楕円曲線乱数生成
【課題】ネットワーク内でセキュリティドメインのためのエスクロー鍵を確立する方法を提供する。
【解決手段】楕円曲線乱数生成器は、楕円曲線上の2点であってP=eQとなるような2点P、Qを入力とする。まず、点Pの値を含むビット列のハッシュ値が計算され、ハッシュ値は体の元に変換され、体の元は、楕円曲線上の点Qのx座標として見なされ、x座標は、所望の楕円曲線上で有効性がテストされる。有効であれば、x座標は点Qに伸張され、y座標の符号の選択もまたハッシュ値から導出される。eはエスクロー鍵と呼ばれセキュリティドメインの管理者のみが知る。PとQが与えられれば、点Qが点Pと特定の関係にあることが検証できる。エスクロー鍵の意図的な使用により、バックアップ機能が提供される。エスクロー鍵はセキュリティドメインに格納される。管理者は、生成器の出力を記録して、エスクロー鍵で乱数を再構築する。
【解決手段】楕円曲線乱数生成器は、楕円曲線上の2点であってP=eQとなるような2点P、Qを入力とする。まず、点Pの値を含むビット列のハッシュ値が計算され、ハッシュ値は体の元に変換され、体の元は、楕円曲線上の点Qのx座標として見なされ、x座標は、所望の楕円曲線上で有効性がテストされる。有効であれば、x座標は点Qに伸張され、y座標の符号の選択もまたハッシュ値から導出される。eはエスクロー鍵と呼ばれセキュリティドメインの管理者のみが知る。PとQが与えられれば、点Qが点Pと特定の関係にあることが検証できる。エスクロー鍵の意図的な使用により、バックアップ機能が提供される。エスクロー鍵はセキュリティドメインに格納される。管理者は、生成器の出力を記録して、エスクロー鍵で乱数を再構築する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は暗号乱数生成のシステムと方法に関する。
【背景技術】
【0002】
乱数は、基盤となる安全性を提供するために、多数の暗号演算において利用される。公
開鍵基盤において、例えば、鍵対の私的鍵は、乱数生成器により生成され、対応する公開
鍵は数学的に私的鍵から導出される。各セッションに対して新しい鍵対が生成され、その
ため、生成器のランダム性が暗号システムの安全性にきわめて重要となる。
【0003】
乱数の安全なソースを提供するために、暗号的に安全な擬似乱数ビット生成器が開発さ
れており、その中で、各生成器の安全性は、基盤となる数論問題の推測できる対処の困難
さに依存する。ANSI(American National Standards Institute:米国規格協会)は
、ASC(AccreditedStandards Committee)X9を、金融サービス産業のために設立し
、それは、暗号乱数生成(RNG)のためのANS(American National Standard)X9
.82を準備している。Dual_EC_DRBGと称されるX9.82の草案における
RNG方法の1つは、安全性のために楕円曲線暗号(ECC)を使用している。Dual
_EC_DRBGは、以降、楕円曲線乱数生成(ECRNG)と呼ぶ。
【0004】
楕円曲線暗号は、楕円曲線群の巡回部分群における離散対数問題の難しさに依存する。
楕円曲線Eは、楕円曲線の定義方程式を満たす点(x,y)の集合である。定義方程式は
、三次方程式であり、非特異性である。座標xとyは、体の元であり、加法、減法、およ
びゼロを除く除法が可能な元の集合である。体の例としては、有理数および実数がある。
また有限体もあり、暗号においてはもっともよく使用される。有限体の例としては、素数
qを法とする整数の集合がある。
【0005】
一般性を失うことなく、楕円曲線の定義方程式は、ワイエルシュトラス(Weierstrass
)形式で可能であり、それは、座標の体に依存している。体Fが素数q>3を法とする整
数の場合、ワイエルシュトラス(Weierstrass)方程式は、y2=x3+ax+bの形式
となり、ここでaとbは体Fの元である。
【0006】
楕円曲線Eは点(x,y)と、更に1つの点、つまり、無限大における点Oを含む。
楕円曲線Eはまた、群構造を有し、それは、曲線上の2点PとQは加法が可能で、第3の
点P+Qを形成することを意味する。点Oは、群の単位元であり、すべての点Pに対して
P+O=O+P=Pである。加法は、すべての点P、QおよびRに対して結合律が成り立
ち、P+(Q+R)=(P+Q)+Rであり、かつ、可換であり、P+Q=Q+Rである
。各点PはP+(−P)=Oとなる負の点−Pを有している。曲線方程式がy2=x3+
ax+bの形式のワイエルシュトラス(Weierstrass)方程式のときは、P=(x,y)
の負は容易に−P=(x,−y)として決定できる。座標について点PとQを加える公式
は、数回の体の演算を含むだけの、適度の複雑さである。
【0007】
ECRNGは入力として、固定の2つの楕円曲線点PとQを使用する。これらの点は、
秘密とは仮定されていない。典型的には、Pは楕円曲線ドメインパラメータの標準生成器
であり、Qは、ある他の点である。更に、秘密シードがECRNGに挿入される。
【0008】
ECRNGは、整数sと考えられる、ある状態を有している。状態sは、ECRNGが
出力を生成するたびに更新される。更新された状態はu=z(sP)として計算され、こ
こでz()は、楕円曲線点を整数に変換する関数である。一般的に、zは点のx座標を取
ることで構成され、結果としての体の元を整数に変換する。このように、uは、典型的に
は、点sのx座標から導出される整数である。
【0009】
ECRNGの出力は、r=t(z(sQ))として計算され、ここにおいてtは打切り
関数である。一般的に打切り関数は、入力の最左端のビットを除去する。ECRNGにお
いては、打ち切られるビット数は、楕円曲線の選択に依存し、典型的には、6から19ビ
ットの範囲である。
【0010】
PとQが分かっていても、出力rはランダムで、予測できないと信じられている。従っ
て、連続する値は、私的鍵を得て、暗号関数を破るために利用できる関係を有しない。本
発明の出願者は、Q=dPとなるような整数dを知っていれば誰でもed=1 mod
nであって、ここでnはGの位数であるような整数eを推測でき、それにより、P=eQ
となるような整数eを入手できるということを認識した。更新された状態およびECRN
G出力の前駆体を、U=sPおよびR=sQと想定する。整数eにより、UをRからU=
eRとして計算できる。従って、出力r=t(z(R))であり、Rの可能な値は、rか
ら決定できる。打切り関数は、Rの打ち切られたビットは、推測されなければならないこ
とを意味している。z関数は、x座標のみが利用でき、そのため、全点Rを得るためには
、伸張を適用しなければならないことを意味している。ECRNGの場合は、約26=6
4と219(つまり、約500,000)の間のどこかに、rに対応する可能な点Rがあ
ることになり、正確な数は曲線とrの特別な値に依存する。
【0011】
R値の全体集合は、rから決定するのは容易で、上述したように、Rに対する正確な
値の決定は、eを知っていれば、U=eRを決定する。更新された状態は、u=z(U)
であり、Rの正しい値から決定できる。従って、rとeを知っていれば、26と219の
間のどこかで、多数の可能性から次の状態を決定できる。この不確定さは、別の出力が観
測されると、一方向性関数を介して直接または間接的に、確実に排除される。
【0012】
次の状態がいったん決定されると、ECRNGのすべての将来の状態は、ECRNGが
決定関数なので決定できる(少なくとも追加的なランダムエントロピーがECRNG状態
に供給されない限り)。ECRNGのすべての出力は、ECRNGの決定状態から決定さ
れる。従って、rとeを知っていると、ECRNGのすべての将来の出力を決定できる。
【0013】
従って、本発明の出願人によって、本方法は、潜在的に侵入口を有していることが特定
され、そのため、アルゴリズムの標準化に携わる者、あるいは導入者は、単一の出力と、
RNGの実例を使用して、すべての将来の状態とRNGの出力を決定でき、それにより、
その安全性を完全に損なってしまう。従って、本発明の目的は、上述した不都合な点を除
去または緩和することである。
【発明の概要】
【課題を解決するための手段】
【0014】
1つの形態において、本発明は、検証可能にランダムな点Qを、楕円曲線乱数生成器内
の別の点Pとの使用のために計算する方法であって、点Pを入力として含むハッシュを計
算するステップと、ハッシュから点Qを導出するステップを備える方法を提供する。
【0015】
別の形態においては、本発明は、楕円曲線乱数を生成する方法であって、楕円曲線乱数
生成器を使用して出力を生成するステップと、出力を打ち切って、乱数を生成するステッ
プを備える方法を提供する。
【0016】
更に別の形態においては、本発明は、楕円曲線乱数を生成する方法であって、楕円曲線
乱数生成器を使用して出力を生成するステップと、出力を一方向性関数に適用して乱数を
生成するステップを備える方法を提供する。
【0017】
更に別の形態においては、本発明は、楕円曲線乱数生成器に対するバックアップ機能の
方法であって、楕円曲線の点Qが決定されるとエスクロー鍵eを計算し、それによりP=
eQであって、Pは楕円曲線の別の点であるステップと、管理者を置くステップと、管理
者にエスクロー鍵eを格納させるステップと、楕円曲線乱数生成器を有するメンバーに、
生成器の出力値の前に生成された出力rを管理者に送らせるステップと、管理者が、出力
rを、生成器の状態の将来の決定のために記録するステップを備える方法を提供する。
例えば、本願発明は以下の項目を提供する。
(項目1)
暗号演算において使用される乱数を計算する方法であって、1対の入力を楕円曲線乱数生成器に提供するステップを備え、各入力が楕円曲線点の少なくとも1つの座標を示し、前記入力のうち少なくとも1つは検証可能にランダムである計算する方法。
(項目2)
前記少なくとも1つの入力は、ハッシュ関数の出力から得られる項目1に記載の計算する方法。
(項目3)
前記入力の他方は、前記ハッシュ関数の入力として利用される項目2に記載の計算する方法。
(項目4)
前記乱数生成器は秘密値を有し、前記秘密値は、前記入力により示される前記点のスカラー倍を計算するために使用される項目1に記載の計算する方法。
(項目5)
前記スカラー倍の1つは、前記乱数を導出するために使用され、前記スカラー倍の他方は、次の使用のために前記秘密値を変更するために使用される項目4に記載の計算する方法。
(項目6)
前記ハッシュ関数の前記出力は、前記入力として利用される前に、楕円曲線上の点の座標として有効化される項目2に記載の計算する方法。
(項目7)
前記点の別の座標が、前記入力として含むために前記1つの座標から得られる項目6に記載の計算する方法。
(項目8)
前記他の入力は、楕円曲線点を示す項目7に記載の計算する方法。
(項目9)
前記乱数は、前記スカラー倍により示される前記点の1つの座標を選択し、前記座標を前記乱数としての使用のためにビット列に打ち切ることにより、前記スカラー倍から導出される項目5に記載の計算する方法。
(項目10)
前記1つの座標は、楕円曲線点表現を示す長さの約半分の大きさに打ち切られる項目9に記載の計算する方法。
(項目11)
前記乱数は、前記スカラー倍により示される前記点の1つの座標を選択し、前記1つの座標をハッシングし、前記乱数として使用するためにビット列を提供することにより、前記スカラー倍から導出される項目5に記載の計算する方法。
(項目12)
前記検証可能にランダムな入力は標準形として選択され、それにより、前記入力間の所定の関係を維持することは困難になる項目1に記載の計算する方法。
(項目13)
暗号演算において使用される乱数を計算する方法であって、それぞれが、1対の楕円曲線点の少なくとも1つの座標を示す1対の入力を楕円曲線乱数生成器に提供するステップと、楕円曲線点のスカラー倍の少なくとも1つの座標を示す出力を得るステップと、前記出力を一方向性関数に通して、乱数としての使用のためのビット列を得るステップと、を備える計算する方法。
(項目14)
前記一方向性関数は、ハッシュ関数である項目13に記載の計算する方法。
(項目15)
楕円曲線乱数生成器であって、それぞれが、1対の楕円曲線点の少なくとも1つの座標を示す1対の入力と、暗号演算において乱数として使用される出力を有し、前記入力の少なくとも1つは、検証可能にランダムである楕円曲線乱数生成器。
(項目16)
前記1つの入力は、一方向性関数の出力から導出される項目15に記載の楕円曲線乱数生成器。
(項目17)
前記一方向性関数はハッシュ関数である項目16に記載の楕円曲線乱数生成器。
(項目18)
前記入力の他方は、前記ハッシュ関数への入力として提供される項目17に記載の楕円曲線乱数生成器。
(項目19)
ネットワーク内でセキュリティドメインのためのエスクロー鍵を確立する方法であって、楕円曲線乱数生成器へのそれぞれの入力としての1対の点PQを、前記点の間の関係がP=eQとなるように確立するステップと、前記関係eを、管理者と共にエスクロー鍵として格納するステップと、前記楕円曲線乱数生成器から、前記ドメイン内の暗号演算で使用される乱数を生成するステップを備える方法。
【図面の簡単な説明】
【0018】
本発明の実施形態は、ここで、添付された図面を参照することのみにより、例として説
明される。
【0019】
【図1】暗号乱数生成方式の模式図である。
【図2】楕円曲線点を選択するための選択工程を示すフローチャートである。
【図3】更なる実施形態を示す、図1に類似のブロック図である。
【図4】図3の装置により実行される工程を示すフローチャートである。
【図5】更なる実施形態を示すブロック図である。
【図6】図2の工程の更に別の実施形態を示すフローチャートである。
【図7】管理された暗号乱数生成方式の模式図である。
【図8】エスクロー鍵選択工程を示すフローチャートである。
【図9】エスクロー鍵を安全に利用する方法を示すフローチャートである。
【発明を実施するための形態】
【0020】
図1を参照すると、暗号乱数生成器(ECRNG)10は、楕円曲線計算を行う演算ユ
ニット12を含んでいる。ECRNGはまた、状態値sを保持するセキュアレジスタ14
を含み、初期設定点PとQの対を受信するための入力16と18の対を有している。点P
とQは、既知と仮定されている楕円曲線点である。出力20は、暗号モジュール22への
乱整数の通信のために供給される。レジスタ14の初期内容は、シード入力Sにより供給
される。
【0021】
点Pを表現する入力16は、第1実施形態においては、そのような使用に適切であると
して公表された既知の値から選択される。
【0022】
入力18は、一方向性関数の出力から、典型的には、入力として点Pを受信するSHA
1またはSHA2のような暗号的に安全なハッシュ関数である、ハッシュ関数の形態で得
られる。関数24は、任意のビット列A上で作動し、ハッシュされた出力26を生成する
。出力26は、更なる処理のために演算ユニット12に適用されて入力Qを供給する。
【0023】
作動中、ECRNGは、シードとしてビット列を受信し、それはレジスタ14に格納さ
れる。シードは、秘密に維持され、ランダム性およびハミング重さのような、特定のアプ
リケーションに適合するように選択された、前もって確立された暗号基準に合うように選
択される。
【0024】
dが知られる可能性がないことを確実にするために(例えば、P=dQおよびed=1
mod nのように)、入力16と18の1つまたは両者は、検証可能にランダムであ
るように選択される。図1の実施形態においては、Qは、その入力が点Pを含むハッシュ
関数(好ましくは一方向性)の出力から導出することにより、検証可能にランダムである
ような方法で選択される。図2に示されるように、任意の列Aがステップ202で選択さ
れ、AのハッシュHは、Pと随意にSを、ハッシュベース関数FH()への入力としてス
テップ204で計算され、ハッシュHは、演算ユニット12により、ステップ206にお
いて所望の体Fの体の元Xに変換される。Pは、前計算されていても、固定でも、または
検証可能にランダムな選択値として選択されてもよい。体の元Xは、Qのx座標として見
なされる(このように、Qの「圧縮された」表現)。x座標は、ステップ208で、所望
の楕円曲線E上で有効性がテストされ、Xが有効かどうかがステップ210において決定
される。有効の場合は、元Xにより提供されたx座標は伸張され、ステップ212におい
て点Qを提供する。y座標の2つの可能な値のどちらを選択するかは、一般的には、ハッ
シュ値から導出される。
【0025】
点PとQは、個々の点16と18において適用され、演算ユニット12は、点sQを
計算し、ここでsは、レジスタ14に格納されている現在の値である。演算ユニット12
は、点(この例では、点sQ)のx座標を整数に変換し、その値を打ち切って、r=t(
z(sQ))を得る。打ち切られた値rは出力20に供給される。
【0026】
演算ユニット12は同様に値を計算して、sがレジスタ14の値であるときのsPを
計算することでレジスタ14を更新して、点sPのx座標を整数uに変換する。整数uは
、レジスタに格納され、次の反復に対してsと置換される。(上記を繰り返す)
【0027】
上述したように、点Pもまた検証可能にランダムであってよいが、確立されたまたは
固定された値であってもよい。従って、図1の実施形態は、ある基点(例えば、P)が既
にハードウェアに実装されている場合は、システムに適用または後付け追加できる。典型
的に、基点Pは、米国連邦情報処理標準規格(FIPS:Federal Information Processi
ng Standard)186−2で推奨されているような、ある既存の基点になる。そのような
場合は、Pは、検証可能にランダムになるようには選択されない。
【0028】
一般的に、点Pを、ハッシュ関数の入力に含むことは、ハッシュ関数の一方向性特性
のため、およびQが既に決定されたPから導出されるので、Pが、Qが決定される前に決
定されたことを確実にする。PはQの前に決定されたので、PがQの倍数(例えば、P=
eQの場合)として選択されることは有り得ず、従って、dを見出すことは一般的には、
離散対数問題のランダムなケースを解くのと同じ程度難しいということは明確に理解でき
る。
【0029】
このように、提供されたシード値Sと、提供されたハッシュに基づく関数F()を有
しているので、検証者は、Q=F(S,P)を決定でき、ここにおいてPは、検証可能に
ランダムではなくてもよい。同様に、P=F(S,Q)を計算して同じ効果を得ることが
できるが、これは、X9.82の初期の草案におけるPの値が、FIPS186−2で指
定された基点と同一であるならば必要ではないと考えられている。
【0030】
上記に概要を記述したように、ビット列からQを生成することは、ECRNG10の
外部で行うことができ、または好ましくは、演算ユニット12を使用して内部的に行うこ
とができる。PとQの両方が検証可能にランダムであることが必要な場合は、図1に点線
で示される第2ハッシュ関数24が、ビット列Aから点Pの座標を生成するために組み込
まれる。入力の少なくとも1つに対してハッシュ関数を提供することにより、検証可能に
ランダムな入力が得られる。
【0031】
生成される出力は、点sPのx座標から導出されるということも分かるであろう。従
って、入力16と18は、点PとQのx座標であってよく、対応するsPとsQの値は、
モントゴメリ(Montgomery)乗法技術を使用して得られ、それにより、y座標を取り出す
必要性を除去する。
【0032】
Qを選択する方法の代替方法は、Qを、そのビット表現が、例えば、名前の表現のよ
うに、ある既知のdとPに対してQ=dPを生成することで生成するのが困難なある列を
含むように、ある標準形で選択することである。この方法と、好適な方法の間の中間的な
形式もまた存在し、その場合は、Qは部分的に標準形であり、部分的に検証可能にランダ
ムに導出されるということは理解されよう。Qのそのような選択は、検証可能にランダム
であっても、標準形であっても、またはある中間形式であっても、検証可能と呼ばれる。
【0033】
図3と図4に示す、ECRNGの出力に対する鍵エスクロー攻撃を防止する別の代替
方法は、打切り関数28をECRNG10に追加して、ECRNG出力を、圧縮楕円曲線
点の長さの約半分に打ち切ることである。好ましくは、この演算は、図1および図2の好
適な方法に追加して行われるが、それは、鍵エスクロー攻撃を防止する主要な手段として
行うことができるということは理解されよう。打切りの利点は、単一のECRNG出力r
に関連するR値のリストは、典型的には、探すのが現実的には不可能であるということで
ある。例えば、160ビット楕円曲線群に対して、リストに可能な点Rの数は、約280
であり、リストを探索することは、離散対数問題を解くことと同じ程度に困難である。こ
の方法のコストは、出力長が事実上半分にされるので、ECRNGの効率が半分になると
いうことである。
【0034】
図5と図6に示す、更に別の代替方法は、新しい入力を生成するハッシュ関数のよう
な、34として特定される、別の一方向性関数FH2を介する、ECRNGの出力のフィ
ルタ処理を備える。ここで再び、好ましくは、この演算は、図2に示される好適な方法に
追加して行われるが、鍵エスクロー攻撃を防止する主要な手段として行うこともできる。
追加のハッシュは、演算ユニット12で行われる楕円曲線演算と比べて、相対的にコスト
が小さく、ECRNGの安全性を問題になるほど削減しない。
【0035】
上述したように、エスクロー鍵の存在を有効的に防止するためには、検証可能にラン
ダムなQに、検証可能にランダムなPまたは、前もって確立されたPを付随させるべきで
ある。前もって確立されたPは、広く公開され、ECRNG12の概念の前に選択された
と容認されている点Pであってよく、従ってそれは、Qは、Pが確立されたときに生成さ
れていなかったので、Pが、P=eQとして選択されることは不可能であったことを意味
する。
【0036】
上記の技術が、侵入口を「閉じる」ことにより、ECRNGを使用するシステムの安
全性を確実にする一方、PとQの可能性のある相互依存性、つまり、eの存在を注意深く
使用することにより、P=eQであることの利点を利用することもまた可能である。
【0037】
そのようなシナリオにおいては、値eは、エスクロー鍵と見なしてよい。PとQが管
理者により制御されたセキュリティドメインにおいて確立されると、ドメインでQを生成
するエンティティは、eを知って(またはdを知ることで間接的に知って)それを行う。
管理者は、その標準に従うすべてのECRNGに対してエスクロー鍵を有することになる
。
【0038】
エスクロー鍵は、ある状況では利点があることが知られている。エスクロー鍵は、バッ
クアップ機能を提供する。暗号鍵が紛失した場合、その鍵で暗号化されたデータもまた失
われる。しかし、暗号鍵は一般的には、乱数生成器の出力である。従って、ECRNGが
、暗号鍵Kの生成に使用されると、エスクロー鍵eを使用して、暗号鍵Kを取り出すこと
が可能になる。エスクロー鍵は、盗聴に使用されるような、他の機能も提供する。この場
合、信頼できる法施行機関が、犯罪者の暗号化トラフィックを復号することが必要になり
、これを行うため、暗号鍵を取り出すために、エスクロー鍵を使用できることを所望する
ことがある。
【0039】
図7は、それぞれが、ドメイン40の個々のメンバーと関連している、多数のECR
NG10を有するドメイン40を示している。ドメイン40は、他のドメイン40a、4
0b、および40cと、インターネットのようなネットワーク42を介して通信する。ド
メインの各ECRNGは、同一の入力PとQの対を有している。ドメイン40は、安全な
方法でエスクロー鍵eを維持する管理者44を含む。
【0040】
管理者44は、Q=ePとなるようなエスクロー鍵eを知り得るようにPとQの値を
選択する。ドメイン40の他のメンバーは、PとQの値を使用し、それにより、管理者4
4に、組織のすべてのメンバーに対して機能するエスクロー鍵eを与える。
【0041】
これは、暗号鍵の紛失に対する対処策としてのバックアップ機能において最も有益で
ある。エスクロー鍵eは、メンバー特有にすることもでき、それにより、各メンバーは、
管理者44から選択された点からの自分自身のエスクローe’を有する。
【0042】
図8において、全体を数字400で示したように、管理者は、最初は、所望の楕円曲
線に対する標準生成器Pとして一般的に選択される点Pを選択する(402)。そして、
管理者は、値dを選択して、点Qは、適切なサイズの、ある乱整数dに対して、Q=dP
として決定される(404)。エスクロー鍵eは、e=d−1 mod nとして計算さ
れ(406)、ここでnは、生成器Pの位数であり、管理者により格納される。
【0043】
そのようなエスクロー鍵34eの安全な使用法は、数字500により全体的に示され
、図9に示されている。管理者44が、まず設置され(502)、そしてエスクロー鍵e
が選択され、管理者44により格納される(504)。
【0044】
エスクロー鍵が完全な有効性で機能するためには、エスクロー管理者44は、取り出
されるECRNG出力値k(例えば16)の前に生成されたECRNG出力値rへの直接
アクセスを必要とする。一方向性関数または暗号アルゴリズムを介するrへの間接アクセ
スを有するだけでは十分ではない。これを達成するための形式化された方法は、図7にお
いて46で示され、図9においてステップ506において示されるように、ECRNG1
2を有する各メンバーに、管理者44と通信させることである。これは暗号化ファイル格
納システムまたは暗号化電子メールアカウントに対して最も有益であろう。よりシームレ
スな方法を暗号アプリケーションに適用できる。例えば、ウェブ(HTTP)トラフィッ
クを安全にするSSLおよびTLSプロトコルにおいて、クライアントおよびサーバーは
、ハンドシェークを行い、それらの最初の行動は、平文で送信された乱数値を交換するこ
とである。
【0045】
他の多数のプロトコルは、しばしばナンスと呼ばれる、そのような乱数値を交換する。
エスクロー管理者がこれらのナンスを観測し、それらの記録を維持すれば(508)、後
日、必要なr値を決定することが可能になる。これにより、管理者が、クライアントまた
はサーバー(ドメインのメンバーであれば誰でも)のECRNG12の次の状態を決定す
ることができ(510)、それにより、次のECRNG12値を取り出すことができる。
特に、SSLまたはTLSセッションに対する暗号鍵が導出されるランダムなプレマスタ
ー秘密を一般的に生成するクライアントに対して、エスクロー鍵は、セッション鍵の取り
出しを可能にする。セッション鍵の取り出しは、全SSLまたはTLSセッションの取り
出しを可能にする。
【0046】
セッションが記録されていれば、それは取り出すことができる。これは長期私的鍵を
危険に晒すものではなく、ECRNGの出力から得られたセッション鍵のみで、エスクロ
ーに関連する一般的な疑いに関するいかなる問題も緩和される。
【0047】
エスクロー鍵は他の状況において、不都合な点も有することが知られているが、特定
のセキュリティドメイン内の制御により、これらの問題のいくつかは緩和される。例えば
、非拒絶に対するデジタル署名では、署名者以外は、署名鍵を有しないということが重要
で、そうでなければ、署名者は、合法的に署名の拒絶を主張できる。エスクロー鍵の存在
は、他のあるエンティティが署名鍵へのアクセスを有し、それにより署名者は、エスクロ
ー鍵が使用されて署名鍵を得て、その署名を生成したと主張することを可能にする。しか
し、ドメインが特別な組織、または組織の一部に制限されている場合は、組織が署名を拒
絶できないということで十分である。暗号鍵とは異なり、紛失した署名鍵は、データの紛
失を意味しないので、署名鍵のバックアップはほとんど必要ない。
【0048】
本発明は、ある特別な実施形態を参照して説明されてきたが、この技術に精通した者
には、本明細書に付随する請求項で概要が記載される本発明の精神および範囲から逸脱す
ることのない本発明の種々の修正が明白であろう。
【技術分野】
【0001】
本発明は暗号乱数生成のシステムと方法に関する。
【背景技術】
【0002】
乱数は、基盤となる安全性を提供するために、多数の暗号演算において利用される。公
開鍵基盤において、例えば、鍵対の私的鍵は、乱数生成器により生成され、対応する公開
鍵は数学的に私的鍵から導出される。各セッションに対して新しい鍵対が生成され、その
ため、生成器のランダム性が暗号システムの安全性にきわめて重要となる。
【0003】
乱数の安全なソースを提供するために、暗号的に安全な擬似乱数ビット生成器が開発さ
れており、その中で、各生成器の安全性は、基盤となる数論問題の推測できる対処の困難
さに依存する。ANSI(American National Standards Institute:米国規格協会)は
、ASC(AccreditedStandards Committee)X9を、金融サービス産業のために設立し
、それは、暗号乱数生成(RNG)のためのANS(American National Standard)X9
.82を準備している。Dual_EC_DRBGと称されるX9.82の草案における
RNG方法の1つは、安全性のために楕円曲線暗号(ECC)を使用している。Dual
_EC_DRBGは、以降、楕円曲線乱数生成(ECRNG)と呼ぶ。
【0004】
楕円曲線暗号は、楕円曲線群の巡回部分群における離散対数問題の難しさに依存する。
楕円曲線Eは、楕円曲線の定義方程式を満たす点(x,y)の集合である。定義方程式は
、三次方程式であり、非特異性である。座標xとyは、体の元であり、加法、減法、およ
びゼロを除く除法が可能な元の集合である。体の例としては、有理数および実数がある。
また有限体もあり、暗号においてはもっともよく使用される。有限体の例としては、素数
qを法とする整数の集合がある。
【0005】
一般性を失うことなく、楕円曲線の定義方程式は、ワイエルシュトラス(Weierstrass
)形式で可能であり、それは、座標の体に依存している。体Fが素数q>3を法とする整
数の場合、ワイエルシュトラス(Weierstrass)方程式は、y2=x3+ax+bの形式
となり、ここでaとbは体Fの元である。
【0006】
楕円曲線Eは点(x,y)と、更に1つの点、つまり、無限大における点Oを含む。
楕円曲線Eはまた、群構造を有し、それは、曲線上の2点PとQは加法が可能で、第3の
点P+Qを形成することを意味する。点Oは、群の単位元であり、すべての点Pに対して
P+O=O+P=Pである。加法は、すべての点P、QおよびRに対して結合律が成り立
ち、P+(Q+R)=(P+Q)+Rであり、かつ、可換であり、P+Q=Q+Rである
。各点PはP+(−P)=Oとなる負の点−Pを有している。曲線方程式がy2=x3+
ax+bの形式のワイエルシュトラス(Weierstrass)方程式のときは、P=(x,y)
の負は容易に−P=(x,−y)として決定できる。座標について点PとQを加える公式
は、数回の体の演算を含むだけの、適度の複雑さである。
【0007】
ECRNGは入力として、固定の2つの楕円曲線点PとQを使用する。これらの点は、
秘密とは仮定されていない。典型的には、Pは楕円曲線ドメインパラメータの標準生成器
であり、Qは、ある他の点である。更に、秘密シードがECRNGに挿入される。
【0008】
ECRNGは、整数sと考えられる、ある状態を有している。状態sは、ECRNGが
出力を生成するたびに更新される。更新された状態はu=z(sP)として計算され、こ
こでz()は、楕円曲線点を整数に変換する関数である。一般的に、zは点のx座標を取
ることで構成され、結果としての体の元を整数に変換する。このように、uは、典型的に
は、点sのx座標から導出される整数である。
【0009】
ECRNGの出力は、r=t(z(sQ))として計算され、ここにおいてtは打切り
関数である。一般的に打切り関数は、入力の最左端のビットを除去する。ECRNGにお
いては、打ち切られるビット数は、楕円曲線の選択に依存し、典型的には、6から19ビ
ットの範囲である。
【0010】
PとQが分かっていても、出力rはランダムで、予測できないと信じられている。従っ
て、連続する値は、私的鍵を得て、暗号関数を破るために利用できる関係を有しない。本
発明の出願者は、Q=dPとなるような整数dを知っていれば誰でもed=1 mod
nであって、ここでnはGの位数であるような整数eを推測でき、それにより、P=eQ
となるような整数eを入手できるということを認識した。更新された状態およびECRN
G出力の前駆体を、U=sPおよびR=sQと想定する。整数eにより、UをRからU=
eRとして計算できる。従って、出力r=t(z(R))であり、Rの可能な値は、rか
ら決定できる。打切り関数は、Rの打ち切られたビットは、推測されなければならないこ
とを意味している。z関数は、x座標のみが利用でき、そのため、全点Rを得るためには
、伸張を適用しなければならないことを意味している。ECRNGの場合は、約26=6
4と219(つまり、約500,000)の間のどこかに、rに対応する可能な点Rがあ
ることになり、正確な数は曲線とrの特別な値に依存する。
【0011】
R値の全体集合は、rから決定するのは容易で、上述したように、Rに対する正確な
値の決定は、eを知っていれば、U=eRを決定する。更新された状態は、u=z(U)
であり、Rの正しい値から決定できる。従って、rとeを知っていれば、26と219の
間のどこかで、多数の可能性から次の状態を決定できる。この不確定さは、別の出力が観
測されると、一方向性関数を介して直接または間接的に、確実に排除される。
【0012】
次の状態がいったん決定されると、ECRNGのすべての将来の状態は、ECRNGが
決定関数なので決定できる(少なくとも追加的なランダムエントロピーがECRNG状態
に供給されない限り)。ECRNGのすべての出力は、ECRNGの決定状態から決定さ
れる。従って、rとeを知っていると、ECRNGのすべての将来の出力を決定できる。
【0013】
従って、本発明の出願人によって、本方法は、潜在的に侵入口を有していることが特定
され、そのため、アルゴリズムの標準化に携わる者、あるいは導入者は、単一の出力と、
RNGの実例を使用して、すべての将来の状態とRNGの出力を決定でき、それにより、
その安全性を完全に損なってしまう。従って、本発明の目的は、上述した不都合な点を除
去または緩和することである。
【発明の概要】
【課題を解決するための手段】
【0014】
1つの形態において、本発明は、検証可能にランダムな点Qを、楕円曲線乱数生成器内
の別の点Pとの使用のために計算する方法であって、点Pを入力として含むハッシュを計
算するステップと、ハッシュから点Qを導出するステップを備える方法を提供する。
【0015】
別の形態においては、本発明は、楕円曲線乱数を生成する方法であって、楕円曲線乱数
生成器を使用して出力を生成するステップと、出力を打ち切って、乱数を生成するステッ
プを備える方法を提供する。
【0016】
更に別の形態においては、本発明は、楕円曲線乱数を生成する方法であって、楕円曲線
乱数生成器を使用して出力を生成するステップと、出力を一方向性関数に適用して乱数を
生成するステップを備える方法を提供する。
【0017】
更に別の形態においては、本発明は、楕円曲線乱数生成器に対するバックアップ機能の
方法であって、楕円曲線の点Qが決定されるとエスクロー鍵eを計算し、それによりP=
eQであって、Pは楕円曲線の別の点であるステップと、管理者を置くステップと、管理
者にエスクロー鍵eを格納させるステップと、楕円曲線乱数生成器を有するメンバーに、
生成器の出力値の前に生成された出力rを管理者に送らせるステップと、管理者が、出力
rを、生成器の状態の将来の決定のために記録するステップを備える方法を提供する。
例えば、本願発明は以下の項目を提供する。
(項目1)
暗号演算において使用される乱数を計算する方法であって、1対の入力を楕円曲線乱数生成器に提供するステップを備え、各入力が楕円曲線点の少なくとも1つの座標を示し、前記入力のうち少なくとも1つは検証可能にランダムである計算する方法。
(項目2)
前記少なくとも1つの入力は、ハッシュ関数の出力から得られる項目1に記載の計算する方法。
(項目3)
前記入力の他方は、前記ハッシュ関数の入力として利用される項目2に記載の計算する方法。
(項目4)
前記乱数生成器は秘密値を有し、前記秘密値は、前記入力により示される前記点のスカラー倍を計算するために使用される項目1に記載の計算する方法。
(項目5)
前記スカラー倍の1つは、前記乱数を導出するために使用され、前記スカラー倍の他方は、次の使用のために前記秘密値を変更するために使用される項目4に記載の計算する方法。
(項目6)
前記ハッシュ関数の前記出力は、前記入力として利用される前に、楕円曲線上の点の座標として有効化される項目2に記載の計算する方法。
(項目7)
前記点の別の座標が、前記入力として含むために前記1つの座標から得られる項目6に記載の計算する方法。
(項目8)
前記他の入力は、楕円曲線点を示す項目7に記載の計算する方法。
(項目9)
前記乱数は、前記スカラー倍により示される前記点の1つの座標を選択し、前記座標を前記乱数としての使用のためにビット列に打ち切ることにより、前記スカラー倍から導出される項目5に記載の計算する方法。
(項目10)
前記1つの座標は、楕円曲線点表現を示す長さの約半分の大きさに打ち切られる項目9に記載の計算する方法。
(項目11)
前記乱数は、前記スカラー倍により示される前記点の1つの座標を選択し、前記1つの座標をハッシングし、前記乱数として使用するためにビット列を提供することにより、前記スカラー倍から導出される項目5に記載の計算する方法。
(項目12)
前記検証可能にランダムな入力は標準形として選択され、それにより、前記入力間の所定の関係を維持することは困難になる項目1に記載の計算する方法。
(項目13)
暗号演算において使用される乱数を計算する方法であって、それぞれが、1対の楕円曲線点の少なくとも1つの座標を示す1対の入力を楕円曲線乱数生成器に提供するステップと、楕円曲線点のスカラー倍の少なくとも1つの座標を示す出力を得るステップと、前記出力を一方向性関数に通して、乱数としての使用のためのビット列を得るステップと、を備える計算する方法。
(項目14)
前記一方向性関数は、ハッシュ関数である項目13に記載の計算する方法。
(項目15)
楕円曲線乱数生成器であって、それぞれが、1対の楕円曲線点の少なくとも1つの座標を示す1対の入力と、暗号演算において乱数として使用される出力を有し、前記入力の少なくとも1つは、検証可能にランダムである楕円曲線乱数生成器。
(項目16)
前記1つの入力は、一方向性関数の出力から導出される項目15に記載の楕円曲線乱数生成器。
(項目17)
前記一方向性関数はハッシュ関数である項目16に記載の楕円曲線乱数生成器。
(項目18)
前記入力の他方は、前記ハッシュ関数への入力として提供される項目17に記載の楕円曲線乱数生成器。
(項目19)
ネットワーク内でセキュリティドメインのためのエスクロー鍵を確立する方法であって、楕円曲線乱数生成器へのそれぞれの入力としての1対の点PQを、前記点の間の関係がP=eQとなるように確立するステップと、前記関係eを、管理者と共にエスクロー鍵として格納するステップと、前記楕円曲線乱数生成器から、前記ドメイン内の暗号演算で使用される乱数を生成するステップを備える方法。
【図面の簡単な説明】
【0018】
本発明の実施形態は、ここで、添付された図面を参照することのみにより、例として説
明される。
【0019】
【図1】暗号乱数生成方式の模式図である。
【図2】楕円曲線点を選択するための選択工程を示すフローチャートである。
【図3】更なる実施形態を示す、図1に類似のブロック図である。
【図4】図3の装置により実行される工程を示すフローチャートである。
【図5】更なる実施形態を示すブロック図である。
【図6】図2の工程の更に別の実施形態を示すフローチャートである。
【図7】管理された暗号乱数生成方式の模式図である。
【図8】エスクロー鍵選択工程を示すフローチャートである。
【図9】エスクロー鍵を安全に利用する方法を示すフローチャートである。
【発明を実施するための形態】
【0020】
図1を参照すると、暗号乱数生成器(ECRNG)10は、楕円曲線計算を行う演算ユ
ニット12を含んでいる。ECRNGはまた、状態値sを保持するセキュアレジスタ14
を含み、初期設定点PとQの対を受信するための入力16と18の対を有している。点P
とQは、既知と仮定されている楕円曲線点である。出力20は、暗号モジュール22への
乱整数の通信のために供給される。レジスタ14の初期内容は、シード入力Sにより供給
される。
【0021】
点Pを表現する入力16は、第1実施形態においては、そのような使用に適切であると
して公表された既知の値から選択される。
【0022】
入力18は、一方向性関数の出力から、典型的には、入力として点Pを受信するSHA
1またはSHA2のような暗号的に安全なハッシュ関数である、ハッシュ関数の形態で得
られる。関数24は、任意のビット列A上で作動し、ハッシュされた出力26を生成する
。出力26は、更なる処理のために演算ユニット12に適用されて入力Qを供給する。
【0023】
作動中、ECRNGは、シードとしてビット列を受信し、それはレジスタ14に格納さ
れる。シードは、秘密に維持され、ランダム性およびハミング重さのような、特定のアプ
リケーションに適合するように選択された、前もって確立された暗号基準に合うように選
択される。
【0024】
dが知られる可能性がないことを確実にするために(例えば、P=dQおよびed=1
mod nのように)、入力16と18の1つまたは両者は、検証可能にランダムであ
るように選択される。図1の実施形態においては、Qは、その入力が点Pを含むハッシュ
関数(好ましくは一方向性)の出力から導出することにより、検証可能にランダムである
ような方法で選択される。図2に示されるように、任意の列Aがステップ202で選択さ
れ、AのハッシュHは、Pと随意にSを、ハッシュベース関数FH()への入力としてス
テップ204で計算され、ハッシュHは、演算ユニット12により、ステップ206にお
いて所望の体Fの体の元Xに変換される。Pは、前計算されていても、固定でも、または
検証可能にランダムな選択値として選択されてもよい。体の元Xは、Qのx座標として見
なされる(このように、Qの「圧縮された」表現)。x座標は、ステップ208で、所望
の楕円曲線E上で有効性がテストされ、Xが有効かどうかがステップ210において決定
される。有効の場合は、元Xにより提供されたx座標は伸張され、ステップ212におい
て点Qを提供する。y座標の2つの可能な値のどちらを選択するかは、一般的には、ハッ
シュ値から導出される。
【0025】
点PとQは、個々の点16と18において適用され、演算ユニット12は、点sQを
計算し、ここでsは、レジスタ14に格納されている現在の値である。演算ユニット12
は、点(この例では、点sQ)のx座標を整数に変換し、その値を打ち切って、r=t(
z(sQ))を得る。打ち切られた値rは出力20に供給される。
【0026】
演算ユニット12は同様に値を計算して、sがレジスタ14の値であるときのsPを
計算することでレジスタ14を更新して、点sPのx座標を整数uに変換する。整数uは
、レジスタに格納され、次の反復に対してsと置換される。(上記を繰り返す)
【0027】
上述したように、点Pもまた検証可能にランダムであってよいが、確立されたまたは
固定された値であってもよい。従って、図1の実施形態は、ある基点(例えば、P)が既
にハードウェアに実装されている場合は、システムに適用または後付け追加できる。典型
的に、基点Pは、米国連邦情報処理標準規格(FIPS:Federal Information Processi
ng Standard)186−2で推奨されているような、ある既存の基点になる。そのような
場合は、Pは、検証可能にランダムになるようには選択されない。
【0028】
一般的に、点Pを、ハッシュ関数の入力に含むことは、ハッシュ関数の一方向性特性
のため、およびQが既に決定されたPから導出されるので、Pが、Qが決定される前に決
定されたことを確実にする。PはQの前に決定されたので、PがQの倍数(例えば、P=
eQの場合)として選択されることは有り得ず、従って、dを見出すことは一般的には、
離散対数問題のランダムなケースを解くのと同じ程度難しいということは明確に理解でき
る。
【0029】
このように、提供されたシード値Sと、提供されたハッシュに基づく関数F()を有
しているので、検証者は、Q=F(S,P)を決定でき、ここにおいてPは、検証可能に
ランダムではなくてもよい。同様に、P=F(S,Q)を計算して同じ効果を得ることが
できるが、これは、X9.82の初期の草案におけるPの値が、FIPS186−2で指
定された基点と同一であるならば必要ではないと考えられている。
【0030】
上記に概要を記述したように、ビット列からQを生成することは、ECRNG10の
外部で行うことができ、または好ましくは、演算ユニット12を使用して内部的に行うこ
とができる。PとQの両方が検証可能にランダムであることが必要な場合は、図1に点線
で示される第2ハッシュ関数24が、ビット列Aから点Pの座標を生成するために組み込
まれる。入力の少なくとも1つに対してハッシュ関数を提供することにより、検証可能に
ランダムな入力が得られる。
【0031】
生成される出力は、点sPのx座標から導出されるということも分かるであろう。従
って、入力16と18は、点PとQのx座標であってよく、対応するsPとsQの値は、
モントゴメリ(Montgomery)乗法技術を使用して得られ、それにより、y座標を取り出す
必要性を除去する。
【0032】
Qを選択する方法の代替方法は、Qを、そのビット表現が、例えば、名前の表現のよ
うに、ある既知のdとPに対してQ=dPを生成することで生成するのが困難なある列を
含むように、ある標準形で選択することである。この方法と、好適な方法の間の中間的な
形式もまた存在し、その場合は、Qは部分的に標準形であり、部分的に検証可能にランダ
ムに導出されるということは理解されよう。Qのそのような選択は、検証可能にランダム
であっても、標準形であっても、またはある中間形式であっても、検証可能と呼ばれる。
【0033】
図3と図4に示す、ECRNGの出力に対する鍵エスクロー攻撃を防止する別の代替
方法は、打切り関数28をECRNG10に追加して、ECRNG出力を、圧縮楕円曲線
点の長さの約半分に打ち切ることである。好ましくは、この演算は、図1および図2の好
適な方法に追加して行われるが、それは、鍵エスクロー攻撃を防止する主要な手段として
行うことができるということは理解されよう。打切りの利点は、単一のECRNG出力r
に関連するR値のリストは、典型的には、探すのが現実的には不可能であるということで
ある。例えば、160ビット楕円曲線群に対して、リストに可能な点Rの数は、約280
であり、リストを探索することは、離散対数問題を解くことと同じ程度に困難である。こ
の方法のコストは、出力長が事実上半分にされるので、ECRNGの効率が半分になると
いうことである。
【0034】
図5と図6に示す、更に別の代替方法は、新しい入力を生成するハッシュ関数のよう
な、34として特定される、別の一方向性関数FH2を介する、ECRNGの出力のフィ
ルタ処理を備える。ここで再び、好ましくは、この演算は、図2に示される好適な方法に
追加して行われるが、鍵エスクロー攻撃を防止する主要な手段として行うこともできる。
追加のハッシュは、演算ユニット12で行われる楕円曲線演算と比べて、相対的にコスト
が小さく、ECRNGの安全性を問題になるほど削減しない。
【0035】
上述したように、エスクロー鍵の存在を有効的に防止するためには、検証可能にラン
ダムなQに、検証可能にランダムなPまたは、前もって確立されたPを付随させるべきで
ある。前もって確立されたPは、広く公開され、ECRNG12の概念の前に選択された
と容認されている点Pであってよく、従ってそれは、Qは、Pが確立されたときに生成さ
れていなかったので、Pが、P=eQとして選択されることは不可能であったことを意味
する。
【0036】
上記の技術が、侵入口を「閉じる」ことにより、ECRNGを使用するシステムの安
全性を確実にする一方、PとQの可能性のある相互依存性、つまり、eの存在を注意深く
使用することにより、P=eQであることの利点を利用することもまた可能である。
【0037】
そのようなシナリオにおいては、値eは、エスクロー鍵と見なしてよい。PとQが管
理者により制御されたセキュリティドメインにおいて確立されると、ドメインでQを生成
するエンティティは、eを知って(またはdを知ることで間接的に知って)それを行う。
管理者は、その標準に従うすべてのECRNGに対してエスクロー鍵を有することになる
。
【0038】
エスクロー鍵は、ある状況では利点があることが知られている。エスクロー鍵は、バッ
クアップ機能を提供する。暗号鍵が紛失した場合、その鍵で暗号化されたデータもまた失
われる。しかし、暗号鍵は一般的には、乱数生成器の出力である。従って、ECRNGが
、暗号鍵Kの生成に使用されると、エスクロー鍵eを使用して、暗号鍵Kを取り出すこと
が可能になる。エスクロー鍵は、盗聴に使用されるような、他の機能も提供する。この場
合、信頼できる法施行機関が、犯罪者の暗号化トラフィックを復号することが必要になり
、これを行うため、暗号鍵を取り出すために、エスクロー鍵を使用できることを所望する
ことがある。
【0039】
図7は、それぞれが、ドメイン40の個々のメンバーと関連している、多数のECR
NG10を有するドメイン40を示している。ドメイン40は、他のドメイン40a、4
0b、および40cと、インターネットのようなネットワーク42を介して通信する。ド
メインの各ECRNGは、同一の入力PとQの対を有している。ドメイン40は、安全な
方法でエスクロー鍵eを維持する管理者44を含む。
【0040】
管理者44は、Q=ePとなるようなエスクロー鍵eを知り得るようにPとQの値を
選択する。ドメイン40の他のメンバーは、PとQの値を使用し、それにより、管理者4
4に、組織のすべてのメンバーに対して機能するエスクロー鍵eを与える。
【0041】
これは、暗号鍵の紛失に対する対処策としてのバックアップ機能において最も有益で
ある。エスクロー鍵eは、メンバー特有にすることもでき、それにより、各メンバーは、
管理者44から選択された点からの自分自身のエスクローe’を有する。
【0042】
図8において、全体を数字400で示したように、管理者は、最初は、所望の楕円曲
線に対する標準生成器Pとして一般的に選択される点Pを選択する(402)。そして、
管理者は、値dを選択して、点Qは、適切なサイズの、ある乱整数dに対して、Q=dP
として決定される(404)。エスクロー鍵eは、e=d−1 mod nとして計算さ
れ(406)、ここでnは、生成器Pの位数であり、管理者により格納される。
【0043】
そのようなエスクロー鍵34eの安全な使用法は、数字500により全体的に示され
、図9に示されている。管理者44が、まず設置され(502)、そしてエスクロー鍵e
が選択され、管理者44により格納される(504)。
【0044】
エスクロー鍵が完全な有効性で機能するためには、エスクロー管理者44は、取り出
されるECRNG出力値k(例えば16)の前に生成されたECRNG出力値rへの直接
アクセスを必要とする。一方向性関数または暗号アルゴリズムを介するrへの間接アクセ
スを有するだけでは十分ではない。これを達成するための形式化された方法は、図7にお
いて46で示され、図9においてステップ506において示されるように、ECRNG1
2を有する各メンバーに、管理者44と通信させることである。これは暗号化ファイル格
納システムまたは暗号化電子メールアカウントに対して最も有益であろう。よりシームレ
スな方法を暗号アプリケーションに適用できる。例えば、ウェブ(HTTP)トラフィッ
クを安全にするSSLおよびTLSプロトコルにおいて、クライアントおよびサーバーは
、ハンドシェークを行い、それらの最初の行動は、平文で送信された乱数値を交換するこ
とである。
【0045】
他の多数のプロトコルは、しばしばナンスと呼ばれる、そのような乱数値を交換する。
エスクロー管理者がこれらのナンスを観測し、それらの記録を維持すれば(508)、後
日、必要なr値を決定することが可能になる。これにより、管理者が、クライアントまた
はサーバー(ドメインのメンバーであれば誰でも)のECRNG12の次の状態を決定す
ることができ(510)、それにより、次のECRNG12値を取り出すことができる。
特に、SSLまたはTLSセッションに対する暗号鍵が導出されるランダムなプレマスタ
ー秘密を一般的に生成するクライアントに対して、エスクロー鍵は、セッション鍵の取り
出しを可能にする。セッション鍵の取り出しは、全SSLまたはTLSセッションの取り
出しを可能にする。
【0046】
セッションが記録されていれば、それは取り出すことができる。これは長期私的鍵を
危険に晒すものではなく、ECRNGの出力から得られたセッション鍵のみで、エスクロ
ーに関連する一般的な疑いに関するいかなる問題も緩和される。
【0047】
エスクロー鍵は他の状況において、不都合な点も有することが知られているが、特定
のセキュリティドメイン内の制御により、これらの問題のいくつかは緩和される。例えば
、非拒絶に対するデジタル署名では、署名者以外は、署名鍵を有しないということが重要
で、そうでなければ、署名者は、合法的に署名の拒絶を主張できる。エスクロー鍵の存在
は、他のあるエンティティが署名鍵へのアクセスを有し、それにより署名者は、エスクロ
ー鍵が使用されて署名鍵を得て、その署名を生成したと主張することを可能にする。しか
し、ドメインが特別な組織、または組織の一部に制限されている場合は、組織が署名を拒
絶できないということで十分である。暗号鍵とは異なり、紛失した署名鍵は、データの紛
失を意味しないので、署名鍵のバックアップはほとんど必要ない。
【0048】
本発明は、ある特別な実施形態を参照して説明されてきたが、この技術に精通した者
には、本明細書に付随する請求項で概要が記載される本発明の精神および範囲から逸脱す
ることのない本発明の種々の修正が明白であろう。
【特許請求の範囲】
【請求項1】
ネットワーク内でセキュリティドメインのためのエスクロー鍵を確立する方法であって、該方法は、楕円曲線乱数生成器へのそれぞれの入力としての1対の点PQを、前記点の間の関係がP=eQとなるように確立するステップと、前記関係eを、管理者と共にエスクロー鍵として格納するステップと、前記楕円曲線乱数生成器から、前記ドメイン内の暗号演算で使用される乱数を生成するステップとを含む、方法。
【請求項2】
本願明細書に記載された発明。
【請求項1】
ネットワーク内でセキュリティドメインのためのエスクロー鍵を確立する方法であって、該方法は、楕円曲線乱数生成器へのそれぞれの入力としての1対の点PQを、前記点の間の関係がP=eQとなるように確立するステップと、前記関係eを、管理者と共にエスクロー鍵として格納するステップと、前記楕円曲線乱数生成器から、前記ドメイン内の暗号演算で使用される乱数を生成するステップとを含む、方法。
【請求項2】
本願明細書に記載された発明。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−73638(P2012−73638A)
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【外国語出願】
【出願番号】特願2011−259363(P2011−259363)
【出願日】平成23年11月28日(2011.11.28)
【分割の表示】特願2007−551522(P2007−551522)の分割
【原出願日】平成18年1月23日(2006.1.23)
【出願人】(397071791)サーティコム コーポレーション (38)
【Fターム(参考)】
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【出願番号】特願2011−259363(P2011−259363)
【出願日】平成23年11月28日(2011.11.28)
【分割の表示】特願2007−551522(P2007−551522)の分割
【原出願日】平成18年1月23日(2006.1.23)
【出願人】(397071791)サーティコム コーポレーション (38)
【Fターム(参考)】
[ Back to top ]