID’へ渡す。暗号文においてC=(C1、C2、C3、C4、C5)で指標される場合には、三級情報すなわちプロキシが解読できる情報として判断でき、代理人Jobとしての対応は、暗号文Cを代理復号する。このように、暗号文CにパラメータであるC1、C2、C3、C4、C5のうちの必要要素を適宜含ませる/含ませないことで暗号文Cの情報としての機密の級別を行うことができる。
【0119】
上記で代理人(プロキシ装置30)に代理復号権限が与えられていると判断されるときには、復号化部307が復号鍵を用いて復号化を行う(ステップS105)。具体的には、復号化部307は、Decjob:(C1、C2、C3、C4、C5)が入力されると、Jobは自身の主題であるJobに対する暗号文の代理復号機能を、
を計算することによって実行する(ステップS105)。
【0120】
(プロキシ装置30)に復号権限が与えられていず、代理再暗号化権限が与えられていると判断されるときには、再暗号化部309が再暗号化を行う(ステップS106)。具体的には、再暗号化部309は、再暗号化(REnc)アルゴリズムとして、
を計算し、ユーザーID′に対してC´=(C´1、C2、C3)を送信することを実行する(ステップS106)。なお、この場合、プロキシとしてはもとの暗号文Cを復号化することはできないで、暗号化されたCに対して更なる暗号化(再暗号化)をかけることになる。こうして得られた再暗号文は記憶部303に格納される。
【0121】
ステップS106で再暗号化された再暗号文C´は、送受信部301がネットワーク50を介して元復号者信頼先装置11に対して送信する(ステップS30−4)と、元復号者信頼先装置11側では送受信部111がこれを受信して(ステップS11−1)、記憶部113に格納する。
【0122】
次に、元復号者信頼先装置11の復号鍵算出部115が復号鍵を自身のID情報をもとに算出する。
【0123】
次に、元復号者信頼先装置11の復号化部117が上記で算出された復号鍵を元に、再暗号文C´を復号化する(ステップS107)。具体的には、復号化部117としては、
RDecID´:(C´1、C2、C3)が入力されると、秘密鍵としてSKID’ =(d’0,
d’1)を
持つことで、
を計算することによって復号機能を実行する(ステップS107)。こうして復号されて得られた平文mは、記憶部113に格納される。
【0124】
ここで、上記の機能は当該基本の復号機能である、
RDecID’(C’)
= DecID’(C’)と区別できない。したがって、元復号者信頼先装置11側としては、暗号化されたものなのか再暗号化されたものなのかに拘らず、同じ自身のID´情報を用いて復号化できる。
【0125】
ここで、代理人の代理権限解除について補足する。
暗号者による無駄な作業を避けるため、代理復号者に割り当てられたボブの公開情報鍵、およびサブジェクトは、代理による代理権限が無効とされる場合、変えず不変の状態で保持されねばならない。
まず、新しいパラメータv*を使ってデータY (τ)を更新する。
次に、新しいパラメータに関して、他のプロキシに対する代理鍵を更新する。
次に、上記の新しいパラメータv*と他のアシスタントd*jobに関する復号権限を委任する前に、元の復号DecIDを実行する。
【0126】
以上、詳細に説明したように、本発明によれば、代理復号と代理再暗号の機能を同時に有する二機能付きIDベースプロキシ暗号システムが実現される。したがって、これまで単機能でしか存在していなかった代理暗号システムに、より資源の無駄をなくし、効率的で、実用上の利用価値の高いものを提供することができる。
【0127】
また、本発明によれば、各アルゴリズムは識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータを変数とする関数として構成されるために、楕円曲線上の離散対数の原理による計算量困難性の効果が享受される。したがって、公開されている情報から復号化の鍵を算出するのには、たとえコンピュータによる高速計算を行っても膨大な時間を要することとなり実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難や反セキュリティ活動を効果的に排除できる。
【0128】
また、本発明によれば、代理権(代理復号権限と代理再暗号権限)を解除可能となるシステムが実現される。より詳細には、プロキシ復号鍵情報及びプロキシ再暗号化鍵情報が含んでいる関数は第1の復号者端末によって設定可能なデータを変数とするために、当初センター経由で設定されたプロキシ復号鍵情報及びプロキシ再暗号化鍵情報であっても、その後、第1の復号者が任意に当該変数を変えることでこれら鍵情報も変更されるので、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【0129】
また、上記の数式中に、α(選択した乱数)の値を関数式から合理的に消去してしまう工夫が施されているので、αの設定と暗号の機密性とを別個独立のものとすることができる。したがって、管理上の必要に応じて自由度高く機密管理を行うことを可能とする暗号システムが実現される。
【0130】
上記では、IDベース二機能付きプロキシ暗号システム(2−F IBP システム)を呈示したが、これは多機能プロキシ暗号システムの一例である。この2−F IBP システムのプロキシは、委任者のために2つの機能、つまり代理復号機能および代理再暗号機能を行うように委任されたものである。当該提案に係る2−F IBP システムは、解除可能性の特性を継承したものである。多機能暗号システムは安全性、および安全なセンサーネットワークを構築するために活用することが可能である。
【0131】
将来的には、代理権の有効性は Y (τ)でコントロールされるから、一人のプロキシの代理権を廃止するため、全員のプロキシの鍵を更新しなければならない点を改善したい。また、二機能を超えた多機能までの拡張したい。
【0132】
上述した実施形態は、本発明に係る技術思想を具現化するため一例を示したにすぎないものであり、他の実施形態でも本発明に係る技術思想を適用することが可能である。
【0133】
さらにまた、本発明を用いて生産される装置、方法、システムが、その2次的生産品に搭載されて商品化された場合であっても、本発明の価値は何ら減ずるものではない。
【産業上の利用可能性】
【0134】
上述したように、本願によれば、本発明によれば、代理復号と代理再暗号の機能を同時に有する二機能付きIDベースプロキシ暗号システムが実現される。したがって、これまで単機能でしかなかった代理暗号システムに、より資源の無駄をなくし、効率的で、実用上の利用価値の高いものを提供することができる。また、実質的に鍵の入手を困難ならしめることから、攻撃者、剽窃者からの情報盗難を効果的に排除できる。さらに、プロキシとして選定された代理人の代理権限を簡易に、センターに依頼することなく、解除することができる。したがって、利便性がよいと同時に、機密保持環境の変動に即時的に対応できる態勢で安全性の向上が実現される。
【0135】
したがって、本願に係る暗号システムを製造する情報処理産業において相対的に廉価化及び高効率化が可能となり、この効果は、情報産業にとどまらず、広く暗号システムが活用されるあらゆる産業、たとえば金融産業、証券産業を始め、観光業、サービス業、安全産業等のあらゆる産業にとって、非常に巨大な有益をもたらすものである。
【符号の説明】
【0136】
1…IDベース二機能付きプロキシ暗号システム、10…元復号者装置、11…元復号者信頼先装置、20…PKG装置、30…プロキシ装置、40…送信者装置、50…ネットワーク
【特許請求の範囲】
【請求項1】
第1の復号者端末、第2の復号者端末のそれぞれに関する公開情報である第1復号者端末識別子情報及び第2復号者端末識別子情報が、前記第1の復号者端末からセンターに対して送信されるステップと、
前記送信された識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータの関数である秘密鍵情報及び再暗号化鍵情報が前記センターから前記第1の復号者端末に対して送信されるステップと、
前記第1の復号者から特定のジョブについて委任される代理者に係るプロキシ端末に対して前記第1の復号者端末から、委任ジョブ情報及び前記秘密鍵情報に基づくプロキシ復号鍵情報と、前記委任ジョブ情報及び前記再暗号化鍵情報に基づくプロキシ再暗号化鍵情報とが送信されるステップと、
伝達内容である平文が前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化されて暗号文に変換されるステップと、
前記暗号文が送信者端末から前記プロキシ端末に対して送信されるステップと、
前記プロキシ端末にて受信された前記暗号文が前記プロキシ再暗号化鍵情報を用いて再暗号化され、この再暗号化文が前記プロキシ端末から前記第2の復号者端末に対して送信されるステップ、もしくは代替的に、前記プロキシ端末にて受信された暗号文が前記プロキシ復号鍵情報を用いて前記平文に復号化されるステップと、
前記再暗号化文が前記第2の復号者端末にて受信された場合には、該受信された再暗号化文が前記第2復号者端末識別子情報を用いて得られる鍵情報を用いて前記平文に復号化されるステップと
を具備し、
前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記第1の復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする二機能付きIDベース暗号化方法。
【請求項2】
伝達対象である平文を公開鍵を用いて暗号化した暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人であるプロキシ端末において受信され、公開情報である前記元復号者端末に係る識別子情報を用いて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、記憶装置を備え、
セキュリティパラメータ1kが入力されて前記記憶装置に記憶され、該記憶装置から読みだされた前記セキュリティパラメータ1kを用いて認証者のマスター秘密鍵情報msk、前記システムで共有される公開パラメータparamsが双線形ペアリングを適用して算出・出力される設定(setup)アルゴリズムと、
システムパラメータparams、前記設定(setup)アルゴリズムで出力された前記マスター秘密鍵情報msk及び前記元復号者端末に係る識別子情報であるユーザーIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーIDに対応する秘密鍵情報SKIDが算出・出力される元の復号鍵の生成(KeyGen)アルゴリズムと、
代理鍵の分配(ProxyKeyGen)アルゴリズムと、
平文情報m、前記ユーザーID、前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記平文情報mの暗号文情報Cが算出・出力される暗号化(Enc)アルゴリズムと、
前記暗号文情報C、前記ユーザーID及び前記元復号者信頼先端末に係る識別子情報であるユーザーID′が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーID′に係る前記元復号者信頼先端末によって復号可能な前記平文情報mの暗号文情報C′が算出・出力される再暗号化(REnc)アルゴリズムと、
復号化アルゴリズム(DecID, Decjob,
RDecID’)と
をコンピュータに実行させるプログラムを有し、
前記代理鍵の分配(ProxyKeyGen)アルゴリズムは、
前記システムパラメータparams、前記元の復号鍵の生成(KeyGen)アルゴリズムで出力された前記秘密鍵情報SKID、および前記プロキシ端末に委任されるジョブに係る主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記主題情報jobに基づく前記ユーザーIDに係る代理復号鍵が算出・出力される代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムと、
前記システムパラメータparams、前記マスター秘密鍵情報msk、前記元復号者端末に係る識別子情報及び元復号者信頼先端末に係る識別子情報(ID→ID’)が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて代理再暗号鍵情報rKID→ID’が算出・出力される代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムとを備え、
前記復号化アルゴリズム(DecID, Decjob,
RDecID’)は、
前記暗号文情報C及び前記ユーザーIDの元の復号鍵情報SKIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記暗号文情報Cの平文mが算出・出力される元の/基本の復号化アルゴリズムDecIDと、
暗号文情報Cjob、代理鍵情報、前記ユーザーID及び前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記Cjobの平文mを算出・出力する代理復号化アルゴリズムDecjobと、
前記ユーザーID′用として再暗号化された暗号文情報C’及び前記ユーザーID′の前記元の復号鍵情報SKID’が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いてこれに対応する平文情報mが算出・出力される復号化アルゴリズムRDecID’とを備えることを特徴とする暗号システム。
【請求項3】
伝達対象である平文が公開鍵を用いて暗号化された暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人に係るプロキシ端末において受信され、公開情報である前記元復号者に係る識別子情報に基づいて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、
前記センター装置は、ネットワークを介して前記元復号者端末及び元復号者信頼先端末のそれぞれに関する公開情報である元復号者端末識別子情報及び元復号者信頼先端末識別子情報を受信しこれらを記憶装置に記録するための受信部と、前記記憶装置に記録された前記元復号者端末識別子情報及び/もしくは元復号者信頼先端末識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められたパラメータを含む関数としての秘密鍵情報及び再暗号化鍵情報を生成しこれら生成された各情報を前記記憶装置に記録する復号鍵生成部と、前記記録装置から前記秘密鍵情報及び前記再暗号化鍵情報を読みだしネットワークを介して送信する送信部とを具備し、
前記元復号者端末は、ネットワークを介して情報を送受信する元復号側送受信部と、前記元復号側送受信部を介して前記センター装置から受信した前記秘密鍵情報委任ジョブ情報に基づいてプロキシ復号鍵情報を生成し前記再暗号化鍵情報及び前記委任ジョブ情報に基づいてプロキシ再暗号化鍵情報を生成して前記元復号側送受信部を介して前記プロキシ端末に対して送信するプロキシ鍵生成分配部とを具備し、
前記送信者端末は、前記平文を公開情報である前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化する暗号化部と、前記暗号化された暗号文をネットワークを介して前記プロキシ端末に対して送信する送信側送信部とを具備し、
前記プロキシ端末は、ネットワークを介して情報を送受信するプロキシ側送受信部と、前記プロキシ側送受信部により受信された前記暗号文に書き込まれたパラメータ情報に応じて処理ルーチンを判定するルーチン判定部と、前記選択部により再暗号化ルーチンが選択された場合には前記プロキシ再暗号化鍵情報を用いて前記暗号文に対して再暗号化処理し得られた再暗号化文をプロキシ側記録装置に記憶し該再暗号化文をプロキシ側送受信部を介して前記元復号者信頼先端末に対して送信する再暗号化部と、前記選択部により復号化ルーチンが選択された場合には前記暗号文を前記プロキシ復号鍵情報を用いて前記平文に復号化するプロキシ側復号部とを具備し、
前記元復号者信頼先端末は、ネットワークを介して情報を送受信する元復号者信頼先側送受信部と、元復号者信頼先端末に係る識別子情報を用いて復号鍵情報を算出する復号鍵算出部と、前記元復号者信頼先側送受信部を介して前記プロキシ端末から受信した前記再暗号化文を前記復号鍵情報を用いて前記平文に復号化する元復号者信頼先側復号部とを具備し、
前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記元復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする暗号システム。
【請求項1】
第1の復号者端末、第2の復号者端末のそれぞれに関する公開情報である第1復号者端末識別子情報及び第2復号者端末識別子情報が、前記第1の復号者端末からセンターに対して送信されるステップと、
前記送信された識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められるシステム共有パラメータの関数である秘密鍵情報及び再暗号化鍵情報が前記センターから前記第1の復号者端末に対して送信されるステップと、
前記第1の復号者から特定のジョブについて委任される代理者に係るプロキシ端末に対して前記第1の復号者端末から、委任ジョブ情報及び前記秘密鍵情報に基づくプロキシ復号鍵情報と、前記委任ジョブ情報及び前記再暗号化鍵情報に基づくプロキシ再暗号化鍵情報とが送信されるステップと、
伝達内容である平文が前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化されて暗号文に変換されるステップと、
前記暗号文が送信者端末から前記プロキシ端末に対して送信されるステップと、
前記プロキシ端末にて受信された前記暗号文が前記プロキシ再暗号化鍵情報を用いて再暗号化され、この再暗号化文が前記プロキシ端末から前記第2の復号者端末に対して送信されるステップ、もしくは代替的に、前記プロキシ端末にて受信された暗号文が前記プロキシ復号鍵情報を用いて前記平文に復号化されるステップと、
前記再暗号化文が前記第2の復号者端末にて受信された場合には、該受信された再暗号化文が前記第2復号者端末識別子情報を用いて得られる鍵情報を用いて前記平文に復号化されるステップと
を具備し、
前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記第1の復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする二機能付きIDベース暗号化方法。
【請求項2】
伝達対象である平文を公開鍵を用いて暗号化した暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人であるプロキシ端末において受信され、公開情報である前記元復号者端末に係る識別子情報を用いて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、記憶装置を備え、
セキュリティパラメータ1kが入力されて前記記憶装置に記憶され、該記憶装置から読みだされた前記セキュリティパラメータ1kを用いて認証者のマスター秘密鍵情報msk、前記システムで共有される公開パラメータparamsが双線形ペアリングを適用して算出・出力される設定(setup)アルゴリズムと、
システムパラメータparams、前記設定(setup)アルゴリズムで出力された前記マスター秘密鍵情報msk及び前記元復号者端末に係る識別子情報であるユーザーIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーIDに対応する秘密鍵情報SKIDが算出・出力される元の復号鍵の生成(KeyGen)アルゴリズムと、
代理鍵の分配(ProxyKeyGen)アルゴリズムと、
平文情報m、前記ユーザーID、前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記平文情報mの暗号文情報Cが算出・出力される暗号化(Enc)アルゴリズムと、
前記暗号文情報C、前記ユーザーID及び前記元復号者信頼先端末に係る識別子情報であるユーザーID′が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記ユーザーID′に係る前記元復号者信頼先端末によって復号可能な前記平文情報mの暗号文情報C′が算出・出力される再暗号化(REnc)アルゴリズムと、
復号化アルゴリズム(DecID, Decjob,
RDecID’)と
をコンピュータに実行させるプログラムを有し、
前記代理鍵の分配(ProxyKeyGen)アルゴリズムは、
前記システムパラメータparams、前記元の復号鍵の生成(KeyGen)アルゴリズムで出力された前記秘密鍵情報SKID、および前記プロキシ端末に委任されるジョブに係る主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記主題情報jobに基づく前記ユーザーIDに係る代理復号鍵が算出・出力される代理復号鍵の生成(ProxyDecKeyGen)アルゴリズムと、
前記システムパラメータparams、前記マスター秘密鍵情報msk、前記元復号者端末に係る識別子情報及び元復号者信頼先端末に係る識別子情報(ID→ID’)が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて代理再暗号鍵情報rKID→ID’が算出・出力される代理再暗号鍵の生成(ProxyReKeyGen)アルゴリズムとを備え、
前記復号化アルゴリズム(DecID, Decjob,
RDecID’)は、
前記暗号文情報C及び前記ユーザーIDの元の復号鍵情報SKIDが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記暗号文情報Cの平文mが算出・出力される元の/基本の復号化アルゴリズムDecIDと、
暗号文情報Cjob、代理鍵情報、前記ユーザーID及び前記主題情報jobが入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いて前記Cjobの平文mを算出・出力する代理復号化アルゴリズムDecjobと、
前記ユーザーID′用として再暗号化された暗号文情報C’及び前記ユーザーID′の前記元の復号鍵情報SKID’が入力されて前記記憶装置に記憶され、該記憶装置から読みだされたこれらの情報を用いてこれに対応する平文情報mが算出・出力される復号化アルゴリズムRDecID’とを備えることを特徴とする暗号システム。
【請求項3】
伝達対象である平文が公開鍵を用いて暗号化された暗号文が送信者端末から送信され、これが元復号者の特定のジョブについて委任される代理人に係るプロキシ端末において受信され、公開情報である前記元復号者に係る識別子情報に基づいて再暗号化しもしくは復号化され、前記再暗号化された場合には該再暗号文が受信された元復号者信頼先端末において自身の識別子情報を用いて復号化される二機能付きIDベース暗号システムにおいて、
前記センター装置は、ネットワークを介して前記元復号者端末及び元復号者信頼先端末のそれぞれに関する公開情報である元復号者端末識別子情報及び元復号者信頼先端末識別子情報を受信しこれらを記憶装置に記録するための受信部と、前記記憶装置に記録された前記元復号者端末識別子情報及び/もしくは元復号者信頼先端末識別子情報を元に双線形ペアリングを適用したアルゴリズムによって求められたパラメータを含む関数としての秘密鍵情報及び再暗号化鍵情報を生成しこれら生成された各情報を前記記憶装置に記録する復号鍵生成部と、前記記録装置から前記秘密鍵情報及び前記再暗号化鍵情報を読みだしネットワークを介して送信する送信部とを具備し、
前記元復号者端末は、ネットワークを介して情報を送受信する元復号側送受信部と、前記元復号側送受信部を介して前記センター装置から受信した前記秘密鍵情報委任ジョブ情報に基づいてプロキシ復号鍵情報を生成し前記再暗号化鍵情報及び前記委任ジョブ情報に基づいてプロキシ再暗号化鍵情報を生成して前記元復号側送受信部を介して前記プロキシ端末に対して送信するプロキシ鍵生成分配部とを具備し、
前記送信者端末は、前記平文を公開情報である前記第1復号者端末識別子情報及び前記委任ジョブ情報を用いて暗号化する暗号化部と、前記暗号化された暗号文をネットワークを介して前記プロキシ端末に対して送信する送信側送信部とを具備し、
前記プロキシ端末は、ネットワークを介して情報を送受信するプロキシ側送受信部と、前記プロキシ側送受信部により受信された前記暗号文に書き込まれたパラメータ情報に応じて処理ルーチンを判定するルーチン判定部と、前記選択部により再暗号化ルーチンが選択された場合には前記プロキシ再暗号化鍵情報を用いて前記暗号文に対して再暗号化処理し得られた再暗号化文をプロキシ側記録装置に記憶し該再暗号化文をプロキシ側送受信部を介して前記元復号者信頼先端末に対して送信する再暗号化部と、前記選択部により復号化ルーチンが選択された場合には前記暗号文を前記プロキシ復号鍵情報を用いて前記平文に復号化するプロキシ側復号部とを具備し、
前記元復号者信頼先端末は、ネットワークを介して情報を送受信する元復号者信頼先側送受信部と、元復号者信頼先端末に係る識別子情報を用いて復号鍵情報を算出する復号鍵算出部と、前記元復号者信頼先側送受信部を介して前記プロキシ端末から受信した前記再暗号化文を前記復号鍵情報を用いて前記平文に復号化する元復号者信頼先側復号部とを具備し、
前記プロキシ端末に送信される前記プロキシ復号鍵情報及び前記プロキシ再暗号化鍵情報には前記元復号者端末によって設定可能なデータを変数とする関数が含まれることを特徴とする暗号システム。
【図1】
【図2】
【図3】
【図3A】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図3A】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−55309(P2011−55309A)
【公開日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願番号】特願2009−203184(P2009−203184)
【出願日】平成21年9月3日(2009.9.3)
【出願人】(301022471)独立行政法人情報通信研究機構 (1,071)
【Fターム(参考)】
【公開日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願日】平成21年9月3日(2009.9.3)
【出願人】(301022471)独立行政法人情報通信研究機構 (1,071)
【Fターム(参考)】
[ Back to top ]