鍵交換システム、鍵交換方法及び鍵交換プログラム
【課題】4者間で容易に鍵交換が行える鍵交換システム、鍵交換方法及び鍵交換プログラムを提供すること。
【解決手段】鍵交換システム1において、各端末10は、自然数からなる秘密情報を選択する秘密情報選択部111と、GDHグループに属する公開要素に対して秘密情報により演算を行い、1次公開情報を生成する1次公開情報生成部112と、生成された1次公開情報を他の端末へ送信する1次公開情報送信部113と、1次公開情報を受信する1次公開情報受信部114と、受信された1次公開情報に対して秘密情報により演算を行い、2次公開情報を生成する2次公開情報生成部115と、生成された2次公開情報を他の端末へ送信する2次公開情報送信部116と、2次公開情報を受信する2次公開情報受信部117と、生成された又は受信された2次公開情報及び秘密情報に基づいて、共通鍵を生成する共通鍵生成部118と、を備える。
【解決手段】鍵交換システム1において、各端末10は、自然数からなる秘密情報を選択する秘密情報選択部111と、GDHグループに属する公開要素に対して秘密情報により演算を行い、1次公開情報を生成する1次公開情報生成部112と、生成された1次公開情報を他の端末へ送信する1次公開情報送信部113と、1次公開情報を受信する1次公開情報受信部114と、受信された1次公開情報に対して秘密情報により演算を行い、2次公開情報を生成する2次公開情報生成部115と、生成された2次公開情報を他の端末へ送信する2次公開情報送信部116と、2次公開情報を受信する2次公開情報受信部117と、生成された又は受信された2次公開情報及び秘密情報に基づいて、共通鍵を生成する共通鍵生成部118と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、共通鍵暗号における鍵を共有するための鍵交換システム、鍵交換方法及び鍵交換プログラムに関する。
【背景技術】
【0002】
従来、通信装置(端末)の間で秘密情報の通信を安全に行うために、暗号通信が用いられている。暗号の方式には、共通鍵暗号方式と公開鍵暗号方式とがある。共通鍵暗号方式は、暗号通信を行う端末の間で共通の鍵を用いる方式であり、例えばAES(Advanced Encryption Standard)が知られている。また、公開鍵暗号方式は、秘密鍵と公開鍵との2つの鍵を用いる方式で、例えばRSA(Rivest Shamir Adleman)暗号が知られている。
【0003】
ところで、公開鍵暗号方式は、暗号化のために端末間で鍵交換をする必要がないという利点がある。しかし、公開鍵暗号方式は、共通鍵暗号方式と比較して処理速度が遅い、あるいは負荷が重いという性能面での難点があるため、公開鍵暗号方式だけで全ての通信の暗号化を行うのは効率的ではない。
【0004】
一方、共通鍵暗号化方式では、暗号通信を行う端末間で共通鍵を共有することが必要である。原始的には、第三者による傍受の困難な方法として、共通鍵は、それぞれの端末の管理者が対面して交換されたり、通信回線とは別の郵送等のルートを用いて交換されたりしていた。しかし、こうした原始的な共通鍵の交換方法は、非効率であり、ネットワーク通信を実現する上では実用的ではなかった。
【0005】
そこで、通信回線を介して共通鍵を配送する様々な手法が提案されている。例えば、Diffie−Hellmanの鍵共有方式(非特許文献1参照)や、その応用例(特許文献1参照)が提案されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2000−278258号公報
【非特許文献】
【0007】
【非特許文献1】W.Diffie and M.E.Hellman, “New Directions in Cryptography,” IEEE Trans. on Information Theory, Vol.22, No.6, pp.644−654, 1976
【非特許文献2】A.Joux, “A One Round Protocol for Tripartite Diffie−Hellman,” Proc. of Algorithmic Number Theory Symposium IV, Springer−Verlag, LNCS 1838, pp.385−393, 2000
【発明の概要】
【発明が解決しようとする課題】
【0008】
前述のDiffie−Hellman鍵共有方式は、通信回線を使用して安全に鍵交換できる方式であるが、2者間のみで鍵を共有することしかできない。したがって、多人数で同一の共通鍵を共有する必要がある場合には、この鍵共有方式を複数の組み合わせに対して行い、さらに実際の鍵情報を共有する複雑な手順が必要となるため、通信の負荷が増大していた。さらに、この場合、複数の組み合わせにおける共有情報を管理する装置(サーバ)が必要となることもあり、システム構築の金銭的コストが増大していた。
【0009】
そこで、ペアリングと呼ばれる関数を用いることで、3者間で鍵共有を行う方式が提案されている(例えば、非特許文献2参照)。しかしながら、4者間以上での鍵交換は、複数の方式を組み合わせずには実現できなかった。
【0010】
本発明は、4者間で容易に鍵交換が行える鍵交換システム、鍵交換方法及び鍵交換プログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明では、以下のような解決手段を提供する。
【0012】
(1)4つの端末が共通鍵を共有する鍵交換システムであって、各端末は、自然数からなる秘密情報を選択する選択部と、GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成部と、前記第1の公開情報生成部により生成された前記第1の公開情報を、他の端末へ送信する第1の送信部と、前記他の端末から送信された前記第1の公開情報を受信する第1の受信部と、前記第1の受信部により受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成部と、前記第2の公開情報生成部により生成された前記第2の公開情報を、他の端末へ送信する第2の送信部と、前記他の端末から送信された前記第2の公開情報を受信する第2の受信部と、前記第2の公開情報生成部により生成された又は前記第2の受信部により受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成部と、を備える鍵交換システム。
【0013】
このような構成によれば、当該鍵交換システムにおいて、各端末は、GDHグループに属する公開要素、及び自然数からなる秘密情報により、第1の公開情報及び第2の公開情報を生成して送信することにより公開する。したがって、当該鍵交換システムは、秘密情報を求めることが困難な情報のみを公開するので、各端末が選択した秘密情報の秘匿性が保たれる。
【0014】
そして、各端末は、第2の公開情報及び秘密情報により共通鍵を生成する。したがって、当該鍵交換システムは、複数の鍵交換方式を組み合わせることなく、同一の共通鍵を4者間で容易に共有することができる。
【0015】
(2)前記第1の公開情報生成部は、前記公開要素に対して、前記秘密情報からなる1次の値を乗じて、前記第1の公開情報を生成し、前記第2の公開情報生成部は、前記第1の公開情報に対して、前記秘密情報からなる1次の値を乗じて、前記第2の公開情報を生成し、前記鍵生成部は、双線形のペアリング関数に対して、前記4つの端末の秘密情報からなる5次の値をべき乗した値を前記共通鍵として生成する(1)に記載の鍵交換システム。
【0016】
このような構成によれば、当該鍵交換システムは、公開情報として、秘密情報が1次の値、及び2次の値を公開する。そして、これらの公開情報をどのような組み合わせでペアリング関数に入力しても、秘密情報の高々4次までの値しか求められないのに対して、当該鍵交換システムは、秘密情報が5次の値を用いた共通鍵を生成する。したがって、いずれの秘密情報も知らない第三者が、公開情報のみから共通鍵を算出することはできないため、鍵交換の安全性が向上する。
【0017】
(3)前記各端末において生成又は受信される前記第2の公開情報が重複しないように、前記第1の送信部の送信先、及び前記第2の送信部の送信先が予め設定されている(1)又は(2)に記載の鍵交換システム。
【0018】
このような構成によれば、当該鍵交換システムは、公開情報の重複を回避するので、公開情報の演算回数及び通信回数が減少し、処理負荷を低減できる。
【0019】
(4)前記各端末において生成又は受信される前記第2の公開情報は、自端末の秘密情報を用いずに演算された3種類、及び自端末の秘密情報を用いて演算された1種類である(3)に記載の鍵交換システム。
【0020】
このような構成によれば、当該鍵交換システムは、冗長な公開情報の演算及び通信を抑制するので、さらに演算回数及び通信回数が減少し、処理負荷を低減できる。
【0021】
(5)4つの端末が共通鍵を共有する鍵交換方法であって、各端末は、自然数からなる秘密情報を選択する選択ステップと、GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行する鍵交換方法。
【0022】
このような構成によれば、当該鍵交換方法を各端末が実行することにより、(1)と同様の効果が期待できる。
【0023】
(6)4つの端末に共通鍵を共有させる鍵交換プログラムであって、各端末に、自然数からなる秘密情報を選択する選択ステップと、GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行させる鍵交換プログラム。
【0024】
このような構成によれば、当該鍵交換プログラムを各端末に実行させることにより、(1)と同様の効果が期待できる。
【発明の効果】
【0025】
本発明によれば、4者間で容易に鍵交換が行える。
【図面の簡単な説明】
【0026】
【図1】本発明の実施形態に係る鍵交換システムの機能構成を示すブロック図である。
【図2】本発明の実施形態に係る鍵交換方法を示す概要図である。
【図3】本発明の実施形態に係る公開情報の送受信パターンの一例を示す図である。
【図4】本発明の実施形態に係る端末の処理手順を示すフローチャートである。
【発明を実施するための形態】
【0027】
以下、本発明の実施形態の一例について説明する。本実施形態に係る鍵交換システム1は、所定の通信及び演算により、4つの端末10(10A、10B、10C及び10D)間で共通鍵を共有する。
【0028】
まず、本実施形態の鍵交換システムで用いるペアリング関数について説明する。
Gをある楕円曲線上の点の集合とする。gを集合Gの要素としたとき、集合Gにおける楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0029】
DDH問題:あるa、b、c∈Zp*(p未満の自然数)があり、g、ag、bg、cgが与えられた時、c=abかどうかを判定する問題。
CDH問題:あるa、b、c∈Zp*があり、g、ag、bgが与えられた時、abgを計算する問題。
【0030】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GをGDH(GAP−Diffie−Hellman)グループと定義する。
【0031】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては、次にあげる双線形と呼ばれる性質を持つことができる、ペアリング関数と呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(P,Q1+Q2)=e(P,Q1)e(P,Q2) ・・・(1)
e(P1+P2,Q)=e(P1,Q)e(P2,Q) ・・・(2)
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab ・・・(3)
【0032】
図1は、本実施形態に係る鍵交換システム1の機能構成を示すブロック図である。
4つの端末10(10A、10B、10C及び10D)は、ネットワークを介して接続されている。そして、端末10は、それぞれ、制御部11と、記憶部12と、入力部13と、表示部14と、通信部15とを備える。
【0033】
制御部11は、端末10の全体を制御する部分であり、記憶部12に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部11は、CPU(Central Processing Unit)であってよい。なお、制御部11が備える各部の機能は後述する。
【0034】
記憶部12は、ハードウェア群を端末10として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ハードディスク(HDD)であってよい。具体的には、記憶部12には、本実施形態の各種機能を制御部11に実行させるプログラムと、端末固有の秘密情報及び各種公開情報とが記憶される。
【0035】
入力部13は、端末10に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部13は、例えば、キーボード、マウス及びタッチパネル等により構成される。
【0036】
表示部14は、ユーザにデータの入力を受け付ける画面を表示したり、端末10による処理結果の画面を表示したりするものである。表示部14は、ブラウン管表示装置(CRT)や液晶表示装置(LCD)等のディスプレイ装置であってよい。
【0037】
通信部15は、ネットワークを介して外部装置と通信を行うネットワーク・アダプタである。通信部15は、4つの端末間での相互の通信を確立し、互いに各種データの送受信を行う。具体的には、本実施形態では、共通鍵の生成に用いられる各種公開情報が送受信される。
【0038】
次に、端末10の制御部11の機能を詳述する。
各端末10には、共通して、予め公開要素として、ペアリングの演算が可能な楕円曲線上の点Gが与えられている。以下、4つの端末10のうち、代表して端末10Aを説明する。
【0039】
制御部11は、秘密情報選択部111(選択部)と、1次公開情報生成部112(第1の公開情報生成部)と、1次公開情報送信部113(第1の送信部)と、1次公開情報受信部114(第1の受信部)と、2次公開情報生成部115(第2の公開情報生成部)と、2次公開情報送信部116(第2の送信部)と、2次公開情報受信部117(第2の受信部)と、共通鍵生成部118(鍵生成部)とを備える。
【0040】
秘密情報選択部111は、自然数からなる端末10Aに固有の秘密情報(a∈Zp*)をランダムに選択する。なお、端末10Bは秘密情報bを、端末10Cは秘密情報cを、端末10Dは秘密情報dを選択する。
【0041】
1次公開情報生成部112は、GDHグループに属する公開要素(G)に対して、自身の秘密情報(a)により演算(a倍)を行い、1次公開情報(aG;第1の公開情報)を生成する。
【0042】
1次公開情報送信部113は、1次公開情報生成部112により生成された1次公開情報(aG)を公開する。具体的には、1次公開情報送信部113は、1次公開情報(aG)を、通信部15を介して、他の端末10B、10C又は10Dへ送信する。
【0043】
なお、公開された1次公開情報(aG)から秘密情報(a)を求めることは、楕円曲線上の離散対数問題により困難なため、秘密情報の秘匿性が保たれる。
【0044】
1次公開情報受信部114は、他の端末10B、10C又は10Dの1次公開情報送信部113から送信された1次公開情報(bG、cG又はdG)を、通信部15を介して受信する。
【0045】
2次公開情報生成部115は、1次公開情報受信部114により受信された1次公開情報(bG、cG又はdG)に対して、自身の秘密情報(a)により演算(a倍)を行い、2次公開情報(abG、acG又はadG;第2の公開情報)を生成する。
【0046】
2次公開情報送信部116は、2次公開情報生成部115により生成された2次公開情報(bG、cG又はdG)を公開する。具体的には、2次公開情報送信部116は、2次公開情報(bG、cG又はdG)を、通信部15を介して、他の端末10B、10C又は10Dへ送信する。
【0047】
なお、公開された1次公開情報(aG)及び2次公開情報(abG、acG又はadG)から秘密情報(a)を求めることは、楕円曲線上の離散対数問題及びCDH問題により困難なため、秘密情報の秘匿性が保たれる。
【0048】
2次公開情報受信部117は、他の端末10B、10C又は10Dの2次公開情報送信部116から送信された2次公開情報(abG、acG、adG、bcG、bdG又はcdG)を、通信部15を介して受信する。
【0049】
共通鍵生成部118は、2次公開情報生成部115により生成された又は2次公開情報受信部117により受信された2次公開情報、及び自身の秘密情報(a)に基づいて、ペアリング関数を用いて共通鍵を生成する。
【0050】
具体的には、共通鍵生成部118は、共通鍵Keyを、例えば、
【数1】
により算出する。なお、算出の式は一例であって、式(8)が成立するように、例えば、式(4)の第1項は、e(acG,bdG)やe(adG,bcG)に置き換えることもできる。
【0051】
端末10B、10C及び10Dにおいても、それぞれ同様に、公開情報と自身の秘密情報とを用いることで、式(8)と同一の共通鍵を算出できる。
【0052】
このようにして算出された共通鍵は、ペアリング関数e(G,G)に対して、4つの端末10の秘密情報(a、b、c及びd)からなる5次の値をべき乗した値となっている。一方、公開されている情報は、公開要素Gに対して秘密情報からなる1次の値を乗じた1次公開情報と、1次公開情報に対して秘密情報からなる1次の値を乗じた、すなわち秘密情報からなる2次の値を乗じた2次公開情報である。このため、公開情報をどのような組み合わせでペアリング関数に入力しても、秘密情報の高々4次までの値しか求められない。したがって、いずれの秘密情報(a、b、c又はd)も知らない第三者が、公開情報のみから上記の共通鍵を算出することはできないため、鍵交換システム1により安全に鍵交換が行われている。
【0053】
図2は、実施形態に係る鍵交換システム1における鍵交換方法を示す概要図である。
端末10Aは、秘密情報a及び公開要素Gを、端末10Bは、秘密情報b及び公開要素Gを、端末10Cは、秘密情報c及び公開要素Gを、端末10Dは、秘密情報d及び公開要素Gを有している。
【0054】
4つの端末10のいずれかにより1次公開情報(aG、bG、cG及びdG)が生成され、端末間で送受信されることにより公開される。
また、これらの1次公開情報を用いて、4つの端末10のいずれかにより2次公開情報(abG、acG、adG、bcG、bdG及びcdG)が生成され、同様に端末間で送受信されることにより公開される。
【0055】
そして、各端末10は、公開された2次公開情報と、自身の秘密情報とに基づいて、共通鍵を生成する。
【0056】
ここで、2次公開情報は、用いられる2つの秘密情報の一方を有するいずれかの端末10で生成可能であるため、各端末10において生成又は受信される2次公開情報が重複する可能性がある。そこで、生成又は受信される2次公開情報が重複しないように、1次公開情報送信部113の送信先、及び2次公開情報送信部116の送信先が予め設定されていてよい。
【0057】
また、共通鍵生成部118は、6種類の2次公開情報(abG、acG、adG、bcG、bdG及びcdG)のうち、自身の秘密情報を用いずに演算された3種類、及び自身の秘密情報を用いて演算された1種類を用いて共通鍵を生成する。そこで、少なくともこれら最小限の公開情報を生成又は受信できるように、1次公開情報送信部113の送信先、及び2次公開情報送信部116の送信先が予め設定されていてよい。
【0058】
図3は、本実施形態に係る鍵交換システム1における公開情報の送受信パターンの一例を示す図である。
【0059】
まず、図3(a)のように、1次公開情報は、各端末10の1次公開情報送信部113により、6通りの組み合わせで送信される。そして、各端末10の2次公開情報生成部115は、受信した1次公開情報のそれぞれに応じて、2次公開情報を生成する。
【0060】
次に、端末10Aは、図3(b1)のように、自身の秘密情報を用いずに演算された3種類の2次公開情報を受信する。同様に、端末10Bは、図3(b2)のように、端末10Cは、図3(b3)のように、端末10Dは、図3(b4)のように、自身の秘密情報を用いずに演算された3種類の2次公開情報を受信する。
【0061】
そして、各端末10の共通鍵生成部118は、生成及び受信した2次公開情報に基づいて、共通鍵を生成する。これにより、鍵交換システム1は、最小限の通信及び演算回数により、鍵交換を行える。
【0062】
図4は、本実施形態に係る鍵交換システム1における端末の処理手順を示すフローチャートである。なお、端末10Aにおける具体例を、図3の送受信パターンに沿って例示する。
【0063】
ステップS1では、秘密情報選択部111は、秘密情報(a)を選択する。
ステップS2では、1次公開情報生成部112は、公開要素(G)と、ステップS1で選択された秘密情報(a)とから、1次公開情報(aG)を生成する。
ステップS3では、1次公開情報送信部113は、ステップS2で生成された1次公開情報(aG)を、他の端末(端末10D)へ送信する。
【0064】
ステップS4では、1次公開情報受信部114は、他の端末10(端末10B及び10C)から送信された1次公開情報(bG及びcG)を受信する。
ステップS5では、2次公開情報生成部115は、ステップS4で受信された1次公開情報(bG及びcG)と、ステップS1で選択された秘密情報(a)とから、2次公開情報(abG及びacG)を生成する。
ステップS6では、2次公開情報送信部116は、ステップS5で生成された2次公開情報を、他の端末10へ(abGを端末10C及び10Dへ、acGを端末10B及び10Dへ)送信する。
【0065】
ステップS7では、2次公開情報受信部117は、他の端末10から2次公開情報を(端末10BからbcG及びbdGを、端末10CからcdGを)受信する。
ステップS8では、共通鍵生成部118は、生成した2次公開情報(例えば、abG)と、受信した2次公開情報(bcG、bdG及びcdG)とを用いて、共通鍵を生成する。
【0066】
このように、本実施形態によれば、鍵交換システム1において、各端末は、秘密情報を用いた楕円曲線上の演算により、1次公開情報及び2次公開情報を公開する。したがって、鍵交換システム1は、楕円曲線上の離散対数問題及びCDH問題により秘密情報を求めることが困難な情報のみを公開するので、各端末が選択した秘密情報の秘匿性が保たれる。
【0067】
そして、各端末は、ペアリング関数を用いて、2次公開情報及び秘密情報により共通鍵を生成する。したがって、鍵交換システム1は、複数の鍵交換方式を組み合わせることなく、同一の共通鍵を4者間で容易に共有することができる。その結果、メモリコスト、通信コスト、処理負荷の軽減が期待できる。
【0068】
また、鍵交換システム1は、公開情報として、秘密情報が1次の値、及び2次の値を公開する。そして、これらの公開情報をどのような組み合わせでペアリング関数に入力しても、秘密情報の高々4次までの値しか求められないのに対して、鍵交換システム1は、秘密情報が5次の値を用いた共通鍵を生成する。したがって、いずれの秘密情報も知らない第三者が、公開情報のみから共通鍵を算出することはできないため、鍵交換の安全性が向上する。
【0069】
また、鍵交換システム1は、公開情報の重複や、冗長な演算及び通信を抑制するので、さらに公開情報の演算回数及び通信回数が減少し、処理負荷を低減できる。
【0070】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
【0071】
前述の実施形態において、ペアリング関数への入力である2つの引数は、ペアリングの演算が可能な楕円曲線上の点Gのスカラー倍として表されるが、この楕円曲線は、第1引数と第2引数とで共通でなくてもよい。すなわち、ペアリング関数の第1引数用と第2引数用とに、それぞれ異なる楕円曲線上の2点(G1又はG2)が与えられていてもよい。
この場合、前述の実施形態の説明におけるペアリング関数の第1引数に表れるGはG1に、第2引数に表れるGはG2に読み替えられる。また、楕円曲線上の点を用いて生成される前述の各種公開情報は、ペアリング関数の第1引数又は第2引数のいずれに入力されるかに応じて、G1若しくはG2のいずれかを用いて1種類、又は双方を用いて2種類生成される。
このことにより、公開情報の数、すなわち演算回数が増加する場合があるが、ペアリング関数の演算において並列して処理できるため、計算時間の短縮が期待できる。
【符号の説明】
【0072】
1 鍵交換システム
10(10A、10B、10C、10D) 端末
11 制御部
12 記憶部
13 入力部
14 表示部
15 通信部
111 秘密情報選択部(選択部)
112 1次公開情報生成部(第1の公開情報生成部)
113 1次公開情報送信部(第1の送信部)
114 1次公開情報受信部(第1の受信部)
115 2次公開情報生成部(第2の公開情報生成部)
116 2次公開情報送信部(第2の送信部)
117 2次公開情報受信部(第2の受信部)
118 共通鍵生成部(鍵生成部)
【技術分野】
【0001】
本発明は、共通鍵暗号における鍵を共有するための鍵交換システム、鍵交換方法及び鍵交換プログラムに関する。
【背景技術】
【0002】
従来、通信装置(端末)の間で秘密情報の通信を安全に行うために、暗号通信が用いられている。暗号の方式には、共通鍵暗号方式と公開鍵暗号方式とがある。共通鍵暗号方式は、暗号通信を行う端末の間で共通の鍵を用いる方式であり、例えばAES(Advanced Encryption Standard)が知られている。また、公開鍵暗号方式は、秘密鍵と公開鍵との2つの鍵を用いる方式で、例えばRSA(Rivest Shamir Adleman)暗号が知られている。
【0003】
ところで、公開鍵暗号方式は、暗号化のために端末間で鍵交換をする必要がないという利点がある。しかし、公開鍵暗号方式は、共通鍵暗号方式と比較して処理速度が遅い、あるいは負荷が重いという性能面での難点があるため、公開鍵暗号方式だけで全ての通信の暗号化を行うのは効率的ではない。
【0004】
一方、共通鍵暗号化方式では、暗号通信を行う端末間で共通鍵を共有することが必要である。原始的には、第三者による傍受の困難な方法として、共通鍵は、それぞれの端末の管理者が対面して交換されたり、通信回線とは別の郵送等のルートを用いて交換されたりしていた。しかし、こうした原始的な共通鍵の交換方法は、非効率であり、ネットワーク通信を実現する上では実用的ではなかった。
【0005】
そこで、通信回線を介して共通鍵を配送する様々な手法が提案されている。例えば、Diffie−Hellmanの鍵共有方式(非特許文献1参照)や、その応用例(特許文献1参照)が提案されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2000−278258号公報
【非特許文献】
【0007】
【非特許文献1】W.Diffie and M.E.Hellman, “New Directions in Cryptography,” IEEE Trans. on Information Theory, Vol.22, No.6, pp.644−654, 1976
【非特許文献2】A.Joux, “A One Round Protocol for Tripartite Diffie−Hellman,” Proc. of Algorithmic Number Theory Symposium IV, Springer−Verlag, LNCS 1838, pp.385−393, 2000
【発明の概要】
【発明が解決しようとする課題】
【0008】
前述のDiffie−Hellman鍵共有方式は、通信回線を使用して安全に鍵交換できる方式であるが、2者間のみで鍵を共有することしかできない。したがって、多人数で同一の共通鍵を共有する必要がある場合には、この鍵共有方式を複数の組み合わせに対して行い、さらに実際の鍵情報を共有する複雑な手順が必要となるため、通信の負荷が増大していた。さらに、この場合、複数の組み合わせにおける共有情報を管理する装置(サーバ)が必要となることもあり、システム構築の金銭的コストが増大していた。
【0009】
そこで、ペアリングと呼ばれる関数を用いることで、3者間で鍵共有を行う方式が提案されている(例えば、非特許文献2参照)。しかしながら、4者間以上での鍵交換は、複数の方式を組み合わせずには実現できなかった。
【0010】
本発明は、4者間で容易に鍵交換が行える鍵交換システム、鍵交換方法及び鍵交換プログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明では、以下のような解決手段を提供する。
【0012】
(1)4つの端末が共通鍵を共有する鍵交換システムであって、各端末は、自然数からなる秘密情報を選択する選択部と、GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成部と、前記第1の公開情報生成部により生成された前記第1の公開情報を、他の端末へ送信する第1の送信部と、前記他の端末から送信された前記第1の公開情報を受信する第1の受信部と、前記第1の受信部により受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成部と、前記第2の公開情報生成部により生成された前記第2の公開情報を、他の端末へ送信する第2の送信部と、前記他の端末から送信された前記第2の公開情報を受信する第2の受信部と、前記第2の公開情報生成部により生成された又は前記第2の受信部により受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成部と、を備える鍵交換システム。
【0013】
このような構成によれば、当該鍵交換システムにおいて、各端末は、GDHグループに属する公開要素、及び自然数からなる秘密情報により、第1の公開情報及び第2の公開情報を生成して送信することにより公開する。したがって、当該鍵交換システムは、秘密情報を求めることが困難な情報のみを公開するので、各端末が選択した秘密情報の秘匿性が保たれる。
【0014】
そして、各端末は、第2の公開情報及び秘密情報により共通鍵を生成する。したがって、当該鍵交換システムは、複数の鍵交換方式を組み合わせることなく、同一の共通鍵を4者間で容易に共有することができる。
【0015】
(2)前記第1の公開情報生成部は、前記公開要素に対して、前記秘密情報からなる1次の値を乗じて、前記第1の公開情報を生成し、前記第2の公開情報生成部は、前記第1の公開情報に対して、前記秘密情報からなる1次の値を乗じて、前記第2の公開情報を生成し、前記鍵生成部は、双線形のペアリング関数に対して、前記4つの端末の秘密情報からなる5次の値をべき乗した値を前記共通鍵として生成する(1)に記載の鍵交換システム。
【0016】
このような構成によれば、当該鍵交換システムは、公開情報として、秘密情報が1次の値、及び2次の値を公開する。そして、これらの公開情報をどのような組み合わせでペアリング関数に入力しても、秘密情報の高々4次までの値しか求められないのに対して、当該鍵交換システムは、秘密情報が5次の値を用いた共通鍵を生成する。したがって、いずれの秘密情報も知らない第三者が、公開情報のみから共通鍵を算出することはできないため、鍵交換の安全性が向上する。
【0017】
(3)前記各端末において生成又は受信される前記第2の公開情報が重複しないように、前記第1の送信部の送信先、及び前記第2の送信部の送信先が予め設定されている(1)又は(2)に記載の鍵交換システム。
【0018】
このような構成によれば、当該鍵交換システムは、公開情報の重複を回避するので、公開情報の演算回数及び通信回数が減少し、処理負荷を低減できる。
【0019】
(4)前記各端末において生成又は受信される前記第2の公開情報は、自端末の秘密情報を用いずに演算された3種類、及び自端末の秘密情報を用いて演算された1種類である(3)に記載の鍵交換システム。
【0020】
このような構成によれば、当該鍵交換システムは、冗長な公開情報の演算及び通信を抑制するので、さらに演算回数及び通信回数が減少し、処理負荷を低減できる。
【0021】
(5)4つの端末が共通鍵を共有する鍵交換方法であって、各端末は、自然数からなる秘密情報を選択する選択ステップと、GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行する鍵交換方法。
【0022】
このような構成によれば、当該鍵交換方法を各端末が実行することにより、(1)と同様の効果が期待できる。
【0023】
(6)4つの端末に共通鍵を共有させる鍵交換プログラムであって、各端末に、自然数からなる秘密情報を選択する選択ステップと、GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行させる鍵交換プログラム。
【0024】
このような構成によれば、当該鍵交換プログラムを各端末に実行させることにより、(1)と同様の効果が期待できる。
【発明の効果】
【0025】
本発明によれば、4者間で容易に鍵交換が行える。
【図面の簡単な説明】
【0026】
【図1】本発明の実施形態に係る鍵交換システムの機能構成を示すブロック図である。
【図2】本発明の実施形態に係る鍵交換方法を示す概要図である。
【図3】本発明の実施形態に係る公開情報の送受信パターンの一例を示す図である。
【図4】本発明の実施形態に係る端末の処理手順を示すフローチャートである。
【発明を実施するための形態】
【0027】
以下、本発明の実施形態の一例について説明する。本実施形態に係る鍵交換システム1は、所定の通信及び演算により、4つの端末10(10A、10B、10C及び10D)間で共通鍵を共有する。
【0028】
まず、本実施形態の鍵交換システムで用いるペアリング関数について説明する。
Gをある楕円曲線上の点の集合とする。gを集合Gの要素としたとき、集合Gにおける楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0029】
DDH問題:あるa、b、c∈Zp*(p未満の自然数)があり、g、ag、bg、cgが与えられた時、c=abかどうかを判定する問題。
CDH問題:あるa、b、c∈Zp*があり、g、ag、bgが与えられた時、abgを計算する問題。
【0030】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GをGDH(GAP−Diffie−Hellman)グループと定義する。
【0031】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては、次にあげる双線形と呼ばれる性質を持つことができる、ペアリング関数と呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(P,Q1+Q2)=e(P,Q1)e(P,Q2) ・・・(1)
e(P1+P2,Q)=e(P1,Q)e(P2,Q) ・・・(2)
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab ・・・(3)
【0032】
図1は、本実施形態に係る鍵交換システム1の機能構成を示すブロック図である。
4つの端末10(10A、10B、10C及び10D)は、ネットワークを介して接続されている。そして、端末10は、それぞれ、制御部11と、記憶部12と、入力部13と、表示部14と、通信部15とを備える。
【0033】
制御部11は、端末10の全体を制御する部分であり、記憶部12に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部11は、CPU(Central Processing Unit)であってよい。なお、制御部11が備える各部の機能は後述する。
【0034】
記憶部12は、ハードウェア群を端末10として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ハードディスク(HDD)であってよい。具体的には、記憶部12には、本実施形態の各種機能を制御部11に実行させるプログラムと、端末固有の秘密情報及び各種公開情報とが記憶される。
【0035】
入力部13は、端末10に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部13は、例えば、キーボード、マウス及びタッチパネル等により構成される。
【0036】
表示部14は、ユーザにデータの入力を受け付ける画面を表示したり、端末10による処理結果の画面を表示したりするものである。表示部14は、ブラウン管表示装置(CRT)や液晶表示装置(LCD)等のディスプレイ装置であってよい。
【0037】
通信部15は、ネットワークを介して外部装置と通信を行うネットワーク・アダプタである。通信部15は、4つの端末間での相互の通信を確立し、互いに各種データの送受信を行う。具体的には、本実施形態では、共通鍵の生成に用いられる各種公開情報が送受信される。
【0038】
次に、端末10の制御部11の機能を詳述する。
各端末10には、共通して、予め公開要素として、ペアリングの演算が可能な楕円曲線上の点Gが与えられている。以下、4つの端末10のうち、代表して端末10Aを説明する。
【0039】
制御部11は、秘密情報選択部111(選択部)と、1次公開情報生成部112(第1の公開情報生成部)と、1次公開情報送信部113(第1の送信部)と、1次公開情報受信部114(第1の受信部)と、2次公開情報生成部115(第2の公開情報生成部)と、2次公開情報送信部116(第2の送信部)と、2次公開情報受信部117(第2の受信部)と、共通鍵生成部118(鍵生成部)とを備える。
【0040】
秘密情報選択部111は、自然数からなる端末10Aに固有の秘密情報(a∈Zp*)をランダムに選択する。なお、端末10Bは秘密情報bを、端末10Cは秘密情報cを、端末10Dは秘密情報dを選択する。
【0041】
1次公開情報生成部112は、GDHグループに属する公開要素(G)に対して、自身の秘密情報(a)により演算(a倍)を行い、1次公開情報(aG;第1の公開情報)を生成する。
【0042】
1次公開情報送信部113は、1次公開情報生成部112により生成された1次公開情報(aG)を公開する。具体的には、1次公開情報送信部113は、1次公開情報(aG)を、通信部15を介して、他の端末10B、10C又は10Dへ送信する。
【0043】
なお、公開された1次公開情報(aG)から秘密情報(a)を求めることは、楕円曲線上の離散対数問題により困難なため、秘密情報の秘匿性が保たれる。
【0044】
1次公開情報受信部114は、他の端末10B、10C又は10Dの1次公開情報送信部113から送信された1次公開情報(bG、cG又はdG)を、通信部15を介して受信する。
【0045】
2次公開情報生成部115は、1次公開情報受信部114により受信された1次公開情報(bG、cG又はdG)に対して、自身の秘密情報(a)により演算(a倍)を行い、2次公開情報(abG、acG又はadG;第2の公開情報)を生成する。
【0046】
2次公開情報送信部116は、2次公開情報生成部115により生成された2次公開情報(bG、cG又はdG)を公開する。具体的には、2次公開情報送信部116は、2次公開情報(bG、cG又はdG)を、通信部15を介して、他の端末10B、10C又は10Dへ送信する。
【0047】
なお、公開された1次公開情報(aG)及び2次公開情報(abG、acG又はadG)から秘密情報(a)を求めることは、楕円曲線上の離散対数問題及びCDH問題により困難なため、秘密情報の秘匿性が保たれる。
【0048】
2次公開情報受信部117は、他の端末10B、10C又は10Dの2次公開情報送信部116から送信された2次公開情報(abG、acG、adG、bcG、bdG又はcdG)を、通信部15を介して受信する。
【0049】
共通鍵生成部118は、2次公開情報生成部115により生成された又は2次公開情報受信部117により受信された2次公開情報、及び自身の秘密情報(a)に基づいて、ペアリング関数を用いて共通鍵を生成する。
【0050】
具体的には、共通鍵生成部118は、共通鍵Keyを、例えば、
【数1】
により算出する。なお、算出の式は一例であって、式(8)が成立するように、例えば、式(4)の第1項は、e(acG,bdG)やe(adG,bcG)に置き換えることもできる。
【0051】
端末10B、10C及び10Dにおいても、それぞれ同様に、公開情報と自身の秘密情報とを用いることで、式(8)と同一の共通鍵を算出できる。
【0052】
このようにして算出された共通鍵は、ペアリング関数e(G,G)に対して、4つの端末10の秘密情報(a、b、c及びd)からなる5次の値をべき乗した値となっている。一方、公開されている情報は、公開要素Gに対して秘密情報からなる1次の値を乗じた1次公開情報と、1次公開情報に対して秘密情報からなる1次の値を乗じた、すなわち秘密情報からなる2次の値を乗じた2次公開情報である。このため、公開情報をどのような組み合わせでペアリング関数に入力しても、秘密情報の高々4次までの値しか求められない。したがって、いずれの秘密情報(a、b、c又はd)も知らない第三者が、公開情報のみから上記の共通鍵を算出することはできないため、鍵交換システム1により安全に鍵交換が行われている。
【0053】
図2は、実施形態に係る鍵交換システム1における鍵交換方法を示す概要図である。
端末10Aは、秘密情報a及び公開要素Gを、端末10Bは、秘密情報b及び公開要素Gを、端末10Cは、秘密情報c及び公開要素Gを、端末10Dは、秘密情報d及び公開要素Gを有している。
【0054】
4つの端末10のいずれかにより1次公開情報(aG、bG、cG及びdG)が生成され、端末間で送受信されることにより公開される。
また、これらの1次公開情報を用いて、4つの端末10のいずれかにより2次公開情報(abG、acG、adG、bcG、bdG及びcdG)が生成され、同様に端末間で送受信されることにより公開される。
【0055】
そして、各端末10は、公開された2次公開情報と、自身の秘密情報とに基づいて、共通鍵を生成する。
【0056】
ここで、2次公開情報は、用いられる2つの秘密情報の一方を有するいずれかの端末10で生成可能であるため、各端末10において生成又は受信される2次公開情報が重複する可能性がある。そこで、生成又は受信される2次公開情報が重複しないように、1次公開情報送信部113の送信先、及び2次公開情報送信部116の送信先が予め設定されていてよい。
【0057】
また、共通鍵生成部118は、6種類の2次公開情報(abG、acG、adG、bcG、bdG及びcdG)のうち、自身の秘密情報を用いずに演算された3種類、及び自身の秘密情報を用いて演算された1種類を用いて共通鍵を生成する。そこで、少なくともこれら最小限の公開情報を生成又は受信できるように、1次公開情報送信部113の送信先、及び2次公開情報送信部116の送信先が予め設定されていてよい。
【0058】
図3は、本実施形態に係る鍵交換システム1における公開情報の送受信パターンの一例を示す図である。
【0059】
まず、図3(a)のように、1次公開情報は、各端末10の1次公開情報送信部113により、6通りの組み合わせで送信される。そして、各端末10の2次公開情報生成部115は、受信した1次公開情報のそれぞれに応じて、2次公開情報を生成する。
【0060】
次に、端末10Aは、図3(b1)のように、自身の秘密情報を用いずに演算された3種類の2次公開情報を受信する。同様に、端末10Bは、図3(b2)のように、端末10Cは、図3(b3)のように、端末10Dは、図3(b4)のように、自身の秘密情報を用いずに演算された3種類の2次公開情報を受信する。
【0061】
そして、各端末10の共通鍵生成部118は、生成及び受信した2次公開情報に基づいて、共通鍵を生成する。これにより、鍵交換システム1は、最小限の通信及び演算回数により、鍵交換を行える。
【0062】
図4は、本実施形態に係る鍵交換システム1における端末の処理手順を示すフローチャートである。なお、端末10Aにおける具体例を、図3の送受信パターンに沿って例示する。
【0063】
ステップS1では、秘密情報選択部111は、秘密情報(a)を選択する。
ステップS2では、1次公開情報生成部112は、公開要素(G)と、ステップS1で選択された秘密情報(a)とから、1次公開情報(aG)を生成する。
ステップS3では、1次公開情報送信部113は、ステップS2で生成された1次公開情報(aG)を、他の端末(端末10D)へ送信する。
【0064】
ステップS4では、1次公開情報受信部114は、他の端末10(端末10B及び10C)から送信された1次公開情報(bG及びcG)を受信する。
ステップS5では、2次公開情報生成部115は、ステップS4で受信された1次公開情報(bG及びcG)と、ステップS1で選択された秘密情報(a)とから、2次公開情報(abG及びacG)を生成する。
ステップS6では、2次公開情報送信部116は、ステップS5で生成された2次公開情報を、他の端末10へ(abGを端末10C及び10Dへ、acGを端末10B及び10Dへ)送信する。
【0065】
ステップS7では、2次公開情報受信部117は、他の端末10から2次公開情報を(端末10BからbcG及びbdGを、端末10CからcdGを)受信する。
ステップS8では、共通鍵生成部118は、生成した2次公開情報(例えば、abG)と、受信した2次公開情報(bcG、bdG及びcdG)とを用いて、共通鍵を生成する。
【0066】
このように、本実施形態によれば、鍵交換システム1において、各端末は、秘密情報を用いた楕円曲線上の演算により、1次公開情報及び2次公開情報を公開する。したがって、鍵交換システム1は、楕円曲線上の離散対数問題及びCDH問題により秘密情報を求めることが困難な情報のみを公開するので、各端末が選択した秘密情報の秘匿性が保たれる。
【0067】
そして、各端末は、ペアリング関数を用いて、2次公開情報及び秘密情報により共通鍵を生成する。したがって、鍵交換システム1は、複数の鍵交換方式を組み合わせることなく、同一の共通鍵を4者間で容易に共有することができる。その結果、メモリコスト、通信コスト、処理負荷の軽減が期待できる。
【0068】
また、鍵交換システム1は、公開情報として、秘密情報が1次の値、及び2次の値を公開する。そして、これらの公開情報をどのような組み合わせでペアリング関数に入力しても、秘密情報の高々4次までの値しか求められないのに対して、鍵交換システム1は、秘密情報が5次の値を用いた共通鍵を生成する。したがって、いずれの秘密情報も知らない第三者が、公開情報のみから共通鍵を算出することはできないため、鍵交換の安全性が向上する。
【0069】
また、鍵交換システム1は、公開情報の重複や、冗長な演算及び通信を抑制するので、さらに公開情報の演算回数及び通信回数が減少し、処理負荷を低減できる。
【0070】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
【0071】
前述の実施形態において、ペアリング関数への入力である2つの引数は、ペアリングの演算が可能な楕円曲線上の点Gのスカラー倍として表されるが、この楕円曲線は、第1引数と第2引数とで共通でなくてもよい。すなわち、ペアリング関数の第1引数用と第2引数用とに、それぞれ異なる楕円曲線上の2点(G1又はG2)が与えられていてもよい。
この場合、前述の実施形態の説明におけるペアリング関数の第1引数に表れるGはG1に、第2引数に表れるGはG2に読み替えられる。また、楕円曲線上の点を用いて生成される前述の各種公開情報は、ペアリング関数の第1引数又は第2引数のいずれに入力されるかに応じて、G1若しくはG2のいずれかを用いて1種類、又は双方を用いて2種類生成される。
このことにより、公開情報の数、すなわち演算回数が増加する場合があるが、ペアリング関数の演算において並列して処理できるため、計算時間の短縮が期待できる。
【符号の説明】
【0072】
1 鍵交換システム
10(10A、10B、10C、10D) 端末
11 制御部
12 記憶部
13 入力部
14 表示部
15 通信部
111 秘密情報選択部(選択部)
112 1次公開情報生成部(第1の公開情報生成部)
113 1次公開情報送信部(第1の送信部)
114 1次公開情報受信部(第1の受信部)
115 2次公開情報生成部(第2の公開情報生成部)
116 2次公開情報送信部(第2の送信部)
117 2次公開情報受信部(第2の受信部)
118 共通鍵生成部(鍵生成部)
【特許請求の範囲】
【請求項1】
4つの端末が共通鍵を共有する鍵交換システムであって、
各端末は、
自然数からなる秘密情報を選択する選択部と、
GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成部と、
前記第1の公開情報生成部により生成された前記第1の公開情報を、他の端末へ送信する第1の送信部と、
前記他の端末から送信された前記第1の公開情報を受信する第1の受信部と、
前記第1の受信部により受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成部と、
前記第2の公開情報生成部により生成された前記第2の公開情報を、他の端末へ送信する第2の送信部と、
前記他の端末から送信された前記第2の公開情報を受信する第2の受信部と、
前記第2の公開情報生成部により生成された又は前記第2の受信部により受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成部と、を備える鍵交換システム。
【請求項2】
前記第1の公開情報生成部は、前記公開要素に対して、前記秘密情報からなる1次の値を乗じて、前記第1の公開情報を生成し、
前記第2の公開情報生成部は、前記第1の公開情報に対して、前記秘密情報からなる1次の値を乗じて、前記第2の公開情報を生成し、
前記鍵生成部は、双線形のペアリング関数に対して、前記4つの端末の秘密情報からなる5次の値をべき乗した値を前記共通鍵として生成する請求項1に記載の鍵交換システム。
【請求項3】
前記各端末において生成又は受信される前記第2の公開情報が重複しないように、前記第1の送信部の送信先、及び前記第2の送信部の送信先が予め設定されている請求項1又は請求項2に記載の鍵交換システム。
【請求項4】
前記各端末において生成又は受信される前記第2の公開情報は、自端末の秘密情報を用いずに演算された3種類、及び自端末の秘密情報を用いて演算された1種類である請求項3に記載の鍵交換システム。
【請求項5】
4つの端末が共通鍵を共有する鍵交換方法であって、
各端末は、
自然数からなる秘密情報を選択する選択ステップと、
GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、
前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、
前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、
前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、
前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、
前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、
前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行する鍵交換方法。
【請求項6】
4つの端末に共通鍵を共有させる鍵交換プログラムであって、
各端末に、
自然数からなる秘密情報を選択する選択ステップと、
GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、
前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、
前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、
前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、
前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、
前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、
前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行させる鍵交換プログラム。
【請求項1】
4つの端末が共通鍵を共有する鍵交換システムであって、
各端末は、
自然数からなる秘密情報を選択する選択部と、
GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成部と、
前記第1の公開情報生成部により生成された前記第1の公開情報を、他の端末へ送信する第1の送信部と、
前記他の端末から送信された前記第1の公開情報を受信する第1の受信部と、
前記第1の受信部により受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成部と、
前記第2の公開情報生成部により生成された前記第2の公開情報を、他の端末へ送信する第2の送信部と、
前記他の端末から送信された前記第2の公開情報を受信する第2の受信部と、
前記第2の公開情報生成部により生成された又は前記第2の受信部により受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成部と、を備える鍵交換システム。
【請求項2】
前記第1の公開情報生成部は、前記公開要素に対して、前記秘密情報からなる1次の値を乗じて、前記第1の公開情報を生成し、
前記第2の公開情報生成部は、前記第1の公開情報に対して、前記秘密情報からなる1次の値を乗じて、前記第2の公開情報を生成し、
前記鍵生成部は、双線形のペアリング関数に対して、前記4つの端末の秘密情報からなる5次の値をべき乗した値を前記共通鍵として生成する請求項1に記載の鍵交換システム。
【請求項3】
前記各端末において生成又は受信される前記第2の公開情報が重複しないように、前記第1の送信部の送信先、及び前記第2の送信部の送信先が予め設定されている請求項1又は請求項2に記載の鍵交換システム。
【請求項4】
前記各端末において生成又は受信される前記第2の公開情報は、自端末の秘密情報を用いずに演算された3種類、及び自端末の秘密情報を用いて演算された1種類である請求項3に記載の鍵交換システム。
【請求項5】
4つの端末が共通鍵を共有する鍵交換方法であって、
各端末は、
自然数からなる秘密情報を選択する選択ステップと、
GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、
前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、
前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、
前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、
前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、
前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、
前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行する鍵交換方法。
【請求項6】
4つの端末に共通鍵を共有させる鍵交換プログラムであって、
各端末に、
自然数からなる秘密情報を選択する選択ステップと、
GDH(GAP−Diffie−Hellman)グループに属する公開要素に対して、前記秘密情報により演算を行い、第1の公開情報を生成する第1の公開情報生成ステップと、
前記第1の公開情報生成ステップにおいて生成された前記第1の公開情報を、他の端末へ送信する第1の送信ステップと、
前記他の端末から送信された前記第1の公開情報を受信する第1の受信ステップと、
前記第1の受信ステップにおいて受信された前記第1の公開情報に対して、前記秘密情報により演算を行い、第2の公開情報を生成する第2の公開情報生成ステップと、
前記第2の公開情報生成ステップにおいて生成された前記第2の公開情報を、他の端末へ送信する第2の送信ステップと、
前記他の端末から送信された前記第2の公開情報を受信する第2の受信ステップと、
前記第2の公開情報生成ステップにおいて生成された又は前記第2の受信ステップにおいて受信された前記第2の公開情報、及び前記秘密情報に基づいて、前記共通鍵を生成する鍵生成ステップと、を実行させる鍵交換プログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−60619(P2012−60619A)
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願番号】特願2010−204932(P2010−204932)
【出願日】平成22年9月13日(2010.9.13)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願日】平成22年9月13日(2010.9.13)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]