[go: up one dir, main page]

JP4288341B2 - Communication method using key agreement protocol - Google Patents

Communication method using key agreement protocol Download PDF

Info

Publication number
JP4288341B2
JP4288341B2 JP2001385922A JP2001385922A JP4288341B2 JP 4288341 B2 JP4288341 B2 JP 4288341B2 JP 2001385922 A JP2001385922 A JP 2001385922A JP 2001385922 A JP2001385922 A JP 2001385922A JP 4288341 B2 JP4288341 B2 JP 4288341B2
Authority
JP
Japan
Prior art keywords
formula
communication terminal
group
algorithm
oracle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001385922A
Other languages
Japanese (ja)
Other versions
JP2003186396A (en
Inventor
明弘 山村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Information and Communications Technology
Original Assignee
National Institute of Information and Communications Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Information and Communications Technology filed Critical National Institute of Information and Communications Technology
Priority to JP2001385922A priority Critical patent/JP4288341B2/en
Publication of JP2003186396A publication Critical patent/JP2003186396A/en
Application granted granted Critical
Publication of JP4288341B2 publication Critical patent/JP4288341B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Description

【0001】
【発明の属する技術分野】
本発明は、データ通信の暗号化技術に関わり、特に従来導入されていなかったアルゴリズムを用いたキーアグリーメントプロトコルを提案するものである。
【0002】
【従来の技術】
近年、インターネットなどのデータ通信技術の急速な進歩に伴い、日常さまざまな場面で情報通信を利用する機会が増えている。その中でデータ通信の傍受による情報の漏洩が社会問題となっており、特に、行政機関からのプライバシー情報の漏洩や、売買取り引きや金融などの分野ではデータの悪用によって莫大な損害が発生する恐れがある。
そこで、社会的にも情報の秘匿性を高める技術が強く求められており、多種多様な情報の暗号化技術が開発されてきた。しかし、高い技術による暗号化技術も、攻撃者によって徐々に解読され、常に情報漏洩の危険にさらされているのが現状である。
【0003】
データ通信の安全性を図る方法として、計算処理の困難性を逆手にとって、難解なアルゴリズム問題の困難性から、安全性を担保する手法が知られており、攻撃者にも極めて高度な能力が要求されるため、有効な手段と考えられる。
例えば、現在までに知られている鍵交換スキーム(例えばDiffie-Hellman型)においては有限巡回群の離散対数問題を解くことの難しさにその安全性の基礎をおいている。
【0004】
現時点では、上記鍵交換スキームによって、高度な安全性が保証されていると考えられるが、上述したように、これらの技術は攻撃者とのいたちごっこである現実に鑑みると、多様な手法が求められている状況である。
しかしながら、これまでの技術では、鍵交換スキームにおいては現実的にはDiffie-Hellman型のスキームしか考えてられておらず、有限巡回群以外の群を利用する鍵交換スキームは知られていない。
【0005】
また、有限可換群を利用することは可能であり、提案されてもいるが本質的にはそれらは有限巡回群を利用するDiffie-Hellman型のスキームまたは、その変形であり、本質的に有限可換群を用いる方法は提供されていない。
【0006】
【発明が解決しようとする課題】
本発明は上記従来技術の有する問題点の解決を図るものであって、その目的は、データ通信で用いられるキーアグリーメントプロトコルについて、新しいアルゴリズム問題に基づき、高い安全性を備えたプロトコルを提供することである。
【0007】
【課題を解決するための手段】
上記課題の解決を図るため、本発明では次の手段を用いる。
すなわち、本発明は有限巡回群以外の有限可換群を利用し、離散対数問題よりも困難性の高いアルゴリズム問題の困難性に安全性の根拠をおくと共に、2つの巡回群の直積への一般線形群の作用を使用して、一般化された離散対数問題の困難性と安全性が計算量的に等価であるキーアグリーメントプロトコルを用いて第1通信端末と第2通信端末との間で通信を行う通信方法である。
【0008】
具体的には、次の各ステップを含む。
まず、GをCxC(Cは次数が素数pの巡回群)と同形の群とし、aとbがGを生成すると定義する。パラメータα、β、γ、δを、pを法としてαβγδが平方非剰余になるようにランダムに選択する。このような条件のもとで、
(1) 第1通信端末の演算手段が、整数i1、i2をランダムに選択するステップ、
(2)同じく第1通信端末の演算手段が、
【式22】

Figure 0004288341
を計算し、それを第1通信端末の送信手段が、第2通信端末に送るステップ、
(3) 第2通信端末の演算手段が、整数j1、j2をランダムに選択するステップ、
(4)同じく第2通信端末の演算手段が、
【式23】
Figure 0004288341
を計算し、それを第2通信端末の送信手段が、第1通信端末に送るステップ、
(5) 第1通信端末の演算手段が、
【式25】
Figure 0004288341

【式26】
Figure 0004288341
を計算して乗ずることにより
【式24】
Figure 0004288341
のKを得るステップ、
(6) 第2通信端末の演算手段が、
【式28】
Figure 0004288341
を計算しKを得るステップ、
以上の各ステップを含み該Kを第1通信端末と第2通信端末との共通鍵とする。
【0009】
【発明の実施の形態】
以下に、本発明における実施形態として、キーアグリーメントプロトコルの詳細を説述する。
まず、本発明の概要を述べる。ジェネリック・アルゴリズム(【参考文献6】、【参考文献10】、【参考文献5】、【参考文献4】、【参考文献8】、【参考文献7】)は、群演算オラクルや他のいくつかの特別なオラクルを呼び出すことによって解を求める確率的アルゴリズムの一般的モデルである。
【0010】
そのようなモデルにおいて、群は、ブラック・ボックス群(【参考文献1】)として与えられ、各群要素は、同じ長さの2進文字列によって表される。代表的なジェネリック・アルゴリズムは、Baby-Step-Giant-StepとPohlig-Hellmanである。
群演算、乗算および逆数の取得は、ジェネリック・アルゴリズム・モデル内のオラクルを呼び出すことによって行われる。解は、所定の条件を満たす特定の群要素、または離散対数のような情報でよい。離散対数問題(DLOG)、Diffie-Hellman問題(DH)(【参考文献10】、【参考文献5】)および暗号システム(【参考文献4】、【参考文献7】、【参考文献8】)を解析するために、ジェネリック・アルゴリズム・モデルが使用される。
【0011】
本発明では、ジェネリック・アルゴリズムが、オラクル・クエリの数が制限された[Z]px[Z]pと同形のブラック・ボックス群について正しい解を求める確率を推定する。ジェネリック・アルゴリズム・モデルにおける乗法的離散対数問題(MDLOG)を解くために、群演算に対する
【式1】
Figure 0004288341
クエリと離散対数オラクル(および、提案されたキー・アグリーメント・プロトコルの基になるACTDH問題と呼ばれるアルゴリズム問題の【式1】クエリ)が必要
であることを示す。
【0012】
次に、本発明におけるキーアグリーメントプロトコルについて詳述する。
Sを群とし、Xを非空の集合とする。Sは、必ずしも交換可能でなくてもよい。S内のsとtおよびX内のxに関してx(st)=(xs)tおよびx1=xを満たす写像σ:X x S → X(σによる(x,s) ∈ X x Sの像は、x3で示される)の場合に、SがXに作用する。
群作用は、暗号学では一般的であるが、群作用に関して、最も一般的な暗号システムのメカニズムであるDiffie-HellmanとRSAについて説明する。
【0013】
(例1) pを素数とする。p-1が素数qで割れると仮定する。|g|=qになるような要素a∈[Z]* pをとる。この場合、σ(g,s) = gsで与えられるσ:<g> x [Z]* p <g>は、巡回群<g>への[Z]*pの作用である。
DLOGは、所与のgとσ(g,s)=gsに関してsを求める問題と見なされる。この作用は、Diffie-Hellmanプロトコル(【参考文献2】)とElGamal暗号(【参考文献3】)において使用される。
【0014】
(例2) p,qを素数とする。n = pqとする。RSA暗号システムは、σ(m, e) = meによって与えられる
【式2】
Figure 0004288341
として定義される作用を採用する。RSAは、e乗根を求める計算処理の困難性、すなわち、所与のeに関するmとσ(m,e) = meを求める問題に基づく。
【0015】
ここで、一般的な方法を示す。
群Sが集合Xに作用し、この作用が常に効率よく計算できると仮定する。fを、Xに関して効率的に計算可能な関数とする。Sが、必ずしも交換可能である必要はないことに注意されたい。Soを、以下の条件を満たすSの部分集合とする。
仮定1:すべてのs, t ∈ Soに関してs(t') = t(s')となるように効率よく計算可能な関数':So→Sがある。
仮定2:xsとxtが与えられたときにf(xst')を計算する効率的なアルゴリズムがない。
Sが交換可能なとき、仮定1が機械的に真になることに注意する。これは、恒等写像を’としてとることができるためである。しかしながら、そのような関数は、一般に必ずしも存在するとは限らない。Diffie-Hellmanの仮定は、仮定2の特殊な場合であり、ここで、Sは[Z]pであり、fは恒等写像である。
【0017】
キー・アグリーメント・プロトコルの一般的な方式は次の通りである。
初期設定: x∈Xとなるxを選択し、それを公表する。
ステップ1:第1通信端末が、s∈Soとなるsをランダムに選択する。第1通信端末は、xsを計算し、それを第2通信端末に送る。
ステップ2:第2通信端末は、t∈Soとなるtをランダムに選択する。第2通信端末は、xtを計算し、それを第1通信端末に送る。
ステップ3:第1通信端末は、(xt)s' とf((xt)s')を計算する。第2通信端末は、(xs)t'とf((xs)t')t'を計算する。この場合、
【式3】
Figure 0004288341
は、第1通信端末と第2通信端末によって共有される共通秘密キーである。仮定1により、(xt)s' = (xs)t' となる。
【0018】
次に、本発明に係るACTDHプロトコルを説述する。
Gを、C x Cと同形の群とし、Cは、次数が素数pの巡回群である。ここで、群G x G(=(C x C)x(C x C))へのGL(2,[Z]p)の作用を定義する。aとbがGを生成すること、すなわちG = <a,b>である仮定する。これは、|a| = |b| = pでありGにおいて<a> ∩ <b> = [1G]であることを暗黙的に示し、ここで、1Gは、Gの恒等元を示す。
【0019】
Gのすべての要素は、i,j ∈ [Z]pの場合に、aibiとして一意に記述される。
【式4】
Figure 0004288341

【式5】
Figure 0004288341
の場合、
【式6】
Figure 0004288341
へのGL(2,[Z]p) の作用を定義する。xAが、次のように効率よく計算可能である。
【0020】
Gの要素ai1j1およびai2j2と行列Aが与えられたとして、
【式7】
Figure 0004288341
を計算する。GL(2,[Z]p)が、G x Gにこのように作用することはすぐに分かるが、以下のようにより分かりやすい説明も可能である。
要素
【式8】
Figure 0004288341
と行列
【式9】
Figure 0004288341
を識別する場合、xAは、次のような行列式で識別される。
【式10】
Figure 0004288341
【0021】
行列乗算は結合的であるため、GL(2,[Z]p)が、G x Gに作用する。次に、[Z]*pにおけるパラメータα、β、γ、δを、αβγδが平方非剰余になるようにランダムに選択し、次にSoを、形
【式11】
Figure 0004288341
の一組の行列になるように定義する。ここで、(i1,i2) ≠ (0,0)の場合、i1,i2 ∈ [Z]pである。
【式12】
Figure 0004288341
に関して、A'を行列
【式13】
Figure 0004288341
になるように定義する。αβγδが平方非剰余であるため、A,A' ∈ GL(2,[Z]p) である。
【式14】
Figure 0004288341
でありかつ
【式15】
Figure 0004288341
である場合は、A,B ∈ Soであり、次の式となる。
【式16】
Figure 0004288341
【0022】
したがって、上記の仮定1は、成り立つ。以降では、行列
【式17】
Figure 0004288341

【式18】
Figure 0004288341
をそれぞれ、A(i1,i2)とA'(i1,i2)で表わす。したがって、すべてのi1,i2,j1,j2∈[Z]pに関して、次の式が得られる。
【式19】
Figure 0004288341
π1 : G x G → Gを第一の軸に対する射影、すなわち
【式20】
Figure 0004288341
とする。
【式21】
Figure 0004288341
であることに注意する。
【0023】
ACTDHプロトコル: x = (a, b)とする。
ステップ1:第1通信端末の演算手段が、整数i1、i2をランダムに選択する。同演算手段
【式22】
Figure 0004288341
を計算し、それを送信手段によって第2通信端末に送る。
ステップ2:第2通信端末の演算手段が、整数j1、j2をランダムに選択する。同演算手段は、
【式23】
Figure 0004288341
を計算し、それを送信手段によって第1通信端末に送る。
【0024】
ステップ3:第1通信端末の演算手段が、第2通信端末から送られた式23の計算結果を用いて、
【式25】
Figure 0004288341

【式26】
Figure 0004288341
を計算して乗ずることによって
【式24】
Figure 0004288341
を得る。なお、式21に示したように、
【式27】
Figure 0004288341
である。
ステップ4:第2通信端末の演算手段が、同様に、第1通信端末から送られた式22の計算結果を用いて、
【式93】
Figure 0004288341

【式94】
Figure 0004288341
を計算して乗ずることにより
【式24】
Figure 0004288341
を計算する。なお、式21に示したように、
【式28】
Figure 0004288341
である。この場合、Kが第1通信端末と第2通信端末の共通鍵となる。
【0025】
ここで、一例として、素数次数の2つの巡回群の直積の例を示す。qとrを、p|q - 1でかつp| r - 1となるような大きい素数とする。
nをqrとする。g1を、mod qにおける1のp乗根とし、g2を、mod rにおける1のp乗根とする。いくつかのc1 ∈ [Z]*pおよびc2 ∈ [Z]*pについて、a = g1 (mod q)、a = g* 2 (mod r)、b = g* 1(mod q)、b = g2(mod r)となるように、a ∈ Znとなるaおよびb ∈ Znとなるbを選択する。c1c2 ≠ 1 mod pの場合にZ*n =<a> x <b>であることは明らかである。
【0026】
次に、本発明のプロトコルのセキュリティを、Diffie-Hellmanプロトコルと比較する。
ACTDHプロトコルの解読は、以下の問題を解くことと等価である。Gが、有限のアーベル群であり、a,b ∈Gであると仮定する。パラメータα、β、γ、δはそれぞれ、|a|および|b|と互いに素である。aとbに関するGにおける作用Diffie-Hellman問題(ACTDH問題)の定義は、次の通りである。
【式29】
Figure 0004288341
【式30】
Figure 0004288341
ここで、i1、i2、j1、j2は、無作為かつ独立に選択された整数である。
【0027】
以下の定理とその証明により、パラメータを慎重に選択すれば、ACTDHプロトコルが、少なくともDHプロトコルと同程度のセキュアであることを保証する。
<定理1> α、β、γ、δを整数とする。これらはそれぞれ、|G|と互いに素であると仮定する。Gのすべてのa、bについてアーベル群GにおけるACTDH問題(パラメータα、β、γ、δ)を解く効率のよいアルゴリズムが存在する場合は、GのすべてのaについてGにおけるDH問題を解く効率のよいアルゴリズムが存在する。
【0028】
<証明> すべてのaとbについてACTDH問題を解く効率のよいアルゴリズムがあると仮定する。DH問題を解く効率のよいアルゴリズム、すなわち入力ai1およびaj1に関してai1j1を計算するアルゴリズムを作成する。ここで、aは、Gの要素である。b=1(Gの単位元)とする。|G|が|a|で割れるため、α、β、γ、δは、|a|と互いに素でなければならない。上の仮定により、aとbに関してACTDH問題を解く効率のよいアルゴリズムが得られる。i2=j2=0とする。aとbに関してACTDH問題を解くアルゴリズムに
【式31】
Figure 0004288341

【式32】
Figure 0004288341
を入力する。こうして、
【式33】
Figure 0004288341
が得られる。ai1とaj1が与えられ、αが公の情報であるため、(ai1)αと(aj1)αを計算することができることが分かる。αとδが両方とも、|a|と互いに素であるため、(aαδ)m = aとなるような整数mを求めることができる。この場合、
【式34】
Figure 0004288341
であり、したがって、DH問題が効率よく解かれる。
【0029】
Gを有限のアーベル群とし、aとbをGにおける要素とする。Hを、aとbによって生成されたGの小群になるように設定する。群H = <a, b>における複数の離散対数問題(略してMDLOG)は、次のように定義されたアルゴリズム的な問題である。
INPUT: Hの要素g。
OUTPUT: g = axbyになるような負でない整数(x,y)のペア(x, y)。
Hが、aとbによって生成されるため、g = axbyを満たす負でない整数のペア(x,y)が少なくとも1つ存在する。そのようなペアは、Hが、内部直積<a> x <b>であるときだけ一意に決定される。ACTDH問題がMDLOG問題に縮小されることは明らかであり、それにより、MDLOGが効率よく解かれる場合にACTDHプロトコルを解読することができる。
【0030】
ACTDHプロトコルのセキュリティをジェネリック・モデルの視点から考察する。パラメータを慎重に選択したACTDHプロトコルは、ジェネリック・モデルにおけるDHプロトコルよりもセキュアである。議論を簡素化するために、[Z]p x [Z]pと同形の乗算群G に関するACTDHプロトコルだけを検討する。ここで、pは、本論文の残りの部分において大きい素数である。ACTDHプロトコルは、α、β、γ、δに以下のような条件を課す場合にDLOGを解くことができる攻撃者からさえもセキュアである。
【0031】
<条件1> α、β、γ、δは、pと互いに素である。
<条件2> αβγδは、平方非剰余である(mod p)。
条件1および条件2は、本論文の残りの部分で満たされると仮定する。条件1は、α、β、γ、δが、要素a,b ∈ Gを縮小させるのを防ぐために課される。一方、条件2は、多少不自然のように見える。条件2については、後述する。
【0032】
本発明に係るジェネリック・アルゴリズムにつき、詳述する。
ジェネリック・アルゴリズムは、群の表現のどの特性にも依存しない汎用アルゴリズムである(【参考文献10】、【参考文献5】)。ジェネリック・アルゴリズムは、Gの要素の所与の集合から始まる群要素、すなわちGの生成元の集合Bから始まる群要素を列挙し、これは、各iのいくつかのj,k < iに関してgm = gとgi ∈ Bまたはgi=g-1 jまたはgi = gjgkになるようにGの要素の数列g1,g2,... ,gmを列挙する。
ある段において、アルゴリズムは、同一の2進文字列を表す要素giおよびgj(i≠j)を求める。次に、giとgjに関する情報から得られた一次方程式を解くことによって、隠された情報を得ることができる。
【0033】
σを、[Z]pから大きさpの2進文字列の集合Sへのランダムな写像とする。ジェネリック・アルゴリズムは、x,y ∈ [Z]pに関してadd(σ(x),σ(y)) = σ(x+y) と inv(σ(x))によって定義されたaddとinvを、計算上の犠牲なしに計算する群演算オラクルを呼び出すことができる。add(σ(x),σ(y)) = σ(x + y)が、乗算gxgy = gx+yに対応し、inv(σ(x)) = σ(-x)が、群要素の反転(g)-1 = g-1に対応する。巡回群[Z]pにおけるDLOGのジェネリック・アルゴリズムは、入出力xとして(σ(1), σ(x))をとる。ここで、x ∈ [Z]pである。【参考文献5】において、DHへのDLOGのジェネリック帰着を研究するためにDiffie-Hellmanオラクルが導入されている。
【0034】
次に、ジェネリック帰着に関してDLOG問題と比較したACTDFIプロトコルの解読の困難さについて詳細に調べる。ACTDH問題のジェネリック・アルゴリズムは、以下のように実行される。群[Z]px[Z]p(pは素数)が、2進文字列の集合Sによって符号化される。ジェネリック・アルゴリズムは、入力としてリスト(σ(1,0),σ(0, 1),σ(αi1,βi2),σ(γi2,δi1),σ(αj1j1,βj2),σ(γj2,δj1))を取得し、群演算オラクルを呼び出すことによって計算し、次に
【式35】
Figure 0004288341
を出力する。入力が、群要素
【式36】
Figure 0004288341
に対応し、出力が、群要素
【式37】
Figure 0004288341
に対応する。群演算オラクルの他に、離散対数オラクルを呼び出すジェネリック・アルゴリズムを可能にする。[Z]p x [Z]pの離散対数(DLOC)オラクルは、入力として(σ(i1,i2), σ(j1,j2)) を取得し、次に、ni1 = j1(mod p)およびni2 = j2(mod p)が、そのようなnが存在する場合に、計算上の犠牲なしに成り立つように、整数nを出力する。
【0035】
上の式を満たすnが存在しない場合は、そのような入力はイリーガルと呼ばれる。オラクルがイリーガル入力の対象でなく、かつジェネリック・アルゴリズムが進行すると仮定する。
<定理2> Aを、群[Z]p x [Z]pにおけるACTDH問題を解くジェネリック・アルゴリズムとする。ここでpは素数である。パラメータα、β、γ、δは、上記条件1および2を満たす。Aが、群演算オラクルに対する最大でRのクエリを行い、DLOCオラクルに対する最大でLのクエリを行うとそれぞれ仮定する。
この場合、Aが正しい解を返す確率θは、最大で
【式38】
Figure 0004288341
であり、ここで、この確率は、i1、i2、j1、j2および写像σで支配される。予想されるDLOCオラクルに対するクエリの数は、少なくとも
【式39】
Figure 0004288341
である。
【0036】
まず、定理2の重要性について考察する。Tを、Aの総実行時間とする。T ≧ L+Rであるため、T ≧ LおよびT ≧ Rを得る。θが定数であると仮定する。定理2によって、【式40】を得る。
したがって、Tは、
【式41】
Figure 0004288341
である。これは、DLOGオラクルが許容される場合でもACTDHプロトコルを解読する確率論的多項式の時間アルゴリズムが存在しないことを暗黙的に示す。
ここで、DLOGオラクルが使用できないと仮定する。ACTDH問題を解くために群演算オラクルに対して予想されるクエリの数は、L=0にすることにより、定理2から得られる。成功確率θ
【式42】
Figure 0004288341
の上界、すなわち群演算オラクルに対して予想されるクエリの数は、θが定数の場合、Ω(√p)と推定される。
【0037】
次に、上記の定理2を証明する。次のことは、以下の証明において重要であり、【参考文献9】で証明されている。
<補助定理1(【参考文献9】)> 全次数dの[Z]p[X1,X2,... ,Xk](pは素数)におけるゼロでない多項式Fを仮定すると、[Z]pの独立かつランダムに選択された要素x1, x2,... , xkに関してF(x1,x2,... ,xk) = 0である確率は、最大でd/pである。
【0038】
<定理2の証明> [Z]pに関する多項式によってジェネリック・アルゴリズムをシミュレートする。最初に、環[Z]p[X1,X2,Y1,Y2]における多項式の6つのペア (F1, H1) = (1,0)、(F2,H2) = (0,1)、(F3,H3) = (αX1,βX2,)、(F4,H4) = (γX2,δX1)、(F5,H5) = (αY1,βY2)、(F6, H6) = (γY2,δY1) がある。各ペアは、(群要素の)写像σ(1, 0)、σ(0, 1)、σ(αi1,βi2)、σ(γi2,δi1)、σ(αj1,βj2)、σ(γj2,δj1)にそれぞれ対応する。
【0039】
I > k, lに関して、多項式Fi (X1,X2,Y1,Y2)とHi (X1,X2,Y1,Y2)を計算し、それにより多項式のペア(Fi, H1)は、(群要素の)写像のペアσ(Fi(i1,i2,j1,j2)、Hi(i1,i2,j1,j2)) に対応する。乗算オラクルが、ペア(Fk,Hk)と(Fl,Hl)に対応する入力により呼び出されるとき、多項式FiとHiを、Fi = Fk + FlおよびHi = Hk + Hlに設定することによって計算する。ここで、i > k, lである。
【0040】
同様に、反転オラクルが、ペア(Fk, Hk)に対応する入力によって呼び出されるときは、Fi = -Fk とHi = -Hkを計算する。この場合は、i> k, lである。DLOGオラクルが、(Fk,Hk)と(Fl,Hl)に対応する入力で呼び出されるときは、sFk(i1,i2,j1,j2) = Fl(i1,i2,j1,j2) とsHk(i1,i2,j1,j2) = Hl(i1,i2,j1,j2)となるようなsが存在するときに、そのようなs (∈ [Z]p)を返す。このケースでは、多項式は生成されないが、i1,i2,j1,j2 が式Fk = Fl と sHk = Hl を満たすという情報が得られる。
【0041】
ジェネリック・アルゴリズムは、計算のシミュレーションにおいて、i1, i2, j1, j2で満たされる自明でない式を求めるときだけ正しい解を返す可能性があると仮定する。
ジェネリック・アルゴリズムが、入力σ(Fk(i1,i2,j1,j2)、Hk(i1,i2,j1,j2))、およびσ(Fl(i1,i2,j1,j2)、Hl(i1,i2,j1,j2))に関してDLOGオラクルを呼び出すときは、3つのケースが考えられる。
【0042】
最初に考えられるケースは、入力がイリーガルであり、すなわち第2の入力が、第1の入力の累乗でないケースである。
第2のケースは、入力がリーガルであるが、多項式Fk、Hk、F1、H1が、[Z]pに関する多項式として、条件FkHl = HkFl(mod p)を満たすケースである。
第3のケースは、入力がリーガルであり、FkHl ≠ HkFl (mod p)のケースである。
【0043】
ここで、i1、i2、j1、j2に関する情報が、最後のケースでのみ得られることを証明する。第1のケースが生じる場合、DLOGオラクルは、エラーメッセージだけを返す。第2の入力が第1の入力の累乗でない場合以外は、i1、i2、j1、j2に関する情報を獲得する可能性はない。
次に、第2のケースを考察する。FkHl - FlHk = 0 (mod p)であると仮定する。最初に、Fk、Hk、Fl、Hlが、[Z]pに関する最大で次数1の多項式であるため、これらが、単元または既約多項式であることに注意されたい。多項式の環[Z]p[X1,X2,Y1,Y2]が、固有の因数分解領域であるため、u ∈ [Z]pのいくつかのuに関しては、uFk = FluHk = Hlが得られ、u ∈ [Z]pのいくつかのuに関しては、nFk = HkuFl = Hlが得られる。
【0044】
uFk = FluHk = Hlのケースにおいて、DLOGオラクルは、u ∈ [Z]pを、入力σ(Fk, Hk)およびσ(Fl, Hl)に返すが、方程式uFk = FluHk = Hlは、i1、i2、j1、j2だけでなく、x1,x2,y1,y2 ∈ [Z]pのx1、x2、y1、y2のすべてによっても満たされる。
次に、uFk = HkおよびuFl = Hlであると仮定する。FkとHkの定義によって、
【式43】
Figure 0004288341
と記述することができ、
【式44】
Figure 0004288341
は、c1,c2,c3,c4,c5,c6 ∈ [Z]pであった。uFk = Hkであるため、uc1 = c2と次の式を得る。
【式45】
Figure 0004288341
条件2であるため、行列
【式46】
Figure 0004288341
は、正則である。
【0045】
したがって、c3=c4=c5=c6=0(mod p)であり、それにより、FkとHkは、両方とも定数である。したがって、FlとHlも定数である。よって、オラクルは、入力σ(Fk, Hk)およびσ(Fl, Hl)で呼び出し、その結果、FkHl = FlHkは、i1、i2、j1、j2に関する情報を何も提供しない。それゆえ、第3のケースの場合にのみi1、i2、j1、j2に関する情報を得ることができ、したがって、DLOGオラクル・クエリは、第3のケースで呼び出される場合に有意味であり、その他の場合は無意味である。
【0046】
次に、Aが正しい解を返す確率の上界を求める。ジェネリック・アルゴリズムが正しい解を返すケースは3つある。
<ケース1> 少なくとも1つのDLOGオラクル・クエリが有意味である。
<ケース2> すべてのDLOGオラクル・クエリが無意味であり、[Z]pに関する多項式として(Fk,Hk)≠(Fl,Hl)であるが、
【式47】
Figure 0004288341

【式48】
Figure 0004288341
であるような(Fk,Hk)と(Fl,Hl)が存在する。
<ケース3> DLOGオラクル・クエリがすべて無意味であり、いくつかの(Fk, Hk)に関して
【式49】
Figure 0004288341
が得られる。
【0047】
<ケース1>、<ケース2>、および<ケース3>のそれぞれにおける確率の上界を求める。
<ケース1> DLOGオラクルへのクエリが有意味である確率は、
【式50】
Figure 0004288341
によるいくつかのkおよびlならびに[Z]pにおけるいくつかのsに関して、[Z]pにおいてランダムに選択したx1、x2、y1、y2に関して
【式51】
Figure 0004288341

【式52】
Figure 0004288341
が得られる確率によって制限される。その場合、確率は、[Z]pにおけるランダムに選択したx1、x2、y1、y2に関して以下の式が得られるため、
【式53】
Figure 0004288341
を得る。
【式54】
Figure 0004288341
【式55】
Figure 0004288341
[Z]pからランダムに選択されたx1、x2、y1、y2に関して、
【式56】
Figure 0004288341
を得る確率は、多項式FlHk - FkHlの全次数が2を超えず、多項式として
【式57】
Figure 0004288341
であるため、補助定理1によって2/pに制限される。したがって、少なくとも1つのDLOGオラクル・クエリが有意味である確率は、
【式58】
Figure 0004288341
によって制限される。
【0048】
<ケース2>
【式59】
Figure 0004288341
であると仮定する。(i)Fk≠Fl (Hk ≠ HlかHk = Hlかは考慮しない)と(ii)Fk = FlとHk ≠ Hlの3つのケースがある。ケース(i)において、[Z]pにおいてランダムに選択されたx1、x2、y1、y2に関して
【式60】
Figure 0004288341
となる確率は、補助定理1により最大で1/pである。したがって、ケース(i)では、いくつかのk、lおよび[Z]pにおいてランダムに選択されたx1、x2、y1、y2に関して
【式61】
Figure 0004288341

【式62】
Figure 0004288341
である確率は、
【式63】
Figure 0004288341
である。
【0049】
同様に、ケース(ii)の確率は、最大で
【式64】
Figure 0004288341
である。したがって、<ケース2>における確率は、最大で
【式65】
Figure 0004288341
である。
【0050】
<ケース3> 補助定理1によって、 [Z]pにおいてランダムに選択されたx1、x2、y1、y2に関して、多項式Fk-αδX1Y1+βγX2y2およびHk-βδ(X1Y2+X2Y1)の全次数が2であるため、いくつかの(Fk, Hk)に関して
【式67】
Figure 0004288341
が得られる事象の確率の上界は、
【式66】
Figure 0004288341
である。条件(C1)により、αδ≠0、βγ≠0およびβδ≠0(mod p)であることに注意されたい。したがって、ジェネリック・アルゴリズムが正しい解を出力する確率は、最大で
【式68】
Figure 0004288341
である。
【0051】
次に、DLOGに対するMDLOGのジェネリック帰着について考察する。以下の結果は、DLOGオラクルに対する多数のクエリなしにMDLOGを解くことができないことを示す。pが大きい素数の場合、群[Z]p x [Z]pに関して、MDLOGのジェネリック・アルゴリズムが、入出力(x1,x2)として(σ(1,0),σ(0,1),σ(x1,x2))を取得する。ここで、x1、x2は、0 ≦ x1 < pと0 ≦ x2 <pの整数である。
【0052】
<定理3> Aを、GにおいてMDLOCを解くジェネリック・アルゴリズムとする。Aが、それぞれ、群演算オラクルに対する最大でRのクエリを行い、DLOCオラクルに対する最大でLのクエリを行うと仮定する。その場合、Aが正しい解を返す確率は、最大で
【式69】
Figure 0004288341
であり、ここで、i1、i2、j1、j2および写像σについての確率が取得される。DLOCオラクル・クエリの予想される数は、少なくとも
【式70】
Figure 0004288341
である。
【0053】
上記で示した条件2は、きわめて重要である。αβγδが、平方剰余(mod p)の場合は、DLOGオラクルを使用することによるACTDHプロトコルに対する攻撃が存在する。
非固有パラメータによるACTDHプロトコルに対する攻撃::
いくつかのuに関してαβγδ=u2(mod p)であると仮定する。この場合、行列
【式71】
Figure 0004288341
は、特異であり、したがって、次の式は、非自明な解である。
【式72】
Figure 0004288341
(s,t) = (c3,c4)が、非自明な解であると仮定する。群要素
【式73】
Figure 0004288341
が与えられ、それにより
【式74】
Figure 0004288341
を計算することができる。c3、c4の定義によって、
【式75】
Figure 0004288341
を得、
【式76】
Figure 0004288341
を得た。abuを計算し、次に、入力
【式77】
Figure 0004288341
およびabuによってDLOGオラクルを呼び出す。オラクルは、
【式78】
Figure 0004288341
を返す。次に、別の(c'3,c'4)によって類似のプロセスを行い、
【式79】
Figure 0004288341
を得る。この場合、i1とi2を得ることができる。同様に、攻撃者は、j1とj2を得ることができる。
【0054】
ACTDHプロトコルは、以下のように公開鍵暗号方式を構成するために適用される。Gを直積C x Cと同形な群とし、ここで、Cは、素数次数pの巡回群である。G = <a,b>であると仮定する。G x Gに関するGL(2,[Z]p)の作用は、上述した。A(i1,i2)とA'(i1,i2)はそれぞれ、行列
【式80】
Figure 0004288341
および
【式81】
Figure 0004288341
であることを想起されたい。
【0055】
キー生成について説述する。α、β、γ、δを条件1および条件2を満たすパラメータとする。x = (a, b) ∈ G x Gとする。第2通信端末が、i1,i2 ∈ [Z]pをランダムに選択する。次に、第2通信端末は、
【式82】
Figure 0004288341
を計算し、キー(x,y)を公表すればよい。
【0056】
暗号化及び復号化は次のように行う。
暗号:第1通信端末が、j1,j2 ∈ [Z]pをランダムに選択する。次に、第1通信端末は、メッセージ
【式83】
Figure 0004288341
を、
【式84】
Figure 0004288341
として暗号化する。
【0057】
復号化:暗号文
【式85】
Figure 0004288341
を取得し、第2通信端末は、群要素
【式86】
Figure 0004288341
とその逆数を計算する。次に、第2通信端末は、群要素
【式88】
Figure 0004288341

【式89】
Figure 0004288341
と一致するため、mを
【式87】
Figure 0004288341
として得ることができる。
【0058】
Gを、次数素数pの2つの巡回群の直積と同形の群とする。[a, b]が、Gの生成元の集合であると仮定する。x = (a, b)を設定する。Aが、確率的多項式の時間アルゴリズムであると仮定し、入力
【式90】
Figure 0004288341
に関して、i1、i2、j1、j2がランダムに選択されかつM∈ GL(2,[Z]p)の場合、Aは、
【式91】
Figure 0004288341
の場合に1を出力し、そうでない場合は0を出力し、この確率は、十分に大きいnに関してなんらかの定数cに関して
【式92】
Figure 0004288341
よりも高い。この場合、Aは、DACTDHアルゴリズムと呼ばれる。DACTDHの仮定とは、DACTDHアルゴリズムが存在しないと仮定することである。DACTDH問題を解くためのDLOCオラクルの自明な利用がなく、またDLOGオラクルを使用してDDH問題が容易に解かれるため、DACTDHの仮定は、DHの仮定よりも弱いように見える。
【0059】
<定理4> 提案された暗号方式は、DACTDHアルゴリズムが存在する場合、かつその場合のみにおいて、区別性の意味でセキュアでない。
この定理の証明は省略する。すなわち、提案された暗号方式は、DACTDHの処理が困難な場合、かつその場合のみ受動的な攻撃に対して意味論的にセキュアである。
【0060】
【発明の効果】
本発明は、以上説明したように構成されているので、次に記載されるような効果を
奏する。
すなわち、現在までに知られている鍵交換スキーム(例えばDiffie-Hellman型)においては有限巡回群の離散対数問題を解くことの難しさにその安全性の基礎をおいているが、本発明において、有限巡回群だけではなく、それ以外の有限可換群におけるキーアグリーメントプロトコルと、それを用いた通信方法の構成を可能にする。
【0061】
また、有限巡回群以外の有限可換群を利用することは、安全性を離散対数問題よりも難しいと考えられるアルゴリズム問題に帰着させることが出来る。ジェネリック・アルゴリズムのモデルの観点から離散対数問題よりも難しいと考えられるアルゴリズム問題に安全性の根拠を置くことで、安全性について離散対数問題ベースの鍵交換スキームよりも高いレベルの安全性を実現することが出来る。
【参考文献】
【参考文献1】
L.Babai and E.Szemer6di On the complexity of matrix group problems, IEEE Symp. Found. of Computer Scienece (1984) 229-240.
【参考文献2】
W.Difiie and M.E.Hellman, New directions in cryptography, IEEE Thansactions on InforTr~ation Theory, 22 (1976) 644-654.
【参考文献3】
T.EIGamal, A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Thansactions on Information Theory, 31 (1985) 469-472.
【参考文献4】
M.Fischlin, A note on security proofs in the generic model, Advances in Cryptology (Asiacrypt'OO) Lecture Notes in Computer Science, vol 1976 Springer-Verlag (2000) 458469.
【参考文献5】
U.M.Maurer and S.Wolf, Lower bounds on generic algorithms in groups, Ad-vances in Cryptology (Eurocrypt'98) Lecture Notes in Computer Science, vol 1403 Springer-Verlag (1998) 72-84.
【参考文献6】
V#1.Nechaev, Complexity of a deternxinate algorithm for the discrete logarithm, Math. Notes, 55 (1994) 165-172.
【参考文献7】
C.P.Schnorr, Small generic hardcore subsets for the discrete logarithm: Short secret DLekeys, Infor. Proc. Letters, 79 (2001) 93-98.
【参考文献8】
C.P.Schnorr and M.Jakobsson, Security of signed EIGamal encryption, Advances in Cryptology (Asiacrypt'OO) Lecture Notes in Computer Science, vol 1976 Springer-Verlag (20CO) 73-89.
【参考文献9】
J.T.Schwartz, Fast probabilistic algorithms for verification of polynomial identities, J. ACM, 27(4) (1980) 701-717.
【参考文献10】
V.Shoup, Lower bounds for discrete logarithms and related problems, Advances in Cryptology (Eurocrypt'97) Lecture Notes in Conrputer Science, vol 1233 Springer-Verlag (1997) 256-266.[0001]
BACKGROUND OF THE INVENTION
  The present invention relates to an encryption technique for data communication, and particularly proposes a key agreement protocol using an algorithm that has not been introduced conventionally.
[0002]
[Prior art]
  In recent years, with rapid progress of data communication technologies such as the Internet, opportunities to use information communication in various daily situations are increasing. Information leakage due to interception of data communications is a social problem, and in particular, leakage of privacy information from government agencies, and in the fields of trading and finance, there is a risk that enormous damage may occur due to misuse of data There is.
  Therefore, there is a strong demand for technology that enhances the confidentiality of information, and a variety of information encryption technologies have been developed. However, high-level encryption technology is gradually deciphered by attackers and is constantly exposed to information leakage.
[0003]
  As a method of ensuring the safety of data communication, there is a known method for ensuring the safety due to the difficulty of difficult algorithm problems, with the difficulty of computational processing, and attackers also require extremely high abilities. Therefore, it is considered an effective means.
  For example, in the key exchange schemes known so far (for example, Diffie-Hellman type), the security is based on the difficulty of solving the discrete logarithm problem of a finite cyclic group.
[0004]
  At present, it is considered that a high level of security is assured by the above key exchange scheme. However, as described above, in view of the reality that these technologies are just like attackers, various methods are required. It is a situation.
  However, in the conventional technology, only the Diffie-Hellman type scheme is actually considered in the key exchange scheme, and the key exchange scheme using a group other than the finite cyclic group is not known.
[0005]
  It is possible to use finite commutative groups, and although they have been proposed, they are essentially Diffie-Hellman type schemes that use finite cyclic groups, or variations thereof, and are essentially finite. No method is provided using a commutative group.
[0006]
[Problems to be solved by the invention]
  The present invention is intended to solve the above-described problems of the prior art, and an object of the present invention is to provide a highly secure protocol based on a new algorithm problem for a key agreement protocol used in data communication. It is.
[0007]
[Means for Solving the Problems]
  In order to solve the above problems, the present invention uses the following means.
  That is, the present inventionUsing a finite commutative group other than the finite cyclic group, the safety of the algorithm problem, which is more difficult than the discrete logarithm problem, is based on the safety, and the effect of the general linear group on the direct product of the two cyclic groups A communication method for performing communication between a first communication terminal and a second communication terminal using a key agreement protocol in which the difficulty and safety of a generalized discrete logarithm problem are computationally equivalent. is there.
[0008]
  In particular,Includes the following steps:
  First, G is defined as a group having the same shape as CxC (C is a cyclic group whose degree is a prime p), and a and b generate G. Parameters α, β, γ, δmodulo pRandom selection is made so that αβγδ becomes a non-square residue. Under these conditions,
(1) First communication terminalComputing meansIs an integer i1, I2Randomly selecting a step,
(2)Similarly, the computing means of the first communication terminal is
[Formula 22]
Figure 0004288341
Calculate it andThe transmission means of the first communication terminal isSending to the second communication terminal;
(3) Second communication terminalThe computing means of, Integer j1, J2Randomly selecting a step,
(4)Similarly, the computing means of the second communication terminal is
[Formula 23]
Figure 0004288341
Calculate it andThe transmission means of the second communication terminal isSending to the first communication terminal;
(5) First communication terminalComputing meansBut,
[Formula 25]
Figure 0004288341
When
[Formula 26]
Figure 0004288341
By calculating and multiplying
[Formula 24]
Figure 0004288341
Obtaining K of
(6) Second communication terminalComputing meansBut,
[Formula 28]
Figure 0004288341
Calculating K and obtaining K,
Including the above steps, K is used as a common key for the first communication terminal and the second communication terminal.
[0009]
DETAILED DESCRIPTION OF THE INVENTION
  Details of the key agreement protocol will be described below as an embodiment of the present invention.
First, the outline of the present invention will be described. Generic algorithms ([Ref 6], [Ref 10], [Ref 5], [Ref 4], [Ref 8], [Ref 7]) are group operation oracles and some other Is a general model of a probabilistic algorithm for finding a solution by calling a special oracle.
[0010]
In such a model, groups are given as black box groups (Reference 1), and each group element is represented by a binary string of the same length. Typical generic algorithms are Baby-Step-Giant-Step and Pohlig-Hellman.
  Group operations, multiplication, and reciprocal acquisition are performed by calling an oracle in the generic algorithm model. The solution may be a specific group element that satisfies a predetermined condition, or information such as a discrete logarithm. Discrete logarithm problem (DLOG), Diffie-Hellman problem (DH) ([10], [5]) and cryptosystem ([4], [7], [8]) A generic algorithm model is used for analysis.
[0011]
  In the present invention, the generic algorithm has a limited number of Oracle queries [Z]px [Z]pEstimate the probability of finding a correct solution for a group of black boxes of the same shape as. To solve the multiplicative discrete logarithm problem (MDLOG) in a generic algorithm model,
[Formula 1]
Figure 0004288341
Requires a query and a discrete log oracle (and an [EQUATION 1] query for an algorithm problem called the ACTDH problem that underlies the proposed key agreement protocol)
Indicates that
[0012]
  Next, the key agreement protocol in the present invention will be described in detail.
  Let S be a group and let X be a non-empty set. S need not be interchangeable. X with respect to s and t in S and x in X(st)= (xs)tAnd x1A map satisfying = x σ: X x S → X (The image of (x, s) ∈ X x S by σ is xThreeIn this case, S acts on X.
  Although group actions are common in cryptography, we discuss Diffie-Hellman and RSA, which are the most common cryptographic system mechanisms for group actions.
[0013]
(Example 1) Let p be a prime number. Suppose p-1 is broken by a prime q. element a∈ [Z] such that | g | = q* pTake. In this case, σ (g, s) = gsΣ: <g> x [Z] given by* p <g> is [Z] * for the traveling group <g>pIt is the action of.
  DLOG is given g and σ (g, s) = gsIs regarded as a problem seeking s. This action is used in the Diffie-Hellman protocol ([reference 2]) and the ElGamal cipher ([reference 3]).
[0014]
(Example 2) p and q are prime numbers. Let n = pq. RSA cryptosystem is σ (m, e) = meGiven by
[Formula 2]
Figure 0004288341
Adopt the action defined as RSA is the computational difficulty of finding the e-th root, ie, m and σ (m, e) = m for a given eeBased on the problem of seeking.
[0015]
  Here, a general method is shown.
  Suppose that the group S acts on the set X and that this action can always be calculated efficiently. Let f be a function that can be computed efficiently with respect to X. Note that S need not necessarily be interchangeable. SoIs a subset of S that satisfies the following conditions:
Assumption 1: All s, t ∈ SoA function ': S that can be calculated efficiently so that s (t') = t (s')o→ There is S.
Assumption 2: xsAnd xtF (xst 'There is no efficient algorithm to calculate).
  Note that hypothesis 1 is mechanically true when S is interchangeable. This is because the identity map can be taken as'. However, such functions generally do not always exist. Diffie-Hellman's assumption is a special case of assumption 2, where S is [Z]pAnd f is an identity map.
[0017]
  The general scheme of the key agreement protocol is as follows.
Initial setting: Select x such that x∈X and publish it.
Step 1: The first communication terminal is s∈SoChoose s at random. The first communication terminal is xsAnd sends it to the second communication terminal.
Step 2: The second communication terminal is t∈SoT is selected at random. The second communication terminal is xtAnd sends it to the first communication terminal.
Step 3: The first communication terminal (xt)s' And f ((xt)s'). The second communication terminal is (xs)t 'And f ((xs)t ')t 'Calculate in this case,
[Formula 3]
Figure 0004288341
Is a common secret key shared by the first communication terminal and the second communication terminal. According to Assumption 1, (xt)s' = (xs)t ' It becomes.
[0018]
  Next, the ACTDH protocol according to the present invention will be described.
  Let G be a group of the same shape as C x C, where C is a cyclic group of order prime p. Where GL (2, [Z] to group G x G (= (C x C) x (C x C))p) Defines the action. Suppose a and b generate G, ie G = <a, b>. This is | a | = | b | = p and in G <a> ∩ <b> = [1G] Implicitly, where 1GIndicates the identity of G.
[0019]
  All elements of G are i, j ∈ [Z]pAibiIs uniquely described.
[Formula 4]
Figure 0004288341
so
[Formula 5]
Figure 0004288341
in the case of,
[Formula 6]
Figure 0004288341
GL (2, [Z]p) Defines the action. xAHowever, it can be calculated efficiently as follows.
[0020]
  G element ai1j1And ai2j2And given a matrix A,
[Formula 7]
Figure 0004288341
Calculate GL (2, [Z]p), But it works immediately on G x G, but it is possible to explain it more easily as follows.
element
[Formula 8]
Figure 0004288341
And matrix
[Formula 9]
Figure 0004288341
X to identifyAIs identified by the following determinant.
[Formula 10]
Figure 0004288341
[0021]
  Matrix multiplication is associative, so GL (2, [Z]p) Acts on G x G. Next, [Z] *pRandomly select the parameters α, β, γ, and δ so that αβγδ becomes the square non-remainder, then SoThe shape
[Formula 11]
Figure 0004288341
To be a set of matrices. Where (i1, i2) ≠ ≠ (0,0), i1, i2 ∈ [Z]pIt is.
[Formula 12]
Figure 0004288341
With respect to A 'matrix
[Formula 13]
Figure 0004288341
Define to be Since αβγδ is a non-square residue, A, A '∈ GL (2, [Z]p).
[Formula 14]
Figure 0004288341
And
[Formula 15]
Figure 0004288341
Then A, B ∈ SoAnd the following equation is obtained.
[Formula 16]
Figure 0004288341
[0022]
  Therefore, the above assumption 1 holds. In the following, the matrix
[Formula 17]
Figure 0004288341
When
[Formula 18]
Figure 0004288341
Respectively, A (i1, i2) And A '(i1, i2) So all i1, i2, j1, j2∈ [Z]pFor, the following equation is obtained:
[Formula 19]
Figure 0004288341
π1 : G x G → G is projected onto the first axis, ie
[Formula 20]
Figure 0004288341
And
[Formula 21]
Figure 0004288341
Note that
[0023]
ACTDH protocol: x = (a, b).
Step 1: First communication terminalComputing meansIs an integer i1, I2Select at random.Same calculation meansIs
[Formula 22]
Figure 0004288341
Calculate it andBy sending meansSend to second communication terminal.
Step 2: Second communication terminalComputing meansIs an integer j1, J2Select at random.Same calculation meansIs
[Formula 23]
Figure 0004288341
Calculate it andBy sending meansSend to first communication terminal.
[0024]
Step 3: The computing means of the first communication terminal isUsing the calculation result of Expression 23 sent from the second communication terminal,
[Formula 25]
Figure 0004288341
When
[Formula 26]
Figure 0004288341
By calculating and multiplying
[Formula 24]
Figure 0004288341
Get. In addition,As shown in Equation 21,
[Formula 27]
Figure 0004288341
It is.
Step 4: The computing means of the second communication terminal is similarlyUsing the calculation result of Expression 22 sent from the first communication terminal,
[Formula 93]
Figure 0004288341
When
[Formula 94]
Figure 0004288341
By calculating and multiplying
[Formula 24]
Figure 0004288341
Calculate As shown in Equation 21,
[Formula 28]
Figure 0004288341
It is. In this case, K is a common key for the first communication terminal and the second communication terminal.
[0025]
  Here, as an example, an example of a direct product of two cyclic groups of prime orders is shown. Let q and r be large prime numbers such that p | q-1 and p | r-1.
  Let n be qr. g1Is the pth root of 1 in mod q, and g2Is the pth root of 1 in mod r. Some c1 ∈ [Z] *pAnd c2 ∈ [Z] *pAbout a = g1 (mod q), a = g* 2 (mod r), b = g* 1(mod q), b = g2a ∈ Z so that (mod r)nA and b ∈ ZnSelect b that becomes c1c2 Z * if ≠ 1 mod pn It is clear that = <a> x <b>.
[0026]
  Next, the security of the protocol of the present invention is compared with the Diffie-Hellman protocol.
  Decoding the ACTDH protocol is equivalent to solving the following problem. Suppose G is a finite abelian group and a, b ∈ G. The parameters α, β, γ, and δ are relatively prime with | a | and | b |, respectively. The definition of the action Diffie-Hellman problem (ACTDH problem) in G with respect to a and b is as follows.
[Formula 29]
Figure 0004288341
[Formula 30]
Figure 0004288341
  Where i1, I2, J1, J2Is a randomly and independently selected integer.
[0027]
  The following theorem and its proof ensure that the ACTDH protocol is at least as secure as the DH protocol if parameters are carefully selected.
<Theorem 1> α, β, γ, and δ are integers. Each of these is assumed to be relatively prime with | G |. If there is an efficient algorithm for solving the ACTDH problem (parameters α, β, γ, δ) in the Abelian group G for all a, b of G, the efficiency of solving the DH problem in G for all a of G There is a good algorithm.
[0028]
<Proof> Assume that there is an efficient algorithm for solving the ACTDH problem for all a and b. An efficient algorithm for solving the DH problem, ie input ai1And aj1Regarding ai1j1Create an algorithm to calculate Here, a is an element of G. b = 1 (G unit element). Since | G | breaks at | a |, α, β, γ, and δ must be relatively prime with | a |. The above assumption gives an efficient algorithm for solving the ACTDH problem for a and b. i2= j2= 0. An algorithm for solving the ACTDH problem with respect to a and b
[Formula 31]
Figure 0004288341
When
[Formula 32]
Figure 0004288341
Enter. Thus,
[Formula 33]
Figure 0004288341
Is obtained. ai1And aj1Since α is public information, (ai1) α and (aj1It can be seen that α can be calculated. Since α and δ are both relatively prime with | a |, (aαδ)m An integer m such that = a can be obtained. in this case,
[Formula 34]
Figure 0004288341
Therefore, the DH problem can be solved efficiently.
[0029]
  Let G be a finite abelian group and let a and b be elements in G. Set H to be a small group of G generated by a and b. Multiple discrete logarithm problems (MDLOG for short) in the group H = <a, b> are algorithmic problems defined as follows.
INPUT: Element g of H.
OUTPUT: g = axbyA non-negative integer (x, y) pair (x, y) such that
  Since H is generated by a and b, g = axbyThere is at least one non-negative integer pair (x, y) that satisfies. Such a pair is uniquely determined only when H is the inner direct product <a> x <b>. It is clear that the ACTDH problem is reduced to the MDLOG problem, so that the ACTDH protocol can be deciphered when MDLOG is solved efficiently.
[0030]
  We consider the security of the ACTDH protocol from the viewpoint of the generic model. The ACTDH protocol with carefully selected parameters is more secure than the DH protocol in the generic model. To simplify the discussion, [Z]p x [Z]pConsider only the ACTDH protocol for the multiplication group G of the same form. Where p is a large prime number in the rest of the paper. The ACTDH protocol is secure even from an attacker who can solve the DLOG when the following conditions are imposed on α, β, γ, and δ.
[0031]
<Condition 1> α, β, γ, and δ are relatively prime to p.
<Condition 2> αβγδ is a square non-residue (mod p).
  Assume that condition 1 and condition 2 are met in the rest of the paper. Condition 1 is imposed to prevent α, β, γ, and δ from reducing the elements a, b ∈ G. On the other hand, Condition 2 looks somewhat unnatural. Condition 2 will be described later.
[0032]
  The generic algorithm according to the present invention will be described in detail.
  The generic algorithm is a general-purpose algorithm that does not depend on any characteristics of the group representation ([10], [5]). The generic algorithm enumerates group elements starting from a given set of elements of G, i.e. group elements starting from the set B from which G is generated, which is g for some j, k <i of each im = g and gi ∈ B or gi= g-1 jOr gi = gjgkA sequence of elements of G so that1, g2, ..., gmIs enumerated.
  At one stage, the algorithm uses an element g that represents the same binary string.iAnd gjFind (i ≠ j). Then giAnd gjHidden information can be obtained by solving the linear equation obtained from the information regarding.
[0033]
  σ, [Z]pLet R be a random mapping from S to a set S of binary strings of size p. The generic algorithm is x, y ∈ [Z]pAdd (σ (x), σ (y)) = call a group operation oracle that computes add and inv defined by σ (x + y) and inv (σ (x)) without any computational cost be able to. add (σ (x), σ (y)) = σ (x + y) is the multiplication gxgy = gx + yInv (σ (x)) = σ (-x) is the inversion of group elements (g)-1 = g-1Corresponding to Tour group [Z]pThe DLOG generic algorithm in, takes (σ (1), σ (x)) as input / output x. Where x ∈ [Z]pIt is. [Ref 5] introduces the Diffie-Hellman oracle to study the generic consequences of DLOG to DH.
[0034]
  Next, we examine in detail the difficulty of deciphering the ACTDFI protocol compared to the DLOG problem for generic consequences. The generic algorithm for the ACTDH problem is executed as follows. Group [Z]px [Z]p(p is a prime number) is encoded by a set S of binary character strings. The generic algorithm takes a list (σ (1,0), σ (0, 1), σ (αi1, βi2), σ (γi2, δi1), σ (αj1j1, βj2), σ (γj2, δj1)) Is obtained and calculated by calling the group operation oracle, then
[Formula 35]
Figure 0004288341
Is output. Input is a group element
[Formula 36]
Figure 0004288341
And the output is a group element
[Formula 37]
Figure 0004288341
Corresponding to Enables generic algorithms to call discrete logarithmic oracles in addition to group operation oracles. [Z]p x [Z]pThe discrete logarithm (DLOC) Oracle of (σ (i1, i2), σ (j1, j2)) And then ni1 = j1(mod p) and ni2 = j2Outputs an integer n such that (mod p) holds without such computational cost if such n exists.
[0035]
  If there is no n that satisfies the above equation, such an input is called illegal. Suppose that Oracle is not subject to illegal input and the generic algorithm proceeds.
<Theorem 2> Let A be a group [Z]p x [Z]pA generic algorithm for solving the ACTDH problem. Where p is a prime number. The parameters α, β, γ, and δ satisfy the above conditions 1 and 2. Assume that A performs a maximum of R queries on the group operation oracle and a maximum of L queries on the DLOC oracle.
  In this case, the probability θ that A returns the correct solution is at most
[Formula 38]
Figure 0004288341
Where this probability is i1, I2, J1, J2And dominated by the map σ. The expected number of queries for DLOC Oracle is at least
[Formula 39]
Figure 0004288341
It is.
[0036]
  First, consider the importance of Theorem 2. Let T be the total execution time of A. Since T ≧ L + R, T ≧ L and T ≧ R are obtained. Assume that θ is a constant. By Theorem 2, we obtain [Equation 40].
  Therefore, T
[Formula 41]
Figure 0004288341
It is. This implies that there is no stochastic polynomial time algorithm to decipher the ACTDH protocol even when the DLOG oracle is allowed.
  Now assume that the DLOG Oracle cannot be used. The number of queries expected for the group operation oracle to solve the ACTDH problem can be obtained from Theorem 2 by setting L = 0. Success probability θ
[Formula 42]
Figure 0004288341
The number of queries expected for the upper bound, ie, the group operation oracle, is estimated to be Ω (√p) when θ is a constant.
[0037]
Next, we prove the above Theorem 2. The following is important in the following proof and is proved in [Reference 9].
<Lemma 1 ([Reference 9])> [Z] for all orders dp[X1, X2, ..., Xk] (Z is a prime number), assuming a non-zero polynomial F, [Z]pIndependently and randomly selected elements x1, x2, ..., xkWith respect to F (x1,x2, ..., xkThe probability that) = 0 is at most d / p.
[0038]
<Proof of Theorem 2> [Z]pSimulate a generic algorithm with polynomials for. First, ring [Z]p[X1, X2, Y1, Y2] 6 pairs of polynomials in (F1, H1) = (1,0), (F2, H2) = (0,1), (FThree, HThree) = (αX1, βX2,), (FFour, HFour) = (γX2, δX1), (FFive, HFive) = (αY1, βY2), (F6, H6) = (γY2, δY1) Each pair is a mapping (of group elements) σ (1, 0), σ (0, 1), σ (αi1, βi2), Σ (γi2, δi1), Σ (αj1, βj2), Σ (γj2, δj1) Respectively.
[0039]
  For I> k, l, the polynomial Fi (X1, X2, Y1, Y2) And Hi (X1, X2, Y1, Y2) So that a pair of polynomials (Fi, H1) Is the mapping pair σ (Fi (i1, i2, j1, j2), Hi (i1, i2, j1, j2Corresponds to)). The multiplication oracle is a pair (Fk, Hk) And (Fl, Hl) When called by the input corresponding toiAnd HiFi = Fk + FlAnd Hi = Hk + HlCalculate by setting to. Here, i> k, l.
[0040]
  Similarly, the inverting oracle is the pair (Fk, Hk) When called by the input corresponding toi = -Fk And Hi = -HkCalculate In this case, i> k, l. DLOG Oracle (Fk, Hk) And (Fl, Hl) When called with the input corresponding tosFk(i1, i2, j1, j2) = Fl(i1, i2, j1, j2) WhensHk(i1, i2, j1, j2) = Hl(i1, i2, j1, j2) Such that s (∈ [Z]p)return it. In this case, no polynomial is generated, but i1, i2, j1, j2 Is the formula Fk = FlAnd sHk = HlInformation that satisfies is obtained.
[0041]
  The generic algorithm1,i2,j1,j2Suppose that a correct solution may be returned only when finding a non-trivial expression satisfied by.
  The generic algorithm uses the input σ (Fk(i1, i2, j1, j2), Hk(i1, i2, j1, j2)), And σ (Fl(i1, i2, j1, j2), Hl(i1, i2, j1, j2When calling the DLOG Oracle for)), there are three possible cases.
[0042]
  The first possible case is a case where the input is illegal, ie the second input is not a power of the first input.
  In the second case, the input is legal, but the polynomial Fk, Hk, F1, H1But [Z]pAs a polynomial in condition FkHl = HkFlThis is a case satisfying (mod p).
  In the third case, the input is legal and FkHl ≠ HkFl This is the case for (mod p).
[0043]
  Where i1, I2, J1, J2Prove that information about is only available in the last case. If the first case occurs, DLOG Oracle returns only an error message. I, unless the second input is not a power of the first input1, I2, J1, J2There is no possibility to get information about.
  Next, consider the second case. FkHl -FlHk Assume = 0 (mod p). First, Fk, Hk, Fl, HlBut [Z]pNote that these are unit or irreducible polynomials, since they are polynomials of degree 1 at most. Polynomial ring [Z]p[X1, X2, Y1, Y2] Is an intrinsic factorization domain, so u ∈ [Z]pAs for some uuFk = FlWhenuHk = HlAnd u ∈ [Z]pAs for some unFk = HkWhenuFl = HlIs obtained.
[0044]
  uFk = FlWhenuHk = HlIn the case of DLOG Oracle, u ∈ [Z]p, Input σ (Fk, Hk) And σ (Fl, Hl), But the equationuFk = FlWhenuHk = HlI1, I2, J1, J2As well as x1, x2, y1, y2 ∈ [Z]pX1, X2, Y1, Y2Satisfied by all of the.
  next,uFk = HkanduFl = HlAssume that FkAnd HkBy the definition of
[Formula 43]
Figure 0004288341
Can be described as
[Formula 44]
Figure 0004288341
C1, c2, cThree, cFour, cFive, c6 ∈ [Z]pMet.uFk = HkBecause uc1 = c2And the following equation:
[Formula 45]
Figure 0004288341
  Since condition 2 is satisfied, the matrix
[Formula 46]
Figure 0004288341
Is regular.
[0045]
  Therefore, cThree= cFour= cFive= c6= 0 (mod p), so that FkAnd HkAre both constants. Therefore, FlAnd HlIs also a constant. Thus, the oraclek, Hk) And σ (Fl, Hl) And the result is FkHl = FlHkI1, I2, J1, J2Provide no information about. Therefore, only in the third case i1, I2, J1, J2Information can be obtained, so the DLOG oracle query is meaningful when called in the third case, and is otherwise meaningless.
[0046]
  Next, find the upper bound of the probability that A returns the correct solution. There are three cases where the generic algorithm returns the correct solution.
<Case 1> At least one DLOG oracle query is meaningful.
<Case 2> All DLOG Oracle queries are meaningless and [Z]pAs a polynomial in (Fk, Hk) ≠ (Fl, Hl)In Although,
[Formula 47]
Figure 0004288341
so
[Formula 48]
Figure 0004288341
(Fk, Hk) And (Fl, Hl) Exists.
<Case 3> All DLOG Oracle queries are meaningless and some (Fk, Hk)
[Formula 49]
Figure 0004288341
Is obtained.
[0047]
The upper bound of the probability in each of <Case 1>, <Case 2>, and <Case 3> is obtained.
<Case 1> The probability that a query to DLOG Oracle is meaningful is
[Formula 50]
Figure 0004288341
Some k and l and [Z] bypFor some s in [Z]pX randomly selected in1, X2, Y1, Y2Regarding
[Formula 51]
Figure 0004288341
When
[Formula 52]
Figure 0004288341
Is limited by the probability of obtaining In that case, the probability is [Z]pRandomly selected x in1, X2, Y1, Y2Since the following formula is obtained,
[Formula 53]
Figure 0004288341
Get.
[Formula 54]
Figure 0004288341
[Formula 55]
Figure 0004288341
  [Z]pX randomly selected from1, X2, Y1, Y2With respect to
[Formula 56]
Figure 0004288341
The probability of obtaining the polynomial FlHk -FkHlThe total order of does not exceed 2, as a polynomial
[Formula 57]
Figure 0004288341
Therefore, it is limited to 2 / p by Lemma 1. Therefore, the probability that at least one DLOG oracle query is meaningful is
[Formula 58]
Figure 0004288341
Limited by.
[0048]
<Case 2>
[Formula 59]
Figure 0004288341
Assume that (i) Fk≠ Fl(Hk ≠ HlOr Hk = HlAnd (ii) Fk = FlAnd Hk ≠ HlThere are three cases. In case (i), [Z]pRandomly selected x in1, X2, Y1, Y2Regarding
[Formula 60]
Figure 0004288341
The maximum probability is 1 / p according to Lemma 1. Thus, in case (i), some k, l and [Z]pRandomly selected x in1, X2, Y1, Y2Regarding
[Formula 61]
Figure 0004288341
When
[Formula 62]
Figure 0004288341
The probability that
[Formula 63]
Figure 0004288341
It is.
[0049]
  Similarly, the probability of case (ii) is at most
[Formula 64]
Figure 0004288341
It is. Therefore, the probability in <Case 2> is the maximum.
[Formula 65]
Figure 0004288341
It is.
[0050]
<Case 3> According to Lemma 1, [Z]pRandomly selected x in1, X2, Y1, Y2With respect to the polynomial Fk-αδX1Y1+ βγX2y2And Hk-βδ (X1Y2+ X2Y1) Has a total degree of 2, so some (Fk, Hk)
[Formula 67]
Figure 0004288341
The upper bound of the probability of an event that yields
[Formula 66]
Figure 0004288341
It is. Note that αδ ≠ 0, βγ ≠ 0, and βδ ≠ 0 (mod p), depending on condition (C1). Therefore, the probability that the generic algorithm outputs the correct solution is the maximum.
[Formula 68]
Figure 0004288341
It is.
[0051]
  Next, we consider the generic consequences of MDLOG for DLOG. The following results show that MDLOG cannot be solved without a large number of queries against the DLOG oracle. If p is a large prime, the group [Z]p x [Z]pMDLOG's generic algorithm1, x2) As (σ (1,0), σ (0,1), σ (x1, x2)). Where x1, X2Is 0 ≤ x1 <P and 0 ≤ x2 <An integer of p.
[0052]
<Theorem 3> Let A be a generic algorithm that solves MDLOC in G. Assume that each A performs a maximum of R queries on the group operation oracle and a maximum of L queries on the DLOC oracle. In that case, the probability that A returns the correct solution is the maximum.
[Formula 69]
Figure 0004288341
And where i1, I2, J1, J2And the probability for the map σ is obtained. The expected number of DLOC Oracle queries is at least
[Formula 70]
Figure 0004288341
It is.
[0053]
  Condition 2 shown above is very important. If αβγδ is a square remainder (mod p), there is an attack on the ACTDH protocol by using the DLOG oracle.
Attacks against the ACTDH protocol with non-unique parameters ::
  Αβγδ = u for some u2Assume that (mod p). In this case, the matrix
[Formula 71]
Figure 0004288341
Is singular, and therefore the following equation is a non-trivial solution.
[Formula 72]
Figure 0004288341
(s, t) = (cThree, cFour) Is a non-trivial solution. Group element
[Formula 73]
Figure 0004288341
Is given
[Formula 74]
Figure 0004288341
Can be calculated. cThree, CFourBy the definition of
[Formula 75]
Figure 0004288341
And
[Formula 76]
Figure 0004288341
Got. abuAnd then enter
[Formula 77]
Figure 0004288341
And abuCall DLOG Oracle by Oracle
[Formula 78]
Figure 0004288341
return it. Then another (c 'Three, c 'Four) Perform a similar process,
[Formula 79]
Figure 0004288341
Get. In this case i1And i2Can be obtained. Similarly, the attacker is j1And j2Can be obtained.
[0054]
  The ACTDH protocol is applied to configure a public key cryptosystem as follows. Let G be a group that is isomorphic to the direct product C x C, where C is a cyclic group of prime order p. Suppose G = <a, b>. GL for G x G (2, [Z]p) Has been described above. A (i1, i2) And A '(i1, i2) Is a matrix
[Formula 80]
Figure 0004288341
and
[Formula 81]
Figure 0004288341
I want to recall that.
[0055]
Describes key generation. α, β, γ, and δ are parameters satisfying the conditions 1 and 2. Let x = (a, b) ∈ G x G. The second communication terminal is i1, i2 ∈ [Z]pSelect at random. Next, the second communication terminal
[Formula 82]
Figure 0004288341
And publicize the key (x, y).
[0056]
  Encryption and decryption are performed as follows.
  Encryption: The first communication terminal is j1, j2 ∈ [Z]pSelect at random. Next, the first communication terminal sends a message
[Formula 83]
Figure 0004288341
The
[Formula 84]
Figure 0004288341
Encrypt as
[0057]
  Decryption: Ciphertext
[Formula 85]
Figure 0004288341
The second communication terminal acquires the group element
[Formula 86]
Figure 0004288341
And its reciprocal. Next, the second communication terminal is a group element
[Formula 88]
Figure 0004288341
But
[Formula 89]
Figure 0004288341
M to match
[Formula 87]
Figure 0004288341
Can be obtained as
[0058]
  Let G be a group that is isomorphic to the direct product of two cyclic groups of order prime p. Assume that [a, b] is the set of G generators. Set x = (a, b). Assuming A is a stochastic polynomial time algorithm, input
[Formula 90]
Figure 0004288341
With respect to i1, I2, J1, J2Are randomly selected and M∈ GL (2, [Z]p), A is
[Formula 91]
Figure 0004288341
Outputs 1 if, otherwise 0, and this probability is about some constant c for a sufficiently large n
[Formula 92]
Figure 0004288341
Higher than. In this case, A is called the DACTDH algorithm. The assumption of DACTDH is that there is no DACTDH algorithm. The DACTDH assumption appears weaker than the DH assumption because there is no obvious use of the DLOC oracle to solve the DACTDH problem and the DDH oracle is easily solved using the DLOG oracle.
[0059]
<Theorem 4> The proposed encryption method is not secure in the sense of distinction when and only when the DACTDH algorithm exists.
  The proof of this theorem is omitted. That is, the proposed encryption scheme is semantically secure against passive attacks when and only if DACTDH processing is difficult.
[0060]
【The invention's effect】
  Since the present invention is configured as described above, the following effects can be obtained.
Play.
  That is, in the key exchange schemes known so far (for example, Diffie-Hellman type), the difficulty of solving the discrete logarithm problem of the finite cyclic group is based on the security, but in the present invention, The key agreement protocol not only in the finite cyclic group but also in other finite commutative groups, and the configuration of the communication method using the protocol are made possible.
[0061]
  Also, using a finite commutative group other than a finite cyclic group can result in an algorithm problem that is considered to be more difficult than a discrete logarithm problem. Realize a higher level of security than the discrete logarithm problem-based key exchange scheme by placing security grounds on algorithm problems that are considered to be more difficult than discrete logarithm problems from a generic algorithm model perspective I can do it.
[References]
[Reference 1]
  L.Babai and E.Szemer6di On the complexity of matrix group problems, IEEE Symp.Found. Of Computer Scienece (1984) 229-240.
[Reference 2]
  W.Difiie and M.E.Hellman, New directions in cryptography, IEEE Thansactions on InforTr ~ ation Theory, 22 (1976) 644-654.
[Reference 3]
  T.EIGamal, A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Thansactions on Information Theory, 31 (1985) 469-472.
[Reference 4]
  M. Fischlin, A note on security proofs in the generic model, Advances in Cryptology (Asiacrypt'OO) Lecture Notes in Computer Science, vol 1976 Springer-Verlag (2000) 458469.
[Reference 5]
  U.M.Maurer and S. Wolf, Lower bounds on generic algorithms in groups, Ad-vances in Cryptology (Eurocrypt'98) Lecture Notes in Computer Science, vol 1403 Springer-Verlag (1998) 72-84.
[Reference 6]
  V # 1.Nechaev, Complexity of a deternxinate algorithm for the discrete logarithm, Math.Notes, 55 (1994) 165-172.
[Reference 7]
  C.P.Schnorr, Small generic hardcore subsets for the discrete logarithm: Short secret DLekeys, Infor.Proc. Letters, 79 (2001) 93-98.
[Reference 8]
  C.P.Schnorr and M. Jakobsson, Security of signed EIGamal encryption, Advances in Cryptology (Asiacrypt'OO) Lecture Notes in Computer Science, vol 1976 Springer-Verlag (20CO) 73-89.
[Reference 9]
  J.T.Schwartz, Fast probabilistic algorithms for verification of polynomial identities, J. ACM, 27 (4) (1980) 701-717.
[Reference 10]
  V.Shoup, Lower bounds for discrete logarithms and related problems, Advances in Cryptology (Eurocrypt'97) Lecture Notes in Conrputer Science, vol 1233 Springer-Verlag (1997) 256-266.

Claims (1)

有限巡回群以外の有限可換群を利用し、2つの巡回群の直積への一般線形群の作用を使用して、離散対数問題よりも困難性の高いと考えられるアルゴリズム問題の困難性に安全性の根拠をおいたキーアグリーメントプロトコルを用いて第1通信端末と第2通信端末との間で通信を行う通信方法であって、
次の条件、すなわちGをCxC(Cは次数が素数pの巡回群)と同形の群とし、aとbがGを生成すると定義すると共に、パラメータα、β、γ、δを、pを法としてαβγδが平方非剰余になるようにランダムに選択する条件において、
第1通信端末の演算手段が、整数i 1 、i 2 をランダムに選択するステップ、
該演算手段が
【式22】
Figure 0004288341
を計算し、それを送信手段が第2通信端末に送るステップ、
第2通信端末の演算手段が、整数j1、j2をランダムに選択するステップ、
該演算手段が
【式23】
Figure 0004288341
を計算し、それを送信手段が第1通信端末に送るステップ、
第1通信端末の演算手段が、
【式25】
Figure 0004288341

【式26】
Figure 0004288341
を計算して乗ずることにより
【式24】
Figure 0004288341
のKを得るステップ、
第2通信端末の演算手段が、
【式93】
Figure 0004288341

【式94】
Figure 0004288341
を計算して乗ずることにより
【式24】
Figure 0004288341
のKを得るステップ
の各ステップを含み、
該Kを第1通信端末と第2通信端末との共通鍵とする
ことを特徴とする通信方法。 Using finite commutative groups other than finite cyclic groups and using the action of general linear groups on the direct product of two cyclic groups, it is safe for the difficulty of algorithm problems that are considered more difficult than the discrete logarithm problem A communication method for performing communication between a first communication terminal and a second communication terminal using a key agreement protocol based on sex ,
The following conditions, that is, G is defined as a group having the same shape as CxC (C is a cyclic group whose degree is a prime p), a and b are defined to generate G, and parameters α, β, γ, and δ are modulo p As a condition of randomly selecting such that αβγδ becomes a non-square residue,
The computing means of the first communication terminal randomly selecting integers i 1 and i 2 ;
The calculation means is [Equation 22]
Figure 0004288341
Calculating and sending it to the second communication terminal,
The computing means of the second communication terminal randomly selecting integers j1, j2;
The calculation means is [Equation 23]
Figure 0004288341
Calculating and sending it to the first communication terminal by the transmitting means ;
The computing means of the first communication terminal is
[Formula 25]
Figure 0004288341
And [Formula 26]
Figure 0004288341
By calculating and multiplying [Equation 24]
Figure 0004288341
Obtaining K of
The computing means of the second communication terminal is
[Formula 93]
Figure 0004288341
And [Formula 94]
Figure 0004288341
By calculating and multiplying [Equation 24]
Figure 0004288341
Each step of obtaining K of
Communication method is characterized in that a common key between the first communication terminal and the second communication terminal the K.
JP2001385922A 2001-12-19 2001-12-19 Communication method using key agreement protocol Expired - Lifetime JP4288341B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001385922A JP4288341B2 (en) 2001-12-19 2001-12-19 Communication method using key agreement protocol

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001385922A JP4288341B2 (en) 2001-12-19 2001-12-19 Communication method using key agreement protocol

Publications (2)

Publication Number Publication Date
JP2003186396A JP2003186396A (en) 2003-07-04
JP4288341B2 true JP4288341B2 (en) 2009-07-01

Family

ID=27595206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001385922A Expired - Lifetime JP4288341B2 (en) 2001-12-19 2001-12-19 Communication method using key agreement protocol

Country Status (1)

Country Link
JP (1) JP4288341B2 (en)

Also Published As

Publication number Publication date
JP2003186396A (en) 2003-07-04

Similar Documents

Publication Publication Date Title
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
US8189775B2 (en) Method of performing cipher block chaining using elliptic polynomial cryptography
US8332651B2 (en) Method of generating a password protocol using elliptic polynomial cryptography
Sen Homomorphic encryption-theory and application
US8184803B2 (en) Hash functions using elliptic curve cryptography
AU705406B2 (en) Secret-key certificates
US7961873B2 (en) Password protocols using XZ-elliptic curve cryptography
US7221758B2 (en) Practical non-malleable public-key cryptosystem
US8351601B2 (en) Elliptic polynomial cryptography with secret key embedding
US20100177890A1 (en) Hash functions with elliptic polynomial hopping
US20100169658A1 (en) Elliptic curve-based message authentication code
US20100166176A1 (en) Elliptical polynomial-based message authentication code
US8331558B2 (en) Method of cipher block chaining using elliptic curve cryptography
US8705740B2 (en) Elliptic curve-based message authentication code system and method
Karati et al. Provably secure and authenticated data sharing protocol for IoT‐based crowdsensing network
Chang et al. Cryptanalysis on an improved version of ElGamal-like public-key encryption scheme for encrypting large messages
Benamara et al. A new distribution version of Boneh-Goh-Nissim cryptosystem: Security and performance analysis
WO2003013052A1 (en) Cryptosystems based on non-commutatity
Yang et al. Efficient certificateless encryption withstanding attacks from malicious KGC without using random oracles
JP2006210964A (en) Information transmission / reception method and apparatus using Elgamal encryption
CN112118257B (en) Security-enhanced keyword search method based on public key encryption
JP4288341B2 (en) Communication method using key agreement protocol
CN100411334C (en) Data Encryption and Decryption Methods
Zhang et al. Image Encryption Scheme for Deniable Authentication Based on Chaos Theory
Peng et al. A New Lightweight Key Exchange Protocol Based on T—Tensor Product

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20040416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050322

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051101

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060104

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20060110

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20060331

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090128

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

R150 Certificate of patent or registration of utility model

Ref document number: 4288341

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term