JPH0946333A - 暗号通信法 - Google Patents
暗号通信法Info
- Publication number
- JPH0946333A JPH0946333A JP8196548A JP19654896A JPH0946333A JP H0946333 A JPH0946333 A JP H0946333A JP 8196548 A JP8196548 A JP 8196548A JP 19654896 A JP19654896 A JP 19654896A JP H0946333 A JPH0946333 A JP H0946333A
- Authority
- JP
- Japan
- Prior art keywords
- value
- polynomial
- degree
- transformation
- elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04K—SECRET COMMUNICATION; JAMMING OF COMMUNICATION
- H04K1/00—Secret communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Analysis (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
- Facsimile Transmission Control (AREA)
- Mobile Radio Communication Systems (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
- Error Detection And Correction (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Complex Calculations (AREA)
Abstract
(57)【要約】
【課題】 検証、暗号化及び解読のための方法を提供す
る。 【解決手段】 暗号化、サイン、真正性の認証に使用で
きる非対象の新しい暗号通信方法。この方法は、有限環
Kにおける値を有する小さな次数の公開多項方程式に基
づくものである。メカニズムは必ずしも全単射ではな
い。秘密キーによって、環Kの拡大のなかに値を有する
多項方程式を隠すことができる。これらの方程式の解法
は、秘密キーを手に入れれば、公開キーだけでは行うこ
とができない演算を行うことを可能にする。
る。 【解決手段】 暗号化、サイン、真正性の認証に使用で
きる非対象の新しい暗号通信方法。この方法は、有限環
Kにおける値を有する小さな次数の公開多項方程式に基
づくものである。メカニズムは必ずしも全単射ではな
い。秘密キーによって、環Kの拡大のなかに値を有する
多項方程式を隠すことができる。これらの方程式の解法
は、秘密キーを手に入れれば、公開キーだけでは行うこ
とができない演算を行うことを可能にする。
Description
【0001】
【発明の属する技術分野】本発明は、対話者(interloc
uteur )間のメッセージを処理し、通信の秘密を保護す
るための非対称暗号通信法(procede de communication
cryptographique)に関する。この方法は、非対称にメ
ッセージを暗号化する(chiffrer)、または同じく非対
称にメッセージにサインする(signer)ために利用する
ことができる。この方法は、非対称な認証(authentifi
cation)にも利用できる。
uteur )間のメッセージを処理し、通信の秘密を保護す
るための非対称暗号通信法(procede de communication
cryptographique)に関する。この方法は、非対称にメ
ッセージを暗号化する(chiffrer)、または同じく非対
称にメッセージにサインする(signer)ために利用する
ことができる。この方法は、非対称な認証(authentifi
cation)にも利用できる。
【0002】周知の第一の方法は1977年に考案され
た。この方法は、1977年12月14日付けで、発明
者Rivest、Shamir、Adlemanによっ
て登録された米国特許4,405,829号の対象とな
っている。発明者の名をとってRSAと呼ばれているこ
の方法は二種類のキー(cle )を使用している。第一の
キー(Kp)はメッセージの暗号化を行い、第二のキー
(Ks)は解読を行う。世界中で知られているこの方法
は、暗号化キーと解読キーが異なることから、非対称暗
号通信法と呼ばれる暗号方式を基礎にしている。同一の
ネットワークの中で、各メンバー(i)は、一対のキー
を所有している。第一のキー(Kpi )は公開され、す
べての人に知られているものであり、第二のキー(Ks
i )は秘密で、決して教えてはならないものである。
た。この方法は、1977年12月14日付けで、発明
者Rivest、Shamir、Adlemanによっ
て登録された米国特許4,405,829号の対象とな
っている。発明者の名をとってRSAと呼ばれているこ
の方法は二種類のキー(cle )を使用している。第一の
キー(Kp)はメッセージの暗号化を行い、第二のキー
(Ks)は解読を行う。世界中で知られているこの方法
は、暗号化キーと解読キーが異なることから、非対称暗
号通信法と呼ばれる暗号方式を基礎にしている。同一の
ネットワークの中で、各メンバー(i)は、一対のキー
を所有している。第一のキー(Kpi )は公開され、す
べての人に知られているものであり、第二のキー(Ks
i )は秘密で、決して教えてはならないものである。
【0003】同一ネットワークの二人の対話者(1)と
(2)間の暗号化された通信は以下の要領で行われる。
まず最初に、(1)と(2)は互いの公開キー(K
p1 、Kp2 )を知らせ合い、次に(1)が(2)にメ
ッセージ(M)を送ろうとするとき、このメッセージを
キー(Kp2 )によって暗号化する。(2)がいったん
受け取ったこのメッセージは、(2)が保持している秘
密キー(Ks2 )を用いない限り解読することができな
い。
(2)間の暗号化された通信は以下の要領で行われる。
まず最初に、(1)と(2)は互いの公開キー(K
p1 、Kp2 )を知らせ合い、次に(1)が(2)にメ
ッセージ(M)を送ろうとするとき、このメッセージを
キー(Kp2 )によって暗号化する。(2)がいったん
受け取ったこのメッセージは、(2)が保持している秘
密キー(Ks2 )を用いない限り解読することができな
い。
【0004】暗号化 M’=RSA(M、Kp2 ) 解読 M=RSA(M’、Ks2 ) (2)が(1)にメッセージを送ろうとするとき、
(1)の公開キー(Kp1)を暗号化し、(1)は自分
の秘密キー(Ks1 )によって解読する。
(1)の公開キー(Kp1)を暗号化し、(1)は自分
の秘密キー(Ks1 )によって解読する。
【0005】RSA法はサインにも使用することができ
る。メッセージは、個人に固有の秘密キーによって暗号
化され、このときサイン(signature )とよばれる暗号
化されたメッセージが普通の文字のメッセージとともに
転送される。メッセージの受信者は、当該の個人の公開
キーを当局(autorite)に尋ね、サインの解読のために
そのキーを使用する。解読されたテキストが普通の文字
によるメッセージに対応している場合には、サインは本
物である。
る。メッセージは、個人に固有の秘密キーによって暗号
化され、このときサイン(signature )とよばれる暗号
化されたメッセージが普通の文字のメッセージとともに
転送される。メッセージの受信者は、当該の個人の公開
キーを当局(autorite)に尋ね、サインの解読のために
そのキーを使用する。解読されたテキストが普通の文字
によるメッセージに対応している場合には、サインは本
物である。
【0006】この暗号通信法にはいくつかの欠点があ
る。たとえば、操作する数がかなり多く(現在のとこ
ろ、512ビットが典型的)、その結果数多くの計算が
必要になり、サインするのにかなり長い時間がかかる。
さらに、因数分解(factorisation )に新しい進展が得
られた場合には、RSAの安全性が侵される恐れがあ
る。
る。たとえば、操作する数がかなり多く(現在のとこ
ろ、512ビットが典型的)、その結果数多くの計算が
必要になり、サインするのにかなり長い時間がかかる。
さらに、因数分解(factorisation )に新しい進展が得
られた場合には、RSAの安全性が侵される恐れがあ
る。
【0007】メッセージの非対称の暗号化またはサイン
機能を遂行するために、「リュックサック(sac-a dos
)」をベースにしたアルゴリズムまたはマツモト−イ
マイのアルゴリズムを使用する方法のような他の非対称
暗号通信法も提案されている。しかしながら、これらの
二つの例は、安全性のレベルが不十分であるということ
がわかっている。
機能を遂行するために、「リュックサック(sac-a dos
)」をベースにしたアルゴリズムまたはマツモト−イ
マイのアルゴリズムを使用する方法のような他の非対称
暗号通信法も提案されている。しかしながら、これらの
二つの例は、安全性のレベルが不十分であるということ
がわかっている。
【0008】
【発明が解決しようとする課題】本発明は、これら二つ
の例のいくつかの利点を残しながらも、それらの欠点を
もたない解決策を提案することにある。本発明は、RS
Aのように、真正性の検証、暗号化及びサインのために
使用することができる「隠された体のアルゴリズム(Al
gorithme des Corps Caches )」またはHFE(Hid
den Field Equations)と呼ばれる
新しいアルゴリズムを使用する。さらに、RSAは主に
数の大きな因数分解の問題に基づいているのに対して、
HFEアルゴリズムは完全に異なる問題に基づいてい
る。実際には、次数(degre )の小さい(典型的には次
数が2または3の)多変数方程式の解法に基づいてい
る。マツモト−イマイのアルゴリズムもまたこの特性を
もっているが、すでに指摘したように、安全性のレベル
は不十分であることがわかっており、その結果、暗号通
信法の中で使用するには適していない点に注意する必要
がある。そもそも、本発明の発明者が、マツモト−イマ
イのアルゴリズムが暗号通信法においては信頼性が確か
なものでないことを発見した。
の例のいくつかの利点を残しながらも、それらの欠点を
もたない解決策を提案することにある。本発明は、RS
Aのように、真正性の検証、暗号化及びサインのために
使用することができる「隠された体のアルゴリズム(Al
gorithme des Corps Caches )」またはHFE(Hid
den Field Equations)と呼ばれる
新しいアルゴリズムを使用する。さらに、RSAは主に
数の大きな因数分解の問題に基づいているのに対して、
HFEアルゴリズムは完全に異なる問題に基づいてい
る。実際には、次数(degre )の小さい(典型的には次
数が2または3の)多変数方程式の解法に基づいてい
る。マツモト−イマイのアルゴリズムもまたこの特性を
もっているが、すでに指摘したように、安全性のレベル
は不十分であることがわかっており、その結果、暗号通
信法の中で使用するには適していない点に注意する必要
がある。そもそも、本発明の発明者が、マツモト−イマ
イのアルゴリズムが暗号通信法においては信頼性が確か
なものでないことを発見した。
【0009】HFEアルゴリズムの確かさに貢献してい
る新しいエレメントとしては、このアルゴリズムが必ず
しも全単射(bijectif)でない点及び非常に一般的な多
項方程式を使用できる点を挙げることができる。
る新しいエレメントとしては、このアルゴリズムが必ず
しも全単射(bijectif)でない点及び非常に一般的な多
項方程式を使用できる点を挙げることができる。
【0010】本発明の他の利点は、現在知られている最
も短い非対称サインは約220または320ビットであ
る(SCHNORRのアルゴリズムまたはDSSアルゴ
リズムを用いて得られる。これらのアルゴリズムは、サ
インまたは真正性の検証にのみ使用され、暗号化や解読
には使用できない)のに対して、HFEアルゴリズムに
対して超短サイン(200ビット未満)を計算すること
ができる可能性を有する点である。RSAを使用する場
合には、512ビット以上を使用することが望ましい。
も短い非対称サインは約220または320ビットであ
る(SCHNORRのアルゴリズムまたはDSSアルゴ
リズムを用いて得られる。これらのアルゴリズムは、サ
インまたは真正性の検証にのみ使用され、暗号化や解読
には使用できない)のに対して、HFEアルゴリズムに
対して超短サイン(200ビット未満)を計算すること
ができる可能性を有する点である。RSAを使用する場
合には、512ビット以上を使用することが望ましい。
【0011】定義 1.A[X]/g(X)のあらゆる同型代数構造を環
(anneau)Aのn次数の「拡大(extension )」と呼
ぶ。ここでA[X]はAについての不定な多項式の環で
あり、g(X)は次数nの多項式である。
(anneau)Aのn次数の「拡大(extension )」と呼
ぶ。ここでA[X]はAについての不定な多項式の環で
あり、g(X)は次数nの多項式である。
【0012】とりわけ重要なケースは、Aが有限体(co
rps fini)Fq であり、gがFq について次数nの既約
多項式となるケースである。一方、A[x]/g(x)
はFq nと同形の有限体である。
rps fini)Fq であり、gがFq について次数nの既約
多項式となるケースである。一方、A[x]/g(x)
はFq nと同形の有限体である。
【0013】2.Ln のすべての元(element )eが唯
一、
一、
【0014】
【数9】
【0015】の形で表すことができるような、Ln のn
個の元、(e1 、e2 、・・・en )の族(famille )
をAの次数nの拡大Ln の「基底(base)」と呼ぶ。
個の元、(e1 、e2 、・・・en )の族(famille )
をAの次数nの拡大Ln の「基底(base)」と呼ぶ。
【0016】このために、本発明は、有限環(K)の
(n)個の元によって表される値(X)を環(K)の
(n’)個の元によって表される像値(valeur image)
(Y)に変換する暗号通信法に関するものであり、次の
ような特徴を有する。
(n)個の元によって表される値(X)を環(K)の
(n’)個の元によって表される像値(valeur image)
(Y)に変換する暗号通信法に関するものであり、次の
ような特徴を有する。
【0017】a)像値(Y)の各元(n’)は、値
(X)の元(n)において、2あるいは2以上(典型的
にはD=2または3)の小さな次数(D)をもつ公開多
項方程式の形を有する。
(X)の元(n)において、2あるいは2以上(典型的
にはD=2または3)の小さな次数(D)をもつ公開多
項方程式の形を有する。
【0018】b)像値(Y)はまた、以下の段階を含む
変換によって(X)の値から得ることができる。これら
の段階の少なくともいくつかは、暗号の秘密に関する知
識を必要とする。
変換によって(X)の値から得ることができる。これら
の段階の少なくともいくつかは、暗号の秘密に関する知
識を必要とする。
【0019】b1)値(X)に対して、次数1の秘密多
項式(s)の値(X)の(n)個の元への第一の変換を
適用して、(n)個の元をもつ第一の写像(I1)を得
る。
項式(s)の値(X)の(n)個の元への第一の変換を
適用して、(n)個の元をもつ第一の写像(I1)を得
る。
【0020】b2)一つまたは複数の分岐(branche )
を形成し、各分岐は第一の写像(I1)の元で構成され
る(たとえば、第一の分岐は、I1のn1 個の第一の元
を含み、第二の分岐は次のn2 個の元を含み、以下同様
となるか、あるいは同一の元が複数の分岐の中に存在し
てもよい)。かつ、 ・少なくとも分岐の一つ(e)(場合によってはすべ
て)の中では、分岐の(ne )個の元が、W*k=ne
である環(K)の次数Wの拡大(LW )に属するいくつ
か(k)の変数(x、x’、x”、・・・、xk )また
は一つの変数を示すものとみなされ、少なくともこの分
岐(e)に対して、以下のように定義される変換を適用
する。
を形成し、各分岐は第一の写像(I1)の元で構成され
る(たとえば、第一の分岐は、I1のn1 個の第一の元
を含み、第二の分岐は次のn2 個の元を含み、以下同様
となるか、あるいは同一の元が複数の分岐の中に存在し
てもよい)。かつ、 ・少なくとも分岐の一つ(e)(場合によってはすべ
て)の中では、分岐の(ne )個の元が、W*k=ne
である環(K)の次数Wの拡大(LW )に属するいくつ
か(k)の変数(x、x’、x”、・・・、xk )また
は一つの変数を示すものとみなされ、少なくともこの分
岐(e)に対して、以下のように定義される変換を適用
する。
【0021】
【数10】
【0022】
【数11】
【0023】上式で変換fe によって(x、x’、
x”、・・・、xk )の写像を(y、y’、y”、・・
・、yk )と表し、fe は以下の二つの特性を検証する
ものである。
x”、・・・、xk )の写像を(y、y’、y”、・・
・、yk )と表し、fe は以下の二つの特性を検証する
ものである。
【0024】−b2.1)環(LW )の拡大の基底
(B)において、写像の各成分(y、y’、y”、・・
・、yk )は、この基底の成分(x、x’、x”、・・
・、xk)による多項式の形で表される。この多項式は
公開多項方程式の前記の次数(D)以下の総合次数(de
gre total )を有する。
(B)において、写像の各成分(y、y’、y”、・・
・、yk )は、この基底の成分(x、x’、x”、・・
・、xk)による多項式の形で表される。この多項式は
公開多項方程式の前記の次数(D)以下の総合次数(de
gre total )を有する。
【0025】−b2.2)環(LW )の拡大において表
される変換(fe )は、(fe )の前項が存在する場合
には一定のエントリ(entree)の数が全エントリ数に対
して無視できる場合を除き、それを計算することができ
るように行われる。(この計算は、ne が非常に小さい
場合には網羅的調査によって、また有限環の中ではこの
タイプの多項方程式の解法の数学的アルゴリズムを用い
て行われる)。
される変換(fe )は、(fe )の前項が存在する場合
には一定のエントリ(entree)の数が全エントリ数に対
して無視できる場合を除き、それを計算することができ
るように行われる。(この計算は、ne が非常に小さい
場合には網羅的調査によって、また有限環の中ではこの
タイプの多項方程式の解法の数学的アルゴリズムを用い
て行われる)。
【0026】・場合によっては他の分岐に対して、前記
の次数(D)以下の次数の多項式から環(K)の値をも
つ成分への変換を適用する。
の次数(D)以下の次数の多項式から環(K)の値をも
つ成分への変換を適用する。
【0027】b3)このように変換された分岐または他
の分岐の終わりに、この分岐の直前に位置する分岐の変
数にのみ依存する(D)以下の次数の多項式(秘密また
は公開)を付け加える(この段階は必ずしも必要なく、
ゼロの多項式を加えることもできる)。
の分岐の終わりに、この分岐の直前に位置する分岐の変
数にのみ依存する(D)以下の次数の多項式(秘密また
は公開)を付け加える(この段階は必ずしも必要なく、
ゼロの多項式を加えることもできる)。
【0028】b4)このように変換され、次に連結され
た(すなわち再編成された)一つの分岐または複数の分
岐が、第二の写像(I2)を構成する。
た(すなわち再編成された)一つの分岐または複数の分
岐が、第二の写像(I2)を構成する。
【0029】b5)第二の写像(I2)に対して、次数
1をもつ秘密多項式(t)から第二の写像(I2)の元
への第二の変換を適用して定められた元の数を有する第
三の写像(I3)を得る。そして、b6)前記の像値
(Y)を形成するために第三の写像(I3)の元全体の
中から(n’)個の元を選別する(たとえば、最初の
l、あるいはまた、特定の代替案においては、I3のあ
らゆる元をとる。この場合Y=I3)。
1をもつ秘密多項式(t)から第二の写像(I2)の元
への第二の変換を適用して定められた元の数を有する第
三の写像(I3)を得る。そして、b6)前記の像値
(Y)を形成するために第三の写像(I3)の元全体の
中から(n’)個の元を選別する(たとえば、最初の
l、あるいはまた、特定の代替案においては、I3のあ
らゆる元をとる。この場合Y=I3)。
【0030】本発明はまた、以下の通信法を利用する、
非対称サイン法及び非対称真正性検証法に関する。
非対称サイン法及び非対称真正性検証法に関する。
【0031】添付の図面を参照して、限定的でない望ま
しいいくつかの実施形態を説明することで本発明の他の
利点及び詳細をみてみる。
しいいくつかの実施形態を説明することで本発明の他の
利点及び詳細をみてみる。
【0032】
【発明の実施の形態】本発明の説明をする前に、まず第
一に、特に有限体の特性に関する数学の基礎を簡単に思
い出してみよう。
一に、特に有限体の特性に関する数学の基礎を簡単に思
い出してみよう。
【0033】有限体の説明と特性 1)関数f 指標(caracteristique )pで基数(cardinal)qの有
限体をKとする(強制ではないが、典型的にはq=p=
2)。Kの次数Nの拡大をLN とし、Ln の元を
βi,j 、αi 、μ0 またはθi,j 、φi,j とし、整数を
ξi とする。以下の写像をfとすると
限体をKとする(強制ではないが、典型的にはq=p=
2)。Kの次数Nの拡大をLN とし、Ln の元を
βi,j 、αi 、μ0 またはθi,j 、φi,j とし、整数を
ξi とする。以下の写像をfとすると
【0034】
【数12】
【0035】
【数13】
【0036】ここで、
【0037】
【数14】
【0038】および
【0039】
【数15】
【0040】ここで、fはxによる多項式であり、
(*)は乗法関数である。したがって、Q、P、Sは、
場合によってはこの表記のなかではいくつかの値を表す
こともある。なぜなら、複数のθi,j 、φi,j 、ξi を
もつことができるからである。
(*)は乗法関数である。したがって、Q、P、Sは、
場合によってはこの表記のなかではいくつかの値を表す
こともある。なぜなら、複数のθi,j 、φi,j 、ξi を
もつことができるからである。
【0041】さらに、あらゆる整数
【0042】
【数16】
【0043】は、
【0044】
【数17】
【0045】の線形写像(application lineaire)であ
る。したがって、fは二次関数である。
る。したがって、fは二次関数である。
【0046】LN の基底をBとすると、基底Bにおける
fの式は次のようになる。
fの式は次のようになる。
【0047】f(x1 、...、xN )=(P
1 (X1 、...、xN )、...、P
N (x1 、...、xN ))ここで、P1 、・・・、P
N は、N個の変数x1 、・・・、xN における合計次数
2の多項式である。
1 (X1 、...、xN )、...、P
N (x1 、...、xN ))ここで、P1 、・・・、P
N は、N個の変数x1 、・・・、xN における合計次数
2の多項式である。
【0048】多項式P1 、・・・、PN はLN の表現
(representation)を用いて計算される。LN の表現
は、次数NのKについての既約多項式iN (X)のデー
タである。このことから、K[X]/(iN (X))に
おけるLN を識別することができる。したがって、多項
式P1 、・・・、PN を計算することは簡単である。
(representation)を用いて計算される。LN の表現
は、次数NのKについての既約多項式iN (X)のデー
タである。このことから、K[X]/(iN (X))に
おけるLN を識別することができる。したがって、多項
式P1 、・・・、PN を計算することは簡単である。
【0049】2)fの反転 多項式fのxにおける次数をμとしよう。fは、必ずし
も
も
【0050】
【数18】
【0051】の全単射ではない。
【0052】1)“a”はLN の元であることから、μ
がそれほど大きすぎない場合には(たとえばμ≦100
0)、f(x)=aのように、LN のxのあらゆる値
(それらが存在する場合には)を比較的簡単に見つける
ことができるアルゴリズムが知られている。
がそれほど大きすぎない場合には(たとえばμ≦100
0)、f(x)=aのように、LN のxのあらゆる値
(それらが存在する場合には)を比較的簡単に見つける
ことができるアルゴリズムが知られている。
【0053】2)さらに、LN のあらゆる“a”につい
て、せいぜいf(x)=aのxにおける“μ”個の解法
がある。
て、せいぜいf(x)=aのxにおける“μ”個の解法
がある。
【0054】3)場合によっては、fは全単写となるこ
ともある。
ともある。
【0055】暗号化/解読システムのためのベースとな
るHFEアルゴリズム ここで、新しいHFEアルゴリズムの第一のバージョン
(version )について説明する。このバージョンは、限
定的でなものではなく、次の章ではより一般的なバージ
ョンを紹介する。
るHFEアルゴリズム ここで、新しいHFEアルゴリズムの第一のバージョン
(version )について説明する。このバージョンは、限
定的でなものではなく、次の章ではより一般的なバージ
ョンを紹介する。
【0056】q=pm 個の元を含む体Kは公開である。
各メッセージはKのn個の元で構成される。たとえば、
p=2の場合には、各メッセージはn*mビットをも
ち、nは同じく公開である。nはd個の整数に分けられ
る。つまりn=n1 +・・・+nd となる。
各メッセージはKのn個の元で構成される。たとえば、
p=2の場合には、各メッセージはn*mビットをも
ち、nは同じく公開である。nはd個の整数に分けられ
る。つまりn=n1 +・・・+nd となる。
【0057】これらの整数ne (1<=e<=d)の各
々について、次数ne の体Kの拡大Lne を結び付ける
(記号<=は「未満または等しい」を意味している)。
々について、次数ne の体Kの拡大Lne を結び付ける
(記号<=は「未満または等しい」を意味している)。
【0058】Kの成分によって表される値を「ワード
(mot )」と呼ぼう。たとえば、Lne の元(1<=e
<=d)は長さne のワードとして表される。これから
説明する暗号化のメカニズムにおいては、N=n1 をf
1 、N=n2 をf2 ・・・等々とみなしながら、先に説
明した関数fと同類の二次関数f1 、・・・、fd を使
用する。これらの関数はd個のワードを発生する。この
ときこれらのd個のワードは長さnの一つのワードと再
び組み合わされる。
(mot )」と呼ぼう。たとえば、Lne の元(1<=e
<=d)は長さne のワードとして表される。これから
説明する暗号化のメカニズムにおいては、N=n1 をf
1 、N=n2 をf2 ・・・等々とみなしながら、先に説
明した関数fと同類の二次関数f1 、・・・、fd を使
用する。これらの関数はd個のワードを発生する。この
ときこれらのd個のワードは長さnの一つのワードと再
び組み合わされる。
【0059】・秘密オブジェクトは以下の通りである。
【0060】1)
【0061】
【数19】
【0062】の全単射の二つのアフィン変換(transfor
mation affiner)sとt。これらのアフィン全単射は、
Kにおける係数及び次数1の多項式による基底のなかに
表すことができる。
mation affiner)sとt。これらのアフィン全単射は、
Kにおける係数及び次数1の多項式による基底のなかに
表すことができる。
【0063】2)nをd個の整数に分ける。n=n1 +
・・・+nd 。
・・・+nd 。
【0064】3)体Ln1 、・・・、Lnd の表現。こ
れらの“表現”は、d個の既約多項式の選択によって与
えられる。1<=e<=dのようなeとともに、この表
現によって与えられたLne に向かうKn eの同形表現
をΨne と記す。
れらの“表現”は、d個の既約多項式の選択によって与
えられる。1<=e<=dのようなeとともに、この表
現によって与えられたLne に向かうKn eの同形表現
をΨne と記す。
【0065】4)“関数f”と題されたパラグラフに与
えられた関数fと同タイプの二次関数f1 、・・・、f
d (N=ne 及び1<=e<=d)。
えられた関数fと同タイプの二次関数f1 、・・・、f
d (N=ne 及び1<=e<=d)。
【0066】第一の注記:これらのオブジェクト(obje
t )はすべて先験的に秘密であるが、実際には上記の
2)、3)、4)の項目のオブジェクトは、公開とする
こともできる。というのもアルゴリズムの安全性は主に
秘密変換(transformation secrete)sとtに基づいて
いるからである。
t )はすべて先験的に秘密であるが、実際には上記の
2)、3)、4)の項目のオブジェクトは、公開とする
こともできる。というのもアルゴリズムの安全性は主に
秘密変換(transformation secrete)sとtに基づいて
いるからである。
【0067】第二の注記:sとtは、全単射写像である
が、また“ほぼ(quasi )全単射”とすることもでき
る。すなわち、せいぜいほんのわずかな前項しかもたな
い写像となることもある。
が、また“ほぼ(quasi )全単射”とすることもでき
る。すなわち、せいぜいほんのわずかな前項しかもたな
い写像となることもある。
【0068】暗号化のメカニズムは図1に説明されてい
る。演算のシーケンスは、高いところから始まって低い
方へ向かって進行する。まず第一に、
る。演算のシーケンスは、高いところから始まって低い
方へ向かって進行する。まず第一に、
【0069】
【数20】
【0070】の全単射のアフィン変換が行われる。
【0071】関数μ1 、・・・、μd は、
【0072】
【数21】
【0073】(ここでは1<=e<=d)の射影関数で
あり、μは逆連結関数(fonction deconcatenation inv
erse )である。関数μ1 、・・・、μd は、いわばd
個の“分岐”のn個の元に分けられる。
あり、μは逆連結関数(fonction deconcatenation inv
erse )である。関数μ1 、・・・、μd は、いわばd
個の“分岐”のn個の元に分けられる。
【0074】同型表現Ψne は、異なる体Kneから体の
異なる表現Ln1 、・・・、Lndに向かって応用さ
れ、次に二次関数f1 、・・・、fd は、Ln1 、・・
・、Lnd のなかのそれぞれLn1 、・・・、Lnd に
適用される。次に、逆同形表現(Ψne )-1は、体Ln
1 、・・・、Lnd の異なる表現からさまざまな体Kn
eに向かって応用される。
異なる表現Ln1 、・・・、Lndに向かって応用さ
れ、次に二次関数f1 、・・・、fd は、Ln1 、・・
・、Lnd のなかのそれぞれLn1 、・・・、Lnd に
適用される。次に、逆同形表現(Ψne )-1は、体Ln
1 、・・・、Lnd の異なる表現からさまざまな体Kn
eに向かって応用される。
【0075】次に、逆連結関数μは、Kn eからKn に
向かって適用される。最後に、変換sと類似している一
般的形態の
向かって適用される。最後に、変換sと類似している一
般的形態の
【0076】
【数22】
【0077】の全単射アフィン変換tが行われる。
【0078】F2 は、最も左側のブロックの変数に左右
される多くとも次数(D)の関数である。より一般的に
は、Fi (2<=i<=d)はブロック1、2、・・・
i−1の変数に依存している多くとも次数(D)の変数
である。
される多くとも次数(D)の関数である。より一般的に
は、Fi (2<=i<=d)はブロック1、2、・・・
i−1の変数に依存している多くとも次数(D)の変数
である。
【0079】注記:これらの関数F2 、・・・、F
d は、ブロックによるFeistelの図をつくりだ
す。多くの場合、HFEアルゴリズムのなかにこれらの
関数つまり、F2 =・・・=Fd =0を関与させること
はない。
d は、ブロックによるFeistelの図をつくりだ
す。多くの場合、HFEアルゴリズムのなかにこれらの
関数つまり、F2 =・・・=Fd =0を関与させること
はない。
【0080】重要なことであり注意すべきとして、これ
らすべての演算の構成は、基底のなかの成分を用いてこ
の関数を表す時には二次関数を発生させる。したがっ
て、この関数は、Kにおける係数をもつn個の多項式
(P1 、・・・、Pn )によって与えられることが可能
である。これらの多項式は普通の文字のテキストxに応
じて暗号化されたテキスト(y)を計算することが可能
である。
らすべての演算の構成は、基底のなかの成分を用いてこ
の関数を表す時には二次関数を発生させる。したがっ
て、この関数は、Kにおける係数をもつn個の多項式
(P1 、・・・、Pn )によって与えられることが可能
である。これらの多項式は普通の文字のテキストxに応
じて暗号化されたテキスト(y)を計算することが可能
である。
【0081】・公開オブジェクトは、以下の通りであ
る。
る。
【0082】1)q=pm 元の体K及びメッセージの長
さn 2)Kのn個の変数によるn個の多項式(P1 、・・
・、Pn )。このように、誰でもメッセージを暗号化す
ることができる(したがって、暗号化のアルゴリズム
は、本発明の請求の対象となっている特性にしたがって
まさしく公開である)。
さn 2)Kのn個の変数によるn個の多項式(P1 、・・
・、Pn )。このように、誰でもメッセージを暗号化す
ることができる(したがって、暗号化のアルゴリズム
は、本発明の請求の対象となっている特性にしたがって
まさしく公開である)。
【0083】さらに、秘密オブジェクトが知られている
場合には解読が可能である。というのも、図1に記され
たあらゆる演算を反転させることが可能だからである。
たとえば、関数fe の反転は、上記の「fの反転」と題
されたパラグラフの中のfについて示されているよう
に、体Lne のなかの未知数における多項式の解法から
なる。しかしながら、fe は必ずしも全単射でないこと
に注意する必要がある。したがって複数の前項を得るこ
とが可能である。そこで普通の文字によるテキストの選
択は、普通の文字のテキストの中に入れられた冗長度
(redondance)を用いて決定される。解読されたテキス
トは、この冗長度をもつテキストとなる。関数が全単射
でない場合には、この冗長度を普通の文字のメッセージ
に体系的に入れることを考える必要がある。
場合には解読が可能である。というのも、図1に記され
たあらゆる演算を反転させることが可能だからである。
たとえば、関数fe の反転は、上記の「fの反転」と題
されたパラグラフの中のfについて示されているよう
に、体Lne のなかの未知数における多項式の解法から
なる。しかしながら、fe は必ずしも全単射でないこと
に注意する必要がある。したがって複数の前項を得るこ
とが可能である。そこで普通の文字によるテキストの選
択は、普通の文字のテキストの中に入れられた冗長度
(redondance)を用いて決定される。解読されたテキス
トは、この冗長度をもつテキストとなる。関数が全単射
でない場合には、この冗長度を普通の文字のメッセージ
に体系的に入れることを考える必要がある。
【0084】サインによるアルゴリズムの使用例 二つのケースが考えられる。
【0085】・関数が全単射であるケース。
【0086】Hは、サインされるメッセージに適用され
る「ハッシャージュ(hachage )」関数(英語の“ha
sh”から)の結果であり(たとえば、Hは128ビッ
トのフォーマットを有している)、それに対してサイン
SはS=HFE-1(H)である。
る「ハッシャージュ(hachage )」関数(英語の“ha
sh”から)の結果であり(たとえば、Hは128ビッ
トのフォーマットを有している)、それに対してサイン
SはS=HFE-1(H)である。
【0087】このように、暗号化関数HFEが公開であ
ることから、誰でも、H’=HFE(S)とし、H’=
Hであるかどうかを確認することでサインを検証するこ
とができる。サインの発信者はもちろんSを計算するた
めの秘密を所有しなければならない。
ることから、誰でも、H’=HFE(S)とし、H’=
Hであるかどうかを確認することでサインを検証するこ
とができる。サインの発信者はもちろんSを計算するた
めの秘密を所有しなければならない。
【0088】・関数が全単射でないケース。
【0089】この場合、たとえば、HFEアルゴリズム
によって前項を計算できることをほぼ確かにするために
出力ビットの数より大きいHFEの入力ビット数を選択
することができる。
によって前項を計算できることをほぼ確かにするために
出力ビットの数より大きいHFEの入力ビット数を選択
することができる。
【0090】たとえば、Hは128ビットで表すことが
でき、Sは128+20=148ビットで表すことがで
きる。
でき、Sは128+20=148ビットで表すことがで
きる。
【0091】実施の特殊なケース HFEアルゴリズムを行うための複数の方法には、その
実践と実施に関する重要な利点を示している。
実践と実施に関する重要な利点を示している。
【0092】・単一分岐によるアルゴリズムのケース
(すなわちd=1とともに)。
(すなわちd=1とともに)。
【0093】このバージョンは、唯一の(大きな)分岐
しかもっておらず、したがって、各等式において、あら
ゆる変数、すなわちメッセージのあらゆるビットが関わ
っている。この分岐の規模の大きさを考慮に入れると、
この実施形態は小規模の分岐の弱さをもっていないとい
える。
しかもっておらず、したがって、各等式において、あら
ゆる変数、すなわちメッセージのあらゆるビットが関わ
っている。この分岐の規模の大きさを考慮に入れると、
この実施形態は小規模の分岐の弱さをもっていないとい
える。
【0094】・同一関数fをともなう小さい分岐のケー
ス この特殊なケースは、たとえば12ビットの値をともな
う小さな分岐と同一関数fを関与させる。このバージョ
ンは、とりわけ興味深いものである。なぜなら内蔵され
た小型の処理ユニットのなかに、たとえばチップ型カー
ド(cartes a puce )中で簡単に実施できるからであ
る。実施は、数学的プログラムまたは相互プロセッサ
(co-processeur )を用いて可能となる。
ス この特殊なケースは、たとえば12ビットの値をともな
う小さな分岐と同一関数fを関与させる。このバージョ
ンは、とりわけ興味深いものである。なぜなら内蔵され
た小型の処理ユニットのなかに、たとえばチップ型カー
ド(cartes a puce )中で簡単に実施できるからであ
る。実施は、数学的プログラムまたは相互プロセッサ
(co-processeur )を用いて可能となる。
【0095】HFEアルゴリズムの第一の代替案 本明細書の中ですでに記したような各分岐において使用
される関数fは、有限体のなかに唯一の変数xをもつ多
項方程式である。基底の中に表されるこの関数fは、合
計次数が2となるような方程式のように表される。
される関数fは、有限体のなかに唯一の変数xをもつ多
項方程式である。基底の中に表されるこの関数fは、合
計次数が2となるような方程式のように表される。
【0096】事実、あらかじめ定義された一般的モデル
からわずかに逸脱している別のタイプの関数fを使用す
ることもできる。この新しいタイプの関数は、fとして
有限体の複数の変数たとえば二つの変数x1 とx2 に依
存している関数を選択することからなり、その結果、基
底において座標に応じた式は、合計次数が2のままであ
り、前項が存在する場合には、常にfの定められた値に
よって前項を計算し直すことができるようになる。
からわずかに逸脱している別のタイプの関数fを使用す
ることもできる。この新しいタイプの関数は、fとして
有限体の複数の変数たとえば二つの変数x1 とx2 に依
存している関数を選択することからなり、その結果、基
底において座標に応じた式は、合計次数が2のままであ
り、前項が存在する場合には、常にfの定められた値に
よって前項を計算し直すことができるようになる。
【0097】この変数は、以下の数値例によってよりわ
かりやすくなるであろう。64ビットの値とp=2とと
もにアルゴリズムの分岐を考えてみよう。この代替案に
よれば、以下のようなf(x,x’)=(y、y’)と
ともに、それぞれ32ビットの2つの変数xとx’に依
存しているfをみてみよう。
かりやすくなるであろう。64ビットの値とp=2とと
もにアルゴリズムの分岐を考えてみよう。この代替案に
よれば、以下のようなf(x,x’)=(y、y’)と
ともに、それぞれ32ビットの2つの変数xとx’に依
存しているfをみてみよう。
【0098】 y=x4 +x*x’+x’ (1) y’=x17+x4 *x’+x’3 (2) (とりわけこの厳密な関数を使用することが勧められて
いるわけではない。この厳密な関数はあくまで例として
与えられたものである。) (y、y’)から対(x、x’)を決定するためには、
以下の要領で行うことができる。
いるわけではない。この厳密な関数はあくまで例として
与えられたものである。) (y、y’)から対(x、x’)を決定するためには、
以下の要領で行うことができる。
【0099】 方程式(1)から、x’=(y−x4 )/(x+1) (3) を求める。
【0100】この結果方程式(2)から y’(x+1)3 =x17(x+1)3 +x4 (y−
x4 )(x+1)2 +(y−x4 )3 (4) を求める。
x4 )(x+1)2 +(y−x4 )3 (4) を求める。
【0101】ところで、(4)は唯一の変数xをもつ多
項方程式である。すでに指摘したように、数学者はすで
に、このタイプの方程式を解くための一般的方法を知っ
ている。したがって、(4)を解くことができ、その結
果方程式を解く値xを定義することができる。次に、方
程式(3)のなかでxをこれらの値に置き換えること
で、x’の値を導き出すことができる。
項方程式である。すでに指摘したように、数学者はすで
に、このタイプの方程式を解くための一般的方法を知っ
ている。したがって、(4)を解くことができ、その結
果方程式を解く値xを定義することができる。次に、方
程式(3)のなかでxをこれらの値に置き換えること
で、x’の値を導き出すことができる。
【0102】注記:有限体の中に複数の変数をもつ方程
式について現在知られている解法技術によって、この例
によって示されている方程式とは別のタイプの方程式を
正しく解くことができる。とりわけ、必ずしも他の関数
に応じて一つの変数を表し、それを置き換える必要があ
るわけではない方程式を解くことができる。
式について現在知られている解法技術によって、この例
によって示されている方程式とは別のタイプの方程式を
正しく解くことができる。とりわけ、必ずしも他の関数
に応じて一つの変数を表し、それを置き換える必要があ
るわけではない方程式を解くことができる。
【0103】HFEアルゴリズムの第二の代替案 必然的に、HFEアルゴリズムの説明とその代替案は、
本発明の特許請求の範囲を、次数1、次数2をもつ多項
方程式の利用に限定するものではない。次数3を使用す
ることも完全に可能である。このときは、次数3の公開
形態をとる。
本発明の特許請求の範囲を、次数1、次数2をもつ多項
方程式の利用に限定するものではない。次数3を使用す
ることも完全に可能である。このときは、次数3の公開
形態をとる。
【0104】同様に、次数4さらに5も考えられる。し
かしながら、その結果生じる公開方程式がコンピュータ
によって簡単に記憶し、計算することができるように、
次数はかなり小さいままである必要がある。
かしながら、その結果生じる公開方程式がコンピュータ
によって簡単に記憶し、計算することができるように、
次数はかなり小さいままである必要がある。
【0105】パラメータの選択はまた、最大限の安全性
を保証し、暗号通信への侵入をできるだけ防ぐために重
要である。このように安全性の理由から、以下であるこ
とが望ましい。
を保証し、暗号通信への侵入をできるだけ防ぐために重
要である。このように安全性の理由から、以下であるこ
とが望ましい。
【0106】1)各分岐には、少なくとも32ビットの
一つの変数が存在する、できれば少なくとも62ビット
の変数が存在する。
一つの変数が存在する、できれば少なくとも62ビット
の変数が存在する。
【0107】2)Σγijxi yj +Σαi xi +Σβj
yj +δ0 =0の形をとる等式は存在しない。係数
γij、αi 、βj あるいはσ0 の少なくともいずれか一
つはゼロでなく、yj が暗号化されたテキストの成分で
ある場合には、またxi が普通の文字によるテキストの
成分である場合には、それらの係数は常に検証される。
注記:上記のマツモト−イマイのアルゴリズムが完全に
安全でないことが明らかになったのは、とりわけこのよ
うな条件を検証できないからである。
yj +δ0 =0の形をとる等式は存在しない。係数
γij、αi 、βj あるいはσ0 の少なくともいずれか一
つはゼロでなく、yj が暗号化されたテキストの成分で
ある場合には、またxi が普通の文字によるテキストの
成分である場合には、それらの係数は常に検証される。
注記:上記のマツモト−イマイのアルゴリズムが完全に
安全でないことが明らかになったのは、とりわけこのよ
うな条件を検証できないからである。
【0108】3)Σγijk xi yj yk +Σαijxi y
j +Σβijyj yk +Σμi xi +Σνi yi +δ0 =
0の形の方程式、すなわち合計次数3で、xにおける次
数が1の方程式が存在しない。
j +Σβijyj yk +Σμi xi +Σνi yi +δ0 =
0の形の方程式、すなわち合計次数3で、xにおける次
数が1の方程式が存在しない。
【0109】4)より一般的には、安全性のために、小
さい多項式による公開方程式の積の線形組合わせを別に
して、普通の文字のメッセージと暗号化されたメッセー
ジの座標の間で常に検証される「小さい」次数の方程式
が存在しないことが望ましい。
さい多項式による公開方程式の積の線形組合わせを別に
して、普通の文字のメッセージと暗号化されたメッセー
ジの座標の間で常に検証される「小さい」次数の方程式
が存在しないことが望ましい。
【0110】HFEアルゴリズムの第三の代替案 関数が全単射でない場合には、HFEアルゴリズムを使
用するために、普通の文字のテキストの中に冗長度を入
れる可能性を指摘してきた。
用するために、普通の文字のテキストの中に冗長度を入
れる可能性を指摘してきた。
【0111】他の可能性も存在する。実際に、暗号化さ
れた値の中にKの新しい元を入れる場合には、普通の文
字の値Xの規模より大きな暗号化文字の値Yをもつこと
ができるからである。これらの新しい元もまた、Xの成
分において次数2の方程式によって与えられる。より一
般的に、図1の表記法を再記することによって、s
(x)の同じ元を複数の分岐の中に転送することができ
る。基底の中に次数2の任意の方程式で構成される一つ
もしくは複数の分岐を付け加えることもできるが、これ
らの追加分岐は、正しい前項を他から区別するのに役立
つ。
れた値の中にKの新しい元を入れる場合には、普通の文
字の値Xの規模より大きな暗号化文字の値Yをもつこと
ができるからである。これらの新しい元もまた、Xの成
分において次数2の方程式によって与えられる。より一
般的に、図1の表記法を再記することによって、s
(x)の同じ元を複数の分岐の中に転送することができ
る。基底の中に次数2の任意の方程式で構成される一つ
もしくは複数の分岐を付け加えることもできるが、これ
らの追加分岐は、正しい前項を他から区別するのに役立
つ。
【0112】HFEアルゴリズムの第四の代替案 図1の最終関数を与えるあらゆる方程式を公開にする代
わりに、その一つもしくは複数の機密を保護することが
できる。すなわち、(P1 、・・・、Pn )を公開にす
る代わりに、これらの方程式の一部だけを公開にするこ
とができる。このとき、暗号化は公開の(P1 、・・
・、Pn )のみを計算することによって行われる。
わりに、その一つもしくは複数の機密を保護することが
できる。すなわち、(P1 、・・・、Pn )を公開にす
る代わりに、これらの方程式の一部だけを公開にするこ
とができる。このとき、暗号化は公開の(P1 、・・
・、Pn )のみを計算することによって行われる。
【0113】解読のためには、非公開のPi に可能なあ
らゆる値を試してみる。このことから先験的に、可能な
複数の解読されたメッセージを与えることができ、正し
いメッセージは、これまでのように、普通の文字のメッ
セージに冗長度を入れることによって、あるいは第三の
代替案のなかで示した方法によって、正しいメッセージ
がマークされる。
らゆる値を試してみる。このことから先験的に、可能な
複数の解読されたメッセージを与えることができ、正し
いメッセージは、これまでのように、普通の文字のメッ
セージに冗長度を入れることによって、あるいは第三の
代替案のなかで示した方法によって、正しいメッセージ
がマークされる。
【0114】注記:このように、一つもしくは複数の公
開方程式をを削除することによって、特定のケースで
は、HFEアルゴリズムによって隠された体の構造の発
見が一層難しくなる恐れがある。
開方程式をを削除することによって、特定のケースで
は、HFEアルゴリズムによって隠された体の構造の発
見が一層難しくなる恐れがある。
【0115】図2の説明 図2は、上述の暗号通信アルゴリズムを使用する暗号化
/解読システムの一例を概略的に示している。
/解読システムの一例を概略的に示している。
【0116】同じ通信ネットワークに属している二人の
個人AとBがおり、各々がメッセージの送信/受信装置
1と2をそれぞれ所有しているとする。この装置には、
メッセージの暗号化と解読を行うために配置された計算
手段、たとえばコンピュータと記憶手段が備えられてい
る。少なくともこれらの計算または記憶手段の一部は、
アクセスが制御されるゾーンの範囲を定めるマイクロケ
ーブル論理回路またはマイクロプロセッサを内蔵したポ
ータブルオブジェクト(objet portatif)の中に置くこ
とができ、その結果、暗号通信キーのような秘密情報を
閉じ込めることができる(たとえば、フランス特許第2
401459号に記載されたポータブルオブジェクトを
参照のこと)。
個人AとBがおり、各々がメッセージの送信/受信装置
1と2をそれぞれ所有しているとする。この装置には、
メッセージの暗号化と解読を行うために配置された計算
手段、たとえばコンピュータと記憶手段が備えられてい
る。少なくともこれらの計算または記憶手段の一部は、
アクセスが制御されるゾーンの範囲を定めるマイクロケ
ーブル論理回路またはマイクロプロセッサを内蔵したポ
ータブルオブジェクト(objet portatif)の中に置くこ
とができ、その結果、暗号通信キーのような秘密情報を
閉じ込めることができる(たとえば、フランス特許第2
401459号に記載されたポータブルオブジェクトを
参照のこと)。
【0117】各装置には、特に一つのプログラムの形で
先述のようなHFEアルゴリズム及びHFE-1逆アルゴ
リズムが組込まれている。
先述のようなHFEアルゴリズム及びHFE-1逆アルゴ
リズムが組込まれている。
【0118】二台の装置は、互いに通信ライン3を用い
てつながっている。
てつながっている。
【0119】二人の個人AとBはそれぞれ、一対のキー
をもっている。公開キーCpA とCpB 及び、対応する
公開キーCpA とCpB と相関関係にある秘密キーCs
A とCsB である。AとBが、キーの対を計算する手段
を有していない場合には、ネットワークが非常に正確に
その計算を行うことができ、その結果、ネットワークの
各メンバーに対してある程度の権限(autorite)が与え
られる。これら二人の個人が秘密を保護して互いに対話
しようとする場合、交換されたデータが誰にも理解され
ないようにする場合には、以下の手順を行う。
をもっている。公開キーCpA とCpB 及び、対応する
公開キーCpA とCpB と相関関係にある秘密キーCs
A とCsB である。AとBが、キーの対を計算する手段
を有していない場合には、ネットワークが非常に正確に
その計算を行うことができ、その結果、ネットワークの
各メンバーに対してある程度の権限(autorite)が与え
られる。これら二人の個人が秘密を保護して互いに対話
しようとする場合、交換されたデータが誰にも理解され
ないようにする場合には、以下の手順を行う。
【0120】個人AはBに対して自分の公開キーCpA
を送り、BはAに対して自分の公開キーCpB を送る。
代替案によれば、ネットワークは中央記憶装置にすべて
のメンバーの公開キーを保存しており、メンバーの要求
に対してそれを知らせることができる。Aがいったん公
開キーCpB を受け取ると、AはBに送りたいと考えて
いるメッセージMを暗号通信アルゴリズムHFEを用い
てメッセージM’に暗号化するためにこの公開キーを使
用する。このメッセージは、いったんBによって受信さ
れると、暗号通信アルゴリズムHFE-1と秘密キーCs
B を用いて解読される。Bだけがこのメッセージを解読
することができる。なぜなら、Bはこのキーを所有して
いるネットワークの唯一のメンバーだからである。Bか
らAに向けてメッセージを伝達するための手順もまった
く同じである。
を送り、BはAに対して自分の公開キーCpB を送る。
代替案によれば、ネットワークは中央記憶装置にすべて
のメンバーの公開キーを保存しており、メンバーの要求
に対してそれを知らせることができる。Aがいったん公
開キーCpB を受け取ると、AはBに送りたいと考えて
いるメッセージMを暗号通信アルゴリズムHFEを用い
てメッセージM’に暗号化するためにこの公開キーを使
用する。このメッセージは、いったんBによって受信さ
れると、暗号通信アルゴリズムHFE-1と秘密キーCs
B を用いて解読される。Bだけがこのメッセージを解読
することができる。なぜなら、Bはこのキーを所有して
いるネットワークの唯一のメンバーだからである。Bか
らAに向けてメッセージを伝達するための手順もまった
く同じである。
【0121】図3の説明 図3は、図2のシステムを利用して、先述の暗号通信ア
ルゴリズムを使用する計算及びサインの検証手順を実施
する例を概略的に示している。
ルゴリズムを使用する計算及びサインの検証手順を実施
する例を概略的に示している。
【0122】ここで、メッセージの伝達は真正性の検証
とともに行われる、すなわち、メッセージMの受信者
が、そのメッセージは特定の人物から送られたものであ
ることを確信できることが必要である。たとえば、Aが
Bに対して真正性が検証されたメッセージを伝えたいと
しよう。二人の対話者は以下の手順を行うことができ
る。
とともに行われる、すなわち、メッセージMの受信者
が、そのメッセージは特定の人物から送られたものであ
ることを確信できることが必要である。たとえば、Aが
Bに対して真正性が検証されたメッセージを伝えたいと
しよう。二人の対話者は以下の手順を行うことができ
る。
【0123】個人Aは、まず第一にBに対して自分の公
開キーCpA を送り、Bはまたこのキーをネットワーク
に要求する。次に、Aは自分の秘密キーCsA と暗号通
信アルゴリズムHFE-1とともにメッセージを暗号化す
る。ここで得られた結果は、メッセージのサインSと呼
ばれる。さらに、このメッセージ(したがって普通の文
字で通過するメッセージ)とそのサインがBに送られ
る。Bは、暗号通信アルゴリズムHFEと先に受け取っ
た公開キーCpA を用いてサインを解読する。M”と記
される得られた結果は、受信されたメッセージMに等し
くなければならない。そうである場合には、サインは秘
密キーCsA を用いて正しく計算され、その結果、メッ
セージは、ネットワークの中でこのキーを唯一の所有し
ているメンバーであるAから送られてきたものであるこ
とが証明される。
開キーCpA を送り、Bはまたこのキーをネットワーク
に要求する。次に、Aは自分の秘密キーCsA と暗号通
信アルゴリズムHFE-1とともにメッセージを暗号化す
る。ここで得られた結果は、メッセージのサインSと呼
ばれる。さらに、このメッセージ(したがって普通の文
字で通過するメッセージ)とそのサインがBに送られ
る。Bは、暗号通信アルゴリズムHFEと先に受け取っ
た公開キーCpA を用いてサインを解読する。M”と記
される得られた結果は、受信されたメッセージMに等し
くなければならない。そうである場合には、サインは秘
密キーCsA を用いて正しく計算され、その結果、メッ
セージは、ネットワークの中でこのキーを唯一の所有し
ているメンバーであるAから送られてきたものであるこ
とが証明される。
【0124】このシステムのそれ自体よく知られた改良
は、メッセージのサインではなくて、メッセージを濃縮
した(concentre )サインを計算することからなる。こ
のように、「ハッシャージュ」機能によって、比較的重
要なメッセージはメッセージの特徴的データHに圧縮さ
れる。この「ハッシャージュ」機能は、従来のハッシャ
ージュ機能(MD5またはSHA)を使用して行うこと
ができる。
は、メッセージのサインではなくて、メッセージを濃縮
した(concentre )サインを計算することからなる。こ
のように、「ハッシャージュ」機能によって、比較的重
要なメッセージはメッセージの特徴的データHに圧縮さ
れる。この「ハッシャージュ」機能は、従来のハッシャ
ージュ機能(MD5またはSHA)を使用して行うこと
ができる。
【0125】要約すると、本発明は以下の発見の結果で
ある。
ある。
【0126】1.発明者は、マツモト−イマイの最初の
アルゴリズムが暗号通信としては信頼性が確かなもので
はないことがわかった(資料Crypto’95、24
8から261ページ参照)。このアルゴリズムは、二つ
のアフィン変換sとtを用いてQ=qθ のときf
(b)=a1+Q の形の全単射fを「隠す(cacher)」こ
とからなる。
アルゴリズムが暗号通信としては信頼性が確かなもので
はないことがわかった(資料Crypto’95、24
8から261ページ参照)。このアルゴリズムは、二つ
のアフィン変換sとtを用いてQ=qθ のときf
(b)=a1+Q の形の全単射fを「隠す(cacher)」こ
とからなる。
【0127】2.発明者は、はるかに一般的な機能をf
とみなすことが可能であるとわかった。というのも、発
明者は、非全単射機能fを利用することが可能であるこ
とが分かった一方で、たとえば、多項式のPGCDや多
項式の結果の計算を利用したり、GROBNERの基底
を利用することによって、多項式の非常に多様な族につ
いて前項を計算できるという事実を利用できることが分
かったからである。
とみなすことが可能であるとわかった。というのも、発
明者は、非全単射機能fを利用することが可能であるこ
とが分かった一方で、たとえば、多項式のPGCDや多
項式の結果の計算を利用したり、GROBNERの基底
を利用することによって、多項式の非常に多様な族につ
いて前項を計算できるという事実を利用できることが分
かったからである。
【0128】3.少なくとも分岐のいずれか一つがそれ
ほど小さすぎないことが必要である。というのも、発明
者は、小さい分岐は脆弱なHFEアルゴリズムを導くこ
とを発見したからである。
ほど小さすぎないことが必要である。というのも、発明
者は、小さい分岐は脆弱なHFEアルゴリズムを導くこ
とを発見したからである。
【0129】4.さらに発明者は、場合によっては、第
二の秘密の多項式変換によって第二の写像(I2)の変
換の結果生じた第三の写像(I3)を構成する元の一部
のみを選別することが可能である点に注目した。
二の秘密の多項式変換によって第二の写像(I2)の変
換の結果生じた第三の写像(I3)を構成する元の一部
のみを選別することが可能である点に注目した。
【図1】メッセージを処理するために使用される変換の
連鎖(enchainement)を示す図である。
連鎖(enchainement)を示す図である。
【図2】メッセージの暗号・解読を行うために使用され
る通信装置を示す図である。
る通信装置を示す図である。
【図3】メッセージのサイン及びその認証を行うために
使用される同一の装置を示す図である。
使用される同一の装置を示す図である。
1、2 送信/受信装置 3 通信ライン
【手続補正書】
【提出日】平成8年7月31日
【手続補正1】
【補正対象書類名】図面
【補正対象項目名】図2
【補正方法】変更
【補正内容】
【図2】
【手続補正2】
【補正対象書類名】図面
【補正対象項目名】図3
【補正方法】変更
【補正内容】
【図3】
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/32 H04L 9/00 675A C8,C12
Claims (12)
- 【請求項1】 有限環(K)の(n)個の元によって表
される値(X)を環(K)の(n’)個の元によって表
される像値(Y)に変換する暗号通信法であって、 a)像値(Y)の各元(n’)が値(X)の元(n)に
よる2以上または2の小さな次数(D)を有する公開多
項方程式の形を有し、 b)像値(Y)はまた、 b1)値(X)に対して次数1の秘密多項式(s)の、
値(X)の(n)個の元への第一の変換を適用して、
(n)個の元をもつ第一の写像(I1)を得る段階と、 b2)変換fによる(x、x’、x”、・・・、xk )
の写像を(y、y’、y”、・・・、yk )で表し、か
つfは −b2.1)環の拡大(LW )の基底(B)において、
写像(y、y’、y”、・・・、yk )の各成分は、こ
の基底における(x、x’、x”、・・・、xk )の成
分における多項式の形で表されており、この多項式は、
公開多項方程式の前記の次数(D)以下の総合次数を有
すること、及び −b2.2)環の拡大(LW )の中で表される変換
(f)は、場合によっては、入力の合計数に対してその
数がほんのわずかであるような特定の入力についてを除
いて、(f)の前項が存在する場合には、その前項を計
算することができるようなものであるという二つの特性
を検証するものとして、第一の写像(I1)の(n)個
の元は、W*k=nである環(K)の次数Wの拡大(L
W )に属する小さな数(k)の変数(x、x’、x”、
・・・、xk )または一つの変数を表すものとみなされ
るので、 【数1】 【数2】 のように定義される変換を第一の写像(I1)に適用す
る段階と、 b3)このように変換された第一の写像(I1)が、第
二の写像(I2)を構成する段階と、 b4)第二の写像(I2)に対して、次数1を有するよ
うな第二の秘密多項式(t)の第二の写像(I2)の元
への変換を適用して、定められた数の元を有する第三の
写像(I3)を得る段階と、 b5)前記の像値(Y)を形成するために、第三の写像
(I3)の元全体から(n’)個の元を選別する段階と
の各段階を含む変換によって値(X)から得ることがで
き、上記段階のうちのいくつかは少なくとも暗号の秘密
に関する知識を必要とすることを特徴とする暗号通信方
法。 - 【請求項2】 公開多項方程式の前記の小さい次数
(D)が2となるような請求項1に記載の方法。 - 【請求項3】 変数の数kが1となるような請求項1に
記載の方法。 - 【請求項4】 公開多項方程式の前記の小さな次数
(D)が2となり、(K)は有限体であり、前記の変換
(f)が、 【数3】 【数4】 の形をとり、上式において、qは体(K)の基数であ
り、 【数5】 および 【数6】 βi,j 、αi およびμ0 は、LW の元であり、θi,j 、
φi,j およびξi は整数であり、多項式fのxによる次
数は1000以下である請求項3に記載の方法。 - 【請求項5】 小さい多項式による公開方程式の積の線
形組合せ以外の(x、x’、x”、・・・、xk )と
(y、y’、y”、・・・、yk )の成分による合計次
数が小さい多項方程式が存在しないような請求項1に記
載の方法。 - 【請求項6】 係数γij、αi 、βj またはδ0 の少な
くとも一つがゼロでなく、Σγijxi yj +Σαi xi
+Σβj yj +δ0 =0の形の多項方程式が存在せず、
yj が暗号化されたメッセージの成分であり、xi が普
通の文字で書かれたメッセージの成分である場合には常
に検証されるような請求項1に記載の方法。 - 【請求項7】 環(K)が有限体であり環の拡大
(LW )が環(K)の次数Wの拡大である、すなわち、
(LW )がK[X]/g(X)の同形であり、ここでg
はKについての次数Wの既約多項式であるような請求項
1に記載の方法。 - 【請求項8】 検証者(verifieur )と呼ばれる第一の
人物によって、証明者(prouveur)とよばれる他の人物
の真正性を検証する非対称の方法であって、 検証者は証明者に対して第一の値(Y)を送り、 証明者は、検証者に対して、請求項1に記載の方法の対
象となる変換の逆の変換に対応する変換を第一の値
(Y)に応用することによって得られた第二の値(X)
を送り返し、 検証者は、第二の値(X)に対して、請求項1の変換を
適応し、結果が第一の値(Y)に関連したあらかじめ定
められた関係にしたがっていることを検証することを特
徴とする方法。 - 【請求項9】 有限環(K)の(n)個の元によって表
される値(X)を環(K)の(n’)個の元によって表
される像値(Y)に変換する暗号通信法であって、 a)像値(Y)の各元(n’)が値(X)の元(n)に
よる2以上または2の次数(D)を有する公開多項方程
式の形を有し、 b)像値(Y)はまた、 b1)値(X)に対して次数1を有する秘密多項式
(s)の値(X)の(n)個の元への第一の変換を適応
して、(n)個の元をもつ第一の写像(I1)を得る段
階と、 b2)一つまたは複数の分岐を形成し、各分岐が第一の
写像(I1)の元によって構成されており、 ・変換fe による(x、x’、x”、・・・、xk )の
写像を(y、y’、y”、・・・、yk )で表して、か
つfe は、 −b2.1)環の拡大(LW )の基底(B)において、
写像(y、y’、y”、・・・、yk )の各成分は、こ
の基底における(x、x’、x”、・・・、xk )の成
分における多項式の形で表されており、この多項式は、
公開多項方程式の前記の次数(D)以下の総合次数を有
すること、及び −b2.2)環の拡大(LW )の中で表される変換(f
e )は、場合によっては、入力の合計数に対してその数
がほんのわずかであるような特定の入力についてを除い
て、(fe )の前項が存在する場合には、その前項を計
算することができるようなものであることという二つの
特性を検証するものとして、少なくとも一つの分岐
(e)においては、分岐の(ne )個の元が、W*k=
ne である環(K)の次数Wの拡大(LW )に属する小
さな数(k)の変数(x,x’,x”,・・・,xk )
または一つの変数を表すとみなされ、少なくともこの分
岐に対して 【数7】 【数8】 のように定義された変換を適応し、 ・さらに、場合によっては他の分岐に対して、前記の次
数(D)以下の次数の多項式の環(K)のなかの値をも
つ成分への変換を適応する段階と、 b3)このように変換された分岐、またはこのように変
換され連結された複数の分岐が、第二の写像(I2)を
構成する段階と、 b4)第二の写像(I2)に対して、次数1を有するよ
うな第二の秘密多項式(t)の第二の写像(I2)の元
への変換を適用して、定められた数の元を有する第三の
写像(I3)を得る段階と、 b5)前記の像値(Y)を形成するために、第三の写像
(I3)の元全体から(n’)個の元を選別する段階と
の各段階を有する変換によって値(X)から得ることが
でき、上記の段階のうちのいくつかは少なくとも暗号の
秘密に関する知識を必要とすることを特徴とする方法。 - 【請求項10】 このように変換された分岐または他の
分岐の出力に、この分岐の直前に位置している分岐の変
数のみに依存する(D)以下の次数の多項式を付け加え
る請求項9に記載の方法。 - 【請求項11】 第一の写像(I1)が複数の分岐を備
えており、分岐のいずれか一つが少なくとも32ビット
の値を演算する請求項9に記載の方法。 - 【請求項12】 メッセージ(X)の非対称サイン及び
このサインの検証方法であって、このサインは、このメ
ッセージまたはメッセージの公開変換に対して、請求項
1または9の方法の対象となる変換の逆の変換に対応す
る変換を応用することによって得られ、さらに、この検
証は、サインするメッセージに関連したあらかじめ定め
られた関係にしたがう結果(Y)を得るように制御する
ことを特徴とする方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9509179 | 1995-07-27 | ||
| FR9509179A FR2737370B1 (fr) | 1995-07-27 | 1995-07-27 | Procede de communication cryptographique |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0946333A true JPH0946333A (ja) | 1997-02-14 |
| JP3583555B2 JP3583555B2 (ja) | 2004-11-04 |
Family
ID=9481469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP19654896A Expired - Fee Related JP3583555B2 (ja) | 1995-07-27 | 1996-07-25 | 暗号通信法 |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US5790675A (ja) |
| EP (1) | EP0756399A3 (ja) |
| JP (1) | JP3583555B2 (ja) |
| KR (1) | KR100259179B1 (ja) |
| CN (1) | CN1185821C (ja) |
| AR (1) | AR003051A1 (ja) |
| AU (1) | AU6075596A (ja) |
| BR (1) | BR9603150A (ja) |
| CA (1) | CA2181299C (ja) |
| FR (1) | FR2737370B1 (ja) |
| IL (1) | IL118857A (ja) |
| NO (1) | NO321409B1 (ja) |
| SG (1) | SG50745A1 (ja) |
| TW (1) | TW367684B (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020050680A (ko) * | 2000-12-21 | 2002-06-27 | 배기봉 | 행열 다항식 환 과 체를 기반으로 한 공개키 암호시스템 |
| WO2011061994A1 (ja) * | 2009-11-19 | 2011-05-26 | ソニー株式会社 | 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム |
| JP2011528444A (ja) * | 2008-05-06 | 2011-11-17 | ハリス コーポレイション | 閉じたガロア体の暗号化システム |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2744309B1 (fr) * | 1996-01-26 | 1998-03-06 | Bull Cp8 | Procede de communicatin cryptographique asymetrique, et objet portatif associe |
| WO1998008323A1 (en) | 1996-08-19 | 1998-02-26 | Ntru Cryptosystems, Inc. | Public key cryptosystem method and apparatus |
| CN1062591C (zh) * | 1998-01-08 | 2001-02-28 | 北京市朝阳区高科应用技术研究所 | 无铅汽油抗爆添加剂及制备方法 |
| RU2153191C2 (ru) | 1998-09-29 | 2000-07-20 | Закрытое акционерное общество "Алкорсофт" | Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты) |
| RU2157001C2 (ru) | 1998-11-25 | 2000-09-27 | Закрытое акционерное общество "Алкорсофт" | Способ проведения платежей (варианты) |
| DE69920875T2 (de) * | 1999-04-29 | 2005-10-27 | Bull Cp8 | Vorrichtung und Verfahren zum Berechnen einer digitalen Unterschrift |
| WO2001001625A1 (en) * | 1999-05-03 | 2001-01-04 | Ntru Cryptosystems, Inc. | Secure user identification based on ring homomorphisms |
| US6959085B1 (en) | 1999-05-03 | 2005-10-25 | Ntru Cryptosystems, Inc. | Secure user identification based on ring homomorphisms |
| US6304657B1 (en) * | 1999-05-26 | 2001-10-16 | Matsushita Electric Industrial Co., Ltd. | Data encryption apparatus using odd number of shift-rotations and method |
| US6708049B1 (en) | 1999-09-28 | 2004-03-16 | Nellcor Puritan Bennett Incorporated | Sensor with signature of data relating to sensor |
| US20020136401A1 (en) * | 2000-07-25 | 2002-09-26 | Jeffrey Hoffstein | Digital signature and authentication method and apparatus |
| US7308097B2 (en) * | 2001-12-07 | 2007-12-11 | Ntru Cryptosystems, Inc. | Digital signature and authentication method and apparatus |
| FR2859585A1 (fr) * | 2003-09-04 | 2005-03-11 | Gemplus Card Int | Reduction modulaire pour un procede cryptographique, et coprocesseur pour la realisation d'une telle reduction modulaire |
| US7961876B2 (en) * | 2005-01-11 | 2011-06-14 | Jintai Ding | Method to produce new multivariate public key cryptosystems |
| CN1870499B (zh) * | 2005-01-11 | 2012-01-04 | 丁津泰 | 产生新的多变量公钥密码系统的方法 |
| WO2010046799A2 (en) * | 2008-10-20 | 2010-04-29 | Philips Intellectual Property & Standards Gmbh | Method of generating a cryptographic key, network and computer program therefor |
| JP5594034B2 (ja) | 2010-07-30 | 2014-09-24 | ソニー株式会社 | 認証装置、認証方法、及びプログラム |
| JP5790319B2 (ja) * | 2011-08-29 | 2015-10-07 | ソニー株式会社 | 署名検証装置、署名検証方法、プログラム、及び記録媒体 |
| CN103490897B (zh) * | 2013-09-17 | 2017-04-05 | 华南理工大学 | 一种多变量公钥签名/验证系统及签名/验证方法 |
| US9336092B1 (en) * | 2015-01-01 | 2016-05-10 | Emc Corporation | Secure data deduplication |
| WO2016155565A1 (en) | 2015-03-30 | 2016-10-06 | Jintai Ding | Improvements on multivariate digital signature schemes based on hfev- and new applications of multivariate digital signature schemes for white-box encryption |
| CN112560091B (zh) * | 2020-12-17 | 2021-07-13 | 北京百度网讯科技有限公司 | 数字签名方法、签名信息的验证方法、相关装置及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69327238T2 (de) * | 1993-08-17 | 2000-09-07 | Entrust Technologies ( Switzerland) Ltd. Liab. Co., Glattzentrum | Verfahren zur digitalen Unterschrift und Verfahren zur Schlüsselübereinkunft |
| US5537475A (en) * | 1994-02-01 | 1996-07-16 | Micali; Silvio | Efficient digital signature algorithm and use thereof technical field |
| US5577124A (en) * | 1995-03-09 | 1996-11-19 | Arithmetica, Inc. | Multi-purpose high speed cryptographically secure sequence generator based on zeta-one-way functions |
-
1995
- 1995-07-27 FR FR9509179A patent/FR2737370B1/fr not_active Expired - Fee Related
- 1995-08-03 TW TW084108091A patent/TW367684B/zh not_active IP Right Cessation
-
1996
- 1996-07-01 EP EP96401446A patent/EP0756399A3/fr not_active Withdrawn
- 1996-07-15 IL IL11885796A patent/IL118857A/xx not_active IP Right Cessation
- 1996-07-16 CA CA002181299A patent/CA2181299C/fr not_active Expired - Fee Related
- 1996-07-22 SG SG1996010292A patent/SG50745A1/en unknown
- 1996-07-24 BR BR9603150A patent/BR9603150A/pt not_active Application Discontinuation
- 1996-07-24 US US08/685,856 patent/US5790675A/en not_active Expired - Lifetime
- 1996-07-25 JP JP19654896A patent/JP3583555B2/ja not_active Expired - Fee Related
- 1996-07-26 NO NO19963141A patent/NO321409B1/no not_active IP Right Cessation
- 1996-07-26 AR ARP960103763A patent/AR003051A1/es unknown
- 1996-07-26 CN CNB961108606A patent/CN1185821C/zh not_active Expired - Fee Related
- 1996-07-26 KR KR1019960031711A patent/KR100259179B1/ko not_active IP Right Cessation
- 1996-07-26 AU AU60755/96A patent/AU6075596A/en not_active Abandoned
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020050680A (ko) * | 2000-12-21 | 2002-06-27 | 배기봉 | 행열 다항식 환 과 체를 기반으로 한 공개키 암호시스템 |
| JP2011528444A (ja) * | 2008-05-06 | 2011-11-17 | ハリス コーポレイション | 閉じたガロア体の暗号化システム |
| WO2011061994A1 (ja) * | 2009-11-19 | 2011-05-26 | ソニー株式会社 | 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム |
| JP2011107528A (ja) * | 2009-11-19 | 2011-06-02 | Sony Corp | 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム |
| US8675867B2 (en) | 2009-11-19 | 2014-03-18 | Sony Corporation | Key generation algorithm using secret polynomial over finite ring and transformation |
Also Published As
| Publication number | Publication date |
|---|---|
| SG50745A1 (en) | 1998-07-20 |
| NO321409B1 (no) | 2006-05-08 |
| EP0756399A2 (fr) | 1997-01-29 |
| KR100259179B1 (ko) | 2000-06-15 |
| FR2737370A1 (fr) | 1997-01-31 |
| CN1185821C (zh) | 2005-01-19 |
| NO963141D0 (no) | 1996-07-26 |
| AR003051A1 (es) | 1998-05-27 |
| AU6075596A (en) | 1997-01-30 |
| JP3583555B2 (ja) | 2004-11-04 |
| CN1146676A (zh) | 1997-04-02 |
| TW367684B (en) | 1999-08-21 |
| FR2737370B1 (fr) | 1997-08-22 |
| US5790675A (en) | 1998-08-04 |
| KR970009022A (ko) | 1997-02-24 |
| EP0756399A3 (fr) | 1997-02-05 |
| CA2181299A1 (fr) | 1997-01-28 |
| IL118857A (en) | 1999-08-17 |
| IL118857A0 (en) | 1996-10-31 |
| BR9603150A (pt) | 1998-04-22 |
| NO963141L (no) | 1997-01-28 |
| CA2181299C (fr) | 2007-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH0946333A (ja) | 暗号通信法 | |
| US7961873B2 (en) | Password protocols using XZ-elliptic curve cryptography | |
| US8184803B2 (en) | Hash functions using elliptic curve cryptography | |
| RU2376651C2 (ru) | Использование изогений для разработки криптосистем | |
| US20060251247A1 (en) | Encryption apparatus, decryption apparatus, key generation apparatus, program and method therefor | |
| JP2011164607A (ja) | シンボルシーケンスの編集距離のプライバシーを保護した計算の方法およびシステム | |
| US8705740B2 (en) | Elliptic curve-based message authentication code system and method | |
| US20100169658A1 (en) | Elliptic curve-based message authentication code | |
| Kasgar et al. | A review paper of message digest 5 (MD5) | |
| US6111952A (en) | Asymmetrical cryptographic communication method and portable object therefore | |
| JP2004512570A (ja) | 非安全な暗号加速器を用いる方法と装置 | |
| WO2014030706A1 (ja) | 暗号化データベースシステム、クライアント装置およびサーバ、暗号化データ加算方法およびプログラム | |
| CN114793155B (zh) | 多方安全计算的方法及装置 | |
| JPH10340048A (ja) | ハッシュ値生成方法、データ暗号化方法、データ復号化方法、ハッシュ値生成装置、データ暗号化装置およびデータ復号化装置 | |
| Brincat et al. | New CBC-MAC forgery attacks | |
| JP4598269B2 (ja) | 楕円曲線上の高速有限体演算 | |
| Su et al. | New proxy blind signcryption scheme for secure multiple digital messages transmission based on elliptic curve cryptography | |
| Varfolomeev | On the comparison of methods for asymmetric execution of cryptographic primitives and protocols in the context of using small parameters and short keys | |
| AU743461B2 (en) | Cryptographic communication process | |
| Nita et al. | Asymmetric Encryption Schemes | |
| Basu et al. | Enhancing Security and Efficiency in Signcryption Schemes Using Elliptic Curve Cryptography | |
| Kara et al. | An encrypted and signed plaintext symmetric cryptosystem | |
| JP4502817B2 (ja) | 楕円曲線スカラー倍計算方法および装置 | |
| Mihailescu et al. | Cryptography Fundamentals | |
| Oguntunde et al. | A comparative study of some traditional and modern cryptographic techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040729 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080806 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090806 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100806 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100806 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110806 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120806 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |