|
|
|
|
コメント(20)
n人で相互に通信する場合
それぞれが自分の秘密鍵を持っていればよいので、
n個の鍵で大丈夫と思います。
送信者A,受信者Bの例を示します。
以下、s∈Z/pZ r∈Z/pZ H1(x)∈G H2(x)∈G
H1(x),H2(x)はハッシュ関数です。
鍵生成者(センター)
?マスター鍵sを生成
?マスター鍵sとユーザAのIDから、ユーザAの秘密鍵PriAを生成
PriA=s・H1(A)
?マスター鍵sとユーザBのIDから、ユーザBの秘密鍵PriBを生成
PriB=s・H1(B)
送信者A
?送信用乱数rと送信対象であるBのIDから暗号文c1を生成
c1=r・H1(B)
?相手の秘密鍵と送信対象BのIDと送信用乱数rから暗号化鍵Dkを生成
Dk=H2(e(PriA,H1(B))^r)
=H2(e(s・H1(A),H1(B))^r)
=H2(e(H1(A),H1(B))^s・r)
?平文Mを暗号化して暗号文c2を生成
c2=M xor Dk
?暗号文c1,c2をBに送信
受信者B
?暗号文c1と自分の秘密鍵から復号鍵Ekを生成
Ek=H2(e(c1,PriB))
=H2(e(r・H1(A),s・H1(B)))
=H2(e(H1(A),H1(B))^s・r)
?暗号文c2を復号して平文Mを生成
M = c2 xor Ek
それぞれが自分の秘密鍵を持っていればよいので、
n個の鍵で大丈夫と思います。
送信者A,受信者Bの例を示します。
以下、s∈Z/pZ r∈Z/pZ H1(x)∈G H2(x)∈G
H1(x),H2(x)はハッシュ関数です。
鍵生成者(センター)
?マスター鍵sを生成
?マスター鍵sとユーザAのIDから、ユーザAの秘密鍵PriAを生成
PriA=s・H1(A)
?マスター鍵sとユーザBのIDから、ユーザBの秘密鍵PriBを生成
PriB=s・H1(B)
送信者A
?送信用乱数rと送信対象であるBのIDから暗号文c1を生成
c1=r・H1(B)
?相手の秘密鍵と送信対象BのIDと送信用乱数rから暗号化鍵Dkを生成
Dk=H2(e(PriA,H1(B))^r)
=H2(e(s・H1(A),H1(B))^r)
=H2(e(H1(A),H1(B))^s・r)
?平文Mを暗号化して暗号文c2を生成
c2=M xor Dk
?暗号文c1,c2をBに送信
受信者B
?暗号文c1と自分の秘密鍵から復号鍵Ekを生成
Ek=H2(e(c1,PriB))
=H2(e(r・H1(A),s・H1(B)))
=H2(e(H1(A),H1(B))^s・r)
?暗号文c2を復号して平文Mを生成
M = c2 xor Ek
サントさん、毎度コメントありがとうございます。
このような議論ができて大変うれしいです。
まず前提が抜けていましたので、説明します。
公開鍵暗号であるBoneh Franklin IBE(Id Based Encryption)をベースにしています。
しかしここでは、公開鍵暗号として使うのではなく、非対称鍵暗号として使う方式の提案です。
IBEでは,秘密鍵生成センター(PKG)と呼ばれる信頼出来る1つの機関を考えます。鍵預託問題はおそらくIBEの根本的な問題なので、この議論は後でしたいと思います。
e()は、G1 × G1 → G2 の双線形写像です。
ここで、G1,G2 を大きな素数q を位数とする巡回群とし、G1 は加法的に、G2 は乗法的に表現します。
P,Q∈G1, a,b∈Z/Zq に対し,
e(aP,bQ) = e(P,Q)^(ab) == e(bP^aQ)が成り立ち、これはBilinear Diffie-Hellman(BDH) 問題に基づいて安全性が仮定されています。
このような議論ができて大変うれしいです。
まず前提が抜けていましたので、説明します。
公開鍵暗号であるBoneh Franklin IBE(Id Based Encryption)をベースにしています。
しかしここでは、公開鍵暗号として使うのではなく、非対称鍵暗号として使う方式の提案です。
IBEでは,秘密鍵生成センター(PKG)と呼ばれる信頼出来る1つの機関を考えます。鍵預託問題はおそらくIBEの根本的な問題なので、この議論は後でしたいと思います。
e()は、G1 × G1 → G2 の双線形写像です。
ここで、G1,G2 を大きな素数q を位数とする巡回群とし、G1 は加法的に、G2 は乗法的に表現します。
P,Q∈G1, a,b∈Z/Zq に対し,
e(aP,bQ) = e(P,Q)^(ab) == e(bP^aQ)が成り立ち、これはBilinear Diffie-Hellman(BDH) 問題に基づいて安全性が仮定されています。
サントさん
なるほど、そうですね。
受信者側でいつでも鍵が作れるため、
あたかも送信者側で作ったような暗号文が作れるので、
否認防止にはならないということですね。
それでは、6番目のコメント(2008年11月01日 19:5)に間違いを発見しました。
>?送信用乱数rと送信対象であるBのIDから暗号文c1を生成
>c1=r・H1(B)
正しくは
「?送信用乱数rと自分のID(A)から暗号文c1を生成
c1=r・H1(A) 」
です。
c1=r・H1(A)をc1=r・H1({A||秘密の情報})みたいな事で解決できないかなとふと思いました。(「||」は文字列の連結と思ってください)
しかし、こうすると
PriA||秘密の情報の作成と、受信者のPriBの選択に問題がでてきそうです。
IDベース暗号と否認防止の方法について、
もう少しいろいろと考えて見ます。
なるほど、そうですね。
受信者側でいつでも鍵が作れるため、
あたかも送信者側で作ったような暗号文が作れるので、
否認防止にはならないということですね。
それでは、6番目のコメント(2008年11月01日 19:5)に間違いを発見しました。
>?送信用乱数rと送信対象であるBのIDから暗号文c1を生成
>c1=r・H1(B)
正しくは
「?送信用乱数rと自分のID(A)から暗号文c1を生成
c1=r・H1(A) 」
です。
c1=r・H1(A)をc1=r・H1({A||秘密の情報})みたいな事で解決できないかなとふと思いました。(「||」は文字列の連結と思ってください)
しかし、こうすると
PriA||秘密の情報の作成と、受信者のPriBの選択に問題がでてきそうです。
IDベース暗号と否認防止の方法について、
もう少しいろいろと考えて見ます。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
暗号理論 更新情報
-
最新のイベント
-
まだ何もありません
-
-
最新のアンケート
-
まだ何もありません
-
暗号理論のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 広島東洋カープ
- 55345人
- 2位
- mixi バスケ部
- 37846人
- 3位
- 千葉 ロッテマリーンズ
- 37151人