JP3927419B2 - Information registration method, terminal device, information registration server, information registration system - Google Patents
Information registration method, terminal device, information registration server, information registration system Download PDFInfo
- Publication number
- JP3927419B2 JP3927419B2 JP2002032938A JP2002032938A JP3927419B2 JP 3927419 B2 JP3927419 B2 JP 3927419B2 JP 2002032938 A JP2002032938 A JP 2002032938A JP 2002032938 A JP2002032938 A JP 2002032938A JP 3927419 B2 JP3927419 B2 JP 3927419B2
- Authority
- JP
- Japan
- Prior art keywords
- polynomial
- ciphertext
- information registration
- information
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、情報登録方法、情報登録システム、及びこれに用いる端末装置、情報登録サーバに関するものである。
【0002】
【従来の技術】
ネットワークを介したデータの送受信の活発化に伴い、セキュリティ上の問題が無視できなくなってきている。そこで、例えば鍵寄託などのように、秘密性の高い情報(例えば秘密鍵)を公正な登録センタ(情報登録サーバ)に登録しておき、一定の認証が行われた場合にのみ秘密情報を利用できるようにする技術が知られている。
【0003】
しかし、第3者のなりすましなどにより、秘密情報が登録センタに不正に登録されることもありうる。この問題に対処するため、検証可暗号方法が用いられる。検証可暗号方法とは、暗号文の送信者が暗号文に対応する平文を知っていることを、暗号文の受信者が当該平文に関する情報を得ることなく検証する方法である。すなわち、登録センタは、検証可暗号方法により、登録すべき秘密情報の暗号文を送信してきた者が当該秘密情報を本当に知っていること(すなわち他人から暗号文のみを盗取した者ではないこと)を、秘密情報自体を知らなくとも、知ることができ、その結果、秘密情報の登録を安全に行うことができる。
【0004】
このような検証可暗号方法としては、例えば、素因数分解型の暗号方式を用いる方法(例えばE. Fujisaki and T. Okamoto, A Practical and Provably Secure Scheme for Public Verifiable Secret Sharing and Its Application, In Proceedings of EUROCRYPT'98, LNCS 1403, Springer, pp.32-46(1998), F. Bao, An Efficient verifiable encryption scheme for encryption of discrete logarithm, In Proceeding of CARDIS'98, LNCS 1820, Springer, pp.213-220(2000))、離散対数型の暗号方式を用いる方法(例えばM. Stadler, Publicly Verifiable Secret Sharing, In Proceedings of EUROCRYPT'96, LNCS 1070, Springer, pp.190-199(1996))などが知られている。
【0005】
【発明が解決しようとする課題】
しかし、上記従来の技術にかかる検証可暗号方法を用いた情報登録方法は、いずれも、計算量が非常に多くなってしまうという問題点があった。特に、携帯性を重視するがゆえに高速のCPUや大容量のメモリを搭載することが困難である移動通信端末においては、上記従来の技術にかかる検証可暗号方法は、その計算量の多さから、いずれも、実用に向かない。
【0006】
そこで、本発明は、上記問題点を解決し、計算量の少ない情報登録方法、情報登録システム、及びこれに用いる端末装置、情報登録サーバを提供することを課題とする。
【0007】
【課題を解決するための手段】
上記課題を解決するために、本発明の情報登録方法は、端末装置から送信される情報を情報登録サーバに登録する情報登録方法であって、上記端末装置が、NTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて、短い多項式で表現された上記情報αの暗号文e=p*φ*h+α(mod q)を生成する第1の暗号文生成ステップと、上記端末装置が、上記第1の暗号文生成ステップにおいて生成された上記暗号文eを、上記情報登録サーバに対して送信する第1の暗号文送信ステップと、上記端末装置が、NTRU公開鍵暗号方式により、短い多項式ψと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qとを用いて、短い多項式ξの暗号文a=p*ψ*h+ξ(mod q)を生成する第2の暗号文生成ステップと、上記端末装置が、上記第2の暗号文生成ステップにおいて生成された上記暗号文aを、上記情報登録サーバに対して送信する第2の暗号文送信ステップと、上記情報登録サーバが、上記情報αと上記短い多項式ψとの双方と比較してさらに短い多項式cを上記端末装置に対して送信するチャレンジ送信ステップと、上記端末装置が、上記情報αと上記短い多項式φと上記短い多項式ψと上記短い多項式ξと上記情報登録サーバから送信された上記さらに短い多項式cとを用いて、多項式x=ξ+c*αと多項式r=ψ+c*φとを生成するレスポンス生成ステップと、上記端末装置が、上記レスポンス生成ステップにおいて生成された上記多項式xと上記多項式rとを、上記情報登録サーバに対して送信するレスポンス送信ステップと、上記情報登録サーバが、上記端末装置から送信された上記多項式xと上記多項式rとがともに短い多項式であることを検証し、かつ、上記暗号文eと上記暗号文aと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qと上記さらに短い多項式cと上記多項式xと上記多項式rとがa=p*r*h+x−c*e(mod q)の関係を満たすことを検証することにより、上記端末装置から送信される暗号文eに対応する情報αを上記端末装置の利用者が知っていることを検証する検証ステップと、上記情報登録サーバが、上記検証ステップによって、上記端末装置から送信される暗号文eに対応する情報αを上記端末装置の利用者が知っていることが検証された場合に、上記情報αまたは上記情報αの暗号文eを登録する情報登録ステップとを備えたことを特徴としている。
【0008】
また、本発明の端末装置は、端末装置から送信される情報を情報登録サーバに登録する情報登録方法に用いる上記端末装置であって、NTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて、短い多項式で表現された上記情報αの暗号文e=p*φ*h+α(mod q)を生成する第1の暗号文生成手段と、上記第1の暗号文生成手段において生成された上記暗号文eを、上記情報登録サーバに対して送信する第1の暗号文送信手段と、NTRU公開鍵暗号方式により、短い多項式ψと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qとを用いて、短い多項式ξの暗号文a=p*ψ*h+ξ(mod q)を生成する第2の暗号文生成手段と、上記第2の暗号文生成手段において生成された上記暗号文aを、上記情報登録サーバに対して送信する第2の暗号文送信手段と、上記情報登録サーバから送信される、上記情報αと上記短い多項式ψとの双方と比較してさらに短い多項式cを受信するチャレンジ受信手段と、上記情報αと上記短い多項式φと上記短い多項式ψと上記短い多項式ξと上記チャレンジ受信手段によって受信した上記さらに短い多項式cとを用いて、多項式x=ξ+c*αと多項式r=ψ+c*φとを生成するレスポンス生成手段と、上記レスポンス生成手段によって生成された上記多項式xと上記多項式rとを、上記情報登録サーバに対して送信するレスポンス送信手段とを備えたことを特徴としている。
【0009】
また、本発明の情報登録サーバは、端末装置から送信される情報を情報登録サーバに登録する情報登録方法に用いる上記情報登録サーバであって、NTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて上記端末装置において生成され、上記端末装置から送信される、短い多項式で表現された上記情報αの暗号文e=p*φ*h+α(mod q)を受信する第1の暗号文受信手段と、NTRU公開鍵暗号方式により、短い多項式ψと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qとを用いて上記端末装置において生成され、上記端末装置から送信される、短い多項式ξの暗号文a=p*ψ*h+ξ(mod q)を受信する第2の暗号文受信手段と、上記情報αと上記短い多項式ψとの双方と比較してさらに短い多項式cを上記端末装置に対して送信するチャレンジ送信手段と、上記情報αと上記短い多項式φと上記短い多項式ψと上記短い多項式ξと上記さらに短い多項式cとを用いて上記端末装置において生成され、上記端末装置から送信される、多項式x=ξ+c*αと多項式r=ψ+c*φとを受信するレスポンス受信手段と、上記レスポンス受信手段によって受信した上記多項式xと上記多項式rとがともに短い多項式であることを検証し、かつ、上記暗号文eと上記暗号文aと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qと上記さらに短い多項式cと上記多項式xと上記多項式rとがa=p*r*h+x−c*e(mod q)の関係を満たすことを検証することにより、上記端末装置から送信される暗号文eに対応する情報αを上記端末装置の利用者が知っていることを検証する検証手段と、上記検証手段によって、上記端末装置から送信される暗号文eに対応する情報αを上記端末装置の利用者が知っていることが検証された場合に、上記情報αまたは上記情報αの暗号文eを登録する情報登録手段とを備えたことを特徴としている。
【0010】
さらに、本発明の情報登録システムは、上述の端末装置と上述の情報登録サーバとを備えたことを特徴としている。
【0011】
NTRU公開鍵暗号方式を用いることにより、素因数分解型の暗号方式を用いる場合や離散対数型の暗号方式を用いる場合と比較して、計算量を少なくすることができる。また、情報登録サーバにおいて、多項式xと多項式rとがともに短い多項式であることを検証し、かつ、a=p*r*h+x−c*e(mod q)の関係が満たされることを検証することにより、端末装置の利用者が暗号文eに対応する平文の情報αを知っていることを情報登録サーバにおいて検証できた場合にのみ情報登録を行うことで、不正な情報登録を排除することができる。その結果、情報登録サーバに情報を登録するに際し、情報登録の信頼性を損なうことなく、その計算量を削減することができる。
【0012】
【発明の実施の形態】
本発明の実施形態にかかる情報登録システムを説明する前に、本実施形態において用いられるNTRU公開鍵暗号方式について簡単に説明しておく。
【0013】
[定義]
多項式環R((1)式参照)に属する多項式a(x)((2)式参照)をベクトルa((3)式参照)とみなし、そのセンターノルム|a|を(4)式に示すように定義する。
【0014】
【数1】
【数2】
【数3】
【数4】
このとき、例えば(5)式を満たすような多項式a(x)を短い多項式と呼ぶ。
【0019】
【数5】
すなわち、短い多項式とは、そのセンターノルムが、多項式の次数Nの増加に伴って増加するように(例えば、Nの平方根に比例するように)あらかじめ定められたしきい値よりも小さくなるような多項式である。
【0021】
また、(2)式で表される多項式a(x)と(6)式で表される多項式b(x)とを用いた演算式a(x)・b(x)(mod xN−1)をa*bで表す。
【0022】
【数6】
ここで、c(x)=a*b((7)式参照)をベクトルc((8)式参照)とみなすと、ベクトルa((3)式参照)とベクトルb((9)式参照)とベクトルc((8)式参照)とは、(10)式の関係を満たす。
【0024】
【数7】
【数8】
【数9】
【数10】
[準備]
適当な自然数N(例えば100〜500の値)に対して、大きなモジュラス値q(例えばNの半分程度の値)と小さなモジュラス値p(例えば2,3などの値)とを、xN−1,p,qが互いに素であるように定める。また、Rp,Rqをそれぞれ、Zp,Zqの元を係数とするN−1次多項式の集合とする。
【0029】
[鍵生成]
短い多項式f,gを任意に定め、これらを秘密鍵とする。この多項式fに関し、(11)式を満たすFp、及び(12)式を満たすFqを計算した後、(13)式により公開鍵hを計算する。
【0030】
【数11】
【数12】
【数13】
[暗号化]
メッセージmの属するメッセージ空間Lmを(14)式のように定義する。ここで、メッセージmに対してランダムな短い多項式rを定め、(15)式を用いて暗号文eを生成する。
【0034】
【数14】
【数15】
[復号化]
秘密鍵fと暗号文eとから(16)式を用いてaを計算し、さらに(17)式を用いてbを計算し、このbと秘密鍵fのRpでの逆元Fpとから、(18)式を用いてメッセージmを復号することができる。
【0037】
【数16】
【数17】
【数18】
[NTRU仮定]
NTRU公開鍵暗号方式は、Rqに属する多項式hが与えられたときに、(19)式を満たす短い多項式f,gを求めることは困難であるとの仮定に基づいている。
【0041】
【数19】
これは、deg h=N−1のとき、秘密鍵f,gを求めるための最も効率的な方法は、2N次元ラティス上の短いベクトルを探す問題を解くことと考えられるからである。
【0043】
続いて、本発明の実施形態にかかる情報登録システムの説明に用いる定義について説明しておく。まず、2つの集合S1,S2をそれぞれ(20)式、(21)式のように定義する。
【0044】
【数20】
【数21】
すなわち、集合S2は短い多項式の集合であり、S1はさらに短い多項式の集合である。ここで、さらに短い多項式とは、そのセンターノルムが、多項式の次数Nによらないあらかじめ定められたしきい値よりも小さくなるような多項式である。従って、多項式の次数Nが大きい(例えば100〜500)場合、さらに短い多項式のセンターノルムは、短い多項式のセンターノルムと比較して十分小さい。
【0047】
上記定義のもとで、集合Lα,Lφ,Lc,Lx,Lrはそれぞれ、(22)式を満たすものとする。
【0048】
【数22】
すなわち、集合Lα,Lφ,Lx,Lrそれぞれは、短い多項式の集合であり、集合Lcは、さらに短い多項式の集合である。
【0050】
ここで、αが集合Lαの要素であり、φが集合Lφの要素であり、cが集合Lcの要素であり、ξが集合Lξの要素であり、ψが集合Lψの要素であるならば、(23)式、(24)式、(25)式を満たすような集合Lξ,Lψを定める。
【0051】
【数23】
【数24】
【数25】
例えば、集合Lα,Lφ,Lc,Lx,Lrがそれぞれ、(26)〜(30)式で表される場合、集合Lξ,Lψはそれぞれ、(31)式、(32)式で定義できる。
【0055】
【数26】
【数27】
【数28】
【数29】
【数30】
【数31】
【数32】
以下では、集合Lα,Lφ,Lc,Lξ,Lψ,Lx,Lrのサンプル空間をそれぞれ、(33)〜(39)式のように定義する。尚、集合L* cfは、(40)式によって与えられる。
【0063】
【数33】
【数34】
【数35】
【数36】
【数37】
【数38】
【数39】
【数40】
続いて、本発明の実施形態にかかる情報登録システムについて図面を参照して説明する。尚、本実施形態にかかる情報登録システムは、本発明の実施形態にかかる端末装置および情報登録サーバを含んでいる。
【0072】
まず、本実施形態にかかる情報登録システムの構成について説明する。図1は、本実施形態にかかる情報登録システムの構成図である。本実施形態にかかる情報登録システム10は、移動通信端末12(端末装置)と情報登録サーバ14とを備え、移動通信端末12から送信される情報(例えば秘密情報)を情報登録サーバ14に登録する情報登録システムである。
【0073】
ここで、移動通信端末12と情報登録サーバ14は、移動体通信網などのネットワーク16を介して接続されており、互いにデータの送受信ができるようになっている。また、移動通信端末12と情報登録サーバ14とのそれぞれは、ネットワーク16を介して鍵生成サーバ18に接続されており、鍵生成サーバ18から送信される公開鍵などのデータを受信することができるようになっている。
【0074】
移動通信端末12は、物理的には、CPU、メモリ、ディスプレイ、入力キー、データ送受信回路などを備えた携帯電話として構成される。移動通信端末12は、機能的な構成要素として、第1暗号文生成部20(第1の暗号文生成手段)と、第1暗号文送信部22(第1の暗号文送信手段)と、第2暗号文生成部24(第2の暗号文生成手段)と、第2暗号文送信部26(第2の暗号文送信手段)と、チャレンジ受信部28(チャレンジ受信手段)と、レスポンス生成部30(レスポンス生成手段)と、レスポンス送信部32(レスポンス送信手段)とを備えて構成される。
【0075】
情報登録サーバ14は、物理的には、CPU、メモリ、ディスプレイ、磁気ディスク装置や光ディスク装置などの格納装置、キーボードやマウスなどの入力装置、モデムやデジタル通信ユニットなどのデータ送受信装置などを備えたコンピュータシステムとして構成される。情報登録サーバ14は、機能的な構成要素として、第1暗号文受信部36(第1の暗号文受信手段)と、第2暗号文受信部38(第2の暗号文受信手段)と、チャレンジ送信部40(チャレンジ送信手段)と、レスポンス受信部42(レスポンス受信手段)と、検証部44(検証手段)と、情報登録部46(情報登録手段)とを備えて構成される。以下、各構成要素について詳細に説明する。
【0076】
移動通信端末12の第1暗号文生成部20は、上述のNTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて、(41)式に従い、短い多項式で表現された平文α(移動通信端末12の利用者が情報登録センタ14に登録したい情報の平文)の暗号文eを生成する。
【0077】
【数41】
ここで、公開鍵hと小さいモジュラス値pと大きいモジュラス値qとは、あらかじめ鍵生成サーバ18によって生成され、鍵生成サーバ18から移動通信端末12に対して送信されている。平文αは、(33)式に示す集合Lαの要素であり、移動通信端末12のユーザによって入力される。また、短い多項式φは、(34)式に示す集合Lφの要素であり、移動通信端末12のユーザによって入力されても良いし、第1暗号文生成部20によってランダムに生成されてもよい。
【0079】
第1暗号文送信部22は、第1暗号文生成部20によって生成された暗号文eを、情報登録サーバ14に対して送信する。
【0080】
第2暗号文生成部24は、上述のNTRU公開鍵暗号方式により、短い多項式ψと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qとを用いて、(42)式に従い、短い多項式ξの暗号文aを生成する。
【0081】
【数42】
ここで、短い多項式ψは、(37)式に示す集合Lψの要素であり、移動通信端末12のユーザによって入力されても良いし、第2暗号文生成部24によってランダムに生成されてもよい。また、短い多項式ξは、(36)式に示す集合Lξの要素であり、移動通信端末12のユーザによって入力されても良いし、第2暗号文生成部24によってランダムに生成されてもよい。
【0083】
第2暗号文送信部26は、第2暗号文生成部24によって生成された暗号文aを、情報登録サーバ14に対して送信する。
【0084】
チャレンジ受信部28は、情報登録サーバ14から送信される、上記平文αと上記短い多項式ψとの双方と比較してさらに短い多項式c(チャレンジ)を受信する。ここで、さらに短い多項式cは、(35)式に示す集合Lcの要素である。
【0085】
レスポンス生成部30は、上記平文αと上記短い多項式φと上記短い多項式ψと上記短い多項式ξと上記チャレンジ受信部28によって受信した上記さらに短い多項式cとを用いて、(43)式、(44)式に従い、多項式xと多項式r(レスポンス)を生成する。
【0086】
【数43】
【数44】
レスポンス送信部32は、レスポンス生成部34によって生成された上記多項式xと上記多項式r(レスポンス)を、情報登録サーバ14に対して送信する。
【0089】
情報登録サーバ14の第1暗号文受信部36は、移動通信端末12から送信される上記暗号文eを受信する。また、第2暗号文受信部38は、移動通信端末12から送信される上記暗号文aを受信する。
【0090】
チャレンジ送信部40は、上記平文αと上記短い多項式ψとの双方と比較してさらに短い多項式c(チャレンジ)を移動通信端末12に対して送信する。ここで、上記さらに短い多項式cは、情報登録サーバ14のユーザによって入力されても良いし、チャレンジ送信部40によって生成されてもよい。
【0091】
レスポンス受信部42は、移動通信端末12から送信される多項式xと多項式r(レスポンス)を受信する。
【0092】
検証部44は、▲1▼レスポンス受信部42によって受信した上記多項式xと上記多項式rとがともに短い多項式であることを検証し(すなわち、多項式xが(38)式に示す集合Lxの要素であり、かつ、多項式rが(39)式に示す集合Lrの要素であることを検証し)、かつ、▲2▼上記暗号文eと上記暗号文aと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qと上記さらに短い多項式cと上記多項式xと上記多項式rとが、(45)式を満たすことを検証する。
【0093】
【数45】
ここで、公開鍵hと小さいモジュラス値pと大きいモジュラス値qとは、あらかじめ鍵生成サーバ18によって生成され、鍵生成サーバ18から移動通信端末12に対して送信されている。
【0095】
上記▲1▼と▲2▼との双方が検証された場合、検証部44は、情報登録サーバ14から送信された暗号文eに対応する平文αを当該移動通信端末12の利用者が知っていることが検証されたものとする。一方、上記▲1▼と▲2▼との少なくとも一方が検証されなかった場合、検証部44は、移動通信端末12から送信された暗号文eに対応する平文αを当該移動通信端末12の利用者が知っていることが検証されなかったものとする。
【0096】
情報登録部46は、移動通信端末12から送信される暗号文eに対応する平文αを当該移動通信端末12の利用者が知っていることが検証部44によって検証された場合に、当該平文αの暗号文eを登録する。暗号文eの登録は、情報登録サーバ14に備えられた格納装置の所定の領域に、移動通信端末12を識別する情報と関連づけられて暗号文eが格納されることによって行われる。
【0097】
ここで、上記多項式x,rとがともに短い多項式である(すなわち、多項式xが(38)式に示す集合Lxの要素であり、かつ、多項式rが(39)式に示す集合Lrの要素である)ことを検証し、(45)式が満たされることを検証することによって検証可暗号方式が実現することを、以下の3つの補題を証明することによって証明する。
【0098】
[補題1]証明者(移動通信端末12)が正しければ、上記検証により、受理される。
【0099】
xが(46)式で表され、rが(47)式で表されるとき、ξ,ψ,c,α,φはそれぞれ(48)式を満たすことから、x,rは(49)式を満たす。
【0100】
【数46】
【数47】
【数48】
【数49】
また、上述の(41)式は、Rの要素である任意の多項式Eを用いて、(50)式のように表される。
【0105】
【数50】
同様に、上述の(42)式は、Rの要素である任意の多項式Aを用いて、(51)式のように表される。
【0107】
【数51】
ここで、(46)式、(47)式、(50)式、(51)式を用いると、(52)式が導かれる。
【0109】
【数52】
【0110】
【数53】
【0111】
[補題2]証明者が誤っていれば、上記検証により、エラー率ε≧3/♯Lcで拒否される。
【0112】
エラー率ε≧3/♯Lcであるので、♯Lc通りの質問に対して、♯Lcε≧3個のエラーが存在する。つまり、Lcの中から、検証式を満たす少なくとも3つの異なるc,c’,c”を選ぶことができる。
【0113】
ここで、フォーキング・レンマより、公開鍵hを入力して、(54)式を満たすe,(x,r,c),(x’,r’,c’),(x”,r”,c”)を出力する確率的多項式時間アルゴリズムが存在すると仮定する。
【0114】
【数54】
このとき、Δx1,Δx2,Δr1,Δr2,Δc1,Δc2をそれぞれ(55)〜(60)式のようにおくと、(54)式から、(61)式及び(62)式が導かれる。
【0116】
【数55】
【数56】
【数57】
【数58】
【数59】
【数60】
【数61】
【数62】
続いて、(61)式、(62)式のq*A1,q*A2をそれぞれ移項し、両辺にそれぞれΔc2,Δc1を乗ずることにより、(63)式が導かれる。
【0125】
【数63】
ここで、ΔX,ΔRをそれぞれ(64)式、(65)式のようにおくと、(63)式から(66)式が導かれ、その結果、(67)式が満たされる。
【0127】
【数64】
【数65】
【数66】
【数67】
|ΔX|,|ΔR|は、それぞれ、(68)式、(69)式を満たすので、多項式時間でNTRUラティスを解くことができることを意味する。
【0132】
【数68】
【数69】
これは、NTRUラティスを解くことが難しければ、証明者はうそをつけないことを意味する。
(証明終)
【0135】
[補題3]上記検証においては、検証者(情報登録サーバ14)に対して、平文αに関する情報を与えない。
【0136】
次のようなシミュレータを作成する。すなわち、与えられたeに対して、Lxの要素であるx’,Lrの要素であるr’,Lcの要素であるc’をランダムに選択する。そして、(h,e,p*r’*h+x’−c’*e(mod q))をランダムオラクルに質問する。既に同じ質問がされている確率はきわめて小さいので、ランダムオラクルは、この質問に対する回答をc’としてリストに入れる。このときシミュレータの出力によるプルーフは(x’,r’,c’)となる。
【0137】
このとき、#Lα,#Lφ,#Lc,#Lx,#Lrは、(70)〜(73)式を満たし、極めて小さいので、上記検証可暗号方式で出現する(x,r,c)の系列がシミュレータによって生成される(x’,r’,c’)の系列と統計的識別不可能となる。
【0138】
【数70】
【数71】
【数72】
【数73】
上記シミュレータは、誰にでも作成できる。このことは、検証者が平文に関する情報を得ないことを意味する。
(証明終)
【0143】
続いて、本実施形態にかかる情報登録システムの動作について説明し、併せて、本発明の実施形態にかかる情報登録方法について説明する。
【0144】
図2は、本実施形態にかかる情報登録システム10の動作を示すフローチャートである。情報登録システム10を構成する移動通信端末12と情報登録サーバ14に対しては、鍵生成サーバ18によって生成された公開鍵hと小さいモジュラス値pと大きいモジュラス値qとが、あらかじめ送信されている。
【0145】
移動通信端末12から情報登録サーバ14に対して情報の登録を行おうとする場合、まず、移動通信端末12において、上述の(41)式に基づき、移動通信端末12の利用者が情報登録センタ14に登録したい情報の平文αに対する暗号文eが生成され(S12)、情報登録サーバ14に対して送信される(S14)。ここで、αは、(33)式に示す集合Lαの要素であり、φ(図2参照)は、(34)式に示す集合Lφの要素である。
【0146】
また、移動通信端末12において、上述の(42)式に基づき、多項式ξに対する暗号文aが生成され(S16)、情報登録サーバ14に対して送信される(S18)。ここで、ξは、(36)式に示す集合Lξの要素であり、ψ(図2参照)は、(37)式に示す集合Lψの要素である。
【0147】
続いて、暗号文e及び暗号文aを受信した情報登録サーバ14から、移動通信端末12に対して、さらに短い多項式c(チャレンジ)が送信される(S20)。ここで、さらに短い多項式cは、(35)式に示す集合Lcの要素である。
【0148】
情報登録サーバ14から送信されたさらに短い多項式c(チャレンジ)が移動通信端末12によって受信されると、移動通信端末12において、(43)式及び(44)式に従って、多項式xと多項式r(レスポンス)が生成され(S22)、生成された多項式xと多項式r(レスポンス)が情報登録サーバ14に対して送信される(S24)。
【0149】
その後、情報登録サーバ14において、移動通信端末12から送信された多項式xと多項式rとがともに短い多項式であること(すなわち、多項式xが(38)式に示す集合Lxの要素であり、かつ、多項式rが(39)式に示す集合Lrの要素であること)が検証され(S26)、上記暗号文eと上記暗号文aと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qと上記さらに短い多項式cと上記多項式xと上記多項式rとが、(45)式を満たすことが検証される(S28)。
【0150】
ここで、移動通信端末12から送信された多項式xと多項式rとの少なくとも一方が短い多項式ではない場合(すなわち、多項式xが(38)式に示す集合Lxの要素ではないか、または、多項式rが(39)式に示す集合Lrの要素ではない場合)、情報登録サーバ14において、移動通信端末12から送信される暗号文eに対応する平文αを当該移動通信端末12の利用者が知らないものと判断され、情報登録サーバ14への情報登録は行われない。また、上記暗号文eと上記暗号文aと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qと上記さらに短い多項式cと上記多項式xと上記多項式rとが、(45)式を満たさない場合も、情報登録サーバ14において、移動通信端末12から送信される暗号文eに対応する平文αを当該移動通信端末12の利用者が知らないものと判断され、情報登録サーバ14への情報登録は行われない。
【0151】
一方、移動通信端末12から送信された多項式xと多項式rとがともに短い多項式であり(すなわち、多項式xが(38)式に示す集合Lの要素であり、かつ、多項式rが(39)式に示す集合Lの要素であり)、かつ、上記暗号文eと上記暗号文aと上記公開鍵hと上記小さいモジュラス値pと上記大きいモジュラス値qと上記さらに短い多項式cと上記多項式xと上記多項式rとが、(45)式を満たす場合、情報登録サーバ14において、移動通信端末12から送信される暗号文eに対応する平文αを当該移動通信端末12の利用者が知っているものと判断され、情報登録サーバ14への情報登録が行われる(S30)。より具体的には、移動通信端末12から送信された暗号文eが、情報登録サーバ14に備えられた格納装置の所定の領域に、移動通信端末12を識別する情報と関連づけられて格納される。この場合、情報登録サーバ14が暗号文eに対応する平文αを移動通信端末12からさらに受信し、当該平文αを情報登録サーバ14に登録するようにしてもよい。
【0152】
また、図2を用いて説明した上記フローにおいて、移動通信端末12から情報登録サーバ14に対し、暗号文aが送信されない場合、多項式x,r(レスポンス)が送信されない場合は、それぞれ、その後の処理が中止される。
【0153】
また、図2を用いて説明した上記フローを、移動通信端末12及び情報登録サーバ14以外の第3者に公開し、移動通信端末12と情報登録サーバ14との間の情報の送受信フローが正しいかどうかを外部から確認できるようにしてもよい。図2を用いて説明した上記フローを第3者に公開することで、当該第3者(例えば移動通信端末12に対してサービスを提供するサービスプロバイダ)は、情報登録サーバ14に対して何ら問い合わせを行うことなく、移動通信端末12から情報登録サーバ14に対して一定の情報の登録があったことを知ることができ、移動通信端末12との迅速なデータの送受信(例えば迅速なサービスの提供)が可能となる。
【0154】
続いて、本実施形態にかかる情報登録システムの作用及び効果について説明する。本実施形態にかかる情報登録システム10は、NTRU公開鍵暗号方式を用いることにより、素因数分解型の暗号方式を用いる場合や離散対数型の暗号方式を用いる場合と比較して、計算量を少なくすることができる。これは、従来技術にかかる暗号方式が指数演算を主とした暗号方式であったのに対し、NTRU公開鍵暗号方式は、積、和の演算を主とした暗号方式であるからである。また、本実施形態にかかる情報登録システム10においては、情報登録サーバ14において、多項式xと多項式rとがともに短い多項式であることを検証し、かつ、a=p*r*h+x−c*e(mod q)の関係が満たされることを検証することにより、移動通信端末12の利用者が暗号文eに対応する平文αを知っていることを情報登録サーバ14において検証できた場合にのみ情報登録を行う。したがって、不正な情報登録を排除することができる。その結果、情報登録サーバ14に情報を登録するに際し、情報登録の信頼性を損なうことなく、その計算量を削減することができる。
【0155】
また、本実施形態にかかる情報登録システム10は、NTRU公開鍵暗号方式を用いることにより、素因数分解型の暗号方式や離散対数型の暗号方式を利用するための仮定が成立しなくなった場合であっても利用しうる。
【0156】
本実施形態にかかる情報登録システム10は、例えばインターネットなどのネットワーク上における鍵寄託などに好適に利用可能である。また、その計算量の少なさゆえに、携帯電話やICカードなどの携帯型端末に好適に適用可能である。
【0157】
【発明の効果】
本発明の情報登録方法及び情報登録システムは、NTRU公開鍵暗号方式を用いることにより、素因数分解型の暗号方式を用いる場合や離散対数型の暗号方式を用いる場合と比較して、計算量を少なくすることができる。また、情報登録サーバにおいて、多項式xと多項式rとがともに短い多項式であることを検証し、かつ、a=p*r*h+x−c*e(mod q)の関係が満たされることを検証することにより、端末装置の利用者が暗号文eに対応する平文αを知っていることを情報登録サーバにおいて検証できた場合にのみ情報登録を行うことで、不正な情報登録を排除することができる。その結果、情報登録サーバに情報を登録するに際し、情報登録の信頼性を損なうことなく、その計算量を削減することができる。
【図面の簡単な説明】
【図1】情報登録システムの構成図である。
【図2】情報登録システムの動作を示すフローチャートである。
【符号の説明】
10…情報登録システム、12…移動通信端末,14…情報登録サーバ、16…ネットワーク、18…鍵生成サーバ、20…第1暗号文生成部、22…第1暗号文送信部、24…第2暗号文生成部、26…第2暗号文送信部、28…チャレンジ受信部、30…レスポンス生成部、32…レスポンス送信部、36…第1暗号文受信部、38…第2暗号文受信部、40…チャレンジ送信部、42…レスポンス受信部、44…検証部、46…情報登録部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an information registration method, an information registration system, a terminal device used therefor, and an information registration server.
[0002]
[Prior art]
With the increase in data transmission / reception over the network, security problems cannot be ignored. Therefore, for example, highly confidential information (for example, a secret key) is registered in a fair registration center (information registration server) such as key deposit, and the secret information is used only when certain authentication is performed. Techniques that enable this are known.
[0003]
However, confidential information may be illegally registered in the registration center due to impersonation of a third party. A verifiable encryption method is used to address this problem. The verifiable encryption method is a method in which the ciphertext receiver verifies that the ciphertext sender knows the plaintext corresponding to the ciphertext without obtaining information on the plaintext. That is, the registration center uses the verifiable encryption method to confirm that the person who sent the ciphertext of the secret information to be registered really knows the secret information (that is, the person who has stolen only the ciphertext from another person) ) Without knowing the secret information itself, and as a result, the secret information can be registered safely.
[0004]
As such verifiable encryption methods, for example, a method using a prime factorization type encryption method (for example, E. Fujisaki and T. Okamoto, A Practical and Provably Secure Scheme for Public Verifiable Secret Sharing and Its Application, In Proceedings of EUROCRYPT '98, LNCS 1403, Springer, pp.32-46 (1998), F. Bao, An Efficient verifiable encryption scheme for encryption of discrete logarithm, In Proceeding of CARDIS'98, LNCS 1820, Springer, pp.213-220 ( 2000)), and methods using discrete logarithmic cryptosystems (for example, M. Stadler, Publicly Verifiable Secret Sharing, In Proceedings of EUROCRYPT '96, LNCS 1070, Springer, pp. 190-199 (1996)) are known. Yes.
[0005]
[Problems to be solved by the invention]
However, each of the information registration methods using the verifiable encryption method according to the conventional technique has a problem that the amount of calculation becomes very large. In particular, in mobile communication terminals in which it is difficult to mount a high-speed CPU or a large-capacity memory due to the importance of portability, the verifiable encryption method according to the above-described conventional technique is based on the large amount of calculation. Neither is suitable for practical use.
[0006]
Therefore, an object of the present invention is to solve the above problems and provide an information registration method, an information registration system, a terminal device used for the information registration server, and an information registration server with a small amount of calculation.
[0007]
[Means for Solving the Problems]
In order to solve the above-described problem, an information registration method according to the present invention is an information registration method for registering information transmitted from a terminal device in an information registration server, and the terminal device is short using the NTRU public key cryptosystem. Using the polynomial φ, the public key h, the small modulus value p, and the large modulus value q, a first ciphertext e = p * φ * h + α (mod q) of the information α represented by a short polynomial is generated. A ciphertext generation step; a first ciphertext transmission step in which the terminal device transmits the ciphertext e generated in the first ciphertext generation step to the information registration server; and the terminal device. The ciphertext a = p * ψ * h + ξ of the short polynomial ξ using the short polynomial ψ, the public key h, the small modulus value p, and the large modulus value q according to the NTRU public key cryptosystem. mod q) is generated, and a second ciphertext generation step in which the terminal device transmits the ciphertext a generated in the second ciphertext generation step to the information registration server. A ciphertext transmission step, a challenge transmission step in which the information registration server transmits a polynomial c shorter than both the information α and the short polynomial ψ to the terminal device, and the terminal device includes: Using the information α, the short polynomial φ, the short polynomial ψ, the short polynomial ξ, and the shorter polynomial c transmitted from the information registration server, the polynomial x = ξ + c * α and the polynomial r = ψ + c * φ A response generation step for generating the above-mentioned information, and the terminal device sends the polynomial x and the polynomial r generated in the response generation step to the information registration server. And the information transmission server verifies that both the polynomial x and the polynomial r transmitted from the terminal device are short polynomials, and the ciphertext e and the cipher The sentence a, the public key h, the small modulus value p, the large modulus value q, the shorter polynomial c, the polynomial x, and the polynomial r are a = p * r * h + x−c * e (mod q). A verification step for verifying that the user of the terminal device knows information α corresponding to the ciphertext e transmitted from the terminal device, and the information registration server When the verification step verifies that the user of the terminal device knows the information α corresponding to the ciphertext e transmitted from the terminal device, the information α or Or an information registration step of registering the ciphertext e of the information α.
[0008]
The terminal device of the present invention is a terminal device used in an information registration method for registering information transmitted from a terminal device in an information registration server, and uses a short polynomial φ and a public key h by an NTRU public key cryptosystem. A first ciphertext generating means for generating a ciphertext e = p * φ * h + α (mod q) of the information α expressed by a short polynomial using a small modulus value p and a large modulus value q; First ciphertext transmission means for transmitting the ciphertext e generated by the first ciphertext generation means to the information registration server, and a short polynomial ψ and the public key h by NTRU public key cryptography. And a second ciphertext generating means for generating a ciphertext a = p * ψ * h + ξ (mod q) of a short polynomial ξ using the small modulus value p and the large modulus value q, and the second secret message Both the second ciphertext transmitting means for transmitting the ciphertext a generated by the generating means to the information registration server, and the information α and the short polynomial ψ transmitted from the information registration server. A challenge receiving means for receiving a shorter polynomial c than the information α, the information α, the short polynomial φ, the short polynomial ψ, the short polynomial ξ, and the shorter polynomial c received by the challenge receiving means. Response generating means for generating polynomial x = ξ + c * α and polynomial r = ψ + c * φ, and the polynomial x and polynomial r generated by the response generating means are transmitted to the information registration server. And a response transmission means.
[0009]
The information registration server of the present invention is the information registration server used in the information registration method for registering information transmitted from the terminal device in the information registration server, and uses a short polynomial φ and a public key by the NTRU public key cryptosystem. The ciphertext e = p * φ * h + α of the information α expressed by a short polynomial, which is generated in the terminal device using h, a small modulus value p, and a large modulus value q and transmitted from the terminal device. mod q) is received by the terminal apparatus using the short polynomial ψ, the public key h, the small modulus value p, and the large modulus value q by the NTRU public key cryptosystem. A second ciphertext receiving means for receiving the ciphertext a = p * ψ * h + ξ (mod q) of the short polynomial ξ generated and transmitted from the terminal device; and the information α And a challenge transmitting means for transmitting a polynomial c shorter than both the short polynomial ψ and the short polynomial ψ, the information α, the short polynomial φ, the short polynomial ψ, the short polynomial ξ, and the A response receiving means for receiving a polynomial x = ξ + c * α and a polynomial r = ψ + c * φ, which is generated in the terminal device using the short polynomial c and transmitted from the terminal device, and the response receiving means It is verified that the received polynomial x and polynomial r are both short polynomials, and the ciphertext e, the ciphertext a, the public key h, the small modulus value p, and the large modulus value q By verifying that the shorter polynomial c, the polynomial x, and the polynomial r satisfy the relationship a = p * r * h + x−c * e (mod q). Verifying that the user of the terminal device knows information α corresponding to the ciphertext e transmitted from the terminal device, and the ciphertext e transmitted from the terminal device by the verification device. And information registration means for registering the information α or the ciphertext e of the information α when it is verified that the user of the terminal device knows the information α corresponding to .
[0010]
Furthermore, the information registration system of the present invention is characterized by comprising the above terminal device and the above information registration server.
[0011]
By using the NTRU public key cryptosystem, the amount of calculation can be reduced as compared with the case of using a prime factorization type cryptosystem or the case of using a discrete logarithm type cryptosystem. In the information registration server, it is verified that both the polynomial x and the polynomial r are short polynomials, and that the relationship of a = p * r * h + x−c * e (mod q) is satisfied. By doing so, information registration is performed only when the information registration server can verify that the user of the terminal device knows the plaintext information α corresponding to the ciphertext e, thereby eliminating illegal information registration. Can do. As a result, when registering information in the information registration server, the amount of calculation can be reduced without impairing the reliability of information registration.
[0012]
DETAILED DESCRIPTION OF THE INVENTION
Before describing the information registration system according to the embodiment of the present invention, the NTRU public key cryptosystem used in the present embodiment will be briefly described.
[0013]
[Definition]
A polynomial a (x) (see formula (2)) belonging to the polynomial ring R (see formula (1)) is regarded as a vector a (see formula (3)), and its center norm | a | is shown in formula (4). Define as follows.
[0014]
[Expression 1]
[Expression 2]
[Equation 3]
[Expression 4]
At this time, for example, a polynomial a (x) that satisfies the equation (5) is called a short polynomial.
[0019]
[Equation 5]
That is, a short polynomial is such that its center norm becomes smaller than a predetermined threshold value so as to increase as the degree N of the polynomial increases (for example, in proportion to the square root of N). It is a polynomial.
[0021]
Further, an arithmetic expression a (x) · b (x) (mod x) using a polynomial a (x) represented by the expression (2) and a polynomial b (x) represented by the expression (6).N-1) is represented by a * b.
[0022]
[Formula 6]
Here, if c (x) = a * b (see equation (7)) is regarded as a vector c (see equation (8)), vector a (see equation (3)) and vector b (see equation (9)) ) And the vector c (see equation (8)) satisfy the relationship of equation (10).
[0024]
[Expression 7]
[Equation 8]
[Equation 9]
[Expression 10]
[Preparation]
For an appropriate natural number N (e.g., a value of 100 to 500), a large modulus value q (e.g., a value about half of N) and a small modulus value p (e.g., a value such as 2, 3) are expressed as x.N−1, p, q are determined to be relatively prime. Rp, Rq, Zp, ZqA set of N-1th order polynomials with elements of.
[0029]
[Key generation]
Short polynomials f and g are arbitrarily determined, and these are used as secret keys. For this polynomial f, F satisfying equation (11)pAnd F satisfying equation (12)qThen, the public key h is calculated by the equation (13).
[0030]
## EQU11 ##
[Expression 12]
[Formula 13]
[encryption]
Message space L to which message m belongsmIs defined as in equation (14). Here, a random short polynomial r is defined for the message m, and a ciphertext e is generated using the equation (15).
[0034]
[Expression 14]
[Expression 15]
[Decryption]
From the secret key f and the ciphertext e, a is calculated using the equation (16), and b is further calculated using the equation (17).pInverse element FpThus, the message m can be decrypted using the equation (18).
[0037]
[Expression 16]
[Expression 17]
[Expression 18]
[NTRU assumption]
NTRU public key cryptosystem is RqThis is based on the assumption that it is difficult to obtain short polynomials f and g satisfying the equation (19) when a polynomial h belonging to is given.
[0041]
[Equation 19]
This is because when deg h = N−1, the most efficient method for obtaining the secret keys f and g is considered to solve the problem of searching for a short vector on a 2N-dimensional lattice.
[0043]
Next, definitions used to describe the information registration system according to the embodiment of the present invention will be described. First, two sets S1, S2Are defined as shown in equations (20) and (21), respectively.
[0044]
[Expression 20]
[Expression 21]
That is, the set S2Is a set of short polynomials and S1Is a set of even shorter polynomials. Here, the shorter polynomial is a polynomial whose center norm is smaller than a predetermined threshold value not depending on the degree N of the polynomial. Therefore, when the degree N of the polynomial is large (for example, 100 to 500), the center norm of the shorter polynomial is sufficiently smaller than the center norm of the short polynomial.
[0047]
Under the above definition, the set Lα, Lφ, Lc, Lx, LrEach satisfies the equation (22).
[0048]
[Expression 22]
That is, the set Lα, Lφ, Lx, LrEach is a set of short polynomials and the set LcIs a set of even shorter polynomials.
[0050]
Here, α is an element of the set Lα, φ is an element of the set Lφ, and c is the set LcIf ξ is an element of the set Lξ and ψ is an element of the set Lψ, the sets Lξ and Lψ that satisfy the expressions (23), (24), and (25) are determined.
[0051]
[Expression 23]
[Expression 24]
[Expression 25]
For example, the set Lα, Lφ, Lc, Lx, LrAre respectively expressed by equations (26) to (30), the sets Lξ and Lψ can be defined by equations (31) and (32), respectively.
[0055]
[Equation 26]
[Expression 27]
[Expression 28]
[Expression 29]
[30]
[31]
[Expression 32]
In the following, the sets Lα, Lφ, Lc, Lξ, Lψ, Lx, LrAre defined as shown in equations (33) to (39). Set L* cfIs given by equation (40).
[0063]
[Expression 33]
[Expression 34]
[Expression 35]
[Expression 36]
[Expression 37]
[Formula 38]
[39]
[Formula 40]
Next, an information registration system according to an embodiment of the present invention will be described with reference to the drawings. The information registration system according to the present embodiment includes a terminal device and an information registration server according to the embodiment of the present invention.
[0072]
First, the configuration of the information registration system according to the present embodiment will be described. FIG. 1 is a configuration diagram of an information registration system according to the present embodiment. The
[0073]
Here, the
[0074]
The
[0075]
The
[0076]
The first
[0077]
[Expression 41]
Here, the public key h, the small modulus value p, and the large modulus value q are generated in advance by the
[0079]
The first
[0080]
The second
[0081]
[Expression 42]
Here, the short polynomial ψ is an element of the set Lψ shown in the equation (37), and may be input by the user of the
[0083]
The second
[0084]
The
[0085]
The
[0086]
[Expression 43]
(44)
The
[0089]
The first
[0090]
The
[0091]
The
[0092]
The verifying
[0093]
[Equation 45]
Here, the public key h, the small modulus value p, and the large modulus value q are generated in advance by the
[0095]
When both the above (1) and (2) are verified, the
[0096]
When the
[0097]
Here, both the polynomials x and r are short polynomials (that is, the set L in which the polynomial x is shown in the equation (38)).xAnd the set r of the polynomial r shown in the equation (39)rIt is proved by proving the following three lemmas that the verifiable cryptosystem is realized by verifying that the expression (45) is satisfied.
[0098]
[Lemma 1] If the prover (mobile communication terminal 12) is correct, it is accepted by the above verification.
[0099]
When x is expressed by the equation (46) and r is expressed by the equation (47), ξ, ψ, c, α, and φ satisfy the equation (48), so x and r are expressed by the equation (49). Meet.
[0100]
[Equation 46]
[Equation 47]
[Formula 48]
[Equation 49]
Further, the above equation (41) is expressed as equation (50) using an arbitrary polynomial E that is an element of R.
[0105]
[Equation 50]
Similarly, the above equation (42) is expressed as equation (51) using an arbitrary polynomial A which is an element of R.
[0107]
[Equation 51]
Here, using the formulas (46), (47), (50), and (51), the formula (52) is derived.
[0109]
[Formula 52]
[0110]
[Equation 53]
[0111]
[Lemma 2] If the prover is wrong, the error rate ε ≧ 3 / # L by the above verification.cRejected.
[0112]
Error rate ε ≧ 3 / # Lc#Lc#L for street questionscThere are ε ≧ 3 errors. That is, LcCan select at least three different c, c ', c "satisfying the verification equation.
[0113]
Here, the public key h is inputted from the forking lemma, and e, (x, r, c), (x ′, r ′, c ′), (x ″, r ″ satisfying the expression (54). , C ″) is assumed to exist.
[0114]
[Formula 54]
At this time, Δx1, Δx2, Δr1, Δr2, Δc1, Δc2(55) to (60), the equations (61) and (62) are derived from the equation (54).
[0116]
[Expression 55]
[Expression 56]
[Equation 57]
[Formula 58]
[Formula 59]
[Expression 60]
[Equation 61]
[62]
Subsequently, q * A in the formulas (61) and (62)1, Q * A2Respectively, and Δc on each side2, Δc1(63) is derived by multiplying by.
[0125]
[Equation 63]
Here, if ΔX and ΔR are respectively set as in the expressions (64) and (65), the expression (66) is derived from the expression (63), and as a result, the expression (67) is satisfied.
[0127]
[Expression 64]
[Equation 65]
[Equation 66]
[Expression 67]
| ΔX | and | ΔR | satisfy the expressions (68) and (69), respectively, which means that the NTRU lattice can be solved in polynomial time.
[0132]
[Equation 68]
[Equation 69]
This means that if it is difficult to solve the NTRU lattice, the prover will not lie.
(End of proof)
[0135]
[Lemma 3] In the above verification, information regarding the plaintext α is not given to the verifier (information registration server 14).
[0136]
Create the following simulator. That is, for a given e, LxX ', L which are elements ofrR ', L which are elements ofcC 'which is an element of is selected at random. Then, (h, e, p * r ′ * h + x′−c ′ * e (mod q)) is queried to the random oracle. Since the probability that the same question has already been asked is very small, Random Oracle will list the answer to this question as c '. At this time, the proof by the output of the simulator is (x ', r', c ').
[0137]
At this time, # Lα, # Lφ, #Lc, #Lx, #LrSatisfies the expressions (70) to (73) and is extremely small, so that a series of (x, r, c) appearing in the verifiable encryption method is generated by the simulator (x ′, r ′, c ′). Statistically indistinguishable from
[0138]
[Equation 70]
[Equation 71]
[Equation 72]
[Equation 73]
Anyone can create the simulator. This means that the verifier does not get information about plaintext.
(End of proof)
[0143]
Subsequently, an operation of the information registration system according to the present embodiment will be described, and an information registration method according to the embodiment of the present invention will be described.
[0144]
FIG. 2 is a flowchart showing the operation of the
[0145]
When registering information from the
[0146]
In the
[0147]
Subsequently, a shorter polynomial c (challenge) is transmitted from the
[0148]
When a shorter polynomial c (challenge) transmitted from the
[0149]
Thereafter, in the
[0150]
Here, when at least one of the polynomial x and the polynomial r transmitted from the
[0151]
On the other hand, both the polynomial x and the polynomial r transmitted from the
[0152]
In the above flow described with reference to FIG. 2, when the ciphertext a is not transmitted from the
[0153]
Further, the above-described flow described with reference to FIG. 2 is disclosed to a third party other than the
[0154]
Then, the effect | action and effect of the information registration system concerning this embodiment are demonstrated. The
[0155]
In addition, the
[0156]
The
[0157]
【The invention's effect】
The information registration method and information registration system according to the present invention use the NTRU public key cryptosystem, thereby reducing the amount of calculation compared to using a prime factorization cryptosystem or a discrete logarithm cryptosystem. can do. In the information registration server, it is verified that both the polynomial x and the polynomial r are short polynomials, and that the relationship of a = p * r * h + x−c * e (mod q) is satisfied. Thus, unauthorized information registration can be eliminated by performing information registration only when the information registration server can verify that the user of the terminal device knows the plaintext α corresponding to the ciphertext e. . As a result, when registering information in the information registration server, the amount of calculation can be reduced without impairing the reliability of information registration.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of an information registration system.
FIG. 2 is a flowchart showing the operation of the information registration system.
[Explanation of symbols]
DESCRIPTION OF
Claims (4)
前記端末装置が、NTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて、短い多項式で表現された前記情報αの暗号文e=p*φ*h+α(mod q)を生成する第1の暗号文生成ステップと、
前記端末装置が、前記第1の暗号文生成ステップにおいて生成された前記暗号文eを、前記情報登録サーバに対して送信する第1の暗号文送信ステップと、
前記端末装置が、NTRU公開鍵暗号方式により、短い多項式ψと前記公開鍵hと前記小さいモジュラス値pと前記大きいモジュラス値qとを用いて、短い多項式ξの暗号文a=p*ψ*h+ξ(mod q)を生成する第2の暗号文生成ステップと、
前記端末装置が、前記第2の暗号文生成ステップにおいて生成された前記暗号文aを、前記情報登録サーバに対して送信する第2の暗号文送信ステップと、
前記情報登録サーバが、前記情報αと前記短い多項式ψとの双方と比較してさらに短い多項式cを前記端末装置に対して送信するチャレンジ送信ステップと、
前記端末装置が、前記情報αと前記短い多項式φと前記短い多項式ψと前記短い多項式ξと前記情報登録サーバから送信された前記さらに短い多項式cとを用いて、多項式x=ξ+c*αと多項式r=ψ+c*φとを生成するレスポンス生成ステップと、
前記端末装置が、前記レスポンス生成ステップにおいて生成された前記多項式xと前記多項式rとを、前記情報登録サーバに対して送信するレスポンス送信ステップと、
前記情報登録サーバが、前記端末装置から送信された前記多項式xと前記多項式rとがともに短い多項式であることを検証し、かつ、前記暗号文eと前記暗号文aと前記公開鍵hと前記小さいモジュラス値pと前記大きいモジュラス値qと前記さらに短い多項式cと前記多項式xと前記多項式rとがa=p*r*h+x−c*e(mod q)の関係を満たすことを検証することにより、前記端末装置から送信される暗号文eに対応する情報αを前記端末装置の利用者が知っていることを検証する検証ステップと、
前記情報登録サーバが、前記検証ステップによって、前記端末装置から送信される暗号文eに対応する情報αを前記端末装置の利用者が知っていることが検証された場合に、前記情報αまたは前記情報αの暗号文eを登録する情報登録ステップと
を備えたことを特徴とする情報登録方法。In an information registration method for registering information transmitted from a terminal device in an information registration server,
According to the NTRU public key cryptosystem, the terminal device uses the short polynomial φ, the public key h, the small modulus value p, and the large modulus value q, and the ciphertext e = p * of the information α represented by the short polynomial. a first ciphertext generation step of generating φ * h + α (mod q);
A first ciphertext transmission step in which the terminal device transmits the ciphertext e generated in the first ciphertext generation step to the information registration server;
The terminal device uses a short polynomial ψ, the public key h, the small modulus value p, and the large modulus value q using the NTRU public key cryptosystem, and the ciphertext a = p * ψ * h + ξ of the short polynomial ξ. A second ciphertext generation step of generating (mod q);
A second ciphertext transmission step in which the terminal device transmits the ciphertext a generated in the second ciphertext generation step to the information registration server;
A challenge transmission step in which the information registration server transmits a polynomial c shorter than the information α and the short polynomial ψ to the terminal device;
The terminal device uses the information α, the short polynomial φ, the short polynomial ψ, the short polynomial ξ, and the shorter polynomial c transmitted from the information registration server to generate a polynomial x = ξ + c * α and a polynomial. a response generation step of generating r = ψ + c * φ;
A response transmission step in which the terminal device transmits the polynomial x and the polynomial r generated in the response generation step to the information registration server;
The information registration server verifies that both the polynomial x and the polynomial r transmitted from the terminal device are short polynomials, and the ciphertext e, the ciphertext a, the public key h, and the Verifying that the small modulus value p, the large modulus value q, the shorter polynomial c, the polynomial x, and the polynomial r satisfy the relationship a = p * r * h + x−c * e (mod q). A verification step for verifying that the user of the terminal device knows the information α corresponding to the ciphertext e transmitted from the terminal device;
When the information registration server verifies that the user of the terminal device knows the information α corresponding to the ciphertext e transmitted from the terminal device by the verification step, the information α or the information α An information registration method comprising an information registration step of registering a ciphertext e of information α.
NTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて、短い多項式で表現された前記情報αの暗号文e=p*φ*h+α(mod q)を生成する第1の暗号文生成手段と、
前記第1の暗号文生成手段において生成された前記暗号文eを、前記情報登録サーバに対して送信する第1の暗号文送信手段と、
NTRU公開鍵暗号方式により、短い多項式ψと前記公開鍵hと前記小さいモジュラス値pと前記大きいモジュラス値qとを用いて、短い多項式ξの暗号文a=p*ψ*h+ξ(mod q)を生成する第2の暗号文生成手段と、
前記第2の暗号文生成手段において生成された前記暗号文aを、前記情報登録サーバに対して送信する第2の暗号文送信手段と、
前記情報登録サーバから送信される、前記情報αと前記短い多項式ψとの双方と比較してさらに短い多項式cを受信するチャレンジ受信手段と、
前記情報αと前記短い多項式φと前記短い多項式ψと前記短い多項式ξと前記チャレンジ受信手段によって受信した前記さらに短い多項式cとを用いて、多項式x=ξ+c*αと多項式r=ψ+c*φとを生成するレスポンス生成手段と、
前記レスポンス生成手段によって生成された前記多項式xと前記多項式rとを、前記情報登録サーバに対して送信するレスポンス送信手段と
を備えたことを特徴とする端末装置。In the terminal device used in the information registration method for registering information transmitted from the terminal device in the information registration server,
The ciphertext e = p * φ * h + α (mod of the information α expressed by the short polynomial using the short polynomial φ, the public key h, the small modulus value p, and the large modulus value q by the NTRU public key cryptosystem. first ciphertext generating means for generating q);
First ciphertext transmission means for transmitting the ciphertext e generated by the first ciphertext generation means to the information registration server;
Using the NTRU public key cryptosystem, the short polynomial ψ, the public key h, the small modulus value p, and the large modulus value q are used to convert the ciphertext a = p * ψ * h + ξ (mod q) of the short polynomial ξ. Second ciphertext generating means for generating;
Second ciphertext transmission means for transmitting the ciphertext a generated by the second ciphertext generation means to the information registration server;
Challenge receiving means for receiving a polynomial c shorter than the information α and the short polynomial ψ transmitted from the information registration server;
Using the information α, the short polynomial φ, the short polynomial ψ, the short polynomial ξ, and the shorter polynomial c received by the challenge receiving means, a polynomial x = ξ + c * α and a polynomial r = ψ + c * φ A response generating means for generating
A terminal device comprising: response transmission means for transmitting the polynomial x and the polynomial r generated by the response generation means to the information registration server.
NTRU公開鍵暗号方式により、短い多項式φと公開鍵hと小さいモジュラス値pと大きいモジュラス値qとを用いて前記端末装置において生成され、前記端末装置から送信される、短い多項式で表現された前記情報αの暗号文e=p*φ*h+α(mod q)を受信する第1の暗号文受信手段と、
NTRU公開鍵暗号方式により、短い多項式ψと前記公開鍵hと前記小さいモジュラス値pと前記大きいモジュラス値qとを用いて前記端末装置において生成され、前記端末装置から送信される、短い多項式ξの暗号文a=p*ψ*h+ξ(mod q)を受信する第2の暗号文受信手段と、
前記情報αと前記短い多項式ψとの双方と比較してさらに短い多項式cを前記端末装置に対して送信するチャレンジ送信手段と、
前記情報αと前記短い多項式φと前記短い多項式ψと前記短い多項式ξと前記さらに短い多項式cとを用いて前記端末装置において生成され、前記端末装置から送信される、多項式x=ξ+c*αと多項式r=ψ+c*φとを受信するレスポンス受信手段と、
前記レスポンス受信手段によって受信した前記多項式xと前記多項式rとがともに短い多項式であることを検証し、かつ、前記暗号文eと前記暗号文aと前記公開鍵hと前記小さいモジュラス値pと前記大きいモジュラス値qと前記さらに短い多項式cと前記多項式xと前記多項式rとがa=p*r*h+x−c*e(mod q)の関係を満たすことを検証することにより、前記端末装置から送信される暗号文eに対応する情報αを前記端末装置の利用者が知っていることを検証する検証手段と、
前記検証手段によって、前記端末装置から送信される暗号文eに対応する情報αを前記端末装置の利用者が知っていることが検証された場合に、前記情報αまたは前記情報αの暗号文eを登録する情報登録手段と
を備えたことを特徴とする情報登録サーバ。In the information registration server used in the information registration method of registering information transmitted from the terminal device in the information registration server,
According to the NTRU public key cryptosystem, the short polynomial φ, the public key h, the small modulus value p, and the large modulus value q are generated in the terminal device and transmitted from the terminal device, and expressed by the short polynomial. First ciphertext receiving means for receiving ciphertext e = p * φ * h + α (mod q) of information α;
According to the NTRU public key cryptosystem, a short polynomial ξ generated by the terminal device using the short polynomial ψ, the public key h, the small modulus value p, and the large modulus value q and transmitted from the terminal device Second ciphertext receiving means for receiving ciphertext a = p * ψ * h + ξ (mod q);
Challenge transmitting means for transmitting a polynomial c shorter than both the information α and the short polynomial ψ to the terminal device;
A polynomial x = ξ + c * α, which is generated in the terminal device using the information α, the short polynomial φ, the short polynomial ψ, the short polynomial ξ, and the shorter polynomial c, and is transmitted from the terminal device, Response receiving means for receiving the polynomial r = ψ + c * φ;
It is verified that both the polynomial x and the polynomial r received by the response receiving means are short polynomials, and the ciphertext e, the ciphertext a, the public key h, the small modulus value p, and the By verifying that the large modulus value q, the shorter polynomial c, the polynomial x, and the polynomial r satisfy the relationship a = p * r * h + x−c * e (mod q), the terminal device Verification means for verifying that the user of the terminal device knows information α corresponding to the transmitted ciphertext e;
When the verification unit verifies that the user of the terminal device knows the information α corresponding to the ciphertext e transmitted from the terminal device, the information α or the ciphertext e of the information α An information registration server comprising: information registration means for registering the information.
前記端末装置は、請求項2に記載の端末装置であり、
前記情報登録サーバは、請求項3に記載の情報登録サーバである
ことを特徴とする情報登録システム。In an information registration system comprising a terminal device and an information registration server, and registering information transmitted from the terminal device in the information registration server,
The terminal device is the terminal device according to claim 2,
The information registration system according to claim 3, wherein the information registration server is the information registration server according to claim 3.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002032938A JP3927419B2 (en) | 2002-02-08 | 2002-02-08 | Information registration method, terminal device, information registration server, information registration system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002032938A JP3927419B2 (en) | 2002-02-08 | 2002-02-08 | Information registration method, terminal device, information registration server, information registration system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003234733A JP2003234733A (en) | 2003-08-22 |
| JP3927419B2 true JP3927419B2 (en) | 2007-06-06 |
Family
ID=27775909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002032938A Expired - Lifetime JP3927419B2 (en) | 2002-02-08 | 2002-02-08 | Information registration method, terminal device, information registration server, information registration system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3927419B2 (en) |
-
2002
- 2002-02-08 JP JP2002032938A patent/JP3927419B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003234733A (en) | 2003-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8856524B2 (en) | Cryptographic methods, host system, trusted platform module, computer arrangement, computer program product and computer program | |
| US7716484B1 (en) | System and method for increasing the security of encrypted secrets and authentication | |
| US8661240B2 (en) | Joint encryption of data | |
| US8744077B2 (en) | Cryptographic encoding and decoding of secret data | |
| US9071445B2 (en) | Method and system for generating implicit certificates and applications to identity-based encryption (IBE) | |
| US8015398B2 (en) | Set membership proofs in data processing systems | |
| US7730319B2 (en) | Provisional signature schemes | |
| CN109818752B (en) | Credit score generation method and device, computer equipment and storage medium | |
| Gambs et al. | Prover anonymous and deniable distance-bounding authentication | |
| CN102957538A (en) | Information processing apparatus and information processing method | |
| US8346742B1 (en) | Remote verification of file protections for cloud data storage | |
| US8954728B1 (en) | Generation of exfiltration-resilient cryptographic keys | |
| Hajny et al. | Attribute‐based credentials with cryptographic collusion prevention | |
| JPWO2006070682A1 (en) | Restricted blind signature system, signature device, signature reception device, signature presentation device, signature verification device | |
| JP4772965B2 (en) | Method for proving entity authenticity and / or message integrity | |
| US20220070009A1 (en) | Authentication system with reduced attack surface | |
| CN114128213B (en) | Apparatus, method, and program for verifying the authenticity of a public key | |
| JP3927419B2 (en) | Information registration method, terminal device, information registration server, information registration system | |
| US7404078B2 (en) | Methods and apparatus for private certificates in public key cryptography | |
| Noel et al. | Review and analysis of classical algorithms and hash-based post-quantum algorithm | |
| Xu et al. | Timed‐release oblivious transfer | |
| JP3746919B2 (en) | Qualification authentication method using variable authentication information | |
| JP4629889B2 (en) | Verifiable encryption method, apparatus thereof, program thereof, and recording medium thereof | |
| JP5392741B2 (en) | Password authentication method based on RSA and its application | |
| Saxena et al. | Zero-knowledge blind identification for smart cards using bilinear pairings |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041012 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070227 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070302 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100309 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110309 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110309 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120309 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120309 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130309 Year of fee payment: 6 |