楕円曲線暗号に基づいた署名暗号化スキーム
【課題】本発明は、楕円曲線暗号に基づいてデータを署名暗号化する方法およびシステムを提供する。
【解決手段】ヘッドエンドシステムにおいて、データは、ランダム点Rを使用して暗号化されるとともに、前記ランダム点Rを使用してデジタル署名される。前記データの署名暗号化の後、前記ランダム点Rのx座標Rxのみと、前記署名の署名コンポーネントssignatureのみとが、前記データに付加される。スマートカードにおいて、前記署名暗号化されたデータは、前記ランダム点Rを使用して検証されるとともに、前記ランダム点Rを使用して復号される。
【解決手段】ヘッドエンドシステムにおいて、データは、ランダム点Rを使用して暗号化されるとともに、前記ランダム点Rを使用してデジタル署名される。前記データの署名暗号化の後、前記ランダム点Rのx座標Rxのみと、前記署名の署名コンポーネントssignatureのみとが、前記データに付加される。スマートカードにおいて、前記署名暗号化されたデータは、前記ランダム点Rを使用して検証されるとともに、前記ランダム点Rを使用して復号される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、楕円曲線暗号、限定受信システム、ヘッドエンドシステム、およびスマートカードに基づいて、データを暗号化およびデジタル署名する方法に関する。
【背景技術】
【0002】
現在、限定受信システムは、よく知られており、現在利用可能な有料テレビシステムとともに幅広く使用されている。そのようなシステムは、各受信パッケージに対してセットトップボックスおよびスマートカードを所有する受信契約者によって受信される、制御語(サービス暗号鍵とも呼ばれる)によって暗号化されたサービスの送信に基づいている。一般に、これらのサービスは、ヘッドエンドシステムによって放送ストリームで送信される。その実装は、セットトップボックスの機能が、テレビ受信機のような装置、パーソナルビデオレコーダ、携帯電話、スマートフォン、またはコンピュータ機器に一体化されることが、知られている。スマートカードの実装は、スマートカードが、動作前に手動でセットトップボックスに挿入される個別のカード、またはセットトップボックスに一体化された表面実装装置であることが、知られている。スマートカードに実装されるソフトウェアは、セットトップボックス内のソフトウェアモジュールとして実行することが、知られている。特定のサービスプロバイダからの受信パッケージに対するスマートカードは、パッケージ内の暗号化されたサービスが、復号および視聴されることを可能にする。放送ストリームは、権限管理メッセージ(EMM)(鍵管理メッセージ(KMM)とも呼ばれる)と、権限制御メッセージ(ECM)とをさらに有し、これらは、スマートカードがサービスを復号するために必要とされる。制御語は、サービスデータを保護する1次セキュリティ機構であり、比較的周期的に変化する。ECMは、制御語を暗号化された形式で搬送するために使用されるため、比較的周期的に送信される。EMMは、制御語を取り出すためにECMを復号するため、視聴/使用の権限の付加または除去に関する他のデータを復号するため、および/または他のユーザ特定データを復号するために使用される、秘密鍵を搬送するために使用される。そのため、様々な種類のEMMが存在し、様々な頻度の周波数で送信されるが、ECMが送信される周波数よりも常にいくらか遅い、または非常に遅い。
【0003】
楕円曲線暗号は、EMMおよびECMのようなメッセージを暗号化およびデジタル署名するための既知の技術である。楕円曲線暗号技術を実装する楕円曲線暗号システムは、所定の楕円曲線領域変数によって決定される有限フィールドにわたる楕円曲線に関して演算動作を行う。楕円曲線領域変数は、暗号化および署名のため、ヘッドエンドシステムに格納されるとともに、復号および署名検証のため、スマートカードに格納される。
【0004】
楕円曲線領域パラメータは、一般に、次の楕円曲線領域変数のうち1つを使用する。すなわち、有限フィールド
【数1】
(以下、Fpと記載する)にわたる楕円曲線領域変数と、
【数2】
(以下、F2^mと記載する)にわたる楕円曲線領域変数とである。
【0005】
Fpにわたる楕円曲線領域変数は、p,a,b,G,n,hである。変数pは、有限フィールドFpを特定する素数である。変数a∈Fpおよびb∈Fpは、方程式y2=x3+a*x+bによって定義される楕円曲線E(Fp)を特定する。変数Gは、楕円曲線上の点の循環部分群の基点(Gx, Gy)である。変数nは、Gのオーダー、すなわち、n・G=O(Oは、無限遠における点である)となるような、負でない最小素数nである。変数hは、補因子|E(Fp)|/nである。
【0006】
F2^mにわたる楕円曲線領域変数は、m,f(x),a,b,G,n,hである。変数mは、有限フィールドF2^mを特定する整数である。変数f(x)は、F2^mの表現を特定する度数mの既約2元多項式(irreducible binary polynomial)である。変数a∈F2^mおよびb∈F2^mは、F2^mにおける方程式y2+x*y=x3+a*x2+bによって定義される楕円曲線E(F2^m)を特定する。変数Gは、楕円曲線上の点の循環部分群の基点(Gx, Gy)である。変数nは、Gのオーダー、すなわち、n・G=O(Oは、無限遠における点である)となるような、負でない最小素数nである。変数hは、補因子|E(F2^m)|/nである。
【0007】
暗号化は、復号鍵の処理を除いて誰かに読まれないようにするアルゴリズム(暗号化とも呼ばれる)を使用して、情報(平文とも呼ばれる)を変換する過程である。楕円曲線暗号に基づいた既知の公開鍵暗号化スキームは、楕円曲線統合暗号化スキーム(Elliptic Curve Integrated Encryption Scheme (ECIES))である。ECIESは、たとえば、M. Abdalla, M. Bellare, P. Rogaway, “DHAES: An encryption scheme based on the Diffie-Hellman problem”, http://www-cse.ucsd.edu/users/mihir/papers/dhies.html, 18 September 2001.に記載されているとともに、たとえばANSI X9.63およびIEEE P1363Aで標準化されており、それらは引用によってその全体が本明細書に組み込まれる。ECIESは、暗号化/復号過程において、受信機の私有鍵(変数dreceiverと称する)と、公開鍵(変数Qreceiverと称する)と使用する。ここで、変数dreceiverは、一般に、[1, n-1]の区間内でランダムに選択された整数である。変数Qreceiverは、一般に、dreceiver・Gに等しい。
【0008】
ECIESを使用して平文メッセージを暗号化するために、ヘッドエンドシステムは、以下のステップを実行する。第1に、乱数rが生成されるとともに、ランダム点R=r・Gが、R=(Rx, Ry)で得られるように計算される。第2に、共有秘密S=Pxが導かれる。ただし、P=(Px, Py)=r・Qreceiverである(さらに、Pは、無限遠における点ではない)。第3に、kE=KDF(S)を計算することによって対称暗号鍵を導くために、ISO/IEC 18033-2で定義されるKDF1またはKDF2のような鍵導出関数(KDF)が使用される。第4に、メッセージは、E(kE;message)を計算することにより、暗号鍵kEを使用して暗号化される。第5に、暗号化の結果は、R||encrypted_message、すなわち、暗号化されたメッセージと連結されたランダム点R、としての出力である。
【0009】
ECIESを使用してメッセージを復号するために、スマートカードは、以下のステップを実行する。第1に、共有秘密S=Pxが導かれる。ただし、P=(Px, Py)=dreceiver・Rである。第2に、kE=KDF(S)を計算することによって対称暗号鍵を導くために、KDFが使用される。第3に、メッセージは、E-1(kE;encrypted_message)を計算することにより、暗号鍵kEを使用して復号される。
【0010】
デジタル署名は、紙に手で書かれた署名のセキュリティ特性を模擬するために使用される、非対称暗号の一種である。デジタル署名は、メッセージの認証を提供する。楕円曲線暗号に基づいた既知の公開鍵署名アルゴリズムは、楕円曲線署名アルゴリズム(Elliptic Curve Digital Signature Algorithm (ECDSA))である。ECDSAは、たとえば、引用によりその全体が本明細書に組み込まれる、ANSI X9.62、FIPS 186-2、IEEE P1363、およびISO 15942-2で標準化されている。ECDSAは、署名/検証過程において、送信機の私有鍵(変数dsenderと称する)と、公開鍵(変数Qsenderと称する)とを使用する。ここで、変数dsenderは、一般に、[1, n-1]の区間内でランダムに選択された整数である。変数Qsenderは、一般に、dsender・Gと等しい。
【0011】
ECDSAを使用してメッセージをデジタル署名するために、ヘッドエンドシステムは、以下のステップを実行する。第1に、メッセージのハッシュeが、e=H(message)として計算される。ただし、Hは、FIPS PUB 180-1で定義されるSHA-1のような暗号ハッシュ関数である。第2に、ランダム整数kが、[1, n-1]から選択される。第3に、署名コンポーネントrsignature=x1(mod n)が計算される。ただし、(x1, y1)=k・Gである。rsignatureが0に等しい場合、第2ステップが繰り返される。第4に、署名コンポーネントssignature=k-1*(e+rsignature*dsender)(mod n)が計算される。ssignatureが0に等しい場合、第2ステップが繰り返される。第5に、得られる署名は、rsignature||ssignature、すなわち、署名コンポーネントssignatureと連結された署名コンポーネントrsignature、としての出力である。
【0012】
ECDSAを使用してメッセージをデジタル署名するために、スマートカードは、以下のステップを実行する。第1に、署名コンポーネントssignatureと、署名コンポーネントrsignatureとが、[1, n-1]の整数であるか検証される。そうでない場合、署名は無効である。第2に、メッセージのハッシュeが、e=H(message)として計算される。ただし、Hは、署名の生成で使用したものと同一の関数である。第3に、w=ssignature-1(mod n)が計算される。第4に、u1=e*w(mod n)と、u2=rsignature*w(mod n)とが計算される。第5に、(x1, y1)=u1・G+u2・Qsenderが計算される。第6に、x1=rsignature(mod n)である場合、署名は有効であり、またはそうでない場合、無効であると断定される。
【0013】
データの暗号化およびデジタル署名の両方の過程は、署名暗号化として同様に知られている。
【0014】
図1Aには、ECIES暗号を適用する前後のEMMまたはECMの先行技術例が示されている。この例において、暗号化されていないECM/EMM 10は、6バイトのヘッダ11と、50バイトのペイロード12を有している。ペイロード12は、ECIESと192バイトの公開鍵とを使用して暗号化される。同様に、ECC-192を使用して暗号化することも知られている。それにより暗号化されたEMM/ECM 20は、ヘッダ11と、48バイトのランダム点R=(Rx, Ry) 21と、50バイトの暗号化されたペイロード22とを有している。したがって、この例において暗号化されたEMM/ECMパケット20は、ランダム点R 21の48バイトのオーバーヘッドにより、暗号化後では48バイト長くなっている。異なるサイズのランダム点R=(Rx, Ry)を得るために、異なるサイズの公開鍵を使用することが可能である。
【0015】
図1Bには、ECDSAデジタル署名を適用する前後の暗号化されたEMMまたはECMの先行技術例が示されている。この例において、暗号化されたECM/EMM 20は、6バイトのヘッダ11と、48バイトのランダム点R=(Rx, Ry) 21と、50バイトの暗号化されたペイロード22とを有している。暗号化されたEMM/ECMは、ECDSAと192バイトの公開鍵とを使用してデジタル署名される。同様に、ECC-192を使用してデジタル署名することも知られている。それにより署名および暗号化されたEMM/ECM 30は、暗号化されたECM 20と、24バイトの署名コンポーネントrsignature 31と、24バイトの署名コンポーネントssignature 32とを含んでいる。したがって、この例においてデジタル署名および暗号化されたEMM/ECMパケット30は、署名コンポーネントrsignature 31の24バイトのオーバーヘッドと、署名コンポーネントssignature 32の24バイトのオーバーヘッドとにより、デジタル署名後で、48バイト長くなっている。異なるサイズの署名コンポーネントを得るために、異なるサイズの公開鍵を使用することが可能である。
【0016】
ECIESおよびECDSAは、メッセージのサイズを増大させる。ECC-192の例において、全体で96バイトが、CIESおよびECDSAの適用後、メッセージに付加される。一般に184バイトのデータパケットサイズを有するEMMおよびECMに対して、このオーバーヘッドは、重大である。
【0017】
特許文献1には、点kPを得るために、値kで楕円曲線E上の点Pを乗算する方法が開示されている。前記方法は、2進数フィールドF2^mのみにおける楕円曲線に関して開示されている。前記方法は、レジスタに格納される2進数のベクトルとして数kを表現するステップと、連続する点の組(P1, P2)を形成するステップとを具備し、点の組は、Pだけ異なり、逐次連続する点の組は、(mP, (m+1)P)から(2mP, (2m+1)P)を計算する、または(mP, (m+1)P)から((2m+1)P, (2m+2)P)を計算することのいずれかによって、選択される。前記計算は、計算の間、前記点のy座標を使用せずに行ってもよく、計算の終了時にy座標を取り出すことが可能であるため、計算の間、反転動作の使用を回避することによって、暗号処理機能が高速化される。非特許文献1は、同様に、2つのパーティ間の署名検証を促進する方法を開示している。非特許文献1において、署名暗号化されたメッセージは、不都合にも、メッセージの暗号化およびデジタル署名によって、メッセージに付加されるオーバーヘッドによりサイズの増加を有している。
【先行技術文献】
【特許文献】
【0018】
【特許文献1】欧州特許出願公開第0874307A1号明細書
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明の目的は、楕円曲線暗号に基づいてデータを暗号化およびデジタル署名するための改良された方法を提供することである。
【課題を解決するための手段】
【0020】
本発明の態様によれば、処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法が、提案される。前記方法は、暗号化されたデータを得るために、ランダム点Rを使用して、データを暗号化するステップを具備している。前記方法は、処理結果を得るために、ランダム点Rを使用して、暗号化されたデータをデジタル署名するステップをさらに具備している。
【0021】
したがって、楕円曲線暗号に基づいてデータを暗号化するステップと、デジタル署名するステップとを具備する本発明の方法は、暗号化ステップで計算されるランダムデータを再利用するデジタル署名の生成を有利に可能し、署名暗号化後のデータオーバーヘッドを減少することを可能にする。
【0022】
請求項2の実施形態は、ランダム点Rのy座標Ryを有さず、かつ署名コンポーネントrsignatureを有さずに、処理結果を有利に可能にする。
【0023】
請求項3の実施形態は、権限管理メッセージまたは権限制御メッセージの署名暗号化を有利に可能にする。
【0024】
本発明の態様によれば、処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法が、提案される。前記方法は、ランダム点Rを使用して、データを検証するステップを具備している。前記方法は、前記処理結果を得るために、ランダム点Rを使用して、前記データを復号するステップをさらに具備している。
【0025】
したがって、データ(楕円曲線暗号に基づいて署名暗号化されたデータ)を検証するステップと、復号するステップとを具備する本発明の方法は、前記データのデジタル署名検証および復号を有利に可能し、同一のランダム点Rが、両方のステップで使用され、署名暗号化されたデータにおけるデータオーバーヘッドの減少を可能にする。
【0026】
請求項6の実施形態は、ランダム点Rのy座標Ryを有さず、かつ署名コンポーネントrsignatureを有さずに、データの署名検証および復号を有利に可能にする。
【0027】
請求項7の実施形態は、署名暗号化された権限管理メッセージ、または署名暗号化された権限制御メッセージの署名検証および復号を有利に可能にする。
【0028】
請求項4および8の実施形態は、限定受信システムで使用される、本発明の方法を有利に可能にする。
【0029】
本発明の態様によれば、ヘッドエンドシステムと、1つまたは複数のスマートカードとを具備する限定受信システムが、提案される。前記限定受信システムは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明の限定受信システムは、署名暗号化後のデータオーバーヘッドを減少することによって、データの署名暗号化を有利に可能にする。
【0030】
本発明の態様によれば、ヘッドエンドシステムが提案される。前記ヘッドエンドシステムは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明のヘッドエンドシステムは、署名暗号化の後のデータオーバーヘッドを減少することによって、署名暗号化を有利に可能にする。
【0031】
本発明の態様によれば、スマートカードが提案される。前記スマートカードは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明のスマートカードは、減少されたデータオーバーヘッドを有する、署名暗号化されたデータの署名検証および復号を有利に可能にする。
【0032】
以下で、本発明の実施形態をより詳細に記載する。しかし、これらの実施形態が、本発明に対する保護の範囲を限定するものとして解釈されないことは、自明である。
【0033】
添付の図面に示される例示的な実施形態を参照しながら、本発明の態様をより詳細に説明する。
【図面の簡単な説明】
【0034】
【図1A】ECIESを適用する前後のECMまたはEMMの先行技術例を示す図である。
【図1B】ECDSAを適用する前後のECMまたはEMMの先行技術例を示す図である。
【図2】本発明の例示的な実施形態の限定受信システムを示す概略図である。
【図3】本発明の例示的な実施形態の、データを暗号化するステップとデジタル署名するステップとを具備する方法のステップを示す図である。
【図4】本発明の例示的な実施形態の、データを検証するステップと復号するステップとを具備する方法のステップを示す図である。
【図5】本発明の例示的な実施形態のECIESおよびECDSAを適用する前後のECMまたはEMMを示す図である。
【発明を実施するための形態】
【0035】
図1Aおよび1Bは、背景技術の節においてすでに説明した、ECIES(図1A)およびECDSA(図1B)の適用前後のECMまたはEMMの先行技術例を示している。
【0036】
本発明は、一般に、限定受信システムで適用され、EMMおよびECMは、署名暗号化された形式で送信される。本発明は、限定受信システムにおける適用に限定されず、データが署名暗号化される任意のシステムにおいて使用してもよい。
【0037】
図2には、一般的な限定受信システム100が示されている。図2は、署名暗号化に含まれる主な要素のみを示し、図示されていない他の要素は、限定受信システム100の部分である。限定受信システム100において、ヘッドエンドシステム110は、署名暗号化されたEMMと署名暗号化されたECMとを、放送ネットワーク130を通してスマートカード120に送信する。スマートカード120は、たとえば、署名暗号化されたEMM/ECMを受信するとともに、署名暗号化されたEMM/ECMをスマートカード120に転送する、セットトップボックス(図示せず)内に位置している。図2は、1つのスマートカード120を示しているのみであるが、一般に、限定受信システムでは複数のスマートカードが存在する。複数のスマートカードの場合、ヘッドエンドシステム110は、各スマートカードにEMM/ECMを送信することができる。
【0038】
前記ヘッドエンドシステム100は、プロセッサ111、メモリ112、暗号化モジュール113、およびデジタル署名モジュール114を具備している。プロセッサ111を使用して、暗号化モジュール111は、メモリ112から平文EMMを読み出す。図5を参照すると、平文EMM 40は、ヘッダ部41およびペイロード部42を有している。代替的に、暗号化モジュール113は、メモリ112からの平文ECMを読み出すこともできる。プロセッサ111を使用して、平文EMM 40のペイロード部42は、以下で記載する、改良されたECIESスキームを使用して暗号化される。それにより暗号化されたEMM 50は、ヘッダ部41と、暗号化されたペイロード部52と、ランダム点Rのx座標Rx 51とを有している。次に、暗号化されたEMM 50は、デジタル署名モジュール114に通される。暗号化されたEMM 50を一時的に格納するために、メモリ112を使用してもよい。次に、プロセッサ111を使用して、暗号化されたEMM 50は、デジタル署名モジュール114において、以下に記載する、改良されたECDSAアルゴリズムを使用して、デジタル署名される。それにより署名暗号化されたEMM 60は、ヘッダ部41と、暗号化されたペイロード部52と、ランダム点Rのx座標Rx 51のみと、署名の署名コンポーネントssignature 61のみとを有している。署名暗号化されたEMM 60は、放送ネットワーク130を通してスマートカード120に送信される。
【0039】
前記スマートカード120は、プロセッサ121と、メモリ122と、署名検証モジュール123と、復号モジュール124とを具備している。セットトップボックス(図示せず)を通して、スマートカード120は、署名暗号化されたEMM 60を受信するとともに、メモリ122に格納する。プロセッサ121を使用して、署名暗号化されたEMM 60は、メモリ122から読み出されるとともに、署名検証モジュール123において、以下に記載する、改良されたECDSAを使用して検証される。署名暗号化されたEMM 60が本物として検証された場合、署名暗号化されたEMM 60の暗号化されたペイロード部52は、復号モジュール124において、以下に記載する、改良されたECIESスキームを使用して復号される。その結果として、平文EMMのペイロード部42が得られる。
【0040】
図3を参照すると、本発明によるデータの暗号化1000およびデジタル署名2000は、改良されたECIESスキームと、改良されたECDSAスキームとを使用する。EMMを署名暗号化するために、前記ヘッドシステム110は、以下の情報を入力として使用する。
・平文EMM 40(たとえば、図5に示される)、ヘッダ部41およびペイロード部42を有している。
・楕円曲線領域変数p, a, b, G, n, h、ただし、hは、好ましくは5未満の小さい値であり、以下の例において、その値は1である。
・受信するスマートカード120の公開鍵Qreceiver、領域変数によって定義される楕円曲線のxおよびy座標の両方を有するランダム点である。
・送信するヘッドエンドシステム110の私有鍵dsender、整数である。
【0041】
前記EMMの署名暗号化の暗号化部1000において、乱数rが、ステップ1001で生成されるとともに、ランダム点R=r・G=(Rx, Ry)が、ステップ1002で計算される。次に、共有秘密S=Pxは、ステップ1003で導かれる。ただし、P=(Px, Py)=r・Qreceiverである。ステップ1004で、Pは、無限遠における点であるかチェックされる。もしそうである場合、ステップ1001が、繰り返される。そうでない場合、対称暗号鍵kE=KDF(S)が、ステップ1005で導かれる。ステップ1006で、EMM 40のペイロード部42が、暗号鍵kEを使用して暗号化される。それにより暗号化されたEMM 50は、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52とを有している。
【0042】
前記EMMの署名暗号化のデジタル署名部2000において、ハッシュ関数、たとえばSHA-1が、暗号化されたEMM 50のハッシュ値eを計算する(2001)ために使用される。すなわち、e=H(暗号化されたEMM 50)が計算される。ステップ2002で、署名コンポーネントSsignatureが、EMMの署名暗号化の暗号化部1000で使用されたものと同一の乱数rおよびx座標Rxを使用して計算される。すなわち、Ssignatureは、Ssignature=r-1*(e+Rx*dsender)として計算される(2002)。ステップ2003で、sは、0に等しいかチェックされる。もしそうである場合、ステップ1が、繰り返される。それにより署名暗号化されたEMM 60は、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52と、署名コンポーネントSsignature 61とを有している。
【0043】
図4を参照すると、本発明によるデータの検証3000および復号4000は、改良されたECIESスキームと、改良されたECDSAスキームとを使用する。EMMを検証および復号するために、スマートカード120は、以下の情報を入力として使用する。
・署名暗号化されたEMM 60、(たとえば、図5に示される)、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52と、署名コンポーネントSsignature 61とを有している。
・EMMの署名暗号化で使用されたものと同一の楕円曲線領域変数p, a, b, G, n, h。
・送信するヘッドエンドシステムの公開鍵Qsender、領域変数によって定義される楕円曲線のxおよびy座標の両方を有するランダム点である。
・受信するスマートカード120の私有鍵dreceiver、整数である。
【0044】
前記検証部3000において、ステップ3001で、ランダム点Rの受信されたx座標Rx 51と、署名コンポーネントSsignature 61とが、[1, n-1]の範囲内の整数であるか検証される。もしそうでない場合、署名暗号化されたEMM 60は、本物ではない、すなわち、ヘッドエンドシステム110によって生成され署名暗号化されたEMMとは異なる。本物でないEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、ステップ3002で、ハッシュ値e=H(暗号化されたEMM 50)が、暗号化されたEMM 50、すなわち、署名コンポーネントssignature 61を有さない署名暗号化されたEMM 60に対して計算される。ここで、Hは、署名の生成で使用されたものと同一の関数、たとえば、同一のSHA-1関数である。ステップ3003で、w=ssignature-1(mod n)が、計算される。ステップ3004で、u1=e*w(mod n)と、u2=Rx*w(mod n)とが、計算される。ステップ3005で、(x1, y1)=u1・G+u2・Qsenderが、計算される。ステップ3006で、X1=Rx(mod n)であるかどうか検証される。もしそうでない場合、署名暗号化されたEMM 60は、本物ではない、すなわち、ヘッドエンドシステム110によって生成され署名暗号されたEMMとは異なる。本物ではないEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、署名暗号化されたEMM 60は、本物であるとともに、復号される。
【0045】
前記復号部4000において、ステップ4001で、ランダム点Rのy座標Ryが、Rxから計算されるとともに、点R’=(Rx, R’y)が、構成される。R’yは、Ryまたは-R’yのいずれかに等しい。ステップ4002で、P’=(Px, P’y)=dreceiver・R’が、計算される。ステップ4003で、Pは、無限遠における点であるか検証される。もしそうである場合、署名暗号化されたEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、対称暗号鍵KEが、KE=KDF(Px)を計算することによって、導かれる(4004)。導かれたKEを用いて、署名暗号化されたEMM 60の暗号化されたペイロード部52が、ステップ4005で復号されるとともに、平文ペイロード42が得られる。
【0046】
本発明は、上記の特定の例に限定されない。図3および4に示された、暗号化部1000、デジタル署名部2000、検証部3000、および復号部4000は、たとえば、同一の入力によって同一の結果に達するような、異なる計算ステップを使用してもよい。
【符号の説明】
【0047】
40 平文EMM
41 ヘッダ部
42 ペイロード部
50 暗号化されたEMM
51 ランダム点Rのx座標Rx
52 暗号化されたペイロード部
60 署名暗号化されたEMM
61 署名コンポーネントssignature
【技術分野】
【0001】
本発明は、楕円曲線暗号、限定受信システム、ヘッドエンドシステム、およびスマートカードに基づいて、データを暗号化およびデジタル署名する方法に関する。
【背景技術】
【0002】
現在、限定受信システムは、よく知られており、現在利用可能な有料テレビシステムとともに幅広く使用されている。そのようなシステムは、各受信パッケージに対してセットトップボックスおよびスマートカードを所有する受信契約者によって受信される、制御語(サービス暗号鍵とも呼ばれる)によって暗号化されたサービスの送信に基づいている。一般に、これらのサービスは、ヘッドエンドシステムによって放送ストリームで送信される。その実装は、セットトップボックスの機能が、テレビ受信機のような装置、パーソナルビデオレコーダ、携帯電話、スマートフォン、またはコンピュータ機器に一体化されることが、知られている。スマートカードの実装は、スマートカードが、動作前に手動でセットトップボックスに挿入される個別のカード、またはセットトップボックスに一体化された表面実装装置であることが、知られている。スマートカードに実装されるソフトウェアは、セットトップボックス内のソフトウェアモジュールとして実行することが、知られている。特定のサービスプロバイダからの受信パッケージに対するスマートカードは、パッケージ内の暗号化されたサービスが、復号および視聴されることを可能にする。放送ストリームは、権限管理メッセージ(EMM)(鍵管理メッセージ(KMM)とも呼ばれる)と、権限制御メッセージ(ECM)とをさらに有し、これらは、スマートカードがサービスを復号するために必要とされる。制御語は、サービスデータを保護する1次セキュリティ機構であり、比較的周期的に変化する。ECMは、制御語を暗号化された形式で搬送するために使用されるため、比較的周期的に送信される。EMMは、制御語を取り出すためにECMを復号するため、視聴/使用の権限の付加または除去に関する他のデータを復号するため、および/または他のユーザ特定データを復号するために使用される、秘密鍵を搬送するために使用される。そのため、様々な種類のEMMが存在し、様々な頻度の周波数で送信されるが、ECMが送信される周波数よりも常にいくらか遅い、または非常に遅い。
【0003】
楕円曲線暗号は、EMMおよびECMのようなメッセージを暗号化およびデジタル署名するための既知の技術である。楕円曲線暗号技術を実装する楕円曲線暗号システムは、所定の楕円曲線領域変数によって決定される有限フィールドにわたる楕円曲線に関して演算動作を行う。楕円曲線領域変数は、暗号化および署名のため、ヘッドエンドシステムに格納されるとともに、復号および署名検証のため、スマートカードに格納される。
【0004】
楕円曲線領域パラメータは、一般に、次の楕円曲線領域変数のうち1つを使用する。すなわち、有限フィールド
【数1】
(以下、Fpと記載する)にわたる楕円曲線領域変数と、
【数2】
(以下、F2^mと記載する)にわたる楕円曲線領域変数とである。
【0005】
Fpにわたる楕円曲線領域変数は、p,a,b,G,n,hである。変数pは、有限フィールドFpを特定する素数である。変数a∈Fpおよびb∈Fpは、方程式y2=x3+a*x+bによって定義される楕円曲線E(Fp)を特定する。変数Gは、楕円曲線上の点の循環部分群の基点(Gx, Gy)である。変数nは、Gのオーダー、すなわち、n・G=O(Oは、無限遠における点である)となるような、負でない最小素数nである。変数hは、補因子|E(Fp)|/nである。
【0006】
F2^mにわたる楕円曲線領域変数は、m,f(x),a,b,G,n,hである。変数mは、有限フィールドF2^mを特定する整数である。変数f(x)は、F2^mの表現を特定する度数mの既約2元多項式(irreducible binary polynomial)である。変数a∈F2^mおよびb∈F2^mは、F2^mにおける方程式y2+x*y=x3+a*x2+bによって定義される楕円曲線E(F2^m)を特定する。変数Gは、楕円曲線上の点の循環部分群の基点(Gx, Gy)である。変数nは、Gのオーダー、すなわち、n・G=O(Oは、無限遠における点である)となるような、負でない最小素数nである。変数hは、補因子|E(F2^m)|/nである。
【0007】
暗号化は、復号鍵の処理を除いて誰かに読まれないようにするアルゴリズム(暗号化とも呼ばれる)を使用して、情報(平文とも呼ばれる)を変換する過程である。楕円曲線暗号に基づいた既知の公開鍵暗号化スキームは、楕円曲線統合暗号化スキーム(Elliptic Curve Integrated Encryption Scheme (ECIES))である。ECIESは、たとえば、M. Abdalla, M. Bellare, P. Rogaway, “DHAES: An encryption scheme based on the Diffie-Hellman problem”, http://www-cse.ucsd.edu/users/mihir/papers/dhies.html, 18 September 2001.に記載されているとともに、たとえばANSI X9.63およびIEEE P1363Aで標準化されており、それらは引用によってその全体が本明細書に組み込まれる。ECIESは、暗号化/復号過程において、受信機の私有鍵(変数dreceiverと称する)と、公開鍵(変数Qreceiverと称する)と使用する。ここで、変数dreceiverは、一般に、[1, n-1]の区間内でランダムに選択された整数である。変数Qreceiverは、一般に、dreceiver・Gに等しい。
【0008】
ECIESを使用して平文メッセージを暗号化するために、ヘッドエンドシステムは、以下のステップを実行する。第1に、乱数rが生成されるとともに、ランダム点R=r・Gが、R=(Rx, Ry)で得られるように計算される。第2に、共有秘密S=Pxが導かれる。ただし、P=(Px, Py)=r・Qreceiverである(さらに、Pは、無限遠における点ではない)。第3に、kE=KDF(S)を計算することによって対称暗号鍵を導くために、ISO/IEC 18033-2で定義されるKDF1またはKDF2のような鍵導出関数(KDF)が使用される。第4に、メッセージは、E(kE;message)を計算することにより、暗号鍵kEを使用して暗号化される。第5に、暗号化の結果は、R||encrypted_message、すなわち、暗号化されたメッセージと連結されたランダム点R、としての出力である。
【0009】
ECIESを使用してメッセージを復号するために、スマートカードは、以下のステップを実行する。第1に、共有秘密S=Pxが導かれる。ただし、P=(Px, Py)=dreceiver・Rである。第2に、kE=KDF(S)を計算することによって対称暗号鍵を導くために、KDFが使用される。第3に、メッセージは、E-1(kE;encrypted_message)を計算することにより、暗号鍵kEを使用して復号される。
【0010】
デジタル署名は、紙に手で書かれた署名のセキュリティ特性を模擬するために使用される、非対称暗号の一種である。デジタル署名は、メッセージの認証を提供する。楕円曲線暗号に基づいた既知の公開鍵署名アルゴリズムは、楕円曲線署名アルゴリズム(Elliptic Curve Digital Signature Algorithm (ECDSA))である。ECDSAは、たとえば、引用によりその全体が本明細書に組み込まれる、ANSI X9.62、FIPS 186-2、IEEE P1363、およびISO 15942-2で標準化されている。ECDSAは、署名/検証過程において、送信機の私有鍵(変数dsenderと称する)と、公開鍵(変数Qsenderと称する)とを使用する。ここで、変数dsenderは、一般に、[1, n-1]の区間内でランダムに選択された整数である。変数Qsenderは、一般に、dsender・Gと等しい。
【0011】
ECDSAを使用してメッセージをデジタル署名するために、ヘッドエンドシステムは、以下のステップを実行する。第1に、メッセージのハッシュeが、e=H(message)として計算される。ただし、Hは、FIPS PUB 180-1で定義されるSHA-1のような暗号ハッシュ関数である。第2に、ランダム整数kが、[1, n-1]から選択される。第3に、署名コンポーネントrsignature=x1(mod n)が計算される。ただし、(x1, y1)=k・Gである。rsignatureが0に等しい場合、第2ステップが繰り返される。第4に、署名コンポーネントssignature=k-1*(e+rsignature*dsender)(mod n)が計算される。ssignatureが0に等しい場合、第2ステップが繰り返される。第5に、得られる署名は、rsignature||ssignature、すなわち、署名コンポーネントssignatureと連結された署名コンポーネントrsignature、としての出力である。
【0012】
ECDSAを使用してメッセージをデジタル署名するために、スマートカードは、以下のステップを実行する。第1に、署名コンポーネントssignatureと、署名コンポーネントrsignatureとが、[1, n-1]の整数であるか検証される。そうでない場合、署名は無効である。第2に、メッセージのハッシュeが、e=H(message)として計算される。ただし、Hは、署名の生成で使用したものと同一の関数である。第3に、w=ssignature-1(mod n)が計算される。第4に、u1=e*w(mod n)と、u2=rsignature*w(mod n)とが計算される。第5に、(x1, y1)=u1・G+u2・Qsenderが計算される。第6に、x1=rsignature(mod n)である場合、署名は有効であり、またはそうでない場合、無効であると断定される。
【0013】
データの暗号化およびデジタル署名の両方の過程は、署名暗号化として同様に知られている。
【0014】
図1Aには、ECIES暗号を適用する前後のEMMまたはECMの先行技術例が示されている。この例において、暗号化されていないECM/EMM 10は、6バイトのヘッダ11と、50バイトのペイロード12を有している。ペイロード12は、ECIESと192バイトの公開鍵とを使用して暗号化される。同様に、ECC-192を使用して暗号化することも知られている。それにより暗号化されたEMM/ECM 20は、ヘッダ11と、48バイトのランダム点R=(Rx, Ry) 21と、50バイトの暗号化されたペイロード22とを有している。したがって、この例において暗号化されたEMM/ECMパケット20は、ランダム点R 21の48バイトのオーバーヘッドにより、暗号化後では48バイト長くなっている。異なるサイズのランダム点R=(Rx, Ry)を得るために、異なるサイズの公開鍵を使用することが可能である。
【0015】
図1Bには、ECDSAデジタル署名を適用する前後の暗号化されたEMMまたはECMの先行技術例が示されている。この例において、暗号化されたECM/EMM 20は、6バイトのヘッダ11と、48バイトのランダム点R=(Rx, Ry) 21と、50バイトの暗号化されたペイロード22とを有している。暗号化されたEMM/ECMは、ECDSAと192バイトの公開鍵とを使用してデジタル署名される。同様に、ECC-192を使用してデジタル署名することも知られている。それにより署名および暗号化されたEMM/ECM 30は、暗号化されたECM 20と、24バイトの署名コンポーネントrsignature 31と、24バイトの署名コンポーネントssignature 32とを含んでいる。したがって、この例においてデジタル署名および暗号化されたEMM/ECMパケット30は、署名コンポーネントrsignature 31の24バイトのオーバーヘッドと、署名コンポーネントssignature 32の24バイトのオーバーヘッドとにより、デジタル署名後で、48バイト長くなっている。異なるサイズの署名コンポーネントを得るために、異なるサイズの公開鍵を使用することが可能である。
【0016】
ECIESおよびECDSAは、メッセージのサイズを増大させる。ECC-192の例において、全体で96バイトが、CIESおよびECDSAの適用後、メッセージに付加される。一般に184バイトのデータパケットサイズを有するEMMおよびECMに対して、このオーバーヘッドは、重大である。
【0017】
特許文献1には、点kPを得るために、値kで楕円曲線E上の点Pを乗算する方法が開示されている。前記方法は、2進数フィールドF2^mのみにおける楕円曲線に関して開示されている。前記方法は、レジスタに格納される2進数のベクトルとして数kを表現するステップと、連続する点の組(P1, P2)を形成するステップとを具備し、点の組は、Pだけ異なり、逐次連続する点の組は、(mP, (m+1)P)から(2mP, (2m+1)P)を計算する、または(mP, (m+1)P)から((2m+1)P, (2m+2)P)を計算することのいずれかによって、選択される。前記計算は、計算の間、前記点のy座標を使用せずに行ってもよく、計算の終了時にy座標を取り出すことが可能であるため、計算の間、反転動作の使用を回避することによって、暗号処理機能が高速化される。非特許文献1は、同様に、2つのパーティ間の署名検証を促進する方法を開示している。非特許文献1において、署名暗号化されたメッセージは、不都合にも、メッセージの暗号化およびデジタル署名によって、メッセージに付加されるオーバーヘッドによりサイズの増加を有している。
【先行技術文献】
【特許文献】
【0018】
【特許文献1】欧州特許出願公開第0874307A1号明細書
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明の目的は、楕円曲線暗号に基づいてデータを暗号化およびデジタル署名するための改良された方法を提供することである。
【課題を解決するための手段】
【0020】
本発明の態様によれば、処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法が、提案される。前記方法は、暗号化されたデータを得るために、ランダム点Rを使用して、データを暗号化するステップを具備している。前記方法は、処理結果を得るために、ランダム点Rを使用して、暗号化されたデータをデジタル署名するステップをさらに具備している。
【0021】
したがって、楕円曲線暗号に基づいてデータを暗号化するステップと、デジタル署名するステップとを具備する本発明の方法は、暗号化ステップで計算されるランダムデータを再利用するデジタル署名の生成を有利に可能し、署名暗号化後のデータオーバーヘッドを減少することを可能にする。
【0022】
請求項2の実施形態は、ランダム点Rのy座標Ryを有さず、かつ署名コンポーネントrsignatureを有さずに、処理結果を有利に可能にする。
【0023】
請求項3の実施形態は、権限管理メッセージまたは権限制御メッセージの署名暗号化を有利に可能にする。
【0024】
本発明の態様によれば、処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法が、提案される。前記方法は、ランダム点Rを使用して、データを検証するステップを具備している。前記方法は、前記処理結果を得るために、ランダム点Rを使用して、前記データを復号するステップをさらに具備している。
【0025】
したがって、データ(楕円曲線暗号に基づいて署名暗号化されたデータ)を検証するステップと、復号するステップとを具備する本発明の方法は、前記データのデジタル署名検証および復号を有利に可能し、同一のランダム点Rが、両方のステップで使用され、署名暗号化されたデータにおけるデータオーバーヘッドの減少を可能にする。
【0026】
請求項6の実施形態は、ランダム点Rのy座標Ryを有さず、かつ署名コンポーネントrsignatureを有さずに、データの署名検証および復号を有利に可能にする。
【0027】
請求項7の実施形態は、署名暗号化された権限管理メッセージ、または署名暗号化された権限制御メッセージの署名検証および復号を有利に可能にする。
【0028】
請求項4および8の実施形態は、限定受信システムで使用される、本発明の方法を有利に可能にする。
【0029】
本発明の態様によれば、ヘッドエンドシステムと、1つまたは複数のスマートカードとを具備する限定受信システムが、提案される。前記限定受信システムは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明の限定受信システムは、署名暗号化後のデータオーバーヘッドを減少することによって、データの署名暗号化を有利に可能にする。
【0030】
本発明の態様によれば、ヘッドエンドシステムが提案される。前記ヘッドエンドシステムは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明のヘッドエンドシステムは、署名暗号化の後のデータオーバーヘッドを減少することによって、署名暗号化を有利に可能にする。
【0031】
本発明の態様によれば、スマートカードが提案される。前記スマートカードは、上述のステップのうち1つまたは複数を実行するように配置されている。したがって、本発明のスマートカードは、減少されたデータオーバーヘッドを有する、署名暗号化されたデータの署名検証および復号を有利に可能にする。
【0032】
以下で、本発明の実施形態をより詳細に記載する。しかし、これらの実施形態が、本発明に対する保護の範囲を限定するものとして解釈されないことは、自明である。
【0033】
添付の図面に示される例示的な実施形態を参照しながら、本発明の態様をより詳細に説明する。
【図面の簡単な説明】
【0034】
【図1A】ECIESを適用する前後のECMまたはEMMの先行技術例を示す図である。
【図1B】ECDSAを適用する前後のECMまたはEMMの先行技術例を示す図である。
【図2】本発明の例示的な実施形態の限定受信システムを示す概略図である。
【図3】本発明の例示的な実施形態の、データを暗号化するステップとデジタル署名するステップとを具備する方法のステップを示す図である。
【図4】本発明の例示的な実施形態の、データを検証するステップと復号するステップとを具備する方法のステップを示す図である。
【図5】本発明の例示的な実施形態のECIESおよびECDSAを適用する前後のECMまたはEMMを示す図である。
【発明を実施するための形態】
【0035】
図1Aおよび1Bは、背景技術の節においてすでに説明した、ECIES(図1A)およびECDSA(図1B)の適用前後のECMまたはEMMの先行技術例を示している。
【0036】
本発明は、一般に、限定受信システムで適用され、EMMおよびECMは、署名暗号化された形式で送信される。本発明は、限定受信システムにおける適用に限定されず、データが署名暗号化される任意のシステムにおいて使用してもよい。
【0037】
図2には、一般的な限定受信システム100が示されている。図2は、署名暗号化に含まれる主な要素のみを示し、図示されていない他の要素は、限定受信システム100の部分である。限定受信システム100において、ヘッドエンドシステム110は、署名暗号化されたEMMと署名暗号化されたECMとを、放送ネットワーク130を通してスマートカード120に送信する。スマートカード120は、たとえば、署名暗号化されたEMM/ECMを受信するとともに、署名暗号化されたEMM/ECMをスマートカード120に転送する、セットトップボックス(図示せず)内に位置している。図2は、1つのスマートカード120を示しているのみであるが、一般に、限定受信システムでは複数のスマートカードが存在する。複数のスマートカードの場合、ヘッドエンドシステム110は、各スマートカードにEMM/ECMを送信することができる。
【0038】
前記ヘッドエンドシステム100は、プロセッサ111、メモリ112、暗号化モジュール113、およびデジタル署名モジュール114を具備している。プロセッサ111を使用して、暗号化モジュール111は、メモリ112から平文EMMを読み出す。図5を参照すると、平文EMM 40は、ヘッダ部41およびペイロード部42を有している。代替的に、暗号化モジュール113は、メモリ112からの平文ECMを読み出すこともできる。プロセッサ111を使用して、平文EMM 40のペイロード部42は、以下で記載する、改良されたECIESスキームを使用して暗号化される。それにより暗号化されたEMM 50は、ヘッダ部41と、暗号化されたペイロード部52と、ランダム点Rのx座標Rx 51とを有している。次に、暗号化されたEMM 50は、デジタル署名モジュール114に通される。暗号化されたEMM 50を一時的に格納するために、メモリ112を使用してもよい。次に、プロセッサ111を使用して、暗号化されたEMM 50は、デジタル署名モジュール114において、以下に記載する、改良されたECDSAアルゴリズムを使用して、デジタル署名される。それにより署名暗号化されたEMM 60は、ヘッダ部41と、暗号化されたペイロード部52と、ランダム点Rのx座標Rx 51のみと、署名の署名コンポーネントssignature 61のみとを有している。署名暗号化されたEMM 60は、放送ネットワーク130を通してスマートカード120に送信される。
【0039】
前記スマートカード120は、プロセッサ121と、メモリ122と、署名検証モジュール123と、復号モジュール124とを具備している。セットトップボックス(図示せず)を通して、スマートカード120は、署名暗号化されたEMM 60を受信するとともに、メモリ122に格納する。プロセッサ121を使用して、署名暗号化されたEMM 60は、メモリ122から読み出されるとともに、署名検証モジュール123において、以下に記載する、改良されたECDSAを使用して検証される。署名暗号化されたEMM 60が本物として検証された場合、署名暗号化されたEMM 60の暗号化されたペイロード部52は、復号モジュール124において、以下に記載する、改良されたECIESスキームを使用して復号される。その結果として、平文EMMのペイロード部42が得られる。
【0040】
図3を参照すると、本発明によるデータの暗号化1000およびデジタル署名2000は、改良されたECIESスキームと、改良されたECDSAスキームとを使用する。EMMを署名暗号化するために、前記ヘッドシステム110は、以下の情報を入力として使用する。
・平文EMM 40(たとえば、図5に示される)、ヘッダ部41およびペイロード部42を有している。
・楕円曲線領域変数p, a, b, G, n, h、ただし、hは、好ましくは5未満の小さい値であり、以下の例において、その値は1である。
・受信するスマートカード120の公開鍵Qreceiver、領域変数によって定義される楕円曲線のxおよびy座標の両方を有するランダム点である。
・送信するヘッドエンドシステム110の私有鍵dsender、整数である。
【0041】
前記EMMの署名暗号化の暗号化部1000において、乱数rが、ステップ1001で生成されるとともに、ランダム点R=r・G=(Rx, Ry)が、ステップ1002で計算される。次に、共有秘密S=Pxは、ステップ1003で導かれる。ただし、P=(Px, Py)=r・Qreceiverである。ステップ1004で、Pは、無限遠における点であるかチェックされる。もしそうである場合、ステップ1001が、繰り返される。そうでない場合、対称暗号鍵kE=KDF(S)が、ステップ1005で導かれる。ステップ1006で、EMM 40のペイロード部42が、暗号鍵kEを使用して暗号化される。それにより暗号化されたEMM 50は、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52とを有している。
【0042】
前記EMMの署名暗号化のデジタル署名部2000において、ハッシュ関数、たとえばSHA-1が、暗号化されたEMM 50のハッシュ値eを計算する(2001)ために使用される。すなわち、e=H(暗号化されたEMM 50)が計算される。ステップ2002で、署名コンポーネントSsignatureが、EMMの署名暗号化の暗号化部1000で使用されたものと同一の乱数rおよびx座標Rxを使用して計算される。すなわち、Ssignatureは、Ssignature=r-1*(e+Rx*dsender)として計算される(2002)。ステップ2003で、sは、0に等しいかチェックされる。もしそうである場合、ステップ1が、繰り返される。それにより署名暗号化されたEMM 60は、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52と、署名コンポーネントSsignature 61とを有している。
【0043】
図4を参照すると、本発明によるデータの検証3000および復号4000は、改良されたECIESスキームと、改良されたECDSAスキームとを使用する。EMMを検証および復号するために、スマートカード120は、以下の情報を入力として使用する。
・署名暗号化されたEMM 60、(たとえば、図5に示される)、ヘッダ部41と、ランダム点Rのx座標Rx 51と、暗号化されたペイロード52と、署名コンポーネントSsignature 61とを有している。
・EMMの署名暗号化で使用されたものと同一の楕円曲線領域変数p, a, b, G, n, h。
・送信するヘッドエンドシステムの公開鍵Qsender、領域変数によって定義される楕円曲線のxおよびy座標の両方を有するランダム点である。
・受信するスマートカード120の私有鍵dreceiver、整数である。
【0044】
前記検証部3000において、ステップ3001で、ランダム点Rの受信されたx座標Rx 51と、署名コンポーネントSsignature 61とが、[1, n-1]の範囲内の整数であるか検証される。もしそうでない場合、署名暗号化されたEMM 60は、本物ではない、すなわち、ヘッドエンドシステム110によって生成され署名暗号化されたEMMとは異なる。本物でないEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、ステップ3002で、ハッシュ値e=H(暗号化されたEMM 50)が、暗号化されたEMM 50、すなわち、署名コンポーネントssignature 61を有さない署名暗号化されたEMM 60に対して計算される。ここで、Hは、署名の生成で使用されたものと同一の関数、たとえば、同一のSHA-1関数である。ステップ3003で、w=ssignature-1(mod n)が、計算される。ステップ3004で、u1=e*w(mod n)と、u2=Rx*w(mod n)とが、計算される。ステップ3005で、(x1, y1)=u1・G+u2・Qsenderが、計算される。ステップ3006で、X1=Rx(mod n)であるかどうか検証される。もしそうでない場合、署名暗号化されたEMM 60は、本物ではない、すなわち、ヘッドエンドシステム110によって生成され署名暗号されたEMMとは異なる。本物ではないEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、署名暗号化されたEMM 60は、本物であるとともに、復号される。
【0045】
前記復号部4000において、ステップ4001で、ランダム点Rのy座標Ryが、Rxから計算されるとともに、点R’=(Rx, R’y)が、構成される。R’yは、Ryまたは-R’yのいずれかに等しい。ステップ4002で、P’=(Px, P’y)=dreceiver・R’が、計算される。ステップ4003で、Pは、無限遠における点であるか検証される。もしそうである場合、署名暗号化されたEMMは、破棄されるとともに、それ以上処理されない。そうでない場合、対称暗号鍵KEが、KE=KDF(Px)を計算することによって、導かれる(4004)。導かれたKEを用いて、署名暗号化されたEMM 60の暗号化されたペイロード部52が、ステップ4005で復号されるとともに、平文ペイロード42が得られる。
【0046】
本発明は、上記の特定の例に限定されない。図3および4に示された、暗号化部1000、デジタル署名部2000、検証部3000、および復号部4000は、たとえば、同一の入力によって同一の結果に達するような、異なる計算ステップを使用してもよい。
【符号の説明】
【0047】
40 平文EMM
41 ヘッダ部
42 ペイロード部
50 暗号化されたEMM
51 ランダム点Rのx座標Rx
52 暗号化されたペイロード部
60 署名暗号化されたEMM
61 署名コンポーネントssignature
【特許請求の範囲】
【請求項1】
処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法であって、
暗号化されたデータを得るために、ランダム点Rを使用して前記データを暗号化するステップと、
前記処理結果を得るために、前記ランダム点Rを使用して前記暗号化されたデータをデジタル署名するステップと
を具備することを特徴とする方法。
【請求項2】
前記データを暗号化するステップは、楕円曲線統合暗号化スキームを使用し、乱数rが、ランダム点Rを計算するために使用されるとともに、前記ランダム点Rのx座標Rxと暗号化されたデータとが、暗号結果を形成し、
前記暗号化されたデータをデジタル署名するステップは、楕円曲線デジタル署名アルゴリズムを使用し、前記暗号結果のハッシュが計算されるとともに、前記乱数rとランダム点Rのx座標Rxとが、署名の署名コンポーネントssignatureを計算するために使用され、
前記方法は、前記暗号化されたデータと、前記ランダム点Rのx座標Rxのみと、前記署名の署名コンポーネントssignatureのみとを有する、前記処理結果を出力することを特徴とする請求項1に記載の方法。
【請求項3】
前記データを暗号化するステップは、暗号化されたペイロード部を得るために、権限管理メッセージまたは権限制御メッセージのペイローブ部を暗号化することを含み、
前記暗号化されたデータをデジタル署名するステップは、署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージを得るために、前記権限管理メッセージまたは権限制御メッセージの暗号化されたペイロード部およびヘッダ部をデジタル署名することを含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
前記方法のステップは、限定受信システムのヘッドエンドシステムで実行され、
前記方法は、前記署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージを、前記ヘッドエンドシステムからスマートカードに送信するステップをさらに具備することを特徴とする請求項3に記載の方法。
【請求項5】
処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法であって、
ランダム点Rを使用してデータを検証するステップと、
前記処理結果を得るために、前記ランダム点Rを使用してデータを復号するステップと
を具備することを特徴とする方法。
【請求項6】
前記データは、暗号化されたデータと、前記ランダム点Rのx座標Rxのみと、署名の署名コンポーネントssignatureのみとを有し、
前記データを検証するステップは、楕円曲線デジタル署名アルゴリズムを使用し、前記ランダム点Rのx座標Rxが、前記署名の署名コンポーネントrsignatureとして使用されるとともに、署名コンポーネントrsignatureおよびssignatureが、前記署名の検証を計算するために使用され、
前記データを復号するステップは、楕円曲線統合暗号化スキームを使用し、前記ランダム点Rのx座標Rxは、前記ランダム点Rのy座標Ryを計算するために使用されることを特徴とする請求項5に記載の方法。
【請求項7】
前記データを検証するステップは、署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージの暗号化されたペイロード部およびヘッダ部を検証することを含み、
前記データを復号するステップは、復号された権限管理メッセージ、または復号された権限制御メッセージを得るために、前記署名暗号化された権限管理メッセージ、または前記署名暗号化された権限制御メッセージのペイロード部を復号することを含むことを特徴とする請求項5または6に記載の方法。
【請求項8】
前記方法のステップは、限定受信システムのスマートカードで実行され、
前記方法は、ヘッドエンドシステムから前記署名暗号化された権限管理メッセージ、または前記署名暗号化された権限制御メッセージを受信するステップをさらに具備することを特徴とする請求項7に記載の方法。
【請求項9】
ヘッドエンドシステムと、1つまたは複数のスマートカードとを具備する限定受信システムであって、
前記ヘッドエンドシステムは、請求項4に記載のステップを実行するように配置され、
前記1つまたは複数のスマートカードは、請求項8に記載のステップを実行するように配置されることを特徴とする限定受信システム。
【請求項10】
請求項1〜4のいずれか1項に記載のステップを実行するように配置されることを特徴とするヘッドエンドシステム。
【請求項11】
請求項5〜8のいずれか1項に記載のステップを実行するように配置されることを特徴とするスマートカード。
【請求項1】
処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法であって、
暗号化されたデータを得るために、ランダム点Rを使用して前記データを暗号化するステップと、
前記処理結果を得るために、前記ランダム点Rを使用して前記暗号化されたデータをデジタル署名するステップと
を具備することを特徴とする方法。
【請求項2】
前記データを暗号化するステップは、楕円曲線統合暗号化スキームを使用し、乱数rが、ランダム点Rを計算するために使用されるとともに、前記ランダム点Rのx座標Rxと暗号化されたデータとが、暗号結果を形成し、
前記暗号化されたデータをデジタル署名するステップは、楕円曲線デジタル署名アルゴリズムを使用し、前記暗号結果のハッシュが計算されるとともに、前記乱数rとランダム点Rのx座標Rxとが、署名の署名コンポーネントssignatureを計算するために使用され、
前記方法は、前記暗号化されたデータと、前記ランダム点Rのx座標Rxのみと、前記署名の署名コンポーネントssignatureのみとを有する、前記処理結果を出力することを特徴とする請求項1に記載の方法。
【請求項3】
前記データを暗号化するステップは、暗号化されたペイロード部を得るために、権限管理メッセージまたは権限制御メッセージのペイローブ部を暗号化することを含み、
前記暗号化されたデータをデジタル署名するステップは、署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージを得るために、前記権限管理メッセージまたは権限制御メッセージの暗号化されたペイロード部およびヘッダ部をデジタル署名することを含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
前記方法のステップは、限定受信システムのヘッドエンドシステムで実行され、
前記方法は、前記署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージを、前記ヘッドエンドシステムからスマートカードに送信するステップをさらに具備することを特徴とする請求項3に記載の方法。
【請求項5】
処理結果を得るために、楕円曲線暗号に基づいてデータを処理する方法であって、
ランダム点Rを使用してデータを検証するステップと、
前記処理結果を得るために、前記ランダム点Rを使用してデータを復号するステップと
を具備することを特徴とする方法。
【請求項6】
前記データは、暗号化されたデータと、前記ランダム点Rのx座標Rxのみと、署名の署名コンポーネントssignatureのみとを有し、
前記データを検証するステップは、楕円曲線デジタル署名アルゴリズムを使用し、前記ランダム点Rのx座標Rxが、前記署名の署名コンポーネントrsignatureとして使用されるとともに、署名コンポーネントrsignatureおよびssignatureが、前記署名の検証を計算するために使用され、
前記データを復号するステップは、楕円曲線統合暗号化スキームを使用し、前記ランダム点Rのx座標Rxは、前記ランダム点Rのy座標Ryを計算するために使用されることを特徴とする請求項5に記載の方法。
【請求項7】
前記データを検証するステップは、署名暗号化された権限管理メッセージまたは署名暗号化された権限制御メッセージの暗号化されたペイロード部およびヘッダ部を検証することを含み、
前記データを復号するステップは、復号された権限管理メッセージ、または復号された権限制御メッセージを得るために、前記署名暗号化された権限管理メッセージ、または前記署名暗号化された権限制御メッセージのペイロード部を復号することを含むことを特徴とする請求項5または6に記載の方法。
【請求項8】
前記方法のステップは、限定受信システムのスマートカードで実行され、
前記方法は、ヘッドエンドシステムから前記署名暗号化された権限管理メッセージ、または前記署名暗号化された権限制御メッセージを受信するステップをさらに具備することを特徴とする請求項7に記載の方法。
【請求項9】
ヘッドエンドシステムと、1つまたは複数のスマートカードとを具備する限定受信システムであって、
前記ヘッドエンドシステムは、請求項4に記載のステップを実行するように配置され、
前記1つまたは複数のスマートカードは、請求項8に記載のステップを実行するように配置されることを特徴とする限定受信システム。
【請求項10】
請求項1〜4のいずれか1項に記載のステップを実行するように配置されることを特徴とするヘッドエンドシステム。
【請求項11】
請求項5〜8のいずれか1項に記載のステップを実行するように配置されることを特徴とするスマートカード。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図1B】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2010−39489(P2010−39489A)
【公開日】平成22年2月18日(2010.2.18)
【国際特許分類】
【外国語出願】
【出願番号】特願2009−179135(P2009−179135)
【出願日】平成21年7月31日(2009.7.31)
【出願人】(500232617)イルデト・アクセス・ベー・フェー (24)
【Fターム(参考)】
【公開日】平成22年2月18日(2010.2.18)
【国際特許分類】
【出願番号】特願2009−179135(P2009−179135)
【出願日】平成21年7月31日(2009.7.31)
【出願人】(500232617)イルデト・アクセス・ベー・フェー (24)
【Fターム(参考)】
[ Back to top ]