解密服務(wù)提供裝置、處理裝置、安全性評價裝置、程序以及記錄介質(zhì)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù),尤其,涉及用于限制能夠?qū)Ρ患用艿男畔⑦M行解密而利用的關(guān)系者的、密鑰管理技術(shù)。
【背景技術(shù)】
[0002]當(dāng)前,為了對通過一般的技術(shù)而被加密的信息進行解密,采用使用用于對加密進行解密的密鑰,從密文直接計算明文的方法(例如,參照非專利文獻I)。
[0003]但是,在該方法中,在對關(guān)系者轉(zhuǎn)告一次密鑰之后情況發(fā)生變化,想要關(guān)于該關(guān)系者禁止基于該密鑰的解密時,不能強制禁止加密的解密。
[0004]因此,考慮如下方法:代替對關(guān)系者分配密鑰,而是保持在能夠信任的服務(wù)器裝置的內(nèi)部,服務(wù)器裝置對關(guān)系者的請求提供解密服務(wù)。將這樣的方法稱為云密鑰管理型加密。在該方法中,由于不對利用者直接轉(zhuǎn)告用于對加密進行解密的密鑰,所以期待通過停止解密服務(wù),應(yīng)能夠停止利用者使用被加密的數(shù)據(jù)。
[0005]現(xiàn)有技術(shù)文獻
[0006]非專利文獻
[0007]非專利文獻l:Taher Elgamal, A Public-Key Cryptosystem and a SignatureScheme Based on Discrete Logarithms, IEEE Transact1ns on Informat1n Theory, v.1T-31, n.4,1985,pp.469-472or CRYPTO 84,pp.10-18,Springer-Verlag.
【發(fā)明內(nèi)容】
[0008]發(fā)明要解決的課題
[0009]在內(nèi)部保持密鑰而提供解密服務(wù)的情況下,根據(jù)加密方式,利用者會重復(fù)利用解密服務(wù),從而獲得對加密進行解密的能力,即使停止解密服務(wù),也有可能不能停止利用者利用被加密的數(shù)據(jù)。這樣的云密鑰管理型加密在安全性上存在問題。
[0010]本發(fā)明是鑒于這樣的點而完成的,其目的在于,提供一種提高云密鑰管理型加密的安全性的技術(shù)。
[0011]用于解決課題的手段
[0012]保持元(element)的位數(shù)(order)的算出在計算量上困難的半群(semigroup)上的遵照ElGamal加密方式的私鑰,被輸入與遵照該ElGamal加密方式的密文對應(yīng)的信息,使用私鑰s遵照ElGamal加密方式對與密文對應(yīng)的信息進行解密,獲得與密文的解密結(jié)果對應(yīng)的信息并輸出。
[0013]發(fā)明效果
[0014]通過使用本發(fā)明,能夠抑制利用者通過重復(fù)利用解密服務(wù)而獲得對加密進行解密的能力,能夠提高云密鑰管理型加密的安全性。
【附圖說明】
[0015]圖1是用于說明第一實施方式的安全系統(tǒng)的結(jié)構(gòu)的框圖。
[0016]圖2是用于說明第一實施方式的解密服務(wù)提供處理的流程圖。
[0017]圖3是用于說明第二實施方式的安全系統(tǒng)的結(jié)構(gòu)的框圖。
[0018]圖4是用于說明第二實施方式的安全性評價處理的流程圖。
[0019]圖5是用于說明第三實施方式的安全系統(tǒng)的結(jié)構(gòu)的框圖。
[0020]圖6是用于說明第三實施方式的處理裝置的結(jié)構(gòu)的框圖。
[0021]圖7是用于說明第三實施方式的解密服務(wù)提供裝置的結(jié)構(gòu)的框圖。
[0022]圖8是用于說明第三實施方式的處理裝置的處理的流程圖。
[0023]圖9是用于說明第三實施方式的解密服務(wù)提供裝置的處理的流程圖。
【具體實施方式】
[0024]說明本發(fā)明的實施方式。
[0025]< 原理 >
[0026]說明在各實施方式中共同的原理。在各實施方式中,在能夠信任的解密服務(wù)提供裝置的內(nèi)部保持密鑰,解密服務(wù)提供裝置對關(guān)系者的請求提供解密服務(wù)(云密鑰管理型加密)。其中,使用元的位數(shù)的算出在計算量上困難的半群(例如,可換半群或有限可換半群)H,使用采用了該半群H上的ElGamal加密作為加密方式的解密服務(wù)。以下,敘述該解密服務(wù)安全的理由。
[0027][ElGamal 加密方式]
[0028]接著,說明半群H上的ElGamal加密。ElGamal加密是將半群H的某可逆元設(shè)為g e H,關(guān)于隨機選擇的私鑰s e Zq,將公鑰設(shè)為y = g_se H的加密方式,明文m e g的密文通過(Cl,c2) = (m - yr, gr) e H2而提供。r e Z ,是在加密的過程中決定的隨機數(shù),Z ,是基于q的商群,q是半群H的位數(shù)(正整數(shù),例如質(zhì)數(shù)),β e H表示β為半群H的元,“.”表示在半群H中定義的運算。為了對密文(ci,c2)進行解密,使用私鑰s而計算m’ =C1.C2sG H 即可。
[0029]使用了 ElGamal加密的解密服務(wù)裝置安全地保持私鑰S,在利用者每次輸入密文(C1, C2)時,對該密文(Cl,C2)進行解密而輸出解密結(jié)果m’。此時,解密服務(wù)裝置也可以通過認證部件來確定利用者,使用存儲了能夠正當(dāng)接受解密服務(wù)的利用者的認證數(shù)據(jù)庫,判定是否對利用者進行解密服務(wù)之后輸出解密結(jié)果。
[0030][對于使用了ElGamal加密的解密服務(wù)裝置的攻擊]
[0031]使想要利用使用了 ElGamal加密的解密服務(wù)裝置而提取私鑰s的攻擊者即多項式時間概率的算法B進行定型化。關(guān)于被提供的公鑰y = g_s,B如下進行攻擊。
[0032]1.B 關(guān)于 i = 1,2,3,...,u(其中,u 為正整數(shù))生成密文 c (i) = (C1 (i),C2Q)),并分別輸入到解密服務(wù)裝置,獲得解密結(jié)果w a) = C1(I).(^αΓ。
[0033]2.B —邊使用c(i)以及w(i)的信息一邊計算,輸出成為y = gi的a e Z q0
[0034]假設(shè)存在在上述攻擊中成功的B。作為攻擊者的任意的多項式時間概率的算法A能夠通過如下方法,使用B來計算半群H的元g的位數(shù)。其中,k為正整數(shù)的安全參數(shù)。
[0035]1.A關(guān)于i = 1,2,3,…,3k執(zhí)行如下而獲得β i0
[0036](a)作為半群H的元至多不過由L比特來表現(xiàn),A隨機地選擇比L充分長的比特串入,把將λ作為二進制數(shù)來解釋的值設(shè)為私鑰S。
[0037](b) A計算y = g_s,并將其設(shè)為公鑰。
[0038](c) A使用B而獲得成為y = 的α。若中途從B有解密請求,則A使用s進行解密并提供給B。
[0039](d)A 設(shè)為 β J= s- α。
[0040]2.A計算β P β 2,...,β &的最大公約數(shù)。
[0041]A消除至多不過0(2_k)左右(O-描述法)的能夠忽略的概率,輸出元g的位數(shù)η。以下,說明其理由。由于I = g_s= g_°,所以關(guān)于各i為gPl= I (上標(biāo)的β i表示β )。因此,β i為半群H的元g的位數(shù)η的整數(shù)倍。由于s被隨機地選擇,所以成為β i= nr』勺整數(shù)A是隨機的。r piv...,1*315的最大公約數(shù)不會成為I的概率能夠使用黎曼(Riemann)的ξ (zeta)函數(shù)而評價,能夠證明至多不過0(2_k)以下(該證明例如在以下文獻中記載:山本剛、小林鐵太郎、“關(guān)于對于同態(tài)映射的自校正(準(zhǔn)同型寫像C対才6自己訂正C
T )”、數(shù)論應(yīng)用、SCIS2010)。因此,β2,...,β31?的最大公約數(shù)成為元g的位數(shù)η。這樣,若對于使用了 ElGamal加密的解密服務(wù)裝置的上述的攻擊成功,則能夠計算半群H的元g的位數(shù)。若該對位(contrapisit1n)也為真,半群H的元g的位數(shù)的算出困難,則進行對于使用了 ElGamal加密的解密服務(wù)裝置的上述的攻擊也是困難的。
[0042]元的位數(shù)的計算困難的半群例如有如下的例。將N設(shè)為質(zhì)因數(shù)分解困難的數(shù),考慮剩余環(huán)R = Z/NZ。已知計算R的乘法群的元的位數(shù)與對N進行質(zhì)因數(shù)分解同等困難(該證明例如在以下文獻中記載:G.Miller, “Riemann,s hypothesis and tests forprimality,,,Journal of Computer Systems Science, vol.13,pp.300-317,1976.)。艮P,作為元的位數(shù)的計算困難的半群,例如能夠使用將N作為除數(shù)的剩余環(huán)R = Z/NZ的乘法群。此外,作為其他的例子,有上述的環(huán)R上的橢圓曲線。通常的橢圓曲線在實體上構(gòu)成,但若將其運算規(guī)則形式上應(yīng)用到環(huán)R上,則與橢圓曲線相同地結(jié)合法則成立,構(gòu)成半群。若將其用作H,則從H提取的隨機的元以非常高的概率成為可逆元。在將其用作元g時,可知計算元g的位數(shù)與計算N的質(zhì)因數(shù)分解同等困難(該細節(jié)例如在以下文獻中記載:LenstraJr., H.ff., “Factoring integers with elliptic curves,,,Annals of Mathematics126(3):649-673, 1987.)。即,作為元的位數(shù)的計算困難的半群,例如能夠使用由上述的環(huán)R上的橢圓曲線上的點(有理點)構(gòu)成的半群。元的位數(shù)的計算困難的半群例如是為了解開因數(shù)分解問題而進行元的位數(shù)的計算困難的半群。某計算或問題“困難”意味著,不能在多項式時間內(nèi)獲得其計算結(jié)果或解。即,“元的位數(shù)的算出在計算量上困難的半群”意味著,例如不能在多項式時間內(nèi)進行元的位數(shù)的算出的半群?!霸奈粩?shù)的算出在計算量上困難的半群”既可以是存在逆元的半群,也可以是不存在逆元的半群。此外,“元的位數(shù)的算出在計算量上困難的半群”例如也可以是么半群(monoid)(具有單位元的半群)?!岸囗検綍r間”意味著,例如能夠通過私鑰s的尺寸(長度)的多項式來表現(xiàn)的時間(計算時間)。換言之,“多項式時間”意味著,例如能夠通過關(guān)于在將私鑰s的長度(例如,比特長)設(shè)為