認証システム
【課題】認証システムの秘密共有のメンテナンスを、人から通信システムへ移行する。
【解決手段】自然乱数を発生する第1の乱数発生源([X])と、前記第1の乱数発生源で発生した第1の乱数のブロック([X1])により前記第1の乱数発生源で発生した第2の乱数のブロック([X2])を暗号化した第1の暗号文([X1]+[X2])を含む識別子を有する1:1認証子とを備える。
【解決手段】自然乱数を発生する第1の乱数発生源([X])と、前記第1の乱数発生源で発生した第1の乱数のブロック([X1])により前記第1の乱数発生源で発生した第2の乱数のブロック([X2])を暗号化した第1の暗号文([X1]+[X2])を含む識別子を有する1:1認証子とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システムに関し、より詳細には、1:1認証子を備える認証システムに関する。
【背景技術】
【0002】
一般に、認証システムは、秘密を予め共有し、この予め共有した秘密を見せ合うことにより、秘密共有者の間で相互の認証が為される。
【0003】
しかしながら、従来の認証システムでは、秘密の共有にコストが掛かり、共有する秘密を頻繁に更新することが難しかった。
【0004】
このため、従来は、(1)共有した秘密を更にコストを掛けて維持するようにしており、その結果(2)万一、秘密が漏れ、それが不正に利用された時に、その不正利用者を見破ることが極めて困難であった。
【0005】
この点、秘密の漏洩は、現実には人が神ならざることに起因する。
【0006】
即ち、暗号の数理的強度以前の、それを運用する仕組みの中に問題があり、そこに人が介在することに起因している。
【0007】
例えば、現代の暗号の鍵が漏れるとしたら、それは多分に人の介在を原因とし、同様に、カード番号或いはクレジット番号等のID情報の漏れにも、人的要素が絡む。
【0008】
この種の情報漏れは、システムもユーザも認識できず、情報漏れに基づく被害がクローズアップされるのを座して待つことになる。
【0009】
つまり、ID情報の保管に絡む場合を含め、認証のための秘密共有は、常に、
1) その値を一定不変に保ち、
2) その値を秘密に保管する
というメンテナンスを伴って、初めて完遂できる。
【0010】
しかるに、このメンテナンスは、今のところまだ人の規範(best effort)に託されており、それが情報漏れの温床になっている。
【0011】
こうしたメンテナンスにおける人的規範への依存性を緩和する手法として、チャレンジ・アンド・レスポンス(Challenge & Response)方式の1:1認証子であるチャップ(CHAP:非特許文献参照)が知られている。
【非特許文献1】CHAP(PPP Challenge Handshake Authentication Protocol)
【0012】
Network Working Group: W. Simpson
Request for Comments: 1994 DayDreamer
Obsoletes: 1334 in August 1996
Category: Standards Track
(要約)The Point-to-Point Protocol (PPP) provides a standard method for transporting multi-protocol datagrams over point-to-point links. PPP also defines an extensible Link Control Protocol, which allows negotiation of an Authentication Protocol for authenticating its peer before allowing Network Layer protocols to transmit over the link. This document defines a method for Authentication using PPP, which uses a random Challenge, with a cryptographically hashed Response which depends upon the Challenge and a secret key. RFC 1994, PPP CHAP: This authentication method depends upon a "secret" known only to the authenticator and that peer. The secret is not sent over the link.(ポイント・ツー・ポイント・プロトコルPPPは、ポイント・ツー・ポイント・リンクを介してマルチプロトコル・データグラムを移送する標準方式を与える。PPPはまた、延長可能なリンク・コントロール・プロトコルを規定し、これは、ネットワーク・レイヤー・プロトコルにリンクを介した伝送を許可する前に、そのピアの認証を行う認証プロトコルの折衝を許可する。この文書は、PPPを用いた認証の方法を規定し、これはランダムなチャレンジを行い、その際、秘密鍵とそのチャレンジに依存した暗号学的ハッシュ応答を用いる。RFC1994,PPPチャップ:この認証方式は、認証者及びそのピアにのみ知られた“秘密”に依存し、この秘密はリンクを介して送信されない。)
【発明の開示】
【発明が解決しようとする課題】
【0013】
しかしながら、このチャップは、前記1)と2)の秘密のメンテナンスを、人が行うものであり、後述の記載より明らかなごとく、人工的(artificial)要素が残存し、安全性に難がある。
【0014】
本願は、前記1)と2)の秘密のメンテナンスを、人から通信システムへ、実用上は当然、理論面でも安全に移行することが可能な、いわば神の手に委ねた1:1認証子を備える認証システムの技術を模索する。
【0015】
そして、秘密共有を通信のセッション毎に安全に更新する情報技術を考える。
【0016】
この技術によれば、通信の終了時に、新しい秘密共有が成立し、通信の開始時に使われた秘密共有を使い捨てにできる。すなわち、秘密の共有が過去の出来事になり、その秘密が漏洩したとしても、それは過去の秘密になる。
【0017】
この点、過去の秘密と現在の秘密とが情報論的に独立していれば、もはや情報漏れは恐れるに足らない。
【0018】
それだと、正規ユーザだけを認証するシステムの構成も可能になる。
【0019】
本発明は、以上の点に鑑み為された。
【0020】
なお、本発明において、1:1認証子とは:
自然乱数による乱数の暗号化と復号化を行うシステム要素又はその入出力情報(例えば、暗号文)と;
自然乱数による乱数の暗号文をハッシュ関数に入力するシステム要素又はその入出力情報と;
乱数の暗号文とハッシュ関数値とを1対にして送信及び受信する通信部分としてのシステム要素又はその入出力情報(例えば、識別子及び確認子)と、を備えて構成される。
【0021】
また、説明を明瞭に行うため、本明細書に、次の記号を援用する。
【0022】
[X]: 自然乱数発生源である。
【0023】
[Y]: 乱数発生源(自然乱数または擬似乱数)である。
【0024】
[Z]: 自然乱数発生源である。
【0025】
Yn : 一定の桁数の確率変数である。
【0026】
但し、n : インデックス、n = 1,2,……,n
[Xn] : 一定の桁数の自然乱数のブロックをである。
【0027】
[Yn] : 一定の桁数の乱数のブロックである。
【0028】
[Zn] : 一定の桁数の自然乱数のブロックである。
【0029】
|[Xn]| : 自然乱数ブロックの桁数である。
【0030】
H() : ()内の変数のシャノンエントロピ(Shannon entropy)を求める関数である。
【0031】
h(): ()内の変数のハッシュ値を求める関数である。
【0032】
+: 排他的論理和である。
【課題を解決するための手段】
【0033】
請求項1に係る認証システムは、自然乱数を発生する第1の乱数発生源([X])と、前記第1の乱数発生源で発生した第1の乱数のブロック([X1])により前記第1の乱数発生源で発生した第2の乱数のブロック([X2])を暗号化した第1の暗号文([X1]+[X2])を含む識別子を有する1:1認証子とを備えることを特徴とする。
【0034】
また請求項2に係る認証システムは、請求項1記載の認証システムにおいて、乱数を発生する第2の乱数発生源([Y])を更に備え、前記1:1認証子は、前記第2の乱数発生源で発生した第1の乱数のブロック([Y1])により前記第2の乱数発生源で発生した第2の乱数のブロック([Y2])を暗号化した第2の暗号文([Y1]+[Y2])を含む確認子を有することを特徴とする。
【0035】
また請求項3に係る認証システムは、請求項1又は2に記載の認証システムにおいて、前記識別子は、前記第1の暗号文のハッシュ値を含むことを特徴とする。
【0036】
また、請求項4に係る認証システムは、請求項1乃至3のいずれかに記載の認証システムにおいて、前記1:1認証子の交換により秘密の共有状態を自動的に更新することを特徴とする。
【発明の効果】
【0037】
本発明は二者間の秘密共有やユーザIDの安全性を確保しつつ更新する問題を解決したものである。すなわち、二者間の秘密共有のメンテナンスを人の手からシステムに安全に移行させる技術である。
【0038】
効用は、次の点にある。
【0039】
(1) 漏れたID情報を無効にする。
(2) 人からの情報漏れを困難にする。
【0040】
なお、以下の説明では、認証子を備える認証システムを、しばしば、認証子システム、又は単に認証子と簡略に表現する。
【0041】
請求項1に係る発明に関し、通常の暗号化の仕組みにおいては、鍵と平文は別の確率事象に属するが、当該1:1認証子は同じ乱数発生源から出力されるところの「乱数による乱数自体の暗号と復号の仕組み」の上に構成される。
【0042】
すなわち、自然乱数ブロックの独立性を鍵と平文の関係に反映させる乱数の配送法である。これが1:1の認証子を構成する基礎である。
【0043】
通信路をはさんだ二者(ピア)の片方または両者とも乱数発生源[X]を備える環境にて、発生源[X]から得た(1-1)式に示す二つの乱数ブロック[Xn]と[Xn+1]の桁数が等しく
|[X1]| = |[Xn+1]| ---------(1-1)
インデックス n = 1,2,……,n
(1-1)式のペアが下記(1-2)式の独立性
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
H(): Shannon entropyを計算する関数
を満たす時、あるいは(1-1)式のペアが(1-2)式に代わる予測困難性を満たす時、下記(1-3)(1-4)式に示すように、インデックス nが示す順に発生源[X]が出力した乱数[Xn]を鍵Kに用い、その後に出力した乱数[Xn+1] を平文に用いる。
【0044】
即ち、
鍵K = [Xn] ---------- (1-3)
平文 = [Xn+1] --------- (1-4)
これにより、乱数ブロックの独立性(1-2)式を暗号化と復号化の必須要件に反映させる一方、通信路をはさんだ二者に対し、予め人が初期値[X1]を設定する秘密共有を行い、それによって二者を特定の1:1関係にする「自然乱数による乱数の暗号と復号の仕組み」(図1参照)である。
【0045】
請求項1に係る発明の暗号化と復号化の必須要件とは鍵と平文が独立に選ばれることである。この要件を乱数の配送の都度満たしたのが「自然乱数による乱数の暗号と復号の仕組み」である。この仕組みのアルゴリズム上のポイントは二つある:第一に、ランダムに選ばれた初期値[X1]が鍵の機能を果した後、[X1]に代わってn = 2の乱数ブロック[X2]が鍵になることである。第二に、鍵[X2]が設定された後に、新たな平文乱数ブロック[X3]が乱数発生源[X]から与えられることである、その結果として、鍵と平文の独立性(1-2)式を常に維持することの二点である。
【0046】
上記仕組みの結果、乱数の配送の都度、次の安全性を達成する:
まず、(1-2)式の独立性と
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
H(Cn+1) - H([Xn+1]) = H(K) - H(K|Cn+1) ---------(1-5)
ここで、暗号文Cn+1は下記で決定された乱数である:
H(Cn+1 | [Xn], [Xn+1]) = 0 ---------(1-6)
ゆえに、暗号文Cn+1も乱数になるから、
H(Cn+1) - H(Xn+1) = 0 ---------(1-7)
同時に(1-8)式を導く:
H(K) - H(K|Cn+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックCn+1から鍵Kの情報は漏れないことを示す。
【0047】
なお、(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和は、常に、
H([X1] + H([Xn]) ---------(1-9)
だけのエントロピーを持つことが容易に計算できる。
【0048】
(1-9)式の意味するところは、本発明の「乱数による乱数の暗号と復号の仕組み」によって乱数ブロック[Xn]が安全に配送されること、初期値[X1]のエントロピーは常に維持されていることである。
【0049】
つまり、暗号のエントロピーは初期値[X1]に依存するが、乱数ブロック[Xn]の系列は初期値[X1]から派生したものではない。
【0050】
請求項2に係る発明に関し、これは、請求項1に係る発明の1:1関係を基礎とし、初期値を2個持った1:1の関係を規定する。
【0051】
すなわち、通信路を挟んで空間的に離れた二者が、初期値[X1]及び初期値[Y1]の二つを予め秘密に共有することを特長として、二者を特定の1:1関係に規定する。
【0052】
初期値[X1]及び初期値[Y1]の役割は異なる、初期値[X1]と初期値[Y1]も互いに独立であるから、請求2に係る発明は後述の図1と図2の1:1関係を重ね合わせた状態になる。
【0053】
通信路の両端に居る二者AとBの内、一方のAは(1-2)式を満たすと考えられる乱数発生源[X]を備え、他方のBも(2-1)式を満たすと考えられる乱数発生源[Y]を備え、各々の乱数ブロックは、請求項1に係る発明の(1-2)式と下記(2-1)式の意味する独立性を満足する一方、あるいは、予測困難性を満足する一方、次の式を満たす。
【0054】
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
H([[Yn+1]] = H([Yn+1] | [Yn]) ---------(2-1)
これは、AとB両者ともに、予めランダムに選ばれた[X1]と[Y1]を初期値として共有する「自然乱数による乱数の暗号と復号の仕組み」に相当する。
【0055】
請求項3に係る発明に関し、これは、請求項1又は請求項2に係る発明の乱数発生源[X]と[Y]の乱数ブロックとハッシュ関数とから1:1認証子を構成することになり、請求項1又は2に係る発明で規定された1:1関係において、ハッシュ関数の鍵を乱数ブロック[Xn]又は[Yn]とした時に、配送される乱数ブロック[Xn+1]とそのハッシュ値h([Xn+1])のペアを1:1認証子とし、或いは、配送される[Yn+1]とそのハッシュ値h([Yn+1])のペアを1:1認証子とする認証子システムである。
【0056】
この1:1認証子は、前記チャレンジ・アンド・レスポンス方式と以下の点で異なる。
Request for Comments 1994のResponseは秘密鍵とChallengeに依存する。ChallengeとResponseは独立ではない。
【0057】
なお、秘密共有を二つの初期値で行うタイプもあるが、やはりChallengeとResponseは独立ではない。
【0058】
一方、本発明の1:1認証子では、ChallengeとResponseに相当する「行きと帰り」の二種類の認証子があり、以下しばしば、行きを識別子、帰りを確認子と呼ぶ。識別子と確認子は互いに独立である。
【0059】
請求項4に係る発明に関し、この認証システムは、請求項3に係る発明の認証子の交換で秘密共有をも自動的に更新する。
【0060】
すなわち、従来は、秘密共有の更新を人間系に頼っていたが、それを不要にしている。
【0061】
請求3に係る発明の認証子の交換により、初期値[X1]と[Y1]に始まる秘密共有は通信のセッション毎に更新される。
【0062】
すなわち、識別子と確認子を経由して、セッション単位に下記のように更新される:
[X1] ---> [X2] ---> [X3] --->…---> [Xn]
[Y1] ---> [Y2] ---> [Y3] --->…---> [Yn]
この安全性は請求項1に係る発明に基づく。
【0063】
つまり、盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、乱数ブロック群[Xn]は初期値[X1]から派生した値ではない。また、識別子と確認子は互いに独立である。
【0064】
このようにして、通信の終了時には、新しい秘密共有が成立するから、通信開始時の秘密共有は過去のものになり、秘密が漏洩したとしても、その時点から過去の秘密になる。
【発明を実施するための最良の形態】
【0065】
以下に、図面を参照し、本発明を実施するための最良の形態を説明する。
【0066】
請求項1に係る発明の実施の形態
先ず、図1及び図4を参照して、請求項1に係る発明の実施の形態を説明する。
【0067】
図1は、本発明の実施の形態に係る認証システムの自然乱数[Xn]による乱数の暗号と復号の仕組みを示すブロック図、図4は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。
【0068】
図1に、鍵、平文、暗号文という3つの確率変数と請求項1に記載されている式との関係を示す。乱数発生源[X]が端末Aにあり、乱数ブロックがAからBに送られる。この仕組みは、初期値[X1]はランダムに選ばれる確率事象で、この[X1]は暗号化・復号化の後に、n=2の乱数ブロック[X2]で置き換わる。そして、常に、鍵[Xn]が設定された後に、平文の乱数ブロック[Xn+1]が乱数発生源[X]から与えられ、その結果、鍵と平文の独立性の(1−2)式が成立する。なお、暗号化と復号化の鍵と平文とが独立に選ばれる。自然乱数を用いることで、この要件が常に達成される。
【0069】
(1)自然乱数による乱数の暗号と復号の仕組み
自然乱数発生源[X]の出力を一定の桁数に揃えて乱数ブロック[Xn]を得る:
|[X1]| = |[Xn+1]| ---------(1-1)
インデックス n = 1,2,……,n
どの乱数ブロックも下記(1-2)式の独立式を満たす時、
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
(1-3)と(1-4)式に示すように、インデックス nの順に[X]が出力した乱数ブロック[Xn]を鍵Kに用い、[Xn]に続く乱数ブロック[Xn+1]を平文に用いることによって
鍵K = [Xn] ---------- (1-3)
平文 = [Xn+1] --------- (1-4)
鍵と平文が独立に選択されることを自動的に満たす。
【0070】
一方、通信路をはさんだ二者AとBは予め[X1]を初期値として秘密に共有することによって、当該二者は暗号化と復号化の1:1の関係に入る。これが図1に示す「自然乱数による乱数の暗号と復号の仕組み」である。
【0071】
(2)暗号文の安全性の証明
この認証システムの暗号システムとしての安全性のポイントは以下の通りである。
【0072】
(1-2)式の独立性と
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
H(Cn+1) - H([Xn+1]) = H(K) - H(K|Cn+1) ---------(1-5)
ここで、暗号文Cn+1は下記で決定された乱数である:
H(Cn+1 | [Xn], [Xn+1]) = 0 ---------(1-6)
(1-6)式は、自然乱数[Xn]と[Xn+1]を条件として、暗号文Cn+1を一つに決めるということを表す。ゆえに、暗号文Cn+1も乱数になるから、
H(Cn+1) - H(Xn+1) = 0 ---------(1-7)
同時に(1-8)式を導く:
H(K) - H(K|Cn+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックCn+1から鍵Kの情報は漏れないことを示す。
【0073】
当然、乱数[Xn+1]の情報も漏れない。(1-6)式のアルゴリズムを排他的論理和にする。この場合、暗号文Cn+1は
Cn+1=[Xn]+[Xn+1] ---------(1-6)’
で計算される。
【0074】
(1-8)式が意味する特徴は重要である、何故なら、通常の共通鍵暗号系では「意味のある平文」を暗号化する関係上、鍵の情報を漏らすからである。しかし、(1-8)式では鍵の情報が漏れない。その原因は、
1) 鍵と平文が共に自然乱数であるが故に独立になること、
2) 鍵も平文も共に乱数であること(意味を持たない)、
以上2点の理由に拠る。
【0075】
なお、通常の共通鍵暗号系で鍵の情報が漏れる理由は、平文が意味を担うからである。例えば、alphabetなら4.7bit/1characterあるが、意味のある文章では1.0bitから1.5bitになるであることが知られている。この4.7bitと1.5bitの差だけ鍵の情報が暗号文から漏れる。
【0076】
(3)通信路を流れる暗号文の総和
(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和を計算すると、常に、
H([X1]) + H([Xn]) ---------(1-9)
となる:(1-9)式は暗号文のエントロピーの総和を示す。
[X1]と[Xn]は独立であるから、[X1]と[Xn]の同時確率エントロピーをH([X1], [Xn])と表すと、
H([X1], [Xn]) = H([X1]) + H([Xn]) ---------(1-10)
ここで、鍵[X1]と平文[Xn]を独立に選んで暗号文[Cn+1]を一つに決定する式、
H(Cn+1 | [X1], [Xn]) = 0 ---------(1-11)
(1-11)式を(1-10)式の両辺に加える:
H([X1]) + H([Xn]) = H(Cn+1| [X1], [Xn]) + H([X1], [Xn]) = H(Cn+1, [X1], [Xn])
---------(1-12)
H(Cn+1, [X1], [Xn])は暗号系を構成する三つの確率変数の同時確率エントロピーである。(1-12)式は以下の事柄の証明である:
1) 初期値[X1]で
2) 任意の乱数[Xn]を
3)1回だけ暗号化し
4) 任意の乱数[Xn]を安全に配送した
ことを示す。その途中で使われる乱数ブロック[Xn-1]は消えることに注意する。
【0077】
(1-12)式は、任意の[Xn]について成立しており、鍵としての初期値[X1]のエントロピーを常に維持する。言い変えると、通信路を流れる暗号文Cn+1のエントロピーは初期値[X1]に依存する一方、配送された乱数ブロック[Xn]は初期値[X1]から派生したものでない、ということである。この関係には十分注意する必要がある。
【0078】
(4)乱数ブロック[Xn]に対する端末AとBの対称性
(1-1)から(1-9)式は、乱数ブロック[Xn]に対して対称形である。[Xn]が端末Aの乱数発生源の乱数であるとしても、その次の[Xn+1]が端末Bの発生源の乱数としても、(1-1)から(1-9)式には何ら変わりない。従って、3.1.項の仕組みは両端に乱数発生源[X]を備える場合も含む。
【0079】
さらに、端末Aの乱数発生源[X]が自然乱数であり、端末Bの乱数発生源[X]が擬似乱数源としても、(1-1)から(1-9)式に何ら変わりない。ただし、その場合、(1-2)式は予測困難性という概念の安全性に置き換わる。
【0080】
請求項2〜4に係る発明の実施の形態
次に、図2〜4を参照して、請求項2〜4に係る発明の実施の形態を説明する。
【0081】
図2は、本発明の実施の形態に係る認証システムの乱数[Yn]による乱数の暗号と復号の仕組みを示すブロック図、図3は、本発明の実施の形態に係る認証システムの自然乱数[Zn]による乱数の暗号と復号の仕組みを示すブロック図、図4は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。
【0082】
この実施の形態に係る1:1 認証子は、図4から明らかなように、請求1項に係る発明と不可分であり、それを前提にする。
【0083】
請求項2に係る発明は、請求項1の1:1 関係を基礎にして初期値を2 個持った1:1 の関係を規定する。すなわち、通信路を挟んで空間的に離れた二者が、初期値[X1]及び初期値[Y1]の二つを予め共有して、二者を特定の1:1 関係に規定する。
【0084】
初期値[X1]及び[Y1]の役割は異なる。一方が送信専用なら、他方は受信専用の初期値
である。初期値[X1]と[Y1]も互いに独立であるから、請求2に係る発明は、図1と図2の1:1 関係を重ね合わせた状態になる。
【0085】
請求項3に係る発明は、ハッシュ関数h()と請求項1又は2の乱数ブロックとのペアで1:1 認証子を規定する。
【0086】
請求項4に係る発明は、請求項3の認証子の交換で秘密共有を自動的に更新する。すなわち、従来、秘密共有の更新は人間系に頼るしかなかったが、それを不要にしている。
【0087】
(1)1:1 認証子システム
請求項2〜4に係る発明は1:1 認証子システムを構成する。これに相当する従来技術は、CHAP(Request for Comments 1994)である。
【0088】
請求項2〜4に係る1:1 認証子システムは、CHAP或いは従来のID 番号、パスワード等に置き換えられ、情報漏れによる被害を未然に防ぐ。
【0089】
(2)初期値[X1]と[Y1]を携帯メデイアに格納する。
【0090】
初期値[X1]と[Y1]は、ホストとユーザを特定の1:1 関係に結びつける秘密である。
【0091】
その後、ホストとユーザ間の通信は初期値[X1]に始まる1:1 暗号・復号と、初期値[Y1]に始まる1:1 暗号・復号(請求1)との重ね合わせになる (図1 と図2 とを重ね合わ
せる)。
【0092】
(3)1:1 認証子の交換
図4に示す通り、乱数ブロック[Xn]はホストからユーザへ流れ、[Yn]はユーザからホストへ流れる。1:1 認証子は請求3で定義される。
【0093】
なお、配送される乱数ブロック[Xn+1]とそのハッシュ値h([Xn+1])のペアを「ランダムカード携帯メデイア」へ初期値[X1] = 512 bit、初期値[Y1]= 512 bitとして保存し、それを更新するようにしても良い。
【0094】
(4)識別子と確認子
識別子と確認子中の鍵に対応する部分はセッション毎に以下のように変化する:
ホストからユーザへ: [X1] ---> [X2] ---> [X3] --->…---> [Xn]: ---> 識別子の系列
ユーザからホストへ: [Y1] ---> [Y2] ---> [Y3] --->…---> [Yn]: ---> 確認子の系列
図4で、配送する乱数ブロックが[X2]の時、乱数[X1]を鍵にして、乱数[X2]の暗号文[X1]+[X2]が端末Aにて作られる。この暗号文[X1]+[X2]がハッシュ関数の入力になる。この暗号文[X1]+[X2]とハッシュ値h([X1]+[X2])とのペアが識別子である。
【0095】
端末Bでは、暗号文を復号した後、再度、端末Aと同じ暗号化手続を実行し、ハッシュ値を生成する。
【0096】
そして、端末Aでのハッシュ値と、端末Bでのハッシュ値とを比較する。
【0097】
両方のハッシュ値が等しければ、ハッシュ関数の衝突困難性に基づき、端末Aが持つ鍵[X1] と、端末Bが持つ鍵[X1]とが、圧倒的な確率で等しいと判定される。
【0098】
(5)1:1 の認証子の機能
識別子と確認子は、以下の機能を果したことになる:
二者間の秘密共有(鍵)
ユーザID
合言葉、パスワード
三つの機能を総称して「自然乱数による1:1 認証子」と言う。
【0099】
(6)初期値[X1]と[Y1]の保存は不要
通信路を挟んだ二者は、初期値[X1]と[Y1]を与えられることにより、特定の1:1 関係になるが、その初期値を、再度の認証のために継続して保存する必要はない。初期値[X1]と[Y1]は乱数[X2]と[Y2]に変わり、一度、認証子システムに投入されたら、二度と初期値[X1]と[Y1]とが参照されることがないからである。
【0100】
この時、乱数[X1]と[X2]、乱数[Y1]と[Y2]とは互いに独立である。ゆえに、認証子シス
テムから初期値[X1]と[Y1]が漏れたとしても、乱数[X1]と[Y1]が乱数[X2]と[Y2]に変化した後では、それは過去の事件になる。漏れた[X1]と[Y1]は既に無効である。
【0101】
(7)初期値[X1]と初期値[Y1]の通信のセッション毎の更新
初期値[X1]と初期値[Y1]の秘密共有は、自然乱数[Xn]に引き継がれる。
【0102】
[X1] ---> [X2] ---> [X3]…---> [Xn]
[Y1] ---> [Y2] ---> [Y3]…---> [Yn]
このセッション単位にメンテナンスされる場合の安全性は請求項1に係る発明に基づく。つまり、1) 盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、2) 乱数ブロック群[Xn]は初期値[X1]から派生した乱数値ではない、また、3) 識別子と確認子が互いに独立であり、さらに、4) 過去の秘密[X1]と[Y1]と現在の秘密[Xn]と[Yn]は、互い暗号学的に独立である。ゆえに、もはや情報漏れは恐れるに足らない、ということになる。
【0103】
(8)最大の特徴
この点、従来のセキュリテイ技術では、人間系からの情報漏れを防ぐことは不可能であった。暗号の強度を上げても人間系からの情報漏れを防げない。これは暗号の仕組みが原因である。しかし、本発明に係る自然乱数による認証子システムは、通信セッションが終了する度、自然乱数の安全性に基づいて認証用の秘密を随時更新する。秘密は、随時、自動的に、人の手を経ないで、更新される。過去の秘密と現在の秘密が独立であるから、もはや情報漏れは恐れるに足らない、漏れた情報は無効になる、従って、認証子システムは、暗証番号等が漏れても被害を未然に防ぐシステムの構築を可能にする。
【0104】
人間系からの情報漏れを無効にするということは、これはセキュリテイの概念に入らない。セキュリテイは利便性を犠牲にして成り立つが、自然乱数の識別子は、その逆で、むしろ、利便性の生き残り(サーバイバル)のためのI.T だからである。
【産業上の利用可能性】
【0105】
本発明は、1:1認証子を備える認証システムに利用できる。
【図面の簡単な説明】
【0106】
【図1】図1は、本発明の実施の形態に係る認証システムの自然乱数[Xn]による乱数の暗号と復号の仕組みを示すブロック図。
【図2】図2は、本発明の実施の形態に係る認証システムの乱数[Yn]による乱数の暗号と復号の仕組みを示すブロック図。
【図3】図3は、本発明の実施の形態に係る認証システムの自然乱数[Zn]による乱数の暗号と復号の仕組みを示すブロック図。
【図4】図4は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。
【符号の説明】
【0107】
[X]: 自然乱数発生源
[Y]: 乱数発生源
[Z]: 自然乱数発生源
Yn : 確率変数
n : インデックス
[Xn] : 自然乱数のブロック
[Yn] : 乱数のブロック
[Zn] : 自然乱数のブロック
|[Xn]| : 自然乱数ブロックの桁数
H() : ()内の変数のシャノンエントロピを求める関数
h(): ()内の変数のハッシュ値を求める関数
+: 排他的論理和
【技術分野】
【0001】
本発明は、認証システムに関し、より詳細には、1:1認証子を備える認証システムに関する。
【背景技術】
【0002】
一般に、認証システムは、秘密を予め共有し、この予め共有した秘密を見せ合うことにより、秘密共有者の間で相互の認証が為される。
【0003】
しかしながら、従来の認証システムでは、秘密の共有にコストが掛かり、共有する秘密を頻繁に更新することが難しかった。
【0004】
このため、従来は、(1)共有した秘密を更にコストを掛けて維持するようにしており、その結果(2)万一、秘密が漏れ、それが不正に利用された時に、その不正利用者を見破ることが極めて困難であった。
【0005】
この点、秘密の漏洩は、現実には人が神ならざることに起因する。
【0006】
即ち、暗号の数理的強度以前の、それを運用する仕組みの中に問題があり、そこに人が介在することに起因している。
【0007】
例えば、現代の暗号の鍵が漏れるとしたら、それは多分に人の介在を原因とし、同様に、カード番号或いはクレジット番号等のID情報の漏れにも、人的要素が絡む。
【0008】
この種の情報漏れは、システムもユーザも認識できず、情報漏れに基づく被害がクローズアップされるのを座して待つことになる。
【0009】
つまり、ID情報の保管に絡む場合を含め、認証のための秘密共有は、常に、
1) その値を一定不変に保ち、
2) その値を秘密に保管する
というメンテナンスを伴って、初めて完遂できる。
【0010】
しかるに、このメンテナンスは、今のところまだ人の規範(best effort)に託されており、それが情報漏れの温床になっている。
【0011】
こうしたメンテナンスにおける人的規範への依存性を緩和する手法として、チャレンジ・アンド・レスポンス(Challenge & Response)方式の1:1認証子であるチャップ(CHAP:非特許文献参照)が知られている。
【非特許文献1】CHAP(PPP Challenge Handshake Authentication Protocol)
【0012】
Network Working Group: W. Simpson
Request for Comments: 1994 DayDreamer
Obsoletes: 1334 in August 1996
Category: Standards Track
(要約)The Point-to-Point Protocol (PPP) provides a standard method for transporting multi-protocol datagrams over point-to-point links. PPP also defines an extensible Link Control Protocol, which allows negotiation of an Authentication Protocol for authenticating its peer before allowing Network Layer protocols to transmit over the link. This document defines a method for Authentication using PPP, which uses a random Challenge, with a cryptographically hashed Response which depends upon the Challenge and a secret key. RFC 1994, PPP CHAP: This authentication method depends upon a "secret" known only to the authenticator and that peer. The secret is not sent over the link.(ポイント・ツー・ポイント・プロトコルPPPは、ポイント・ツー・ポイント・リンクを介してマルチプロトコル・データグラムを移送する標準方式を与える。PPPはまた、延長可能なリンク・コントロール・プロトコルを規定し、これは、ネットワーク・レイヤー・プロトコルにリンクを介した伝送を許可する前に、そのピアの認証を行う認証プロトコルの折衝を許可する。この文書は、PPPを用いた認証の方法を規定し、これはランダムなチャレンジを行い、その際、秘密鍵とそのチャレンジに依存した暗号学的ハッシュ応答を用いる。RFC1994,PPPチャップ:この認証方式は、認証者及びそのピアにのみ知られた“秘密”に依存し、この秘密はリンクを介して送信されない。)
【発明の開示】
【発明が解決しようとする課題】
【0013】
しかしながら、このチャップは、前記1)と2)の秘密のメンテナンスを、人が行うものであり、後述の記載より明らかなごとく、人工的(artificial)要素が残存し、安全性に難がある。
【0014】
本願は、前記1)と2)の秘密のメンテナンスを、人から通信システムへ、実用上は当然、理論面でも安全に移行することが可能な、いわば神の手に委ねた1:1認証子を備える認証システムの技術を模索する。
【0015】
そして、秘密共有を通信のセッション毎に安全に更新する情報技術を考える。
【0016】
この技術によれば、通信の終了時に、新しい秘密共有が成立し、通信の開始時に使われた秘密共有を使い捨てにできる。すなわち、秘密の共有が過去の出来事になり、その秘密が漏洩したとしても、それは過去の秘密になる。
【0017】
この点、過去の秘密と現在の秘密とが情報論的に独立していれば、もはや情報漏れは恐れるに足らない。
【0018】
それだと、正規ユーザだけを認証するシステムの構成も可能になる。
【0019】
本発明は、以上の点に鑑み為された。
【0020】
なお、本発明において、1:1認証子とは:
自然乱数による乱数の暗号化と復号化を行うシステム要素又はその入出力情報(例えば、暗号文)と;
自然乱数による乱数の暗号文をハッシュ関数に入力するシステム要素又はその入出力情報と;
乱数の暗号文とハッシュ関数値とを1対にして送信及び受信する通信部分としてのシステム要素又はその入出力情報(例えば、識別子及び確認子)と、を備えて構成される。
【0021】
また、説明を明瞭に行うため、本明細書に、次の記号を援用する。
【0022】
[X]: 自然乱数発生源である。
【0023】
[Y]: 乱数発生源(自然乱数または擬似乱数)である。
【0024】
[Z]: 自然乱数発生源である。
【0025】
Yn : 一定の桁数の確率変数である。
【0026】
但し、n : インデックス、n = 1,2,……,n
[Xn] : 一定の桁数の自然乱数のブロックをである。
【0027】
[Yn] : 一定の桁数の乱数のブロックである。
【0028】
[Zn] : 一定の桁数の自然乱数のブロックである。
【0029】
|[Xn]| : 自然乱数ブロックの桁数である。
【0030】
H() : ()内の変数のシャノンエントロピ(Shannon entropy)を求める関数である。
【0031】
h(): ()内の変数のハッシュ値を求める関数である。
【0032】
+: 排他的論理和である。
【課題を解決するための手段】
【0033】
請求項1に係る認証システムは、自然乱数を発生する第1の乱数発生源([X])と、前記第1の乱数発生源で発生した第1の乱数のブロック([X1])により前記第1の乱数発生源で発生した第2の乱数のブロック([X2])を暗号化した第1の暗号文([X1]+[X2])を含む識別子を有する1:1認証子とを備えることを特徴とする。
【0034】
また請求項2に係る認証システムは、請求項1記載の認証システムにおいて、乱数を発生する第2の乱数発生源([Y])を更に備え、前記1:1認証子は、前記第2の乱数発生源で発生した第1の乱数のブロック([Y1])により前記第2の乱数発生源で発生した第2の乱数のブロック([Y2])を暗号化した第2の暗号文([Y1]+[Y2])を含む確認子を有することを特徴とする。
【0035】
また請求項3に係る認証システムは、請求項1又は2に記載の認証システムにおいて、前記識別子は、前記第1の暗号文のハッシュ値を含むことを特徴とする。
【0036】
また、請求項4に係る認証システムは、請求項1乃至3のいずれかに記載の認証システムにおいて、前記1:1認証子の交換により秘密の共有状態を自動的に更新することを特徴とする。
【発明の効果】
【0037】
本発明は二者間の秘密共有やユーザIDの安全性を確保しつつ更新する問題を解決したものである。すなわち、二者間の秘密共有のメンテナンスを人の手からシステムに安全に移行させる技術である。
【0038】
効用は、次の点にある。
【0039】
(1) 漏れたID情報を無効にする。
(2) 人からの情報漏れを困難にする。
【0040】
なお、以下の説明では、認証子を備える認証システムを、しばしば、認証子システム、又は単に認証子と簡略に表現する。
【0041】
請求項1に係る発明に関し、通常の暗号化の仕組みにおいては、鍵と平文は別の確率事象に属するが、当該1:1認証子は同じ乱数発生源から出力されるところの「乱数による乱数自体の暗号と復号の仕組み」の上に構成される。
【0042】
すなわち、自然乱数ブロックの独立性を鍵と平文の関係に反映させる乱数の配送法である。これが1:1の認証子を構成する基礎である。
【0043】
通信路をはさんだ二者(ピア)の片方または両者とも乱数発生源[X]を備える環境にて、発生源[X]から得た(1-1)式に示す二つの乱数ブロック[Xn]と[Xn+1]の桁数が等しく
|[X1]| = |[Xn+1]| ---------(1-1)
インデックス n = 1,2,……,n
(1-1)式のペアが下記(1-2)式の独立性
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
H(): Shannon entropyを計算する関数
を満たす時、あるいは(1-1)式のペアが(1-2)式に代わる予測困難性を満たす時、下記(1-3)(1-4)式に示すように、インデックス nが示す順に発生源[X]が出力した乱数[Xn]を鍵Kに用い、その後に出力した乱数[Xn+1] を平文に用いる。
【0044】
即ち、
鍵K = [Xn] ---------- (1-3)
平文 = [Xn+1] --------- (1-4)
これにより、乱数ブロックの独立性(1-2)式を暗号化と復号化の必須要件に反映させる一方、通信路をはさんだ二者に対し、予め人が初期値[X1]を設定する秘密共有を行い、それによって二者を特定の1:1関係にする「自然乱数による乱数の暗号と復号の仕組み」(図1参照)である。
【0045】
請求項1に係る発明の暗号化と復号化の必須要件とは鍵と平文が独立に選ばれることである。この要件を乱数の配送の都度満たしたのが「自然乱数による乱数の暗号と復号の仕組み」である。この仕組みのアルゴリズム上のポイントは二つある:第一に、ランダムに選ばれた初期値[X1]が鍵の機能を果した後、[X1]に代わってn = 2の乱数ブロック[X2]が鍵になることである。第二に、鍵[X2]が設定された後に、新たな平文乱数ブロック[X3]が乱数発生源[X]から与えられることである、その結果として、鍵と平文の独立性(1-2)式を常に維持することの二点である。
【0046】
上記仕組みの結果、乱数の配送の都度、次の安全性を達成する:
まず、(1-2)式の独立性と
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
H(Cn+1) - H([Xn+1]) = H(K) - H(K|Cn+1) ---------(1-5)
ここで、暗号文Cn+1は下記で決定された乱数である:
H(Cn+1 | [Xn], [Xn+1]) = 0 ---------(1-6)
ゆえに、暗号文Cn+1も乱数になるから、
H(Cn+1) - H(Xn+1) = 0 ---------(1-7)
同時に(1-8)式を導く:
H(K) - H(K|Cn+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックCn+1から鍵Kの情報は漏れないことを示す。
【0047】
なお、(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和は、常に、
H([X1] + H([Xn]) ---------(1-9)
だけのエントロピーを持つことが容易に計算できる。
【0048】
(1-9)式の意味するところは、本発明の「乱数による乱数の暗号と復号の仕組み」によって乱数ブロック[Xn]が安全に配送されること、初期値[X1]のエントロピーは常に維持されていることである。
【0049】
つまり、暗号のエントロピーは初期値[X1]に依存するが、乱数ブロック[Xn]の系列は初期値[X1]から派生したものではない。
【0050】
請求項2に係る発明に関し、これは、請求項1に係る発明の1:1関係を基礎とし、初期値を2個持った1:1の関係を規定する。
【0051】
すなわち、通信路を挟んで空間的に離れた二者が、初期値[X1]及び初期値[Y1]の二つを予め秘密に共有することを特長として、二者を特定の1:1関係に規定する。
【0052】
初期値[X1]及び初期値[Y1]の役割は異なる、初期値[X1]と初期値[Y1]も互いに独立であるから、請求2に係る発明は後述の図1と図2の1:1関係を重ね合わせた状態になる。
【0053】
通信路の両端に居る二者AとBの内、一方のAは(1-2)式を満たすと考えられる乱数発生源[X]を備え、他方のBも(2-1)式を満たすと考えられる乱数発生源[Y]を備え、各々の乱数ブロックは、請求項1に係る発明の(1-2)式と下記(2-1)式の意味する独立性を満足する一方、あるいは、予測困難性を満足する一方、次の式を満たす。
【0054】
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
H([[Yn+1]] = H([Yn+1] | [Yn]) ---------(2-1)
これは、AとB両者ともに、予めランダムに選ばれた[X1]と[Y1]を初期値として共有する「自然乱数による乱数の暗号と復号の仕組み」に相当する。
【0055】
請求項3に係る発明に関し、これは、請求項1又は請求項2に係る発明の乱数発生源[X]と[Y]の乱数ブロックとハッシュ関数とから1:1認証子を構成することになり、請求項1又は2に係る発明で規定された1:1関係において、ハッシュ関数の鍵を乱数ブロック[Xn]又は[Yn]とした時に、配送される乱数ブロック[Xn+1]とそのハッシュ値h([Xn+1])のペアを1:1認証子とし、或いは、配送される[Yn+1]とそのハッシュ値h([Yn+1])のペアを1:1認証子とする認証子システムである。
【0056】
この1:1認証子は、前記チャレンジ・アンド・レスポンス方式と以下の点で異なる。
Request for Comments 1994のResponseは秘密鍵とChallengeに依存する。ChallengeとResponseは独立ではない。
【0057】
なお、秘密共有を二つの初期値で行うタイプもあるが、やはりChallengeとResponseは独立ではない。
【0058】
一方、本発明の1:1認証子では、ChallengeとResponseに相当する「行きと帰り」の二種類の認証子があり、以下しばしば、行きを識別子、帰りを確認子と呼ぶ。識別子と確認子は互いに独立である。
【0059】
請求項4に係る発明に関し、この認証システムは、請求項3に係る発明の認証子の交換で秘密共有をも自動的に更新する。
【0060】
すなわち、従来は、秘密共有の更新を人間系に頼っていたが、それを不要にしている。
【0061】
請求3に係る発明の認証子の交換により、初期値[X1]と[Y1]に始まる秘密共有は通信のセッション毎に更新される。
【0062】
すなわち、識別子と確認子を経由して、セッション単位に下記のように更新される:
[X1] ---> [X2] ---> [X3] --->…---> [Xn]
[Y1] ---> [Y2] ---> [Y3] --->…---> [Yn]
この安全性は請求項1に係る発明に基づく。
【0063】
つまり、盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、乱数ブロック群[Xn]は初期値[X1]から派生した値ではない。また、識別子と確認子は互いに独立である。
【0064】
このようにして、通信の終了時には、新しい秘密共有が成立するから、通信開始時の秘密共有は過去のものになり、秘密が漏洩したとしても、その時点から過去の秘密になる。
【発明を実施するための最良の形態】
【0065】
以下に、図面を参照し、本発明を実施するための最良の形態を説明する。
【0066】
請求項1に係る発明の実施の形態
先ず、図1及び図4を参照して、請求項1に係る発明の実施の形態を説明する。
【0067】
図1は、本発明の実施の形態に係る認証システムの自然乱数[Xn]による乱数の暗号と復号の仕組みを示すブロック図、図4は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。
【0068】
図1に、鍵、平文、暗号文という3つの確率変数と請求項1に記載されている式との関係を示す。乱数発生源[X]が端末Aにあり、乱数ブロックがAからBに送られる。この仕組みは、初期値[X1]はランダムに選ばれる確率事象で、この[X1]は暗号化・復号化の後に、n=2の乱数ブロック[X2]で置き換わる。そして、常に、鍵[Xn]が設定された後に、平文の乱数ブロック[Xn+1]が乱数発生源[X]から与えられ、その結果、鍵と平文の独立性の(1−2)式が成立する。なお、暗号化と復号化の鍵と平文とが独立に選ばれる。自然乱数を用いることで、この要件が常に達成される。
【0069】
(1)自然乱数による乱数の暗号と復号の仕組み
自然乱数発生源[X]の出力を一定の桁数に揃えて乱数ブロック[Xn]を得る:
|[X1]| = |[Xn+1]| ---------(1-1)
インデックス n = 1,2,……,n
どの乱数ブロックも下記(1-2)式の独立式を満たす時、
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
(1-3)と(1-4)式に示すように、インデックス nの順に[X]が出力した乱数ブロック[Xn]を鍵Kに用い、[Xn]に続く乱数ブロック[Xn+1]を平文に用いることによって
鍵K = [Xn] ---------- (1-3)
平文 = [Xn+1] --------- (1-4)
鍵と平文が独立に選択されることを自動的に満たす。
【0070】
一方、通信路をはさんだ二者AとBは予め[X1]を初期値として秘密に共有することによって、当該二者は暗号化と復号化の1:1の関係に入る。これが図1に示す「自然乱数による乱数の暗号と復号の仕組み」である。
【0071】
(2)暗号文の安全性の証明
この認証システムの暗号システムとしての安全性のポイントは以下の通りである。
【0072】
(1-2)式の独立性と
H([[Xn+1]) = H([Xn+1] | [Xn]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
H(Cn+1) - H([Xn+1]) = H(K) - H(K|Cn+1) ---------(1-5)
ここで、暗号文Cn+1は下記で決定された乱数である:
H(Cn+1 | [Xn], [Xn+1]) = 0 ---------(1-6)
(1-6)式は、自然乱数[Xn]と[Xn+1]を条件として、暗号文Cn+1を一つに決めるということを表す。ゆえに、暗号文Cn+1も乱数になるから、
H(Cn+1) - H(Xn+1) = 0 ---------(1-7)
同時に(1-8)式を導く:
H(K) - H(K|Cn+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックCn+1から鍵Kの情報は漏れないことを示す。
【0073】
当然、乱数[Xn+1]の情報も漏れない。(1-6)式のアルゴリズムを排他的論理和にする。この場合、暗号文Cn+1は
Cn+1=[Xn]+[Xn+1] ---------(1-6)’
で計算される。
【0074】
(1-8)式が意味する特徴は重要である、何故なら、通常の共通鍵暗号系では「意味のある平文」を暗号化する関係上、鍵の情報を漏らすからである。しかし、(1-8)式では鍵の情報が漏れない。その原因は、
1) 鍵と平文が共に自然乱数であるが故に独立になること、
2) 鍵も平文も共に乱数であること(意味を持たない)、
以上2点の理由に拠る。
【0075】
なお、通常の共通鍵暗号系で鍵の情報が漏れる理由は、平文が意味を担うからである。例えば、alphabetなら4.7bit/1characterあるが、意味のある文章では1.0bitから1.5bitになるであることが知られている。この4.7bitと1.5bitの差だけ鍵の情報が暗号文から漏れる。
【0076】
(3)通信路を流れる暗号文の総和
(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和を計算すると、常に、
H([X1]) + H([Xn]) ---------(1-9)
となる:(1-9)式は暗号文のエントロピーの総和を示す。
[X1]と[Xn]は独立であるから、[X1]と[Xn]の同時確率エントロピーをH([X1], [Xn])と表すと、
H([X1], [Xn]) = H([X1]) + H([Xn]) ---------(1-10)
ここで、鍵[X1]と平文[Xn]を独立に選んで暗号文[Cn+1]を一つに決定する式、
H(Cn+1 | [X1], [Xn]) = 0 ---------(1-11)
(1-11)式を(1-10)式の両辺に加える:
H([X1]) + H([Xn]) = H(Cn+1| [X1], [Xn]) + H([X1], [Xn]) = H(Cn+1, [X1], [Xn])
---------(1-12)
H(Cn+1, [X1], [Xn])は暗号系を構成する三つの確率変数の同時確率エントロピーである。(1-12)式は以下の事柄の証明である:
1) 初期値[X1]で
2) 任意の乱数[Xn]を
3)1回だけ暗号化し
4) 任意の乱数[Xn]を安全に配送した
ことを示す。その途中で使われる乱数ブロック[Xn-1]は消えることに注意する。
【0077】
(1-12)式は、任意の[Xn]について成立しており、鍵としての初期値[X1]のエントロピーを常に維持する。言い変えると、通信路を流れる暗号文Cn+1のエントロピーは初期値[X1]に依存する一方、配送された乱数ブロック[Xn]は初期値[X1]から派生したものでない、ということである。この関係には十分注意する必要がある。
【0078】
(4)乱数ブロック[Xn]に対する端末AとBの対称性
(1-1)から(1-9)式は、乱数ブロック[Xn]に対して対称形である。[Xn]が端末Aの乱数発生源の乱数であるとしても、その次の[Xn+1]が端末Bの発生源の乱数としても、(1-1)から(1-9)式には何ら変わりない。従って、3.1.項の仕組みは両端に乱数発生源[X]を備える場合も含む。
【0079】
さらに、端末Aの乱数発生源[X]が自然乱数であり、端末Bの乱数発生源[X]が擬似乱数源としても、(1-1)から(1-9)式に何ら変わりない。ただし、その場合、(1-2)式は予測困難性という概念の安全性に置き換わる。
【0080】
請求項2〜4に係る発明の実施の形態
次に、図2〜4を参照して、請求項2〜4に係る発明の実施の形態を説明する。
【0081】
図2は、本発明の実施の形態に係る認証システムの乱数[Yn]による乱数の暗号と復号の仕組みを示すブロック図、図3は、本発明の実施の形態に係る認証システムの自然乱数[Zn]による乱数の暗号と復号の仕組みを示すブロック図、図4は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。
【0082】
この実施の形態に係る1:1 認証子は、図4から明らかなように、請求1項に係る発明と不可分であり、それを前提にする。
【0083】
請求項2に係る発明は、請求項1の1:1 関係を基礎にして初期値を2 個持った1:1 の関係を規定する。すなわち、通信路を挟んで空間的に離れた二者が、初期値[X1]及び初期値[Y1]の二つを予め共有して、二者を特定の1:1 関係に規定する。
【0084】
初期値[X1]及び[Y1]の役割は異なる。一方が送信専用なら、他方は受信専用の初期値
である。初期値[X1]と[Y1]も互いに独立であるから、請求2に係る発明は、図1と図2の1:1 関係を重ね合わせた状態になる。
【0085】
請求項3に係る発明は、ハッシュ関数h()と請求項1又は2の乱数ブロックとのペアで1:1 認証子を規定する。
【0086】
請求項4に係る発明は、請求項3の認証子の交換で秘密共有を自動的に更新する。すなわち、従来、秘密共有の更新は人間系に頼るしかなかったが、それを不要にしている。
【0087】
(1)1:1 認証子システム
請求項2〜4に係る発明は1:1 認証子システムを構成する。これに相当する従来技術は、CHAP(Request for Comments 1994)である。
【0088】
請求項2〜4に係る1:1 認証子システムは、CHAP或いは従来のID 番号、パスワード等に置き換えられ、情報漏れによる被害を未然に防ぐ。
【0089】
(2)初期値[X1]と[Y1]を携帯メデイアに格納する。
【0090】
初期値[X1]と[Y1]は、ホストとユーザを特定の1:1 関係に結びつける秘密である。
【0091】
その後、ホストとユーザ間の通信は初期値[X1]に始まる1:1 暗号・復号と、初期値[Y1]に始まる1:1 暗号・復号(請求1)との重ね合わせになる (図1 と図2 とを重ね合わ
せる)。
【0092】
(3)1:1 認証子の交換
図4に示す通り、乱数ブロック[Xn]はホストからユーザへ流れ、[Yn]はユーザからホストへ流れる。1:1 認証子は請求3で定義される。
【0093】
なお、配送される乱数ブロック[Xn+1]とそのハッシュ値h([Xn+1])のペアを「ランダムカード携帯メデイア」へ初期値[X1] = 512 bit、初期値[Y1]= 512 bitとして保存し、それを更新するようにしても良い。
【0094】
(4)識別子と確認子
識別子と確認子中の鍵に対応する部分はセッション毎に以下のように変化する:
ホストからユーザへ: [X1] ---> [X2] ---> [X3] --->…---> [Xn]: ---> 識別子の系列
ユーザからホストへ: [Y1] ---> [Y2] ---> [Y3] --->…---> [Yn]: ---> 確認子の系列
図4で、配送する乱数ブロックが[X2]の時、乱数[X1]を鍵にして、乱数[X2]の暗号文[X1]+[X2]が端末Aにて作られる。この暗号文[X1]+[X2]がハッシュ関数の入力になる。この暗号文[X1]+[X2]とハッシュ値h([X1]+[X2])とのペアが識別子である。
【0095】
端末Bでは、暗号文を復号した後、再度、端末Aと同じ暗号化手続を実行し、ハッシュ値を生成する。
【0096】
そして、端末Aでのハッシュ値と、端末Bでのハッシュ値とを比較する。
【0097】
両方のハッシュ値が等しければ、ハッシュ関数の衝突困難性に基づき、端末Aが持つ鍵[X1] と、端末Bが持つ鍵[X1]とが、圧倒的な確率で等しいと判定される。
【0098】
(5)1:1 の認証子の機能
識別子と確認子は、以下の機能を果したことになる:
二者間の秘密共有(鍵)
ユーザID
合言葉、パスワード
三つの機能を総称して「自然乱数による1:1 認証子」と言う。
【0099】
(6)初期値[X1]と[Y1]の保存は不要
通信路を挟んだ二者は、初期値[X1]と[Y1]を与えられることにより、特定の1:1 関係になるが、その初期値を、再度の認証のために継続して保存する必要はない。初期値[X1]と[Y1]は乱数[X2]と[Y2]に変わり、一度、認証子システムに投入されたら、二度と初期値[X1]と[Y1]とが参照されることがないからである。
【0100】
この時、乱数[X1]と[X2]、乱数[Y1]と[Y2]とは互いに独立である。ゆえに、認証子シス
テムから初期値[X1]と[Y1]が漏れたとしても、乱数[X1]と[Y1]が乱数[X2]と[Y2]に変化した後では、それは過去の事件になる。漏れた[X1]と[Y1]は既に無効である。
【0101】
(7)初期値[X1]と初期値[Y1]の通信のセッション毎の更新
初期値[X1]と初期値[Y1]の秘密共有は、自然乱数[Xn]に引き継がれる。
【0102】
[X1] ---> [X2] ---> [X3]…---> [Xn]
[Y1] ---> [Y2] ---> [Y3]…---> [Yn]
このセッション単位にメンテナンスされる場合の安全性は請求項1に係る発明に基づく。つまり、1) 盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、2) 乱数ブロック群[Xn]は初期値[X1]から派生した乱数値ではない、また、3) 識別子と確認子が互いに独立であり、さらに、4) 過去の秘密[X1]と[Y1]と現在の秘密[Xn]と[Yn]は、互い暗号学的に独立である。ゆえに、もはや情報漏れは恐れるに足らない、ということになる。
【0103】
(8)最大の特徴
この点、従来のセキュリテイ技術では、人間系からの情報漏れを防ぐことは不可能であった。暗号の強度を上げても人間系からの情報漏れを防げない。これは暗号の仕組みが原因である。しかし、本発明に係る自然乱数による認証子システムは、通信セッションが終了する度、自然乱数の安全性に基づいて認証用の秘密を随時更新する。秘密は、随時、自動的に、人の手を経ないで、更新される。過去の秘密と現在の秘密が独立であるから、もはや情報漏れは恐れるに足らない、漏れた情報は無効になる、従って、認証子システムは、暗証番号等が漏れても被害を未然に防ぐシステムの構築を可能にする。
【0104】
人間系からの情報漏れを無効にするということは、これはセキュリテイの概念に入らない。セキュリテイは利便性を犠牲にして成り立つが、自然乱数の識別子は、その逆で、むしろ、利便性の生き残り(サーバイバル)のためのI.T だからである。
【産業上の利用可能性】
【0105】
本発明は、1:1認証子を備える認証システムに利用できる。
【図面の簡単な説明】
【0106】
【図1】図1は、本発明の実施の形態に係る認証システムの自然乱数[Xn]による乱数の暗号と復号の仕組みを示すブロック図。
【図2】図2は、本発明の実施の形態に係る認証システムの乱数[Yn]による乱数の暗号と復号の仕組みを示すブロック図。
【図3】図3は、本発明の実施の形態に係る認証システムの自然乱数[Zn]による乱数の暗号と復号の仕組みを示すブロック図。
【図4】図4は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。
【符号の説明】
【0107】
[X]: 自然乱数発生源
[Y]: 乱数発生源
[Z]: 自然乱数発生源
Yn : 確率変数
n : インデックス
[Xn] : 自然乱数のブロック
[Yn] : 乱数のブロック
[Zn] : 自然乱数のブロック
|[Xn]| : 自然乱数ブロックの桁数
H() : ()内の変数のシャノンエントロピを求める関数
h(): ()内の変数のハッシュ値を求める関数
+: 排他的論理和
【特許請求の範囲】
【請求項1】
自然乱数を発生する第1の乱数発生源([X])と、
前記第1の乱数発生源で発生した第1の乱数のブロック([X1])により
前記第1の乱数発生源で発生した第2の乱数のブロック([X2])を暗号化した
第1の暗号文([X1]+[X2])を含む
識別子を有する
1:1認証子と
を備える
ことを特徴とする認証システム。
【請求項2】
乱数を発生する第2の乱数発生源([Y])を、
更に備え、
前記1:1認証子は、
前記第2の乱数発生源で発生した第1の乱数のブロック([Y1])により
前記第2の乱数発生源で発生した第2の乱数のブロック([Y2])を暗号化した
第2の暗号文([Y1]+[Y2])を含む
確認子を有する
ことを特徴とする請求項1記載の認証システム。
【請求項3】
前記識別子は、前記第1の暗号文のハッシュ値を含む
ことを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記1:1認証子の交換により秘密の共有状態を自動的に更新する
ことを特徴とする請求項1乃至3のいずれかに記載の認証システム。
【請求項1】
自然乱数を発生する第1の乱数発生源([X])と、
前記第1の乱数発生源で発生した第1の乱数のブロック([X1])により
前記第1の乱数発生源で発生した第2の乱数のブロック([X2])を暗号化した
第1の暗号文([X1]+[X2])を含む
識別子を有する
1:1認証子と
を備える
ことを特徴とする認証システム。
【請求項2】
乱数を発生する第2の乱数発生源([Y])を、
更に備え、
前記1:1認証子は、
前記第2の乱数発生源で発生した第1の乱数のブロック([Y1])により
前記第2の乱数発生源で発生した第2の乱数のブロック([Y2])を暗号化した
第2の暗号文([Y1]+[Y2])を含む
確認子を有する
ことを特徴とする請求項1記載の認証システム。
【請求項3】
前記識別子は、前記第1の暗号文のハッシュ値を含む
ことを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記1:1認証子の交換により秘密の共有状態を自動的に更新する
ことを特徴とする請求項1乃至3のいずれかに記載の認証システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2008−124906(P2008−124906A)
【公開日】平成20年5月29日(2008.5.29)
【国際特許分類】
【出願番号】特願2006−308164(P2006−308164)
【出願日】平成18年11月14日(2006.11.14)
【出願人】(591223231)メテオ―ラ・システム株式会社 (3)
【出願人】(500463543)
【Fターム(参考)】
【公開日】平成20年5月29日(2008.5.29)
【国際特許分類】
【出願日】平成18年11月14日(2006.11.14)
【出願人】(591223231)メテオ―ラ・システム株式会社 (3)
【出願人】(500463543)
【Fターム(参考)】
[ Back to top ]