暗号技術を使用する電子メッセージの管理およびフィルタ処理の方法及びシステム
【課題】電子通信を安全にし、スパム対処への支援を同時に行う暗号法を提供する。
【解決手段】スパムのような悪意のあるトラフィックの量を、通常のトラフィックを妨げることなく制限できる方法で、公開鍵暗号技術を使用する。外に送信されるメッセージ28は、送信者20からのメッセージデータ26に対して行われた暗号演算から得られた結果を含む。この結果は、受信者22により暗号技術を使用して検証される。検証に成功したメッセージは、信頼フォルダ34に送られる。検証に失敗したメッセージは、自由に廃棄できる通常フォルダ36に送られる。検証プロセスはこのように、信頼できるメッセージと他のメッセージの間のフィルタ32として機能する。随意に、検証過程で判定された既知のスパム送信者からのメッセージは、即時、削除できる。
【解決手段】スパムのような悪意のあるトラフィックの量を、通常のトラフィックを妨げることなく制限できる方法で、公開鍵暗号技術を使用する。外に送信されるメッセージ28は、送信者20からのメッセージデータ26に対して行われた暗号演算から得られた結果を含む。この結果は、受信者22により暗号技術を使用して検証される。検証に成功したメッセージは、信頼フォルダ34に送られる。検証に失敗したメッセージは、自由に廃棄できる通常フォルダ36に送られる。検証プロセスはこのように、信頼できるメッセージと他のメッセージの間のフィルタ32として機能する。随意に、検証過程で判定された既知のスパム送信者からのメッセージは、即時、削除できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的には、電子メッセージを管理する分野に関する。特に、本発明は、電
子メッセージを管理し、依頼してもいない、かつ不要な電子メッセージをフィルタ処理す
るシステムと方法に関する。
【背景技術】
【0002】
我々が皆気付いているように、一般的には「スパム電子メール」と呼ばれる、依頼して
もいない、かつ不要な電子メールは、非常に不快なものになってきており、電子メールを
使用するすべての人にとって、総合的な問題となりつつある。更に最近になって、携帯電
話へのショートテキストメッセージの一斉同報や、あるオペレーティングシステムを起動
しているパソコンへの、ポップアップ式のインスタントメッセージや、VoIP(Voice
over InternetProtocol)のユーザーへのデジタル化電話メッセージまたはボイスメール
など、依頼してもいない電子メッセージの携帯通信装置への一斉同報が出現してきた。ス
パム送信者、つまり、スパムメッセージを多数の受信者に区別なく一斉同報する送信者は
、インターネットを、ほとんどの人々が見たくも聞きたくもないすべての種類の公告およ
び勧誘であふれさせる。スパム送信者は、典型的に1日当り数十億のメッセージという大
量のメーリングを送信していると一般的に概算されている。概算は、ほとんどの電子メー
ルトラフィックはスパムであり、インターネット全体のトラフィックの相当なパーセンテ
ージがスパムであることを示している。
【0003】
スパム送信者は、電子メールアドレスのような、受信者のネットワークアドレスを典型
的には、電子メールリストを購入したり、ウェブページで電子メールアドレスを探したり
(ある場合には、ウェブサイト上に掲載した電子メールアドレスが、掲載後数分のうちに
スパム電子メールを受信することもある)、登録されたドメイン名にありそうなユーザー
名を付けることによりありそうなアドレスを調べるなどして見つける。スパム送信者はま
た、メーリングリストを読み取ることもでき、理論的には、彼らのサーバーを通過するす
べての電子メールまたは類似のインターネットトラフィックを走査して、その中に含まれ
る有効なユーザーネットワークアドレスを手に入れることができる。
【0004】
スパムに対処すべく、種々の解決法が考案された。下記には、スパム電子メールに対処
するときに、これらの方法が直面する難しさのいくつかを単に取り上げているが、それら
はまた、スパムの他の形式に対処するときも同様である。
【0005】
スパムは今日では、主にフィルタを使用することで対処している。フィルタは、送信者の
ネットワークアドレス、タイトル、および内容を読み取って、スパムである証拠となる兆
候を見つけ出そうとする。スパム送信者はしばしば、新しく正規の、公的に入手でき、安
価なネットワークアドレスを入手して、送信者のアドレスフィルタにより捕獲されること
を、少なくとも一時的には回避しようとする。スパム送信者はまた、例えば、電子メール
アドレスがスパム電子メールフィルタ上ではシロと判定されそうな人間の電子メールアド
レスを偽って使用するなどして送信者のアドレスになりすますこともよくある。電子メー
ルアドレスになりすましをされると、なりすましされたアドレスを有する人にとっては、
スパム電子メールの受信者からの怒りの返信でいっぱいになり、彼らの本物の電子メール
メッセージさえもブロックするようになるので頭痛の元になる。
【0006】
タイトルと内容に基づくフィルタ処理は、スパム送信者が、そのようなフィルタを避け
て通る対抗策を考案できるので、一般的には、短期間のみ有効である。例えば、あるフィ
ルタは、ほとんどスパム電子メールにのみ現れると考えられるある言葉を探して、スパム
電子メールを検出しようとする。スパム送信者は、フィルタにより一般的に読み取られる
言葉を変更するか、これらの言葉をこれとは異なる、不正確なスペルにし、しかも人には
理解できるが、十分にランダムなので、フィルタがそれらの変形に対処できないようにす
ることで、これらのフィルタに対処する。一方では、そのようなフィルタは、場合によっ
ては正規の電子メールメッセージを捕獲することもある。他の種類のフィルタは、正規の
電子メールメッセージを、典型的なスパム電子メールには現れない言葉を探すことにより
検出しようとする。スパム送信者は、この種のフィルタは、スパム電子メールにランダム
な言葉を付け加えることにより避けて通るようにした。従って、これらの種類のフィルタ
は、スパム送信者がそのフィルタを避けて通ろうとするので、常に改訂が必要である。今
日では、ほとんどのフィルタは、スパム電子メールの約10%を通過させてしまい、依然
として、正規の電子メールメッセージをブロックしてしまうこともある。
【0007】
フィッシング(Phishing)は、アイデンティティのなりすましの別の応用であり、送信者
の電子メールアドレスが偽造される。フィッシャーは電子メールを、通常はスパムのよう
な一斉同報により送信し、銀行のような正規の機関から発信されたように装う。電子メー
ルメッセージは受信者に、ウェブサイトにログオンして、オンラインバンキングパスワー
ドを入力するような、ある行動をとるように要求する。このウェブサイトは、通常は、本
物のサイトと見かけは同じで、ウェブアドレスも非常に似ている違法な模造サイトである
。受信者は、騙されて、軽率にも、要求通りにサイトに、オンラインバンキングパスワー
ドと口座番号を入力してしまうこともある。フィッシャーは、このようにして、口座番号
と、対応するパスワードを集めることができ、被害者のオンライン口座を自由に操作して
、銀行預金をすべて引き出すことができる。受信者のわずか1%が応答したとしても、フ
ィッシャーによる金銭的損害は多大なものとなる。
【0008】
フィッシングは、受信者に電子メールで応答するように依頼する形式をとることもでき
、その時点で、受信者は対話に巻き込まれ、その話の中で、ある口座、よくあることだが
、真偽の疑わしいアフリカの王子が、彼の国からある財産を持ち出そうとしており、受信
者が決して手にすることはない、数百万ドルの報償金との交換が約束されているので、そ
の王子の口座にお金を預けるように指示される。フィッシングの他の形態は、同僚のよう
な信頼できそうに見える他人のあるなりすましされたアイデンティティで実行可能なウィ
ルスを送ることである。
【0009】
フィッシングは、送信者のアドレスとメッセージ内容を読み取るフィルタでは、スパム
よりも対処がより困難になる傾向がある。その1つの理由は、アイデンティティのなりす
ましである。フィッシャーもまた彼らの電子メールのタイトルと内容を、正規の電子メー
ルに、できるだけ近づけようとすることもできるが、ほとんどのスパム電子メールのほと
んどの広告内容は、即座に見破られてしまう。
【0010】
電子手段による通信は、近いうちに衰退する可能性は少ない。むしろ、その重要性は増
大する可能性があり、テキストからグラフィック、そしてオーディオまたはビデオデータ
へと、データのより多くの種類が電子形式で受信者に転送され、通信される可能性がある
。これは通信者にとっては便利であるが、スパム送信者にも、彼らのスパム行為を拡張す
る機会を与えることになる。スパムメッセージを処理して、調べて、削除することに関連
する生産性の損失とコストは、一般的には、容認しがたいほど大きいと考えられている。
従来のフィルタを回避するスパム送信者とフィッシャーの能力が増大したとすると、また
は彼らが、ますます、アイデンティティのなりすましの使用が増えるとすると、今日の対
処フィルタよりも更に強力なフィルタが必要となってくるであろう。スパム送信者とフィ
ッシャーの、従来のフィルタを回避する率を10%以上高めることができるとなると、よ
り強力なフィルタが特に所望される。
【0011】
暗号技術は、暗号化され認証された電子メッセージの配信に利用できる。今日の暗号
アルゴリズムは、一般的には、破ることが不可能であると思われている。これを、電子メ
ールを含めた、ネットワークのトラフィックを確実にするために使用でき、改竄、偽造、
および盗聴から守ることができる。しかし、従来から、暗号化は、金融処理または財務デ
ータのような高価値のトラフィックを保護するために使用されてきた。IETF(Intern
et EngineeringTask Force:インターネット標準化団体)は、電子メールまたは電子メ
ールを使用して送信されるデータを保護するために使用できるS/MIME(Secure Mul
tipurposeInternet Message Extensions:電子メール暗号化方式標準)プロトコルを開
発した。S/MIMEの専用的使用は、スパムまたはフィッシング電子メールを防止する
ことを支援するが、ある通常のビジネス間の通信をも妨害してしまうこともある。
【0012】
電子メールを保護することについての問題の1つは、そしてそれが今日でも普及して
いない1つの理由は、今日の公開鍵基盤(PKI)の不便さに関連している。典型的な電
子メールのユーザーは、一般的には、認証機関(CA)の証明書を登録するプロセスは典
型的に高価で複雑であると考えられ、公開鍵証明書を得ることは難しいと考えている。更
に、S/MIMEは、相互運用性についての欠点を有している。それは、ルート機関によ
り署名されなければならないデジタル証明書を使用するという欠点である。PGPは、S
/MIMEと同じ機能を基本的に提供し、類似の制限を有している別の技術である。
【0013】
完全PKIの代替としては、ユーザーが自分自身で、自署名証明書を発行することで
ある。安全性の観点からは、これは完全には理想的ではない。電子メールの状況では、ユ
ーザーがお互いの証明書を、CAを介在することなく登録することが可能であり、通常は
これで十分である。しかし、新しく知人を作るときは、証明書が正規のものであるかどう
かを判定することはユーザーの責任である。例えば、誰もが、あるよく知られた有名人の
名前の自署名の証明書を作成することができる。ユーザーは、認証機関(CA)の支援な
く、この電子メールは、本当にその有名人に対応しているかを判定しなければならない。
これが完全PKIを使用しないことによる限界である。
【発明の概要】
【課題を解決するための手段】
【0014】
本発明の目的は、上記の不利な点の少なくとも1つを緩和または削除することである。
【0015】
本発明の発明者は、暗号が、スパムのような悪意のあるトラフィックの量を、通常の
トラフィックを妨げることなく制限できることを認識した。解決方法は、公開鍵暗号技術
を使用する。外に送信されるメッセージは、送信者からのメッセージデータに対して行わ
れた暗号演算から得られた結果を含む、またはその全体が結果から構成されている。この
結果は、受信者により暗号技術を使用して検証される。検証に成功したメッセージは、信
頼フォルダに送られる。検証に失敗したメッセージは、自由に廃棄できる信頼なしフォル
ダに送られる。検証プロセスはこのように、信頼できるメッセージと他のメッセージの間
のフィルタとして機能する。随意に、検証過程で判定された既知のスパム送信者からのメ
ッセージは、即時、削除できる。
【0016】
本発明の1つの形態においては、送信者は、メッセージを受信者に送信する前に、そ
のメッセージにデジタル署名をする。電子メッセージングシステムの各ユーザーは、一対
の鍵を有しており、1つは公開鍵であり、他の1つは私的鍵である。公開鍵は、信頼でき
る方法で通信者の間で共有されていて、つまり、その電子メッセージングシステムを使用
する通信者の選択されたグループの間では、私的と考えられる。受信者が送信者からの信
頼できるメッセージを受け取る前に、受信対象者は、まず、送信者の公開鍵をいったん受
け取る。受け取った公開鍵は、クライアントにおいて格納され、デジタル署名された電子
メッセージおよび随意に暗号化された電子メッセージを検証するために使用される。検証
に成功したメッセージは、信頼または優先度フォルダに送られる。
【0017】
ユーザーコミュニティを代表する組織に対しては、そのメッセージサーバーまたは付属
サーバーは、ユーザーの公開鍵を保持し、ユーザーの代わりに検証が行える。組織全体が
ユーザーとして対処される。組織は、組織を示す鍵対を有することができる。提携する組
織同士は、公開鍵を一旦交換し、1つの非常に単純なステップでお互いに全体ユーザーコ
ミュニティ間の信頼を持たせることができる。検証は、電子メールサーバーのようなメッ
セージサーバーで行われる。
【0018】
本発明の別の形態においては、受信者のネットワークアドレスと共に、送信者の代わ
りに、受信者の公開鍵が、公に利用できる名簿において公開されるか、または、別の当事
者、つまり、送信者が受信者に電子メッセージを送信できることを可能にするある他の手
段において公開される。送信者は、受信者のネットワークアドレスと公開鍵を得て、受信
者へのメッセージを暗号化する。
【0019】
受信者(またはそのメッセージサーバー)は、受信した電子メッセージに対して統計
的チェックを行い、それが暗号化メッセージであることを示すランダムデータに類似して
いるかどうかを調べる。類似していれば、電子メッセージは、受信者の信頼受信ボックス
に信頼できるメッセージとして転送される。このチェックのいずれかが失敗に終わると、
電子メッセージは、異なる受信ボックス(信頼のない受信ボックス)に送られる。送信者
により暗号化されていない電子メッセージは、信頼のない受信ボックスへ転送される。
【0020】
本発明の更に別の形態においては、暗号メッセージ認証は、メッセージ認証コード(
MAC)と組み合わされた鍵共有により達成される。MACは常に、送信されるメッセー
ジに含まれる。受信者により認証されたメッセージは、信頼受信ボックスに分類される。
検証に失敗したメッセージは、信頼のない受信ボックスへ送られる。
【0021】
他の形態において、本発明は、上述した形態の種々の組み合わせおよびサブセットを
提供する。
例えば、本発明は以下の項目を提供する。
(項目1)
電子メッセージングシステムにおいて、信頼できる送信者からの電子メッセージを、他
のメッセージから分離する方法であって、
信頼できる送信者からの電子メッセージの平文メッセージに暗号演算を行って結果を得
るステップと、
該結果を電子メッセージに含めるステップと、
電子メッセージの受信時に、前記結果は、平文メッセージに対して行った暗号演算から
得られたことを検証するステップと、
検証が成功すると、該電子メッセージを優先メッセージとしてマークを付け、マークを
付けられた優先度に基づいて、受信電子メッセージを分離するステップと、を含む方法。
(項目2)
前記暗号演算は、前記検証演算よりも計算的により示強的である項目1に記載の方法
。
(項目3)
前記結果は、平文メッセージの署名から得られた、信頼できる送信者のデジタル署名で
あり、前記電子メッセージを検証することは、該デジタル署名を検証することを含む請求
項1に記載の方法。
(項目4)
前記結果は、前記平文メッセージの暗号化メッセージであり、前記電子メッセージを検
証することは、該暗号化メッセージを検証することを含む項目1に記載の方法。
(項目5)
前記暗号化メッセージを検証することは、前記暗号化メッセージがランダムデータに類
似しているかを判定するために統計的チェックを行うことを含む項目4に記載の方法。
(項目6)
前記暗号化メッセージを検証することは、前記暗号化メッセージを復号化することを含
む項目4に記載の方法。
(項目7)
前記結果は、メッセージ認証コード(MAC)である項目1に記載の方法。
(項目8)
受信者において電子メッセージを分離する方法であって、
該受信者により受信された電子メッセージに対して、所定暗号演算の証拠を調べるステ
ップと、
証拠を検出したときに、該電子メッセージを、該所定暗号演算の証拠のないメッセージ
から分離するステップと、を含む方法。
(項目9)
電子メッセージをフィルタ処理する方法であって、
電子メッセージにおいてデジタル署名を検証するステップと
検証が失敗したときに、該電子メッセージを削除するステップと、を含む方法。
(項目10)
電子メッセージをフィルタ処理する方法であって、
電子メッセージの擬似ランダム性についての統計的チェックを行うステップと、
統計的チェックが失敗すると、該電子メッセージを削除するステップと、を含む方法。
(項目11)
電子メッセージをフィルタ処理する方法であって、
電子メッセージにおけるメッセージ認証コード(MAC)を検証するステップと、
検証が失敗すると、該電子メッセージを削除するステップと、を含む方法。
(項目12)
信頼できる電子メール通信者のリストからの電子メッセージを維持する方法であって、
信頼できる電子メール通信者のそれぞれから公開鍵を得るステップと、
入信電子メッセージが、信頼できる電子メール通信者の1人の公開鍵を使用して、暗号
演算から得られた結果を含むことを検証するステップと、
検証が失敗すると、該入信電子メッセージを削除するステップと、を含む方法。
(項目13)
第1通信者が、第2通信者に電子メッセージを送る方法であって、該第1および第2通
信者のそれぞれは、一対のRSA公開鍵と私的鍵を有し、該第1および第2通信者のそれ
ぞれは、他の通信者のRSA公開鍵の認証されたコピーを有しており、
該電子メッセージを、第2通信者の該RSA公開鍵により暗号化するステップと、
前記暗号化電子メッセージを変換して、変換されたメッセージを得るステップと、
第1通信者の前記私的鍵を使用して、前記変換されたメッセージに対してRSA復号を
行うステップと、
前記結果を、第2通信者に送るステップを含み、
前記暗号および復号演算は、冗長性を含まない方法。
(項目14)
第1通信者の公開鍵で前記結果を復号して、復号された結果を得るステップと、
前記復号された結果に対して、前記変換の逆関数である逆変換を行って、逆変換された
結果を得るステップと、
第2通信者の私的鍵で、前記逆変換された結果に対してRSA復号演算を行うことによ
り、電子メッセージを取り出すステップと、を更に含む項目13に記載の方法。
(項目15)
前記電子メッセージは、認証鍵である項目14に記載の方法。
(項目16)
第1通信者が、第2通信者に電子メッセージを送る方法であって、第1および第2通信
者のそれぞれは、一対の公開鍵と私的鍵を有し、第1および第2通信者のそれぞれは、他
方の通信者の公開鍵の認証されたコピーを有しており、
認証鍵を選択するステップと、
該電子メッセージと該認証鍵からメッセージ認証コード(MAC)を計算するステップ
と、
前記認証鍵を、第2通信者の公開鍵で暗号化して暗号化された鍵を得るステップと、
第1通信者の私的鍵で暗号化された鍵を復号して、変換された鍵を得るステップと、
前記電子メッセージと、前記MACと、前記変換された鍵を第2通信者に送るステップ
を含む方法。
(項目17)
電子メッセージを受信者のグループに送る方法であって、
電子メッセージの平文に対して、暗号演算を行って、結果を得るステップと、
該結果を電子メッセージに含めるステップと、
受信者のグループに、前記結果を含む電子メッセージを送るステップと、を含み、
前記結果は、受信者のグループの各受信者により異なる方法。
(項目18)
前記暗号演算は、受信者特有の演算を含み、前記受信者特有の演算は、送信者と受信者
の間で合意された秘密入力を組み込んでいる項目17に記載の方法。
(項目19)
前記受信者特有の演算は、前記結果に含まれるメッセージ認証コード(MAC)を計算
し、前記MACは、前記秘密入力およびすべての受信者に対して共通の共有鍵から計算さ
れた共通MACに基づいて計算される項目18に記載の方法。
(項目20)
メッセージ認証コード(MAC)を計算するステップと、
前記秘密入力から、前記MACを入力として含む鍵導出関数により鍵を計算するステッ
プと、をさらに含み、
前記鍵は前記暗号演算で使用される項目18に記載の方法。
(項目21)
信頼できるメッセージを分離し、電子メッセージを送信者から受信者へ配信する電子メ
ッセージングシステムで使用されるシステムであって、
電子メッセージングシステムに結合され、信頼できる送信者からの受信者への電子メッ
セージに対して暗号演算を行って結果を得る暗号プロセッサと、
前記結果を前記受信者に送信する手段と、
電子メッセージシステムに結合されるフィルタであって、前記結果を受信し、前記結果
において前記暗号演算の証拠を検出し、前記証拠の検出が成功したときは、前記電子メッ
セージを信頼できるメッセージとしてマークを付けるフィルタを備えるシステム。
(項目22)
前記暗号プロセッサは、前記電子メッセージを暗号化して暗号化されたメッセージを前
記結果として得るための暗号モジュールを含む項目21に記載のシステム。
(項目23)
前記フィルタは、統計的チェックに基づいて暗号化を検出する手段を含む項目22に
記載のシステム。
(項目24)
前記フィルタは、復号モジュールを含む項目21に記載のシステム。
(項目25)
前記暗号プロセッサは、デジタル署名を生成する手段を含み、前記結果は、前記デジタ
ル署名であり、前記フィルタは、前記デジタル署名を検証する手段を含む項目21に記
載のシステム。
(項目26)
前記暗号プロセッサは、前記電子メッセージに対してメッセージ認証コードを生成する
手段を含み、前記結果は、前記結果であり、前記フィルタは、前記メッセージ認証コード
を検証する手段を含む項目21に記載のシステム。
(項目27)
前記電子メッセージングシステムは、電子メッセージを送信するための送信者メッセー
ジサーバーと、電子メッセージを受信するための受信者メッセージサーバーを含み、前記
暗号プロセッサは、前記送信者メッセージサーバーから前記電子メッセージを受信し、前
記結果は、前記受信者メッセージサーバーに送信され、前記フィルタは、前記電子メッセ
ージと前記結果を、前記受信者メッセージサーバーから受信する項目21に記載のシス
テム。
(項目28)
電子メッセージを送信者から受信者に配信し、信頼できる電子メッセージを、他のメッ
セージから分離する電子メッセージングシステムであって、
送信者からの電子メッセージを得る手段と、
該電子メッセージに対して暗号演算を行って、結果を得る暗号プロセッサと、
該電子メッセージを受信者に送信する送信者メッセージサーバーと、
該電子メッセージを受信する受信者メッセージサーバーと、
前記結果において、前記暗号演算の証拠を検出し、前記証拠の検出が成功すると、前記
電子メッセージに、前記証拠がない他のメッセージよりも高い優先度を付けるフィルタと
、
前記結果を該フィルタに送信する手段を備える電子メッセージングシステム。
(項目29)
証拠を有する前記メッセージを格納する優先度メッセージフォルダと、
前記他のメッセージを格納する通常メッセージフォルダと、を更に備える項目28に
記載の電子メッセージングシステム。
(項目30)
前記受信者の暗号化鍵を格納するデータファイルを更に備え、
前記暗号プロセッサは、前記暗号化鍵を使用して、前記電子メッセージを暗号化して、
前記結果としての暗号化されたメッセージを得る暗号化ユニットを含む項目28に記載
の電子メッセージングシステム。
(項目31)
前記暗号化鍵は、前記受信者の公開鍵である項目30に記載の電子メッセージングシ
ステム。
(項目32)
前記フィルタは、前記暗号化されたメッセージを復号するための復号モジュールを含む
項目30に記載の電子メッセージングシステム。
(項目33)
前記暗号演算は、離散対数問題を解くことを含み、前記検出は、前記離散対数問題の解
を検証することを含む項目28に記載の電子メッセージングシステム。
【図面の簡単な説明】
【0022】
説明の目的のため、それに制限されることなく、1つの実施形態が、添付された図面を
参照する例により、詳細に説明される。
【0023】
【図1】電子メッセージをフィルタ処理するための暗号技術を使用する電子メッセージシステムの概要を示す模式図である。
【図2】図1に示されたシステムにおいて使用される、電子メッセージをフィルタ処理するためにデジタル署名を使用する例としての工程のステップを示している。
【図3】電子メッセージサーバーが、システムの個々のユーザーの代わりに、暗号演算を行って検証するように機能する、図1に示された電子メッセージシステムの代替システムを模式的に示している。
【図4】図1または3で示された、電子メッセージをフィルタ処理するために、メッセージデータのランダム性を調べるいずれかのシステムにより採用された例としての工程のステップを示している。
【図5】グループ電子メッセージを送信してフィルタ処理するための、図4に示されるシステムから変形されたシステムにより使用されるシステムと方法を示している。
【図6】グループ電子メッセージを送信してフィルタ処理するための、図4に示されるシステムから変形されたシステムにより使用されるシステムと方法を示している。
【図7】送信者が、2人の受信者に電子メッセージを認証して送信する従来技術のシステムを模式的に示している。
【図8】図7に示された、送信者と2人の受信者により行われる、認証された電子メールを送受信するための従来技術のステップを示している。
【図9】図1と3で示されたシステムのユーザーにより行われる、認証された電子メールを送受信するための方法のステップを示している。
【図10】図1と2で示されたシステムのユーザーにより行われる、認証された電子メールを送受信するための別の方法のステップを示している。
【発明を実施するための形態】
【0024】
下記の説明、およびそこで説明される実施形態は、本発明の原理の特別な実施形態の
例、あるいは複数の例としての例示により提供される。これらの例は、説明の目的で提供
され、本発明のこれらの原理を制限するものではない。下記の説明においては、明細書お
よび図と通して同じ部品には同じ個々の参照番号が付けられている。
【0025】
図1を参照すると、電子メッセージをフィルタ処理する暗号技術を使用する電子メッ
セージシステムの概観が示されている。電子メッセージシステムの一対の通信者またはユ
ーザー、つまり、第1ユーザー即ち送信者20と、第2ユーザー即ち受信者22は、ユー
ザー間で、ネットワーク接続24を介して電子メッセージを交換する。各ユーザーは、ユ
ーザーに連絡できるネットワークアドレスを有している。例えば、電子メッセージシステ
ムが電子メールシステムの場合は、ネットワークアドレスは、電子メールアドレスである
。電子メッセージシステムが携帯電話テキストメッセージシステムの場合は、ネットワー
クアドレスは、電話番号である。
【0026】
すべての送信される電子メッセージのメッセージデータ、つまり、平文テキストメッ
セージ26は、送信者の暗号処理モジュール28により処理される。この状況では、「平
文テキスト」が、たんに人間が読めるテキストに関するだけでなく、一般的なすべてのメ
ッセージデータに関するということは理解されよう。例えば、S/MIMEは、オーディ
オおよびビデオデータ、およびグラフィックファイルのようなバイナリデータの転送を可
能にする。これらのバイナリデータは、すべて「平文テキスト」データまたはメッセージ
と称される。更に、バイナリデータは、暗号処理モジュール28により処理される前のす
べてのメッセージデータを含み、既に暗号化された形式のデータも排除しない。信頼メッ
セージ30、つまり、暗号処理モジュール28による、平文テキストメッセージ26に対
する暗号演算から得られる暗号化データを含むメッセージは、送信者の暗号処理モジュー
ル28により生成される。つまり、信頼メッセージは、平文テキストメッセージ26に対
する暗号演算から得られる結果を含む、またはその全体から構成されてもよい。
【0027】
すべての入信電子メッセージは、最初、受信者のフィルタ32により読み取られる。
フィルタ32は、すべての入信電子メールをフィルタ処理する暗号技術を採用している。
フィルタ32は、もちろん、入信電子メッセージに対して、タイトルまたは送信者のアド
レス読み取りのような、従来の技術に基づいて、スパムまたはフィッシングの兆候がない
かの監視を続けることができる。システムのユーザーは、2つのフォルダまたは2つの入
信メールボックスを有する。フィルタ処理を通過した電子メッセージは、信頼フォルダ3
4に格納され、フィルタにより拒絶された電子メッセージは、通常フォルダ36に送られ
る。信頼フォルダ34に格納された電子メッセージは、より高い優先度、または信頼を持
って対処され、一方、通常フォルダ36は、比較において、相対的に低い優先度の電子メ
ッセージを保持するようになっている。受け取りにはレベルがあり、受け取りのレベルに
対応して複数のフォルダまたは入信メールボックスを必要とするということは理解されよ
う。説明の利便性のため、注記しない限り、2つのメールボックスのみをここでは示して
、説明している。このように、暗号技術を使用する検証の結果に基づいて、メッセージを
異なるフォルダに分離することにより、このように、他のメッセージから信頼メッセージ
をフィルタ処理する。
【0028】
ここでは、第1ユーザーは、送信者20として指定されているが、同じ記述は、一対
のユーザーが役割を交換しても成り立つ、つまり、第1ユーザーが受信して、第2ユーザ
ーが電子メッセージを送信する場合にも成り立つ。第1ユーザーが送信者、第2ユーザー
が受信者と指定したのは、たんに説明の利便性によるものである。
【0029】
更に、本明細書においては、「送信者」は、特に状況により、そうでないように要求
される場合を除き、電子メッセージを送信するシステムのユーザー、電子メールプログラ
ムのような、ユーザーにより電子メッセージを送るために採用されるメッセージソフトウ
ェアプログラム、または、電子メッセージを送信するメッセージプログラムが実行される
汎用コンピュータのことを意味するように交換可能に使用される。汎用コンピュータは、
典型的には、CPUと、CPUにアクセスできるメモリ格納装置および格納装置と、入出
力(I/O)装置を有する。メッセージプログラムは、格納装置に格納できる。同様に、
「受信者」という用語は、状況により、そうでないように要求される場合を除いて、電子
メッセージを受信するシステムのユーザー、電子メッセージを受信するために、ユーザー
により採用されるメッセージソフトウェアプログラム、または、電子メッセージを受信す
るためのメッセージプログラムが実行される汎用コンピュータを意味するように交換可能
に使用される。
【0030】
平文テキストメッセージ26の送信に先立ち、送信者20は、最初に、平文テキスト
メッセージ26に対して暗号演算を行う。これは、送信者のソフトウェアの暗号処理モジ
ュール28により行われる。送信者20は、平文テキストメッセージを処理する暗号演算
の幅広い範囲から、フィルタ処理のレベルに応じて、送信者のソフトウェアにかかる計算
負荷の、所望のかつ容認できるレベルを選択できる。信頼メッセージ30の2つの例は、
デジタル署名されたメッセージ38と暗号化メッセージ40である。例えば、暗号演算は
、平文テキストメッセージ26にデジタル署名をすること、および平文テキストメッセー
ジ26の暗号化の1つであってよい。送信者20が、平文テキストメッセージ26に署名
する場合は、信頼メッセージ30は、送信者20により生成されたデジタル署名を含む。
メッセージはまた、送信者20により署名することができ、送信者自身の私的鍵を使用し
て暗号化される。または、送信者20は、受信者22から公開鍵を得て、受信者から得た
公開鍵を使用して、メッセージを暗号化できる。
【0031】
メッセージを受信すると、受信者のフィルタ32は、フィルタ処理のためメッセージ
を調べる。フィルタ処理には、メッセージテキストの読み取りと、更には、メッセージテ
キストに対する暗号演算を含み、メッセージが信頼メッセージであることを検証する。更
なる暗号演算が、メッセージが、平文テキストメッセージ26に対して行われた前回の暗
号演算または複数の暗号演算の結果を含むことを検出するように設計されている。そのよ
うな暗号演算(または複数の暗号演算)の結果が、検出および検証に成功すると、メッセ
ージの検証は成功する。検証に成功したメッセージのみが、信頼メッセージと見なされ、
受信者の信頼フォルダ34へ送られる。
【0032】
ここで説明したシステムは、閉じたシステムではないということは理解されよう。つ
まり、暗号技術をまったく採用しないシステムのユーザーも、暗号技術は採用するが、シ
ステムまたは受信者が知らない暗号化鍵を使用するユーザーもいる可能性があるというこ
とである。従って、受信したメッセージは、その全部が平文テキストデータから構成され
ているか、または未知の鍵を使用した暗号演算から得た結果を含むこともある。署名なし
の平文テキスト電子メッセージまたは未知の鍵で署名されたメッセージは、直接、通常フ
ォルダ36または、拒絶受信ボックスに送られる。フィルタがスパム送信者に属している
と判定した証明書における公開鍵で署名された署名付き電子メッセージもまた通常受信ボ
ックスに送ることができる。複数の拒絶レベルを実行できる場合は、受信者22は、信頼
および通常フォルダに加えて、既知のスパム送信者からの電子メッセージを保持する特別
フォルダを有することができる。既知のスパム送信者からと特定された電子メッセージも
また、検出後即座に削除できる。
【0033】
いったん、スパム送信者の公開鍵が検出されると、そこから送られるすべてのスパムメ
ッセージは拒絶または削除される。これにより、スパム送信者は、その鍵がスパム送信者
に属すると認識されると、新しい鍵の生成を余儀なくされる。新しい鍵の生成は、適度に
高価な暗号演算である。スパム送信者は、新しい鍵が必要となるたびにコストを負うこと
になり、そうせざるを得なくなる。これは、潜在的に、ある新しい送信者のネットワーク
アドレスを作成またはなりすましよりもはるかにコストがかかる。このように、スパム送
信者にとって、スパムメッセージが自動的に拒絶または削除されることを回避するために
は、計算に関するコストを負わざるを得なくすることで、スパムの発生は減少し、または
抑制される。
【0034】
受信者1人当りに対して計算に関するコストを必要とすることは、数百万の電子メッセ
ージを送る大量メール送信者は、通常、スパム送信者が現在は負う必要のない付加的な相
当なコストを負うことになる。今日では、そうすることが実質的に無償なので、これによ
り、スパムメッセージを送る、あるいはフィッシングの動機を減少させるように働くと思
われる。
【0035】
しかし、鍵を生成するコストは、スパムを抑制するためには十分ではないこともある
。スパム送信者は、新しい鍵を生成し、スパンメッセージに署名し、署名付きメッセージ
を数百万のユーザーに一斉同報する可能性もある。スパム送信者にとって、スパムメッセ
ージを送信するための計算に関するコストを負わせるようにする別の例として、暗号演算
は、スパム送信者のコストを増大するために反復計算を含むことができる。反復計算の例
としては、繰返しハッシングまたは、例えば千回という回数の暗号化がある。反復の回数
は、所望する効果およびユーザー対敵対者の相対的な能力により決まる。反復演算を必要
とすることは、スパム送信者に1回の一斉同報に付き、より多くの作業をさせることにな
る。しかし、この演算は、受信者が、または受信者の代わりで作動する少なくともフィル
タが、反復計算を検証するために、一般的にスパム送信者と同じだけの作業を行う必要が
あるという点において対称的である。
【0036】
演算は、非対称で、それにより計算の負荷が送信者と受信者の間で釣り合わないよう
にすることが好ましい。そのような例は、受信者が検証するのは相対的に容易であるが、
送信者が生成するのはコストがかかる、小さな離散対数問題を解くことである。これは、
サービス攻撃を拒否する状況では、パズル法としても知られていることもある。
【0037】
送信者の、受信者1人当りのコストを増大するために反復計算またはパズルをもっと
も効果的に使用するために、送信者20には、各受信者22およびメッセージに対して異
なる計算または異なるパズルを必要とさせる。これにより、受信者1人当り、および1メ
ッセージ当りの計算コストをスパム送信者が負うことを余儀なくさせ、実質的にコストが
かからずに大量のスパムメッセージを送る、スパム送信者の能力を厳しく制限するように
なる。ある例では、パズルまたは計算を、メッセージの要約、受信者の識別子、および可
能であれば日付の関数にして、リプレイ攻撃を防止する。他の例では、パズル法をメッセ
ージ認証のためにデジタル署名アプローチと組み合わせる、または長い計算またはパズル
を、詳細を後述するように、ラップ鍵W、または受信者1人当りのMACタグのような受
信者の値に依存するようにする。
【0038】
1回の一斉同報当り、より多くの作業をスパム送信者に強いる別の例は、暗号化されて
いないメッセージをフィルタ処理により除去することである。送信者20は受信者22へ
のメッセージを、複数の方法のいずれかの方法で暗号化する。いかなる暗号アルゴリズム
でも使用できる。例えば、送信者20は、公開鍵を使用して公開鍵暗号化(例えば、AN
SI 9.63におけるECIES)を行うことができ、または送信者20は、MQV(
Menezes-Qu-Vandstone)を使って鍵を送って、AES(米国新暗号規格)のような対称鍵
方式を使用してメッセージを暗号化できる。楕円曲線暗号(ECC:Elliptic Curve Cry
ptography)は、スパムとフィッシングを判定する作業には、公開鍵演算が、受信者にと
ってより、送信者(つまりスパム送信者)にとってより計算についてコストが高いので、
RSA(Rivest-Shamir-Adleman:ライベスト、シャミール、アドルマン)よりも適切であ
ると考えられている。一方、RSAは、暗号化が送信者ではなく、受信者にとってより困
難で、スパム送信者の作業をより簡単にしてしまうので、スパム送信者により軽い負担し
かかけない。
【0039】
暗号化されたメッセージは、冗長性がほとんど、あるいはまったくないランダムデータ
に類似する傾向がある。この特性を受信者22が使用して、暗号化されていないメッセー
ジをフィルタ処理で除去するために使用できる。専用メッセージサーバーに常駐するフィ
ルタは、実際にメッセージを復号することなしに、メッセージ内容が暗号化されているか
どうかを検出できる。フィルタはこれを、暗号化が使用されたかどうかを示すメッセージ
のフォーマットを調べることにより、および内容を直接調べて、その内容が擬似ランダム
に見えるかどうかを調べることにより迅速に行える。例えば、暗号化メッセージの復号を
試みる代わりに、受信者22は、受信した電子メッセージについて統計的チェックを行い
、そのメッセージがランダムデータに類似しているかを調べる。いくつかの一般的な統計
チェックには、よく知られたテストである、Menezes, van OorschotおよびVandstoneによ
る「応用暗号のハンドブック(Handbook of Applied Cryptography)の第5.4.4節に
概要が記述されている、モノビット、シリアル、ポーカー、ランズアンドオートコリレー
ションがある。他のテストには、モーラー(Maurer)のユニバーサルテストがあり、他の
テストは、圧縮率に基づいている。メッセージが1回のまたは2回以上の統計チェックに
失敗すると、そのメッセージは通常フォルダ36に送られる。メッセージがすべての統計
チェックに成功すると、そのメッセージは、信頼できるメッセージと考えられ、受信者の
信頼フォルダ34へ転送される。暗号化されていないほとんどすべてのメッセージは統計
チェックに失敗して、通常フォルダ36に送られる。
【0040】
多数の受信者に送られる長いメッセージに対しては、送信者は、内容暗号化鍵kにより
たった1回しか内容を暗号化できない。しかし、メッセージを暗号化することは、送信者
が、確実に各受信者に暗号化鍵kをトランスポートするために、送信者に複数回の鍵転送
または鍵共有演算を、各受信者1人当りに対して行うことを要求する。従って、スパム送
信者とフィッシャーは、暗号演算に加えて、鍵を転送するために、受信者1人当りのコス
トを負うことになる。一方、上記に検討したように、受信者は、メッセージが暗号化され
ていることを検証できる。検証は相対的に容易な演算である。この計算についての要求の
アンバランスにより、スパム送信者がスパムメッセージを送ったり、フィッシングするこ
とを抑制する。
【0041】
デジタル署名、パズル、および暗号化に加えて、暗号メッセージ認証もまた、メッセー
ジ認証コード(MAC)と組み合わされた鍵共有により達成できる。このアプローチでは
、送信者20と受信者22は、共有鍵を確立するために、鍵共有機構を使用する。電子メ
ールやテキストメッセージングのような格納および転送アプリケーションにおいては、鍵
共有機構が非相互的であると好ましい。より正確には、いったん送信者20と受信者22
がお互いの公開鍵を有すると、送信者20は、受信者の参加なしで、受信者22に対して
認証メッセージを作成する。信頼メッセージ30は、他の構成要素の中に、メッセージ認
証コード(MAC)を含む。受信者22は、入信メッセージを受信すると、受信したメッ
セージを、受信したMACが、共有鍵と、受信した平文テキストメッセージ26を使用し
て局所的に計算したMACと同じであることを検証することで認証する。認証された電子
メッセージは、信頼フォルダ34に分類され、認証に失敗した電子メッセージは、通常フ
ォルダ36に送られる。
【0042】
これを可能にするいかなる鍵共有機構も使用できる。例えば、Static−Stat
icディフィ−ヘルマン(Diffie-Hellman)鍵共有は、1−Pass MQV(Menezes-
Qu-Vanstone)と同様にこれを可能にする。この両者の機構は、電子メールを安全にする
ために使用できるIETFプロトコルである、S/MIMEプロトコルにおける使用のた
めのRFC(RequestFor Comments:IETFによる技術仕様公開形式)と称されるIE
TF文書に指定されている。これらの機構は、S/MIMEの「SignedData」
データ構造の代替である、S/MIMEの用語の中の「AuthenticatedDa
ta」と称されるデータ構造の一部として指定される。
【0043】
鍵共有をメッセージ認証コードと組み合わせる方法は一般的に、送信者(「アリス」と
呼ぶ)がなりすましされておらず、彼女が効率よく、メッセージ長と、受信者数の合計に
比例したコストでメッセージを認証できるという確信を与えてくれる。受信者(例えば、
ボブとチャールズ)がメッセージが認証されることを確実にして、その入信メッセージを
それに従って分離すると、彼らがアリスの公開鍵を信頼するならば、彼らは、スパムおよ
びフィッシング攻撃からの保護を得たことになる。これを下記に更に説明する。
【0044】
例えば、アリスが、電子メッセージを多数の受信者に一斉同報するスパム送信者または
フィッシャーであると仮定する。ボブは彼女の受信者であり、彼は、電子メッセージを、
それが信頼できる公開鍵によって、または、信頼できない公開鍵によって認証されたか、
またはまったく認証されないかどうかに従って分類するフィルタを使用する。スパム送信
者またはフィッシャーなので、アリスは、彼女の公開鍵を信頼してもらうことが困難であ
る。彼女がCAから信頼できる公開鍵を得たとしても、すぐに、彼女がスパム送信者また
はフィッシャーであることが、フィルタにより検出されてしまう。彼女の証明書が無効と
されるか、フィルタが彼女のメッセージを、彼女の公開鍵に基づいてスパムメッセージま
たはフィッシングとして拒絶または削除する。そのようなフィルタは、認証されていない
メッセージは、適切なフォーマッティングを有していないので、受信者の私的鍵によりマ
シンから異なるサーバー上に常駐できる。アリスは、彼女の電子メッセージをわざわざ認
証することなどまったくせず、そのためフィルタは、彼女の電子メッセージをスパム受信
ボックスに送り、それをボブは普通は無視する。アリスは、信頼されていない公開鍵を使
用して、折衷解決策を試みようとする。しかし、彼女がこれを行うと、一般的に、受信者
1人当たりに基づくコストを負うことになる。彼女は、各受信者に対して鍵共有の計算を
使用する必要が出てくる。これは、多数の受信者がいるときは、大きなコストになる。反
復暗号計算またはパズルもまた、上記に示したように、アリスの受信者1人当たりのコス
トを更に増やすために、鍵共有機構に含めることができる。
【0045】
暗号化とその検証のような、暗号演算とその検証を要求することは、送信者と受信者に
対する計算負荷のアンバランスをもたらすという利点がある。暗号化または鍵の判定は、
典型的には、極度の数学的計算を必要とする。受信側において、統計的チェックは相対的
に単純な演算であり、受信者または受信者のメッセージサーバーに重大な負荷を与えるこ
とはない。このように、スパム送信者は、受信者の通常の電子通信に大きな影響を与える
ことなく、多量のメール送信を行うということからより厳しく阻害される可能性が高い。
【0046】
従って、暗号技術を使用して電子メッセージをフィルタ処理することは、多数の受信者
をスパムメッセージであふれさせることを抑制することになる。それは、適切な方法が選
択されると、1回の一斉同報または1人の受信者に対する追加的な計算コストを必要とす
る。一般的に、暗号演算は、計算示強的プロセスとなる傾向がある。公開鍵暗号化または
鍵の判定は、典型的には、更に極度の数学的計算を必要とする。ECCのようなある暗号
アルゴリズムは、受信者がメッセージを復号するよりも、送信者がメッセージを暗号化す
るために、はるかに大量の時間と処理パワーを要求する。この追加的な計算負荷のアンバ
ランスは、多数のユーザーをスパムメッセージであふれさせることに対して追加的な抑止
力を提供し、追加的なリソースのバリアをもたらす。
【0047】
更に、多数の受信者を電子メッセージであふれさせることは、広告キャンペーンにおい
てはしばしば望ましいことである。広告キャンペーンの効率のよい手段は、典型的には、
そのような電子メッセージが受信者により目を通される、または読まれるパーセンテージ
に関連する。しかし、そのような電子メッセージの無差別な一斉同報が効果的であるため
には、各ターゲットの受信者が、まず、送信者の公開鍵を受け取り、その公開鍵を提供し
、または送信者と鍵共有において鍵を確立し、それにより、電子メッセージは暗号フィル
タを「信頼メッセージ」として通過しなければならない。そうでなければ、電子メッセー
ジは、通常フォルダに送られるか、拒絶される。受信者が通常フォルダに低い優先度を割
り当てているので、メッセージはすぐには読まれない、またはまったく読まれないことに
なる。更に、スパム送信者は、その鍵を提供しなければならないので、いかなる既知のス
パム送信者の鍵に関連するメッセージは、上述したように、即刻、削除されるか、特別ス
パムフォルダに送られる。電子メッセージが暗号演算の結果を含むことを要求することは
、従って、スパム送信者が、スパムメッセージを一斉同報するために、更に頻繁に鍵を得
るというコストを負うことを余儀なくさせる。これらすべては、広告キャンペーンの効率
的な手段を削減することになり、スパム送信者の膨大なメール送信のコストを増大し、こ
のタイプの無差別なスパム一斉同報において努力とリソースの投資を抑止することになる
。
【0048】
図2は、暗号技術を使用して、電子メッセージをフィルタ処理する例としての工程のス
テップを示している。送信者20は、公開/私的鍵の対を持っている。理解されるように
、私的鍵は、一般的には秘密に保たれる。例えば、送信者は、自分の私的鍵を更なる安全
のために、ハードウェアのセキュリティモジュールに格納することもできる。公開鍵は、
送信者20が通信を行いたい人たちに送信される。第1ステップとして、送信者20は、
自分の公開鍵を、受信者22に信頼できる方法で送り(ステップ210)、受信者はそれ
を受け取る(ステップ212)。これにより送信者20と受信者22の間に信頼関係が確
立され、送信者20に、受信者22に電子メッセージを送ることが許可されたことを示す
。このステップは、一般的には、一度だけ行う必要がある。
【0049】
受信者22は、公開鍵を、例えば、それを受信者のコンピュータへアクセス可能な格納
装置に格納することで受け取る。受信者22はまた、公開鍵を、例えば、送信者20に受
け取ったことを知らせ、送信者20に、受信者22が必要なときに公開鍵を使用できるよ
うにすることを要求することによって受け取る。ここでは1人の送信者しか記述されてい
ないが、受信者22は、多数の信頼できる送信者からの公開鍵を受け取ることを決定でき
、従って、彼らから信頼できるメッセージを受信できる。同様に、多数の受信者は1人の
送信者の公開鍵を受け取って、その1人のユーザーが受信者のグループへ信頼できるメッ
セージを送るようにすることもできる。
【0050】
受信者22がいったん送信者20の公開鍵を受け取ると、送信者20は、信頼できる
メッセージを受信者22に送信開始する。信頼できるメッセージの例は、送信者20によ
り署名された、または暗号化されたメッセージである。ステップ214において、送信者
20は、電子メッセージにデジタル署名を行うことで、つまり、デジタル署名をメッセー
ジに含むことで信頼メッセージ30を生成する。送信者20は、随意に私的鍵で署名され
たメッセージを暗号化できる。信頼できるメッセージは、暗号化されていようがいまいが
、ステップ216で、メッセージのタイプに適切な標準メッセージ転送プロトコルを使用
して受信者22に送られる。例えば、メッセージが電子メールメッセージの場合は、信頼
メッセージ30は、例えば、SMTP (Simple Mail Transfer Protocol) またはMHS
(X400 MessageHandling Service Protocol) を使用して送信される。または、メッセー
ジはインターネットフォンメッセージであってもよく、その場合は、VoIPが信頼でき
るメッセージを転送するために使用される。
【0051】
随意に、ステップ214と216の間で、暗号処理モジュール28が離散対数問題を
解き、その結果を信頼メッセージに含めることができる。または、あるいはそれに追加し
て、暗号処理モジュール28は、ステップ214と216の間で、繰返しハッシングまた
は暗号化のようなある反復計算を行い、その結果を信頼メッセージ30に含めることもで
きる。
【0052】
受信者22は信頼メッセージ30を受信して、ステップ218においてデジタル署名を
検証する。パズルの計算または反復計算の結果が含まれている場合は、その結果もまたこ
のとき検証される。デジタル署名(および、信頼メッセージに含まれている他の暗号演算
の結果)の検証が成功すると、受信したメッセージは間違いなく受信者22からのもので
あると見なされる。検証に成功したメッセージは、信頼フォルダ34に格納される。検証
が失敗すると、または電子メッセージがデジタル署名を含んでいない場合は、電子メッセ
ージは、信頼できるユーザーからのものではないと見なされる。そのような電子メッセー
ジは、通常フォルダ36に格納される。これで、電子メッセージの分類またはフィルタ処
理のステップ(ステップ220)が完了する。
【0053】
理解されることであるが、デジタル署名が検証に成功するためには、署名生成アルゴリ
ズムと署名検証アルゴリズムは、同じ署名方式のものでなければならない。デジタル署名
方式はいずれの方式も使用できる。共通のいくつかの例としては、ECDSAとDSA (
DigitalSignature Algorithm) ファミリ署名方式がある。
【0054】
送信者20のみが信頼メッセージ30を生成するためにそのメッセージテキストに署
名できるということは必要でない。同様に、受信者22のみが入信する電子メッセージを
検証およびフィルタ処理できるということも必要でない。図3を参照すると、送信者側の
送信者メッセージサーバー42と、受信者側の受信者メッセージサーバー44が分離して
示されている。送信者メッセージサーバーは、送信者20に加えて、他の送信者20’に
サービスを提供し、同様に、受信者メッセージサーバー44も、受信者22に加えて、他
の受信者22’にサービスを提供できる。
【0055】
例として、送信者メッセージサーバー42が送信者の私的鍵のコピーを保有し、受信
者メッセージサーバー44が、送信者の容認された公開鍵のコピーまたはコピーへのアク
セスを有しているとする。送信者20は、その平文テキストメッセージ26を送信者メッ
セージサーバー42へ転送する。送信者の私的鍵のコピーを有している送信者メッセージ
サーバー42は、送信者20に代わってメッセージテキストに署名して、信頼メッセージ
30を生成して、その信頼メッセージ30を受信者メッセージサーバー44に転送する。
受信者メッセージサーバー44は、入信メッセージを検証して、そのメッセージを、検証
結果に基づいて、受信者22の信頼フォルダ34または通常フォルダ36に配信する。メ
ッセージの暗号化およびその検証は、同様な方法で実行できる。
【0056】
組織的なレベルにおいては、メッセージは組織により署名できる。例えば、電子メール
または付属サーバーは、暗号化と署名を行うことができる。別の例は、ハイブリッドまた
はクライアントおよび組織の署名をサポートすることである。2つの組織が、組織の公開
鍵の交換により、お互いを信頼している場合は、その組織の個々のユーザーは、彼らの個
々の公開鍵を提供することによりメッセージを送信する許可を得る必要はない。彼らのメ
ッセージは、組織の公開鍵を使用して署名され検証されると、信頼または優先メールフォ
ルダに送られる。
【0057】
公開鍵を固有のDNS名に割り当て、公開鍵の配布を自動化することによりスケーラ
ビリティもまた達成できる。
【0058】
このシステムは、大規模な修正なしで、既存のメッセージシステムと共存できる。すべ
てのユーザーは、信頼受信ボックス(つまり優先メールボックス)と通常受信ボックスを
有している。ここで説明した暗号法を使用する送信者からの電子メッセージは、検証に成
功する。暗号技術を使用しないユーザーからのメッセージは、通常メッセージとして扱わ
れ、通常受信ボックスに送られる。受信者は、すべての通信者がここで説明したような暗
号技術を使用するメッセージシステムに移ってくる前に、定期的に手動で通常受信ボック
スをチェックする必要がある。時間経過と共に、あるユーザーは信頼フォルダのみに移り
、すべての信頼のないメッセージを自動的に削除してしまうこともあり得る。
【0059】
ユーザーは、公開/私的鍵の対を変更でき、それを信頼ユーザーコミュニティに通知す
る。これは、信頼ユーザーコミュニティのユーザーが更新された公開鍵を受け取るときに
レシートを導入することにより行える。これは、たんにレシートから構成されている、お
よび/または受信者により容認されたユーザーを含む「自分の信頼ユーザーグループ」と
なる。信頼ユーザーコミュニティは、組織とユーザーの簡便なリストである。鍵が危険に
晒されたら、送信者はその信頼ユーザーコミュニティに通知できる。ユーザーは彼らの信
頼ユーザーコミュニティを変更でき、所望するならば、鍵対を生成できる。信頼コミュニ
ティにおけるすべての、またはあるユーザーに、マルチキャストによりその変更を通知す
ることができる。
【0060】
ユーザーを受信者の信頼ユーザーコミュニティから排除するためには、受信者22は、
たんに以前受け取ったそのユーザーの公開鍵を削除するだけでよい。偽の署名で送信され
たいかなる電子メッセージも、通常フォルダに送られるかまたは即座に削除される。ユー
ザーの私的鍵が固有で秘密が保持されていれば、システムでなりすましを行うことは難し
い。
【0061】
図4を参照すると、電子メッセージをフィルタ処理するための別の例のステップが示さ
れている。受信者22は、公開/私的鍵の対を有している。送信者20が受信者22に信
頼メッセージを送る前に、送信者20は、まず、ステップ410において受信者22から
公開鍵を得る。公開鍵は、受信者22から直接受け取ってもよく、または受信者22によ
り利用可能にされたある場所から得てもよい。これにより送信者20と受信者22の間の
信頼関係が確立される。次に、ステップ412において、送信者20は、受信者22から
得た公開鍵を使用してそのメッセージデータを暗号化して信頼メッセージ30を生成する
。この場合の信頼メッセージは、暗号化メッセージである。送信者20は、ステップ41
4において受信者22に信頼メッセージ30を送る。
【0062】
メッセージを受信すると、受信者フィルタ32は、ステップ416においてそのメッセ
ージに対して統計的テスト、または多数の統計的テストを行う。この目的は、受信したメ
ッセージがランダムデータに類似しているかを判定することである。理解されるように、
暗号化データは、冗長性を含まず、ランダムデータに類似する傾向がある。このため、す
べて暗号化データから構成されているメッセージは、暗号化されていない、または部分的
に暗号化されたテキストから、メッセージのランダム性についての統計的テストの結果に
基づいて区別することができる。
【0063】
メッセージは、それがランダムデータ、またはそれに類似していれば、これらの統計的
テストにパスする。ランダムデータに類似するメッセージは、信頼フォルダ34に転送さ
れる。メッセージが統計的テストのいずれか1つに失敗すると、そのメッセージは信頼メ
ッセージではないと見なされ、異なるフォルダ、つまり通常フォルダ36に送られる。通
常フォルダ36に送られたメッセージは、受信者22により定期的に、それらがスパムメ
ッセージであるかどうかを、手動で調べる必要がある。暗号化メッセージが受信者の公開
鍵で暗号化されていると、受信者はそのメッセージを、いつでも必要なときに自分の私的
鍵を使用して復号できる。受信者22は、もし、受信者22がそのメッセージを復号する
ための鍵、またはその鍵へのアクセスを有していない場合は、暗号化メッセージの内容に
アクセスできない。
【0064】
図4を参照して説明した方法は、受信者22の公開鍵を必要とするが、この方法は、電
子メッセージを単一の受信者に送信することに限定されていない。グループメッセージは
、共通の、公開/私的鍵対を共有する信頼ユーザーグループに送信できる。組織レベルで
構築されたシステムのユーザーは全員、組織の共通な公開/私的鍵対を共有できる。また
は、ここで説明した方法は、多数の受信者に、グループ電子メッセージとして信頼メッセ
ージを送信するために、少し修正することもできる。
【0065】
図5と6を参照すると、送信者20がメッセージを受信者22のグループに送信すると
ころが示されている。ステップ610において、送信者20は、まず、受信者22の各々
から公開鍵を得る。送信者20が定期的に受信者22のグループと通信している場合は、
グループの受信者各々の公開鍵を既に有しているので、ステップ610で再び公開鍵を得
る必要がないということは理解されよう。送信者20は、共通鍵kcを選択し、ステップ
612において、各受信者自身の公開鍵を使用して、その鍵を暗号化する。共通鍵kcは
、対称鍵アルゴリズムに対して秘密鍵であってもよい。グループに対して、共通鍵kcを
暗号化するのに異なる公開鍵が使用されるので、暗号化された共通鍵は、グループにおい
て各受信者22に対して異なる形式を有する。そして送信者20は、ステップ614にお
いて、共通鍵kcを暗号化形式で受信者22の各々に送信する。
【0066】
次にステップ616において、送信者20は、そのメッセージデータを、共通鍵kcを
使用して暗号化する。この場合、信頼メッセージ30は共通鍵kcにより暗号化されたメ
ッセージである。送信者20は、ステップ618において、信頼メッセージを、受信者2
2のグループに送信する。そして各受信者22は、ステップ620において、統計的テス
トまたは複数の統計的テストを受信したメッセージに対して行い、ステップ622におい
て、メッセージを、テスト結果に基づいて、信頼フォルダ34または通常フォルダ36に
分類する。各受信者22は、既に共通鍵kcを受信しているので、必要ならば、暗号化メ
ッセージを復号できる。理解されるであろうが、説明の利便性のために、共通鍵kcの送
信と、暗号化メッセージの送信は、別のステップで行うように説明されているが、共通鍵
kcと、暗号化メッセージは、1つのステップで、送信者20から送信される電子メッセ
ージに含めることができる。これには、受信者または受信者のソフトウェアプログラムが
、共通鍵kcを暗号化メッセージから分離できることが必要になる。
【0067】
デジタル署名および暗号化に加えて、認証の別の形式は、対称MACのような、メッセ
ージ認証コードに組み合わされた鍵共有である。このアプローチにおいて、送信者20と
受信者22は、鍵共有機構を使用して、共有鍵を確立する。上述したように、S/MIM
E用語で「AuthenticatedData」と称されるデータ構造が、S/MIM
Eプロトコルにおける使用のための鍵交換機構に対して指定されている。「Authen
ticatedData」の既存の仕様の既知の安全性の利点の1つは、送信者が複数の
受信者へのメッセージを認証したいときに利用される。現在の標準仕様では、これは効率
よい方法で行われるが、ある安全性の不安を引き起こすというコストがある。
【0068】
MACと組み合わせた鍵共有が、電子メッセージのフィルタ処理にどのように使用でき
るかを示す例の前に、まず、安全性の問題を理解しておくことは有益であろう。図7に示
されるように、3人のユーザー、送信者アリス46と、2人の受信者ボブ48とチャール
ズ50のシステムを考える。図7と図8を参照して下記に説明されるシナリオは2人のみ
の受信者の状況に限定されないということは理解されよう。
【0069】
アリスはボブとチャールズの公開鍵BとCをそれぞれ有しており、一方、ボブとチャー
ルズはそれぞれ、アリスの公開鍵Aを有している。アリスは、メッセージMを認証して、
ボブとチャールズに送信したい。図8を参照すると、アリスはまず鍵kをステップ810
で選択する。そして彼女は、タグT=MAC(k,M)をステップ812で計算する。M
ACの特性は、kを知っている当事者のみがTを正しく計算できるとうものである。従っ
て、kを知っている当事者はTを使用して、Mを認証できる。kを知らない敵対者がMを
修正、または別のメッセージM’と取り替えようとしても、敵対者は、変更されたタグT
’=MAC(k,M’)を計算できない。
【0070】
ここでアリスは、k、M、およびTを有している。アリスは、kをボブとチャールズに
安全に渡し、それにより彼らが、T=MAC(k,M)を検証できるようにする必要があ
る。これを行うために、アリスは、ステップ814において、ボブとチャールズのそれぞ
れとの鍵共有を使用する。アリスは、ボブと鍵bについて同意し、チャールズと鍵cにつ
いて同意する。使用される鍵共有アルゴリズムにより、アリスはボブとチャールズに、あ
る値、例えば、UとVをそれぞれ送信し、それによりボブとチャールズが、鍵共有を使用
して確立された彼らの鍵bとcを計算できるようにすることが必要な場合もある。bとc
を使用して、アリスは、通常は、鍵ラップ関数と称される関数により、認証鍵kを暗号化
する。アリスはW=WRAP(b,k)およびZ=WRAP(c,k)をステップ816
において計算する。
【0071】
アリスは、ステップ818において、(U,W,M,T)をボブに、(V,Z,M,T
)をチャールズに送信する。随意に、彼女は、代わりに(U,V,W,Z,M,T)をボ
ブとチャールズの両者に送ることもできる。アリスは、ボブとチャールズに対して同じ認
証鍵kを使用しているので、Tを1回だけ計算すればよいことに留意されたい。Mは大量
のデータを含むことができ、Tを計算することは長時間を要するので、そこにアリスにと
っての効率が生み出される。アリスが、多数の受信者のそれぞれに対して異なる認証鍵を
使用しなくてはならず、メッセージが大きい場合は、アリスのコストは、メッセージサイ
ズと受信者数との積に比例することになる。上記に概要を示した効率的なアプローチによ
り、アリスが負うコストは、メッセージサイズと受信者数の合計になり、それはそれらの
積よりもはるかに少ない。
【0072】
潜在的な安全の危険性をより良く理解するために、ボブとチャールズがどのように認証
を検証するかを見てみよう。データ(U,W,M,T)を受信するボブを考える。先ず、
ステップ820において、ボブはUと、アリスの公開鍵Aとの鍵共有アルゴリズムを使用
して、アリスとボブの間で共有される鍵共有鍵であるbを計算する。そして、ステップ8
22において、ボブはbとWを使用して、k=UNWRAP(b,W)を計算することに
より、認証鍵kを復号、つまりアンラップする。いったんボブがkを手に入れると、彼は
ステップ824において、T=MAC(k,M)を検証する。チャールズにより行われる
計算も同様である。
【0073】
ボブとチャールズが正直者であれば、上記のアプローチは完全に安全であると考えられ
る。しかし、ボブが正直者でないとすると、ボブは、kを使用して、チャールズに送信さ
れるメッセージを修正、または取り替えることができる。メッセージがアリスによりボブ
とチャールズに送信された場合は、ボブは、オリジナルメッセージ(V,Z,M,T)を
横取りしてVとZを抽出するか、またはVとZを(U,V,W,Z,M,T)から抽出す
るかのいずれかが可能である。ボブは、ある異なるメッセージM’を選択して、T’=M
AC(k,M’)を計算して、チャールズに(V,Z,M’,T’)を送信する。ボブは
随意に、オリジナルメッセージ(V,Z,M,T)を横取りして、それがチャールズに届
かないようにでき、または後日、ただ(V,Z,M’,T’)を送信することができる。
チャールズには、(V,Z,M’,T’)は、本物に見える、つまり、それが、アリスが
送信したものであると見える。こう見えるのは偽りである。ボブは首尾よくアリスになり
すますことができ、これは重大な安全性のリスクである。
【0074】
ボブが、有効なメッセージ(V,Z,M,T)が最初にチャールズに届かないようにで
きなかった場合で、チャールズがすべての認証されたメッセージは異なるVとZを有して
いることを確実にすれば、上記の攻撃は防ぐことができる。しかし、強力な認証が利用で
きるのに、ネットワークメッセージの到着順に依存するということは望ましくない。更に
、チャールズが、いままでアリスが送信したVとZのすべての過去の値の履歴を維持して
チェックするというのは、非常に厄介なことである。
【0075】
上述の安全性の問題という観点から、この攻撃に関するリスクを緩和するための、また
はこの攻撃を防ぐための強力な暗号技術が必要とされる。3種類の技術の適用を示すため
に、ここでは、3種類の例としての方法を説明する。図9を参照すると、最初の方法は、
アリスが異なるMACタグを各受信者に送信する方法である。上記の例に引き続いて、ア
リスは、ステップ810から816と同じステップを行う。ステップ918において、ア
リスはX=MAC(b,T)とY=MAC(c,T)を計算する。アリスは、XをTの代
わりにボブに送信し、YをTの代わりにチャールズに送信する。つまり、彼女は、ステッ
プ920において、(U,W,M,X)をボブに、(V,Z,M,Y)をチャールズに送
信する。以前と同様に、ボブはステップ820でUを使用してbを得て、ステップ822
でWをアンラップしてkを得て、そしてステップ924においてMAC(k,M)を計算
する。ボブはアリスから、これをチェックするためのTを受け取っていないので、彼は引
き続き、MAC(b,MAC(k,M))を計算して、このタグをステップ926におい
てXと比較する。ボブは、X=MAC(b,MAC(k,M))であることをチェックし
てメッセージMを検証する。同様に、チャールズは、Y=MAC(c,MAC(k,M)
)であることをチェックする。ここで、チャールズに対するボブの攻撃は失敗する。なぜ
なら、ボブがMをM’と取り替えて、T’=MAC(k,M)を計算しても、cを知らな
いので、Y’=MAC(c,T’)を計算できない。
【0076】
図10を参照すると、第2番目の方法は、アリスがMACタグTを、WRAP関数の認
証されたパラメータとして含める方法である。ステップ1022で、ボブとチャールズが
WとZをそれぞれアンラップするとき、彼らは、Tがパラメータとして使用されたか、お
よび、検証ステップ1024において、MがTから、WRAP関数の認証されたパラメー
タとして検証に成功するかをチェックする。メッセージが検証されると、つまり、認証に
成功すると、そのメッセージは信頼フォルダ34に送信され、そうでないときは通常フォ
ルダ36に送られる。
【0077】
理解されるように、TがWRAP関数の認証されたパラメータとして含まれるときは、
アンラップ工程は、Tのいかなる修正も検出できる。従って、ボブは、チャールズに対す
る、彼のアリスとしてのなりすまし攻撃を行うことができなくなる。これはチャールズが
修正されたタグT’を検出して拒絶するからである。この方法では、タグTは、通常はW
に埋め込まれているので、メッセージの後でTを送信する必要は一般的にはない。または
、TはWの外側にあって、Wは、Tを検証するために十分な情報を含むだけであってもよ
く、この場合は、Tを送信しなければならない。
【0078】
第3番目の方法は、修正ステップ814において、アリスがMACタグTを、鍵共有機
構の一部として含める方法である。ほとんどの鍵共有機構は、鍵導出関数(KDF)を使
用して、未処理共有秘密sから鍵kを、k=KDF(s)として計算する。しかし、様々
な理由のため、そのような未処理共有秘密は、ある検出可能なパターンを含み、それによ
り安全性のリスクがもたらされる。現代の鍵導出関数は、オプションであるパラメータP
を、k=KDF(s,P)となるように含む。アリスは、TをオプションのKDFパラメ
ータに含めることができる。これを行うことにより、ボブがT’を変更すると、チャール
ズが、アリスが使用した鍵cとは異なる鍵共有鍵c’を導出するので、ボブの攻撃を防ぐ
ことができる。
【0079】
上述の第2および第3方法においては、アリスは、ボブ(およびチャールズと他の受信
者)へ送信されるデータの流れの順序を変更するように選択できる。ボブにタグTをメッ
セージの後に送信する代わりに、アリスは、タグTをメッセージの前に送信できる(彼女
が第2の方法において依然としてTを送信する必要がある場合)。これにおけるボブへの
利点は、ボブは、認証kを見つけるために必要な値Tを有するということである(Tはア
ンラップ関数または鍵導出関数に関係しているため)。これにより、ボブがメッセージM
を受信する前にkが利用できるようになり、それによりボブがMを受信したときのように
、MAC(k,M)の計算を開始することを可能にする。これは、Mをメモリにまずバッ
ファリングして、その後、kを計算して、MAC(k,M)を計算する代わりであり、M
の第2のパスが必要となる。つまり、ボブは、流れ処理を使用できる。反対に、アリスが
流れ処理を使用したいと所望すると、彼女は、U、WおよびTをMの後に送信することを
望み、それにより、MをT=MAC(k,M)として計算するときに送信し、UとWを計
算して送信する。
【0080】
ここで説明した、メッセージを検証するためにMACを使用するこれらの例としての方
法は、対称および非対称機構を含む、ほとんどの鍵共有機構と共に機能できるということ
は理解されよう。
【0081】
複数の受信者への電子メッセージを暗号化することは、上記に触れた認証に関する安全
性の問題を緩和することにも貢献する。アリスがボブとチャールズへの電子メッセージを
暗号化すると想定する。チャールズがアリスからメッセージを受信して、それがアリスし
か知り得ない機密内容を含んでいると分かると、チャールズが、アリスだけがこの電子メ
ッセージを送信可能であると結論するのは自然である。これは無条件認証と称される。ボ
ブが正直者であると、無条件認証は合理的である。それは、今日存在するほとんどの暗号
化アルゴリズムは、敵対者が暗号化テキストを改竄しようと試みると、復号の際に、少な
くとも何らかの手を加えられたように見えるという特性があるからである。復号されたメ
ッセージが手を加えられたように見えず、アリスのみが知り得る情報を含んでいれば、チ
ャールズは、敵対者がそのメッセージを送信してはいない、またはメッセージを修正して
はいないと推測できる。しかし、ボブが正直者でない場合は、彼は、メッセージ内のアリ
スの秘密を知ることができ、メッセージを修正し、それを再暗号化してチャールズに送信
できる。この攻撃は、本質的に明白な認証に対する攻撃と同一であり、同じ方法を使用し
て、その攻撃を防止できる。
【0082】
署名が不要の認証が望ましい。署名付き認証は受信者1人当りのコストを有しない(パ
ズルまたは長い計算と組み合わされない限り)ので、スパムを、鍵共有とMACを使用す
るときと同じように効果的には抑止できない。署名を認証に使用しないことの別の利点は
、妥当否認または不正転送防止として知られている。アリスが、ボブに対して何かを認証
するために署名をすると、ボブは、他人に、アリスが署名したことを証明できる。今日の
ほとんどのプロトコルでは、アリスはメッセージの内容に署名する。これにより、ボブは
他人に対して、アリスがメッセージに署名したことを証明できるようになり、これは、メ
ッセージが契約書または他の約束の場合は、ボブには望ましいことである。しかし、アリ
スはこれを望まないであろう。実際、筆記による署名の一般的な原理は、人が署名したも
のに制限を与える。この原理をデジタル署名に拡張できると望ましい。従って、アリスは
、自分がしたいことは彼女自身を認証することである場合は、何にも署名しないことを望
むであろう。つまり、アリスがボブへのメッセージを認証しても、アリスは、ボブがチャ
ールズに対して、アリスがボブにより受信されたメッセージに署名したことを証明できな
いこと、または彼女の私的鍵がどんな方法でも使用されないことを望む。
【0083】
これに対する部分的解法は、アリスが認証鍵kの関数に署名して、メッセージのMAC
タグTを、T=MAC(k,T)として計算することである。ボブは、アリスがボブへの
メッセージMを認証したことを示すkにアリスが署名したことを知る。しかし、ボブはM
をM’に、TをT’に置き換えることができるので、ボブはチャールズに、アリスがMに
署名したことを証明できない。これは、アリスが何かをボブに認証したという証拠をまっ
たく残さない鍵共有を使用して達成できる。この目的のために使用できる適切な鍵共有に
は、MQVとStatic−Static DHが含まれるが、デジタル署名を含むSt
ation−to−Stationのような他のプロトコルは含まれない。
【0084】
ECCは、上記に説明したように、スパムおよびフィッシングを抑制する作業に対して
は、RSAよりも適切であると考えられているが、例えば、既存の開発済の旧態システム
においては起こり得る、RSAしかユーザーが利用できない場合は、署名なしの認証のた
めにRSAを使用することが望ましい。RSAに対する既存の標準規格は、署名と公開鍵
暗号化を認めているだけで、MACと確実に組み合わせることができる鍵共有機構を含ま
ない。既存のRSA標準規格は、デジタル署名を必要とする。下記は、RSAが、デジタ
ル署名を生成する必要がない認証に使用できる機構を提供する。
【0085】
RSAによる署名なしの認証を達成するために、アリスとボブは、ほぼ同じサイズのR
SA公開鍵AとBを生成する。簡略化のため、アリスとボブは同じ公開冪指数eを使用す
ると仮定するが、アリスとボブは、下記に説明する方法に適切な修正を加えることにより
、異なる公開冪指数を使用できる。アリスとボブの私的冪指数はそれぞれaとbである。
AとBのサイズが近いと、効率の面で好ましい。公開鍵AとBは、サイズがかなりことな
ってもよいが、効率が落ちる。アリスはランダム認証鍵kを選択し、Z=(F(k^e
mod B))^a mod Aを計算する。Zを計算するときは、従来のRSA演算の
場合と異なり、kは埋め込まれず、そのため冗長性は含まれない。変換Fはある固定の公
開可逆関数である。例としては、恒等関数(つまり、Fの引き数それ自身への写像)と固
定、公開鍵による対称暗号化関数がある。アリスはT=MAC(k,M)を計算して、(
Z,M,T)をボブに送信する。ボブは、k=(G(Z^e mod A))^b mo
d Bを計算し、ここでGはFの逆関数であり、それにより、すべてのxに対してG(F
(x)=xが成り立つ。アリスは、いくつかの鍵kを試行する必要があり、それにより、
ボブがZからkを取り出せることを確実にする。非常に大雑把に言えば、そのようなkを
見出すためには、アリスは平均してB/A回の試行を一般的に要する。BとAが接近して
いればこれは問題ではない。ボブがあるZを選択して、kを計算できることに留意された
い。つまり、アリスとボブは同等に、対応する対(k,Z)を生成できる。従って、チャ
ールズが、ボブが容易に(k,Z)を生成できることを知っているので、ボブはチャール
ズに、アリスがその対(k,Z)を生成したことを証明できない。これを可能にするのは
、アリスの私的鍵演算の入力がまったく冗長性を有していないことによるが、従来のRS
Aデジタル署名においては、入力は冗長性を有しており、従って、アリスのみがその署名
を生成できた。kからZを計算することは、アリスの私的RSA演算、ボブの公開RSA
演算、および固定共通公開演算を含む、本質的に可逆演算の一連の適用から構成され、他
の組み合わせも、安全性と効率の程度に違いはあるが使用できるということは理解されよ
う。安全と思われるそれらの組み合わせの中で、最も効率的と信じられているので、上記
に説明した方法が好ましい。
【0086】
上記の検討から、暗号演算が信頼できる入信メッセージを、他のメッセージから分離し
、広い範囲の一斉同報を、追加的な計算についてのコストを負わせることで抑止するフィ
ルタを提供するために利用されていることは理解されよう。
【0087】
本発明の種々の実施形態が詳細に説明された。この技術に精通した者は、多数の修正、
適合、および変形が、本発明の範囲を逸脱することなく実施形態に可能であることを理解
されよう。上述の最良の形態における変更、あるいはそれに対する追加は、本発明の精神
または範囲を逸脱することなく可能であるので、本発明はそれらの詳細には制限されず、
添付の請求項にのみ制限される。
【技術分野】
【0001】
本発明は、一般的には、電子メッセージを管理する分野に関する。特に、本発明は、電
子メッセージを管理し、依頼してもいない、かつ不要な電子メッセージをフィルタ処理す
るシステムと方法に関する。
【背景技術】
【0002】
我々が皆気付いているように、一般的には「スパム電子メール」と呼ばれる、依頼して
もいない、かつ不要な電子メールは、非常に不快なものになってきており、電子メールを
使用するすべての人にとって、総合的な問題となりつつある。更に最近になって、携帯電
話へのショートテキストメッセージの一斉同報や、あるオペレーティングシステムを起動
しているパソコンへの、ポップアップ式のインスタントメッセージや、VoIP(Voice
over InternetProtocol)のユーザーへのデジタル化電話メッセージまたはボイスメール
など、依頼してもいない電子メッセージの携帯通信装置への一斉同報が出現してきた。ス
パム送信者、つまり、スパムメッセージを多数の受信者に区別なく一斉同報する送信者は
、インターネットを、ほとんどの人々が見たくも聞きたくもないすべての種類の公告およ
び勧誘であふれさせる。スパム送信者は、典型的に1日当り数十億のメッセージという大
量のメーリングを送信していると一般的に概算されている。概算は、ほとんどの電子メー
ルトラフィックはスパムであり、インターネット全体のトラフィックの相当なパーセンテ
ージがスパムであることを示している。
【0003】
スパム送信者は、電子メールアドレスのような、受信者のネットワークアドレスを典型
的には、電子メールリストを購入したり、ウェブページで電子メールアドレスを探したり
(ある場合には、ウェブサイト上に掲載した電子メールアドレスが、掲載後数分のうちに
スパム電子メールを受信することもある)、登録されたドメイン名にありそうなユーザー
名を付けることによりありそうなアドレスを調べるなどして見つける。スパム送信者はま
た、メーリングリストを読み取ることもでき、理論的には、彼らのサーバーを通過するす
べての電子メールまたは類似のインターネットトラフィックを走査して、その中に含まれ
る有効なユーザーネットワークアドレスを手に入れることができる。
【0004】
スパムに対処すべく、種々の解決法が考案された。下記には、スパム電子メールに対処
するときに、これらの方法が直面する難しさのいくつかを単に取り上げているが、それら
はまた、スパムの他の形式に対処するときも同様である。
【0005】
スパムは今日では、主にフィルタを使用することで対処している。フィルタは、送信者の
ネットワークアドレス、タイトル、および内容を読み取って、スパムである証拠となる兆
候を見つけ出そうとする。スパム送信者はしばしば、新しく正規の、公的に入手でき、安
価なネットワークアドレスを入手して、送信者のアドレスフィルタにより捕獲されること
を、少なくとも一時的には回避しようとする。スパム送信者はまた、例えば、電子メール
アドレスがスパム電子メールフィルタ上ではシロと判定されそうな人間の電子メールアド
レスを偽って使用するなどして送信者のアドレスになりすますこともよくある。電子メー
ルアドレスになりすましをされると、なりすましされたアドレスを有する人にとっては、
スパム電子メールの受信者からの怒りの返信でいっぱいになり、彼らの本物の電子メール
メッセージさえもブロックするようになるので頭痛の元になる。
【0006】
タイトルと内容に基づくフィルタ処理は、スパム送信者が、そのようなフィルタを避け
て通る対抗策を考案できるので、一般的には、短期間のみ有効である。例えば、あるフィ
ルタは、ほとんどスパム電子メールにのみ現れると考えられるある言葉を探して、スパム
電子メールを検出しようとする。スパム送信者は、フィルタにより一般的に読み取られる
言葉を変更するか、これらの言葉をこれとは異なる、不正確なスペルにし、しかも人には
理解できるが、十分にランダムなので、フィルタがそれらの変形に対処できないようにす
ることで、これらのフィルタに対処する。一方では、そのようなフィルタは、場合によっ
ては正規の電子メールメッセージを捕獲することもある。他の種類のフィルタは、正規の
電子メールメッセージを、典型的なスパム電子メールには現れない言葉を探すことにより
検出しようとする。スパム送信者は、この種のフィルタは、スパム電子メールにランダム
な言葉を付け加えることにより避けて通るようにした。従って、これらの種類のフィルタ
は、スパム送信者がそのフィルタを避けて通ろうとするので、常に改訂が必要である。今
日では、ほとんどのフィルタは、スパム電子メールの約10%を通過させてしまい、依然
として、正規の電子メールメッセージをブロックしてしまうこともある。
【0007】
フィッシング(Phishing)は、アイデンティティのなりすましの別の応用であり、送信者
の電子メールアドレスが偽造される。フィッシャーは電子メールを、通常はスパムのよう
な一斉同報により送信し、銀行のような正規の機関から発信されたように装う。電子メー
ルメッセージは受信者に、ウェブサイトにログオンして、オンラインバンキングパスワー
ドを入力するような、ある行動をとるように要求する。このウェブサイトは、通常は、本
物のサイトと見かけは同じで、ウェブアドレスも非常に似ている違法な模造サイトである
。受信者は、騙されて、軽率にも、要求通りにサイトに、オンラインバンキングパスワー
ドと口座番号を入力してしまうこともある。フィッシャーは、このようにして、口座番号
と、対応するパスワードを集めることができ、被害者のオンライン口座を自由に操作して
、銀行預金をすべて引き出すことができる。受信者のわずか1%が応答したとしても、フ
ィッシャーによる金銭的損害は多大なものとなる。
【0008】
フィッシングは、受信者に電子メールで応答するように依頼する形式をとることもでき
、その時点で、受信者は対話に巻き込まれ、その話の中で、ある口座、よくあることだが
、真偽の疑わしいアフリカの王子が、彼の国からある財産を持ち出そうとしており、受信
者が決して手にすることはない、数百万ドルの報償金との交換が約束されているので、そ
の王子の口座にお金を預けるように指示される。フィッシングの他の形態は、同僚のよう
な信頼できそうに見える他人のあるなりすましされたアイデンティティで実行可能なウィ
ルスを送ることである。
【0009】
フィッシングは、送信者のアドレスとメッセージ内容を読み取るフィルタでは、スパム
よりも対処がより困難になる傾向がある。その1つの理由は、アイデンティティのなりす
ましである。フィッシャーもまた彼らの電子メールのタイトルと内容を、正規の電子メー
ルに、できるだけ近づけようとすることもできるが、ほとんどのスパム電子メールのほと
んどの広告内容は、即座に見破られてしまう。
【0010】
電子手段による通信は、近いうちに衰退する可能性は少ない。むしろ、その重要性は増
大する可能性があり、テキストからグラフィック、そしてオーディオまたはビデオデータ
へと、データのより多くの種類が電子形式で受信者に転送され、通信される可能性がある
。これは通信者にとっては便利であるが、スパム送信者にも、彼らのスパム行為を拡張す
る機会を与えることになる。スパムメッセージを処理して、調べて、削除することに関連
する生産性の損失とコストは、一般的には、容認しがたいほど大きいと考えられている。
従来のフィルタを回避するスパム送信者とフィッシャーの能力が増大したとすると、また
は彼らが、ますます、アイデンティティのなりすましの使用が増えるとすると、今日の対
処フィルタよりも更に強力なフィルタが必要となってくるであろう。スパム送信者とフィ
ッシャーの、従来のフィルタを回避する率を10%以上高めることができるとなると、よ
り強力なフィルタが特に所望される。
【0011】
暗号技術は、暗号化され認証された電子メッセージの配信に利用できる。今日の暗号
アルゴリズムは、一般的には、破ることが不可能であると思われている。これを、電子メ
ールを含めた、ネットワークのトラフィックを確実にするために使用でき、改竄、偽造、
および盗聴から守ることができる。しかし、従来から、暗号化は、金融処理または財務デ
ータのような高価値のトラフィックを保護するために使用されてきた。IETF(Intern
et EngineeringTask Force:インターネット標準化団体)は、電子メールまたは電子メ
ールを使用して送信されるデータを保護するために使用できるS/MIME(Secure Mul
tipurposeInternet Message Extensions:電子メール暗号化方式標準)プロトコルを開
発した。S/MIMEの専用的使用は、スパムまたはフィッシング電子メールを防止する
ことを支援するが、ある通常のビジネス間の通信をも妨害してしまうこともある。
【0012】
電子メールを保護することについての問題の1つは、そしてそれが今日でも普及して
いない1つの理由は、今日の公開鍵基盤(PKI)の不便さに関連している。典型的な電
子メールのユーザーは、一般的には、認証機関(CA)の証明書を登録するプロセスは典
型的に高価で複雑であると考えられ、公開鍵証明書を得ることは難しいと考えている。更
に、S/MIMEは、相互運用性についての欠点を有している。それは、ルート機関によ
り署名されなければならないデジタル証明書を使用するという欠点である。PGPは、S
/MIMEと同じ機能を基本的に提供し、類似の制限を有している別の技術である。
【0013】
完全PKIの代替としては、ユーザーが自分自身で、自署名証明書を発行することで
ある。安全性の観点からは、これは完全には理想的ではない。電子メールの状況では、ユ
ーザーがお互いの証明書を、CAを介在することなく登録することが可能であり、通常は
これで十分である。しかし、新しく知人を作るときは、証明書が正規のものであるかどう
かを判定することはユーザーの責任である。例えば、誰もが、あるよく知られた有名人の
名前の自署名の証明書を作成することができる。ユーザーは、認証機関(CA)の支援な
く、この電子メールは、本当にその有名人に対応しているかを判定しなければならない。
これが完全PKIを使用しないことによる限界である。
【発明の概要】
【課題を解決するための手段】
【0014】
本発明の目的は、上記の不利な点の少なくとも1つを緩和または削除することである。
【0015】
本発明の発明者は、暗号が、スパムのような悪意のあるトラフィックの量を、通常の
トラフィックを妨げることなく制限できることを認識した。解決方法は、公開鍵暗号技術
を使用する。外に送信されるメッセージは、送信者からのメッセージデータに対して行わ
れた暗号演算から得られた結果を含む、またはその全体が結果から構成されている。この
結果は、受信者により暗号技術を使用して検証される。検証に成功したメッセージは、信
頼フォルダに送られる。検証に失敗したメッセージは、自由に廃棄できる信頼なしフォル
ダに送られる。検証プロセスはこのように、信頼できるメッセージと他のメッセージの間
のフィルタとして機能する。随意に、検証過程で判定された既知のスパム送信者からのメ
ッセージは、即時、削除できる。
【0016】
本発明の1つの形態においては、送信者は、メッセージを受信者に送信する前に、そ
のメッセージにデジタル署名をする。電子メッセージングシステムの各ユーザーは、一対
の鍵を有しており、1つは公開鍵であり、他の1つは私的鍵である。公開鍵は、信頼でき
る方法で通信者の間で共有されていて、つまり、その電子メッセージングシステムを使用
する通信者の選択されたグループの間では、私的と考えられる。受信者が送信者からの信
頼できるメッセージを受け取る前に、受信対象者は、まず、送信者の公開鍵をいったん受
け取る。受け取った公開鍵は、クライアントにおいて格納され、デジタル署名された電子
メッセージおよび随意に暗号化された電子メッセージを検証するために使用される。検証
に成功したメッセージは、信頼または優先度フォルダに送られる。
【0017】
ユーザーコミュニティを代表する組織に対しては、そのメッセージサーバーまたは付属
サーバーは、ユーザーの公開鍵を保持し、ユーザーの代わりに検証が行える。組織全体が
ユーザーとして対処される。組織は、組織を示す鍵対を有することができる。提携する組
織同士は、公開鍵を一旦交換し、1つの非常に単純なステップでお互いに全体ユーザーコ
ミュニティ間の信頼を持たせることができる。検証は、電子メールサーバーのようなメッ
セージサーバーで行われる。
【0018】
本発明の別の形態においては、受信者のネットワークアドレスと共に、送信者の代わ
りに、受信者の公開鍵が、公に利用できる名簿において公開されるか、または、別の当事
者、つまり、送信者が受信者に電子メッセージを送信できることを可能にするある他の手
段において公開される。送信者は、受信者のネットワークアドレスと公開鍵を得て、受信
者へのメッセージを暗号化する。
【0019】
受信者(またはそのメッセージサーバー)は、受信した電子メッセージに対して統計
的チェックを行い、それが暗号化メッセージであることを示すランダムデータに類似して
いるかどうかを調べる。類似していれば、電子メッセージは、受信者の信頼受信ボックス
に信頼できるメッセージとして転送される。このチェックのいずれかが失敗に終わると、
電子メッセージは、異なる受信ボックス(信頼のない受信ボックス)に送られる。送信者
により暗号化されていない電子メッセージは、信頼のない受信ボックスへ転送される。
【0020】
本発明の更に別の形態においては、暗号メッセージ認証は、メッセージ認証コード(
MAC)と組み合わされた鍵共有により達成される。MACは常に、送信されるメッセー
ジに含まれる。受信者により認証されたメッセージは、信頼受信ボックスに分類される。
検証に失敗したメッセージは、信頼のない受信ボックスへ送られる。
【0021】
他の形態において、本発明は、上述した形態の種々の組み合わせおよびサブセットを
提供する。
例えば、本発明は以下の項目を提供する。
(項目1)
電子メッセージングシステムにおいて、信頼できる送信者からの電子メッセージを、他
のメッセージから分離する方法であって、
信頼できる送信者からの電子メッセージの平文メッセージに暗号演算を行って結果を得
るステップと、
該結果を電子メッセージに含めるステップと、
電子メッセージの受信時に、前記結果は、平文メッセージに対して行った暗号演算から
得られたことを検証するステップと、
検証が成功すると、該電子メッセージを優先メッセージとしてマークを付け、マークを
付けられた優先度に基づいて、受信電子メッセージを分離するステップと、を含む方法。
(項目2)
前記暗号演算は、前記検証演算よりも計算的により示強的である項目1に記載の方法
。
(項目3)
前記結果は、平文メッセージの署名から得られた、信頼できる送信者のデジタル署名で
あり、前記電子メッセージを検証することは、該デジタル署名を検証することを含む請求
項1に記載の方法。
(項目4)
前記結果は、前記平文メッセージの暗号化メッセージであり、前記電子メッセージを検
証することは、該暗号化メッセージを検証することを含む項目1に記載の方法。
(項目5)
前記暗号化メッセージを検証することは、前記暗号化メッセージがランダムデータに類
似しているかを判定するために統計的チェックを行うことを含む項目4に記載の方法。
(項目6)
前記暗号化メッセージを検証することは、前記暗号化メッセージを復号化することを含
む項目4に記載の方法。
(項目7)
前記結果は、メッセージ認証コード(MAC)である項目1に記載の方法。
(項目8)
受信者において電子メッセージを分離する方法であって、
該受信者により受信された電子メッセージに対して、所定暗号演算の証拠を調べるステ
ップと、
証拠を検出したときに、該電子メッセージを、該所定暗号演算の証拠のないメッセージ
から分離するステップと、を含む方法。
(項目9)
電子メッセージをフィルタ処理する方法であって、
電子メッセージにおいてデジタル署名を検証するステップと
検証が失敗したときに、該電子メッセージを削除するステップと、を含む方法。
(項目10)
電子メッセージをフィルタ処理する方法であって、
電子メッセージの擬似ランダム性についての統計的チェックを行うステップと、
統計的チェックが失敗すると、該電子メッセージを削除するステップと、を含む方法。
(項目11)
電子メッセージをフィルタ処理する方法であって、
電子メッセージにおけるメッセージ認証コード(MAC)を検証するステップと、
検証が失敗すると、該電子メッセージを削除するステップと、を含む方法。
(項目12)
信頼できる電子メール通信者のリストからの電子メッセージを維持する方法であって、
信頼できる電子メール通信者のそれぞれから公開鍵を得るステップと、
入信電子メッセージが、信頼できる電子メール通信者の1人の公開鍵を使用して、暗号
演算から得られた結果を含むことを検証するステップと、
検証が失敗すると、該入信電子メッセージを削除するステップと、を含む方法。
(項目13)
第1通信者が、第2通信者に電子メッセージを送る方法であって、該第1および第2通
信者のそれぞれは、一対のRSA公開鍵と私的鍵を有し、該第1および第2通信者のそれ
ぞれは、他の通信者のRSA公開鍵の認証されたコピーを有しており、
該電子メッセージを、第2通信者の該RSA公開鍵により暗号化するステップと、
前記暗号化電子メッセージを変換して、変換されたメッセージを得るステップと、
第1通信者の前記私的鍵を使用して、前記変換されたメッセージに対してRSA復号を
行うステップと、
前記結果を、第2通信者に送るステップを含み、
前記暗号および復号演算は、冗長性を含まない方法。
(項目14)
第1通信者の公開鍵で前記結果を復号して、復号された結果を得るステップと、
前記復号された結果に対して、前記変換の逆関数である逆変換を行って、逆変換された
結果を得るステップと、
第2通信者の私的鍵で、前記逆変換された結果に対してRSA復号演算を行うことによ
り、電子メッセージを取り出すステップと、を更に含む項目13に記載の方法。
(項目15)
前記電子メッセージは、認証鍵である項目14に記載の方法。
(項目16)
第1通信者が、第2通信者に電子メッセージを送る方法であって、第1および第2通信
者のそれぞれは、一対の公開鍵と私的鍵を有し、第1および第2通信者のそれぞれは、他
方の通信者の公開鍵の認証されたコピーを有しており、
認証鍵を選択するステップと、
該電子メッセージと該認証鍵からメッセージ認証コード(MAC)を計算するステップ
と、
前記認証鍵を、第2通信者の公開鍵で暗号化して暗号化された鍵を得るステップと、
第1通信者の私的鍵で暗号化された鍵を復号して、変換された鍵を得るステップと、
前記電子メッセージと、前記MACと、前記変換された鍵を第2通信者に送るステップ
を含む方法。
(項目17)
電子メッセージを受信者のグループに送る方法であって、
電子メッセージの平文に対して、暗号演算を行って、結果を得るステップと、
該結果を電子メッセージに含めるステップと、
受信者のグループに、前記結果を含む電子メッセージを送るステップと、を含み、
前記結果は、受信者のグループの各受信者により異なる方法。
(項目18)
前記暗号演算は、受信者特有の演算を含み、前記受信者特有の演算は、送信者と受信者
の間で合意された秘密入力を組み込んでいる項目17に記載の方法。
(項目19)
前記受信者特有の演算は、前記結果に含まれるメッセージ認証コード(MAC)を計算
し、前記MACは、前記秘密入力およびすべての受信者に対して共通の共有鍵から計算さ
れた共通MACに基づいて計算される項目18に記載の方法。
(項目20)
メッセージ認証コード(MAC)を計算するステップと、
前記秘密入力から、前記MACを入力として含む鍵導出関数により鍵を計算するステッ
プと、をさらに含み、
前記鍵は前記暗号演算で使用される項目18に記載の方法。
(項目21)
信頼できるメッセージを分離し、電子メッセージを送信者から受信者へ配信する電子メ
ッセージングシステムで使用されるシステムであって、
電子メッセージングシステムに結合され、信頼できる送信者からの受信者への電子メッ
セージに対して暗号演算を行って結果を得る暗号プロセッサと、
前記結果を前記受信者に送信する手段と、
電子メッセージシステムに結合されるフィルタであって、前記結果を受信し、前記結果
において前記暗号演算の証拠を検出し、前記証拠の検出が成功したときは、前記電子メッ
セージを信頼できるメッセージとしてマークを付けるフィルタを備えるシステム。
(項目22)
前記暗号プロセッサは、前記電子メッセージを暗号化して暗号化されたメッセージを前
記結果として得るための暗号モジュールを含む項目21に記載のシステム。
(項目23)
前記フィルタは、統計的チェックに基づいて暗号化を検出する手段を含む項目22に
記載のシステム。
(項目24)
前記フィルタは、復号モジュールを含む項目21に記載のシステム。
(項目25)
前記暗号プロセッサは、デジタル署名を生成する手段を含み、前記結果は、前記デジタ
ル署名であり、前記フィルタは、前記デジタル署名を検証する手段を含む項目21に記
載のシステム。
(項目26)
前記暗号プロセッサは、前記電子メッセージに対してメッセージ認証コードを生成する
手段を含み、前記結果は、前記結果であり、前記フィルタは、前記メッセージ認証コード
を検証する手段を含む項目21に記載のシステム。
(項目27)
前記電子メッセージングシステムは、電子メッセージを送信するための送信者メッセー
ジサーバーと、電子メッセージを受信するための受信者メッセージサーバーを含み、前記
暗号プロセッサは、前記送信者メッセージサーバーから前記電子メッセージを受信し、前
記結果は、前記受信者メッセージサーバーに送信され、前記フィルタは、前記電子メッセ
ージと前記結果を、前記受信者メッセージサーバーから受信する項目21に記載のシス
テム。
(項目28)
電子メッセージを送信者から受信者に配信し、信頼できる電子メッセージを、他のメッ
セージから分離する電子メッセージングシステムであって、
送信者からの電子メッセージを得る手段と、
該電子メッセージに対して暗号演算を行って、結果を得る暗号プロセッサと、
該電子メッセージを受信者に送信する送信者メッセージサーバーと、
該電子メッセージを受信する受信者メッセージサーバーと、
前記結果において、前記暗号演算の証拠を検出し、前記証拠の検出が成功すると、前記
電子メッセージに、前記証拠がない他のメッセージよりも高い優先度を付けるフィルタと
、
前記結果を該フィルタに送信する手段を備える電子メッセージングシステム。
(項目29)
証拠を有する前記メッセージを格納する優先度メッセージフォルダと、
前記他のメッセージを格納する通常メッセージフォルダと、を更に備える項目28に
記載の電子メッセージングシステム。
(項目30)
前記受信者の暗号化鍵を格納するデータファイルを更に備え、
前記暗号プロセッサは、前記暗号化鍵を使用して、前記電子メッセージを暗号化して、
前記結果としての暗号化されたメッセージを得る暗号化ユニットを含む項目28に記載
の電子メッセージングシステム。
(項目31)
前記暗号化鍵は、前記受信者の公開鍵である項目30に記載の電子メッセージングシ
ステム。
(項目32)
前記フィルタは、前記暗号化されたメッセージを復号するための復号モジュールを含む
項目30に記載の電子メッセージングシステム。
(項目33)
前記暗号演算は、離散対数問題を解くことを含み、前記検出は、前記離散対数問題の解
を検証することを含む項目28に記載の電子メッセージングシステム。
【図面の簡単な説明】
【0022】
説明の目的のため、それに制限されることなく、1つの実施形態が、添付された図面を
参照する例により、詳細に説明される。
【0023】
【図1】電子メッセージをフィルタ処理するための暗号技術を使用する電子メッセージシステムの概要を示す模式図である。
【図2】図1に示されたシステムにおいて使用される、電子メッセージをフィルタ処理するためにデジタル署名を使用する例としての工程のステップを示している。
【図3】電子メッセージサーバーが、システムの個々のユーザーの代わりに、暗号演算を行って検証するように機能する、図1に示された電子メッセージシステムの代替システムを模式的に示している。
【図4】図1または3で示された、電子メッセージをフィルタ処理するために、メッセージデータのランダム性を調べるいずれかのシステムにより採用された例としての工程のステップを示している。
【図5】グループ電子メッセージを送信してフィルタ処理するための、図4に示されるシステムから変形されたシステムにより使用されるシステムと方法を示している。
【図6】グループ電子メッセージを送信してフィルタ処理するための、図4に示されるシステムから変形されたシステムにより使用されるシステムと方法を示している。
【図7】送信者が、2人の受信者に電子メッセージを認証して送信する従来技術のシステムを模式的に示している。
【図8】図7に示された、送信者と2人の受信者により行われる、認証された電子メールを送受信するための従来技術のステップを示している。
【図9】図1と3で示されたシステムのユーザーにより行われる、認証された電子メールを送受信するための方法のステップを示している。
【図10】図1と2で示されたシステムのユーザーにより行われる、認証された電子メールを送受信するための別の方法のステップを示している。
【発明を実施するための形態】
【0024】
下記の説明、およびそこで説明される実施形態は、本発明の原理の特別な実施形態の
例、あるいは複数の例としての例示により提供される。これらの例は、説明の目的で提供
され、本発明のこれらの原理を制限するものではない。下記の説明においては、明細書お
よび図と通して同じ部品には同じ個々の参照番号が付けられている。
【0025】
図1を参照すると、電子メッセージをフィルタ処理する暗号技術を使用する電子メッ
セージシステムの概観が示されている。電子メッセージシステムの一対の通信者またはユ
ーザー、つまり、第1ユーザー即ち送信者20と、第2ユーザー即ち受信者22は、ユー
ザー間で、ネットワーク接続24を介して電子メッセージを交換する。各ユーザーは、ユ
ーザーに連絡できるネットワークアドレスを有している。例えば、電子メッセージシステ
ムが電子メールシステムの場合は、ネットワークアドレスは、電子メールアドレスである
。電子メッセージシステムが携帯電話テキストメッセージシステムの場合は、ネットワー
クアドレスは、電話番号である。
【0026】
すべての送信される電子メッセージのメッセージデータ、つまり、平文テキストメッ
セージ26は、送信者の暗号処理モジュール28により処理される。この状況では、「平
文テキスト」が、たんに人間が読めるテキストに関するだけでなく、一般的なすべてのメ
ッセージデータに関するということは理解されよう。例えば、S/MIMEは、オーディ
オおよびビデオデータ、およびグラフィックファイルのようなバイナリデータの転送を可
能にする。これらのバイナリデータは、すべて「平文テキスト」データまたはメッセージ
と称される。更に、バイナリデータは、暗号処理モジュール28により処理される前のす
べてのメッセージデータを含み、既に暗号化された形式のデータも排除しない。信頼メッ
セージ30、つまり、暗号処理モジュール28による、平文テキストメッセージ26に対
する暗号演算から得られる暗号化データを含むメッセージは、送信者の暗号処理モジュー
ル28により生成される。つまり、信頼メッセージは、平文テキストメッセージ26に対
する暗号演算から得られる結果を含む、またはその全体から構成されてもよい。
【0027】
すべての入信電子メッセージは、最初、受信者のフィルタ32により読み取られる。
フィルタ32は、すべての入信電子メールをフィルタ処理する暗号技術を採用している。
フィルタ32は、もちろん、入信電子メッセージに対して、タイトルまたは送信者のアド
レス読み取りのような、従来の技術に基づいて、スパムまたはフィッシングの兆候がない
かの監視を続けることができる。システムのユーザーは、2つのフォルダまたは2つの入
信メールボックスを有する。フィルタ処理を通過した電子メッセージは、信頼フォルダ3
4に格納され、フィルタにより拒絶された電子メッセージは、通常フォルダ36に送られ
る。信頼フォルダ34に格納された電子メッセージは、より高い優先度、または信頼を持
って対処され、一方、通常フォルダ36は、比較において、相対的に低い優先度の電子メ
ッセージを保持するようになっている。受け取りにはレベルがあり、受け取りのレベルに
対応して複数のフォルダまたは入信メールボックスを必要とするということは理解されよ
う。説明の利便性のため、注記しない限り、2つのメールボックスのみをここでは示して
、説明している。このように、暗号技術を使用する検証の結果に基づいて、メッセージを
異なるフォルダに分離することにより、このように、他のメッセージから信頼メッセージ
をフィルタ処理する。
【0028】
ここでは、第1ユーザーは、送信者20として指定されているが、同じ記述は、一対
のユーザーが役割を交換しても成り立つ、つまり、第1ユーザーが受信して、第2ユーザ
ーが電子メッセージを送信する場合にも成り立つ。第1ユーザーが送信者、第2ユーザー
が受信者と指定したのは、たんに説明の利便性によるものである。
【0029】
更に、本明細書においては、「送信者」は、特に状況により、そうでないように要求
される場合を除き、電子メッセージを送信するシステムのユーザー、電子メールプログラ
ムのような、ユーザーにより電子メッセージを送るために採用されるメッセージソフトウ
ェアプログラム、または、電子メッセージを送信するメッセージプログラムが実行される
汎用コンピュータのことを意味するように交換可能に使用される。汎用コンピュータは、
典型的には、CPUと、CPUにアクセスできるメモリ格納装置および格納装置と、入出
力(I/O)装置を有する。メッセージプログラムは、格納装置に格納できる。同様に、
「受信者」という用語は、状況により、そうでないように要求される場合を除いて、電子
メッセージを受信するシステムのユーザー、電子メッセージを受信するために、ユーザー
により採用されるメッセージソフトウェアプログラム、または、電子メッセージを受信す
るためのメッセージプログラムが実行される汎用コンピュータを意味するように交換可能
に使用される。
【0030】
平文テキストメッセージ26の送信に先立ち、送信者20は、最初に、平文テキスト
メッセージ26に対して暗号演算を行う。これは、送信者のソフトウェアの暗号処理モジ
ュール28により行われる。送信者20は、平文テキストメッセージを処理する暗号演算
の幅広い範囲から、フィルタ処理のレベルに応じて、送信者のソフトウェアにかかる計算
負荷の、所望のかつ容認できるレベルを選択できる。信頼メッセージ30の2つの例は、
デジタル署名されたメッセージ38と暗号化メッセージ40である。例えば、暗号演算は
、平文テキストメッセージ26にデジタル署名をすること、および平文テキストメッセー
ジ26の暗号化の1つであってよい。送信者20が、平文テキストメッセージ26に署名
する場合は、信頼メッセージ30は、送信者20により生成されたデジタル署名を含む。
メッセージはまた、送信者20により署名することができ、送信者自身の私的鍵を使用し
て暗号化される。または、送信者20は、受信者22から公開鍵を得て、受信者から得た
公開鍵を使用して、メッセージを暗号化できる。
【0031】
メッセージを受信すると、受信者のフィルタ32は、フィルタ処理のためメッセージ
を調べる。フィルタ処理には、メッセージテキストの読み取りと、更には、メッセージテ
キストに対する暗号演算を含み、メッセージが信頼メッセージであることを検証する。更
なる暗号演算が、メッセージが、平文テキストメッセージ26に対して行われた前回の暗
号演算または複数の暗号演算の結果を含むことを検出するように設計されている。そのよ
うな暗号演算(または複数の暗号演算)の結果が、検出および検証に成功すると、メッセ
ージの検証は成功する。検証に成功したメッセージのみが、信頼メッセージと見なされ、
受信者の信頼フォルダ34へ送られる。
【0032】
ここで説明したシステムは、閉じたシステムではないということは理解されよう。つ
まり、暗号技術をまったく採用しないシステムのユーザーも、暗号技術は採用するが、シ
ステムまたは受信者が知らない暗号化鍵を使用するユーザーもいる可能性があるというこ
とである。従って、受信したメッセージは、その全部が平文テキストデータから構成され
ているか、または未知の鍵を使用した暗号演算から得た結果を含むこともある。署名なし
の平文テキスト電子メッセージまたは未知の鍵で署名されたメッセージは、直接、通常フ
ォルダ36または、拒絶受信ボックスに送られる。フィルタがスパム送信者に属している
と判定した証明書における公開鍵で署名された署名付き電子メッセージもまた通常受信ボ
ックスに送ることができる。複数の拒絶レベルを実行できる場合は、受信者22は、信頼
および通常フォルダに加えて、既知のスパム送信者からの電子メッセージを保持する特別
フォルダを有することができる。既知のスパム送信者からと特定された電子メッセージも
また、検出後即座に削除できる。
【0033】
いったん、スパム送信者の公開鍵が検出されると、そこから送られるすべてのスパムメ
ッセージは拒絶または削除される。これにより、スパム送信者は、その鍵がスパム送信者
に属すると認識されると、新しい鍵の生成を余儀なくされる。新しい鍵の生成は、適度に
高価な暗号演算である。スパム送信者は、新しい鍵が必要となるたびにコストを負うこと
になり、そうせざるを得なくなる。これは、潜在的に、ある新しい送信者のネットワーク
アドレスを作成またはなりすましよりもはるかにコストがかかる。このように、スパム送
信者にとって、スパムメッセージが自動的に拒絶または削除されることを回避するために
は、計算に関するコストを負わざるを得なくすることで、スパムの発生は減少し、または
抑制される。
【0034】
受信者1人当りに対して計算に関するコストを必要とすることは、数百万の電子メッセ
ージを送る大量メール送信者は、通常、スパム送信者が現在は負う必要のない付加的な相
当なコストを負うことになる。今日では、そうすることが実質的に無償なので、これによ
り、スパムメッセージを送る、あるいはフィッシングの動機を減少させるように働くと思
われる。
【0035】
しかし、鍵を生成するコストは、スパムを抑制するためには十分ではないこともある
。スパム送信者は、新しい鍵を生成し、スパンメッセージに署名し、署名付きメッセージ
を数百万のユーザーに一斉同報する可能性もある。スパム送信者にとって、スパムメッセ
ージを送信するための計算に関するコストを負わせるようにする別の例として、暗号演算
は、スパム送信者のコストを増大するために反復計算を含むことができる。反復計算の例
としては、繰返しハッシングまたは、例えば千回という回数の暗号化がある。反復の回数
は、所望する効果およびユーザー対敵対者の相対的な能力により決まる。反復演算を必要
とすることは、スパム送信者に1回の一斉同報に付き、より多くの作業をさせることにな
る。しかし、この演算は、受信者が、または受信者の代わりで作動する少なくともフィル
タが、反復計算を検証するために、一般的にスパム送信者と同じだけの作業を行う必要が
あるという点において対称的である。
【0036】
演算は、非対称で、それにより計算の負荷が送信者と受信者の間で釣り合わないよう
にすることが好ましい。そのような例は、受信者が検証するのは相対的に容易であるが、
送信者が生成するのはコストがかかる、小さな離散対数問題を解くことである。これは、
サービス攻撃を拒否する状況では、パズル法としても知られていることもある。
【0037】
送信者の、受信者1人当りのコストを増大するために反復計算またはパズルをもっと
も効果的に使用するために、送信者20には、各受信者22およびメッセージに対して異
なる計算または異なるパズルを必要とさせる。これにより、受信者1人当り、および1メ
ッセージ当りの計算コストをスパム送信者が負うことを余儀なくさせ、実質的にコストが
かからずに大量のスパムメッセージを送る、スパム送信者の能力を厳しく制限するように
なる。ある例では、パズルまたは計算を、メッセージの要約、受信者の識別子、および可
能であれば日付の関数にして、リプレイ攻撃を防止する。他の例では、パズル法をメッセ
ージ認証のためにデジタル署名アプローチと組み合わせる、または長い計算またはパズル
を、詳細を後述するように、ラップ鍵W、または受信者1人当りのMACタグのような受
信者の値に依存するようにする。
【0038】
1回の一斉同報当り、より多くの作業をスパム送信者に強いる別の例は、暗号化されて
いないメッセージをフィルタ処理により除去することである。送信者20は受信者22へ
のメッセージを、複数の方法のいずれかの方法で暗号化する。いかなる暗号アルゴリズム
でも使用できる。例えば、送信者20は、公開鍵を使用して公開鍵暗号化(例えば、AN
SI 9.63におけるECIES)を行うことができ、または送信者20は、MQV(
Menezes-Qu-Vandstone)を使って鍵を送って、AES(米国新暗号規格)のような対称鍵
方式を使用してメッセージを暗号化できる。楕円曲線暗号(ECC:Elliptic Curve Cry
ptography)は、スパムとフィッシングを判定する作業には、公開鍵演算が、受信者にと
ってより、送信者(つまりスパム送信者)にとってより計算についてコストが高いので、
RSA(Rivest-Shamir-Adleman:ライベスト、シャミール、アドルマン)よりも適切であ
ると考えられている。一方、RSAは、暗号化が送信者ではなく、受信者にとってより困
難で、スパム送信者の作業をより簡単にしてしまうので、スパム送信者により軽い負担し
かかけない。
【0039】
暗号化されたメッセージは、冗長性がほとんど、あるいはまったくないランダムデータ
に類似する傾向がある。この特性を受信者22が使用して、暗号化されていないメッセー
ジをフィルタ処理で除去するために使用できる。専用メッセージサーバーに常駐するフィ
ルタは、実際にメッセージを復号することなしに、メッセージ内容が暗号化されているか
どうかを検出できる。フィルタはこれを、暗号化が使用されたかどうかを示すメッセージ
のフォーマットを調べることにより、および内容を直接調べて、その内容が擬似ランダム
に見えるかどうかを調べることにより迅速に行える。例えば、暗号化メッセージの復号を
試みる代わりに、受信者22は、受信した電子メッセージについて統計的チェックを行い
、そのメッセージがランダムデータに類似しているかを調べる。いくつかの一般的な統計
チェックには、よく知られたテストである、Menezes, van OorschotおよびVandstoneによ
る「応用暗号のハンドブック(Handbook of Applied Cryptography)の第5.4.4節に
概要が記述されている、モノビット、シリアル、ポーカー、ランズアンドオートコリレー
ションがある。他のテストには、モーラー(Maurer)のユニバーサルテストがあり、他の
テストは、圧縮率に基づいている。メッセージが1回のまたは2回以上の統計チェックに
失敗すると、そのメッセージは通常フォルダ36に送られる。メッセージがすべての統計
チェックに成功すると、そのメッセージは、信頼できるメッセージと考えられ、受信者の
信頼フォルダ34へ転送される。暗号化されていないほとんどすべてのメッセージは統計
チェックに失敗して、通常フォルダ36に送られる。
【0040】
多数の受信者に送られる長いメッセージに対しては、送信者は、内容暗号化鍵kにより
たった1回しか内容を暗号化できない。しかし、メッセージを暗号化することは、送信者
が、確実に各受信者に暗号化鍵kをトランスポートするために、送信者に複数回の鍵転送
または鍵共有演算を、各受信者1人当りに対して行うことを要求する。従って、スパム送
信者とフィッシャーは、暗号演算に加えて、鍵を転送するために、受信者1人当りのコス
トを負うことになる。一方、上記に検討したように、受信者は、メッセージが暗号化され
ていることを検証できる。検証は相対的に容易な演算である。この計算についての要求の
アンバランスにより、スパム送信者がスパムメッセージを送ったり、フィッシングするこ
とを抑制する。
【0041】
デジタル署名、パズル、および暗号化に加えて、暗号メッセージ認証もまた、メッセー
ジ認証コード(MAC)と組み合わされた鍵共有により達成できる。このアプローチでは
、送信者20と受信者22は、共有鍵を確立するために、鍵共有機構を使用する。電子メ
ールやテキストメッセージングのような格納および転送アプリケーションにおいては、鍵
共有機構が非相互的であると好ましい。より正確には、いったん送信者20と受信者22
がお互いの公開鍵を有すると、送信者20は、受信者の参加なしで、受信者22に対して
認証メッセージを作成する。信頼メッセージ30は、他の構成要素の中に、メッセージ認
証コード(MAC)を含む。受信者22は、入信メッセージを受信すると、受信したメッ
セージを、受信したMACが、共有鍵と、受信した平文テキストメッセージ26を使用し
て局所的に計算したMACと同じであることを検証することで認証する。認証された電子
メッセージは、信頼フォルダ34に分類され、認証に失敗した電子メッセージは、通常フ
ォルダ36に送られる。
【0042】
これを可能にするいかなる鍵共有機構も使用できる。例えば、Static−Stat
icディフィ−ヘルマン(Diffie-Hellman)鍵共有は、1−Pass MQV(Menezes-
Qu-Vanstone)と同様にこれを可能にする。この両者の機構は、電子メールを安全にする
ために使用できるIETFプロトコルである、S/MIMEプロトコルにおける使用のた
めのRFC(RequestFor Comments:IETFによる技術仕様公開形式)と称されるIE
TF文書に指定されている。これらの機構は、S/MIMEの「SignedData」
データ構造の代替である、S/MIMEの用語の中の「AuthenticatedDa
ta」と称されるデータ構造の一部として指定される。
【0043】
鍵共有をメッセージ認証コードと組み合わせる方法は一般的に、送信者(「アリス」と
呼ぶ)がなりすましされておらず、彼女が効率よく、メッセージ長と、受信者数の合計に
比例したコストでメッセージを認証できるという確信を与えてくれる。受信者(例えば、
ボブとチャールズ)がメッセージが認証されることを確実にして、その入信メッセージを
それに従って分離すると、彼らがアリスの公開鍵を信頼するならば、彼らは、スパムおよ
びフィッシング攻撃からの保護を得たことになる。これを下記に更に説明する。
【0044】
例えば、アリスが、電子メッセージを多数の受信者に一斉同報するスパム送信者または
フィッシャーであると仮定する。ボブは彼女の受信者であり、彼は、電子メッセージを、
それが信頼できる公開鍵によって、または、信頼できない公開鍵によって認証されたか、
またはまったく認証されないかどうかに従って分類するフィルタを使用する。スパム送信
者またはフィッシャーなので、アリスは、彼女の公開鍵を信頼してもらうことが困難であ
る。彼女がCAから信頼できる公開鍵を得たとしても、すぐに、彼女がスパム送信者また
はフィッシャーであることが、フィルタにより検出されてしまう。彼女の証明書が無効と
されるか、フィルタが彼女のメッセージを、彼女の公開鍵に基づいてスパムメッセージま
たはフィッシングとして拒絶または削除する。そのようなフィルタは、認証されていない
メッセージは、適切なフォーマッティングを有していないので、受信者の私的鍵によりマ
シンから異なるサーバー上に常駐できる。アリスは、彼女の電子メッセージをわざわざ認
証することなどまったくせず、そのためフィルタは、彼女の電子メッセージをスパム受信
ボックスに送り、それをボブは普通は無視する。アリスは、信頼されていない公開鍵を使
用して、折衷解決策を試みようとする。しかし、彼女がこれを行うと、一般的に、受信者
1人当たりに基づくコストを負うことになる。彼女は、各受信者に対して鍵共有の計算を
使用する必要が出てくる。これは、多数の受信者がいるときは、大きなコストになる。反
復暗号計算またはパズルもまた、上記に示したように、アリスの受信者1人当たりのコス
トを更に増やすために、鍵共有機構に含めることができる。
【0045】
暗号化とその検証のような、暗号演算とその検証を要求することは、送信者と受信者に
対する計算負荷のアンバランスをもたらすという利点がある。暗号化または鍵の判定は、
典型的には、極度の数学的計算を必要とする。受信側において、統計的チェックは相対的
に単純な演算であり、受信者または受信者のメッセージサーバーに重大な負荷を与えるこ
とはない。このように、スパム送信者は、受信者の通常の電子通信に大きな影響を与える
ことなく、多量のメール送信を行うということからより厳しく阻害される可能性が高い。
【0046】
従って、暗号技術を使用して電子メッセージをフィルタ処理することは、多数の受信者
をスパムメッセージであふれさせることを抑制することになる。それは、適切な方法が選
択されると、1回の一斉同報または1人の受信者に対する追加的な計算コストを必要とす
る。一般的に、暗号演算は、計算示強的プロセスとなる傾向がある。公開鍵暗号化または
鍵の判定は、典型的には、更に極度の数学的計算を必要とする。ECCのようなある暗号
アルゴリズムは、受信者がメッセージを復号するよりも、送信者がメッセージを暗号化す
るために、はるかに大量の時間と処理パワーを要求する。この追加的な計算負荷のアンバ
ランスは、多数のユーザーをスパムメッセージであふれさせることに対して追加的な抑止
力を提供し、追加的なリソースのバリアをもたらす。
【0047】
更に、多数の受信者を電子メッセージであふれさせることは、広告キャンペーンにおい
てはしばしば望ましいことである。広告キャンペーンの効率のよい手段は、典型的には、
そのような電子メッセージが受信者により目を通される、または読まれるパーセンテージ
に関連する。しかし、そのような電子メッセージの無差別な一斉同報が効果的であるため
には、各ターゲットの受信者が、まず、送信者の公開鍵を受け取り、その公開鍵を提供し
、または送信者と鍵共有において鍵を確立し、それにより、電子メッセージは暗号フィル
タを「信頼メッセージ」として通過しなければならない。そうでなければ、電子メッセー
ジは、通常フォルダに送られるか、拒絶される。受信者が通常フォルダに低い優先度を割
り当てているので、メッセージはすぐには読まれない、またはまったく読まれないことに
なる。更に、スパム送信者は、その鍵を提供しなければならないので、いかなる既知のス
パム送信者の鍵に関連するメッセージは、上述したように、即刻、削除されるか、特別ス
パムフォルダに送られる。電子メッセージが暗号演算の結果を含むことを要求することは
、従って、スパム送信者が、スパムメッセージを一斉同報するために、更に頻繁に鍵を得
るというコストを負うことを余儀なくさせる。これらすべては、広告キャンペーンの効率
的な手段を削減することになり、スパム送信者の膨大なメール送信のコストを増大し、こ
のタイプの無差別なスパム一斉同報において努力とリソースの投資を抑止することになる
。
【0048】
図2は、暗号技術を使用して、電子メッセージをフィルタ処理する例としての工程のス
テップを示している。送信者20は、公開/私的鍵の対を持っている。理解されるように
、私的鍵は、一般的には秘密に保たれる。例えば、送信者は、自分の私的鍵を更なる安全
のために、ハードウェアのセキュリティモジュールに格納することもできる。公開鍵は、
送信者20が通信を行いたい人たちに送信される。第1ステップとして、送信者20は、
自分の公開鍵を、受信者22に信頼できる方法で送り(ステップ210)、受信者はそれ
を受け取る(ステップ212)。これにより送信者20と受信者22の間に信頼関係が確
立され、送信者20に、受信者22に電子メッセージを送ることが許可されたことを示す
。このステップは、一般的には、一度だけ行う必要がある。
【0049】
受信者22は、公開鍵を、例えば、それを受信者のコンピュータへアクセス可能な格納
装置に格納することで受け取る。受信者22はまた、公開鍵を、例えば、送信者20に受
け取ったことを知らせ、送信者20に、受信者22が必要なときに公開鍵を使用できるよ
うにすることを要求することによって受け取る。ここでは1人の送信者しか記述されてい
ないが、受信者22は、多数の信頼できる送信者からの公開鍵を受け取ることを決定でき
、従って、彼らから信頼できるメッセージを受信できる。同様に、多数の受信者は1人の
送信者の公開鍵を受け取って、その1人のユーザーが受信者のグループへ信頼できるメッ
セージを送るようにすることもできる。
【0050】
受信者22がいったん送信者20の公開鍵を受け取ると、送信者20は、信頼できる
メッセージを受信者22に送信開始する。信頼できるメッセージの例は、送信者20によ
り署名された、または暗号化されたメッセージである。ステップ214において、送信者
20は、電子メッセージにデジタル署名を行うことで、つまり、デジタル署名をメッセー
ジに含むことで信頼メッセージ30を生成する。送信者20は、随意に私的鍵で署名され
たメッセージを暗号化できる。信頼できるメッセージは、暗号化されていようがいまいが
、ステップ216で、メッセージのタイプに適切な標準メッセージ転送プロトコルを使用
して受信者22に送られる。例えば、メッセージが電子メールメッセージの場合は、信頼
メッセージ30は、例えば、SMTP (Simple Mail Transfer Protocol) またはMHS
(X400 MessageHandling Service Protocol) を使用して送信される。または、メッセー
ジはインターネットフォンメッセージであってもよく、その場合は、VoIPが信頼でき
るメッセージを転送するために使用される。
【0051】
随意に、ステップ214と216の間で、暗号処理モジュール28が離散対数問題を
解き、その結果を信頼メッセージに含めることができる。または、あるいはそれに追加し
て、暗号処理モジュール28は、ステップ214と216の間で、繰返しハッシングまた
は暗号化のようなある反復計算を行い、その結果を信頼メッセージ30に含めることもで
きる。
【0052】
受信者22は信頼メッセージ30を受信して、ステップ218においてデジタル署名を
検証する。パズルの計算または反復計算の結果が含まれている場合は、その結果もまたこ
のとき検証される。デジタル署名(および、信頼メッセージに含まれている他の暗号演算
の結果)の検証が成功すると、受信したメッセージは間違いなく受信者22からのもので
あると見なされる。検証に成功したメッセージは、信頼フォルダ34に格納される。検証
が失敗すると、または電子メッセージがデジタル署名を含んでいない場合は、電子メッセ
ージは、信頼できるユーザーからのものではないと見なされる。そのような電子メッセー
ジは、通常フォルダ36に格納される。これで、電子メッセージの分類またはフィルタ処
理のステップ(ステップ220)が完了する。
【0053】
理解されることであるが、デジタル署名が検証に成功するためには、署名生成アルゴリ
ズムと署名検証アルゴリズムは、同じ署名方式のものでなければならない。デジタル署名
方式はいずれの方式も使用できる。共通のいくつかの例としては、ECDSAとDSA (
DigitalSignature Algorithm) ファミリ署名方式がある。
【0054】
送信者20のみが信頼メッセージ30を生成するためにそのメッセージテキストに署
名できるということは必要でない。同様に、受信者22のみが入信する電子メッセージを
検証およびフィルタ処理できるということも必要でない。図3を参照すると、送信者側の
送信者メッセージサーバー42と、受信者側の受信者メッセージサーバー44が分離して
示されている。送信者メッセージサーバーは、送信者20に加えて、他の送信者20’に
サービスを提供し、同様に、受信者メッセージサーバー44も、受信者22に加えて、他
の受信者22’にサービスを提供できる。
【0055】
例として、送信者メッセージサーバー42が送信者の私的鍵のコピーを保有し、受信
者メッセージサーバー44が、送信者の容認された公開鍵のコピーまたはコピーへのアク
セスを有しているとする。送信者20は、その平文テキストメッセージ26を送信者メッ
セージサーバー42へ転送する。送信者の私的鍵のコピーを有している送信者メッセージ
サーバー42は、送信者20に代わってメッセージテキストに署名して、信頼メッセージ
30を生成して、その信頼メッセージ30を受信者メッセージサーバー44に転送する。
受信者メッセージサーバー44は、入信メッセージを検証して、そのメッセージを、検証
結果に基づいて、受信者22の信頼フォルダ34または通常フォルダ36に配信する。メ
ッセージの暗号化およびその検証は、同様な方法で実行できる。
【0056】
組織的なレベルにおいては、メッセージは組織により署名できる。例えば、電子メール
または付属サーバーは、暗号化と署名を行うことができる。別の例は、ハイブリッドまた
はクライアントおよび組織の署名をサポートすることである。2つの組織が、組織の公開
鍵の交換により、お互いを信頼している場合は、その組織の個々のユーザーは、彼らの個
々の公開鍵を提供することによりメッセージを送信する許可を得る必要はない。彼らのメ
ッセージは、組織の公開鍵を使用して署名され検証されると、信頼または優先メールフォ
ルダに送られる。
【0057】
公開鍵を固有のDNS名に割り当て、公開鍵の配布を自動化することによりスケーラ
ビリティもまた達成できる。
【0058】
このシステムは、大規模な修正なしで、既存のメッセージシステムと共存できる。すべ
てのユーザーは、信頼受信ボックス(つまり優先メールボックス)と通常受信ボックスを
有している。ここで説明した暗号法を使用する送信者からの電子メッセージは、検証に成
功する。暗号技術を使用しないユーザーからのメッセージは、通常メッセージとして扱わ
れ、通常受信ボックスに送られる。受信者は、すべての通信者がここで説明したような暗
号技術を使用するメッセージシステムに移ってくる前に、定期的に手動で通常受信ボック
スをチェックする必要がある。時間経過と共に、あるユーザーは信頼フォルダのみに移り
、すべての信頼のないメッセージを自動的に削除してしまうこともあり得る。
【0059】
ユーザーは、公開/私的鍵の対を変更でき、それを信頼ユーザーコミュニティに通知す
る。これは、信頼ユーザーコミュニティのユーザーが更新された公開鍵を受け取るときに
レシートを導入することにより行える。これは、たんにレシートから構成されている、お
よび/または受信者により容認されたユーザーを含む「自分の信頼ユーザーグループ」と
なる。信頼ユーザーコミュニティは、組織とユーザーの簡便なリストである。鍵が危険に
晒されたら、送信者はその信頼ユーザーコミュニティに通知できる。ユーザーは彼らの信
頼ユーザーコミュニティを変更でき、所望するならば、鍵対を生成できる。信頼コミュニ
ティにおけるすべての、またはあるユーザーに、マルチキャストによりその変更を通知す
ることができる。
【0060】
ユーザーを受信者の信頼ユーザーコミュニティから排除するためには、受信者22は、
たんに以前受け取ったそのユーザーの公開鍵を削除するだけでよい。偽の署名で送信され
たいかなる電子メッセージも、通常フォルダに送られるかまたは即座に削除される。ユー
ザーの私的鍵が固有で秘密が保持されていれば、システムでなりすましを行うことは難し
い。
【0061】
図4を参照すると、電子メッセージをフィルタ処理するための別の例のステップが示さ
れている。受信者22は、公開/私的鍵の対を有している。送信者20が受信者22に信
頼メッセージを送る前に、送信者20は、まず、ステップ410において受信者22から
公開鍵を得る。公開鍵は、受信者22から直接受け取ってもよく、または受信者22によ
り利用可能にされたある場所から得てもよい。これにより送信者20と受信者22の間の
信頼関係が確立される。次に、ステップ412において、送信者20は、受信者22から
得た公開鍵を使用してそのメッセージデータを暗号化して信頼メッセージ30を生成する
。この場合の信頼メッセージは、暗号化メッセージである。送信者20は、ステップ41
4において受信者22に信頼メッセージ30を送る。
【0062】
メッセージを受信すると、受信者フィルタ32は、ステップ416においてそのメッセ
ージに対して統計的テスト、または多数の統計的テストを行う。この目的は、受信したメ
ッセージがランダムデータに類似しているかを判定することである。理解されるように、
暗号化データは、冗長性を含まず、ランダムデータに類似する傾向がある。このため、す
べて暗号化データから構成されているメッセージは、暗号化されていない、または部分的
に暗号化されたテキストから、メッセージのランダム性についての統計的テストの結果に
基づいて区別することができる。
【0063】
メッセージは、それがランダムデータ、またはそれに類似していれば、これらの統計的
テストにパスする。ランダムデータに類似するメッセージは、信頼フォルダ34に転送さ
れる。メッセージが統計的テストのいずれか1つに失敗すると、そのメッセージは信頼メ
ッセージではないと見なされ、異なるフォルダ、つまり通常フォルダ36に送られる。通
常フォルダ36に送られたメッセージは、受信者22により定期的に、それらがスパムメ
ッセージであるかどうかを、手動で調べる必要がある。暗号化メッセージが受信者の公開
鍵で暗号化されていると、受信者はそのメッセージを、いつでも必要なときに自分の私的
鍵を使用して復号できる。受信者22は、もし、受信者22がそのメッセージを復号する
ための鍵、またはその鍵へのアクセスを有していない場合は、暗号化メッセージの内容に
アクセスできない。
【0064】
図4を参照して説明した方法は、受信者22の公開鍵を必要とするが、この方法は、電
子メッセージを単一の受信者に送信することに限定されていない。グループメッセージは
、共通の、公開/私的鍵対を共有する信頼ユーザーグループに送信できる。組織レベルで
構築されたシステムのユーザーは全員、組織の共通な公開/私的鍵対を共有できる。また
は、ここで説明した方法は、多数の受信者に、グループ電子メッセージとして信頼メッセ
ージを送信するために、少し修正することもできる。
【0065】
図5と6を参照すると、送信者20がメッセージを受信者22のグループに送信すると
ころが示されている。ステップ610において、送信者20は、まず、受信者22の各々
から公開鍵を得る。送信者20が定期的に受信者22のグループと通信している場合は、
グループの受信者各々の公開鍵を既に有しているので、ステップ610で再び公開鍵を得
る必要がないということは理解されよう。送信者20は、共通鍵kcを選択し、ステップ
612において、各受信者自身の公開鍵を使用して、その鍵を暗号化する。共通鍵kcは
、対称鍵アルゴリズムに対して秘密鍵であってもよい。グループに対して、共通鍵kcを
暗号化するのに異なる公開鍵が使用されるので、暗号化された共通鍵は、グループにおい
て各受信者22に対して異なる形式を有する。そして送信者20は、ステップ614にお
いて、共通鍵kcを暗号化形式で受信者22の各々に送信する。
【0066】
次にステップ616において、送信者20は、そのメッセージデータを、共通鍵kcを
使用して暗号化する。この場合、信頼メッセージ30は共通鍵kcにより暗号化されたメ
ッセージである。送信者20は、ステップ618において、信頼メッセージを、受信者2
2のグループに送信する。そして各受信者22は、ステップ620において、統計的テス
トまたは複数の統計的テストを受信したメッセージに対して行い、ステップ622におい
て、メッセージを、テスト結果に基づいて、信頼フォルダ34または通常フォルダ36に
分類する。各受信者22は、既に共通鍵kcを受信しているので、必要ならば、暗号化メ
ッセージを復号できる。理解されるであろうが、説明の利便性のために、共通鍵kcの送
信と、暗号化メッセージの送信は、別のステップで行うように説明されているが、共通鍵
kcと、暗号化メッセージは、1つのステップで、送信者20から送信される電子メッセ
ージに含めることができる。これには、受信者または受信者のソフトウェアプログラムが
、共通鍵kcを暗号化メッセージから分離できることが必要になる。
【0067】
デジタル署名および暗号化に加えて、認証の別の形式は、対称MACのような、メッセ
ージ認証コードに組み合わされた鍵共有である。このアプローチにおいて、送信者20と
受信者22は、鍵共有機構を使用して、共有鍵を確立する。上述したように、S/MIM
E用語で「AuthenticatedData」と称されるデータ構造が、S/MIM
Eプロトコルにおける使用のための鍵交換機構に対して指定されている。「Authen
ticatedData」の既存の仕様の既知の安全性の利点の1つは、送信者が複数の
受信者へのメッセージを認証したいときに利用される。現在の標準仕様では、これは効率
よい方法で行われるが、ある安全性の不安を引き起こすというコストがある。
【0068】
MACと組み合わせた鍵共有が、電子メッセージのフィルタ処理にどのように使用でき
るかを示す例の前に、まず、安全性の問題を理解しておくことは有益であろう。図7に示
されるように、3人のユーザー、送信者アリス46と、2人の受信者ボブ48とチャール
ズ50のシステムを考える。図7と図8を参照して下記に説明されるシナリオは2人のみ
の受信者の状況に限定されないということは理解されよう。
【0069】
アリスはボブとチャールズの公開鍵BとCをそれぞれ有しており、一方、ボブとチャー
ルズはそれぞれ、アリスの公開鍵Aを有している。アリスは、メッセージMを認証して、
ボブとチャールズに送信したい。図8を参照すると、アリスはまず鍵kをステップ810
で選択する。そして彼女は、タグT=MAC(k,M)をステップ812で計算する。M
ACの特性は、kを知っている当事者のみがTを正しく計算できるとうものである。従っ
て、kを知っている当事者はTを使用して、Mを認証できる。kを知らない敵対者がMを
修正、または別のメッセージM’と取り替えようとしても、敵対者は、変更されたタグT
’=MAC(k,M’)を計算できない。
【0070】
ここでアリスは、k、M、およびTを有している。アリスは、kをボブとチャールズに
安全に渡し、それにより彼らが、T=MAC(k,M)を検証できるようにする必要があ
る。これを行うために、アリスは、ステップ814において、ボブとチャールズのそれぞ
れとの鍵共有を使用する。アリスは、ボブと鍵bについて同意し、チャールズと鍵cにつ
いて同意する。使用される鍵共有アルゴリズムにより、アリスはボブとチャールズに、あ
る値、例えば、UとVをそれぞれ送信し、それによりボブとチャールズが、鍵共有を使用
して確立された彼らの鍵bとcを計算できるようにすることが必要な場合もある。bとc
を使用して、アリスは、通常は、鍵ラップ関数と称される関数により、認証鍵kを暗号化
する。アリスはW=WRAP(b,k)およびZ=WRAP(c,k)をステップ816
において計算する。
【0071】
アリスは、ステップ818において、(U,W,M,T)をボブに、(V,Z,M,T
)をチャールズに送信する。随意に、彼女は、代わりに(U,V,W,Z,M,T)をボ
ブとチャールズの両者に送ることもできる。アリスは、ボブとチャールズに対して同じ認
証鍵kを使用しているので、Tを1回だけ計算すればよいことに留意されたい。Mは大量
のデータを含むことができ、Tを計算することは長時間を要するので、そこにアリスにと
っての効率が生み出される。アリスが、多数の受信者のそれぞれに対して異なる認証鍵を
使用しなくてはならず、メッセージが大きい場合は、アリスのコストは、メッセージサイ
ズと受信者数との積に比例することになる。上記に概要を示した効率的なアプローチによ
り、アリスが負うコストは、メッセージサイズと受信者数の合計になり、それはそれらの
積よりもはるかに少ない。
【0072】
潜在的な安全の危険性をより良く理解するために、ボブとチャールズがどのように認証
を検証するかを見てみよう。データ(U,W,M,T)を受信するボブを考える。先ず、
ステップ820において、ボブはUと、アリスの公開鍵Aとの鍵共有アルゴリズムを使用
して、アリスとボブの間で共有される鍵共有鍵であるbを計算する。そして、ステップ8
22において、ボブはbとWを使用して、k=UNWRAP(b,W)を計算することに
より、認証鍵kを復号、つまりアンラップする。いったんボブがkを手に入れると、彼は
ステップ824において、T=MAC(k,M)を検証する。チャールズにより行われる
計算も同様である。
【0073】
ボブとチャールズが正直者であれば、上記のアプローチは完全に安全であると考えられ
る。しかし、ボブが正直者でないとすると、ボブは、kを使用して、チャールズに送信さ
れるメッセージを修正、または取り替えることができる。メッセージがアリスによりボブ
とチャールズに送信された場合は、ボブは、オリジナルメッセージ(V,Z,M,T)を
横取りしてVとZを抽出するか、またはVとZを(U,V,W,Z,M,T)から抽出す
るかのいずれかが可能である。ボブは、ある異なるメッセージM’を選択して、T’=M
AC(k,M’)を計算して、チャールズに(V,Z,M’,T’)を送信する。ボブは
随意に、オリジナルメッセージ(V,Z,M,T)を横取りして、それがチャールズに届
かないようにでき、または後日、ただ(V,Z,M’,T’)を送信することができる。
チャールズには、(V,Z,M’,T’)は、本物に見える、つまり、それが、アリスが
送信したものであると見える。こう見えるのは偽りである。ボブは首尾よくアリスになり
すますことができ、これは重大な安全性のリスクである。
【0074】
ボブが、有効なメッセージ(V,Z,M,T)が最初にチャールズに届かないようにで
きなかった場合で、チャールズがすべての認証されたメッセージは異なるVとZを有して
いることを確実にすれば、上記の攻撃は防ぐことができる。しかし、強力な認証が利用で
きるのに、ネットワークメッセージの到着順に依存するということは望ましくない。更に
、チャールズが、いままでアリスが送信したVとZのすべての過去の値の履歴を維持して
チェックするというのは、非常に厄介なことである。
【0075】
上述の安全性の問題という観点から、この攻撃に関するリスクを緩和するための、また
はこの攻撃を防ぐための強力な暗号技術が必要とされる。3種類の技術の適用を示すため
に、ここでは、3種類の例としての方法を説明する。図9を参照すると、最初の方法は、
アリスが異なるMACタグを各受信者に送信する方法である。上記の例に引き続いて、ア
リスは、ステップ810から816と同じステップを行う。ステップ918において、ア
リスはX=MAC(b,T)とY=MAC(c,T)を計算する。アリスは、XをTの代
わりにボブに送信し、YをTの代わりにチャールズに送信する。つまり、彼女は、ステッ
プ920において、(U,W,M,X)をボブに、(V,Z,M,Y)をチャールズに送
信する。以前と同様に、ボブはステップ820でUを使用してbを得て、ステップ822
でWをアンラップしてkを得て、そしてステップ924においてMAC(k,M)を計算
する。ボブはアリスから、これをチェックするためのTを受け取っていないので、彼は引
き続き、MAC(b,MAC(k,M))を計算して、このタグをステップ926におい
てXと比較する。ボブは、X=MAC(b,MAC(k,M))であることをチェックし
てメッセージMを検証する。同様に、チャールズは、Y=MAC(c,MAC(k,M)
)であることをチェックする。ここで、チャールズに対するボブの攻撃は失敗する。なぜ
なら、ボブがMをM’と取り替えて、T’=MAC(k,M)を計算しても、cを知らな
いので、Y’=MAC(c,T’)を計算できない。
【0076】
図10を参照すると、第2番目の方法は、アリスがMACタグTを、WRAP関数の認
証されたパラメータとして含める方法である。ステップ1022で、ボブとチャールズが
WとZをそれぞれアンラップするとき、彼らは、Tがパラメータとして使用されたか、お
よび、検証ステップ1024において、MがTから、WRAP関数の認証されたパラメー
タとして検証に成功するかをチェックする。メッセージが検証されると、つまり、認証に
成功すると、そのメッセージは信頼フォルダ34に送信され、そうでないときは通常フォ
ルダ36に送られる。
【0077】
理解されるように、TがWRAP関数の認証されたパラメータとして含まれるときは、
アンラップ工程は、Tのいかなる修正も検出できる。従って、ボブは、チャールズに対す
る、彼のアリスとしてのなりすまし攻撃を行うことができなくなる。これはチャールズが
修正されたタグT’を検出して拒絶するからである。この方法では、タグTは、通常はW
に埋め込まれているので、メッセージの後でTを送信する必要は一般的にはない。または
、TはWの外側にあって、Wは、Tを検証するために十分な情報を含むだけであってもよ
く、この場合は、Tを送信しなければならない。
【0078】
第3番目の方法は、修正ステップ814において、アリスがMACタグTを、鍵共有機
構の一部として含める方法である。ほとんどの鍵共有機構は、鍵導出関数(KDF)を使
用して、未処理共有秘密sから鍵kを、k=KDF(s)として計算する。しかし、様々
な理由のため、そのような未処理共有秘密は、ある検出可能なパターンを含み、それによ
り安全性のリスクがもたらされる。現代の鍵導出関数は、オプションであるパラメータP
を、k=KDF(s,P)となるように含む。アリスは、TをオプションのKDFパラメ
ータに含めることができる。これを行うことにより、ボブがT’を変更すると、チャール
ズが、アリスが使用した鍵cとは異なる鍵共有鍵c’を導出するので、ボブの攻撃を防ぐ
ことができる。
【0079】
上述の第2および第3方法においては、アリスは、ボブ(およびチャールズと他の受信
者)へ送信されるデータの流れの順序を変更するように選択できる。ボブにタグTをメッ
セージの後に送信する代わりに、アリスは、タグTをメッセージの前に送信できる(彼女
が第2の方法において依然としてTを送信する必要がある場合)。これにおけるボブへの
利点は、ボブは、認証kを見つけるために必要な値Tを有するということである(Tはア
ンラップ関数または鍵導出関数に関係しているため)。これにより、ボブがメッセージM
を受信する前にkが利用できるようになり、それによりボブがMを受信したときのように
、MAC(k,M)の計算を開始することを可能にする。これは、Mをメモリにまずバッ
ファリングして、その後、kを計算して、MAC(k,M)を計算する代わりであり、M
の第2のパスが必要となる。つまり、ボブは、流れ処理を使用できる。反対に、アリスが
流れ処理を使用したいと所望すると、彼女は、U、WおよびTをMの後に送信することを
望み、それにより、MをT=MAC(k,M)として計算するときに送信し、UとWを計
算して送信する。
【0080】
ここで説明した、メッセージを検証するためにMACを使用するこれらの例としての方
法は、対称および非対称機構を含む、ほとんどの鍵共有機構と共に機能できるということ
は理解されよう。
【0081】
複数の受信者への電子メッセージを暗号化することは、上記に触れた認証に関する安全
性の問題を緩和することにも貢献する。アリスがボブとチャールズへの電子メッセージを
暗号化すると想定する。チャールズがアリスからメッセージを受信して、それがアリスし
か知り得ない機密内容を含んでいると分かると、チャールズが、アリスだけがこの電子メ
ッセージを送信可能であると結論するのは自然である。これは無条件認証と称される。ボ
ブが正直者であると、無条件認証は合理的である。それは、今日存在するほとんどの暗号
化アルゴリズムは、敵対者が暗号化テキストを改竄しようと試みると、復号の際に、少な
くとも何らかの手を加えられたように見えるという特性があるからである。復号されたメ
ッセージが手を加えられたように見えず、アリスのみが知り得る情報を含んでいれば、チ
ャールズは、敵対者がそのメッセージを送信してはいない、またはメッセージを修正して
はいないと推測できる。しかし、ボブが正直者でない場合は、彼は、メッセージ内のアリ
スの秘密を知ることができ、メッセージを修正し、それを再暗号化してチャールズに送信
できる。この攻撃は、本質的に明白な認証に対する攻撃と同一であり、同じ方法を使用し
て、その攻撃を防止できる。
【0082】
署名が不要の認証が望ましい。署名付き認証は受信者1人当りのコストを有しない(パ
ズルまたは長い計算と組み合わされない限り)ので、スパムを、鍵共有とMACを使用す
るときと同じように効果的には抑止できない。署名を認証に使用しないことの別の利点は
、妥当否認または不正転送防止として知られている。アリスが、ボブに対して何かを認証
するために署名をすると、ボブは、他人に、アリスが署名したことを証明できる。今日の
ほとんどのプロトコルでは、アリスはメッセージの内容に署名する。これにより、ボブは
他人に対して、アリスがメッセージに署名したことを証明できるようになり、これは、メ
ッセージが契約書または他の約束の場合は、ボブには望ましいことである。しかし、アリ
スはこれを望まないであろう。実際、筆記による署名の一般的な原理は、人が署名したも
のに制限を与える。この原理をデジタル署名に拡張できると望ましい。従って、アリスは
、自分がしたいことは彼女自身を認証することである場合は、何にも署名しないことを望
むであろう。つまり、アリスがボブへのメッセージを認証しても、アリスは、ボブがチャ
ールズに対して、アリスがボブにより受信されたメッセージに署名したことを証明できな
いこと、または彼女の私的鍵がどんな方法でも使用されないことを望む。
【0083】
これに対する部分的解法は、アリスが認証鍵kの関数に署名して、メッセージのMAC
タグTを、T=MAC(k,T)として計算することである。ボブは、アリスがボブへの
メッセージMを認証したことを示すkにアリスが署名したことを知る。しかし、ボブはM
をM’に、TをT’に置き換えることができるので、ボブはチャールズに、アリスがMに
署名したことを証明できない。これは、アリスが何かをボブに認証したという証拠をまっ
たく残さない鍵共有を使用して達成できる。この目的のために使用できる適切な鍵共有に
は、MQVとStatic−Static DHが含まれるが、デジタル署名を含むSt
ation−to−Stationのような他のプロトコルは含まれない。
【0084】
ECCは、上記に説明したように、スパムおよびフィッシングを抑制する作業に対して
は、RSAよりも適切であると考えられているが、例えば、既存の開発済の旧態システム
においては起こり得る、RSAしかユーザーが利用できない場合は、署名なしの認証のた
めにRSAを使用することが望ましい。RSAに対する既存の標準規格は、署名と公開鍵
暗号化を認めているだけで、MACと確実に組み合わせることができる鍵共有機構を含ま
ない。既存のRSA標準規格は、デジタル署名を必要とする。下記は、RSAが、デジタ
ル署名を生成する必要がない認証に使用できる機構を提供する。
【0085】
RSAによる署名なしの認証を達成するために、アリスとボブは、ほぼ同じサイズのR
SA公開鍵AとBを生成する。簡略化のため、アリスとボブは同じ公開冪指数eを使用す
ると仮定するが、アリスとボブは、下記に説明する方法に適切な修正を加えることにより
、異なる公開冪指数を使用できる。アリスとボブの私的冪指数はそれぞれaとbである。
AとBのサイズが近いと、効率の面で好ましい。公開鍵AとBは、サイズがかなりことな
ってもよいが、効率が落ちる。アリスはランダム認証鍵kを選択し、Z=(F(k^e
mod B))^a mod Aを計算する。Zを計算するときは、従来のRSA演算の
場合と異なり、kは埋め込まれず、そのため冗長性は含まれない。変換Fはある固定の公
開可逆関数である。例としては、恒等関数(つまり、Fの引き数それ自身への写像)と固
定、公開鍵による対称暗号化関数がある。アリスはT=MAC(k,M)を計算して、(
Z,M,T)をボブに送信する。ボブは、k=(G(Z^e mod A))^b mo
d Bを計算し、ここでGはFの逆関数であり、それにより、すべてのxに対してG(F
(x)=xが成り立つ。アリスは、いくつかの鍵kを試行する必要があり、それにより、
ボブがZからkを取り出せることを確実にする。非常に大雑把に言えば、そのようなkを
見出すためには、アリスは平均してB/A回の試行を一般的に要する。BとAが接近して
いればこれは問題ではない。ボブがあるZを選択して、kを計算できることに留意された
い。つまり、アリスとボブは同等に、対応する対(k,Z)を生成できる。従って、チャ
ールズが、ボブが容易に(k,Z)を生成できることを知っているので、ボブはチャール
ズに、アリスがその対(k,Z)を生成したことを証明できない。これを可能にするのは
、アリスの私的鍵演算の入力がまったく冗長性を有していないことによるが、従来のRS
Aデジタル署名においては、入力は冗長性を有しており、従って、アリスのみがその署名
を生成できた。kからZを計算することは、アリスの私的RSA演算、ボブの公開RSA
演算、および固定共通公開演算を含む、本質的に可逆演算の一連の適用から構成され、他
の組み合わせも、安全性と効率の程度に違いはあるが使用できるということは理解されよ
う。安全と思われるそれらの組み合わせの中で、最も効率的と信じられているので、上記
に説明した方法が好ましい。
【0086】
上記の検討から、暗号演算が信頼できる入信メッセージを、他のメッセージから分離し
、広い範囲の一斉同報を、追加的な計算についてのコストを負わせることで抑止するフィ
ルタを提供するために利用されていることは理解されよう。
【0087】
本発明の種々の実施形態が詳細に説明された。この技術に精通した者は、多数の修正、
適合、および変形が、本発明の範囲を逸脱することなく実施形態に可能であることを理解
されよう。上述の最良の形態における変更、あるいはそれに対する追加は、本発明の精神
または範囲を逸脱することなく可能であるので、本発明はそれらの詳細には制限されず、
添付の請求項にのみ制限される。
【特許請求の範囲】
【請求項1】
明細書に記載の発明。
【請求項1】
明細書に記載の発明。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−55000(P2012−55000A)
【公開日】平成24年3月15日(2012.3.15)
【国際特許分類】
【外国語出願】
【出願番号】特願2011−241705(P2011−241705)
【出願日】平成23年11月2日(2011.11.2)
【分割の表示】特願2007−551521(P2007−551521)の分割
【原出願日】平成18年1月20日(2006.1.20)
【出願人】(397071791)サーティコム コーポレーション (38)
【Fターム(参考)】
【公開日】平成24年3月15日(2012.3.15)
【国際特許分類】
【出願番号】特願2011−241705(P2011−241705)
【出願日】平成23年11月2日(2011.11.2)
【分割の表示】特願2007−551521(P2007−551521)の分割
【原出願日】平成18年1月20日(2006.1.20)
【出願人】(397071791)サーティコム コーポレーション (38)
【Fターム(参考)】
[ Back to top ]