JPH10200520A - 鍵管理方法及びシステム - Google Patents
鍵管理方法及びシステムInfo
- Publication number
- JPH10200520A JPH10200520A JP9003644A JP364497A JPH10200520A JP H10200520 A JPH10200520 A JP H10200520A JP 9003644 A JP9003644 A JP 9003644A JP 364497 A JP364497 A JP 364497A JP H10200520 A JPH10200520 A JP H10200520A
- Authority
- JP
- Japan
- Prior art keywords
- key
- session
- user
- information
- secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 執行機関5が暗号文解読を実施する場合、そ
の定めの範囲内に限定する。 【解決手段】 鍵管理機関装置3,4に、システム秘密
鍵Ss1,Ss2、ユーザ秘密情報Si1,Si2を登録し、暗
号通信時に、発信ユーザ1はマスター鍵Kabと日時情報
Dにより、Kd=gKabD(modn)を作り、メッセージ暗
号化用の鍵Ks をKd で暗号化してデータLEAFを作
り、受信側ユーザ2はユーザ1と同様の手法でKd を作
り、このKd でLEAFを復号してKs を得る。機関5
が解読する際には、機関3,4はKab、Dと乱数R1 ,
R2 を用いて鍵K1 ,K2 を作って機関5へ提供し、機
関5はK1 ,K2 から鍵K* =K1 ・K2 を生成して、
機関3,4へ送り、機関3,4でK* からそれぞれ
R1 ,R2 を消去する準備をしてK1 ′,K2 ′を機関
5へ送り機関5はK1 ′,K2 ′からKd を作り、Kd
でLEAFを復号してKs を得る。
の定めの範囲内に限定する。 【解決手段】 鍵管理機関装置3,4に、システム秘密
鍵Ss1,Ss2、ユーザ秘密情報Si1,Si2を登録し、暗
号通信時に、発信ユーザ1はマスター鍵Kabと日時情報
Dにより、Kd=gKabD(modn)を作り、メッセージ暗
号化用の鍵Ks をKd で暗号化してデータLEAFを作
り、受信側ユーザ2はユーザ1と同様の手法でKd を作
り、このKd でLEAFを復号してKs を得る。機関5
が解読する際には、機関3,4はKab、Dと乱数R1 ,
R2 を用いて鍵K1 ,K2 を作って機関5へ提供し、機
関5はK1 ,K2 から鍵K* =K1 ・K2 を生成して、
機関3,4へ送り、機関3,4でK* からそれぞれ
R1 ,R2 を消去する準備をしてK1 ′,K2 ′を機関
5へ送り機関5はK1 ′,K2 ′からKd を作り、Kd
でLEAFを復号してKs を得る。
Description
【0001】
【発明の属する技術分野】この発明は、暗号通信システ
ムにおいて、法律または契約等に基づき通信中またはデ
ータベース等に蓄積された暗号文を解読する権限、もし
くは暗号文を復号するためのセッション鍵を複製する権
限を有する執行機関が、その定めの範囲内に限り確実に
暗号文を解読し、またはセッション鍵を複製できるよう
にすると同時に、その定めを逸脱して執行機関が不当に
暗号文を解読し、またはセッション鍵を複製することに
よってユーザ(利用者)のプライバシーが侵害されるこ
とがないようにするための鍵管理方法及びシステムに関
する。
ムにおいて、法律または契約等に基づき通信中またはデ
ータベース等に蓄積された暗号文を解読する権限、もし
くは暗号文を復号するためのセッション鍵を複製する権
限を有する執行機関が、その定めの範囲内に限り確実に
暗号文を解読し、またはセッション鍵を複製できるよう
にすると同時に、その定めを逸脱して執行機関が不当に
暗号文を解読し、またはセッション鍵を複製することに
よってユーザ(利用者)のプライバシーが侵害されるこ
とがないようにするための鍵管理方法及びシステムに関
する。
【0002】
【従来の技術】近年、暗号化技術は情報化社会を担う基
盤技術として広く研究され、極めて強力な暗号化技術が
開発されてきている。一方で、強力な暗号化技術が開発
されるにつれ、従来から不正行為とされてきた通信の盗
聴や改ざんは防止できるようになったものの、今度は暗
号化技術自体が反社会的行為に利用される懸念が広まっ
ている。しかし、現在の暗号化技術では、いかなるもの
も通信の盗聴が出来ないことを目的としているため、仮
に反社会的行為に利用されていたとしてもそれを認知し
たり、あるいは摘発したりすることは出来ない。
盤技術として広く研究され、極めて強力な暗号化技術が
開発されてきている。一方で、強力な暗号化技術が開発
されるにつれ、従来から不正行為とされてきた通信の盗
聴や改ざんは防止できるようになったものの、今度は暗
号化技術自体が反社会的行為に利用される懸念が広まっ
ている。しかし、現在の暗号化技術では、いかなるもの
も通信の盗聴が出来ないことを目的としているため、仮
に反社会的行為に利用されていたとしてもそれを認知し
たり、あるいは摘発したりすることは出来ない。
【0003】また、企業防衛の観点から社内の重要なフ
ァイルなどを暗号化して保管しておく等の対策を取って
いる企業も見受けられるようになったが、一方で事故や
災害、その他何らかの理由によって暗号化されたファイ
ルが復号できなくなる事態が発生した場合でも、現在の
暗号化技術ではそのファイルを復号する手段はもはや存
在せず、そのファイルは永遠に利用不可能なものとな
る。
ァイルなどを暗号化して保管しておく等の対策を取って
いる企業も見受けられるようになったが、一方で事故や
災害、その他何らかの理由によって暗号化されたファイ
ルが復号できなくなる事態が発生した場合でも、現在の
暗号化技術ではそのファイルを復号する手段はもはや存
在せず、そのファイルは永遠に利用不可能なものとな
る。
【0004】このため、ある一定の条件下において法律
または契約等に基づく執行機関が暗号文を解読できるよ
うにする技術が欧米を中心に検討されており、これらは
キーリカバリーまたはキーエスクローという名前で呼ば
れている。これらの技術は、一般には暗号通信を利用す
るときに使用したセッション鍵を暗号化した上でLEA
F(Law Enhancement Access Field) 等の付加データの
中に格納、暗号文に付加しておき、裁判所命令あるいは
契約等により暗号文解読の許可が発せられたとき、執行
機関は付加データからセッション鍵を復元して暗号文を
解読することができるようにするものである。なかでも
代表的なのが、アメリカ政府が提唱しているEscrowed E
ncryption Standard(Federal Information Processing
Standards Publication(FIPS)185, U.S.Dept.of Commer
ce) である。
または契約等に基づく執行機関が暗号文を解読できるよ
うにする技術が欧米を中心に検討されており、これらは
キーリカバリーまたはキーエスクローという名前で呼ば
れている。これらの技術は、一般には暗号通信を利用す
るときに使用したセッション鍵を暗号化した上でLEA
F(Law Enhancement Access Field) 等の付加データの
中に格納、暗号文に付加しておき、裁判所命令あるいは
契約等により暗号文解読の許可が発せられたとき、執行
機関は付加データからセッション鍵を復元して暗号文を
解読することができるようにするものである。なかでも
代表的なのが、アメリカ政府が提唱しているEscrowed E
ncryption Standard(Federal Information Processing
Standards Publication(FIPS)185, U.S.Dept.of Commer
ce) である。
【0005】図6はEscrowed Encryption Standardの動
作概要である。この方式によれば、ユーザは耐タンパー
なチップであるクリッパーチップを利用して暗号通信を
行うことになる。このクリッパーチップにはSKIPJ
ACKとよばれる秘密暗号アルゴリズム、LEAFの秘
密生成アルゴリズム及び検証アルゴリズム等の複数のア
ルゴリズムと、装置番号、ユニット鍵及びファミリー鍵
等の複数の装置固有またはシステム共通のデータとが封
入されている。このチップは通信傍受機能の確保を目的
とした機密保持政策によりアメリカ政府の認可を受けた
製造工場でのみ製造が許可される仕組みのため、具体的
な構成は非公開である、動作概要のみ公表されている。
作概要である。この方式によれば、ユーザは耐タンパー
なチップであるクリッパーチップを利用して暗号通信を
行うことになる。このクリッパーチップにはSKIPJ
ACKとよばれる秘密暗号アルゴリズム、LEAFの秘
密生成アルゴリズム及び検証アルゴリズム等の複数のア
ルゴリズムと、装置番号、ユニット鍵及びファミリー鍵
等の複数の装置固有またはシステム共通のデータとが封
入されている。このチップは通信傍受機能の確保を目的
とした機密保持政策によりアメリカ政府の認可を受けた
製造工場でのみ製造が許可される仕組みのため、具体的
な構成は非公開である、動作概要のみ公表されている。
【0006】この動作概要によれば、まず製造工場11
は各々のクリッパーチップにアルゴリズム、データなど
を封入して流通させるとともに、ユニット鍵を二つのデ
ータに分割して装置番号とともに法律が指定する二つの
エスクローエージャンシー12,13に預ける。次に、
ユーザは何らかの方法によってセッション鍵をあらかじ
め共有している状況下で暗号通信を行う場合、送信者A
はセッション鍵及びメッセージをクリッパーチップ15
Aに入力する。クリッパーチップ15Aはメッセージを
セッション鍵を用いてSKIPJACKアルゴリズムに
よって暗号化部16で暗号化すると同時に、セッション
鍵を装置番号及びいくつかの非公開データとともにユニ
ット鍵及びファミリー鍵を用いて秘密生成アルゴリズム
によって暗号化部17で暗号化してLEAFを生成す
る。このようにして生成された暗号文及びLEAFが通
信相手に送信される。
は各々のクリッパーチップにアルゴリズム、データなど
を封入して流通させるとともに、ユニット鍵を二つのデ
ータに分割して装置番号とともに法律が指定する二つの
エスクローエージャンシー12,13に預ける。次に、
ユーザは何らかの方法によってセッション鍵をあらかじ
め共有している状況下で暗号通信を行う場合、送信者A
はセッション鍵及びメッセージをクリッパーチップ15
Aに入力する。クリッパーチップ15Aはメッセージを
セッション鍵を用いてSKIPJACKアルゴリズムに
よって暗号化部16で暗号化すると同時に、セッション
鍵を装置番号及びいくつかの非公開データとともにユニ
ット鍵及びファミリー鍵を用いて秘密生成アルゴリズム
によって暗号化部17で暗号化してLEAFを生成す
る。このようにして生成された暗号文及びLEAFが通
信相手に送信される。
【0007】また、受信者Bはセッション鍵、受信した
暗号文及びLEAFをクリッパーチップ15Bに入力す
る。クリッパーチップ15BはまずLEAFの正当性を
ファミリー鍵及び非公開データを用いて検証部18で検
証し、検証にパスした場合のみ暗号文をセッション鍵を
用いてSKIPJACKアルゴリズムによって復号部1
9で復号する。万が一、検証に失敗した場合には復号を
行わない。
暗号文及びLEAFをクリッパーチップ15Bに入力す
る。クリッパーチップ15BはまずLEAFの正当性を
ファミリー鍵及び非公開データを用いて検証部18で検
証し、検証にパスした場合のみ暗号文をセッション鍵を
用いてSKIPJACKアルゴリズムによって復号部1
9で復号する。万が一、検証に失敗した場合には復号を
行わない。
【0008】さらに、裁判所から検証令状を得て法執行
機関21が通信を傍受する場合、検証令状を二つのエス
クローエージャンシー12,13に提示することによっ
て、法執行機関21はクリッパーチップ15Aの分割さ
れたユニット鍵1,2のデータをそれぞれのエスクロー
エージャンシー12,13から受け取り、クリッパーチ
ップ15Aのユニット鍵を鍵再構成部22で再構成す
る。その後に、LEAFをファミリー鍵及び再構成した
ユニット鍵を用いて復号部23で復号してセッション鍵
を獲得する。このようにして獲得したセッション鍵を用
いることによって暗号文を復号部24で解読し、メッセ
ージを傍受することが出来るようになる。
機関21が通信を傍受する場合、検証令状を二つのエス
クローエージャンシー12,13に提示することによっ
て、法執行機関21はクリッパーチップ15Aの分割さ
れたユニット鍵1,2のデータをそれぞれのエスクロー
エージャンシー12,13から受け取り、クリッパーチ
ップ15Aのユニット鍵を鍵再構成部22で再構成す
る。その後に、LEAFをファミリー鍵及び再構成した
ユニット鍵を用いて復号部23で復号してセッション鍵
を獲得する。このようにして獲得したセッション鍵を用
いることによって暗号文を復号部24で解読し、メッセ
ージを傍受することが出来るようになる。
【0009】しかし、この方法についてはいくつかの問
題点があることが指摘されており、なかでも、(1)構
成の基本をなす部分が通信傍受機能を確保するとの理由
でほとんど非公開とされているため、具体的な動作が不
明であること、(2)法執行機関21が一度でも裁判所
の令状を得て通信を傍受した場合、当該装置に対するユ
ニット鍵を獲得してしまうため、それ以降は裁判所が許
可した範囲内かどうかに関わらず、過去、現在、未来に
わたって無条件に当該装置が発振側となる通信を傍受で
きるようになってしまうこと、(3)当該装置が受信側
であったときには、送信側装置に対するユニット鍵を獲
得しない限り通信傍受が不可能となり、もし通信傍受を
強行しようとすれば検証令状に含まれていないユーザの
装置に対するユニット鍵が開示されてしまうことになる
等が大きな問題点となっている。すなわち、法執行機関
の利益の方により重点が置かれた方式であり、法執行機
関によるプライバシー侵害の危険性が極めて高いとの懸
念が払拭できない。また、法執行機関の不正な通信傍受
に対し、裁判所による法的なコントロールが効かなくな
る点も無視できない。
題点があることが指摘されており、なかでも、(1)構
成の基本をなす部分が通信傍受機能を確保するとの理由
でほとんど非公開とされているため、具体的な動作が不
明であること、(2)法執行機関21が一度でも裁判所
の令状を得て通信を傍受した場合、当該装置に対するユ
ニット鍵を獲得してしまうため、それ以降は裁判所が許
可した範囲内かどうかに関わらず、過去、現在、未来に
わたって無条件に当該装置が発振側となる通信を傍受で
きるようになってしまうこと、(3)当該装置が受信側
であったときには、送信側装置に対するユニット鍵を獲
得しない限り通信傍受が不可能となり、もし通信傍受を
強行しようとすれば検証令状に含まれていないユーザの
装置に対するユニット鍵が開示されてしまうことになる
等が大きな問題点となっている。すなわち、法執行機関
の利益の方により重点が置かれた方式であり、法執行機
関によるプライバシー侵害の危険性が極めて高いとの懸
念が払拭できない。また、法執行機関の不正な通信傍受
に対し、裁判所による法的なコントロールが効かなくな
る点も無視できない。
【0010】
【発明が解決しようとする課題】この発明の目的は、法
律または契約等に基づいて実施される暗号文解読または
セッション鍵複製に対し、可能な限りのユーザのプライ
バシーを保護をする観点から、(1)公開プロトコル及
び公開アルゴリズムを使用すること、(2)法律または
契約等に基づいて執行機関が暗号文解読またはセッショ
ン鍵複製を実施する場合には、その定めの範囲内に限り
確実に暗号文を解読またはセッション鍵を複製できるこ
と、(3)執行機関がその定めを逸脱して不当に暗号文
を解読またはセッション鍵を複製しようとしても、暗号
文の解読及びセッション鍵の複製が出来ないこと、
(4)法律または契約等による権限を有しない者は、い
っさい暗号文の解読及びセッション鍵の複製が出来ない
ことを実現する鍵管理方法及びシステムを提供すること
にある。
律または契約等に基づいて実施される暗号文解読または
セッション鍵複製に対し、可能な限りのユーザのプライ
バシーを保護をする観点から、(1)公開プロトコル及
び公開アルゴリズムを使用すること、(2)法律または
契約等に基づいて執行機関が暗号文解読またはセッショ
ン鍵複製を実施する場合には、その定めの範囲内に限り
確実に暗号文を解読またはセッション鍵を複製できるこ
と、(3)執行機関がその定めを逸脱して不当に暗号文
を解読またはセッション鍵を複製しようとしても、暗号
文の解読及びセッション鍵の複製が出来ないこと、
(4)法律または契約等による権限を有しない者は、い
っさい暗号文の解読及びセッション鍵の複製が出来ない
ことを実現する鍵管理方法及びシステムを提供すること
にある。
【0011】
【課題を解決するための手段】この発明では、上記目的
を達成するための方法として、鍵管理機関または鍵生成
機関もしくはユーザが生成したシステム秘密鍵及びユー
ザ秘密情報または通信当事者を特定するマスター鍵Kab
を鍵管理機関が登録管理する過程と、暗号通信を行うと
きに発信側がマスター鍵Kabと日時情報とを含むデータ
を用いてセッション暗号化鍵Kdaとし、実際のメッセー
ジの暗号化に用いたセッション鍵KSを含むデータをセ
ッション暗号化鍵Kd によって暗号化することにより付
加データLEAFを生成する過程と、受信側が発信側と
同様の手法で生成したセッション暗号化鍵Kd を用いて
付加データLEAFを復号することによってセッション
鍵KSを獲得する過程と、及び暗号文解読またはセッシ
ョン鍵複製を行うときに鍵管理機関はマスター鍵Kabと
日時情報と乱数データR1 (R2 )とを含むデータを用
いて生成した疑似マスター鍵K1 (K2 )を執行機関に
提供し、執行機関は疑似マスター鍵K1 ,K2 を用いて
疑似セッション暗号化鍵K* を生成した後、鍵管理機関
に送付し、鍵管理機関は疑似セッション暗号化鍵K* か
ら乱数データR1 (R2 )を消去してK1 ′(K2 ′)
として執行機関に返送し、執行機関はK1 ′,K2 ′か
らセッション暗号化鍵Kd を再構成した後、セッション
暗号化鍵Kd を用いて付加データLEAFを復号してセ
ッション鍵KSを獲得し、さらに必要ならばそのセッシ
ョン鍵KS を利用して暗号文を解読する過程と、を有
することを特徴とする。なお、日時情報には法律または
契約等に基づいた時間的に許可された範囲内であるかど
うかを判断するための情報が含まれていればよいので、
実際の日時情報ではなくても送信番号、メッセージ番号
等、時間的に区別される情報であればどのような情報で
あっても良い。さらにこれらの情報が複数種類含まれて
いても構わないし、その他の情報、例えば送受信者のユ
ーザ名、乱数データ等の付加データがさらに付加されて
いても構わない。
を達成するための方法として、鍵管理機関または鍵生成
機関もしくはユーザが生成したシステム秘密鍵及びユー
ザ秘密情報または通信当事者を特定するマスター鍵Kab
を鍵管理機関が登録管理する過程と、暗号通信を行うと
きに発信側がマスター鍵Kabと日時情報とを含むデータ
を用いてセッション暗号化鍵Kdaとし、実際のメッセー
ジの暗号化に用いたセッション鍵KSを含むデータをセ
ッション暗号化鍵Kd によって暗号化することにより付
加データLEAFを生成する過程と、受信側が発信側と
同様の手法で生成したセッション暗号化鍵Kd を用いて
付加データLEAFを復号することによってセッション
鍵KSを獲得する過程と、及び暗号文解読またはセッシ
ョン鍵複製を行うときに鍵管理機関はマスター鍵Kabと
日時情報と乱数データR1 (R2 )とを含むデータを用
いて生成した疑似マスター鍵K1 (K2 )を執行機関に
提供し、執行機関は疑似マスター鍵K1 ,K2 を用いて
疑似セッション暗号化鍵K* を生成した後、鍵管理機関
に送付し、鍵管理機関は疑似セッション暗号化鍵K* か
ら乱数データR1 (R2 )を消去してK1 ′(K2 ′)
として執行機関に返送し、執行機関はK1 ′,K2 ′か
らセッション暗号化鍵Kd を再構成した後、セッション
暗号化鍵Kd を用いて付加データLEAFを復号してセ
ッション鍵KSを獲得し、さらに必要ならばそのセッシ
ョン鍵KS を利用して暗号文を解読する過程と、を有
することを特徴とする。なお、日時情報には法律または
契約等に基づいた時間的に許可された範囲内であるかど
うかを判断するための情報が含まれていればよいので、
実際の日時情報ではなくても送信番号、メッセージ番号
等、時間的に区別される情報であればどのような情報で
あっても良い。さらにこれらの情報が複数種類含まれて
いても構わないし、その他の情報、例えば送受信者のユ
ーザ名、乱数データ等の付加データがさらに付加されて
いても構わない。
【0012】また、上記目的を達成するためのシステム
として、ユーザ装置にはセッション鍵生成手段、マスタ
ー鍵生成手段、日時管理手段、セッション暗号化鍵生成
手段、付加データ生成手段、セッション鍵獲得手段及び
暗号手段を有し、鍵管理機関装置にはシステム秘密鍵管
理データベース、ユーザ秘密情報管理データベース、乱
数データ生成手段、疑似マスター鍵生成手段及び乱数デ
ータ消去手段を有し、執行機関装置には蓄積手段、疑似
セッション暗号化鍵生成手段、セッション暗号化鍵再構
成手段及び解析手段を有することを必須とし、さらにシ
ステム公開鍵及びシステム秘密鍵を生成する情報生成手
段を鍵管理機関装置または鍵生成機関装置に備え、ユー
ザ公開情報及びユーザ秘密情報またはマスター鍵を生成
するユーザ情報生成手段をユーザ装置または鍵生成機関
装置もしくは鍵管理機関装置に備えることを特徴とす
る。また、必要ならば暗号文を解読するための暗号手段
を執行機関装置に備えても良い。
として、ユーザ装置にはセッション鍵生成手段、マスタ
ー鍵生成手段、日時管理手段、セッション暗号化鍵生成
手段、付加データ生成手段、セッション鍵獲得手段及び
暗号手段を有し、鍵管理機関装置にはシステム秘密鍵管
理データベース、ユーザ秘密情報管理データベース、乱
数データ生成手段、疑似マスター鍵生成手段及び乱数デ
ータ消去手段を有し、執行機関装置には蓄積手段、疑似
セッション暗号化鍵生成手段、セッション暗号化鍵再構
成手段及び解析手段を有することを必須とし、さらにシ
ステム公開鍵及びシステム秘密鍵を生成する情報生成手
段を鍵管理機関装置または鍵生成機関装置に備え、ユー
ザ公開情報及びユーザ秘密情報またはマスター鍵を生成
するユーザ情報生成手段をユーザ装置または鍵生成機関
装置もしくは鍵管理機関装置に備えることを特徴とす
る。また、必要ならば暗号文を解読するための暗号手段
を執行機関装置に備えても良い。
【0013】
【作用】この発明によれば、セッション鍵KSを獲得し
暗号文を解読するためにはセッション暗号化鍵Kd を入
手することが必要であり、またそのセッション暗号化鍵
Kd はマスター鍵Kabと日時情報とを含むデータを用い
て得られることから、任意のセッション暗号化鍵Kd を
生成するためにはマスター鍵Kabを入手することが必要
となる。
暗号文を解読するためにはセッション暗号化鍵Kd を入
手することが必要であり、またそのセッション暗号化鍵
Kd はマスター鍵Kabと日時情報とを含むデータを用い
て得られることから、任意のセッション暗号化鍵Kd を
生成するためにはマスター鍵Kabを入手することが必要
となる。
【0014】しかし、このセッション暗号化鍵Kd から
マスター鍵Kabと日時情報とを含むデータを取り出すた
めには数学的に解法が極めて困難とされる離散対数問題
を解く必要があり、これは公開鍵暗号方法を解読するの
と同程度の困難性を有していると考えられている。した
がって、たとえセッション暗号化鍵Kd が得られたとし
ても執行機関及び権限を有しないものがセッション暗号
化鍵Kd を解読してマスター鍵Kabを取り出すことは出
来ない。
マスター鍵Kabと日時情報とを含むデータを取り出すた
めには数学的に解法が極めて困難とされる離散対数問題
を解く必要があり、これは公開鍵暗号方法を解読するの
と同程度の困難性を有していると考えられている。した
がって、たとえセッション暗号化鍵Kd が得られたとし
ても執行機関及び権限を有しないものがセッション暗号
化鍵Kd を解読してマスター鍵Kabを取り出すことは出
来ない。
【0015】一方、暗号文解読またはセッション鍵複製
を行うとき、執行機関が鍵管理機関から入手できるのは
疑似マスター鍵K1 ,K2 であり、これらから疑似セッ
ション暗号化鍵K* を求めることが出来る。しかし、疑
似セッション暗号化鍵K* からセッション暗号化鍵Kd
またはマスター鍵Kabを求めるには鍵管理機関が管理し
ている乱数データを消去する必要があり、その乱数デー
タを消去できるのは鍵管理機関だけである。ゆえに、鍵
管理機関はマスター鍵自体を執行機関に開かすことな
く、疑似セッション暗号化鍵K* から乱数データを消去
することによってセッション暗号化鍵Kd だけを執行機
関に渡すことが出来る。さらに、鍵管理機関が提供する
疑似マスター鍵K1 (K2 )は発信側、受信側を問わず
一方のユーザのユーザ秘密情報または通信当事者を特定
するマスター鍵のみしか使用しないで生成できるため、
範囲対象外のユーザのユーザ秘密情報またはマスター鍵
が使用されることはない。また、ユーザはセッション鍵
KSの送付を付加データLEAFを用いて行うため、も
し不当な付加データであればユーザ同士自身でもセッシ
ョン鍵の共有が出来ないことになるため、暗号通信が可
能である以上は正当な付加データが用いられていること
になる。したがって、法律または契約等に基づいて暗号
文解読またはセッション鍵複製が行われる場合、鍵管理
機関がその定めの範囲内であるかどうかを確認し、範囲
内であると認めた場合にのみセッション暗号化鍵Kd を
執行機関に渡すことになり、かつセッション暗号化鍵K
d が得られた場合には付加データが正当なものであるこ
とから必ずセッション鍵KSを求められ、ひいては暗号
文を解読することが出来る。
を行うとき、執行機関が鍵管理機関から入手できるのは
疑似マスター鍵K1 ,K2 であり、これらから疑似セッ
ション暗号化鍵K* を求めることが出来る。しかし、疑
似セッション暗号化鍵K* からセッション暗号化鍵Kd
またはマスター鍵Kabを求めるには鍵管理機関が管理し
ている乱数データを消去する必要があり、その乱数デー
タを消去できるのは鍵管理機関だけである。ゆえに、鍵
管理機関はマスター鍵自体を執行機関に開かすことな
く、疑似セッション暗号化鍵K* から乱数データを消去
することによってセッション暗号化鍵Kd だけを執行機
関に渡すことが出来る。さらに、鍵管理機関が提供する
疑似マスター鍵K1 (K2 )は発信側、受信側を問わず
一方のユーザのユーザ秘密情報または通信当事者を特定
するマスター鍵のみしか使用しないで生成できるため、
範囲対象外のユーザのユーザ秘密情報またはマスター鍵
が使用されることはない。また、ユーザはセッション鍵
KSの送付を付加データLEAFを用いて行うため、も
し不当な付加データであればユーザ同士自身でもセッシ
ョン鍵の共有が出来ないことになるため、暗号通信が可
能である以上は正当な付加データが用いられていること
になる。したがって、法律または契約等に基づいて暗号
文解読またはセッション鍵複製が行われる場合、鍵管理
機関がその定めの範囲内であるかどうかを確認し、範囲
内であると認めた場合にのみセッション暗号化鍵Kd を
執行機関に渡すことになり、かつセッション暗号化鍵K
d が得られた場合には付加データが正当なものであるこ
とから必ずセッション鍵KSを求められ、ひいては暗号
文を解読することが出来る。
【0016】また、日時情報は通信ごとまたはセッショ
ン鍵KS更新ごとに異なるため、セッション暗号化鍵K
d も通信ごとまたはセッション鍵更新ごとに異なる。し
たがって、執行機関が入手できたセッション暗号化鍵K
d もそれに対応する場合のセッション鍵KSの複製また
は暗号文の解読についてのみ有効なのであって、それ以
外の場合には役に立たない。
ン鍵KS更新ごとに異なるため、セッション暗号化鍵K
d も通信ごとまたはセッション鍵更新ごとに異なる。し
たがって、執行機関が入手できたセッション暗号化鍵K
d もそれに対応する場合のセッション鍵KSの複製また
は暗号文の解読についてのみ有効なのであって、それ以
外の場合には役に立たない。
【0017】ゆえに、権限を有しないものはもとより執
行機関でさえいかなる状況下にあってもマスター鍵自体
Kabを獲得することは出来ないので、任意のセッション
暗号化鍵Kdaが不正に生成されることはあり得ず、結果
として執行機関がその範囲を逸脱して不当に暗号文を解
読し、またはセッション鍵を複製することは出来ない。
行機関でさえいかなる状況下にあってもマスター鍵自体
Kabを獲得することは出来ないので、任意のセッション
暗号化鍵Kdaが不正に生成されることはあり得ず、結果
として執行機関がその範囲を逸脱して不当に暗号文を解
読し、またはセッション鍵を複製することは出来ない。
【0018】なお、この発明においてはアルゴリズムが
公開されている公開鍵暗号方式及び共通鍵暗号方式を用
いてシステムを構成することが出来る。
公開されている公開鍵暗号方式及び共通鍵暗号方式を用
いてシステムを構成することが出来る。
【0019】
【発明の実施の形態】以下、この発明の一実施例を図面
を用いて説明する。図1はこの発明の一実施例を示す鍵
管理システムの機能構成図である。図1において、発信
側ユーザ装置1は、ユーザ公開情報及びユーザ秘密情報
を生成するユーザ情報生成手段10、ユーザの操作によ
りセッション鍵KSを設定するセッション鍵生成手段1
1、通信当事者を特定するためのマスター鍵を生成する
マスター鍵生成手段12、通信日時等を示す情報を管理
する日時管理手段13、セッション鍵を暗号化するため
のセッション暗号化鍵を生成するセッション暗号化鍵生
成手段14、付加データを生成する付加データ生成手段
15、暗号通信を行うための共通鍵暗号手段16を備え
ている。受信側ユーザ装置2は、ユーザ公開情報及びユ
ーザ秘密情報を生成するユーザ情報生成手段20、付加
データが正当なデータであるかを検証する検証手段2
1、通信当事者を特定するためのマスター鍵を生成する
マスター鍵生成手段22、セッション鍵を暗号化するた
めのセッション暗号化鍵を生成するセッション暗号化鍵
生成手段23、付加データからセッション鍵を取り出す
セッション鍵獲得手段24、暗号通信を行うための共通
鍵暗号手段25を備えている。
を用いて説明する。図1はこの発明の一実施例を示す鍵
管理システムの機能構成図である。図1において、発信
側ユーザ装置1は、ユーザ公開情報及びユーザ秘密情報
を生成するユーザ情報生成手段10、ユーザの操作によ
りセッション鍵KSを設定するセッション鍵生成手段1
1、通信当事者を特定するためのマスター鍵を生成する
マスター鍵生成手段12、通信日時等を示す情報を管理
する日時管理手段13、セッション鍵を暗号化するため
のセッション暗号化鍵を生成するセッション暗号化鍵生
成手段14、付加データを生成する付加データ生成手段
15、暗号通信を行うための共通鍵暗号手段16を備え
ている。受信側ユーザ装置2は、ユーザ公開情報及びユ
ーザ秘密情報を生成するユーザ情報生成手段20、付加
データが正当なデータであるかを検証する検証手段2
1、通信当事者を特定するためのマスター鍵を生成する
マスター鍵生成手段22、セッション鍵を暗号化するた
めのセッション暗号化鍵を生成するセッション暗号化鍵
生成手段23、付加データからセッション鍵を取り出す
セッション鍵獲得手段24、暗号通信を行うための共通
鍵暗号手段25を備えている。
【0020】鍵管理機関装置3は、システム公開鍵及び
システム秘密鍵を生成する情報生成手段30、鍵管理機
関装置3,4はそれぞれ、システム秘密鍵を蓄積管理し
ておくシステム秘密鍵管理データベース31,41ユー
ザ秘密情報を蓄積管理しておくユーザ秘密情報管理デー
タベース33,43、乱数データを生成する乱数データ
生成手段34,44、疑似マスター鍵の生成する疑似マ
スター鍵生成手段35,45、疑似セッション暗号化鍵
から乱数データを消去する乱数データ消去手段36,4
6を備えている。執行機関装置5は傍受した暗号文及び
付加データを蓄積しておく蓄積手段50、疑似セッショ
ン暗号化鍵を生成する疑似セッション暗号化鍵生成手段
51、セッション暗号化鍵を再構成するセッション暗号
化鍵再構成手段52、セッション鍵を獲得する解析手段
53、暗号通信を解読するための共通鍵暗号手段54を
備えている。発信側ユーザ装置1と受信側ユーザ装置2
は通信回線6で互いに接続される。
システム秘密鍵を生成する情報生成手段30、鍵管理機
関装置3,4はそれぞれ、システム秘密鍵を蓄積管理し
ておくシステム秘密鍵管理データベース31,41ユー
ザ秘密情報を蓄積管理しておくユーザ秘密情報管理デー
タベース33,43、乱数データを生成する乱数データ
生成手段34,44、疑似マスター鍵の生成する疑似マ
スター鍵生成手段35,45、疑似セッション暗号化鍵
から乱数データを消去する乱数データ消去手段36,4
6を備えている。執行機関装置5は傍受した暗号文及び
付加データを蓄積しておく蓄積手段50、疑似セッショ
ン暗号化鍵を生成する疑似セッション暗号化鍵生成手段
51、セッション暗号化鍵を再構成するセッション暗号
化鍵再構成手段52、セッション鍵を獲得する解析手段
53、暗号通信を解読するための共通鍵暗号手段54を
備えている。発信側ユーザ装置1と受信側ユーザ装置2
は通信回線6で互いに接続される。
【0021】次に上記実施例の動作方法について図面を
用いて説明する。なお、ここでは公開鍵暗号方式として
RSA暗号(R. L. Rivest, A. Shamir,L. Adleman,
“A method for obtaining digital signature and pub
lic-key cryptosystem, ”Communication of ACM, vol.
21, No.2, 1978.2) を用いる。始めにシステム構築時に
おける動作方法を図2に示す。
用いて説明する。なお、ここでは公開鍵暗号方式として
RSA暗号(R. L. Rivest, A. Shamir,L. Adleman,
“A method for obtaining digital signature and pub
lic-key cryptosystem, ”Communication of ACM, vol.
21, No.2, 1978.2) を用いる。始めにシステム構築時に
おける動作方法を図2に示す。
【0022】ステップA1:鍵管理機関装置3は情報生
成手段30において以下の情報を用意する。(1)二つ
の大きな素数p,q、(2)n=pq、(3)g、
(4)Rs 、(5)Ps ,Ss 、但し、任意のMについ
てMPsSs=M(mod n)を満たす。 ステップA2:鍵管理機関装置3はn,g,Ps ,g
1/Rsをシステム公開鍵として全ての加入ユーザに公開す
る。
成手段30において以下の情報を用意する。(1)二つ
の大きな素数p,q、(2)n=pq、(3)g、
(4)Rs 、(5)Ps ,Ss 、但し、任意のMについ
てMPsSs=M(mod n)を満たす。 ステップA2:鍵管理機関装置3はn,g,Ps ,g
1/Rsをシステム公開鍵として全ての加入ユーザに公開す
る。
【0023】ステップA3:Ss をSs1,Ss2の二つに
分割し、Ps ,Ss1,p,q,Rsを鍵管理機関装置3
のシステム秘密鍵管理データベース31において、また
Ps,Ss2,p,q,Rs を鍵管理機関装置4のシステ
ム秘密鍵管理データベース41において厳重に保管す
る。ここでSs =Ss1+Ss2を満たす。なお、p,q,
Rs ,Ss ,Ss1,Ss2はシステム上極めて重要なシス
テム秘密鍵であり、いかなる場合でも外部に流出するこ
とがないよう厳重に保管しなければならない。
分割し、Ps ,Ss1,p,q,Rsを鍵管理機関装置3
のシステム秘密鍵管理データベース31において、また
Ps,Ss2,p,q,Rs を鍵管理機関装置4のシステ
ム秘密鍵管理データベース41において厳重に保管す
る。ここでSs =Ss1+Ss2を満たす。なお、p,q,
Rs ,Ss ,Ss1,Ss2はシステム上極めて重要なシス
テム秘密鍵であり、いかなる場合でも外部に流出するこ
とがないよう厳重に保管しなければならない。
【0024】ここでは鍵管理機関装置3が単独でシステ
ム公開鍵及びシステム秘密鍵を生成するものとして説明
したが、この発明はこれに限定されるわけではなく、鍵
管理機関装置4が単独で、あるいは鍵管理機関装置3と
鍵管理機関装置4が協力して生成したり、もしくは信頼
できる鍵生成機関が生成し、鍵管理機関装置3及び鍵管
理機関装置4にシステム秘密鍵を配布する場合を排除す
るものではない。
ム公開鍵及びシステム秘密鍵を生成するものとして説明
したが、この発明はこれに限定されるわけではなく、鍵
管理機関装置4が単独で、あるいは鍵管理機関装置3と
鍵管理機関装置4が協力して生成したり、もしくは信頼
できる鍵生成機関が生成し、鍵管理機関装置3及び鍵管
理機関装置4にシステム秘密鍵を配布する場合を排除す
るものではない。
【0025】次に、ユーザがシステムに加入する場合の
動作手順を図3に示す。 ステップB1:ユーザiはユーザ情報生成手段10(2
0)において自分の秘密情報Si 及び公開情報Pi =g
Si modnを設定する。 ステップB2:秘密情報Si をSi1,Si2の二つに分割
し、安全かつ秘密裏に鍵管理機関装置3に対してPi ,
Si1を、また鍵管理機関装置4に対してPi ,Si2を送
付する。ここでSi =Si1+Si2を満たす。
動作手順を図3に示す。 ステップB1:ユーザiはユーザ情報生成手段10(2
0)において自分の秘密情報Si 及び公開情報Pi =g
Si modnを設定する。 ステップB2:秘密情報Si をSi1,Si2の二つに分割
し、安全かつ秘密裏に鍵管理機関装置3に対してPi ,
Si1を、また鍵管理機関装置4に対してPi ,Si2を送
付する。ここでSi =Si1+Si2を満たす。
【0026】ステップB3:鍵管理機関装置3(鍵管理
機関装置4)はユーザから送付された情報をユーザ秘密
情報管理データベース33(43)において厳重に保管
する。ここではユーザ自身がユーザ公開情報及びユーザ
秘密情報を生成するものとして説明したが、この発明は
これに限定されるものではなく、ユーザに代わって、鍵
管理機関装置3(4)または信頼できる鍵生成機関が生
成し、ユーザ、鍵管理機関装置3、鍵管理機関装置4に
対して必要な情報を安全かつ秘密裏に送付する場合を排
除するものではない。
機関装置4)はユーザから送付された情報をユーザ秘密
情報管理データベース33(43)において厳重に保管
する。ここではユーザ自身がユーザ公開情報及びユーザ
秘密情報を生成するものとして説明したが、この発明は
これに限定されるものではなく、ユーザに代わって、鍵
管理機関装置3(4)または信頼できる鍵生成機関が生
成し、ユーザ、鍵管理機関装置3、鍵管理機関装置4に
対して必要な情報を安全かつ秘密裏に送付する場合を排
除するものではない。
【0027】次に、ユーザAとユーザBが暗号通信を行
う場合の動作手順を図4に示す。なお、発信側をA、受
信側をBとし、以下のステップC1〜C5はユーザAの
装置1が、ステップC6〜C9はユーザBの装置2が行
うものとする。 ステップC1:セッション鍵生成手段11を用いて、セ
ッション鍵KSを自由に設定する。
う場合の動作手順を図4に示す。なお、発信側をA、受
信側をBとし、以下のステップC1〜C5はユーザAの
装置1が、ステップC6〜C9はユーザBの装置2が行
うものとする。 ステップC1:セッション鍵生成手段11を用いて、セ
ッション鍵KSを自由に設定する。
【0028】ステップC2:マスター鍵生成手段12を
用いてユーザAのユーザ秘密情報Sa とユーザBのユー
ザ公開情報Pb とからユーザAとユーザBのマスター鍵
Kab=Pb Sa=gSaSb (mod n)を求める。 ステップC3:マスター鍵Kabと日時管理手段13から
得られた日時情報Dとを用いてセッション暗号化鍵生成
手段14において、セッション暗号化鍵Kd =gKabD(m
odn)を求める。つまりKabとDでgを暗号化してKd
を求める。
用いてユーザAのユーザ秘密情報Sa とユーザBのユー
ザ公開情報Pb とからユーザAとユーザBのマスター鍵
Kab=Pb Sa=gSaSb (mod n)を求める。 ステップC3:マスター鍵Kabと日時管理手段13から
得られた日時情報Dとを用いてセッション暗号化鍵生成
手段14において、セッション暗号化鍵Kd =gKabD(m
odn)を求める。つまりKabとDでgを暗号化してKd
を求める。
【0029】ステップC4:付加データ生成手段15に
おいてセッション暗号化鍵Kd を用いてセッション鍵K
Sに関する付加データLEAF={f(KS ,Kd )
|D|checksum}を生成する。ここで、f(M,K)は
任意の共通鍵暗号方式fであり、かつMを鍵Kで暗号化
することを表す。また、|は連結を表し、checksumは付
加データLEAFの正当性を示すチェックサムデータで
ある。
おいてセッション暗号化鍵Kd を用いてセッション鍵K
Sに関する付加データLEAF={f(KS ,Kd )
|D|checksum}を生成する。ここで、f(M,K)は
任意の共通鍵暗号方式fであり、かつMを鍵Kで暗号化
することを表す。また、|は連結を表し、checksumは付
加データLEAFの正当性を示すチェックサムデータで
ある。
【0030】ステップC5:付加データLEAFをユー
ザBの装置2へ通信回線6を通じて送付する。 ステップC6:検証手段21においてchecksumを用いて
付加データLEAFの正当性を検証する。検証に失敗し
た場合には通信を切断する。 ステップC7:マスター鍵生成手段22を用いてユーザ
Bのユーザ秘密情報Sb とユーザAのユーザ公開情報P
a とからユーザAとユーザBのマスター鍵Kab=Pa Sb
=gSaSb(modn)を求める。
ザBの装置2へ通信回線6を通じて送付する。 ステップC6:検証手段21においてchecksumを用いて
付加データLEAFの正当性を検証する。検証に失敗し
た場合には通信を切断する。 ステップC7:マスター鍵生成手段22を用いてユーザ
Bのユーザ秘密情報Sb とユーザAのユーザ公開情報P
a とからユーザAとユーザBのマスター鍵Kab=Pa Sb
=gSaSb(modn)を求める。
【0031】ステップC8:付加データLEAFから日
時情報Dを取り出し、マスター鍵Kabと日時情報Dを用
いてセッション暗号化鍵生成手段23においてセッショ
ン暗号化鍵 Kd =gKabD(modn)を求める。 ステップC9:セッション鍵獲得手段24においてセッ
ション暗号化鍵Kd を用いて付加データLEAFからセ
ッション鍵KS=f-1(f(KS ,Kd ),Kd )を
求める。ここで、f-1(C,K)は共通鍵暗号方式fで
あり、かつCを鍵Kで復号することを表す。
時情報Dを取り出し、マスター鍵Kabと日時情報Dを用
いてセッション暗号化鍵生成手段23においてセッショ
ン暗号化鍵 Kd =gKabD(modn)を求める。 ステップC9:セッション鍵獲得手段24においてセッ
ション暗号化鍵Kd を用いて付加データLEAFからセ
ッション鍵KS=f-1(f(KS ,Kd ),Kd )を
求める。ここで、f-1(C,K)は共通鍵暗号方式fで
あり、かつCを鍵Kで復号することを表す。
【0032】ステップC10:ユーザAの装置1とユー
ザBの装置2はセッション鍵KSを用いてそれぞれ共通
鍵暗号手段16,25を利用して通信回線6を通じて暗
号通信を行う。 ステップC11:ユーザAまたはユーザBの一方がセッ
ション鍵KS を変更したいと考えたときには、セッシ
ョン鍵KS ヲ変更しようとしたユーザを発信側として
ステップC1からの動作を繰り返す。
ザBの装置2はセッション鍵KSを用いてそれぞれ共通
鍵暗号手段16,25を利用して通信回線6を通じて暗
号通信を行う。 ステップC11:ユーザAまたはユーザBの一方がセッ
ション鍵KS を変更したいと考えたときには、セッシ
ョン鍵KS ヲ変更しようとしたユーザを発信側として
ステップC1からの動作を繰り返す。
【0033】最後に、法律または契約等に基づいて執行
機関が暗号文解読またはセッション鍵複製を実行する場
合の動作手順を図5に示す。ここで、執行機関は暗号文
解読またはセッション鍵複製を実行するに当たって必要
な許可証(例えば、裁判所の通信傍受検証令状、実施伺
い書等)を入手しているものとし、さらに通信回線6を
通じて行われた通信データが蓄積手段50に蓄積されて
いるものとする。また、許可証の対象となっているユー
ザがAであるとし、このときの通信相手がBであるとす
る。
機関が暗号文解読またはセッション鍵複製を実行する場
合の動作手順を図5に示す。ここで、執行機関は暗号文
解読またはセッション鍵複製を実行するに当たって必要
な許可証(例えば、裁判所の通信傍受検証令状、実施伺
い書等)を入手しているものとし、さらに通信回線6を
通じて行われた通信データが蓄積手段50に蓄積されて
いるものとする。また、許可証の対象となっているユー
ザがAであるとし、このときの通信相手がBであるとす
る。
【0034】ステップD1:執行機関装置5は鍵管理機
関装置3及び鍵管理機関装置4に対し、暗号文解読また
はセッション鍵複製を適正に実行する旨を記した許可証
及び付加データLEAFから獲得した日時情報Dを提示
する。なお、鍵管理機関装置3,4と執行機関装置5と
の間のデータのやりとりには通信回線を利用しても良い
し、通信回線以外を利用しても良い。
関装置3及び鍵管理機関装置4に対し、暗号文解読また
はセッション鍵複製を適正に実行する旨を記した許可証
及び付加データLEAFから獲得した日時情報Dを提示
する。なお、鍵管理機関装置3,4と執行機関装置5と
の間のデータのやりとりには通信回線を利用しても良い
し、通信回線以外を利用しても良い。
【0035】ステップD2:鍵管理機関装置3(鍵管理
機関装置4)は許可証が正当なものであるかどうかを確
認し、かつ執行機関が暗号文解読またはセッション鍵複
製を実施しようとしている対象が許可証または法律、契
約等に記された範囲内であるかどうかを確認する。範囲
外であると判断した場合には請求を棄却する。 ステップD3:鍵管理機関装置3(鍵管理機関装置4)
が適正な範囲内であると認定した場合、乱数データ生成
手段34(44)を用いて乱数データR1 (R 2 )を生
成する。
機関装置4)は許可証が正当なものであるかどうかを確
認し、かつ執行機関が暗号文解読またはセッション鍵複
製を実施しようとしている対象が許可証または法律、契
約等に記された範囲内であるかどうかを確認する。範囲
外であると判断した場合には請求を棄却する。 ステップD3:鍵管理機関装置3(鍵管理機関装置4)
が適正な範囲内であると認定した場合、乱数データ生成
手段34(44)を用いて乱数データR1 (R 2 )を生
成する。
【0036】ステップD4:鍵管理機関装置3(鍵管理
機関装置4)は分割されたシステム秘密鍵Ss1(Ss2)
、分割されたユーザAのユーザ秘密情報Sa1(S
a2)、ユーザBのユーザ公開情報Pb 及び乱数データR
1 (R2 )を用いて、疑似マスター鍵生成手段35(4
5)において疑似マスター鍵 K1 =Pb Sa1 ・R1 Ps(modn),(K2 =Pb Sa2 ・
R2 Ps(modn))を計算する。
機関装置4)は分割されたシステム秘密鍵Ss1(Ss2)
、分割されたユーザAのユーザ秘密情報Sa1(S
a2)、ユーザBのユーザ公開情報Pb 及び乱数データR
1 (R2 )を用いて、疑似マスター鍵生成手段35(4
5)において疑似マスター鍵 K1 =Pb Sa1 ・R1 Ps(modn),(K2 =Pb Sa2 ・
R2 Ps(modn))を計算する。
【0037】ステップD5:鍵管理機関装置3(鍵管理
機関装置4)は疑似マスター鍵K1(K2 )を執行機関
装置5に送付する。 ステップD6:執行機関装置5は疑似セッション暗号化
鍵生成手段51を用いて疑似マスター鍵K1 (K2 )か
ら疑似セッション暗号化鍵 K* =K1 ・K2 =Pb Sa1+Sa2 ・R1 Ps・R2 Ps=P
b Sa・R1 Ps・R2 Ps=Kab・R1 Ps・R2 Ps(modn)
を計算する。
機関装置4)は疑似マスター鍵K1(K2 )を執行機関
装置5に送付する。 ステップD6:執行機関装置5は疑似セッション暗号化
鍵生成手段51を用いて疑似マスター鍵K1 (K2 )か
ら疑似セッション暗号化鍵 K* =K1 ・K2 =Pb Sa1+Sa2 ・R1 Ps・R2 Ps=P
b Sa・R1 Ps・R2 Ps=Kab・R1 Ps・R2 Ps(modn)
を計算する。
【0038】ステップD7:執行機関装置5は疑似セッ
ション暗号化鍵K* を鍵管理機関装置3及び鍵管理機関
装置4に送付する。 ステップD8:鍵管理機関装置3(鍵管理機関装置4)
は疑似セッション暗号化鍵K* から乱数データR1 (R
2 )を消去するために乱数データ消去手段36(46)
を用いてシステム秘密鍵Rs ,Ss1(Ss2)と乱数デー
タR1 (R2 )と日時情報Dとから K1 ′=(K* ・Rs ・D)Ss1 /R1 =(Kab・Rs ・D)Ss1 ・(R1 PsSs1 /R1 )・R2 PsSs1 (modn) [K2 ′=(K* ・Rs ・D)Ss2 /R2 =(Kab・Rs ・D)Ss2 ・R1 PsSs2 ・(R2 PsSs2 /R2 )(modn)] を計算する。乱数データ消去の準備を行う。
ション暗号化鍵K* を鍵管理機関装置3及び鍵管理機関
装置4に送付する。 ステップD8:鍵管理機関装置3(鍵管理機関装置4)
は疑似セッション暗号化鍵K* から乱数データR1 (R
2 )を消去するために乱数データ消去手段36(46)
を用いてシステム秘密鍵Rs ,Ss1(Ss2)と乱数デー
タR1 (R2 )と日時情報Dとから K1 ′=(K* ・Rs ・D)Ss1 /R1 =(Kab・Rs ・D)Ss1 ・(R1 PsSs1 /R1 )・R2 PsSs1 (modn) [K2 ′=(K* ・Rs ・D)Ss2 /R2 =(Kab・Rs ・D)Ss2 ・R1 PsSs2 ・(R2 PsSs2 /R2 )(modn)] を計算する。乱数データ消去の準備を行う。
【0039】ステップD9:鍵管理機関装置3(鍵管理
機関装置4)はK1 ′(K2 ′)を執行機関装置5に送
付する。 ステップD10:執行機関装置5はセッション暗号化鍵
再構成手段52を用いてK1 ′(K2 ′)とシステム公
開鍵Ps ,g1/Rsからセッション暗号化鍵Kdを再構成
する。 Kd ′=K1 ′・K2 ′=(Kab・Rs ・D)Ss1+Ss2 ・(R1 Ps(Ss1+Ss2) /R1 )・(R2 Ps(Ss1+Ss2) /R2 ) =(Kab・Rs ・D)Ss・(R1 PsSs/R1 )・(R2 PsSs/R2 ) =(Kab・Rs ・D)Ss(modn) Kd =((g1/Rs)Kd' ) Ps=(g1/Rs)KabRsD=gKabD (mod n) ステップD11:執行機関装置5は解析手段53におい
てセッション暗号鍵Kd を用いて付加データLEAFか
らセッション鍵KS =f-1(f(KS ,Kd ),K
d )を求める。
機関装置4)はK1 ′(K2 ′)を執行機関装置5に送
付する。 ステップD10:執行機関装置5はセッション暗号化鍵
再構成手段52を用いてK1 ′(K2 ′)とシステム公
開鍵Ps ,g1/Rsからセッション暗号化鍵Kdを再構成
する。 Kd ′=K1 ′・K2 ′=(Kab・Rs ・D)Ss1+Ss2 ・(R1 Ps(Ss1+Ss2) /R1 )・(R2 Ps(Ss1+Ss2) /R2 ) =(Kab・Rs ・D)Ss・(R1 PsSs/R1 )・(R2 PsSs/R2 ) =(Kab・Rs ・D)Ss(modn) Kd =((g1/Rs)Kd' ) Ps=(g1/Rs)KabRsD=gKabD (mod n) ステップD11:執行機関装置5は解析手段53におい
てセッション暗号鍵Kd を用いて付加データLEAFか
らセッション鍵KS =f-1(f(KS ,Kd ),K
d )を求める。
【0040】ステップD12:執行機関は共通鍵暗号手
段54においてセッション鍵KSを用いて、蓄積手段5
0に蓄積されているデータA・B間の暗号文を解読す
る。ちなみに、許可証の対象となっているユーザがBで
あるとし、このときの通信相手がAである場合には、ス
テップD4が以下のように代わるだけである。 ステップD4* :鍵管理機関装置3(鍵管理機関装置
4)はシステム公開鍵Ps 、分割されたユーザBのユー
ザ秘密情報Sb1(Sb2)、ユーザAのユーザ公開情報P
a 及び乱数データR1 (R2 )を用いて、疑似マスター
鍵生成手段35(45)において疑似マスター鍵 K1 =Pa Sb1 ・R1 Ps(modn),(K2 =Pa Sb2 ・
R2 Ps(modn))を計算する。
段54においてセッション鍵KSを用いて、蓄積手段5
0に蓄積されているデータA・B間の暗号文を解読す
る。ちなみに、許可証の対象となっているユーザがBで
あるとし、このときの通信相手がAである場合には、ス
テップD4が以下のように代わるだけである。 ステップD4* :鍵管理機関装置3(鍵管理機関装置
4)はシステム公開鍵Ps 、分割されたユーザBのユー
ザ秘密情報Sb1(Sb2)、ユーザAのユーザ公開情報P
a 及び乱数データR1 (R2 )を用いて、疑似マスター
鍵生成手段35(45)において疑似マスター鍵 K1 =Pa Sb1 ・R1 Ps(modn),(K2 =Pa Sb2 ・
R2 Ps(modn))を計算する。
【0041】このような処理はKab=Pb Sa=Pa Sb=
gSaSb (mod n)が常に成立することから可能となる。
したがって、許可証の対象となっているユーザが発信
側、受信側のどちらであるかを問わずに同じ方法で処理
することが出来ることを示しており、さらに鍵管理機関
装置3,4が利用しているユーザ秘密情報は許可証の対
象になっているユーザのものであり、通信相手のユーザ
についてはユーザ公開情報しか利用しない。したがっ
て、許可証の対象外のユーザのユーザ秘密情報が利用さ
れることはない。
gSaSb (mod n)が常に成立することから可能となる。
したがって、許可証の対象となっているユーザが発信
側、受信側のどちらであるかを問わずに同じ方法で処理
することが出来ることを示しており、さらに鍵管理機関
装置3,4が利用しているユーザ秘密情報は許可証の対
象になっているユーザのものであり、通信相手のユーザ
についてはユーザ公開情報しか利用しない。したがっ
て、許可証の対象外のユーザのユーザ秘密情報が利用さ
れることはない。
【0042】以上の説明では、この方法を鍵管理機関が
二つ存在するものとして説明したが、ユーザ秘密情報及
びシステム秘密鍵の分割数を変えることによって、単独
または二つ以上の鍵管理機関装置が存在するシステムと
して構築することが可能である。例えば、単独であれば
鍵管理機関装置はユーザ秘密情報及びシステム秘密鍵は
全て所有することになり、この場合にはステップD3〜
D7までを省略でき、直接執行機関装置に対してKd ′
=(Kab・Rs ・D)Ssを提供することが出来る。ま
た、鍵管理機関がk(k>2)個あるならばSs =Σ
j=1 k Ssj,Si =Σj=1 k Sijを満たすようにシステ
ム秘密鍵とユーザ秘密情報を分割して所有させればよ
い。この場合には、ステップD6でK* =Πj=1 k Kj
(modn)、ステップD10でKd ′=Πj=1 k Kj ′(m
odn)となる以外は全く同様の処理で実現できる。
二つ存在するものとして説明したが、ユーザ秘密情報及
びシステム秘密鍵の分割数を変えることによって、単独
または二つ以上の鍵管理機関装置が存在するシステムと
して構築することが可能である。例えば、単独であれば
鍵管理機関装置はユーザ秘密情報及びシステム秘密鍵は
全て所有することになり、この場合にはステップD3〜
D7までを省略でき、直接執行機関装置に対してKd ′
=(Kab・Rs ・D)Ssを提供することが出来る。ま
た、鍵管理機関がk(k>2)個あるならばSs =Σ
j=1 k Ssj,Si =Σj=1 k Sijを満たすようにシステ
ム秘密鍵とユーザ秘密情報を分割して所有させればよ
い。この場合には、ステップD6でK* =Πj=1 k Kj
(modn)、ステップD10でKd ′=Πj=1 k Kj ′(m
odn)となる以外は全く同様の処理で実現できる。
【0043】なお、利用するアルゴリズムとして、公開
鍵暗号方法、共通鍵暗号方法とも上記に記載のアルゴリ
ズムに限定されるものではない。また、付加データLE
AFには上記記載のデータの他に発信者名、受信者名等
様々な付加情報を連結しても構わない。また上述におい
てユーザ公開情報Pi と、分割したユーザ秘密情報S
i1,Si2を鍵管理機関装置3,4にPi とSi1、Pi と
Si2と分割して登録したが、ユーザA,Bに特有のマス
ター鍵Kabを分割してKab1 ,Kab2 として鍵管理機関
装置3,4に登録してもよい。即ち、ユーザA、B間に
固有のマスター鍵Kabが設定されているとする。このと
き、Kab=Kab1 ・Kab2 を満たすようにKabを2つの
Kab1 ,Kab2 に分割し、鍵管理機関装置3(鍵管理機
関装置4)はKab1 (Kab2 )をそれぞれ補間する。ス
テップD4でK1 =Kab1 ・R1 Ps(mod n),( K2 =K
ab2 ・R2 Ps(mod n))を計算し、ステップD6で K* =K1 ・K2 =(Kab1 ・Kab2 )・R1 Ps・R2 Ps =Kab・R1 Ps・R2 Ps(mod n) を計算し、以下は同様の処理となる。また、k(k>
2)個の鍵管理機関があるならば、Kab=Πj=1 k Kab
j を満たすようにマスター鍵を分割して所有させればよ
い。
鍵暗号方法、共通鍵暗号方法とも上記に記載のアルゴリ
ズムに限定されるものではない。また、付加データLE
AFには上記記載のデータの他に発信者名、受信者名等
様々な付加情報を連結しても構わない。また上述におい
てユーザ公開情報Pi と、分割したユーザ秘密情報S
i1,Si2を鍵管理機関装置3,4にPi とSi1、Pi と
Si2と分割して登録したが、ユーザA,Bに特有のマス
ター鍵Kabを分割してKab1 ,Kab2 として鍵管理機関
装置3,4に登録してもよい。即ち、ユーザA、B間に
固有のマスター鍵Kabが設定されているとする。このと
き、Kab=Kab1 ・Kab2 を満たすようにKabを2つの
Kab1 ,Kab2 に分割し、鍵管理機関装置3(鍵管理機
関装置4)はKab1 (Kab2 )をそれぞれ補間する。ス
テップD4でK1 =Kab1 ・R1 Ps(mod n),( K2 =K
ab2 ・R2 Ps(mod n))を計算し、ステップD6で K* =K1 ・K2 =(Kab1 ・Kab2 )・R1 Ps・R2 Ps =Kab・R1 Ps・R2 Ps(mod n) を計算し、以下は同様の処理となる。また、k(k>
2)個の鍵管理機関があるならば、Kab=Πj=1 k Kab
j を満たすようにマスター鍵を分割して所有させればよ
い。
【0044】
【発明の効果】以上に述べたようにこの発明によれば、
以下のような効果が得られる。 (1)公開のアルゴリズムのみを用いてシステムを実現
できる。 (2)法律または契約等に基づいて暗号文解読またはセ
ッション鍵複製が実施される場合には、その定めの範囲
内に限り確実に暗号文を解読またはセッション鍵を複製
できる。 (3)その定めを逸脱して不当に暗号文を解読またはセ
ッション鍵を複製しようとしても、暗号文解読及びセッ
ション鍵複製が出来ない。 (4)法律または契約等による権限を有しない者は、い
っさい暗号文解読及びセッション鍵複製が出来ない。
以下のような効果が得られる。 (1)公開のアルゴリズムのみを用いてシステムを実現
できる。 (2)法律または契約等に基づいて暗号文解読またはセ
ッション鍵複製が実施される場合には、その定めの範囲
内に限り確実に暗号文を解読またはセッション鍵を複製
できる。 (3)その定めを逸脱して不当に暗号文を解読またはセ
ッション鍵を複製しようとしても、暗号文解読及びセッ
ション鍵複製が出来ない。 (4)法律または契約等による権限を有しない者は、い
っさい暗号文解読及びセッション鍵複製が出来ない。
【図1】この発明の一実施例を示す鍵管理システムの機
能構成図。
能構成図。
【図2】この発明の実施例におけるシステム構築時の動
作手順を示すフローチャート。
作手順を示すフローチャート。
【図3】この発明の実施例におけるユーザのシステム加
入時の動作手順を示すフローチャート。
入時の動作手順を示すフローチャート。
【図4】この発明の実施例における暗号通信時の動作手
順を示すフローチャート。
順を示すフローチャート。
【図5】この発明の実施例における暗号文解読またはセ
ッション鍵複製の実行時の動作手順を示すフローチャー
ト。
ッション鍵複製の実行時の動作手順を示すフローチャー
ト。
【図6】クリッパーチップにおける動作概要を示す図。
Claims (11)
- 【請求項1】 暗号通信システムにおけるメッセージの
暗号通信に利用するセッション鍵を管理する鍵管理方法
において、 システム構築時には鍵管理機関装置または鍵生成機関装
置がシステム公開鍵及びシステム秘密鍵を設定し、かつ
ユーザのシステム加入時にはそのユーザの装置(以下ユ
ーザ装置と記す)または上記鍵生成機関装置もしくは上
記鍵管理機関装置がユーザ公開情報及びユーザ秘密情報
を生成し、または通信当事者を特定するマスター鍵を生
成した後、システム公開鍵及びユーザ公開情報をシステ
ム上に公開し、かつ一つまたは複数の鍵管理機関におい
てシステム秘密鍵及びユーザ秘密情報またはマスター鍵
を登録管理する過程と、 暗号通信を行うときには発信側ユーザ装置が、通信当事
者を特定するマスター鍵と日時情報等の時間的な要素を
示すデータとを含むデータを用いてセッション暗号化鍵
を生成し、セッション鍵を含むデータをセッション暗号
化鍵を用いて暗号化することにより付加データを生成し
た後、付加データを受信側ユーザ装置に送信する過程
と、 受信側ユーザ装置が、通信当事者を特定するマスター鍵
と日時情報等の時間的な要素を示すデータとを含むデー
タを用いてセッション暗号化鍵を生成し、受信した付加
データをセッション暗号化鍵を用いて復号することによ
りセッション鍵を獲得する過程とを含むことを特徴とす
る鍵管理方法。 - 【請求項2】 執行機関装置が暗号文の解読またはセッ
ション鍵の複製を実施するときには鍵管理機関装置が通
信当事者を特定するマスター鍵と日時情報等の時間的な
要素を示すデータと鍵管理機関装置が生成した乱数デー
タとを含むデータを用いて疑似マスター鍵を生成して執
行機関装置に提供し、執行機関装置が疑似マスター鍵を
用いて疑似セッション暗号化鍵を生成した後、鍵管理機
関装置に返送し、鍵管理機関装置は疑似セッション暗号
化鍵から乱数データを消去する準備をして執行機関装置
に返送し、執行機関装置がセッション暗号化鍵を再構成
した後、セッション暗号化鍵を用いて付加データを復号
してセッション鍵を獲得する過程を含むことを特徴とす
る請求項1記載の鍵管理方法。 - 【請求項3】 通信当事者を特定するマスター鍵を、通
信当事者の一方のユーザ秘密情報と0の通信相手のユー
ザ公開情報とから生成することを特徴とする請求項1又
は2に記載の鍵管理方法。 - 【請求項4】 複数の鍵管理機関装置においてシステム
秘密鍵及びユーザ秘密情報またはマスター鍵を登録管理
する過程において、それらの秘密情報を分割して各々の
鍵管理機関装置が分割された秘密情報を管理することを
特徴とする請求項1から請求項3のいずれかに記載の鍵
管理方法。 - 【請求項5】 上記システム秘密鍵Ss及び上記ユーザ
秘密情報Si の分割は、それぞれSs =Σj=1 k Ssj,
Si =Σj=1 k Sijを満たすように鍵管理機関装置の数
k(kは2以上の整数)に分割し、第j鍵管理機関装置
に分割されたシステム秘密鍵Ssjと分割されたユーザ秘
密情報Sijを管理させることを特徴とする請求項4記載
の鍵管理方法。 - 【請求項6】 上記システム秘密鍵Ss及び上記ユーザ
A、Bを特定するマスター鍵Kabの分割はそれぞれSs
=Σj=1 k Ssj,Kab=Πj=1 k Kabj を満たすように
鍵管理機関装置の数k(kは2以上の整数)に分割し、
第j鍵管理機関装置に分割されたシステム秘密鍵Ssjと
分割されたマスター鍵Kabj を管理させることを特徴と
する請求項4記載の鍵管理方法。 - 【請求項7】 セッション暗号化鍵を生成する際に、通
信当事者を特定するマスター鍵と日時情報等の時間的な
要素を示すデータとを含むデータでシステム公開鍵を暗
号化することによってセッション暗号化鍵を生成するこ
とを特徴とする請求項1から請求項4までのいずれかに
記載の鍵管理方法。 - 【請求項8】 付加データを生成する際に、セッション
鍵を含むデータをセッション暗号化鍵を用いて共通鍵暗
号方法で暗号化することによって付加データを生成する
こと、及びセッション鍵を獲得する際に、付加データを
セッション暗号化鍵を用いて共通鍵暗号方法で復号する
ことによってセッション鍵を獲得することを特徴とする
請求項1から請求項4、請求項7のいずれかに記載の鍵
管理方法。 - 【請求項9】 送信側ユーザ装置が付加データの正当性
を示すチェックサムを付加データに付加し、受信側ユー
ザ装置が受信した付加データが正しい情報であるかをそ
のチェックサムを用いて検証することを特徴とする請求
項1から請求項6までのいずれかに記載の鍵管理方法。 - 【請求項10】 疑似セッション暗号化鍵から乱数デー
タを消去する際に、システム秘密鍵及びシステム公開鍵
を用いて公開鍵暗号方法を利用することによって疑似セ
ッション暗号化鍵から乱数データを消去することを特徴
とする請求項1から請求項5、請求項7から請求項9の
いずれかに記載の鍵管理方法。 - 【請求項11】 暗号通信システムにおけるメッセージ
の暗号通信に利用するセッション鍵を管理する鍵管理シ
ステムにおいて、 ユーザ装置には、 セッション鍵を設定するセッション鍵生成手段と、 通信当事者を特定するマスター鍵を生成するマスター鍵
生成手段と、 日時情報等の時間的要素を示すデータを管理する日時管
理手段と、 セッション暗号化鍵を生成するセッション暗号化鍵生成
手段と、 付加データを生成する付加データ生成手段と、 付加データからセッション鍵を獲得するセッション鍵獲
得手段と、 暗号通信を行うための暗号手段と、 を備え、 鍵管理機関装置には、 システム公開鍵及びシステム秘密鍵、ユーザ公開情報及
びユーザ秘密情報またはマスター鍵を生成する情報生成
手段と、 システム秘密鍵を登録管理するシステム秘密鍵管理デー
タベースと、 ユーザ秘密情報またはマスター鍵を登録管理するユーザ
秘密情報管理データベースと、 乱数データを生成する乱数データ生成手段と、 執行機関装置に対して提供する疑似マスター鍵を生成す
る疑似マスター鍵生成手段と、 疑似セッション暗号化鍵から乱数データを消去する乱数
データ消去手段と、を備え、 執行機関装置には、 暗号文及び付加データを蓄積しておく蓄積手段と、 疑似セッション暗号化鍵を生成する疑似セッション暗号
化鍵生成手段と、 セッション暗号化鍵を再構成するセッション暗号化鍵再
構成手段と、 セッション鍵を獲得する解析手段と、 を備えることを特徴とする鍵管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9003644A JPH10200520A (ja) | 1997-01-13 | 1997-01-13 | 鍵管理方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9003644A JPH10200520A (ja) | 1997-01-13 | 1997-01-13 | 鍵管理方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10200520A true JPH10200520A (ja) | 1998-07-31 |
Family
ID=11563199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9003644A Pending JPH10200520A (ja) | 1997-01-13 | 1997-01-13 | 鍵管理方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10200520A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003110546A (ja) * | 2001-09-29 | 2003-04-11 | Toshiba Corp | 受信データ処理装置及びこの方法 |
| US8660264B2 (en) | 1999-01-11 | 2014-02-25 | Certicom Corp. | Method and apparatus for minimizing differential power attacks on processors |
-
1997
- 1997-01-13 JP JP9003644A patent/JPH10200520A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8660264B2 (en) | 1999-01-11 | 2014-02-25 | Certicom Corp. | Method and apparatus for minimizing differential power attacks on processors |
| US8666070B2 (en) | 1999-01-11 | 2014-03-04 | Certicom Corp. | Method and apparatus for minimizing differential power attacks on processors |
| US8666063B2 (en) | 1999-01-11 | 2014-03-04 | Certicom Corp. | Method and apparatus for minimizing differential power attacks on processors |
| JP2003110546A (ja) * | 2001-09-29 | 2003-04-11 | Toshiba Corp | 受信データ処理装置及びこの方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2197915C (en) | Cryptographic key recovery system | |
| US6483920B2 (en) | Key recovery process used for strong encryption of messages | |
| US9704159B2 (en) | Purchase transaction system with encrypted transaction information | |
| US5956403A (en) | System and method for access field verification | |
| US5937066A (en) | Two-phase cryptographic key recovery system | |
| JP3060071B2 (ja) | コンピュータ・ネットワーク暗号鍵配布システム | |
| US20030012386A1 (en) | Forward-secure commercial key escrow systems and escrowing methods thereof | |
| WO2007034497A2 (en) | Secure data transmission | |
| JP2022521525A (ja) | データを検証するための暗号方法 | |
| JP2014197885A (ja) | 耐タンパ性トークンを用いてセキュアなトランザクションを達成するための効率的な技術 | |
| US11646872B2 (en) | Management of access authorization using an immutable ledger | |
| CN113225302A (zh) | 一种基于代理重加密的数据共享系统及方法 | |
| KR20050065978A (ko) | 암호화/복호화 키를 이용한 메시지 송수신 방법 | |
| CN108011885A (zh) | 一种基于群组密码体制的电子邮件加密方法与系统 | |
| CN112738133A (zh) | 一种rsa认证方法 | |
| EP4165851A1 (en) | Distributed anonymized compliant encryption management system | |
| Gennaro et al. | Two-phase cryptographic key recovery system | |
| Prabhu et al. | Security in computer networks and distributed systems | |
| JPH10200520A (ja) | 鍵管理方法及びシステム | |
| JPH10276184A (ja) | 鍵管理方法 | |
| Gennaro et al. | Secure key recovery | |
| US20240214187A1 (en) | System and Method of Creating Symmetric Keys Using Elliptic Curve Cryptography | |
| EP4195590A1 (en) | Secure data transmission | |
| KR100337637B1 (ko) | 암호화된전자문서복구방법 | |
| JPH11215116A (ja) | 鍵管理方法およびシステム |