WO1995024708A1 - Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles - Google Patents
Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles Download PDFInfo
- Publication number
- WO1995024708A1 WO1995024708A1 PCT/JP1995/000367 JP9500367W WO9524708A1 WO 1995024708 A1 WO1995024708 A1 WO 1995024708A1 JP 9500367 W JP9500367 W JP 9500367W WO 9524708 A1 WO9524708 A1 WO 9524708A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- user
- encryption
- provider
- sentence
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Definitions
- the information provider when an information provider provides information requested by a user using a telecommunications system, the information provider authenticates the user's legitimacy by user authentication. Objections, such as ensuring that the information requested by the user is delivered to the user and not receiving the information requested by the user at a later date. In the event of a stand, it is intended to ensure that the information provider delivers the requested information to the user and that the user is able to prove the fact that he or she is receiving it. However, it relates to information delivery methods and systems that are particularly useful for paid information provision services and delivery certification services. Background art
- typical authentication methods include a user authentication method that checks the validity of a system user and a message that proves that information is legitimate.
- a digital authentication method and a digital signature method in which the information creator assures that the information created by combining these methods is legitimate.
- the user authentication method, message authentication method, and digital signature method will be briefly described with reference to the respective figures. Clarify.
- Figure 1 A is a user typical Oh Ru F iat Sha 1 3 ⁇ 4 mir method in the example of the authentication method (A. Fiat and A. Shamir: How to prove you rse 1 im practical solutions to identif ication and si gnat ure problems " , Proc. Of Crypto '86, 1986.5 and rice
- FIG. 1 is a conceptual diagram of an authentication method according to Japanese Patent No. 4.748, 668).
- N ( p q: p and q are
- S, p, and q are the prover's secret information.
- the prover first generates a random number R.
- the probability that the verification equation can be cleared is (l z s t). Therefore, if the authentication is successfully completed at a sufficiently large t, the verifier obtains the secret information s from the verifier (certifier).
- this authentication method is generally called an authentication method based on a proof of knowledge, and the certifier informs the verifier only of the fact that he possesses the secret information S. There is a merit that no other contents of the secret information s will be leaked.
- the Fiat Shamir method has a problem that the communication history between the prover and the verifier does not become proof that the verifier has authenticated the prover at a later date. It was. Therefore, as a solution to this problem, an authentication method by Sakurai (Japanese Patent Application Laid-Open No. 5-123231) has been proposed. According to this authentication method, even after the verifier has authenticated the prover, there is evidence that the verifier has authenticated the prover.
- FIG. 1B is a conceptual diagram of an authentication method using an authenticator method, which is an example of message authentication.
- the prover who wants to send the message M uses the hash function h that uses the secret key K h as a parameter to send the message M.
- An authenticator h k (M) for the message M is created, and the authenticator is transmitted to the verifier, which is a transmission partner, together with the message M.
- the verifier secretly keeps the same secret key K as the prover in advance.
- you are sharing, received Message from the force to create the authenticator to cormorants'm the same as the al above and have use a secret key ⁇ h, be collated inspection and certification Akashiko received . If this verification is successful, the validity of the received message is guaranteed.
- This is the authenticator not positively against the secret key ⁇ h inform that only lever, to any of the main Tsu cell one hemorrhoids Ru Oh in order to have Na can be created.
- the above-mentioned user authentication and message authentication together have the primary purpose of preventing fraudulent acts by a third party in principle.
- Successful authentication is guaranteed only to the point that the certifier is the owner of the genuine confidential information, i.e., unauthorized use by a third party. It is the only thing that has not been done, and it is the responsibility of the third party to guarantee that the message was successfully verified in the message authentication. It is simply that no fraudulent acts, such as falsification of messages, have been committed. Therefore, both of the above two authentication methods are basically only effective against third-party misconduct, and are not valid for the prover or the verifier. The disadvantage is that it has no effect on fraudulent activities.
- Figure 1C shows an example of a digital signature RSA signature ⁇ £ (R. Shivest, A. Shamir. L. Adleman, "A method for obtaining digital signatures and publish- key cry ptosystem ", Comm. ACM, vol.21, No.2, 1978.2).
- the information provider shall reliably provide the information requested by the user, and provide a delivery certificate for assuring that the user has received the provided information.
- the information provider can provide proof of the communication history and other information to the mediator, as necessary, to prove all of (1) to (3).
- the purpose of the present invention is that when a required message is transmitted from an information provider to a user (including a card, a user terminal, and the like), the conventional method is sufficient.
- One aspect of the present invention is to provide an information delivery method and a system using a zero-knowledge proof protocol capable of satisfying all requirements.
- the information provider sets the (B) The process of authenticating the user with the power of the knowledge certification protocol and the information provider delivering the information M to the user by the zero knowledge certification protocol.
- An information distribution which is characterized in that the process of recording and managing the communication history data H of the protocol is performed simultaneously. Method Ru is provided.
- the system includes at least a user terminal and an information provider terminal, and the user terminal is connected to the information provider terminal.
- User communication control means for controlling communication of the user, user secret information storage means for storing secret information to be kept secret by the user, random number generation means for generating random numbers, and the user User response means for generating an initial response sentence communicated via the communication control means and the response sentence based on the secret information and the random number; and wherein the information provider terminal is connected to the user terminal.
- Information provider communication control means for controlling communication of the information provider, an information database for storing information to be provided to users via the information provider communication control means, and the information provider communication User authentication via control means
- an information delivery system characterized by having a verification means for performing the following.
- a system including at least a user terminal and an information provider terminal, wherein the user terminal is connected to the information provider terminal.
- User communication control means for controlling communication of the user, user secret information storage means for storing secret information that the user should keep secret, and information provider via the user communication control means
- a user common key encryption means for performing cryptographic communication with the terminal, a random number generation means for generating a random number, an initial response sentence and a response sentence transmitted via the user communication control means;
- An information provider terminal comprising: a user operation means for generating a secret key; and an information storage means for storing information distributed from the information provider via the user communication control means. Is an information provider that controls communication with user terminals.
- Communication control means an information database for storing information to be provided to users via the information provider communication control means, and an information provider for generating a secret key and an inspection statement
- a computing means for generating a secret key and an inspection statement
- An information provider common key encryption means for performing cryptographic communication with the user terminal via the information provider communication control means
- a user via the information provider communication control means An information delivery system characterized by having a verification means for performing authentication of the information is provided.
- Figure 1A shows a user authentication method using the conventional Fiat Shamir method.
- Figure 1B is a conceptual diagram showing a message authentication method using the conventional authenticator method.o
- Fig. 1C is a conceptual diagram showing a digital signature method using the conventional RSA signature method.
- FIG. 2 is a block diagram showing a configuration example of the information delivery system according to the first embodiment of the present invention.
- FIG. 3 is a flowchart showing the operation procedure of the information delivery system shown in FIG.
- Figure 4 is a schematic diagram showing an example of delivery information used in the information delivery system shown in Fig. O
- FIG. 5 is a block diagram showing a configuration example of an information delivery system according to the second embodiment of the present invention.
- Fig. 6 is a flowchart showing the operation procedure of the information delivery system shown in Fig. 5.
- FIG. 7 is a block diagram showing a configuration example of an information delivery system according to the third embodiment of the present invention.
- Fig. 8 is a flowchart showing the operation procedure related to the delivery confirmation of the information delivery system shown in Fig. 7.
- Fig. 9 is a flowchart showing the operation procedure related to the arbitration of the information delivery system shown in Fig. 7 o
- FIG. 1 is a block diagram showing a configuration example of an information delivery system according to a fourth embodiment of the present invention.
- Fig. 11 is a flow chart showing the operation procedure related to the delivery confirmation and information extraction of the information delivery system shown in Fig. 10. Yes o
- Fig. 12 is a flowchart showing the operation procedure related to the arbitration of the information delivery system shown in Fig. 1 1.
- FIG. 13 is a block diagram showing a configuration example of the information delivery system according to the fifth embodiment of the present invention.
- Fig. 14 is a flowchart showing the operation procedure of the information delivery system shown in Fig. 13 o
- FIG. 15 is a block diagram showing a configuration example of the information delivery system in the sixth embodiment of the present invention.
- Fig. 16 is a flowchart showing the operation procedure of the information delivery system shown in Fig. 15 ⁇
- FIG. 17 is a block diagram showing a configuration example of the information delivery system according to the seventh embodiment of the present invention.
- FIG. 18 is a flowchart showing an operation procedure of the information delivery system shown in FIG. 17 relating to information delivery, delivery confirmation, and information extraction.
- Fig. 19 is a flow chart showing the operation procedure related to the arbitration of the information delivery system shown in Fig. 17.
- FIG. 20 is a schematic diagram showing the configuration of an information delivery request sentence used in the information delivery system shown in FIG.
- Fig. 21 is a schematic diagram showing the configuration of the communication history used in the information delivery system shown in Fig. 17 o
- FIG. 22 is a block diagram showing a configuration example of the information delivery system according to the eighth embodiment of the present invention.
- Figure 23 shows the information delivery of the information delivery system shown in Figure 22.
- Fig. 24 is a flowchart showing the latter half of the operation procedure related to information delivery, delivery confirmation 5 ', and I-hoho retrieval of the information delivery system shown in Fig. 22.
- FIG. 25 is a flowchart showing an operation procedure relating to the arbitration of the information delivery system shown in FIG.
- FIG. 26 is a block diagram showing a configuration example of the information delivery system according to the ninth embodiment of the present invention.
- Figure 27 shows the information delivery and delivery confirmation of the information delivery system shown in Figure 26.
- Fig. 28 is a flowchart showing the latter half of the operation procedure for information delivery and delivery confirmation information retrieval of the information delivery system shown in Fig. 26.
- FIG. 29 is a flowchart showing an operation procedure relating to arbitration of the information delivery system shown in FIG. 26.
- FIG. 2 is a diagram showing a configuration example of the information delivery system according to the first embodiment of the present invention.
- 1 is a card owned by the user
- 11 is a secret information storage means for storing secret information unique to the card
- 12 is a zero-knowledge certification program.
- the random number generator used in the protocol, 13 implements the protocol. Intends rows example in required computation will you row calculating means 1 4 providing information's power, resistance etc. Any means of storage means der Ru 7 by your teeth Re et that records information et IC It is built on the evening damper and is physically safe.
- Reference numeral 2 denotes a fixed user terminal used by the user.
- 1 is a card insertion means
- 2 is a storage means for storing information from an information provider
- 23 is a utilization means using information
- 24 is a communication with the information provider.
- 3 1 is an information storage means for storing delivery information
- 3 2 is an information dividing means for dividing delivery information to create a set of check statements
- 3 3 is a verification method for verifying the knowledge protocol
- History management means 3 5 is communication control means for communicating with user terminals.
- Figs. 3 and 4 an information delivery method using the zero-knowledge proof protocol in the system shown in Fig. 2 is shown in Figs. 3 and 4.
- the Fiat Shamir method is used as the protocol for the knowledge proof, and the preparatory stage requires the trust.
- the user sets ⁇ , Q, ⁇ , I, and s for each user, publishes ⁇ and I as public information of the user, and sets s as the secret of the user.
- the secret information storage means 1 of card 1 is stored and distributed to users.
- the user inserts his / her card 1 into the card insertion means 2
- the information provider divides the information encryption secret key W stored in the information storage means 31 into the information division means 3 2 t 1 -g as shown in the delivery information 50 shown in FIG. It is divided for each bit, and a set of check statements ej composed of g bits is created (S2).
- Z g are to be created, i is 1 power, up to g, j is 1 up to,, / g.
- the information provider that has received X j via the communication control means 35 transmits the j-th set of inspection statements e ji to the force 1 via the communication control means 35 (S5).
- the provider uses the information dividing means 3 2 Be regarded as delivery of the set to Baie Te transmission is Tsu also the time of completion information for encryption secret key W of has been completed; formed the L w / g number of inspection statement ej
- the use means 23 decrypts the encrypted message W (m) stored in the storage means 22 using the transferred information encryption private key W. Then, it is possible to obtain the message m (S14).
- the above explanation is to ensure that the necessary information has been delivered to the user and that the information provider can confirm that the information has been recorded on the user's card.
- the message m is paid information such as a literary work
- the W (m) encrypted with the information encryption private key W is transmitted to the user in advance. Then, it is recorded on a medium such as a CD-ROM and distributed, and then the information provider transmits the information encryption private key W by the above-mentioned delivery method.
- the information provider can use the history management means 3.
- the communication history recorded and managed in 4 can be used.
- the mail content m is encrypted with a secret key W for information encryption in an electronic mail, and W (m) is transmitted to the delivery destination in advance.
- the e-mail administrator sends the secret key W for information encryption to the delivery destination by the above-mentioned delivery method to the e-mail administrator.
- Various uses are possible, such as being used for proof of delivery.
- a zero-knowledge proof protocol is used as a method of authenticating a user by an information provider. Therefore, even if the purpose and conventional ability of the zero-knowledge proof protocol, their ability to use, and the
- the delivery information is included in the inspection statement of the Zero Knowledge Certification Protocol, and the delivery is performed. If the zero-knowledge proof protocol is completed successfully, the inspection statement, that is, the delivery information, that is, the delivery information is received and recorded on the card without error, and the appropriate processing is performed. It will be. Also, if the verification of the information provider fails on the way, the subsequent authentication will be aborted and the remaining inspection statements will not be delivered, so the user will know The delivery information that can be obtained is limited to the information before the verification failed.
- the communication history (the Xi, the Yi, and the inspection sentence eji)
- the information provider can confirm the information
- the user should have received the delivery information together with the second effect, and the delivery information should have been recorded in the card storage means 14. .
- This is achieved by collating the communication history disclosed by the information provider with the delivery information recorded on the card submitted by the user. It is possible to determine whether or not is in a state in which the secret key W for information encryption can be generated. In this case, if the user power and the card are not submitted, it is determined that the information encryption private key W can be generated.
- the information provider discloses the communication history in response to an unjustified claim that the user has not received the delivery information even though the authentication has been successfully completed. It can also be countered by requiring users to submit their card.
- the method of generating the check statement e ”i is not limited to simply generating the delivery information by dividing it, but also adding dummy information or encrypting it. It is also possible to generate by doing.
- the card in to Oh et al force, Ji because the set Tei Ru secret information, also rather is accumulated remove the inspection sentence e M or et al autonomously in Da Mi over information, Ru Oh Or, by providing the function of restoring the original delivery information by performing decryption, the delivery information can be restored unless the knowledge proof is normally terminated.
- FIG. 5 is a block diagram showing a configuration of an information delivery system according to a second embodiment of the present invention, where 10 is provided with information from an information provider terminal 20.
- the user's terminal user terminal
- 100 ⁇ is a communication control means for controlling the communication line 30
- 101 is a user secret information storage for storing user secret information Means
- 1 ⁇ 2 is temporary memory for temporarily storing information required by the user
- 103 is for the user to generate random numbers
- 104 is an arithmetic means that has the function of completing the necessary operations by the user
- 105 is an encryption using a common key encryption method (for example, DES, F ⁇ AL).
- 106 is an information output / use means for outputting or using the information received by the user
- Reference numeral 20 denotes a terminal of an information provider (information provider end tree) that provides information
- reference numeral 200 denotes a communication terminal for controlling the communication line 3 (1 control means
- 201 denotes an information provision terminal
- 202 is the information database where the information to be provided is stored
- 203 is the information required by the information provider.
- the verification means 30, which verifies the validity of the communication sequence based on the iat Shamir method, is a communication line that connects the user and the information provider by communication.
- a trusted center sets ⁇ 1, q1, I, and s for each user, and N1 and I are used as public information of the user. Then, s is stored in the user secret information storage means 101 as user secret information, and is distributed to the user in secret.
- a system secret key s K is set between each information provider and each user, and the user secret information storage means 101 and the information provider secret information storage means 200 are set.
- Register in 1 This system secret key SK is not necessarily different for each information provider and each user, but in terms of system design, One or more types of system secret keys may be used by multiple users as a common key for the entire system.o
- the user terminal 10 generates g random numbers R 1 ⁇ 2,..., G) by the random number generation means 1 ⁇ 3, and stores them in the temporary memory 102 (s 101). Then, for each random number, the initial response R 2
- the information provider terminal 2 ⁇ receives the initial response sentence X i (i
- the information M to be delivered to the user terminal 1 ⁇ is extracted from the information database 202 (S 105), and the information provider secret information is obtained.
- the system secret key SK stored in the storage means 2-1 is used as a secret key, and the encrypted text CESK (M) encrypted by the common key encryption means 205 is transmitted to the communication line 30.
- the user terminal 10 stores the received ciphertext C in temporary memory 1 Then, the data is stored in the hash function h, which is a g-bit information compression function, using the ciphertext C in the arithmetic means 104.
- the check statement ei h (C) (
- the information provision 3 ⁇ 4 ⁇ ⁇ 20 temporarily stores the received response sentence Y i (i 2,...,) in the memory 203 (S 1 1 1), and then sends it to the arithmetic means 204.
- the user terminal 1 shares the ciphertext C stored in the temporary memory 102 with the system secret key SK stored in the user secret information storage means 101 as a secret key.
- Successful completion of the delivery confirmation step using the information delivery method described above means that the user authentication by the zero knowledge proof protocol was successfully performed.
- the information provider can confirm that the information has been delivered to the user accurately and reliably.
- the encryption and Z-decryption are performed by using the common key encryption method.
- the public key encryption method may be used.
- the Fiat Shamir method was explained based on the extended Fiat Shamir method (Ichika Ota, "Extension of the Fiat-Shamir method to higher orders", IEICE).
- Technical research report ISEC 8 8-13 All zero-knowledge dialogue proof prototypes based on security based on the difficulty of factorization or discrete logarithm problem Applicable to call
- FIG. 7 is a block diagram showing the configuration of the information rooster transmission system according to the third embodiment of the present invention, where 10 is an information provider and 20 is an information provider.
- a terminal (user terminal) of the user who receives the information is shown.
- the configuration means is the same as that of the second embodiment shown in FIG. Terminals are shown, and the configuration means from 200 to 206 is the same as that of the second embodiment, and 2007 is used for a plurality of blocks of an arbitrary information bit length.
- the information division means for dividing and accumulating the information, 208 is a communication history file for self-recording and managing the communication history as evidence to prove the fact that the information was delivered to the user. is there .
- ⁇ 30 indicates a communication line as in the second embodiment.
- o 40 indicates a neutral communication history recorded and managed by the information provider in the communication history file 208 at a later date.
- An arbitrator's terminal (arbiter's terminal) that determines the legitimacy of the communication history from the standpoint of the user.
- ⁇ 2 is a temporary memory for temporarily storing information required by the arbitrator, and 403 is a verification means for verifying the validity of the communication history requested to be determined.
- And 404 are information dividing means for dividing information into a plurality of blocks having an arbitrary bit length and storing the information.
- the information provider terminal 20 fetches the information M to be delivered to the user terminal 10 from the information database 2 ⁇ 2 (S 1 2 1), and the information dividing means 2 ⁇ 7 divides the information M into a plurality of blocks of an arbitrary bit length size, and forms an information block.
- (S 1 2 2) o which is stored as (i 2,..., m), to simplify the explanation, the number of divided blocks is m, and all blocks are m.
- the bit length is fixed at 3 ⁇ 4 ⁇ .
- the following processing is for the j-th block, and the following processing is performed for each block from the first block power to the m-th block. Is sequentially (m times) repeated.
- the information provider terminal 20 receives the encrypted initial response sentence Ch
- the system private key S K stored in the means 201 is kept secret.
- the initial response sentence is
- the system secret key SK stored in the information provider secret information storage means 201 is used as the secret key for X and the information division means 200
- a ciphertext block C B obtained by encrypting the stored information block M B, using the common key encryption means 205.
- the user terminal 10 receives the ciphertext block C B
- the information block MB is output, and at the same time, the initial response sentence X stored in the information block MB and the temporary memory 102 by the arithmetic means 1-4 is calculated.
- u (i 1, 2,..., g) and the check statement e by the one-way random hash function h.
- the information provider terminal 20 receives the response message Y
- the response sentence x u (, 2,..., g ) and the information block MB j stored in the information dividing means 207 are ffl, and the —directional random hash function h Inspection sentence e
- the information provider terminal 20 would have the communication history H recorded and managed in the communication history file 208. And store it in the temporary memory 4 ⁇ 2 of the arbitrator terminal 40 (S1 4 1) o
- the information is stored in the public information I of the user terminal 10 and the temporary memory 402 in the arithmetic means 401. Inspection sentence in communication history H e U and response
- the verification means A force that matches the check sentence e U "2, ... g) in the communication history H stored in the temporary memory 402 in the memory 103. (S1445) If all blocks (m blocks from the 1st block to the mth D block) match, then S 1 4 6), the validity of the M communication history H is guaranteed (S 1 4 7) ⁇ Otherwise, the communication history H becomes invalid (S 1 4 8) o
- Fiat Shamir method was also explained based on the extended Fiat Shamir method (Ichika Ota, "Extension of the Fiat-Shamir method to higher orders"), IEICE Technical Report ISEC Supports all zero-knowledge interactive proof protocols based on safety based on difficulties such as prime factorization or discrete logarithm problems, such as 8 8-13) Is possible.
- information ⁇ force, in relation to ⁇ communication history et ing is zero (B) Since the verification formula in the knowledge proof protocol and the —directional random hash function are related to each other, some of them are tampered with illegally. For example, it is impossible to forge the communication history ⁇ . Therefore, by keeping a record of the communication history ⁇ , it is possible to provide a proof that the user has received the information ⁇ ⁇ without fail. Can be presented to potential third parties.
- the information provider records and manages the communication history H that proves that the information provider has delivered the information M to the user by performing an illegal act so as not to send the response sentence itself. Despite this, it is possible for the user to gain the entire information M illegally and to have the power to do so.
- the blocks to be divided are set such that the bit length of each block is constant at g, but for example, the first block is one bit. Even if the bit length size is changed for each block, such as 2 bits for the 2nd block and 4 bits for the 3rd block, it is natural. I do not care .
- the above explanation can prove that the information provider has correctly and reliably delivered the information M to the user.
- pay information such as a copyrighted work is referred to as information M.
- information M pay information
- the information provider delivers the information M to the user by the above information delivery method.
- Information provider The communication history H that is recorded and managed by the company can not be used as proof information for collecting information fees such as royalty fees or the sales price of software. It can be used in various ways
- FIG. 10 is a block diagram showing the configuration of an information delivery system according to a fourth embodiment of the present invention, where 10 is an information provider terminal 20 which provides information.
- the terminal (user terminal) of the receiving user is shown.
- the configuration is the same as that of the second embodiment up to 106 input devices, and 106 is the same as in the second embodiment.
- RSA public key encryption means for performing encrypted communication by E1Gama 1
- 108 is an information reconstructor that reconstructs the divided block information into the original information Means 109 is an information storage means for storing information received from the information provider.
- Reference numeral 20 denotes an information provider terminal (information provider terminal) that provides information. From 20 ° to 208, the configuration is the same as that of the third embodiment.
- a means for generating random numbers for an information provider to generate random numbers, and 210 is a public key encryption means for completing cryptographic communication by a public key encryption method.
- Reference numeral 3 denotes a communication line as in the second embodiment.o 40 denotes an arbitrator terminal.From 401 to 404, the configuration is the same as that of the third embodiment. 405 is a public key encryption means for performing encryption by a public key encryption method
- a reliable center sets P1, q1, 1, s, p2, q2, PU, and SU for each user.
- N 1, N 2, I, and PU are published as the user's public information (public key), and s, SU are used as the user's secret information (secret key). And distribute it secretly to users.
- the random number generation means 2 9 randomly generates a random number sentence Z and temporarily stores it in the temporary memory 203 (S155) o
- the value of g is the common key encryption means 0 5 and the common key. It is equal to or longer than the length of the secret key used in the encryption means 205.
- the information M to be delivered is extracted from the information database — evening base 202 (S157).
- the information encryption secret key W 1, 2,
- the ciphertext C is transmitted to the user terminal 1 ⁇ via the circuit 3 ((S 158) o
- the user terminal 10 is After storing the sentence C in the information storage means 109, the fact that it has been received is notified to the information providing terminal 20 via the communication line 30 (S155) o
- Check text e i (w, II w 2 PU
- i I 1, 2,, L
- S161 check statement block
- the number of divided blocks is m
- the bit length for all blocks is constant at g
- the divided check statement is a check statement program.
- the following processing is for the k-th block, and is performed for each block from the first block power to the m-th block. The following processing is repeated sequentially (m times).
- the user terminal 10 receives the inspection statement block e B j; k
- the information provider terminal 20 receives the response message Y (j
- the user terminal 10 is connected to the check text block e B jk stored in the —time memory 102.
- the information provider terminal 20 presents the communication history H recorded and managed in the communication history file 208. And accumulates it in the temporary memory 402 of the arbitrator terminal 40 (S1811) o
- the secret key W j h (Z II X 11 "X) for the information encryption of g bit size is obtained by the directional random noise function h of 401.
- the blocks to be divided have the same bit length of g for each block, but for example, the first block is 1 bit, The second block is 2 bits, the third block is 4 bits, and so on. Even if the bit length size is changed, it is not obvious.
- the information provider has correctly and reliably delivered the large volume of information M to the user. If the information is paid information as a ⁇ demand service, '' the information provider delivers the information M to the user by the information delivery method described above, and the information provider becomes Records and management Various uses are possible, for example, the communication history H can be used as proof information for collecting information fees such as royalty fees.
- the operation of the protocol itself is performed. Is equivalent to the zero-knowledge proof protocol for user authentication, and therefore, like the zero-knowledge proof protocol, an unauthorized user can verify the information provider. It is almost impossible to clear.
- the delivery confirmation step is completed successfully, the information provider is correct because the value is equivalent to the successful completion of the zero knowledge proof protocol. It is possible to determine that the user has received the information correctly, and to prevent the eavesdropping of information by a third party by encrypting the information and transmitting it as cipher text, In addition, it is possible to prevent a third party from obtaining useful information for decrypting the information.
- the decryption processing of the ciphertext can be executed separately from the delivery confirmation step.
- a check sentence is generated from information (or a ciphertext that can be decrypted by a user) using, for example, a hash function.
- the third embodiment of the present invention by generating a check sentence using a one-way function, information (or a ciphertext that can be decrypted by a user) and a response can be obtained. It makes it impossible to forge the communication history consisting of the sentence and the inspection sentence.
- the protocol of the information provider fails during the delivery confirmation step due to, for example, use by an unauthorized user, the protocol is immediately used. The execution of the protocol is aborted, and subsequent blocks that fail the verification will not be sent to the user, and as a result, the information (or the user It is possible to prevent unauthorized acquisition of all (decryptable ciphertext).
- the information when a large amount of information is transmitted, first, the information is first transmitted by using a secret key for information encryption generated by an information provider. Because the data is encrypted and sent to the user, the user cannot retrieve the information before the user is authenticated. Second, by confirming the delivery confirmation of only the secret key for information encryption as a check statement, the amount of communication and the processing time for delivery confirmation can be greatly reduced. Third, if the delivery confirmation step is completed successfully, the user can confirm that the inspection statement has been correctly received, and
- performing cryptographic communication 1 ⁇ on a check statement has the same effect as performing cryptographic ⁇ i 1 ⁇ on a private key for information encryption.
- the decryption of the check statement is separated from the delivery confirmation step.
- the protocol is immediately used. Execution is aborted and subsequent blocks that fail the verification will not be sent to the user, and the user who has failed the information provider's verification will not be sent to the user. Cannot obtain only part of the information necessary to decrypt the encrypted information, and as a result, the information itself or the private key for information encryption can be obtained. Since it is impossible to generate the information, it is possible to prevent the unauthorized user from acquiring the requested information 0
- the third and fourth embodiments of the present invention it is possible to record and manage a communication history that cannot be forged as proof that information was actually delivered, which is necessary. Can be presented in response to the request. Furthermore, the amount of information that must be recorded and managed as proof of the fact that the information provider has delivered the information is Sakurai (
- the information provider ensures that the requested information is delivered to the user and that the user receives the information reliably. It is a system that can be checked. In addition, if necessary, the information provider can use the zero-knowledge proof protocol alone as a user authentication method to authenticate and prove the user.0
- the information provided by the information provider is stored, and the user can use the information as needed. It will be a stem.
- system has a function to generate a secret key for information encryption, and the system can deliver information using the secret key for information encryption.
- a neutral mediation body such as a court examines the validity of the communication history with evidential ability, and the assertion of either the information provider or the user is valid. It is a system that can determine whether or not it is.
- FIG. 13 is a block diagram showing the configuration of an information delivery system according to the fifth embodiment of the present invention
- 10 is a block diagram showing the need to deliver information to an information provider. To indicate the user (terminal)
- 100 is communication control means for controlling the communication line 30; 101 is a user secret information storage means for storing and storing user secret information created by the server; Secret key cryptography (for example,
- DES, FEAL symmetric key encryption means for encryption ii.
- 107 is public key encryption means for performing encryption communication using public key encryption method (for example, RSA)
- 109 is an information storage means for storing information delivered from the information provider
- the operation means 106 is an information output Z use means for outputting or using information requested by the user.
- reference numeral 20 denotes an information provider (terminal) that provides information
- 200 denotes communication control means for controlling the communication line 30
- 201 denotes information provided by the center.
- the information provider's secret information storage means for storing the confidential information of the sender
- 205 is a common key encryption means for using 1 ⁇ encryption through a common key encryption method.
- 10 is a public key cryptographic means for ending the encryption by public key cryptography
- 20 is an information database storing information to be provided
- 20 3 is an information database storing information to be provided.
- Temporary memory in which the information provider temporarily stores necessary information, 209 is a random number for the information provider to generate a random number; generation means, 204 is to perform the necessary operation
- the arithmetic means is a verification means for verifying the validity of the communication sequence based on the Fiat Shamir method.
- 30 denotes a communication line that connects the user and the information provider by communication O
- pl, q1, I, sp2, q2, PU, sU are set for each user who can be relied on.
- N 2, I, and PU are disclosed as the user's public information (public key)
- s, SU are used as the user's private information (private key).
- NPCs are published as the information provider's public information (public key), and SC is provided.
- the information provider generates the information encryption private key W (2, g) of g bit size by the random number generation means 209 and stores it in the temporary memory 203 ( S 2 0 1) o '
- the value of g is equal to or longer than the key length of the secret key used in the common key encryption means 1 0 5 2 0 5.
- the information M to be delivered to the user is stored in the information 7 to overnight base 2
- the user After storing the ciphertext C in the information storage means 10, the user notifies the information provider of the reception via the communication line 30 (S 2 ⁇ 5)
- the information provider initializes the encrypted initial response sentence CX i received by the public key encryption means 210 using the secret key s C stored in the information provider secret information storage means 201.
- Response sentence X i CX.
- After decoding to SC (mod N) (i 1, 2 g), store it in temporary memory 203 (S 210) o
- the user uses the secret key SU stored in the user secret information storage means 101 to receive the information by the public key encryption means 107.
- Secret key delivery statement V. and secret key for information encryption W i (i 1
- the information M is first encrypted into the ciphertext C and transmitted to the user, so when the user receives the ciphertext C, the information M Will not be earned.
- the Fiat Shamir method was described based on the extended Fiat Shamir method (Ichika Ota, “Extension of the Fiat-Shamir method to higher levels”), IEICE Technical Report ISEC 88-1. 3), and can be applied to any zero-knowledge dialogue proof protocol based on the security of difficulties such as prime factorization or discrete logarithm problems. .
- FIG. 15 is a block diagram showing a configuration of an information delivery system according to the sixth embodiment of the present invention.
- the system configuration is an information provider (terminal) 20.
- the configuration is the same as that of the fifth embodiment except that the information provider confidential information storage means 201 is not necessary.o
- a reliable sen-sou sets pl, q1, I, s, p2, q2, PU, and SU for each user, and sets N
- the l, N2, I, and PU are published as the user's public information (public key), and s, SU are stored in the user secret information storage means 101 as the user's secret information (secret key). Accumulate and secretly distribute to users.
- the data is transmitted via the communication line 30 (S241).
- the user confirms the received inspection statement e
- the size of the information that must be stored in temporary memory, etc. becomes larger, but a public key encryption method with a slower processing speed is used. Since it only needs to be performed once, a reduction in processing time can be expected.
- FIG. 17 is a block diagram showing the configuration of an information delivery system according to the seventh embodiment of the present invention, where 10 indicates a user (terminal) and a public key cryptosystem. Except that the means 1 to 7 are not required, the configuration means up to 10 outputs and 1 to 9 are the same as in the sixth embodiment. This is an input means.
- Reference numeral 20 denotes an information provider (terminal). Except that the public key encryption means 210 is not required, the configuration means of 200 to 206 and 2009 are the sixth embodiment.
- 2.8 is a communication history file that records and manages the communication history H as evidence that proves the fact that the information has been delivered to the user at a later date.
- 3 ⁇ indicates a communication line that connects the user and the information provider by communication.
- 40 is a communication history H that is recorded and managed by the information provider in the communication history file 208 at a later date.
- the arbitrator (terminal) to be judged is shown.
- 4-2 is temporary memory for temporarily storing information required by the arbitrator, 401 is arithmetic means for performing necessary calculations, 40
- Reference numeral 3 denotes a verification means for verifying the validity of the communication history H for which the determination of validity has been requested.
- a reliable sen-sou sets p1, q1, I, and s for each user, and uses N1 and I as public information of the user. And s is the secret information of the user.
- the information is stored in the user secret information storage means 101 and distributed to users in secret.
- 1 and 91 represent different large prime numbers
- N l plxql.
- the user creates an information delivery request statement RS from the input means 110 for the information desired to be provided to the information provider, and stores it in the temporary memory 102 (S2661). ) After that, it transmits to the information provider via the communication line 30 (S262).
- the information delivery request statement R S is composed of, for example, a request statement, a user identification number, a request information name, a request information code and the like as shown in FIG. FIG. 20 shows the configuration of the information delivery request statement R S.
- the provider and the user may respectively create the same information delivery request statement RS.
- the information provider randomly generates a random number sentence Z by the random number generation means 209 (S263), and temporarily stores the information delivery request sentence RS and the generated random number sentence Z in the temporary memory 20.
- the first one-way random hash function f 1 in the arithmetic means 204 selects the g bit size.
- the value of is generally equal to or longer than the key length of the secret key used in the common key encryption means 1 ⁇ 5, 205.
- the information M corresponding to the code is extracted from the information database 202.
- f and f 2 may be the same function.
- test text e accumulated in the -time memory 102
- the secret key mw (i2, g) stored in the information storage unit 109 is used as a secret key by the common key encryption unit 105 to store it in the information storage unit 109.
- the communication history H recorded and managed in 08 is presented and stored in the arbitrator's hour memory 402 (S21).
- the suspended person is the user's public information on the m carrier means 401.
- the secret key for key encryption K i f 2 (RS, (X 1 II X 2 11 ... II X g H (, 2,,..., G) Respectively, and accumulates them in the temporary memory 402 (S2944) o. Then, the secret key for information encryption W i and the secret key for key encryption K.
- the information M is first encrypted into the ciphertext C and transmitted to the user.
- the information M is not obtained.
- Fiat Shamir method was explained based on the Fiat Shamir method.
- this method is based on the extended Fi at Shamir method (Ichi Ota, "Extension of the Fiat-Shamir method to higher orders", All the zero-knowledge dialogue proofs based on security based on the difficulty of factorization or the discrete logarithm problem, including the IEICE technical report ISEC 8 8-13) It can be applied to protocols.
- information M is charged information such as copyrighted work.
- Information provider sends information M to user by the above information delivery method, and information provider records Various uses are possible, such as using the communication history H as proof information for collecting information fees such as copyright usage fees.
- FIG. 22 is a block diagram showing the configuration of the information distribution system according to the eighth embodiment of the present invention.
- FIGS. 9 and 10 show user terminals (terminals). , 1 ⁇ ⁇ ⁇ ⁇ ⁇ 1 ⁇ 1 1 1 1 ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ 1 1 ⁇ 1 1 1 ⁇ ⁇ ⁇ .
- 20 indicates an information provider (terminal), from 200 to 206, 2 ⁇ 9 and 210 are the same as in the fifth embodiment, and 208 is a later date. And evidence that the information was delivered to the user and
- Reference numeral 07 denotes an information dividing means for dividing and accumulating C C, which is provided behind the information, into a plurality of blocks having an arbitrary bit length.
- 3 represents a communication line connecting the user and the information provider through ⁇ . 4 0 is the mediator
- Terminal is denoted by 401, and up to 403 is the same configuration as in the seventh embodiment.
- 404 is divided into a plurality of blocks of an arbitrary bit length. It is a means of dividing information to be stored
- a reliable Sen-Yu sets pq 1 and Is for each user, and discloses N1 and I as user public information.
- s is stored as user secret information storage means as user secret information, and is secretly distributed to the user.
- ⁇ , q, PC, and SC are set for each information provider.
- N and PC are made public as the information provider's public information (public key), and the SC is disclosed as secret information of the information provider.
- PCXS 1 (mod ( ⁇ -1) (q-i)) holds.
- the information delivery request statement RS is, for example, the same as in the seventh embodiment. For example, it is composed of the request date and time, the IJ user identification number, the request information name, the request information code, etc.
- the information provider uses the secret key SC stored in the information provider secret information storage means 201 to send the encrypted information delivery request statement CR received by the public key encryption means 210 to the information delivery request.
- After decrypting the sentence RS CR SC (mod N), it is temporarily stored in memory 203 (S304), and the random number z is randomized by random number generation means 2-9. And then temporarily store it in the memo 'J203 (S305) o
- the information delivery request statement RS, the random number statement Z, and the power are used to calculate the g-bit size according to the first unidirectional random number f 1 in the arithmetic means 204.
- the value of g is equal to or greater than the key length of the secret key used in the common key encryption means 1 15, 205, and is greater than o.
- the request information code in the RS it responds to that code. Extract the corresponding information M from the information database 2 ⁇ 2
- the user After receiving and storing the ciphertext C in the information storage means 109, the user notifies the information provider of the reception via the communication line 30 (S310) o
- the number of divided blocks 3 ⁇ 4rm, the bit length is constant at L for all the blocks, and the divided information encryption private key is used for the information encryption blocks.
- the following processing is for the j-th block, and the delivery confirmation step is for each of the first and the m-th blocks. For each block (; the following processing is repeated sequentially (m times).
- the user uses the random number generator 103 to generate L random numbers.
- the information provider temporarily stores the received initial response sentence X ij ( , 2L) in the memory 2 ⁇ 3 (S 3 15), and then stores the information delivery request stored in the temporary memory 2 ⁇ Sentence RS, early stage 2,..., L) and force
- the secret key f 2 (R S) for key encryption of L-bit size is obtained by the second directional random noise function f 2 in O 4.
- (X)) (, 2, 2,..., L) is generated and stored in the temporary memory 203 (S316).
- f 1 and f 2 may be the same function.
- the user temporarily accumulates the received check sentence e.. (, 2,,..., L) in the memory 102 (S319) and then proceeds to the arithmetic means 104.
- Each bit of inspection e.. (, 2,,..., L)
- the information provider transmits the response sentence Y 2,...
- the user sends the information delivery request statement RS and the initial response statement X ij -1 stored in the temporary memory 102 for each block.
- test ij ( 1) stored in the temporary memory 102 is
- the communication history H recorded and managed in 08 is presented, and is stored in the arbitrator's temporary memory 402 (S3411) o
- the arbitrator checks the public information I of the user in the arithmetic means 401 and the check text eij and the response text Y in the communication history H stored in the temporary memory 402. Each bit
- Information delivery request statement RS in communication history H stored in 402 A random number sentence Z, a force, and a secret key W for information encryption by a first one-way random Hank function in the arithmetic means 401.
- V ij ( is generated (S 3 4 6), and the check statement e 1, 2 L
- the information delivery request statement RS is encrypted between the information provider and the user. Therefore, even if a third party eavesdrops on the communication sequence, the information delivery request statement RS and the key encryption secret key K i:
- the blocks to be divided are set such that the bit length of each block is constant at L.
- the first block is one bit
- the cipher communication by the public key cryptosystem may be performed by the cipher communication by the common key cryptosystem.
- this method is based on the extended Fiat-Shamir method (Ota-Okamoto "Extension of the Fiat-Shamir method to higher orders", IEICE Technical Research Institute). Report All zero-knowledge dialogue proof portals that base security on difficulties such as prime factorization or discrete logarithm problems, starting with ISEC 8 8-13) It can be applied to As described above, according to the fifth to eighth embodiments of the present invention, in the information delivery method using the zero knowledge proof protocol, the information delivery step is performed first.
- the information requested by the user is encrypted by the information provider and transmitted to the user, so at this point the requested information itself is Cannot be taken out by the user.
- the protocol operation itself performed in the delivery confirmation step is equivalent to the zero knowledge proof protocol for user authentication, the zero knowledge certificate is used. As in the case of the protocol, it is almost impossible for an unauthorized user to clear the verification of the information provider.
- the delivery confirmation step is completed successfully, the information provider will have the same value as that of the successful completion of the zero-knowledge proof protocol. The user receives the inspection sentence correctly and can judge that the proper processing has been performed.
- the information extraction step if the user can correctly receive the inspection statement, the user can create a secret key delivery statement and a secret key for information encryption.
- the information encrypted by the information encryption private key can be decrypted and the requested information can be extracted. Therefore, due to these effects, when all the steps of the information delivery method have been completed, the information provider was required to be authorized to the authorized user. After providing the information in an encrypted state, the user must deliver the necessary information to the user to decrypt the encrypted information, and ensure that the user has received the information. Information provider, it can be determined that the information provider has reliably delivered the requested information to the user. Also, according to the fifth and sixth embodiments of the present invention, performing the cryptographic communication on the check statement also performs the cryptographic communication on the information encryption private key. The same effect can be obtained, and even if a third party eavesdrops on the communication path, these secret keys will not be known. In addition, it is possible to ensure that there is no effective information for decrypting the secret key for information encryption.
- the information provider since it is impossible to falsify the communication history, the information provider must provide the requested information to the authorized user in an encrypted To deliver the information necessary for the user to decrypt the encrypted information to the user, and to have the ability to prove at a later date that the user has received it reliably. "it can .
- a neutral arbitration body such as a court will be able to provide information on the communication history that has evidence capacity. By checking the validity of the information, one of the information provider and the user can be used. You can determine whether the claim is justified.
- the eighth embodiment of the present invention by encrypting the information delivery request message, it is possible to prevent eavesdropping of the information delivery request message by a third party and to request any information. As a result, the privacy of the user can be protected.
- the secret key for key encryption and the secret key for information encryption are scrambled only by the secret information of the information provider and the user only. Even if a person eavesdrops on the communication channel, these private keys will not be known, and no information useful for decrypting the secret keys will be obtained. With this power, it is impossible for a third party to illegally obtain the information requested by the user.
- the protocol must be used immediately. Blocking was stopped, and subsequent blocks that failed verification failed to be sent to the user, and the information provider failed verification. Users cannot obtain only part of the information needed to decrypt the encrypted information, resulting in a private key or key information for key encryption. Since it becomes impossible to generate a secret key for encryption, it is possible to prevent an unauthorized user from acquiring information requested by an unauthorized person.
- the information provider ensures that the requested information is delivered to the user and that the user receives the information reliably. A system that can be checked
- Ki de also a child to use a zero-knowledge proof profile door co-le of the user authentication how to authenticate to best match with the information provider the user to need alone
- the information provider has information provider secret information storage means that can store the information to be kept secret by the information provider. 7 "
- a system in which an information provider and a user can perform encrypted communication by a public key encryption method becomes a system.
- the system is provided with an input means for easily creating an information delivery request sentence in the user terminal.
- the secret key for key encryption has a function of generating a secret key for key encryption and a secret key distribution statement, and can deliver information using the secret key for information encryption and the secret key for key encryption. It takes a stream.
- a neutral mediation body such as a court examines the validity of a communication history with evidential ability, and the assertion of either the information provider or the user is valid.
- ⁇ will be a system that can determine whether
- the eighth embodiment of the present invention when detecting that there is an unauthorized user, the execution of the protocol is immediately stopped. As a result, the system does not have the ability to illegally acquire the information requested by an unauthorized user.
- FIG. 26 is a block diagram showing the configuration of an information delivery system according to the ninth embodiment of the present invention, and 10 indicates a user (terminal) receiving information delivery.
- 100 is communication control means for controlling the communication line 30;
- 1 ⁇ 1 is user secret information storage means for storing user secret information;
- 105 is a common key encryption method.
- 1 ⁇ 7 is public key encryption means using public key encryption method (eg, RSA), and 109 is information provider
- 102 is temporary memory for temporarily storing information required by users
- 103 is for user to generate random numbers.
- 104 is a calculating means for performing necessary calculations
- 106 is an information output Z using means for outputting or using information.
- Reference numeral 20 denotes an information provider (terminal) that provides information
- 200 denotes communication control means for controlling the communication line 30
- 201 denotes a storage of secret information of the information provider.
- Information provider secret information storage means 205 is a common key encryption means using a common key encryption method
- 210 is a public key encryption means using a public key encryption method
- 202 is provided.
- An information database in which information is stored is a temporary memory for temporarily storing information required by an information provider, 204 is a computing means for performing necessary calculations, 2 06 is a verification method for verifying the validity of the information, and 208 is the information Communication history as a proof of the fact that the information was delivered to the user, ik history file that records and manages the evening H, and 209 is used for the information provider to generate random numbers. It is a means for generating random numbers.
- Reference numeral 30 denotes a communication line that connects the information provider as a user by communication. 40 will be described later from the neutral point of view of the communication history data H that the information provider records and manages in the communication history file 208 from a neutral standpoint.
- 402 is temporary memory for temporarily storing information required by the arbitrator
- 405 uses public key cryptography.
- Public key cryptography means 401 is a calculation means for performing necessary calculations
- 4003 is a verification means for verifying the validity of the communication history data H requested to be verified. Is
- the phantom letters represent the entire information
- the suffixed letter letters represent the information.
- the information encryption secret key W represents the entire information encryption secret key composed of g bits
- Subscripts of X and response sentence Y are the same type of information generated multiple times.
- the trusted center sets ⁇ 1, Q1, ID, S, p2, q2, PU, and SU for each user, and N1, N2, ID, PU Is stored as public information of the user, and S and SU are stored in the user secret information storage means 101 as the secret information of the user and distributed to the user in a secret manner.
- pl p 2
- P, q, ⁇ C, SC are set for each information provider, and N,
- the PC is published as the information provider's public key
- the SC is stored in the information provider's secret information storage means 201 as the information provider's secret key and distributed to the information provider in secret.
- PCXSC 1, and mod (P-1) (q-1)) holds.
- the information provider arbitrarily generates the information encryption private key W having a g bit length by the random number generation means 209 and accumulates it in the temporary memory 2 ⁇ 3 (S 361). .
- the value of g is generally common It is equal to or longer than the key length of the secret key used in the key encryption means 105 and 205.
- the information M is extracted from the information database 202 (S3662), and the secret key W for information encryption is used as the secret key, and the common key encryption means 205 is used.
- the ciphertext C is transmitted to the user via the communication line 30 (S3664).
- the reception is notified to the information provider via the communication line 30 (S365).
- the communication line 30 is used to transmit the ciphertext C of S364, but of course, it is recorded on a physical medium such as a CD-ROM. It may be distributed to the general public without using a communication line. In such a case, the operation of S365 is often omitted.
- the information provider encrypts the information encryption private key W with the information provider's public key PC using public key encryption means 210 (S366), and encrypts the encrypted information encryption secret.
- the information provider has stored the signed information encryption private key SW in the temporary memory 203 (S369).
- the arithmetic means 204 divides the secret key W for information encryption into a plurality of blocks having an arbitrary bit length, and Generates the secret key WB (S3733).
- C uses b for the number of divided blocks and B for all blocks.
- the divided secret key for information encryption is a block secret key for information encryption.
- the user uses the random number generator 103 to generate g random
- the information provider sets the initial response sentence X
- L j 1, 2,..., B) are generated (S 378), and a block secret key W Bij for information encryption and a secret key for key encryption are generated.
- the following processing is for the j-th block, and the delivery confirmation step is performed for each block from the first block power to the b-th block. Repeat the following process for each block sequentially (b times).
- the information provider informs the user of the inspection statement e
- the public information ID of the user, the initial response sentence X ij, the response sentence Y ij and the check sentence e U are each bit.
- Verify whether 1) is satisfied (s3885). If this verification fails, the user deems that the protocol is invalid and immediately stops executing the protocol (S3886), and if the user succeeds and returns 1- Then, the process returns to S380, and the above processing is repeated until all the blocks are completed (S387). If all the blocks from the first block power to the b-th block are successfully verified, the information encryption private key W and the signature are used. With private key for information encryption SW, verification statement e U
- the user uses the initial response sentence X ij ( i, 2,..., L: j 2,...> B), and the one-way random noise function h (•) in the arithmetic means 104.
- the information (C) can be obtained from the information output use means 106 (S 39 3) o
- the information provider presents the communication history file H recorded and managed in the communication history file 208. , And accumulates in the arbitrator's temporary memory 402 (S401) 0
- the calculation means 4-1 will use the public information ID of the user and the check statement eij and response statement Yi in the communication history data H. For each bit i, if e ⁇ , then (mod N
- the user can confirm that the check sentence e has been received normally by the user. Has the same value as that has received the information M normally. Therefore, the information provider can confirm that the information M has been accurately and reliably delivered to the user.
- the information provider does not record the communication history data H that proves the fact that the information provider has delivered the information M to the user. Can receive all the check texts e necessary to acquire the information M, and can prevent the information M from being decrypted and acquired illegally.
- the blocks to be divided are set such that the bit length of each block is constant at L.
- the first block is 1 block.
- You can change the bit length for each block for example, the second block is 2 bits and the third block is 4 bits. Since the signed information encryption private key SW can only be created by the user, the information encryption private key W or the signed information encryption private key SW is used as the information provider. Cannot be tampered with.
- the verification formula in the zero-knowledge proof protocol and the verification formula Since they are interrelated by the directional random hash function h ( ⁇ ) the communication sequence is modified by illegally falsifying some of them. ⁇ It is impossible to forge. Therefore, the communication history data H is recorded and stored, so that the ciphertext C is decrypted and the information encryption private key W is used so that the user can obtain the information M. Can be later presented to a neutral third party, such as a mediator, as proof that the party has received it.
- the information provider has correctly and reliably delivered the information M to the user.
- the information M is paid information such as a copyrighted work, etc.
- the communication history data H which is recorded and managed by the information provider, is It can be used in various ways, such as being used as proof information when collecting information fees.
- the " ⁇ " The information requested by the user. Since the information is encrypted by the information provider and delivered to the user, at this point, the user cannot retrieve the requested information. 0 ⁇ 'is the delivery guarantee' 1? ', The protocol operation itself in the step is the same as the zero identification certificate protocol as user authentication Therefore, it is almost impossible for an unauthorized user to clear the verification of the information provider, as in the case of the knowledge proof protocol. Second, the delivery confirmation step has been completed normally.
- the information provider can judge that the user has received the inspection sentence correctly and is performing the correct processing based on the power equivalent to the fact that the 3rd operation was completed successfully.
- the user can create a private key for information encryption if he / she can correctly receive the inspection statement.
- the information provider will provide the requested information to the authorized user in an encrypted form for the user who has completed all the steps of the information delivery method. After that, it is possible to deliver to the user the information necessary for the user to decrypt the encrypted information, and to confirm that the user has received the information without fail.
- the information provider can determine that the information requested by the user has been reliably delivered to the user.
- the information provider since it is impossible to falsify the communication history, the information provider provides the requested information to the authorized user in an encrypted state, and then uses the information. To deliver the information necessary for the user to decrypt the encrypted information to the user, and have the ability to prove at a later date that the user has received the information reliably. Power ⁇ I can do it.
- a neutral arbitration body such as a court will not be able to provide information on the communication history with evidential ability.
- the protocol is immediately used. Since the execution is aborted and blocks after the verification failure are not sent to the user, the user who fails the information provider verification is It is not possible to obtain only part of the information necessary to decrypt the encrypted information, resulting in a private key for information encryption.
- the information provider can reliably deliver the requested information to the user, and the information provider can confirm that the user has received the information reliably.
- System As a user authentication method in which an information provider authenticates a user when necessary, a user can use a single knowledge proofing protocol alone.
- the system has an information provider confidential information storage means that allows the information provider to store information that should be kept secret 0
- this system has a secret key for key encryption and a generation function, and can deliver information using the secret key for information encryption and the secret key for key encryption.
- a neutral mediation body such as a court examines the validity of the communication history with evidential ability, and the assertion of either the information provider or the user is valid. O It is a system that can determine whether £ 6
Description
明 細 ゼ ロ 知識照明 プ ロ ト コ ルを利用 し た情報配送方 法お よ び シ ス テ ム 技術分野
本発明 は、 電気通信 シ ス テ ム を用 い て利用者が要求 し た情報を情報提供者が提供す る 場合に 、 情報提供者が利 用者認証 に よ り 利用者の正当性を認証 し つつ 、 かつ利用 者 に 要求 さ れた情報を利用者 ま で確実 に配送す る と と も に 、 後 日 利用者か ら 要求 し た情報を受信 し て い な い な ど の異議申 し立て に対 し て、 情報提供者が間違い な く 要求 さ れた情報を利用者に配送 し 、 かつ利用者が受信 し て い る 事実を証明で き る よ う にす る た めの も の で あ り 、 特 に 有料情報提供サ ー ビ ス や配達証明 サ ー ビス な ど に有用 な 情報配送方法お よ び シ ス テ ム に関す る 。 背景技術
従来、 代表的な認証方法 と し て は シ ス テ ム 利用者の正 当性を検査す る 利用者認証方式 と 、 情報が正当 な も の で あ る こ と を証明す る メ ッ セ ー ジ認証方式 と 、 更 に こ れ ら を組み合わせて作成 し た情報が正当な も ので あ る こ と を 情報作成者が保証す る デ ィ ジ タ ル署名方式が あ る 。 こ こ で、 簡単 に利用者認証方式 と メ ッ セ ー ジ認証方式 と デ ィ ジ 夕 ル署名方式につ い て、 そ れぞれ図を参照 し な が ら 説
明す る 。
図 1 A は利用者認証方式の 代表的な 例で あ る F i a t Sha 1¾ m i r 法 ( A. Fiat and A. Shamir: How to prove you r s e 1 im practical solutions to identif ication and s i gnat ure problems" , Proc . of Crypto ' 86 , 1986.5並びに米
国特許第 4.748 , 668 号) に よ る 認証方式の概念図であ る ,
こ の F i a t Shamir 法に よ れば、 秘密情報 s を所有 し て
い る 者 (以下、 証明者 と い う ) が検証者 に対 し て そ の正
当性を証明 し ょ う と し た と き 、 N ( = p q : p , q は互
い に異な る 大 き な素数) と I ( = s 2 ( mod N ) ) を証
明者の公開情報 と し 、 s と p , q を証明者の秘密情報 と
し て以下の よ う に認証 さ れ る 。
ま ず始め に証明者が乱数 R を生成 さ せ、 初期応答文 X
= R 2 ( mod N ) を計算 し 、 検証者に X を送 る 。 前記 X
を受信 し た検証者 は検査文 e と し て ラ ン ダム に ◦ ま た は
1 を選び、 証明者 に e を送 る 。 前記 e を受信 し た証明者
は、 応答文 Y = R s e ( mod N ) を計算 し 、 検証者 に Y
を送 る 。 前記 Y を受信 し た検証者は、 検証式 Y 2 = X X
I e ( mod N ) が成立す る かを検証す る 。
こ こ ま でを 1 ラ ウ ン ド と し て 、 こ れを t ラ ウ ン ド繰 り 返す こ と に よ り 、 秘密情報 s を知 ら な い第三者が検証者
の検証式を ク リ ア で き る 確率は ( l z s t ) と な る 。 し たが っ て、 十分 に大 き な t に お い て正常 に認証が終了 し た場合、 検証者は検証相手 (証明者) を秘密情報 s を所
有 し て い る 正当 な証明者であ る と 判断 し て構わ な い。
な お 、 こ の 認証方式 は一般 に ゼ 口 知識証明 に 基づ く 認 証方式 と 呼 ばれ、 証 明者 は検証者 に 対 し て秘密情報 S を 所有 し て い る 事実だ け を伝え 、 秘密情報 s に 関す る そ の 他 の 内容 は一切漏 ら さ な い と い う メ リ ッ ト カ《 あ る 。
し か し 、 F i a t S h a m i r 法で は証 明者 と 検証者 と の 通信 履歴が、 後 日 検証者が証明者 を認証 し た こ と の 証拠 に な ら な い と い う 問題力く あ っ た 。 そ の た め 、 こ の 問題 に 対す る 解決方法 と し て は桜井 (特開平 5 — 1 2 3 2 1 号) に よ る 認証方式が提案 さ れて い る 。 こ の 認証方式 に よ れば 検証者が証明 者 を認証 し た 後で も 検証者が証 明者 を本 当 に 認証 し た こ と の 証拠が残 る と さ れて い る 。
し か し 、 こ こ で証拠 と し て残 る の は あ く ま で検証者が 証明者 を 通信 を 介 し て認証 し た と い う 事実 に つ い て の み で あ り 、 こ の 認証事実 の 他 は通信 内容 を始 め と し て ど の よ う な 通信が行わ れ た の か に つ い て何 ら 言及す る も の で は な い。 ま た 、 認証事実 の 証拠 と し て通 信系列 全て を記 録保管す る た め 、 検証者が記録保管 し て お か な け れば な ら な い情報量が多 い と い う 欠点 も あ る 。
次 に 、 図 1 B は、 メ ッ セ ー ジ 認証の 一例で あ る 認証子 法 に よ る 認証方式の 概念図で あ る 。 こ の 認証方式 に よ れ ば、 メ ッ セ ー ジ M を送信 し た い 証明者 は秘密鍵 K h を パ ラ メ 一 夕 と す る ハ ツ シ ュ 関数 h を利用 し て メ ッ セ ー ジ M に 対す る 認証子 h k ( M ) を作成 し 、 前記 メ ッ セ ー ジ M と 共 に 前記認証子 を送信相手で あ る 検証者 に 送信す る 。 検証者 は あ ら か じ め証明者 と 同 じ 秘密鍵 K を秘密裏 に
共有 し て い る の で、 受信 し た メ ッ セ ー ジ 力、 ら 上記 と 同 じ よ う に 秘密鍵 κ h を用 い て認証子 を 作成 し 、 受信 し た 認 証子 と 照合検査す る 。 こ の照合 に 成功すれば、 受信 し た メ ッ セ ー ジ の 正当性が保証 さ れ る 。 こ れ は秘密鍵 κ h を 知 ら な け れば、 任意 の メ ッ セ 一 ジ に 対す る 正 し い 認証子 は 作成で き な い た めで あ る 。
し か し 、 上記の 利用 者認証、 メ ッ セ 一 ジ 認証 は共 に 、 基本的 に は第三者 に よ る 不正行為を防止す る こ と が最大 の 目 的で あ り 、 前記利用 者認証が正常 に 終了 し た こ と で 保証 さ れ る の は 、 あ く ま で証明者が正 当 な 秘密情報の 所 有者で あ る こ と 、 す な わ ち 第三者が不正 に 利用 し て い な い と い う こ と だ けで あ り 、 ま た 前記 メ ッ セ 一 ジ 認証 に お い て照合検査 に 成功 し た こ と で保証 さ れ る の は 、 第三者 に よ る メ ッ セ ー ジ の 改竄な ど の 不正行為が行わ れて い な い と い う こ と だ けで あ る 。 し た 力く つ て 、 上記の 2つ の 認 証方式 は共 に 、 基本的 に は第三者の 不正行為 に 対 し て の み有効で あ り 、 証明者 も し く は検証者 に よ る 不正行為 に 対 し て は ま る で効力 を持 た な い の が欠点で あ る 。
次 に 、 図 1 C は デ ィ ジ タ ル署名 の 一例で あ る R S A 署 名 }£ ( R.し. Rivest, A.Shamir.L.Adleman, " A method f or obtaining digital signatures and publ ic - key cry ptosystem " , Comm. ACM , vol .21 , No.2, 1978.2) の概 念図で あ る 。
R S A署名 法 に よ れば、 e と N ( = p q : p , q は互 い に 異 な る 大 き な 素数) を署名 者 の 公開情報、 d [ e x
d ( mod ( p- 1 ) (q-D) = 1 ] と P , q を署名 者 の 秘密情報 と し て以下 の よ う に 認証 さ れ る
ま ず署名 者 は 、 メ ッ セ 一 ジ M を確か に 署名 者が作成 し た も の で あ る こ と を保証す る た め に 署名 文 C == M d ( mo d N ) を計算 し 、 C を検証者 に 送信す る 。 前記 C を受信 し た 検証者 は M = C e ( mod N ) を計算 し 、 得 ら れ た メ ヅ セ ー ジ M の 正 当性を 判断す る 。 こ の 時、 得 ら れ た メ ッ セ ー ジ Mが正 当で あ る と 判断 さ れれば、 受信 し た メ ッ セ 一 ジ Mが署名 者 に よ り 間違 い な く 作成 さ れ た も の で あ る こ と が保証 さ れ る 。
こ れ は秘密情報 d を知 ら な け れば任意 の メ ッ セ ー ン に 対す る 正 し い 署名 文 を 作成で き な い た めで あ り 、 し 力、 も 秘密情報 d は 各個人 固有の も の で一人ずつ 異 な る た め 、 署名 者 自 体 も 特定 さ れ る こ と に な る か ら で あ る 。 し た が つ て 、 第三者 や検証 # が メ ッ セ ー ジ 内容 を 改竄 し た り 、 あ る い は署名 者が メ ッ セ 一 ン 内容 を否定 し た り す る な ど の 不正行為 は困難で あ る と 考 え ら れて い る 。
し カヽ し 、 こ れ は ぁ く ま で メ ッ セ ー ン の や り 取 り が正常 に 終了 し た 時点以後か ら 効力が生 じ る も の で あ り 、 そ れ 以前、 す な わ ち 署名 者か ら み て送信 し た 署名 文 C が確実 に 検証者 に 届 い て い る 力、 ど う か の 保証 は何 も な い た め 、 検証者 に 署名 文 C を受信 し て い な い と 主張 さ れて し ま え ば、 署名 者 に は そ の主張 に 対抗す る 手段が な い の が欠点 で あ る 。
利用 者が要求 し た 情報を情報提供者が提供す る 場合
は以下の 4 条件、 すな わ ち 、
( 1 ) 正当 な利用者であ る こ と を保証す る 利用者認証
( 2 ) 情報提供者 は利用者が要求 し た情報を確実に提 供 し 、 かつ利用者が提供 さ れた情報を受信 し た こ と を保 証す る 配送証明、
( 3 ) 提供 し た情報が正当 な も の であ り 、 改竄な ど の 不正行為を防止で き る 内容照明、
( 4 ) 後 日 、 必要 に応 じ て情報提供者が調停者に通信 履歴な どの証拠を提示す る こ と に よ り ( 1 ) 〜 ( 3 ) の すべて につ い て証明で き る こ と 、
を満 たす こ と が必要であ る 。
し 力、 し 、 従来方式で説明 し た よ う に F i a t Shamir 法で は ( 1 ) の み 、 桜井 (特開平 5 - 1 2 3 2 1 号) の方式 で は ( 1 ) と ( ) の一部 (利用者認証の証拠の み) 、 メ ッ セ ー ジ証拠で は ( 3 ) の一部の み (情報が正当であ る 保証の み) 、 R S A 署名法で は ( 3 ) の みが満 た さ れ る だけであ る た め、 あ る 種の不正行為、 特に ( 2 ) の よ う に利用者が提供 さ れた情報を受信 し て い る に も かかわ ら ず、 受信 し て い な い と い う よ う な不当 な主張 に対 し て 情報提供者 は全 く 対抗で き な い と い う 欠点があ る 。 発明 の開示
本発明の 目 的 は、 情報提供者か ら 利用者 ( カ ー ド、 利 用者端末等を含む) に対 し て必要な メ ッ セ ー ジ を送信す る 場合に、 従来方式で は満 たせな か っ た上記の 4 条件す
ベて を満 たす こ と がで き る ゼ ロ 知識証明 プ ロ ト コ ルを利 用 し た情報配送方法お よ び シ ス テ ム を提供す る こ と であ 本発明 の一側面 に よ る と 、 少な く と も 情報提供者 と 利 用者 と を含む シ ス テ ム に お い て 、 利用者が情報提供者 に 情報の配送を要求 し た時 に、 情報提供者が、 ゼ ロ 知識証 明 プ ロ ト コ ル に し た 力' つ て利用者の利用者認証を行な う 過程 と 、 情報提供者が、 利用者 に配送す る 情報 Mをゼ ロ 知識証明 プ ロ ト コ ル中 に お け る 検査文 E に 含め て送信 し 利用者 に情報を 1 ビ ッ ト ま た は複数 ビ ッ ト 単位で配送す る 過程 と 、 情報提供者が、 ゼ ロ 知識証明 プ ロ ト コ ル の通 信履歴デ ー タ H を記録管理す る 過程 と 、 を同時 に行な う こ と を特徵 と す る 情報配送方法が提供 さ れ る 。
ま た、 本発明 め他の側面 に よ る と 、 少な く と も利用者 端末 と 情報提供者端末 と を含む シ ス テ ム で あ っ て 、 利用 者端末 は、 情報提供者端末 と の 間の通信を制御す る 利用 者通信制御手段 と 、 利用者が秘密に保持すべ き 秘密情報 を蓄積 し て お く 利用者秘密情報蓄積手段 と 、 乱数を発生 す る 乱数発生手段 と 、 前記利用者通信制御手段を介 し て 通信 さ れ る 初期応答文 と 応答文を前記秘密情報 と 乱数に 基づい て生成す る 利用者演算手段 と を有 し 、 情報提供者 端末 は、 利用者端末 と の 間の通信を制御す る 情報提供者 通信制御手段 と 、 前記情報提供者通信制御手段を介 し て 利用者に提供す る 情報を蓄積 し てお く 情報デー タ ベー ス と 、 前記情報提供者通信制御手段を介 し て利用者の認証
を行な う 検証手段 と を有す る こ と を特徴 と す る 情報配送 シ ス テ ム が提供 さ れ る 。
ま た 、 本発明 の他の側面 に よ る と 、 少な く と も利用者 端末 と 情報提供者端末 と を含む シ ス テ ム であ っ て、 利用 者端末 は、 情報提供者端末 と の 間の通信を制御す る 利用 者通信制御手段 と 、 利用者が秘密に保持すべ き 秘密情報 を蓄積 し てお く 利用者秘密情報蓄積手段 と 、 前記利用者 通信制御手段を介 し て情報提供者端末 と の間で暗号通信 を行 う 利用者共通鍵暗号手段 と 、 乱数を発生す る 乱数発 生手段 と 、 前記利用者通信制御手段を介 し て送信 さ れ る 初期応答文 と 応答文 と 秘密鍵を生成す る 利用者演算手段 と 、 前記利用者通信制御手段を介 し て情報提供者か ら配 送 さ れた情報を蓄積す る 情報蓄積手段 と を有 し 、 情報提 供者端末は、 利用者端末 と の 間の通信を制御す る 情報提 供者通信制御手段 と 、 前記情報提供者通信制御手段を介 し て利用者に提供す る 情報を蓄積 し てお く 情報デー タ べ ー ス と 、 秘密鍵 と 検査文を生成す る 情報提供者演算手段 と 、 前記情報提供者通信制御手段を介 し て利用者端末 と の 間で暗号通信を行な う 情報提供者共通鍵暗号手段 と 、 前記情報提供者通信制御手段を介 し て利用者の認証を行 な う 検証手段 と を有す る こ と を特徴 と す る 情報配送 シ ス テムが提供 さ れ る 。 図面の簡単な 説明
図 1 A は従来の F i a t S h a m i r 法 に よ る 利用者認証方式
を示す概念図 あ o
図 1 B は従来の認証子法 に よ る メ ッ セ ー ジ認証方式を 示す概念図で め る o
図 1 C は従来の R S A 署名法 に よ る デ ィ ジ タ ル署名方 式を示す概念図であ る O
図 2 は本発明 の第 1 実施例 に お け る 情報配送 シ ス テ ム の構成例を示すブ 口 ッ ク 図で あ る 。
図 3 は図 2 に示す情報配送 シ ス テ ム の動作手順を示す フ ロ ー チ ヤ 一 ト で あ る 0
図 4 は図 2 に示す情報配送 シ ス テ ム で用 い る 配送情報 の例を示す模式図であ る o
図 5 は本発明の第 2 実施例 に お け る 情報配送 シ ス テ ム の構成例 を示す ブ 口 ッ ク 図で あ る 。
図 6 は図 5 に示す情報配送 シ ス テ ム の動作手順を示す フ ロ ー チ ヤ 一 ト で あ る
図 7 は本発明の第 3 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す ブ 口 ッ ク 図で あ る 。
図 8 は図 7 に示す情報配送 シ ス テ ム の配送確認に関す る 動作手順を示すフ ロ 一 チ ヤ 一 卜 で あ る o
図 9 は図 7 に示す情報配送 シ ス テ ム の調停 に関す る 動 作手順を示す フ ロ ー チ ヤ ー ト で あ る o
図 1 〇 は本発明の第 4 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す プ ロ ッ ク 図で あ る o
図 1 1 は図 1 0 に示す情報配送 シ ス テ ム の配送確認 と 情報取 り 出 し に関す る 動作手順を示す フ ロ ー チ ヤ 一 卜 で
あ る o
図 1 2 は図 1 〇 に示す情報配送 シ ス テ ム の調停 に関す る 動作手順を示す フ ロ ー チ ヤ 一 卜 であ ·&» o
図 1 3 は本発明の第 5 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す ブ 口 ッ ク 図で あ る o
図 1 4 は図 1 3 に示す情報配送 シ ス テ ム の動作手順を 示す フ ロ ー チ ヤ 一 ト で あ る o
図 1 5 は本発明の第 6 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す ブ 口 ッ ク 図であ る o
図 1 6 は図 1 5 に示す情報配送 シ ス テ ム の動作手順を 示す フ ロ ー チ ャ ー ト であ る ο
図 1 7 は本発明 の第 7 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す ブ 口 ッ ク 図であ る o
図 1 8 は図 1 7 に示す情報配送 シ ス テ ム の情報配送、 配送確認、 情報取 り 出 し に関す る 動作手順を示す フ ロ ー チ ヤ 一 ト であ る 。
図 1 9 は図 1 7 に示す情報配送 シ ス テ ム の調停 に関す る 動作手順を示す フ ロ ー チ ヤ 一 卜 であ ·£> o
図 2 0 は図 1 7 に示す情報配送 シ ス テ ム で用 い る 情報 配送要求文の構成形態を示す模式図 め る 。
図 2 1 は図 1 7 に示す情報配送 シ ス テ ム で用 い る 通信 履歴の構成形態を示す模式図で あ る o
図 2 2 は本発明の第 8 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す ブ ロ ッ ク 図で あ る o
図 2 3 は図 2 2 に示す情報配送 シ ス テ ム の情報配送、
0
配送確認、 情報取 り 出 し に 関す る 動作手順の前半を示す 6
フ ロ ー チ忍ヤ 一 ト であ る 0
• 図 2 4 は図 2 2 に示す情報配送 シ ス テ ム の情報配送、 配送確 5' 、 Iほ報取 り 出 し に関す る 動作手順の後半を示す フ ロ ー チ ヤ 一 ト で あ る o
図 2 5 は 図 2 2 に 示す情報配送 シ ス テ ム の 調停に関す る 動作手順を示す フ ロ ー チ ヤ ー ト で あ る 。
図 2 6 は本発明 の第 9 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す ブ ロ ッ ク 図であ る 。
図 2 7 は 図 2 6 に示す情報配送 シ ス テ ム の情報配送、 配送確 β刃 *主
、 、 報取 り 出 し に関す る 動作手順の前半を示す フ ロ ー チ ヤ 一 卜 で あ
図 2 8 は図 2 6 に 示す情報配送 シ ス テ ム の情報配送、 配送確 情報取 り 出 し に関す る 動作手順の後半を示す フ ロ 一 チ ヤ 一 ト で あ o
図 2 9 は図 2 6 に 示す情報配送 シ ス テ ム の調停に関す る 動作手順を示す フ ロ ー チ ヤ ー ト であ る 。 発明 を実施す る た め の最良の形態
以下、 本発明 の実施例を図面を用 い て説明す る 。
図 2 は、 本発明 の第 1 実施例 に お け る 情報配送 シ ス テ ム の構成例を示す図であ る 。 図 2 に お い て、 1 は利用者 が所有す る カ ー ドで あ り 、 1 1 は カ ー ド固有の秘密情報 を蓄積す る 秘密情報蓄積手段、 1 2 は ゼ ロ 知識証明 プ ロ ト コ ルで利用 す る 乱数発生手段、 1 3 は プ ロ ト コ ルを実
行す る う え で必要な演算を行 う 演算手段 1 4 は情報提 供者力、 ら の情報を記録す る 蓄積手段であ る 7よ お し れ ら の手段は いずれ も I C 等の耐 夕 ンパー 装置上に組み込 ま れて お り 、 物理的に安全で あ る 。
2 は利用者が使甩す る 固定型 の利用 者端末で あ り 、 2
1 は カ ー ド挿入手段、 2 2 は情報提供者か ら の情報を蓄 積す る 蓄積手段、 2 3 は情報を利用 す る 利用手段、 2 4 は情報提供者 と の 間で通信を行な う た めの通信制御手段 であ る o
は利用者 に配送情報の配送す る 情報提供者端末であ
«9 3 1 は配送情報を蓄積す る 情報蓄積手段、 3 2 は配 送情報を分割 し て検査文の組を作成す る 情報分割手段、
3 3 は ゼ 口 知識証明 プ 口 ト コ ル の検証を行な う 検証手段
3 4 は通 ί¾履歴や認証記録を記録管理 し てお く 履歴管理 手段 3 5 は利用者端末 と の 間で通信を行 う た めの通信 制御手段でめ る ο
次 に 図 2 の シ ス テ ム に お け る ゼ ロ 知識証明 プ ロ ト コ ルを利用 し た情報配送方法につ い て、 図 3 お よ び図 4 に 示す処理 フ 口 — チ ヤ — ト と 配送情報の例を基 に説明す る な お で は ゼ 口 知識証明 プ ロ ト コ ル と し て F i a t S h a m i r 法を用 い る こ と と し 、 準備段階 と し て、 信頼で き る セ ン 夕 が各利用者 ご と に Ρ , Q , Ν , I , s を設定 し 、 こ の ラ ち Ν と I を利用者の公開情報 と し て公開 し 、 s を 利用者の秘密情報 と し て カ ー ド 1 の秘密情報蓄積手段 1 蓄積 し て利用者 に配布す る 。 こ こ で P と Q は互い
2 -
に 異な る 大 き な 素数で あ り 、 N = P Q で あ る 。 ま た 、 I = s 2 ( m o d N ) が成立 し て い る 。
情報暗号化用秘密鍵 Wで暗号化 さ れ た メ ッ セ 一 ジ W
( m ) をすで に利用者端末 2 の蓄積手段 2 2 に蓄積 し て い る 利用者に対 し て.、 m記情報暗号化用秘密鍵 Wを配送 情報 と し て配送す る 場合の例を説明す る 。
ま ず、 利用者は、 自 分の カ ー ド 1 を カ ー ド挿入手段 2
1 に挿入後、 情報提供者 に情報暗号化用秘密鍵 Wの配送 を依頼す る 。 ( S 1 ) o
情報提供者 は 、 情報蓄積手段 3 1 に蓄積 さ れて い る 情 報暗号化用秘密鍵 Wを図 4 に示す配送情報 5 0 の よ う に 情報分割手段 3 2 t1- お い て g ビ ッ ト ご と に分割 し 、 g ビ ッ 卜 で構成 さ れ る 検査文 e j の組を作成す る ( S 2 ) 。
で、 情報暗号化用秘密鍵 Wの ビ 'ソ 卜 数を L w と す る と 、 検査文の組 は L w れ る
Z g 個作成 さ こ と に な り 、 i は 1 力、 ら g ま で、 j は 1 か ら し ,, / g ま での値を と る 。
次に 、 カ ー ド、 1 は 、 乱数発生手段 1 2 に お い て g 個 の 乱数 R を生成 し ( s そ れそ'れに つ い て演算手段 に お い て X 1 = R m o d N ) を計算 し 、 X i を 通信制御手段 2 4 を経由 し て情報提供者 に送信す る ( S
4 )
信制御手段 3 5 を経由 し て X j を受信 し た情報提供 者 は 、 j 組 目 の検査文 e j iを通信制御手段 3 5 を経由 し て 力 ー ド 1 に送信す る ( S 5 ) 。
力 - ド 1 で は、 通信制御手段 2 4 を経由 し て受信 し た
検査文 e 』 iの そ れぞれの ビ ッ ト i に対 し 、 演算手段 1 3 に お い て ◦ な ら Y i = R i を、 1 な ら秘密情報蓄積手段 1 1 に蓄積 さ れてい る 秘密情報 s を用 い て Y i = s R i
( mod N ) を計算 し 、 蓄積手段 1 4 に検査文 e Mを記録 し た後、 通信制御手段 2 4 を経由 し て Y i を情報提供者 に送信す る ( S 6 ) 。
情報提供者は、 通信制御手段 3 5 を経由 し て受信 し た 前記 X i と 前記 Y i 、 お よ び前記検査文 e j:か ら そ れぞ れの ビ ッ ト i に対 し 、 検証手段 3 3 に お い て検査 ビ ッ 卜 が 0 な ら ば検証式 Y : 2 = X i ( mod N ) を、 1 な ら ば 検証式 Y i " = X j I ( mod N ) を満 たすか ど う かを検 証す る ( S 7 ) 。 こ の検証に失敗 し た場合に は、 カ ー ド 1 は不正であ る と み な し て、 そ れ以降の利用 を中止 ( S 8 ) し 、 成功 し た場合 に は前記 X i と 前記 Y i 、 お よ び 前記検査文 を通信履歴 と し て履歴管理手段 3 4 に記 録管理す る ( S 9 ) 。 そ し て、 上記 S 3 以降の ス テ ッ プ を情報分割手段 3 2 で作成 し た L w 個の検査文 e の組すベてを送信 し 終わ る ま で繰 り 返 し ( S 1 0 ) 、 最 終的 に情報提供者は、 情報分割手段 3 2 で作成 し た L w / g 個の検査文 e j;の組すベて の送信が終了 し た時点を も っ て情報暗号化用秘密鍵 Wの配送が終了 し た と み な す
( S 1 1 ) o
カ ー ド 1 で は蓄積手段 1 4 に記録 さ れた L 、,, g 個の 検査文 の組すベてを結合 し 、 情報暗号化用秘密鍵 W を複製 し た ( S 1 2 ) 後、 利用者端末 2 の利用手段 2 3
4 一
に 転送す る ( S 1 3 ) 。 利用 手段 2 3 で は転送 さ れて き た情報暗号化用 秘密鍵 W を用 い て蓄積手段 2 2 に 蓄積 さ れて い る 暗号化 さ れ た メ ッ セ 一 ジ W ( m ) を復号 し 、 メ ッ セ ー ジ m を得 る こ と 力《で き る ( S 1 4 ) 。
以上 の 説 明 は、 利用 者 に 対 し て確実 に 必要 な 情報を配 送 し 、 かつ 利用 者 の カ ー ド に 記録 さ れ た こ と を情報提供 者が確認で き る も の で あ る 。 例 え ば、 メ ッ セ ー ジ m を著 作物 な ど の 有料情報 と し た 時、 情報暗号 化用 秘密鍵 Wで 暗号 化 し た W ( m ) を あ ら 力、 じ め利用 者 に 送信 し 、 ま た は C D — R O M等 の 媒体 に 記録 し て配布 し て お き 、 そ の 後情報提供者が前記情報暗号化用 秘密鍵 W を上記 の 配送 方法 に よ っ て送信す る こ と に よ り 、 メ ッ セ ー ジ m を 間違 い な く 購入 し た利用 者 に 対 し て著作権使用 料 な ど の情報 料を徴収す る と き に 、 情報提供者 は履歴管理手段 3 4 に 記録管理 さ れ た通信履歴を利用 で き る 。 ま た 、 電子 メ ー ル に お い て郵便 内容 m を情報暗号 化用 秘密鍵 Wで暗号 化 し 、 あ ら 力、 じ め配達先 に W ( m ) を送信 し て お き 、 後 日 電子 メ 一 ル管理者か ら 配達先 に 対 し て前記情報暗号 化用 秘密鍵 W を上記 の 配送方法 に よ り 送信す る こ と に よ り 、 電子 メ ー ル管理者 は電子 メ ー ルの配達証明 に 利用 で き る な ど、 さ ま ざ ま な 利用 が可能で あ る 。
以上説明 し た と お り 、 こ の第 1 実施例で は 、 第一 に 情 報提供者 に よ る 利用 者 の 認証方法 と し て ゼ ロ 知識証明 プ 口 ト コ ルを利用 し て い る た め、 ゼ ロ 知識証明 プ ロ ト コ ル の 目 的 や従来力、 ら の 利用 方法力、 ら い っ て も 、 利用 者が正
5
当 な カ ー ドを利用 し て い な ければ情報提供者の検証を ク リ ア し 続け る こ と は ほ と ん ど不可能であ り 、 認証段階で ほぼ完全 に拒絶 ざれ る 。
第二に情報提供者か ら 配送情報を利用者へ配送す る 部 分で は、 配送情報を.ゼ ロ 知識証明 プ ロ ト コ ル の検査文に 含めて配送を行な っ てい る た め、 ゼ ロ 知識証明 プ ロ ト コ ルが正常 に終了すれば、 カ ー ド上 に お い て間違い な く 検 査文、 すな わ ち 配送情報を受信 · 記録 し 、 適正な処理を し て い た こ と に な る 。 ま た、 途中で情報提供者の検証に 失敗 し た場合 に は そ れ以降の認証 は打 ち 切 ら れ、 残 り の 検査文 は配送 さ れな い た め、 利用者が知 る こ と の で き る 配送情報 は検証 に失敗す る 以前の も の に 限 ら れ る 。
第三 に通信履歴 (前記 X i 、 前記 Y i 、 前記検査文 e j i ) を記録管理す る こ と に よ り 情報提供者 と 利用者 と の 間で正常な認証が行な われた こ と を情報提供者 は確認で き る の で、 第二の効果 と 合わせて利用者は配送情報を受 信 し 、 かつ カ ー ドの蓄積手段 1 4 に配送情報が記録 さ れ て い る はずであ る 。 こ の こ と は、 情報提供者か ら 開示 さ れ る 通信履歴 と 利用者か ら 提出 さ れ る カ ー ド に記録 さ れ た配送情報 と を照合す る こ と に よ っ て、 利用者が情報暗 号化用秘密鍵 Wを生成で き る 状態であ る か ど う かを判定 で き る 。 な お、 こ の場合、 利用者力、 ら カ ー ドの提出がな い場合に は、 情報暗号化用秘密鍵 W は生成で き る 状態に あ る と 判定す る 。
し たが っ て、 不正な利用者が シ ス テ ム を利用 し た り 、
あ る い は配送情報のすべてを不正 に搾取 し た り す る こ と はで き な い。 ま た 、 正常 に認証が終了 し て い る に も 関わ ら ず利用者が配送情報を受信 し て い な い な ど と い う 不当 な主張に対 し て、 情報提供者 は通信履歴を開示す る と と も に 、 利用者に カ ー ドを提出す る よ う 要求す る こ と に よ り 対抗で き る 。
な お 当然の こ と で あ る が、 上記の実施例 に お い て も 、 配送情報すベてを分割 し て検査文 e を生成す る 必要性 は な く 、 例え ば、 配送情報の始めか ら g η ビ ッ ト 目 ま で を検査文 e i ( j = l , … , n ) と し 、 n 組の検査文 e j iに よ る ゼ ロ 知識証明 プ ロ ト コ ルが終了 し た後、 配送情 報の残 り の部分を一括 し て送信す る よ う な 情報の配送方 法 も考え ら れ る 。 こ の場合、 n の値を様 々 に変え る こ と に よ り 、 ゼ ロ 知識証明 に お け る セ キ ュ リ テ ィ レ ベルを変 え ら れ る う え 、 通信量を削減で き る と い っ た特徴があ る 例え ば n を L w Z g の半分 と すれば、 通信量 も ほぼ半分 と な る 。
ま た、 検査文 e 』 iの生成方法 につ い て も 、 単純に配送 情報を分割 し て生成す る だ けでな く 、 ダ ミ ー情報を付加 し た り 、 あ る い は暗号化を行 っ た り し て生成す る こ と も 可能で あ る 。 こ の場合、 カ ー ド内 に あ ら 力、 じ め設定 さ れ てい る 秘密情報、 も し く は蓄積 さ れた検査文 e Mか ら 自 律的 に ダ ミ ー情報を除去、 あ る い は復号を行 っ た り し て 元の配送情報に復元す る 機能を持たせ る こ と に よ り 、 ゼ 口 知識証明 を正常に終了 し な い か ぎ り 、 前記配送情報を
7
取 り 出せな い よ う にで き る 。 し た力 つ て、 第三者 も し く は利用者が検査文 e j iを不正に搾取 し た り 、 大部分の検 査文 e j iを受信 し た後、 故意に認証を失敗 さ せ、 検査文 の う ち配送 さ れて こ な い残 り の部分を予測 し た り す る 等の不正行為を行な い 、 情報提供者が配送に失敗 し た と 判断あ る い は気がつ かな い う ち に 、 第三者 も し く は利 用者が配送情報を獲得 し て し ま う こ と がな い よ う にで き o
な お、 上述の第 1 実施例 に よ る 情報配送方法お よ び シ ス テ ム で は、 ゼ ロ 知識証明 プ ロ ト コ ルに必要な情報はす ベて耐 タ ン パ一装置上 に組み込 ま れてお り 、 実際の情報 配送 に お い て も耐 タ ンパ ー装置上 に組み込ま れた手段の みを用 い て実行 さ れ る た め、 前記情報が外部 に漏れ る こ と はな く 、 た と え カ ー ド所有者であ っ て も 前記情報を知 る こ と 力《で き な い。 し た力 つ て、 力 一 ド 自 体を偽造 し た り 、 あ る い は カ ー ド上の記録情報を書 き 変え た り す る 等 の不正行為を防止で き る 。
次に本発明の第 2 実施例 につ い て説明す る 。
図 5 は本発明 の第 2 実施例 に お け る 情報配送 シ ス テ ム の構成を示す ブ ロ ッ ク 図であ り 、 1 0 は情報提供者端末 2 0 か ら 情報の提供を受け る 利用者の端末 (利用者端末) を示 し 、 1 0 ◦ は通信回線 3 0 を制御す る 通信制御手段、 1 0 1 は利用者の秘密情報を蓄積 し てお く 利用者秘密情 報蓄積手段、 1 ◦ 2 は利用者が必要な情報を一時的に蓄 積す る 一時 メ モ リ 、 1 0 3 は利用者が乱数を生成す る た
め の乱数発生手段、 1 0 4 は利用者が必要な 演算をィ了 つ 機能を有す る 演算手段、 1 0 5 は共通鍵暗号方法 (例え ば、 D E S , F Ε A L ) に よ る 暗号通信を行 う た めの共 通鍵暗号手段、 1 0 6 は利用者が受信 し た情報を 出力 も し く は利用す る 情報出力 /利用手段であ る
ま た、 2 0 は情報を提供す る 情報提供者の端末 (情報 提供者端木 ) を示 し 、 2 0 0 は通信回線 3 〇 を制御す る 通 (1制御手段、 2 0 1 は情報提供者の秘密情報を蓄積 し て お く 情報提供者秘密情報蓄積手段、 2 0 2 は提供す る 情報が蓄積 し て あ る 情報デー タ ベー ス 、 2 0 3 は情報提 供者が必要な情報 ¾r ~■時的 に蓄 9 ―時 メ モ リ 、 2 0
4 は情報提供者が必要な演算を行 う 機能を有す る 演算手 段、 2 0 5 は共通鍵暗号方法 に よ る 暗号通信を行 う た め の共通鍵暗号手段、 2 0 6 は F i a t S h a m i r 法 に 基づい て 通 ίί系列の正当性を検証す る 検証手段であ る 3 0 は利 用者 と 情報提供者 と を通信で接続す る 通信回線を す。
以下、 図 6 の フ ロ ー チ ヤ ー 卜 に し たが つ て動作手順を 説明す る 。
ま ず基準段階 と し て、 信頼で き る セ ン タ が各利用者 ご と に Ρ 1 , q 1 , I , s を設定 し 、 こ の う ち N 1 と I を 利用者の公開情報 と し て公開 し 、 s を利用者の秘密情報 と し て利用者秘密情報蓄積手段 1 0 1 に蓄積 し て利用者 に秘密裏に配布す る 。 こ こ で、 P 1 と q 1 は そ れぞれ互 い に異な る 大 き な 素数であ り 、 N 1 = p 1 X q 1 であ る ま た 、 I = 2 ( m o d N 1 ) が成立 し て い る o 一
さ ら に 、 各情報提供者 と 各利用者の 間 に は シ ス テ ム秘 密鍵 s K を設定 し 、 利用者秘密情報蓄積手段 1 0 1 お よ び情報提供者秘密情報蓄積手段 2 0 1 に登録 し てお く 。 こ の シ ス テ ム秘密鍵 S K は 、 各情報提供者 と 各利用者の 間 ご と に異な る 方が好ま し い こ と は い う ま で も な いが、 シ ス テ ム設計上、 シ ス テ ム 全体の共通鍵 と し て 1 種類あ る い は複数種類の シ ス テ ム秘密鍵を複数の利用者で利用 し て も 構わ な い o
( 1 ) 配送確認ス テ ッ プ
利用者端末 1 0 は 、 乱数発生手段 1 〇 3 に よ り g 個の 乱数 R 1 ^ 2 , … , g ) を生成 し 、 一時 メ モ リ 1 0 2 に蓄積 し ( s 1 0 1 ) 、 そ の後、 それぞれの乱数 に つ い て演算手段 1 0 4 に よ り 初期応答 R 2
文 X i " i m o d N 1 ) ( i = 1 , 2 , … , g ) を計算 し ( S 1 0 2 ) 、 通信 回線 3 0 を介 し て情報提供者端末 2 0 に送 す る ( S 1 0 3 ) o
情報提供者端末 2 〇 は 、 受信 し た初期応答文 X i ( i
2 , …, g ) を一時メ モ リ 2 〇 3 に蓄積 し ( S 1
0 4 ) 、 そ の後、 利用者端末 1 〇 に 配送す る 情報 Mを情 報テ ー 夕 ベー ス 2 0 2 よ り 取 り 出 し て ( S 1 0 5 ) 、 情 報提供者秘密情報蓄積手段 2 〇 1 に蓄積 さ れ た シ ス テ ム 秘密鍵 S K を秘密鍵 と し て、 共通鍵暗号手段 2 0 5 に よ り 暗号化 し た暗号文 C E S K ( M ) を通信回線 3 0 を介 し て利用者端末 1 0 に送信す る ( S 1 0 6 ) o
利用者端末 1 0 は、 受信 し た暗号文 C を一時 メ モ リ 1
0 2 に蓄積 し ( S 1 0 7 ) 、 そ の後、 演算手段 1 0 4 に お い て暗号文 C を用 い て g ビ ッ ト の情報圧縮関数で あ る ハ ッ シ ュ 関数 h に よ り 検査文 e i = h ( C ) (
2 , … , ) を生成す る ( S 1 0 8 ) 。 生成 し た検査文 e . の そ れぞれの ビ. ッ 卜 i に対 し 、 一時 メ モ リ 1 〇 2 に 蓄積 さ れた 乱数 R i と 利用者秘密情報蓄積手段 1 〇 1 に 蓄積 さ れた利用者の秘密情報 s と 力、 ら e 0 な ら ば Y
R i を e = 1 な ら は Y i = s R j ( mod N 1 ) を計算 し ( S 1 0 9 ) ヽ 応答文 Y 2 g ) と し て情報提供者端末 2 0 に通信回線 3 0 を介 し て 送信す る ( S 1 1 0 ) o
情報提供 ¾α ^ 2 0 は 、 受信 し た応答文 Y i ( i 2 , … , ) を一時 メ モ リ 2 0 3 に蓄積 し ( S 1 1 1 ) そ の後、 演算手段 2 0 4 に お い て暗号文 C を用 い て g ビ ッ 卜 の情報圧縮関数であ る ハ ッ シ ュ 関数 h に よ り 検査文 e . = h ( c ) ( , 2 , ··· , g ) を生成す る ( S 1 1 2 ) o 検証手段 2 0 6 に お い て利用者の公開情報 I お よ び一時 メ モ リ 2 0 3 に蓄積 さ れた初期応答文 X i と 応答文 Y と 検査文 e . と 力、 ら そ れぞれの ビ ッ ト i に 対 し 、 e 0 な ら ば検証式 Y i 2 = X i ( mod N 1 ) を e j = 1 な 2
ら ば検証式 Y ί X . X I ( mod N 1 ) を 满 たすか ど う 力、 ¾·検証す る ( S 1 1 3 ) 。 こ の検証に失 敗 し た場合 に は利用者 は不正で あ る と 見做 し て そ れ以降 の利用 を禁止 し ( S 1 1 4 A ) 、 成功 し た場合 に は情報 M の配送が正常に終了 し た と 判断す る ( S 1 1 4 B ) o
2
( 2 ) 情報取 り 出 し ス テ ッ プ
利用者端末 1 は、 一時 メ モ リ 1 0 2 に蓄積 さ れた暗号 文 C を利用者秘密情報蓄積手段 1 0 1 に蓄積 さ れた シ ス テ ム秘密鍵 S K を秘密鍵 と し て共通鍵暗号手段 1 0 5 に よ り 情報 M = D SK ( C ) に復号 し て、 情報出カ ノ利用手 段 1 0 6 か ら情報 Mを 出力す る ( S 1 1 5 ) 。
上記の情報配送方法を用 い て配送確認ス テ ッ プが正常 に終了 し た こ と は、 ゼ ロ 知識証明 プ ロ ト コ ノレ に よ る 利用 者認証が正常 に行われた こ と の ほ か に 、 検査文 e i ( i = 1 , 2 , … , g ) が正 し く 生成 さ れた こ と の証明 と な る 。 ま た、 検査文 e i ( i = 1 , 2 , … , g ) は利用者 端末 1 0 が受信 し た暗号文 C よ り 情報圧縮関数であ る ハ ッ シ ュ 関数を用 いて生成 さ れ る こ と か ら 、 正 し い暗号文 C を受信 し な ければ正 し い検査文 e ¾ ( i = 1 , 2 , … g ) を生成す る こ と はで き な い 。 し た 力 つ て 、 検査文 e i ( i = 1 , 2 , … , ) を利用者が正 し く 生成で き る こ と と 、 利用者が暗号文 C (お よ び情報 M ) を正常に受 信 し た こ と と は同値 と な る 。 以上の説明か ら 明 ら かな よ う に 、 情報提供者は正確かつ確実に情報を利用者に配送 し た こ と を確認で き る 。
な お、 上記の説明 に お い て共通鍵暗号方法を利用 し て 暗号化 Z復号を行な っ て い る が、 公開鍵暗号方法を利用 し て も 当然構わ な い。 ま た 、 Fiat Shamir 法を も と に説 明 し たが、 本方法 は拡張 F i at Shamir 法 (太田 一 岡本 「 Fiat-Shamir 法の高次への拡張」 、 電子情報通信学会
技術研究報告 I S E C 8 8 - 1 3 ) を始め と す る 、 素因 数分解困難性あ る い は離散対数問題等の困難性 に安全性 の根拠を置 く 全て の ゼ ロ 知識対話証明 プ ロ ト コ ル に応用 が可能であ る
次 に 、 本発明の第 3 実施例 に つ い て説明す <3 o
図 7 は本発明 の第 3 の実施例 に お け る 情報酉己送 シ ス テ ム の構成を示す ブ 口 ッ ク 図で あ り 、 1 0 は情報提供者 2 0 力、 ら 情報の提供を受 け る 利用者の端末 (利用 者端末) を示 し 、 構成手段 は 図 5 に示す第 2 実施例 と 同様であ る 2 0 は情報を提供す る 情報提供者の端末 (情報提供者端 末) を示 し 、 2 0 0 か ら 2 0 6 ま での構成手段は第 2 実 施例 と 同様であ り 、 2 0 7 は情報任意 ビ ッ 卜 長の複数の ブ 口 ッ ク に分割 し 、 蓄積す る 情報分割手段、 2 0 8 は後 曰 情報を利用者 に配送 し た事実を証明す る 証拠 と し ての 通信履歴を言己録管理す る 通信履歴フ ァ ィ ルで あ る 。 3 0 は第 2 実施例 と 同様 に通信回線を表す o 4 0 は後 日 、 情 報提供者が通信履歴 フ ア イ ノレ 2 0 8 に 記録管理 し て い る 通信履歴につ い て、 中立的立場に よ り そ の通信履歴の正 当性を判定す る 調停者の端末 (調停者端末) を表 し 、 4 0 1 は必要な演昇を行 う 機能を有す る 演算手段、 4 〇 2 は調停者が必要な情報を一時的 に蓄積す る 一時 メ モ リ 、 4 0 3 は正当性の判定を依頼 さ れた通信履歴につ い て そ の正当性を検証す る 検証手段、 4 0 4 は情報を任意 ビ ッ ト 長の複数の ブ 口 ッ ク に分割 し 、 蓄積す る 情報分割手段 であ る
2
以下、 図 8 の フ ロ ー チ ヤ 一 ト に し た が つ て配送確認 ス テ ッ プ で の動作手順を 、 ま た 、 図 9 の フ 口 一 チ ヤ 一 卜 に し た が つ て調停で の動作手順 を説明 す る o 尚 、 準備段階 は 、 前述 し た 第 2 実施例 と 同様で あ る
( 1 ) 配送確認 ス テ ッ プ
情報提供者端末 2 0 は、 利用 者端末 1 0 に 配送す る 情 報 M を情報 デ ー タ べ 一 ス 2 〇 2 力、 ら 取 り 出 し ( S 1 2 1 ) 、 情報分割手段 2 〇 7 に お い て情報 M を 任意 ビ ッ ト 長 サ ィ ズ の 複数 の ブ ロ ッ ク に 分割 し 、 情報 ブ 口 ッ ク ] VI
( i 2 , … , m ) と し て蓄積す る ( S 1 2 2 ) o で は説 明 を 簡単 に す る た め 、 分割 し た ブ 口 ッ ク 数を m 、 全て の ブ ロ ッ ク に つ い ビ ッ ト 長 ¾· で一定 と す る 。
れ よ り 以下 の処理 は第 j ブ ロ ッ ク に つ い て の も の で あ り 、 第 1 ブ ロ ッ ク 力、 ら 第 m ブ ロ ッ ク ま で各 ブ 口 ッ ク ご と に 以下 の 処理 を順次 ( m 回 ) 繰 り 返 し 行 ラ o
利用 者端末 1 0 は 、 乱数発生手段 1 0 3 に よ り g 個 の 乱数 i = l , 2 g ) を生成 し た 後一時 メ モ リ 1 〇 2 に 蓄積 し ( S 1 2 3 ) 、 そ れぞれの 乱数 に つ い て演算手段 1 0 4 に よ り 初期応答文 X R 2 ( m o d
1 j " 1 J
N 1 ) ( i = 1 , 2 , … , ) を計算 し た 後一時 メ モ リ 1 0 2 に 蓄積す る ( S 1 2 4 ) 。 そ の 後、 利用 者秘密情 報蓄積手段 1 0 1 に 蓄積 さ れて い る シ ス テ ム 秘密鍵 S K を秘密鍵 と し て 、 共通鍵暗号手段 1 0 5 に よ り 暗号化 し た 暗号化初期応答文 c
X i广 E S K ( x 1 j ( i = 1 , 2 , g ) を通信回線 3 〇 を介 し て情報提供者端末 2 〇 に
送信す る ( S 1 2 5
情報提供者端末 2 0 は、 受信 し た 暗号化初期応答文 C h
= 1 , 2 を情報提供
( 1 , …, ) 者秘密情報
X 13
手段 2 0 1 に 蓄 M積 さ れて い る シ ス テ ム 秘密鍵 S K を秘密
B
鍵 と し て、 共通鍵暗号手段 2 〇 5 に よ り 初期応答文
復号 し て 、
= D SK ( ( i = l , 2 , …, g ) に
X
一時 メ モ リ 2 0 3 に蓄積す る ( S 1 2 6 ) 。 そ の 後 、 情
1
報提供者秘密情報蓄積手段 2 0 1 に蓄積 さ れて い る シ ス テ ム秘密鍵 S K を秘密鍵 と し て X 、 情報分割手段 2 ◦ 7 に
2
蓄積 さ れた情報 ブ ロ ッ ク M B , を共通鍵暗号手段 2 0 5 に よ り 暗号化 し た暗号文 プ ロ ッ ク C B
E SK ( M B J ) を通信回線 3 〇 を介 し て利用者端末 1 0 に送信す る ( S
1 2 7 )
利用者端末 1 0 は、 受信 し た 暗号文ブ ロ ッ ク C B
j を 利用者秘密情報蓄積手段 1 0 1 に蓄積 さ れて い る シ ス テ ム秘密鍵 S K を秘密鍵 と し て 、 共通鍵暗号手段 1 0 5 に よ り 情報 ブ ロ ッ ク M B = D SK ( C B . ) に 復号 し て、 情報出力 利用手段 0 6 力、 ら 情報 ブ ロ ッ ク M B を 出 力す る ( S 1 2 8 )
さ ら に情報ブ ロ ッ ク M B 』 を 出力す る と 同時 に 、 演算 手段 1 〇 4 に お い て情報 ブ ロ ッ ク M B と 一時 メ モ リ 1 0 2 に 蓄積 さ れた初期応答文 X u ( i = 1 , 2 , … , g ) と を用 い て一方向性 ラ ン ダム ハ ツ シ ュ 関数 h に よ り 検査 文 e
13 11 X g 3 } ( i = 1 ,
2 , g ) を生成 し ( S 1 2 9 ) 、 生成 し た検査文 e
2
れぞれの ビ
i jの そ ッ 卜 i に対 し 、 —時 メ モ リ 0 2 に蓄 積 さ れた乱数 R uと 利用者秘密情報蓄積手段 0 1 に蓄 積 さ れた利用者の秘密情報 s と 力、 e = 0 な ら ば Υ
l J
1 な ら ば γ . . = s R ( mod Ν 1 ) を
= R i 3を、 e i广 13
計算 し て ( S 1 3 0 ) 、 応答文 Y
l J ( 2 , …, ε ) と し て情報提供者端末 2 0 に通信回線 0 を介 し て 送信す る ( S 1 3 1 )
情報提供者端末 2 0 は、 受信 し た応答文 Y
13 ( i = l
2 , … , g ) を一時 メ モ リ 2 0 3 に蓄積 し ( S 1 3 2 ) そ の後 、 演算手段 2 0 4 に お い て一時 メ モ リ 2 0 3 に蓄 積 さ れた初期応答文 x u ( , 2 , …, g ) と 情報 分割手段 2 0 7 に蓄積 さ れた情報ブ ロ ッ ク M B j と を ffl い て、 —方向性ラ ン ダ ム ハ ッ シ ュ 関数 h に よ り 検査文 e
( M B . II
i广 h X l x 2 … II X gj) ( i = 1 , 2 …, ) を生成 し 、 一時 メ モ リ 2 0 に蓄積す る ( S 1
3 3 )
そ し て、 検証手段 2 0 6 に お い て利用者の 公開情報 I お よ び—時 メ モ リ 2 0 3 に蓄積 さ れた初期応答
文 X i jと 応答文 Y と 検査文 e i』と 力、 ら そ れぞれの ビ ッ ト i に対 し 、 e 0 な ら ば検証式 Y u 2 = X u ( mod N 1 ) を i 3
e . · = 1 な ら ば検
l J 証式 Y i _j 2 = X i .i X 1 ( mod N 1 ) を 満 たすか ど う かを検証す る ( S 1 3 4 ) 。 こ の検証に失 敗 し た場合に は利用者 は不正で あ る と 見做 し て直ち に プ
Cf 卜 つ ル の実行を中止 し ( S 1 3 5 ) 、 成功 し た場合に は全ての ブ ロ ッ ク が終了す る ま で以上の処理を繰 り 返す
( S 1 3 6 ) o そ し て 、 第 1 プ ロ ッ ク 力、 ら 第 m ブ ロ ッ ク ま で の 全て の ブ ロ ッ ク に つ い て検証 に 成功 し た 場合 に は 、 一時 メ モ リ 2 0 3 に 蓄積 さ れ た 情報 M、 検査文 e
i jヽ 応、 ( i = 1 , 2 , … , g : j = 1 , 2 , 答文 Y U … , m ) を通 信履歴 H と し て通信履歴 フ ァ イ ル 2 0 8 に 記録管理 す る ( S 1 3 7 ) o
( 2 ) 調停
後 曰 、 利用 者が情報 M を受信 し て い な い と 主張 し た 場 合 に は 、 情報提供者端末 2 0 は通信履歴 フ ア イ ノレ 2 0 8 に 記録管理 さ れ た 通 信履歴 H を提示 し 、 調停者端末 4 0 の 一時 メ モ リ 4 〇 2 に 蓄積す る ( S 1 4 1 ) o
調 停者端末 4 0 は 、 情報分割手段 4 0 4 に お い て、 一 時 メ モ リ 4 0 2 に 蓄積 さ れた 通信履歴中 の 情報 M に つ い て 、 情報 M を複数 の情報 ブ CJ ッ ク M B . ( j = 1 , 2, …, m ) に 分割 し て蓄積す る ( S 1 4 2 ) o
各 プ ロ ッ ク ( j ~ π ッ ク ) に つ い て 、 演算手段 4 0 1 に お い て禾 U用 者端末 1 0 の 公開情報 I と 一時 メ モ リ 4 0 2 に 蓄積 さ れ た 通信履歴 H 中 の 検査文 e Uお よ び応答 ぞれの ビ ッ
Y 卜
文 か ら そ れ i に 対 し 、 e i な ら ば 广 0
Y Y 2 m o d N 1 ) ¾r
i J i 3 ヽ e な ら ば X . . = Y i 3 ~ 1 3 2 I ( m o d N 1 ) を計算 し 、 計算結果
1 3 X u (
2 g ) を一時 メ モ リ 4 0 2 に 蓄積す る ( S 4 次 に 、 情報分割手段 4 0 4 に 蓄積 さ れ た 情報 ブ ロ ッ ク M B と 一時 メ モ リ 4 0 2 に 蓄積 さ れた 計算結果 X i
1 , 2 g ) と 力、 b 演算手段 4 〇 の一方向 性ラ ン ダ ム ハ ッ ン ュ 関数 h に よ り 検査文 e h ( M B
1 3
X
d 'I x 1 j 2 J II … ) ( i 2 , , g ) を 生成す る ( S 1 4 4 ) o
そ の後、 検証手段. 4 0 3 に お い て一時 メ モ リ 4 0 2 に 蓄積 さ れた通信履歴 H 中 の検査文 e U " 2 , … g ) と 一致す る 力、 ど う 力、を検査す る ( S 1 4 5 ) 。 全て の ブ 口 ッ ク (第 1 ブ ロ ッ ク か ら 第 m ブ D ッ ク ま で の m ブ ロ ッ ク ) に つ い て一致すれば ( S 1 4 6 ) 、 M信履歴 H の正当性が保証 さ れた こ と と な り ( S 1 4 7 ) ヽ そ う で な ければ通信履歴 H は無効 と な る ( S 1 4 8 ) o
上記の情報配送方法を用 い て配送確認ス テ ツ プが正常 に終了 し た と は、 ゼ 口 知識証明 プ ロ ト コ ル に よ る 利用 者認証が正常に行われ た こ と の ほ か に 、 検査文 e
i j i 2 , … , g : j = 1 , 2 , … , m ) が正 し く 生成 さ れた こ と の証明 と な る 。 ま た 、 検査文 e n i
2 , … , g : j = 1 , 2 , ··· , m ) は利用者が受信 し た 情報 ブ ロ ッ ク M B - 1 , 2 , … , m
J ( j = ) と 利用者が 生成 し た初期応答文 X i J ( , 2 , … , g : j = 1
2 , … , m ) と 力、 ら一方向性ラ ン ダ ム ハ ッ シ ュ 関数 h を 用 い て生成 さ れ る こ と 力、 ら 、 正 し い情報ブ D ッ ク M B -
J
( j = 1 , 2 m ) を受信 し な ければ正 し い検査文 e . . ( i = 1 , 2 , … , :
l 3 j = 1 , 2 , … , m ) を生 成す る こ と はで き な い。 し た が つ て 、 検査文 6 · ·
1 3
1 , 2 g : j 2 , … , m ) ¾r利用者が正 し
く 生成で き る こ と と 利用者が情報 ブ ロ ッ ク M B j ( j = 1 , 2 , … , m ) を正常 に受信 し た こ と と は 同値 と な る し た が っ て 、 情報提供者 は正確かつ確実に情報を利用者 に配送 し た こ と を確認で き る 。
な お、 上記の説明で は、 共通鍵暗号方法を利用 し て暗 号化 Z復号を行 つ た例を説明 し たが、 公開鍵暗号方法を 利用 し て も 当然構わ な い。 ま た 、 Fiat Shamir 法を も と に説明 を し たが、 本方法 は拡張 Fiat Shami r 法 (太田 一 岡本 「 Fiat -Shami r 法の高次への拡張」 、 電子情報通信 学会技術研究報告 I S E C 8 8 — 1 3 ) を始め と す る 、 素因数分解困難性あ る い は離散対数問題等の困難性 に安 全性の根拠を置 く 全ての ゼ ロ 知識対話証明 プ ロ ト コ ル に 対応が可能であ る 。
次に 、 検査文 e i j、 応答文 Y u、 ( i = 1 , 2 , … , g : j = 1 , 2 , … , m ) 、 情報 Μ力、 ら な る 通信履歴 Η の関係で は、 ゼ ロ 知識証明 プ ロ ト コ ル に お け る 検証式 と —方向性 ラ ン ダム ハ ツ シ ュ 関数 と に よ り 相互 に 関係 し 合 つ て い る た め、 一部を不正に 改竄す る な ど し て通信履歴 Η を偽造す る こ と は不可能で あ る 。 し たが っ て、 通信履 歴 Η を記録管理す る こ と に よ り 、 情報 Μを利用者が確実 に受信 し て い る こ と の証拠 と し て、 後 日 、 調停者な どの 中立的な第三者 に提示す る こ と がで き る 。
さ ら に 、 情報提供者端末 と 利用者端末 と の 間の通信が 情報 Μの分割 プ ロ ッ ク 数 m と 同 じ 回数だけ繰 り 返 し行わ れ る た め、 途中で情報提供者の検証 に失敗 し た場合 に は
そ れ以降 の 通信 は打 ち 切 ら れ、 残 り の 情報 プ ロ ッ ク は送 信 さ れな い 。 す な わ ち 、 利用 者が知 る こ と の で き る 情報 プ ロ ッ ク は検証 に 失敗す る 以前 の も の の み に 限 ら れ る の で、 情報提供者 の 検証を失敗 さ せ た 利用者 は結果 と し て 情報 M 全体を正 し 受信す る こ と が不可能 と な る 。 し た が っ て、 利用 者 の 秘密情報 s を知 ら な い 不正 な 利用 者が 不正 な 応答文 Y u ( i = l , 2 , … , g ) を送信す る 場 合 は も と よ り 、 応答文 そ の も の を送信 し な い よ う な 不正 行為を行 い 、 情報提供者が情報 M を利用 者 に 配送 し た事 実 を証明す る 通信履歴 H を情報提供者が記録管理で き な い に も か かわ ら ず、 利用 者が情報 M 全体 を不正 に 獲得 し て し ま う こ と 力《 な い よ う に す る こ と 力《可能で あ る 。
ま た 、 上記の 説明 で は 分割す る プ ロ ッ ク を 各 プ ロ ッ ク と も ビ ッ ト 長を g で一定 と し た が、 例 え ば第 1 ブ ロ ッ ク は 1 ビ ッ ト 、 第 2 ブ ロ ッ ク は 2 ビ ッ ト 、 第 3 ブ ロ ッ ク は 4 ビ ッ ト と い う よ う に ブ ロ ッ ク ご と に ビ ッ ト 長 サ イ ズを 変 え て も 当然構わ な い 。
以上の説明 は 、 情報提供者が情報 M を正確かつ 確実 に 利用 者 に 配送 し た こ と を証明 で き る も の で あ り 、 例 え ば 著作物な ど の 有料情報を情報 M と し て配送す る 場合、 あ る い は あ ら 力、 じ め暗号 化 さ れ た ソ フ ト ゥ ヱ ァ な ど を C D 一 R O M等 に よ り 無償 あ る い は有償で配布 し た 後、 暗号 化 さ れ た ソ フ ト ウ ユ ア を復号す る た め の鍵 を情報 M と し て配送す る 場合、 上記 の 情報配送方法 に よ っ て情報提供 者が利用者 に 情報 M を配送す る こ と に よ り 、 情報提供者
が記録管理す る 通信履歴 H を著作権使用料等の情報料あ る い は ソ フ 卜 ゥ ュ ァ の販売代金を徵収す る と き の証明铲冃 報 と し て利用で き る な ど、 様 々 な利用 が可能で あ る
次に、 本発明 の第 4 実施例 に つ い て説明す o
図 1 0 は本発明 の第 4 実施例 に お け る 情報配送 シ ス テ ム の 構成を示す ブ ロ ッ ク 図であ り 、 1 0 は情報提供者端 末 2 0 か ら 情報の提供を受け る 利用者の端末 (利用者端 末) を示 し 、 1 〇 〇 力、 ら 1 0 6 ま で は第 2 実施例 と 同様 の構成で あ り 、 1 0 7 は公開鍵暗号方法 (例え ば、 R S A , E 1 G a m a 1 ) に よ る 暗号通信を行 う た め の 公開鍵暗号 手段、 1 0 8 は分割 さ れた ブ ロ ッ ク 情報を元の情報再構 成す る 情報再構成手段、 1 0 9 は情報提供者か ら受信 し た情報を蓄積す る 情報蓄積手段であ る 。 2 0 は情報を提 供す る 情報提供者の端末 (情報提供者端末) を示 し 、 2 0 ◦ か ら 2 0 8 ま で は第 3 実施例 と 同様の構成であ り 、 2 0 9 は情報提供者が乱数を生成す る た め の乱数発生手 段、 2 1 0 は公開鍵暗号方法に よ る 暗号通信 tィ了 う た め の 公開鍵暗号手段であ る 。 3 〇 は第 2 実施例 と 同様に通 信回線で あ る o 4 0 は調停者端末を表 し 、 4 0 1 か ら 4 0 4 ま で は第 3 実施例 と 同様の構成であ り 、 4 0 5 は公 開鍵暗号方法に よ る 暗号化を打 う た め の公開鍵暗号手段 であ る
以下 1 の フ ロ ー チ ヤ 一 卜 に し た力 つ て配送確認 ス テ ツ プ と 情報取 り 出 し ス テ ッ プでの動作手順を、 ま た 図 1 2 の フ ロ 一 チ ヤ 一 ト に し た力 つ て調停での動作手順
1
を説明す る 。
ま ず 、 準備段階 と し て、 信頼で き る セ ン タ が各利用者 ご と に P 1 , q 1 , 1 , s , p 2 , q 2 , P U , S U を 設定 し 、 こ の う ち N 1 , N 2 , I , P U を利用者の公開 情報 (公開鍵) と して公開 し 、 s , S U を利用者の秘密 情報 (秘密鍵) と し て利用者秘密情報蓄積手段 1 0 1 に 蓄積 し て利用者 に秘密裏に配布す る 。 こ こ で、 ( P i , q 1 ) と ( P 2 , q 2 ) の各組 は そ れぞれ互 い に異な る 大 き な素数の組 に な つ てお り 、 N 1 = p 1 X q 1 、 N 2 = P 2 X q 2 で あ る 0 ま た、 I = s 2 ( mod N 1 ) , P U X S U = 1 ( mod (P2-1) (q2-l)) が成立 し て い る 。 な お、 P 1 = P 2 , q 1 = q 2 と し て も よ い 。
( 1 ) 配送確認ス テ ツ プ
利用者端末 1 0 は 、 乱数発生手段 1 0 3 に よ り g X m 個の乱数 R jk ( j = 1 . 2 , - , g : k = 1 , 2 , m ) ¾r生成 し 、 一時 メ モ リ 1 0 2 に蓄積す る ( S 1 5 1 ) 。 そ れぞれの乱数につ い て演算手段 1 〇 4 に よ り 初期応 答文 X jk= R jk ( mod N 1 ) ( j = 1 , 2 , …, g : k = 1 , 2 , …, m ) を計算 し ( S 1 5 2 ) 、 通信回線 3 0 を介 し て情報提供者 に送信す る ( S 1 5 3 ) o
情報提供者端末 2 〇 は、 受信 し た初期応答文 X jk ( = 1 , 2 , …, : k = 1 , 2 , … , m ) を一時 メ モ リ 2 0 3 に蓄積 し ( S 1 5 4 ) 、 ま た乱数発生手段 2 〇 9 に よ り 乱数文 Z を ラ ン ダム に 生成 し て一時 メ モ リ 2 0 3 に蓄積す る ( S 1 5 5 ) o
2
次 に 、 初期応答文 X J k ( J = 1 , 2 , , : k = 1
2 , m ) と 乱数文 Z と 力、 ら 演算手段 2 0 4 の一方向 性ラ ン ダム シ ュ 関数 h に よ り ビ ッ ト サ イ ズの情報 暗号化用秘密鍵 W j = h ( Z II X 1 1 Ί x 2 1 II
( j = 1 2 , g ) を生成 し て一時 メ モ リ 2 0 3 に 蓄積す る S 1 5 6 ) o こ こ で、 一般 に g の 値 は共通鍵 暗号手段 0 5 お よ び共通鍵暗号手段 2 0 5 で使用す る 秘密鍵の 長 と 等 し い かそ れ以上で あ る 。 そ の後、 配送 す る 情報 M を情報デ — 夕 べ ー ス 2 0 2 か ら 取 り 出 し ( S 1 5 7 ) 情報暗号化用秘密鍵 W = 1 , 2 ,
ό ( j
g ) を秘密鍵 と し て共通鍵暗号手段 2 〇 5 に よ り 暗号文
C = E w ( M ) に暗号化 し た後、 利用者端末 1 〇 に暗号 文 C を通 回線 3 〇 を介 し て送信す る ( S 1 5 8 ) o 利用者端末 1 0 は、 暗号文 C を情報蓄積手段 1 0 9 に 受信ノ蓄 し た後、 受信 し た 旨を通信回線 3 0 を介 し て 情報提供 端末 2 0 に通知す る ( S 1 5 9 ) o
情報提供者端末 2 0 は 、 一時 メ モ リ 2 〇 3 に 蓄積 さ れ た情報暗号化用秘密鍵 W j ( j = 1 , 2 , g ) を利 用者の公開情報 P U を用 い て公開鍵暗号手段 2 1 0 に よ り 暗号化 し て検査文 e i = ( w , II w 2 P U
W g ) ( m o d N 2 ) ( i = 1 , 2 L ) を生成す る ( S 6 0 ) o な お 、 L は N 2 の ビ ッ 卜 長に等 し い o
次に 、 情報分割手段 2 0 7 に お い て検査文 e
i ( い 1 , 2 , , L ) を複数個の ブ 口 ッ ク に分割 し 、 検査文 ブ ロ ッ ク と し て蓄積す る ( S 1 6 1 ) o し は説明 を
簡単 に す る た め、 分割 し た プ ロ ッ ク 数 を m 、 全 て の ブ ロ ッ ク に つ い て ビ ッ ト 長 を g で一定 と し 、 分割 し た 検査文 を検査文 プ ロ ッ ク e B ( j = 1 , 2 , …, : k = 1 2 , …, m ) と 表す す な わ ち e B
jk e
(j+g(k - 1)) で あ り 、 例 え は e B. ii = e i , e
B g】 = e g ' e B 12
, m = e , の よ う に な
e g+1 ' e B し m し る o
こ れ よ り 以下の 処理 は第 k プ ロ ッ ク に つ い て の も の で あ り 、 第 1 ブ ロ ッ ク 力、 ら 第 m ブ ロ ッ ク ま で各 ブ ロ ッ ク ご と に 以下の処理 を順次 ( m 回) 繰 り 返 し 行 う 。
情報提供者端末 2 0 は 、 情報分割手段 2 0 7 に 蓄積 さ れ た 検査文 ブ ロ ッ ク e B jk ( j 1 , 2 , …, g ) を通 信回線 3 ◦ を介 し て利用 者端末 1 0 に 送信す る ( S 1 6
2 ) o
利用 者端末 1 0 は、 受信 し た 検査文 ブ ロ ッ ク e B j;k
( 3 = 1 , 2 , …, g ) を一時 メ モ リ 1 0 2 に 蓄積 し
( S 1 6 3 ) 、 そ の 後、 演算手段 1 0 4 に お い て受信 し た検査文 ブ 口 ッ ク e B j kの そ れ ぞれの ビ ッ ト j に 対 し 、 一時 メ モ リ 1 0 2 に 蓄積 さ れ た 乱数 R j kと 利用 者秘密情 報蓄積手段 1 0 1 に 蓄積 さ れ た 利用 者 の 秘密情報 s と か ら e B jk= 0 な ら ば Y jk= κ j kを e B jk 1 な ら ば Y jk= s R ]· k ( mod N 1 ) を計算 し て ( S 1 6 4 ) 、 応答 文 Y (】 = 1 , 2 , …, g ) と し て情報提供者端末 2 oに 通信回線 3 0 を介 し て送信す る ( S 1 6 5 ) 0
情報提供者端末 2 0 は 、 受信 し た 応答文 Y ( j
2 , …, g ) を一時 メ モ リ 2 0 3 に 蓄積 し ( S 1 6 6 )
4 -
そ の後、 検証手段 2 0 6 に お い て利用者の公開情報 I お よ び一時 メ モ リ 2 0 3 に蓄積 さ れた初期応答 x jkと 応、 答文 Y j kと 検査文 e j kと か ら そ れぞれの ビ ッ 卜 j に対 し 、 e - k = 0 な ら ば検証 2
χ η ( mod N 1 ) を、 e j k= 1 な ら ば検証式 γ 2 ― = X
j ,k nx 1 ( mod N 1 ) を満 たすか ど う かを検証す る ( S 1 6 7 ) 。 こ の検証 に失敗 し た場合 に は利用者 は不正で あ る と 見做 し て直 ち に プ ロ ト コ ルの実行を中止 し ( S 1 6 8 ) 、 成功 し た場合 に は 全ての ブ ロ ッ ク が終了す る ま で以上の処理を繰 り 返す
( S 1 6 9 ) 。 そ し て、 第 1 ブ ロ ッ ク 力、 り m ブ ロ ッ ク ま での 全ての ブ ロ ッ ク に つ い て検証に成功 し た場合 に は、 —時 メ モ リ 2 0 3 に蓄積 さ れた乱数文 z 、 検
査文 e jk、 応答文 Y j ( j = 1 , 2 , … , g : k = 1 , 2 , … , m ) を通信履歴 H と し て通信履歴フ ア イ ル 2 0 8 に記録管理 す る ( S 1 7 0 ) 。
( 2 ) 情報取 り 出 し ス テ ッ プ
利用者端末 1 0 は 、 情報再構成手段 1 0 8 に お い て、 —時 メ モ リ 1 0 2 に 蓄積 さ れた検査文 プ ロ ッ ク e B jk
( j = 1 , 2 , … , g : k = 1 , 2 , … , m ) か ら 検査 文 e i ( 1 , 2 , … , L ) を再構成 し ( S 1 7 1 ) 、 利用者秘密情報蓄積手段 1 0 1 に蓄積 さ れて い る 利用者 の秘密情報 S U を用 い て公開鍵暗号手段 1 0 7 に よ り 復 号 し て情報暗号化用秘密鍵 W j = ( e 1 II e 2 II … II e L ) SU ( mod Ν 2 ) ( j = 1 , 2 , … , g ) を獲得 し た 後、 情報蓄積手段 1 0 9 に蓄積す る ( S I 7 2 ) o
最後に 情報蓄積手段 1 0 9 に蓄積 さ れた情報暗号化 用秘密鍵 W ( j = 1 , 2 , … , ) を秘密鍵 と し て、 共通鍵暗号手段 1 0 5 に よ り 情報蓄積手段 1 0 9 に蓄積 さ れた暗号文 C を復号 し 、 情報 M = D v ( C ) を情報出 カ 利用手段 1 0 6 よ り 獲得す る こ と がで き る ( S 7
3 ) o
( 3 ) 調停
後 曰 、 利用者が情報 Mを受信 し てい な い と 主張 し た場 合 に は、 情報提供者端末 2 0 は通信履歴フ ア イ ル 2 0 8 に記録管理 さ れた通信履歴 H を提示 し 、 調停者端末 4 0 の一時 メ モ リ 4 0 2 に蓄積す る ( S 1 8 1 ) o
調停者端末 4 0 は、 各ブ ロ ッ ク (第 k プ ロ ッ ク ) につ い て一時 メ モ リ 4 0 2 に蓄積 さ れた通信履歴 H 中の検査 文 e jkお よ び応 Y j kか ら そ れぞれの ビ ッ ト j に対 し 、 演算手段 4 0 1 に お い て e 3k= 0 な ら ば X γ 2
( mod N 1 ) を 、 e jk= 1 な ら ば X jk Y 2 Z I ( mo d N 1 ) を計算 し 、 計算結果 x ( j = 1 , 2 , … , g ) を一時 メ モ リ 4 0 2 に蓄積す る ( S 1 8 2 ) o
次いで、 一時 メ モ リ 4 〇 2 に蓄積 さ れた計算結果 X j k
( j = 1 , 2 , … , g ) と 乱数文 Z と を用 い て演算手段
4 0 1 の—方向性 ラ ン ダ ム ノヽ ッ シ ュ 関数 h に よ り g ビ ッ ト サ イ ズの情報暗号化用秘密鍵 W j = h ( Z II X 11 " X
21 II … 'I ( j = 1 , 2 , … , g ) を生成 し ( S
8 3 ) 、 利用者の公開情報 P U を用 い て公開鍵暗号手段
4 0 に よ り 暗号化 し て検査文 e = ( W χ II W 2 II …
wそる
g ) P U ( m o d N 2 ) ( i = 1 2 , L ) を生成 S 1 8 4 ) o
後、 情報分割手段 4 0 4 に お い て検査文 e i ( i 2 , … , L ) を複数個の ブ ロ ッ ク に分割 し て、 検 査文 ブ σ ッ ク e B j k ( j = 1 ' 2 , …, g : k = 1 , 2
) 生成 し ( S 1 8 5 ) 、 最後 に 各 ブ ロ ッ ク (第 k ブ 口 ッ ク ) に つ い て 、 検証手段 4 0 3 に お い て一時 メ モ リ 4 〇 2 に 蓄積 さ れた通信履歴 H 中の検査文 e : k ( j = 1 , 2 g ) と 一致す る か ど う かを検査す る ( S 1
8 6 ) 。 全て の ブ ロ ッ ク (第 1 ブ ロ ッ ク 力、 ら 第 m ブ ロ ッ ク ま で の m ブ ロ ッ ク ) に つ い て一致すれば ( S 1 8 7 ) 通信履歴 H の正当性が証明 さ れた こ と に な り 、 利用者が 情報 M を受信 し て い る こ と が保証 さ れ た こ と と な り ( S
1 8 8 ) 、 そ う でな ければ通信履歴 H は無効 と さ れ る ( S 1 8 9 ) o
上記の情報配送方法を用 いれば 、 情報 M本体 は初め に 暗号文 C に暗号化 さ れて利用者 に送信 さ れ る た め、 暗号 文 C を利用者が受信 し た時点で は情報 Mを獲得 さ れ る こ と は な い 0 そ し て、 ゼ ロ 知識証明 プ ロ ト コ ルが正常に終 了 し た時点で、 ゼ ロ 知識証明 プ ロ ト コ ルに よ る 利用者認 証が正常に行われた こ と の ほ力、 に 、 検査文 e j ( j = 1 2 , … , g : k = 1 , 2 , …, m ) を利用者が正 し く 受 信 し た こ と の証明 と な る 。
ま た 、 検査文 e j k ( j 1 , 2 …, g : k = 1 , 2 … , m ) を利用者が復号す る こ と に よ り 情報暗号化用秘
7 一
密鍵 ( j = 1 , 2 , … , g ) を生成 し 、 生成 し た情 報暗号化用秘密鍵 W ( j = 1 , 2 , … , g ) を用 い て 暗号文 C を復号 し て情報 Mを獲得す る こ と がで き る 。 し た 力《 つ て、 検査文 e j k ( j = 1 , 2 , … , : k = 1 , 2 , … , m ) を利用者が正 し く 受信 し た こ と と 利用者が 情報 M を正常に受信 し た こ と と は同値 と な る 。 し た力《 つ て、 情報提供者は正確かつ確実 に情報を利用者 に配送 し た こ と を確認で き る 。
な お、 上記の説明 に お い て公開鍵暗号方法を利用 し て 暗号化ノ復号を行 っ て い る が、 共通鍵暗号方法を利用 し て も 当然構わ な い。 ま た 、 Fiat Shamir 法を も と に説明 し たが、 本方法 は拡張 Fiat Shami r 法 (太田 — 岡本 「 Fi at- Shami r 法の高次への拡張」 、 電子情報通信学会技術 研究報告 I S E C 8 8 — 1 3 ) を始め と す る 、 素因数分 解困難性あ る い は離散対数問題等の困難性に 安全性の根 拠を置 く 全ての ゼ ロ 知識対話証明 プ ロ ト コ ルに応用が可 能で あ る 。
次に、 検査文 e j 、 応答文 Y 』い ( j = 1 , 2 , … , g : k = 1 , 2 , … , m ) 、 乱数文 Z か ら な る 通信履歴 H の関係で は、 ゼ ロ 知識証明 プ ロ ト コ ルに お け る 検証式 と 一方向性ラ ン ダム ハ ツ シ ュ 関数 と に よ り 相互に関係 し 合 っ てい る た め、 一部を不正 に 改竄す る な ど し て通信履 歴 H を偽造す る こ と は不可能で あ る 。 し た力《 つ て、 通信 履歴 H を記録管理す る こ と に よ り 、 情報暗号化用秘密鍵 W j ( j = 1 , 2 , …, g ) を利用者が確実 に受信 し て
い る こ と の 証拠 と し て 、 後 日 、 調停者 な ど の 中立的 な 第 三者 に 提示す る こ と がで き る 。
さ ら に 、 情報提供者 と 利用 者 と の 間 の 通信が情報暗号 化用 秘密鍵 W』 ( j = 1 , 2 , … , g ) の 分割 ブ ロ ッ ク 数 m と 同 じ 回数 だ け繰 り 返 し 行 わ れ る た め 、 途 中で情報 提供者 の 検証 に 失敗 し た 場合 に は そ れ以降の 通 信 は打 ち 切 ら れ、 残 り の 検査文 は送信 さ れ な い 。 す な わ ち 、 利用 者が知 る こ と の で き る 検査文 は検証 に 失敗す る 以前の も の の み に 限 ら れ る の で 、 情報提供者 の 検証 を 失敗 さ せ た 利用 者 は暗号文 C を復号す る た め に 必要 な 情報 の一部 し か獲得す る こ と がで き ず、 結果 と し て正 し い 情報暗号化 用 秘密鍵 W j ( j = 1 , 2 , … , g ) を生成す る こ と が 不可能 と な る 。 し た が っ て 、 利用 者 の 秘密情報 s を知 ら な い 不正 な 利用 者が不正 な 応答文 Y j L ( j 1 , 2 , … g : k = 1 , 2 , ··· , m ) を送信す る 場合 は も と よ り 、 応答文 そ の も の を送信 し な い よ う な 不正行為を行 い 、 情 報提供者が情報 M を利用 者 に 配送 し た 事実 を 証明す る 通 信履歴 H を情報提供者が記録管理で き な い に も か かわ ら ず、 利用 者が情報 M を 獲得す る の に 必要 な 検査文 e j k
( j = 1 , 2 , … , : k = 1 , 2 , … , m ) を受信 し 情報 M を 不正 に 復号 ノ獲得 し て し ま う こ と が な い よ う に す る こ と が可能で あ る 。 ま た 、 上記の 説明 で は分割す る ブ ロ ッ ク を各 ブ ロ ッ ク と も ビ ッ ト 長を g で一定 と し た が 例 え ば第 1 ブ ロ ッ ク は 1 ビ ッ ト 、 第 2 ブ ロ ッ ク は 2 ビ ッ ト 、 第 3 ブ ロ ッ ク は 4 ビ ッ ト と い う よ う に プ ロ ッ ク ご と
に ビ ッ ト 長サ イ ズを変え て も 当然搆わ な い。
以上の説明 は、 情報提供者が大容量の情報 M を正確か つ確実に利用者に配送 し た こ と を証明で き る も の であ り 例え ば情報 Mを著作物な ど の 「 オ ン デマ ン ドサ ー ビ ス 」 と し ての有料情報 と し た場合、 上記の情報配送方法に よ つ て情報提供者が利用者 に情報 Mを配送す る こ と に よ り 情報提供者が記録管理す る 通信履歴 H を著作権使用料等 の情報料を徴収す る と き の証明情報 と し て利用 で き る な ど、 様 々 な 利用が可能で あ る 。
以上説明 し た と お り 、 本発明 の第 2 〜第 4 実施例の ゼ 口 知識証明 プ ロ ト コ ルを利用 し た情報配送方法で は、 第 —に プ ロ ト コ ルの動作 自 体は利用者認証 と し て の ゼ ロ 知 識証明 プ ロ ト コ ル と 同等で あ る た め、 ゼ ロ 知識証明 プ ロ ト コ ル と 同様に、 不正な利用者が情報提供者の検証を ク リ ァす る こ と は ほ ぼ不可能であ る 。 第二 に配送確認ス テ ッ プが正常 に終了 し た場合 に は、 ゼ ロ 知識証明 プ ロ ト コ ルが正常に終了 し た こ と と 同値であ る ので、 情報提供者 は正 し い利用者が情報を正 し く 受信 し て い る と 判断で き 叉、 情報を暗号化 し 暗号文 と し て送信す る こ と に よ り 第三者に よ る 情報の盗聴を防止 し 、 かつ第三者が情報を 解読す る た め に有効な情報 も 得 ら れな い よ う にす る こ と も で き る 。
叉、 本発明 の第 2 実施例 に よ れば、 暗号文の復号処理 を配送確認ス テ ツ プ と 切 り 離 し て実行す る こ と がで き る
叉、 本発明 の第 2 、 第 3 実施例 に よ れば、 例え ばハ ツ シ ュ 関数な どを用 い て情報 ( ま た は利用者が復号可能な 暗号文) か ら 検査文を生成す る こ と に よ り 検査文の サ イ ズを小 さ く す る こ と がで き 、 配送確認ス テ ッ プ に お け る 通信量及び処理時間を削減で き る 。
叉、 本発明 の第 3 実施例 に よ れば、 一方向性関数を用 い て検査文を生成す る こ と に よ り 、 情報 ( ま た は利用者 が復号可能な 暗号文) 、 応答文、 及び検査文 と か ら な る 通信履歴の偽造を不可能にす る 。
叉、 例 え ば不正な利用者 に よ る 利用 な ど に よ り 配送確 認ス テ ッ プの途中で情報提供者の プ ロ ト コ ル に失敗 し た 場合 に は、 直 ち に プ ロ ト コ ルの実行が中止 さ れ、 検証 に 失敗 し た 以降の プ ロ ッ ク は利用者 に送信 さ れな い こ と に な る た め、 結果 と し て情報 ( ま た は利用者が復号可能な 暗号文) 全て を不正 に獲得 し て し ま う こ と がな い よ う に で き る 。
叉、 本発明 の第 4 実施例 に よ れば、 大容量の情報を送 信す る 場合 に 、 第一に情報 は情報提供者が生成 し た情報 暗号化用秘密鍵に よ っ て初め に暗号化 さ れて利用者 に配 送 さ れ る た め、 利用者の認証が行われ る 以前 に情報本体 を利用者が取 り 出す こ と はで き な い。 第二に 情報暗号化 用秘密鍵 につ い て の み検査文 と し て配送確認を行 う こ と に よ り 、 通信量及び配送確認の た め の処理時間を大幅 に 短縮で き る 。 第三に配送確認ス テ ッ プが正常に終了すれ ば利用者 は検査文を正 し く 受信 し た こ と が確認で き 、 情
4
報取 り 出 し ス テ ツ フ に お い て情報暗号化用秘密鍵を獲得 す る こ と が保証 さ れ る ので、 こ の時点で初め て情報を間 違い な く 取 り 出す こ と がで き る 0 し たが つ て、 こ れ ら の 効果に よ り 情報配送方法が終了 し た場合 に は、 情報提供 者 は正規の利用者に対 し て情報を暗号化 し た状態で提供 し た後、 利用者が暗号化 さ れた情報を復号す る た め に必 要な情報を利用者に配送 し 、 かつ確実に利用者が受信 し た こ と 力《確認で き る の で、 情報提供者は情報を利用者ま で確実 に配送 し た と 判断で さ る 0
. 叉、 一方向性関数を用 い て情報暗号化用秘密鍵を生成 す る こ と に よ り 情報提供者 に と つ て都合の良 い情報暗号 化用秘密鍵を不正に生成で き な い よ う にす る こ と がで き o ま た 、 同様に一方向性関数を用 い る こ と に よ り 、 乱 数文 と 検査文 と 応答文 と か ら な る 通信履歴を偽造す る こ と は不可能に な る ので、 情報提供者は正規の利用者 に対 し て要求 さ れた情報を暗号化 し た状態で提供 した後、 利 用者が暗号化 さ れた情報を復号す る た め に必要な 情報を 利用者 に配送 し 、 かつ確実 に利用者が受信 し た こ と を後 日 証明で き る 証拠能力を持つ こ と がで き る o
叉、 検査文 につ い て暗号通 1§ を行 う こ と は、 情報暗号 化用秘密鍵 につ い て も 暗号 ¾i 1吕 を行な っ てい る こ と と 同 等の効果が得 ら れ る た め 、 第三者 に よ る 情報暗号化用秘 密鍵の盗聴を防止 し 、 かつ第三者が情報暗号化用秘密鍵 を解読す る た め に有効な情報 も 得 ら れな い よ う に も な る 叉、 検査文の復号処理を配送確言忍ス テ ツ プ と 切 り 離 し
て実行す る こ と がで き る o
叉、 例 え ば不正 な 利用 者 に よ る 利用 な ど に よ り 配送確 認 ス テ ツ プの 途中 で情報提供者 の 検証 に 失敗 し た 場合 に は 、 た だ ち に プ ロ ト コ ル の 実行が 中止 さ れ、 検証 に 失敗 し た 以降 の ブ ロ ッ ク は利用 者 に 送信 さ れ な い こ と に な る し た が つ て 、 情報提供者 の 検証を失敗 さ せ た 利用 者 は 暗 号 化 さ れ た 情報を復号す る た め に 必要 な 情報の 一部 し か 獲得す る こ と がで き ず、 結果 と し て情報本体 も し く は情 報暗号 化用 秘密鍵 を 生成す る こ と が不可能 と な る の で 、 不正 な 利用 者が要求 し た 情報を 不正 に 獲得 し て し ま う こ と が な い よ う に で き る 0
叉、 本発明 の第 3 、 第 4 実施例 に よ れば 、 偽造不可能 な 通信履歴を実 際 に 情報 を配送 し た 証拠 と し て 記録管理 す る こ と がで き 、 力、つ 必要 に 応 じ て提示で き る よ う に な る 。 さ ら に 、 情報提供者が情報を配送 し た 事実 の 証拠 と し て記録管理 し な け れ ば な ら な い 情報量が桜井 (特開平
5 - 1 2 3 2 1 ) の 方式 と 比較 し て大幅 に 削減で さ る o 叉、 情報提供者 と 利用 者 の 間で情報の 提供 の 有無 に つ い て調停を行 う 必要が生 じ た 場 情報提供者が通信履 歴を裁判所等 の 中立 な 調停機関 に提示 し 、 調停機関が証 拠能力 を有す る 通信履歴 に つ い て そ の正 当性 を 検査す る と に よ り 、 情報提供者 と 利用 者の ど ち ら の主張が正 当 で あ る の か を判定で き る 。 す な わ ち 、 情報提供者が利用 者 に 対 し て情報 ( ま た は利用 者が復号可能 な 暗号文) を 送信 し 、 かつ 利用 者が確実 に 受信 し た こ と を 、 後 曰 調停
者が確認で き る の で 、 利用 者が情報 ( ま た は利用 者が復 号可能 な 暗号文) を受信 し て い る に も 関わ ら ず、 利用者 が情報を受信 し て い な い な ど と い う 不 当 な 主張 を防止で さ る 0
叉、 こ れ ら の 実施例 に よ れば、 情報提供者が要求 さ れ た 情報を利用 者 に 確実 に 配送 し 、 かつ 利用 者が確実 に 受 信 し て い る こ と を情報提供者が確認で き る シ ス テ ム と な 。 た 、 必要 に 応 じ て情報提供者が利用 者 を認、証す る 利用 者認証方法 と し て の ゼ ロ 知識証明 プ ロ ト コ ル を単独 に 使用 す る こ と も で さ る 0
叉、 情報提供者 と 利用 者 の 間で暗号通信がで き る よ う に し た シ ス テ ム と な O
叉、 本発明 の第 4 実施例 に よ れば 、 情報提供者か ら 提 供 さ れ た 情報 を蓄積 し 、 利用 者が必要 に 応 じ て情報を利 用 で き る よ う に し た シ ス テ ム と る 。
叉、 情報暗号 化用 秘密鍵 の 生成機能 を有 し 、 情報暗号 化用秘密鍵 を用 い た 情報配送がで き ょ う に し た シ ス テ ム と な る
叉、 本発明 の 第 3 、 第 4 実施例 に よ れば、 証拠能力 を 有す る 通信履歴を必要 に 応 じ て提示で き る よ う に し た シ ス テ ム と な る 。
叉、 不正 な 利用 者で あ る こ と を検出 し た 際 に は 直 ち に プ ロ 卜 コ ル の 実行を 中止 し て、 不正 な 利用 者が要求 し た 情報を不正 に 獲得 し て し ま う こ と 力《 な い よ う に し た シ ス テ ム と な 。
叉、 裁判所等の 中立な 調停機関に よ り 、 証拠能力 を有 す る 通信履歴 につ い て そ の正当性を検査 し 、 情報提供者 と 利用者の ど ち ら の主張が正当で あ る の かを判定す る こ と がで き る よ う に し た シ ス テ ム と な る 。
次 に本発明 の第 5 実施例 に つ い て説明す る ο
図 1 3 は本発明の第 5 実施例 に お け る 情報配送 シ ス テ ム の 構成を示す ブ ロ ッ ク 図で あ り 、 1 0 は情報提供者 に 対 し て情報の配送を必要 と す る 利用者 (端末) を示 し 、
1 0 0 は通信回線 3 0 を制御す る 通信制御手段、 1 0 1 は セ ン 夕 が作成 し 利用者の秘密情報を蓄積 し て お く 禾 ϋ用 者秘密情報蓄積手段、 1 〇 5 は共通鍵暗号方法 (例え ば
D E S , F E A L ) に よ る 暗号通 ii ¾r仃 う た め の共通鍵 暗号手段、 1 0 7 は公開鍵暗号方法 (例え ば、 R S A ) に よ る 暗号通信を行 う た め の公開鍵暗号手段、 1 0 9 は 情報提供者か ら配送 さ れた情報を蓄積す る 情報蓄積手段
1 0 2 は利用者が必要な情報を一時的 に蓄積す る 一時 メ モ リ 、 1 〇 3 は利用者が乱数を生成す る た め の乱数発生 手段、 1 0 4 は必要な演 を行 う 演算手段、 1 0 6 は利 用者が要求 し た情報を 出力 も し く は利用す る 情報出力 Z 利用手段であ る 。
ま た、 2 0 は情報を提供す る 情報提供者 (端末) を示 し 、 2 0 0 は通信回線 3 0 を制御す る 通信制御手段、 2 0 1 はセ ン タ 力 作成 し た情報提供者の秘密情報を蓄積 し て お く 情報提供者秘密情報蓄積手段、 2 0 5 は共通鍵暗 号方法に よ る 暗号通 1§ を ΓΓ う た めの共通鍵暗号手段、 2
1 0 は公開鍵暗号方法に よ る 暗号 ¾ is ¾·ィ了 つ た め の公開 鍵暗号手段、 2 0 2 は提供す る 情報が蓄積 し て あ る 情報 デー タ ベー ス 、 2 0 3 は情報提供者が必要な情報を一時 的 に蓄積す る 一時 メ モ リ 、 2 0 9 は情報提供者が乱数を 生成す る た め の乱数.発生手段、 2 0 4 は必要な 演算を行 う 演算手段、 2 0 6 « Fiat Shami r 法 に基づい て通信系 列の正当性を検証す る 検証手段で あ る 。 3 0 は利用者 と 情報提供者 と を通信で接続す る 通信回線を表す O
以下、 図 1 4 の フ ロ ー チ ャ ー ト に し たが つ て情報配送 ス テ ッ プ、 配送確認ス テ ッ プ、 情報取 り 出 し ス テ ツ プの 動作手順を説明す る 。
ま ず基準段階 と し て、 信頼で き る セ ン 夕 力 各利用者 ご と に p l , q 1 , I , s p 2 , q 2 , P U , s Uを設 定 し 、 こ の う ち N l , N 2 , I , P U を利用者の公開情 報 (公開鍵) と し て公開 し 、 s , S U を利用者の秘密情 報 (秘密鍵) と し て利用者秘密情報蓄積手段 1 0 1 に蓄 積 し て利用者 に秘密裏 に配布す る P 1 . q 1 ) と ( p 2 , q 2 ) の各組は そ れぞれ互い に異な る 大 き な素数の組に な つ てお り 、 N 1 = P 1 X q 1 , N 2 = p 2 X q 2 であ る 。 ま た 、 I = s 2 ( mod N 1 ) , P U X S U = 1 ( mod (ρ2-1) (q2-l) ) が成立 し て い る 。 お P l = p 2 q l = q 2 と し て も よ い o
さ ら に 、 各情報提供者 ご と に P , q , P C , s C を設 定 し 、 こ の う ち N P C を情報提供者の公開情報 (公開 鍵) と し て公開 し 、 S C を情報提供者の秘密情報 (秘密
鍵) と し て情報提供者秘密情報蓄積手段 2 0 1 に蓄積 し て情報提供者に秘密裏 に 配布す る o p , q は 互 い に異な る 大 き な素数であ り 、 N = p q であ る 。 ま た 、
P C X S C = 1 ( m o d ( p - 1 ) ( q - 1 ) ) が成立 し て い る 。
( 1 ) 情報配送 ス.テ ッ プ
情報提供者 は 、 乱数発生手段 2 0 9 に よ り g ビ ッ ト サ ィ ズ の情報暗号化用秘密鍵 W ( 2 , g ) を生成 し て一時 メ モ リ 2 0 3 に蓄積す る ( S 2 0 1 ) o '
一般 に g の 値 は共通鍵暗号手段 1 0 5 2 0 5 で使用 す る 秘密鍵の鍵長 と 等 し い かそ れ以上あ る 。 お 、 こ こ で は情報暗号化用秘密鍵 W i ( 1 = 1 2 g ) に つ い て乱数発生手段 2 0 9 に よ り 生成 し て い る 力《 実 際 に は関数を使用 し て生成 し た り 、 あ る い は特定の秘密 鍵を一意的 に使用す る な ど し て も 構わ な い o
次に 、 利用者 に配送す る 情報 M を情報 7~ 一 夕 ベー ス 2
0 2 力、 ら取 り 出 し ( S 2 0 2 ) , 情報暗号化用秘密鍵 W
1 ( i = 1 2 , ··· , g ) を秘密鍵 と し て共通鍵暗号手 段 2 〇 5 に よ り 暗号文 C = E w ( M ) に暗号化 し た後
( S 2 〇 3 ) 、 利用者 に 暗号文 C を通信回線 3 0 ( お よ び通信制御手段 1 0 0 , 2 0 0 ) を介 し て送信す る ( S
2 0 4 )
利用者は 、 暗号文 C を情報蓄積手段 1 0 に受信ノ蓄 積 し た後、 受信 し た 旨を通信回線 3 0 を介 し て情報提供 者 に通知す る ( S 2 ◦ 5 )
( 2 ) 配送確認ス テ ッ プ
利用者 は、 乱数発生手段 1 0 3 に よ り g 個の乱数 R
( i = 1 , 2 , … ' g ) を生成 し 、 —時 メ モ リ 1 0 2 に 蓄積 し た後 ( S 2 0 6 ) 、 そ れぞれの乱数に つ い て演算 手段 1 0 4 に よ り 初期応答文 X R 2 m od N 1 )
( i = l , 2 , …に g ) を計算 し ( S 2 0 7 ) 、 情報提 供者の公開鍵 P C を用 い て公開鍵暗号手段 1 0 7 に よ り 暗号化初期応答文 c X i = X i PC ( mod N ) ( i
2 , …, g ) に暗号化 し て ( S 2 0 8 ) 、 通信回線 3 0 を介 し て情報提供者 に送信す る ( S 2 0 9 ) o
情報提供者 は、 情報提供者秘密情報蓄積手段 2 0 1 に 蓄積 さ れた秘密鍵 s C を用 い て公開鍵暗号手段 2 1 0 に よ り 受信 し た暗号化初期応答文 C X i を初期応答文 X i = C X . SC ( mod N ) ( i = 1 , 2 g ) に復号 し た後、 一時 メ モ リ 2 0 3 に蓄積す る ( S 2 1 0 ) o
次 に 、 一時 メ モ リ 2 0 3 に蓄積 さ れた情報暗号化用秘 密鍵 w i ( i = l , 2 , …, g ) を秘密鍵配送文 V i お よ び検査文 e i ( i = 1 , 2 , ) と し て一時 メ モ リ 2 0 3 に蓄積 し た後 ( S 2 1 1 ) 、 利用者の公開鍵 P
U を用 い て公開鍵暗号手段 2 1 ◦ に よ り 暗号化検査文 C e i = ( e 1 II e 0 II - II e „ ) PU ( mod N 2 ) ( i = 1 , 2 , ··' , I N 2 I ) に暗号化 し て ( S 2 1 2 ) 、 通 信回線 3 0 を介 し て送信す る ( S 2 1 3 ) 。 こ こ で、 I N 2 I は N 2 の ビ ッ ト 数を表す。
利用者 は、 '利用者秘密情報蓄積手段 1 0 1 に蓄積 さ れ た秘密鍵 S U を用 い て公開鍵暗号手段 1 0 7 に よ り 受信
し た暗号化検査文 c e ( i = l , 2 g ) を検査 文 e = ( C e C e 2 II … II C e I N2 I ) SU ( mod
N 2 ) ( i = 1 , 2 g ) に復号 し た後 一時 メ モ U 1 0 2 に蓄積す る ( S 2 1 4 ) o
次 に 、 演算手段 1 0 4 に お い て検査文 e の そ れぞれ の ビ ッ ト i に対 し 、 一時 メ モ リ 1 0 2 に蓄積 さ れた乱数 R { と 利用者秘密情報蓄積手段 1 0 1 に蓄積 さ れた利用 者の秘密情報 s と か ら e = 0 な ら ば Y i = R i を、 e な ら ば Y i = s R
i ( mod N 1 ) を計算 し ( S 2 、 応答文 Y i ( i = 1 , 2 , - , g ) と し て情報 提供者 に通信回線 3 0 を介 し て送信す る ( S 2 1 6 ) 。
情報提供者 は、 受信 し た応答文 Y i ( i = 1 , 2 , ··· g ) を一時 メ モ リ 2 0 3 に蓄積 し た ( S 2 1 7 ) 後、 検 証手段 2 0 6 に お い て利用者の 公開情報 I お よ び一時 メ モ リ 2 0 3 に 蓄積 さ れた初期応答文 X i と 応答文 Y ; と 検査文 e と 力、 ら そ れぞれの ビ ッ ト i に対 し 0 な ら ば検証式 Y i " = X i ( mod N 1 ) を、 e j = 1 な ら ば検証式 Y i 2 = X . x I ( mod N 1 ) を満 たすか ど う 力、 ¾·検証す る ( S 2 1 8 ) 。 こ の検証に失敗 し た場合 に は利用者 は不正で あ る と み な し て そ れ以降の利用 を禁 止 し ( S 2 1 9 A ) 、 そ う で な ければ正常 に終了す る ( S 2 1 B ) 0
) 情報取 り 出 し ス テ ヅ プ
利用者は、 一時 メ モ リ 1 0 2 に蓄積 さ れた検査文 ( i = 1 , 2 , g ) か ら 演算手段 1 0 4 に お い て秘
密鍵配送文 V . お よ び情報暗号化用秘密鍵 W i ( i = 1
2 , … , g ) を取 り 出 し 、 情報蓄積手段 1 0 9 に蓄積す る ( S 2 2 0 ) o
最後 に 、 情報蓄積手段 1 0 に蓄積 さ れた情報暗号化 用秘密鍵 W i い = 1 , 2 , … , g ) を秘密鍵 と し て、 共通鍵暗号手段 1 0 5 に よ り 情報蓄積手段 1 0 9 に蓄積 さ れた暗号文 C を復号 し ( S 2 2 1 ) 、 要求 し た情報 M = D W ) を情報出力 /利用手段 1 0 6 よ り 獲得す る こ と がで き る ( S 2 2 2 ) o
上記の情報配送方法を用 いれば、 情報 M は初 め に暗号 文 C に暗号化 さ れて利用者 に送信 さ れ る た め、 暗号文 C を利用者が受信 し た時点で は情報 Mを獲得 さ れ る こ と は な い。 そ し て、 ゼ ロ 知識証明 プ ロ ト コ ルが正常に終了 し た時点で、 ゼ ロ 知識証明 プ ロ ト コ ル に よ る 利用者認証が 正常に行われ た こ と の ほ 力、 に 、 検査文 e 1 ( i = 1 , 2 … , g ) を利用者が正常 に受信 し 、 適切な処理を行 っ て い る こ と がわ力、 る 。
ま た 、 利用者 は検査文 e i ( i = 1 , 2 , … , g ) を 正 し く 受信 し ていれば情報暗号化用秘密鍵 W i ( i = 1 2 , … , g ) を生成 し 、 利用者が要求 し た情報の暗号文 C を復号 し て情報 Mを獲得す る こ と がで き る た め、 検査 文 e i ( i = 1 , 2 , … , g ) を利用者が正常に受信 し た こ と と 利用者が要求 し た情報を正常に受信 し た こ と と は同値 と な る 。 し たが つ て、 情報提供者は要求 さ れた情 報を正確かつ確実に利用者に配送 し た こ と を確認で き る
な お、 上記の説明 に お い て公開鍵暗号方法を利用 し て 暗号化 /復号を行 っ て い る 部分 につ い て は、 共通鍵暗号 方法を利用 し て も 当然構わ な い。 ま た 、 上記の説明で は
Fiat Shami r 法を も と に説明 し たが、 本方法 は拡張 Fiat Shamir 法 (太田 一 岡本 「 Fiat - Shamir 法の高次への拡 張」 、 電子情報通信学会技術研究報告 I S E C 8 8 - 1 3 ) を始め と す る 、 素因数分解困難性あ る い は離散対数 問題等の困難性に安全性の根拠を置 く 全ての ゼ ロ 知識対 話証明 プ ロ ト コ ルに 応用 が可能であ る 。
次に 、 本発明の第 6 実施例 につ い て説明す る 。
図 1 5 は本発明 の第 6 の実施例 に お け る 情報配送 シ ス テ ム の構成を示す プ ロ ッ ク 図であ り 、 シ ス テ ム 構成 は情 報提供者 (端末) 2 0 の情報提供者秘密情報蓄積手段 2 0 1 が必要な い こ と を除 き 、 第 5 実施例の構成 と 同様で あ る o
以下、 図 1 6 の フ ロ ー チ ャ ー ト に し た力く つ て情報配送 ス テ ッ プ 、 配送確認 ス テ ッ プ 、 情報取 り 出 し ス テ ッ プ の 動作手順を説明す る 。
ま ず、 準備段階 と し て、 信頼で き る セ ン 夕 が各利用者 ご と に p l , q 1 , I , s , p 2 , q 2 , P U , S U を 設定 し 、 こ の う ち N l , N 2 , I , P U を利用者の公開 情報 (公開鍵) と し て公開 し 、 s , S U を利用者の秘密 情報 (秘密鍵) と し て利用者秘密情報蓄積手段 1 0 1 に 蓄積 し て利用者 に秘密裏 に配布す る 。 こ こ で 、 ( p i , q 1 ) と ( p 2 , q 2 ) の各組 は そ れぞれ互い に異な る
大 き な素数の組に な つ てお り 、 N l - p l X q l , N 2 = p 2 x q 2 で あ る 。 ま た 、 I = s A ( mod N 1 ) , Ρ U X S U = 1 ( mod(p2-l) (q2-l) ) が成立 し て い る 。 な お 、 p l = p 2 , q l = q 2 と し て も よ い 。
( 1 ) 情報配送 ス テ ッ プ
第 5 実施例 と 同様であ る ( S 2 3 1 〜 2 3 5 ) 。
( 2 ) 配送確認ス テ ッ プ
利用者は、 乱数発生手段 1 0 3 に よ り I N 2 I 個の乱 数 R i ( i = 1 , 2 , ···, I N 2 I ) を生成 し 、 一時 メ モ リ 1 0 2 に蓄積 し た後 ( S 2 3 6 ) 、 そ れ ぞれの乱数 に つ い て演算手段 1 0 4 に よ り 初期応答文 X i = R . " ( mod 1 ) ( i = 1 , 2 , … , I Ν 2 I ) を計算 し ( S 2 3 7 ) 、 通信回線 3 ◦ を介 し て情報提供者 に送信 す る 。 ( S 2 3 8 ) 。 こ こ で、 I N 2 I は N 2 の ビ ッ ト 数を表す。
情報提供者 は、 受信 し た初期応答文 X i ( i = 1 , 2 , … , I Ν 2 I ) を一時 メ モ リ 2 0 3 に 蓄積す る ( S 2 3 9 ) 。 次に 、 一時 メ モ リ 2 0 3 に蓄積 さ れた情報暗号化 用秘密鍵 W i を秘密鍵配送文 V i ( i = 1 , 2 , … , g ) と し て利用者の公開鍵 P U を用 い て公開鍵暗号手段 2 1 0 に よ り 暗号化 し 、 検査文 e i = ( V i II V 2 II … II V „ ) PU ( mod N 2 ) ( i = 1 , 2 , … , I N 2 I ) を生 成 し た後、 一時 メ モ リ 2 0 3 に蓄積す る ( S 2 4 0 ) 。 そ の後、 検査文 e i ( i = 1 , 2 , - , Ι Ν 2 Ι ) を通 信回線 3 0 を介 し て送信す る ( S 2 4 1 ) 。
利用者は、 受信 し た検査文 e
i , 2 , … , I
N 2 1 ) を—時 メ モ リ 1 〇 2 に蓄積 し た ( S 2 4 2 ) 後 演算手段 1 0 4 に お い て検査文 e i の そ れぞれの ビ ッ 卜 i に対 し 、 一時 メ モ リ 1 〇 2 に蓄積 さ れた乱数 R i と 利 用者秘密情報蓄積手段 1 0 1 に さ れた利用者秘密情 報 s と か ら e i = 0 な ら ば Y , = R e . = 1 7よ ら i を、
ば Y R i ( m o d N 1 ) を計算 し ( S 2 4 3 ) 、 応 答文 Y i ( 1 = 1 , 2 , ··· , s ) と し て情報提供者 に通 信回線 3 0 を介 し て送信す る ( 5 2 4 4 )
情報提供者 は、 受信 し た応答文 Y i C i = 1 , 2 , …
I N 2 I ) ¾ —時 メ モ リ 2 0 3 に蓄積 し た ( S 2 4 5 ) 後、 検証手段 2 0 6 に お い て利用者の公開情報 I お よ び —時 メ モ リ 2 0 3 に蓄積 さ れた初期応答文 X j と 応答文 Y j と 検査 と カヽ ら そ れぞれの ビ ッ 卜 i に対 し 、 e
= 0 な ら ば検証式 Y i 2 = X i ( m o d N 1 ) を、 e i - 1 な ら ば検証式 Y i 2 X X I ( m o d N 1 ) を満 た すか ど う かを検証す る ( S 2 4 6 ) o こ の検証 に失敗 し た場合 に は利用者 は不正であ る と み な し て そ れ以降の利 用 を禁止 し ( S 2 4 7 A ) 、 そ う でな ければ正常に終了 す る ( S 2 4 7 B ) o
( 3 ) 情報取 り 出 し ス テ ッ プ
利用者は、 一時 メ モ リ 1 0 2 に蓄積 さ れた検査文 e i ( i = l , 2 , … , I N 2 I ) を利用者秘密情報蓄積手 段 1 0 1 に蓄積 さ れた秘密鍵 S U を用 い て公開鍵暗号手 段 1 0 7 に よ り 秘密鍵配送文 V ( e 1 2
3
N2 ) SU ( mod N 2 ) ( i = 1 , 2, …, g ) に復 号 し た ( S 2 4 8 ) 後、 演算手段 1 〇 4 に お い て情報暗 号化用秘密鍵 W i ( g ) を取 り 出 し 、 情報蓄積手段 1 0 9 に蓄積す る ( S 2 4 9 ) 。
最後 に 、 情報蓄積手段 1 0 9 に蓄積 さ れた情報暗号化 用秘密鍵 W i ( i = 1 , 2 , …, g ) を秘密鍵 と し て、 共通鍵暗号手段 1 〇 5 に よ り 情報蓄積手段 1 0 9 に蓄積 さ れた暗号文 C を復号 し ( S 2 5 0 ) 、 要求 し た情報 M = D ,„ ( C ) を情報出カ 利用手段 1 0 6 よ り 獲得す る こ と がで き る ( S 2 5 1 )
上記の情報配送方法を用 い れば、 第 5 実施例 と 全 く 同 等の効果が得 ら れ る 。 ま た第 5 実施例 と 比較 し て 、 一時 メ モ リ 等 に蓄積 し な ければな ら な い情報量の サ イ ズ は大 き く な る が、 処理速度の遅い 公開鍵暗号方法を利用 す る 回数が 1 回ですむた め、 処理時間の短縮化が期待で き る 。
な お、 上記の説明 に お い て公開鍵暗号方法を利用 し て 暗号化ノ復号を行 つ て い る 部分 に つ い て は共通鍵暗号方 法を利用 し て も 当然構わ な い。 ま た、 上記の説明で は F i at Shamir 法 ¾r も と に説明 し たが、 本方法は拡張 Fiat S hami r 法 (太田 一 岡本 「 Fi at - Sham i r 法の高次への拡張」 、 電子情報通信学会技術研究報告 I S E C 8 8 - 1 3 ) を始め と す る 、 素因数分解困難性あ る い は離散対数問題 等の困難性に安全性の根拠を置 く 全ての ゼ ロ 知識対話証 明 プ ロ ト コ ルに応用が可能で あ る 。
次に 、 本発明 の第 7 実施例 につ い て説明す る 。
図 1 7 は本発明の第 7 の実施例 に お ける 情報配送 シ ス テ ム の構成を示す プ ロ ッ ク 図で あ り 、 1 0 は利用者 (端 末) を示 し 、 公開鍵暗号手段 1 〇 7 が必要な い こ と を除 い て 1 0 〇 力、 ら 1 0 9 ま で の構成手段は第 6 実施例 と 同 様であ り 、 1 1 0 は情報配送要求文を作成す る 入力手段 で あ る 。 2 0 は情報提供者 (端末) を示 し 、 公開鍵暗号 手段 2 1 0 が必要な い こ と を除い て 2 0 0 か ら 2 0 6 ま で と 2 0 9 の構成手段 は第 6 実施例 と 同様で あ り 、 2 〇 8 は後 日 、 情報を利用者 に配送 し た事実を証明す る 証拠 と し て の通信履歴 H を記録管理す る 通信履歴 フ ァ イ ルで あ る 。 3 ◦ は利用者 と 情報提供者 と を通信で接続す る 通 信回線を表す。 4 0 は後 日 、 情報提供者が通信履歴フ ァ ィ ノレ 2 0 8 に記録管理 し て い る 通信履歴 H に つ い て、 中 立的立場 に よ り そ の通信履歴 H の正当性を判定す る 調停 者 (端末) を表 し 、 4 〇 2 は調停者が必要な情報を一時 的 に蓄積す る 一時 メ モ リ 、 4 0 1 は必要な演算を行 う 演 算手段、 4 0 3 は正 当性の判定を依頼 さ れた通信履歴 H に つ い て そ の正当性を検証す る 検証手段であ る 。
以下、 図 1 8 の フ ロ ー チ ャ ー ト に し たが つ て情報配送 ス テ ッ プ、 配送確認ス テ ッ プ、 情報取 り 出 し ス テ ッ プの 動作手順を、 ま た 図 1 9 の フ ロ ー チ ヤ ー 卜 に し'たが つ て 調停での動作手順を説明す る 。
ま ず、 準備段階 と し て 、 信頼で き る セ ン 夕 が各利用者 ご と に p 1 , q 1 , I , s を設定 し 、 こ の う ち N 1 と I を利用者の公開情報 と し て公開 し 、 s を利用者の秘密情
5
報 と し て利用者秘密情報蓄積手段 1 0 1 に蓄積 し て利用 者に秘密裏に配布す る 。 こ こ で 、 1 と 9 1 は互ぃ に異 な る 大 き な素数を表 し 、 N l = p l x q l で あ る 。 ま た
1 = s 2 ( mod N 1 ) 力《成立 し て い る 。
( 1 ) 情報配送 ス テ ッ プ
利用者は、 情報提供者に提供 し て欲 し い情報につ いて 入力手段 1 1 0 か ら 情報配送要求文 R S を作成 し 、 一時 メ モ リ 1 0 2 に蓄積 し た ( S 2 6 1 ) 後、 通信回線 3 0 を介 し て情報提供者 に送信す る ( S 2 6 2 ) 。 こ こ で、 情報配送要求文 R S は、 例え ば図 2 0 に示す よ う に要求 曰 時、 利用者識別番号、 要求情報名 、 要求情報 コ ー ド等 力、 ら構成 さ れ る 。 な お、 図 2 0 は情報配送要求文 R S の 構成形態を表 し てい る 。
で は情報配送要求文 R S を利用者 よ り 情報提供者 に送信 し て い る が、 実際に は要求情報 コ ー ド の み を利用 者が情報提供者 に送信す る な ど し て、 情報提供者 と 利用 者がそ れぞれ独 自 に 同 じ 情報配送要求文 R S を作成す る よ う に し て も よ い。
情報提供者は、 乱数発生手段 2 0 9 に よ り 乱数文 Z を ラ ン ダム に生成 し ( S 2 6 3 ) 、 情報配送要求文 R S と 生成 した乱数文 Z と を一時 メ モ リ 2 0 3 に蓄積 し た ( S
2 6 4 ) 後、 情報配送要求文 R S と 乱数文 Z と か ら 演算 手段 2 0 4 中の第一の一方向性ラ ン ダム ハ ツ シ ュ 関数 f 1 に よ り g ビ ッ ト サ イ ズの情報暗号化用秘密鍵 W i = f 1 ( R S , Z ) ( i = 1 , 2 ·'· g ) を生成 し て一時
メ モ リ 2 0 3 に蓄積す る ( S 2 6 5 ) 。 こ こ で、 一般に の値は共通鍵暗号手段 1 ◦ 5 , 2 0 5 で使用 す る 秘密 鍵の鍵長 と 等 し い か そ れ以上で あ る 。 次に、 情報配送要 求文 R S 中 の要求情報 コ ー ドを も と に 、 そ の コ ー ド に 対 応す る 情報 Mを情報デー タ ベー ス 2 0 2 力、 ら取 り 出 し
( S 2 6 6 ) 、 情報暗号化用秘密鍵 W i ( i = 1 , 2 ,
… , g ) を秘密鍵 と し て共通鍵暗号手段 2 0 5 に よ り 暗 号文 C = E w ( M ) に暗号化 し た ( S 2 6 7 ) 後、 利用 者 に暗号文 C を通信回線 3 0 を介 し て送信す る ( S 2 6 8 ) o
利用者 は 、 暗号文 C を情報蓄積手段 1 ◦ 9 に受信 積 し た後、 受信 し た 旨を通信回線 3 0 を介 し て情報提供 者に通知す る ( S 2 6 9 ) c
( 2 ) 配 >ά ΪΒ β w a'ϊt、- ス テ ツ フ
利用者 は、 乱数発生手段 1 0 3 に よ り g 個の乱数 R i ( i = l , 2 , … , g ) を生成 し た後一時 メ モ リ 1 0 2 に蓄積 し ( S 2 7 0 ) 、 そ れぞれの乱数 につ い て演算手 段 1 0 4 に よ り 初期応答文 X i = R 2 ( mod N 1 ) ( i = l , 2 , … , g ) を計算 し た後一時 メ モ リ 0 2 に蓄積 し ( S 2 7 1 ) 、 初期応答文 X ( i 1 , 2 , … , g ) を通信回線 3 0 を介 し て情報提供者 に送 il す る ( S 2 7 2 ) 0
情報提供者は 、 受信 し た初期応答文 X ( = 1 , 2 … , g ) を一時 メ モ リ 2 0 3 に蓄積 し た ( S 2 7 3 ) 後 一時 メ モ リ 2 0 3 に蓄積 さ れた情報配送要求文 R S と 初
期応答文 X 2 , …, g ) と か ら 演算手段 2
0 4 中の >一の 一方向性 ラ ン ダ ムノヽ ッ シ ュ 関数 f 2 に よ り g ビ 'ソ ト サ ィ ズ の 鍵暗号化用秘密鍵 K i = f 2 ( R S , 1 X 2 II - II X g ) ) ( i = 1 , 2 , …, g ) を 生成 し ~ '時 メ モ リ 2 0 3 に蓄積す る ( S 2 7 4 ) 。 な お 、 f と f 2 は同 じ関数で も 当然構わ な い o
次 に ~ '時 メ モ リ 2 〇 3 に蓄積 さ れた情報暗号化用秘 密鍵 W と 鍵暗号化用秘密鍵 K ( . 2 , - , g ) と か ら 演算手段 2 ◦ 4 中の 第三 の関数 f 3 に よ り 秘密鍵 配送文 V i ( 1 = l , 2 g ) を生成 し 、 検査文 e ( ) と し て
1 1 2 , …, g 一時 メ モ リ 2 0 3 に蓄 積 し た S 2 7 5 ) 後、 利用者 に検査文 e i い = 1 '
2, … g ) を通信回線 3 0 を介 し て送信す る ( S 2 7 6 ) o こ で 第三 の関数 f 3 に は例え ば V
( W i K i ) = W . ® K i ( i = l , 2 g ) が あ o な お、 Θは排他的論理和を表す。
利用者 は、 受信 し た検査文 e
i い = 1 , 2, …, g ) を一時 メ モ リ 1 0 2 に蓄積 し た ( S 2 7 7 ) 後、 演算手 段 1 0 4 に お い て検査文 e —· の そ れぞれの ビ ッ ト i に対 し、 一時 メ モ リ 1 0 2 に蓄積 さ れた乱数 R i と 利用者秘 密情報 積手段 1 0 1 に蓄積 さ れた利用者の秘密情報 s と か ら e 0 な ら ば Y i = R j ¾ s e . = 1 な ら ば Y s R ( m o d N 1 ) を計算 し ( S 2 7 8 ) 、 応答文
Y ( , 2 , …, g ) と し て情報提供者に通信回
0 を介 し て送信す る ( S 2 7 9 ) o
情報提供者は、 受信 し た応答文 Y i ( i = l , 2 , … g ) を一時 メ モ リ 2 0 3 に蓄積 し た ( s 2 8 0 ) 後、 検 証手段 2 0 6 に お い て利用者の 公開情報 I お よ び一時 メ モ リ 2 0 3 に蓄積 さ れた初期応答文 X i と 応答文 Y i と 検査文 e i と か ら そ れぞれの ビ ッ ト i に対 し 、 e i = 0 な ら ば検証式 γ 2 = X i ( m o d N 1 ) をヽ e j = 1 な
2
ら ば検証式 Y = X X I ( m o d N 1 ) を満 たす力、 ど つ 力、 ¾r検証す る ( S 2 8 1 ) o こ の検証 に失敗 し ; ノロ に は利用者 は不正であ る と み な し て そ れ以降の利用 を禁 止 し ( S 2 8 2 ) 、 成功 し た場合 に は図 2 1 に示す よ う に 、 一時 メ モ リ 2 0 3 に蓄積 さ れた情報配送要求文 R S 乱数文 Z 、 検査文 e : 、 応答文 Y 】· ( i = 1 , 2 g ) を通信履歴 H と し て通信履歴 フ ア イ ル 2 0 8 に 記録 管理す る ( S 2 8 3 ) o な お、 図 2 1 は通信履歴 H の構 成形態を示 し て い る 。
( 3 ) 情報取 り 出 し ス テ ッ プ
利用者は、 一時 メ モ リ 1 ◦ 2 に蓄積 さ れた情報配送要 求文 R s と 初期応答文 X { ( i = 1 , 2 , … , ) と か ら 演算手段 1 0 4 中の第二の一方向性ラ ン 夕" ム ヽ ッ シ ュ 関数 f 2 に よ り g ビ ッ ト サ イ ズの鍵暗号化用秘密鍵 K · = f 2 ( R S X 2 X
g ) ) ( i = l , 2 , … , ε ) を生成 し 、 一時 メ モ リ 1 〇 2 に蓄積す る
( S 2 8 4 ) 。 次に 、 —時 メ モ リ 1 0 2 に蓄積 さ れた検 査文 e
1 ( 1 = 1 , 2 , … , g ) 力、 ら 秘密鍵配送文 V i
( i = 1 , 2 , … , g ) を生成 し 、 生成 し た秘密鍵配送
文 v と 鍵暗号化用秘密鍵 K ( i = 1 , 2 , … , g ) と か ら演昇手段 1 0 4 中の第三の関数 f 3 の逆関数 f 3 ' に よ り 情報暗号化用秘密鍵 W i ( i = 1 , 2 , ·'· , g ) を取 り 出 し 、 情報蓄積手段 1 0 9 に蓄積す る ( S 2 8 5 ) し こ で、 例え ば第三の関数 f 3 の V f ( W
K i ) = W i θ κ 1 ( 1 = 2 , … g ) に対 し 三の逆関数 は W f 3 ( V K ) 一 V Θ κ i ( 1 2 , g ) と な る 。 な お、 ®は排他 的論理和を す
最後 に、 情報蓄積手段 1 0 9 に蓄積 さ れた情報暗号化 用秘 m w ( i 2 , g ) を秘密鍵 と し て共 通鍵暗号手段 1 0 5 に よ り 情報蓄積手段 1 0 9 に蓄積 さ れた暗号文 C を復号 し ( S 2 8 6 ) 、 要求 し た情報 M =
( C ) を情報出カノ利用手段 1 0 6 よ り 獲得す る こ と がで き る ( S 2 8 7 )
( 4 ) 調停
後 曰 、 利用者が要求 し た情報を受信 し て い な い と 主張 し た り 、 情報配送の要求そ の も の を否定 し た場合 に は、 情報提供者 は通信履歴フ ァ ィ ノレ 2 0 8 に記録管理 さ れた 通信履歴 H を提示 し 、 調停者の—時 メ モ リ 4 0 2 に蓄積 す る ( S 2 1 )
停者は 、 m舁手段 4 0 1 に お い て利用者の公開情報
I と 一時メ モ リ 4 0 2 に蓄積 さ れた通信履歴 H 中の検査 文 e お よ び応答文 Y i か ら そ れぞれの ビ ッ ト i に対 し e i 0 な ら ば、 X Y 2 ( mod 1 ) を e ., = 1
な ら ば X i = Y i 2 ハ ( m o d N 1 ) を計算 し 、 一時 メ モ リ 4 0 2 に 蓄積す る ( S 2 9 2 ) 0
次に 、 一時 メ モ リ 4 0 2 に蓄積 さ れた通信履歴 H 中 の 配送要求文 R S と 乱数文 Z と 力、 ら 演算手段 4 0 1 中の第 一の 一方向性ラ ン ダム ハ ッ シ ュ 関数 f 1 に よ り 情報暗号 化用秘密鍵 W . = f 1 ( R S , Z ) ( i = 1 , 2
g ) を ( S 2 9 3 ) 、 ま た情報配送要求文 R S と 計算結 果 X i ( i = 1 , 2 , - , g ) と か ら 演算手段 4 0 1 中 の 第二の一方向性 ラ ン ダム ハ ツ シ ュ 関数 f 2 に よ り 鍵暗 号化用秘密鍵 K i = f 2 ( R S , ( X 1 II X 2 11 … II X g H ( , 2 , ···, g ) を そ れぞれ生成 し 、 一時 メ モ リ 4 0 2 に蓄積す る ( S 2 9 4 ) o そ し て 、 情報暗 号化用秘密鍵 W i と 鍵暗号化用秘密鍵 K . ( i = 1 , 2 , …, g ) と 力、 ら 演算手段 4 0 1 中 の第三の関数 f 3 に よ り 秘密鍵配送文 V i ( i = 1 , 2 , … . ) を生成 し ( S 2 9 5 ) 、 検査文 e i ( i = 1 , 2 , …, g ) と し て検証手段 4 0 3 に お い て一時 メ モ リ 4 0 2 に 蓄積 さ れ た通信履歴 H 中 の検査文 e i ( i 1 , 2 g ) と 一致す る か ど う かを検査す る ( s 2 9 6 ) 。 一致すれば、 通信履歴 H の正当性が証明 さ れた と に な り ( S 2 9 7 ) 、 利用者が情報配送を要求 し 、 かつ要求 し た情報を受信 し てい る こ と が保証 さ れ る 。 そ う でな ければ通信履歴 H は無効 と さ れ る ( S 2 9 8 ) o
上記の情報配运方式を用 い れば 、 情報 M は初 め に暗号 文 C に暗号化 さ れて利用者 に送信 さ れ る た め、 暗号文 C 一 6
を利用者が受信 し た時点で は情報 Mを獲得 さ れ る こ と は な い。 そ し て、 ゼ ロ 知識証明 プ ロ ト コ ルが正常に終了 し た時点で、 ゼ ロ 知識証明 プ ロ ト コ ル に よ る 利用者認証が 正常に行われた こ と の ほか に 、 検査文 e i ( i = 1 , 2 … , g ) を利用者が正常に受信 し た こ と の証明 と な る 。
ま た 、 検査文 e ( i = 1 , 2 , … , g ) の他は利用 者 自 身が作成 し た情報配送要求文 R S と 初期応答文 X i ( i = 1 , 2 , … , g ) と か ら 情報暗号化用秘密鍵 W i ( i = 1 , 2 , ··· , g ) を生成 し 、 利用者が暗号文 C を 復号 し て要求 し た情報 Mを獲得す る こ と がで き る た め、 検査文 e i ( i = 1 , 2 , … , g ) を利用者が正常に受 信 し た こ と と 利用者が要求 し た情報を正常に受信 し た こ と と は同値 と な る 。 し た力《 つ て、 情報提供者 は正確かつ 確実に情報を利用者に配送 し た こ と を確認で き る 。
ま た 、 上記の説明で は F i a t Shami r 法を も と に説明 し たが、 本方法 は拡張 Fi at Shami r 法 (太田 一 岡本 「 Fiat -Shamir 法の高次への拡張」 、 電子情報通信学会技術研 究報告 I S E C 8 8 — 1 3 ) を始め と す る 、 素因数分解 困難性あ る い は離散対数問題等の困難性に安全性の根拠 を置 く 全ての ゼ ロ 知識対話証明 プ ロ ト コ ルに 応用が可能 であ る 。
次に情報要求文 R S 、 乱数文 Z 、 検査文 e i 、 応答文 Y i ( i = l , 2 , … , g ) か ら な る 通信履歴 H の関係 では、 ゼ ロ 知識証明 プ ロ ト コ ル に お け る 検証式 と 第一お よ び第二の一方向性ラ ン ダム ハ ツ シ ュ 関数 と に よ り 相互
に 関係 し 合 つ て い る た め、 一部を不正 に改窻す る な ど し て通信履歴 H を偽造す る こ と は不可能で あ る 。 し たが つ て、 通信履歴 H を記録管理す る こ と に よ り 、 暗号文 C を 復号 し て利用者が要求 し た情報 M を獲得で き る た めの情 報暗号化用秘密鍵 W i ( i = 1 , 2 , … , g ) を利用者 が確実 に受信 し て い る こ と の証拠 と し て、 後 日 、 調停者 な どの 中立的な 第三者 に提示す る こ と がで き る 0
以上の説明 は、 利用者が情報配送の要求を情報提供者 に行い 、 情報提供者が要求 さ れた情報を正確かつ確実 に 利用者 に配送 し た こ と を証明で さ る ち のであ り 、 例え ば 情報 Mを著作物な どの有料情報 と し た 口 ヽ 上記の情報 配送方式に よ つ て情報提供者が利用者 に情報 M を送信す る こ と に よ り 、 情報提供者が記録管理す る 通信履歴 H を 著作権使用料等の情報料を徴収す る と き の証明情報 と し て利用で き る な ど、 様 々 な 利用 が可能であ る
次に本発明 の第 8 実施例 に つ い て説明す る
図 2 2 は本発明 の第 8 実施例 に お け る 情報配达 シ ス テ ム の構成を示す ブ 口 ッ ク 図で あ «9 、 1 0 は利甩者の端末 (端末 ) を示 し 、 1 〇 〇 力、 ら 1 0 7 ま で と 1 0 9 は第 5 の実施例 と 同様の構成であ り 、 1 1 0 は情報配送要求文 を作成す る 入力手段 、 1 0 8 は分割 さ れた ブ ロ ッ ク 情報 を元の情報 に 再構成す る 情報再構成手段であ る 。 2 0 は 情報提供者 (端末) を示 し 、 2 0 0 か ら 2 〇 6 ま で と 2 ◦ 9 と 2 1 0 は第 5 実施例 と 同様の構成であ り 、 2 0 8 は後 日 、 情報を利用者 に配送 し た事実を証明す る 証拠 と
6
し て の通 履歴 H を記録管理す る 通信履歴 フ ア イ ノレ 2
0 7 は情報利裏の、供なてのてる C Cを任意 ビ ッ ト 長の複数の ブ ロ ッ ク に分割 し 、 蓄積す る 情報分割手段で あ る 。 3 〇 は利用者 と 情報提供 者 と ^通 で接続す る 通信回線を表す。 4 0 は調停者
(端末) を表 し 4 0 1 力、 ら 4 0 3 ま で は第 7 実施例 と 同様の構成であ り 、 4 0 4 は情報を任意 ビ ッ ト 長の複数 の ブ Π ヅ ク に分割 し 、 蓄積す る 情報分割手段であ る
以下、 図 2 3 お よ び図 2 4 の フ チ ヤ ー ト に し たが つ て情報配送ス テ ツ プ、 配送確認ス テ ッ プ、 情報取 り 出 し ス テ ッ プの動作手順を、 ま た 図 2 5 の フ チ ヤ 一 ト に し たが つ て調停での動作手順を説明す る
ま ず、 備段階 と し て、 信頼で き る セ ン 夕 が各利用者 ご と に p q 1 , I s を設定 し 、 こ の う ち N 1 と I を利用者 公開情報 と し て公開 し s を利用者の秘密情 報 と し て 用者秘密情報蓄積手段 蓄積 し て利用 者 に秘密 に配布す る 。 し し 、 P 1 と q 1 は互い に異 な る 大 き 素数を表 し 、 Ν 1 = ρ 1 X q 1 であ る 。 ま た
1 = s 2 m o d N 1 ) が成立 し て い る 。
さ ら に 各情報提供者 ご と に ρ , q , P C , S C を設 定 し う ち N , P C を情報提供者の公開情報 (公開 鍵) と し 公開 し 、 S C を情報提供者の秘密情報 (秘密 鍵) と し 情報提供者秘密情報蓄積手段 2 0 1 に蓄積 し て情報提 者 に秘密裏に配布す る C p , q は互 い に異な 大 き な素数で あ り 、 Ν = p q でめ る 。 ま た、 P C X S = 1 ( m o d ( ρ - 1 ) ( q - i ) ) が成立 し て い る
( 1 ) 情報配送 ス 丁 ッ プ
利用者 は 、 情報提供者 に提供 し て欲 し い情報入力 に つ い て入力手段 1 1 0 か ら 情報配送要求文 R S を作成 し 、 —時 メ モ リ 1 0 2 に蓄積 し た ( S 3 0 1 ) 後、 情報提供 者の公開鍵 P C を用 い て公開鍵暗号手段 1 0 7 に よ り 暗 号化情報配送要求文 C R = R s p c ( m o d N ) に 暗号化 し
( S 3 0 2 ) 、 通 ί¾ 回線 3 〇 を介 し て情報提供者に达 15 す る ( S 3 0 3 ) ο 情報配送要求文 R S は、 第 7 実施例 と 同 じ ょ う に 、 例え ば要求 日 時、 禾 IJ用 者識别番 号、 要求情報名 、 要求情報 コ ー ド等か ら 構成 さ れ る 。
情報提供者 は 情報提供者秘密情報蓄積手段 2 0 1 に 蓄積 さ れた秘密鍵 S C を用 い て 公開鍵暗号手段 2 1 0 に よ り 受信 し た暗号化情報配送要求文 C R を情報配送要 求文 R S = C R S C ( m o d N ) に 復号 し た後一時メ モ リ 2 0 3 に蓄積 し ( S 3 0 4 ) 、 ま た 乱数発生手段 2 〇 9 に よ り 乱数文 z を ラ ン ダ ム に 生成 し た後一時 メ モ 'J 2 0 3 に蓄積す る ( S 3 0 5 ) o
次 に 、 情報配送要求文 R S と 乱数文 Z と 力、 ら 演算手段 2 0 4 中の第—の一方向性ラ ン ダ ム ヽ ッ シ ュ 数 f 1 に よ り g ビ ッ ト サ イ ズの情報暗号化用秘密鍵 W i = f 1 ( R S , z ) ( i = 1 , 2 , g ) を生成 し て一時 メ モ リ 2 〇 3 に蓄積す る ( S 3 0 6 ) o こ こ で、 一般 に g の値 は共通鍵暗号手段 1 〇 5 , 2 0 5 で使用す る 秘密鍵 の鍵長 と 等 し い 力、 そ れ以上でめ る o そ の後、 情報配送要 求文 R S 中 の要求情報 コ ー ドを も と に 、 そ の コ 一 ド に対
応す る 情報 Mを情報デー タ ベー ス 2 〇 2 力、 ら取 り 出 し
( S 3 0 7 ) 、 情報暗号化用秘密鍵 W j ( i = 1 , 2 , … , g ) を秘密鍵 と し て共通鍵暗号手段 2 0 5 に よ り 暗 号文 C - E , w, ( M ) に暗号化 し た ( S 3 0 8 ) 後、 利用 者 に暗号文 C を通信回線 3 0 を介 し て送信す る ( S 3 0 9 )
利用者は 、 暗号文 C を情報蓄積手段 1 0 9 に受信 蓄 積 し た後、 受信 し た 旨を通信回線 3 0 を介 し て情報提供 者に通知す る ( S 3 1 0 ) o
( 2 ) 配送確認ス テ ツ プ
情報提供者 は 、 情報分割手段 2 0 7 に お い て一時 メ モ リ 2 0 3 に蓄積 さ れた情報暗号化用秘密鍵 W j ( i = 1 2 , … , g ) を任意 ビ ッ ト 長サ ィ ズ の複数の ブ 口 ッ ク に 分割 し 、 情報暗号化用 ブ ロ ッ ク 秘密鍵 と し て蓄積す る ( S 3 1 1 ) o こ こ で は説明 を簡単 にす る た め、 分割 し た ブ ロ ッ ク 数 ¾r m 、 全て の ブ 口 ッ ク に つ い て ビ ッ ト 長を L で一定 と し 、 分割 し た情報暗号化用秘密鍵を情報暗号 化用 ブ 口 ッ ク 秘密鍵 W B
13 ( i 2 , … , L : j = 1 , 2 , … , m ) と 表す す な わ ち 、 W B . ^ = W
(i+L(j 、 例え ば
- 1 ) )で あ W B 11 = W 1 ヽ w B L1 W
L 、 W B
12= W L+1 、 W B W g う に な
の よ る
こ れ よ り 以下 の 処理 は第 j ブ o ッ ク に つ い て の も の で あ り 、 配送確認ス テ ッ プ は第 1 ブ 口 ッ ク カ、 ら 第 m ブ 口 ッ ク ま で各 ブ ロ ッ ク ご と (; 以下の処理を順次 ( m 回 ) 繰 り 返 し 行 う 。
ま ず利用者 は、 乱数発生手段 1 0 3 に よ り L 個の乱数
2 , … , L ) を生成 し
R π ( i = l , た後一時 メ モ リ 1
0 2 に蓄積 し ( S 3 1 2 ) そ れぞれに つ い て演算手段 1 0 4 に よ り 初期応答文 X ;; = R 2 ( m o d N 1 )
1 J i 3 ( i
, 2 , L ) を計算 し た後一時 メ モ リ 1 0 2 に 蓄 積 し ( S 3 1 3 ) 、 初期応答文 X i j (
L ) を通信回線 3 0 を介 し て情報提供者 に送信す る ( S 3 1 4 ) 。
情報提供者 は 受信 し た 初期応答文 X i j ( , 2 L ) を一時 メ モ リ 2 ◦ 3 に蓄積 し た ( S 3 1 5 ) 後 一時 メ モ リ 2 〇 に蓄積 さ れた情報配送要求文 R S と 初 期応 2 , … , L ) と 力、 ら 演算手段 2
0 4 中 の 第二の 方向性ラ ン ダム ノヽ ッ シ ュ 関数 f 2 に よ り L ビ ッ ト サ イ ズ の鍵暗号化用秘密鍵 f 2 ( R S
Κ
( X ) ) ( , 2 , … , L ) を 生成 し て一時 メ モ リ 2 0 3 に 蓄積す る ( S 3 1 6 ) 。 な お 、 f 1 と f 2 は同 じ 関数で も 当然構わ な い
次 に 、 情報分割手段 2 0 7 に 蓄積 さ れた第 j ブ 口 ッ ク 目 の情報暗号化用 ブ 口 ッ ク 秘密鍵 W B Π 1 2 , L ) と 一時 メ モ リ 2 〇 3 に蓄積 さ れた鍵暗号化用秘 密鍵 , 2 , … , L ) と か
K i j 1 = ら 演算手段 2 0 4 中 の 第三の関数 f 3 に よ り 秘密鍵配送 ( i =
2 , … , L ) を生成 し 、 検査文 e U ( , 2 ,
L ) と し て一時 メ モ リ 2 0 3 に蓄積 し た ( 3 1 7 ) 後、 利用者 に検査文 e ; ( 2 , … , L )
1 i を通信回線
3 0 を介 し て送信す る ( S 3 1 8 ) こ で、 関数 f に は例 え ば V K W Θ κ
i 0 1 3 - " 1.3
( i = l 2 , … , L ) が あ る な お ® は排他的論理 和 を表す
利用 者 は 、 受信 し た 検査文 e . . ( , 2 , … , L ) を一時 メ モ リ 1 0 2 に 蓄積 し た ( S 3 1 9 ) 後、 演算手 段 1 0 4 に お い て検 の そ れぞれの ビ ッ ト
查文 e ij i に 対 し 、 一時 メ モ リ 1 0 2 に 蓄積 さ れ た 乱数 R uと 利用 者秘 密情報蓄積手段 1 〇 1 に 蓄積 さ れ た 利用 者 の 秘密情報 s と か ら 、 0 な を ヽ
ら ば Y 6
i ij = R ij ij = 1 な ら ば
R . ( mod N 1 ) を
Y i s 計算 し ( S 3 2 0 ) 、 応答
γ u ( i = 1 , 2 , … > L ) と し
文 て情報提供者 に 通信 回線 3 〇 を介 し て送信す る ( S 3 2 1 ) o
情報提供者 は 、 受信 し た 応答文 Y 2 , …
U i
L ) を一時 メ モ リ 2 0 3 に 蓄積 し た ( S 3 2 2 ) 後、 検 証手段 2 〇 6 に お い て利用 者 の 公開情報 I お よ び一時 メ モ リ 2 〇 3 に 蓄積 さ れ た 初期応答文 応答文
Y Uと 検査文 e と 力、 ら そ れぞれの ビ ッ ト 対 し 、
1 3 i に e = 0 i 3 な ら ば検証式 Y mod N
l J 1 ) をゝ e . . = 1 な
1 J
ら ば検証式 Y 2 ( mod N 1 )
i J x u x 1 を満 た す 力、 ど う か を検証す る ( S 3 2 3 ) o こ の検証 に 失敗 し 7 口 に は利用 者 は不正で あ る と み な し て 、 た だ ち に プ α 卜 n ル の 実行 を 中止 し ( S 3 2 4 ) 、 成功 し た ¾g 口 に はすべ て の プ ロ ッ ク が終了す る ま で以上 の処理を繰 り 返す ( S 3 2 5 ) 。 そ し て、 第 1 プ ロ ッ ク か ら 罘 m ブ 口 ッ ク ま で
の 全て の ブ ロ ッ ク に つ い て検証 に成功 し 合 に は、 一 時 メ モ リ 2 0 3 に蓄積 さ れた情報配送要求文 R S 、 乱数 文 Z 、 検査文 e
i = 1 , 2 , … , L : 応、
1 = 1 , 2 , … , m ) を通信履歴 H と し て通信履歴 フ ァ ィ ル 2 0 8 に記録管理す る ( S 3 2 6 )
( 3 ) 情報取 り 出 し ス テ ッ プ
利用者 は、 各 ブ ロ ッ ク に つ い て一時 メ モ リ 1 0 2 に蓄 積 さ れた情報配送要求文 R S と 初期応答文 X ij い - 1
2 , … , L : j = 1 , 2 , … , m ) ) と 力、 ら 演算手段 1 0 4 中の第二の一方向性 ラ ン 夕 ム /、 ッ シ ュ 関数 f 2 に よ り L ビ ッ 卜 サ イ ズの鍵暗号化用秘密鍵 K f 2 ( R S
1 j一
( X l X 2j Ί … 11 X ) ) ( 1 = 1 , 2 , … , L : j = 1 , 2 , … , m ) を生成 し 、 一時 メ モ リ 1 0 2 に蓄積 す る ( S 3 2 7 ) o
次に 、 一時 メ モ リ 1 0 2 に蓄積 さ れた検査 ij ( 1
= 1 , 2 , … , L : j = 1 , 2 , … , m ) か ら 秘密鍵配 送文 V i j ( i = 1 , 2 , … , L : j = 1 , 2 , … , m ) を生成 し 、 ( S 3 2 8 ) 、 生成 し た秘密鍵配送文 V i jと 鍵暗号化用秘密鍵 K ( i = 1 , 2 , … , L : j = 1 ,
2 , … , m ) と か ら 演算手段 1 0 4 中の第三の関数 f 3 の逆関数 f 3 ' に よ り 情報暗号化用 プ ロ ッ ク 秘密鍵 W B
, … , L : m ) を取 り
13 1 = 1 ' 2 j = 1 , 2 ,
出 し 、 情報再構成手段 1 0 8 に蓄積す る ( S 3 2 9 ) o こ こ で、 例え ば第三の関数 f 3 の V ; f 3
1 J W U' K ij) = V ij® K 2 , L
ίό 1 = 1 : j = 1 , 2 ,
… , m ) と な る 。 な お、 ®は排他的論理和を 3¾ "9 o そ の後 に 、 情報再構成手段 1 0 8 に よ り 蓄積 さ れた情 報暗号化用 ブ ロ ッ ク 秘密鍵 W B i』 ( i = 1 , 2 , … , L j = 1 . 2 , … , m ) を用 い て情報暗号化用秘密鍵 W; ( i = 1 , 2 , … , g ) に再構成 し て情報蓄積手段 0
9 に蓄積す る ( S 3 3 0 ) o
最後 に 、 情報蓄積手段 1 0 9 に蓄積 さ れた情報暗号化 用秘密鍵 W ( i = l , 2 , … , g ) を秘密鍵 と し て、 共通暗号手段 1 〇 5 に よ り 情報蓄積手段 1 0 9 に蓄積 さ れた暗号文 C を復号 し ( S 3 3 1 ) 、 要求 し た情報 M = D v ( C ) を情報出力 Z利用手段 1 0 6 よ り 獲得す る こ と 力《で き る ( S 3 3 2 )
( 4 ) 調停
後 日 、 利用者が要求 し た情報を受信 し て い な い と 主張 し た り 、 情報配送の要求そ の も の を否定 し た場合 に は、 情報提供者 は通信履歴フ ア イ ル 2 0 8 に記録管理 さ れた 通信履歴 H を提示 し 、 調停者の一時 メ モ リ 4 0 2 に蓄積 す る ( S 3 4 1 ) o
調停者 は、 演算手段 4 0 1 に お い て利用者の公開情報 I と 一時 メ モ リ 4 0 2 に蓄積 さ れた通信履歴 H 中の検査 文 e i jお よ び応答文 Y 力、 ら そ れぞれの ビ ッ
i J 卜 i に対 し e 0 な ら ば、 X ( mod N 1 )
3 1 D を e i广 1 な ら ば X i j = Y 2 I ( mod N 1 ) を計算
1 J し 、 一時 メ モ リ 4 0 2 に蓄積す る ( S 3 4 2 ) 。 次 に 、 一時 メ モ リ
4 0 2 に蓄積 さ れた通 履歴 H 中の情報配送要求文 R S
と 乱数文 Z と 力、 演算手段 4 0 1 中 の第一の一方向性 ラ ン ダム ハ ッ ン ュ 関数 よ り 情報暗号化用秘密鍵 W .
= f 1 ( R S , Z ) ( i = 1 , 2 , ··· , ) を生成 し た ( S 3 4 3 ) 後、 情報分割手段 4 0 4 に お い て情報暗号 化用 ブ 口 ッ ク 秘密鍵 W B U , 2 , …, L : j = 1 , 2 , m ) に分割 し て蓄積す る ( S 3 4 4 ) o 各 ブ 口 ッ ク (第 j ブ 口 ッ ク ) に つ い て、 一時 メ モ リ 4 0 2 に蓄積 さ れた情報配送要求文 R S と 計异 ½ 朱
X i J ( i = l , 2 L ) と 力、 ら 演算手段 4 0 1 中 の第二 の一方向性 ラ ン ダム ハ ツ シ ュ 関数 f 2 に よ り 鍵暗号化用 秘密鍵 K f 2 ( R S ,
i 3 X 2 j I' … II X
U ) ( i = l , 2 L ) を生成 し て一時 メ モ リ 4 0 2 に 蓄積す る ( S 3 4 5 ) 。 そ し て 、 情報分割手段 4 0 4 に 蓄積 さ れた情報暗号化用 ブ ロ ッ ク 秘密鍵 w ;と 時 メ モ
1 J 一 リ 4 0 2 に 蓄積 さ れた鍵暗号化用秘密鍵 K = 1 ,
1 J (
2 , … ' L ) と 力、 ら 演算手段 4 0 1 中の第三 の関数 f 3 に よ り 秘密鍵配送文 i = l , 2 , … , L )
V i j ( を生成 し ( S 3 4 6 ) 、 検査文 e 1 , 2 L
i j ( i = ) と し て検証手段 4 0 3 に お い て一時 メ モ リ 4 0 2 に蓄積 さ れた通信履歴 H 中 の検査文 e U " 2 , …, L ) と 一致す る か ど う かを検査す る ( S 3 4 7 ) 。 全て の ブ
D ッ ク ( ブ 口 ッ ク カ、 ら m ブ ロ ッ ク ま での m ブ 口 ッ ク ) につ い て一致すれば ( 5 3 4 8 ) 、 通信履歴 H の正 当性が証明 さ れた こ と に な り ( S 3 4 9 ) 、 利用 者が t 報配送を要求 し 、 かつ要求 し た情報を受信 し て い る こ と
7
が保証 さ れ る 。 そ う でな ければ通信履歴 H は無効 と さ れ る ( S 3 5 〇 ) 。
上記の情報配送方式を用 いれば、 第 7 実施例 と 同様の 効果が得 ら れ る ほか に、 情報提供者 と 利用者の 間で情報 配送要求文 R S に つ い て暗号通信 さ れて い る の で、 第三 者が通信系列を盗聴 し た と し て も 、 盗聴 し た通信系列か ら は情報配送要求文 R S お よ び鍵暗号化用秘密鍵 K i:
= 2 , … , L : j = 1 , 2 , … , m ) を求め る こ と がで き な い。 ま た、 情報暗号化用秘密鍵 W i ( i = 1 , 2 . … , g ) は検査文 e uと 鍵暗号化用秘密鍵 K i j ( i = 1 , 2 , … , L : j = 1 , 2 , … , m ) と 力、 ら 求 め ら れ る こ と か ら 、 情報暗号化用秘密鍵 W i ( i = 1 , 2 , …, ) を第三者が求め る こ と がで き な い こ と と 同 値 と な る の で、 第三者が暗号文 C を復号 し 、 不正に情報 Mを獲得す る こ と を防止す る こ と が可能 と な る 。
さ ら に、 情報提供者 と 利用者 と の 間の通信が情報暗号 化用秘密鍵 W i ( i = 1 , 2 , … , ) の分割 ブ ロ ッ ク 数 m と 同 じ 回数だ け繰 り 返 し 行われ る た め、 途中で情報 提供者の検証に失敗 し た場合 に は そ れ以降の通信は打 ち 切 ら れ、 残 り の検査文 は送信 さ れな い。 すな わ ち 、 利用 者が知 る こ と ので き る 検査文 は検証に失敗す る 以前の も の の み に 限 ら れ る の で、 情報提供者の検証を失敗 さ せた 利用者 は暗号文 C を復号す る た め に必要な情報の一部 し か獲得す る こ と がで き ず、 結果 と し て正 し い情報暗号化 用秘密鍵 W i ( i = 1 , 2 , … , g ) を生成す る こ と が
不可能 と な る 。
し たが っ て、 利用者の秘密情報 s を知 ら な い不正な利 用者が不正 な 応答文 Y i j ( i = 1 , 2 , … , L : j = 1 2 , … , m ) を送信す る 場合は も と よ り 、 応答文そ の も の を送信 し な い よ う な 不正行為を行い 、 情報提供者が要 求 さ れた情報 Mを利用者 に配送 し た事実を証明す る 通信 履歴 H を情報提供者が記録管理で き な い に も かかわ ら ず 利用者が要求 し た情報 M を獲得す る の に必要な 検査文 e u ( ( i = 1 , 2 , - , L : j = 1 , 2 , … , m ) を受 信 し 、 情報 Μを不正 に復号ノ獲得 し て し ま う こ と がな い よ う にす る こ と 力《可能で あ る 。
ま た 、 上記の説明で は分割す る プ ロ ッ ク を各 プ ロ ッ ク と も ビ ッ ト 長を L で一定 と し たが、 例え ば第 1 ブ ロ ッ ク は 1 ビ ッ ト 、 第 2 ブ ロ ッ ク は 2 ビ ッ ト 、 第 3 ブ ロ ッ ク は 4 ビ ッ 卜 と い う よ う に ブ ロ ッ ク ご と に ビ ッ ト 長サ イ ズを 変え て も 当然構わ な い。
最後 に 、 上記の説明 に お い る 暗号通信の う ち 、 公開鍵 暗号方法に よ る 暗号通信 につ い て は共通鍵暗号方法に よ る 暗号通信を行 っ て も 当然構わ な い。 ま た 、 Fiat Shami r 法を も と に説明 を し たが、 本方法 は拡張 Fiat-Shami r 法 (太田 - 岡本 「 Fiat-Shamir 法の高次への拡張」 、 電 子情報通信学会技術研究報告 I S E C 8 8 — 1 3 ) を始 め と す る 、 素因数分解困難性あ る い は離散対数問題等の 困難性に安全性の根拠を置 く 全ての ゼ ロ 知識対話証明 プ 口 ト コ ルに応用 が可能で あ る 。
以上説明 し た と お り 、 本発明 の第 5 〜第 8 実施例 に よ れば、 ゼ ロ 知識証明 プ ロ ト コ ルを利用 し た情報配送方法 で は、 第一に情報配送ス テ ッ プ に お い て 、 利用者が要求 し た情報は情報提供者 に よ っ て暗号化 さ れて利用者 に配 送 さ れ る た め、 こ の時点で は要求 し た情報そ の も の を利 用者が取 り 出す こ と はで き な い。 第二 に配送確認ス テ ツ プで行われ る プ ロ ト コ ル動作 自 体は利用者認証 と し ての ゼ ロ 知識証明 プ ロ ト コ ル と 同等であ る た め、 ゼ ロ 知識証 明 プ ロ ト コ ル と 同 じ よ う に不正な 利用者が情報提供者の 検証を ク リ ア す る こ と は ほ ぼ不可能で あ る 。 第三 に配送 確認ス テ ッ プが正常に終了 し た場合 に は、 ゼ ロ 知識証明 プ ロ ト コ ノレが正常に終了 し た こ と と 同値で あ る 力、 ら 、 情 報提供者は利用者が検査文を正 し く 受信 し 、 適正な処理 を し て い る と 判断で き る 。 第四 に情報取 り 出 し ス テ ッ プ に お い て、 利用者は検査文を正 し く 受信で き れば、 秘密 鍵配送文及び情報暗号化用秘密鍵を作成す る こ と がで き る の で、 こ の時点で前記情報暗号化用秘密鍵 に よ り 暗号 化 さ れた情報を復号 し 、 要求 し た情報を取 り 出す こ と が で き る 。 し たが っ て、 こ れ ら の効果に よ り 、 情報配送方 法の 全ての ス テ ッ プが終了 し た場合 に は、 情報提供者 は 正規の利用者に対 し て要求 さ れた情報を暗号化 し た状態 で提供 し た後、 利用者が暗号化 さ れた情報を復号す る た め に必要な情報を利用者 に配送 し 、 かつ確実 に利用者が 受信 し た こ と が確認で き る の で、 情報提供者 は利用者力' 要求 し た情報を利用者 ま で確実 に配送 し た と 判断で き る
叉、 本発明 の第 5 、 第 6 実施例 に よ れば、 検査文 に つ い て暗号通信をす る こ と は、 情報暗号化用秘密鍵 に つ い て も 暗号通信を し て い る こ と と 同等の効果が得 ら れ る こ と に な り 、 第三者が通信路を盗聴 し た と し て も こ れ ら の 秘密鍵が知 ら れ る こ と は な い。 さ ら に 、 情報暗号化用秘 密鍵を解読す る た め に 有効な 情報 も 得 ら れな い よ う にす る こ と も で き る 。
叉、 本発明 の第 7 、 第 8 実施例 に よ れば、 情報提供者 に と つ て都合の よ い情報暗号化用秘密鍵を不正 に作成で き な い よ う にす る こ と 力《で き る 。
叉、 通信履歴を偽造す る こ と は不可能で あ る ので、 情 報提供者は正規の利用者 に対 し て要求 さ れた情報を暗号 化 し た状態で提供 し た後、 利用者が暗号化 さ れた情報を 復号す る た め に必要な情報を利用者 に配送 し 、 かつ確実 に利用者が受信 し た こ と を後 日 証明で き る 証拠能力 を持 つ こ と 力《で き る 。
叉、 証拠能力 を有す る 通信履歴を必要に応 じ て提示で き る よ う に な る 。 ま た 、 情報提供者が情報を配送 し た事 実の証拠 と し て記録管理 し な ければな ら な い情報量が桜 井 (特開平 5 - 1 2 3 2 1 ) の方式 と 比較 し て大幅 に削 減で き る 。
叉、 情報提供者 と 利用者の 間で情報の提供の有無 につ い て調停をす る 必要が生 じ た場合、 裁判所等の 中立な調 停機関が証拠能力 を有す る 通信履歴につ いて そ の正当性 を検査す る こ と に よ り 、 情報提供者 と 利用者の ど ち ら の 一 7
主張が正 当 で あ る の か を判定で き る 。
叉、 本発明 の 第 8 実施例 に よ れば、 情報配送要求文 を 暗号送信す る こ と に よ り 、 第三者 に よ る 情報配送要求文 の 盗聴を防止 し 、 どん な 情報を要求 し た か な ど の 利用 者 の プ ラ イ パ' シ 一 が保護で き る 。
叉、 鍵暗号 化用 秘密鍵及 び情報暗号化用 秘密鍵 に つ い て は 、 情報提供者 と 利用 者 の み の 秘密の 情報 に よ り ス ク ラ ン ブル さ れ る の で、 第三者が通信路 を盗聴 し た と し て も こ れ ら の 秘密鍵が知 ら れ る こ と は な く 、 ま た 秘密鍵 を 解読す る た め に 有効 な 情報 も 得 ら れ な い 。 し た 力 つ て 、 利用 者が要求 し た 情報を第三者が不正 に 獲得す る こ と は で き な い 。
叉、 例 え ば不正 な 利用 者 に よ る 利用 な ど に よ り 配送確 認 ス テ ッ プの途 中で情報提供者 の 検証 に 失敗 し た 場合 に は 、 た だ ち に プ ロ ト コ ノレ の 実行が中止 さ れ、 検証 に 失敗 し た 以降 の ブ ロ ッ ク は利用 者 に 送信 さ れな い こ と に な る し た 力 < つ て 、 情報提供者 の 検証 を失敗 さ せ た 利用 者 は暗 号化 さ れ た 情報を復号す る た め に 必要な 情報の 一部 し か 獲得す る こ と がで き ず、 結果 と し て鍵暗号 化用 秘密鍵 も し く は情報暗号 化用秘密鍵を生成す る こ と が不可能 と な る の で、 不正 な 利用 者が要求 し た 情報を不正 に 獲得 し て し ま う こ と が な い よ う に で き る 。
叉、 こ れ ら の 実施例 に よ れば、 情報提供者が要求 さ れ た 情報を利用 者 に 確実 に 配送 し 、 かつ利用 者が確実 に 受 信 し て い る こ と を情報提供者が確認で き る シ ス テ ム と な
6 一
る c ま た 、 必要に 応 じ て情報提供者が利用者を認証す る 利用者認証方法 と し て の ゼ ロ 知識証明 プ ロ ト コ ルを単独 に使用す る こ と も で き
叉、 情報暗号化秘密鍵を生成す る と き に 乱数文を利用 で き る よ う に し た シ ス テ ム と な る 。
叉、 本発明 の第 5 、 第 8 実施例 に よ れば、 情報提供者 が秘密 に保持すべ き 情報を蓄積す る こ と がで き る 情報提 供者秘密情報蓄積手段を有 し た シ ス 7" ム と な る 。
叉、 本発明 の第 5 、 第 6 、 第 8 実施例 に よ れば、 情報 提供者 と 利用者の 間で公開鍵暗号方法 に よ る 暗号通信が で き る よ う に し た シ ス テ ム と な る 。
叉、 本発明 の第 7 、 第 8 実施例 に よ れば、 情報配送要 求文を簡単 に 作成す る た め の入力手段を利用者端末 に備 え た シ ス テ ム と な る 。
叉、 鍵暗号化用秘密鍵 と 秘密鍵配送文 と の生成機能を 有 し 、 情報暗号化用秘密鍵 と 鍵暗号用秘密鍵 と を利用 し た情報配送がで き る よ ラ に し た シ ス 丁 ム と る 。
叉、 証拠能力 を有す る 通信履歴を必要 に 応 じ て提示で き る よ う に し た シ ス テ ム と な る ο
叉、 裁判所等の 中立な調停機関に よ り 、 証拠能力 を有 す る 通信履歴につ い て そ の正当性を検査 し 、 情報提供者 と 利用者の ど ち ら の 主張が正当 であ る の かを判定す る こ と がで き る よ う に し た シ ス テ ム と な る ο
叉、 本発明 の第 8 実施例 に よ れば 、 不正な 利用者があ る こ と を検出 し た 際 に は直 ち に プ ロ ト コ ル の実行を中止
し て、 不正な利用者が要求 し た情報を不正 に獲得 し て し ま う こ と 力《な い よ う に し た シ ス テ ム と な る 。
次に本発明 の第 9 実施例 につ い て説明す る 。
図 2 6 は本発明 の第 9 実施例 に お け る 情報配送 シ ス テ ム の構成を示す プ ロ ッ ク 図であ り 、 1 0 は情報の配送を 受け る 利用者 (端末) を示 し 、 1 0 0 は通信回線 3 0 を 制御す る 通信制御手段、 1 ◦ 1 は利用者の秘密情報を蓄 積 し てお く 利用者秘密情報蓄積手段、 1 0 5 は共通鍵暗 号方法 (例え ば、 D E S , F E A L ) を利用す る 共通鍵 暗号手段、 1 ◦ 7 は公開鍵暗号方法 (例え ば、 R S A ) を利用す る 公開鍵暗号手段、 1 0 9 は情報提供者か ら の 配送 さ れた情報を蓄積す る 情報蓄積手段、 1 0 2 は利用 者が必要な 情報を一時的 に蓄積す る 一時 メ モ リ 、 1 0 3 は利用者が乱数を生成す る た め の乱数発生手段、 1 0 4 は必要な演算を行 う 演算手段、 1 0 6 は情報を 出力 も し く は利用す る 情報出力 Z利用手段であ る 。 2 0 は情報を 提供す る 情報提供者 (端末) を示 し 、 2 0 0 は通信回線 3 0 を制御す る 通信制御手段、 2 0 1 は情報提供者の秘 密情報を蓄積 し て お く 情報提供者秘密情報蓄積手段、 2 0 5 は共通鍵暗号方法を利用す る 共通鍵暗号手段、 2 1 0 は公開鍵暗号方法を利用す る 公開鍵暗号手段、 2 0 2 は提供す る 情報が蓄積 し て あ る 情報デー タ ベー ス 、 2 0 3 は情報提供者が必要な情報を一時的 に蓄積す る一時 メ モ リ 、 2 0 4 は必要な演算を行 う 演算手段、 2 0 6 は情 報の正当性を検証す る 検証手段、 2 0 8 は後 日 、 情報を
利用者 に配送 し た事実を証明す る 証拠 と し ての通信履歴 夕 H を記録管理す る 通 ik 履歴 フ ア イ ノレ、 2 0 9 は情 報提供者が乱数を生成す る た め の乱数発生手段で あ る 。
3 0 は利用者 と し て情報提供者 と を通信で接続す る 通信 回線を表す。 4 0 は後 曰 、 情報提供者が通信履歴 フ ア イ ル 2 0 8 に 記録管理 し て い る 通信履歴デー タ H につ い て 中立的立場 に よ り そ の通信履歴デ一 夕 H の正当性を判定 す る 調停者 (端末) を表 し 、 4 0 2 は調停者が必要な 情 報を一時的 に蓄積す る 一時 メ モ リ 、 4 0 5 は公開鍵暗号 方法を利用 す る 公開鍵暗号手段、 4 0 1 は必要な演算を 行 う 演算手段、 4 0 3 は正当性の判定を依頼 さ れた通信 履歴デー タ H に つ い て そ の正当性を検証す る 検証手段で あ る
以下、 図 2 7 お よ び図 2 8 の フ ロ ー テ ャ 一 ト に し たが つ て情報配送 ス テ ッ プ、 配送確認ス テ ツ プ、 情報取 り 出 し ス テ ツ プの動作手順を、 ま た 図 2 9 の フ ロ ー チ ャ ー ト に し たが つ て調停での動作手順を説明す o
な お、 乱数 R と 初期応答文 X と 応答文 Y を除 く ァ ノレ フ ァ ベ ッ ト 文字は情報全体を表 し 、 添え字付 き ァ ル フ ア ベ ッ 卜 文字 は そ の情報の ビ ッ ト 情報を表す。 例え ば、 情報 暗号化用秘密鍵 Wは g ビ ッ ト 長で構成 さ れ る 情報暗号化 用秘密鍵全体の こ と を表 し 、 情報暗号化用秘密鍵 W -
( i = 1 , 2 , ■·· , ) は情報暗号化用秘密鍵の第 i ビ 'ソ 卜 目 の ビ ッ ト 情報を表す。 ま た 、 乱数 R と 初期応答文
X と 応答文 Y の添え字 は複数個生成 さ れ る 同一種類の情
9
報の 中の ひ と つ の情報を表す。 例え ば、 乱数 R i ( i =
1 , 2 , … , ) は g 個生成 さ れ る 乱数の 中 の第 i 番 目 に生成 さ れた乱数情報であ る こ と を ¾ξす。
( 0 ) 準備段階
信頼で き る セ ン タ が各利用者 ご と に Ρ 1 , Q 1 , I D , S , p 2 , q 2 , P U , S U を設定 し 、 こ の う ち N 1 , N 2 , I D , P U を利用者の公開情報 と し て公開 し 、 S , S U を利用者の秘密情報 と し て利用者秘密情報蓄積手段 1 0 1 に蓄積 し て利用者 に秘密裏 に配布す o し こ で、 ( p i , q l ) と ( p 2 , q 2 ) の 各組 は そ れぞれ互い に異な る 大 き な素数の組 に な つ て お り 、 Ν 1 = P 1 X q 1 , N 2 = p 2 X q 2 で あ る 。 ま た 、 I D = S 2 、 mod N 1 ) 、 P U X S U = 1 ( mod (ρ2- 1) (q2- 1) ) が成立 し て い る 。 な お、 p l = p 2 , q 1 = q 2 と し て も よ い o さ ら に、 各情報提供者 ご と に P , q , Ρ C , S C を設 定 し 、 こ の う ち N , P C を情報提供者の公開鍵 と し て公 開 し 、 S C を情報提供者の秘密鍵 と し て情報提供者秘密 情報蓄積手段 2 0 1 に蓄積 し て情報提供者 に秘密裏に配 布す る 。 こ こ で、 p , q は互い に異な る 大 き な 素数で あ り 、 N = p q で あ る 。 ま た P C X S C = 1 、 mod (P - 1) ( q-1) ) が成立 し て い る 。
( 1 ) 情報配送ス テ ッ プ
情報提供者は、 乱数発生手段 2 0 9 で g ビ ッ ト 長の情 報暗号化用秘密鍵 Wを任意 に生成 し て一時 メ モ リ 2 〇 3 に葚積す る ( S 3 6 1 ) 。 こ こ で、 一般に g の値は共通
鍵暗号手段 1 0 5 と 2 0 5 で使用す る 秘密鍵の鍵長 と 等 し い か そ れ以上で あ る 。 後 に 、 情報 M を情報デ ー タ べ 一 ス 2 0 2 力、 ら 取 り 出 し ( S 3 6 2 ) 、 情報暗号 化用秘密 鍵 Wを秘密鍵 と し て共通鍵暗号手段 2 0 5 に よ り 暗号文
C E ( M ) に暗号化 し た ( S 3 6 3 ) 後、 利用者に 暗号文 C を通信回線 3 0 を介 し て送信す る る ( S 3 6 4 ) 利用者 は、 暗号文 C を情報蓄積手段 1 0 9 に 受信ノ蓄 積 し た後、 受信 し た 旨を通信回線 3 0 を介 し て情報提供 者に通知す る ( S 3 6 5 ) 。
な お、 こ こ で は S 3 6 4 の暗号文 C の送信 に つ い て通 信回線 3 0 を使用 し て い る が 、 も ち ろ ん C D — R O M な どの物理媒体 に記録 し て、 通信回線を使用 せず に一般に 配布す る よ う に し て も 構わ な い。 そ の場合 に は、 S 3 6 5 の動作 は省略 さ れ る こ と 力《多 い。
( 2 ) 配送確認ス テ ツ プ
情報提供者 は、 公開鍵暗号手段 2 1 0 に よ り 情報暗号 化用秘密鍵 Wを情報提供者の公開鍵 P C で暗号化 し ( S 3 6 6 ) 、 暗号化 し た情報暗号化用秘密鍵 c w - w pc ( mod N ) を利用者 に通信回線 3 0 を介 し て通信す る ( S 3 6 7 ) o
利用者は、 公開鍵暗号手段 1 0 7 に よ り 利用者の秘密 情報 S U を用 い て暗号化 さ れた情報暗号化用秘密鍵 C W に 7"ィ ン タ ル署名 を行い ( S 3 6 8 ) 、 署名付 き 情報暗 号化用秘密鍵 S W = C W U ( mod N 2 ) を通信回線 3 0 一 8
を介 し て情報提供者 に送信す る ( S 3 6 9 ) o 情報提供者 は 、 署名付 き 情報暗号化用秘密鍵 S Wを一 時 メ モ リ 2 0 3 に蓄積 し た ( S 3 7 0 ) 後、 検証手段 2 〇 6 に お い て利用者の公開鍵 P U を用 い て署名検証式 C W = S W PU ( mod N 2 ) を満 たす う か ど う かを検証す る ( S 3 7 1 ) 。 こ の検証 に失敗 し た ^¾ に は利用者 は不 正であ る と 見做 し て た だ ち に プ π 卜 ノレ の実行を中止す る ( S 3 7 2 ) 。 ま た検証 に成功 し た場合 に は、 演算手 段 2 0 4 に お い て情報暗号化用秘密鍵 Wを任意 ビ ッ ト 長 の複数の プ ロ ッ ク に分割 し 、 情報暗号化用 ブ 口 ッ ク 秘密 鍵 W B を生成す る ( S 3 7 3 ) C は説明 を簡単に す る た め、 分割 し た ブ ロ ッ ク 数を b 、 全て の ブ ロ ッ ク に つ い て ビ ッ ト 長を L で一定 と し 、 分割 し た情報暗号化用 秘密鍵を情報暗号化用 ブ ロ ッ ク 秘密鍵 W
B iJ ( 1
2 , … L j = 1 2 , … b ) と 表す。 すな わ ち 、 W B U = W ( i +L (j— υ )で あ り 、 例え ば W B 1 W
1 ' w
Ll = W L ' W B 12= W L+1 ' W B Lb= W の よ う に な る
g
利用者は、 乱数発生手段 1 0 3 に よ り g 個の乱
( i = 1 , 2 L : j = 1 , 2 , … , b ) を生成 し た後一時 メ モ リ 1 0 2 に蓄積 し ( S 3 7 4 ) 、 そ れぞれ に つ い て演算手段 1 0 4 に よ り 初期応答文 X i R 2
1 J
( mod N 1 ) ( i = 1 , 2 . L j = 1 , 2
b ) を計算 し た後一時 メ モ y 1 0 2 に蓄積 し ( S 3 7 5 )
、 初期応答文 X u ( i = 1 , 2 , > L : j = 1 , 2 , b ) を通信回線 3 0 を介 し て情報提供者 に送信す る
( S 3 7 6 ) o
情報提供者は , 初期応答文 X
13 = 1 , 2 , , L 2 , … b ) を一時 メ モ リ 2 0 3 に 蓄積 し た
( S 3 7 7 ) 後 , 演算手段 2 0 4 中の一方向性 ラ ン ダム ハ ツ シ ュ 関数 h ( · ) に よ り g ビ ッ 卜 長の鍵暗号化用秘 密鍵 K h ( X X
1 J 1 j 2j " … ) " - 1 ' 2 ,
L j = 1 , 2 , ··· , b ) を生成 し ( S 3 7 8 ) 、 情報暗号化用 ブ ロ ッ ク 秘密鍵 W B i jと 鍵暗号化用秘密鍵
2 , … , L : j = 1 , 2 , … , b ) と か ら 演算手段 2 0 4 中の関数 f ( • ) に よ り 検査文 e
13 1 •
( i = l , 2 , … , L : j = 1 , 2 , … , b ) を生
1 • 成 し て一時 メ モ リ 2 0 3 に 蓄積す る ( S 3 7 9 ) c こ こ で、 関数 f に は例え ば e = f ( w K W K i j Θ 1 J ( i = l , 2 , … , L : 2 b ) 力《 あ る な お 、 ® は排他的論理和を表す
こ れ よ り 以下 の処理 は第 j ブ ロ ッ ク に つ い て の も の で あ り 、 配送確認ス テ ッ プ は第 1 ブ ロ ッ ク 力、 ら 第 b ブ 口 ッ ク ま で各 ブ 口 ッ ク ご と に 以下の処理を順次 ( b 回) 繰 り 返 し 行 な ラ o
情報提供者は 利用者に検査文 e
L ) を通信回線 3 0 を介 し て送信す る ( S 3 8 0 ) 。
利用者 は、 検查文 e u ( i = l , 2 , …, L ) を一時 メ モ リ 1 0 2 に蓄積 し た ( S 3 8 1 ) 後、 演算手段 1 0 4 に お い て検査文 e i』の そ れぞれの ビ ッ ト に対 し 、 乱 数 R Uと 利用者の 秘密情報 S と 力、 ら 、 e 0 な ら ば Y
1 J
R ; ,を 、 e X R j j ( mod N 1 ) j i J 3 1 な ら ば Υ S
i j
を計算 し ( S 3 8 2 ) 応答文 Y ij i = 1 , 2 , … ,
L ) ど し て情報提供者 に 通信 回線 3 0 を 介 し て送信す る
( S 3 8 3 ) 。
情報提供者 は 、 応答文 = 1 , 2 , … , L ) を 一時 メ モ リ 2 0 3 に 蓄積 し た ( S 3 8 4 ) 後、 検証手段
2 0 6 に お い て利用 者 の 公開情報 I D 、 初期応答文 X i j、 応答文 Y ij 検査文 e U ら そ れぞれの ビ ッ ト
お よ び と か i
2
に 対 し 〇 な ら ば検証式
、 e ij = Y ( mod 1 ) i j
¾r ヽ e ιΓ ら ば検証 = X ( m
1 な 式 Y u2 D od N iJ X 1
1 ) を満 た す か ど う か を 検証す る ( s 3 8 5 ) 。 こ の 検 証 に 失敗 し た 場合 に は利用 者 は 不正で あ る と 見做 し て 直 ち に プ ロ ト コ ル の 実行 を 中止 し ( S 3 8 6 ) 、 ま た 成功 し 1~ 合 に は S 3 8 0 に 戻 り 、 すベて の ブ 口 ッ ク が終了 す る ま で以上の 処理 を繰 り 返す ( S 3 8 7 ) 。 そ し て 、 第 1 ブ ロ ッ ク 力、 ら 第 b ブ D ッ ク ま で の 全て の ブ ロ ッ ク に つ い て検証 に 成功 し た 場合 に は 、 情報暗号化用 秘密鍵 W、 署名 付 き 情報暗号化用 秘密鍵 S W、 検查文 e Uヽ 応、
2 , … , L : j = 2 , … , b ) を通 信履歴デー タ Η と し て通信履歴 フ ァ ィ ル 2 0 8 に 記録管 . 理す る ( S 3 8 8 ) 。
( 3 ) 情報取 り 出 し ス テ ツ プ
利用 者 は、 初期応答文 X i j ( i , 2 , … , L : j 2 , … > b ) 力、 ら 演算手段 1 0 4 中 の 一方向性 ラ ン ダム ノヽ ッ シ ュ 関数 h ( • ) に よ り g ビ ッ ト 長の 鍵暗号
化用秘密鍵 K i X X
h ( 1 j 2 j 11 11 x u ) ( i = 1 ,
2 , , L : j = 1 ■ 2 , b ) を生成 し ( S 3 8 9 ) 、 検査' Uと 鍵暗号化用秘密鍵 K
U i = 1 , 2
L j 2 , > b ) と 力、 ら 演算手段 1 0 4 中 の関 数 f ( ♦ ) の逆関数 f ' ( - ) に よ り 情報暗号化用 ブ 口 ッ ク 秘密鍵 W B 2 , , L : j
1 J = 1 2 , b ) を取 り 出す ( S 9 0 ) o ' 例 え ば関数 f ( ♦ ) の e K = w u ®
1 3 f ( w u 1 3 K i d
1 , 2 L j = 1 , 2 b ) に 対 し 、 逆関数 f ' ( • ) は W = f ' ( e
1 i U ' κ 1 Θ Κ 13
( i = 1 , 2 L : j = 1 , 2 , b ) と な る 0 な お、 Θ は排他的論理和を表す。 そ の後、 演算手段 1 0 4 に情報暗号化用 ブ 口 ッ ク 秘密鍵 W B . . ( i = 1 , 2 , L : j = 1 , 2 , b ) を用 い て情報暗号化用秘 密鍵 W i i = 1 , 2 g ) を生成 し 、 情報蓄積手 段 1 0 9 に 蓄積す る ( S 3 9 1 ) o 最後 に 、 情報暗号化 用秘密鍵 Wを秘密鍵 と し て共通暗号手段 1 0 5 に よ り 情 報蓄積手段 1 0 9 に蓄積 さ れた暗号文 c を復号 し ( S 3
9 2 ) 、 情報 ( C ) を情報出カ ノ利用 手段 1 0 6 よ り 獲得す る こ と がで き る ( S 3 9 3 ) o
( 4 ) 調停
後 曰 、 利用者が情報を受信 し て い な い と 主張 し た場合 に は 、 情報提供者 は通信履歴フ ア イ ル 2 0 8 に記録管理 さ れた通信履歴デ一 夕 H を提示 し 、 調停者の一時 メ モ リ 4 0 2 に蓄積す る ( S 4 0 1 ) 0
調停者 は、 公開暗号手段 4 0 5 に お い て情報暗号化用 秘密鍵 Wを情報提供者の 公開鍵 P C で暗号化 し た情報暗 号化用秘密鍵 C W = W P ( mod N ) を生成 し ( S 4 0 2 ) 、 検証手段 4 0 3 に お い て署名 付 き 情報暗号化用秘密鍵
S Wが利用者の公開鍵 P U を用 い て署名検証式 C W = S W PU ( mod N 2 ) を満 たすか ど う かを検証す る 。 ( S 4 0 3 ) 。 検証が失敗 し た時は通信履歴デ— 夕 H は無効 と さ れ る ( S 4 0 4 ) o
署名 の検証が成功 し た場合 に は、 演算手段 4 〇 1 に お い て利用者の公開情報 I D と 通信履歴デ— 夕 H 中の検査 文 e i jお よ び応答文 Y i』か ら そ れぞれの ビ ッ ト i に対 し 、 e ΐΓ ら ば、 ( mod N
0 な X ij = Y i 0 1 ) を、 e . · =
1 J 1 な ら ば X . . = Y / I D ( mod N 1
1 J ) を計算 し て一 時 メ モ リ 4 0 2 に蓄積 し ( S 4 0 5 ) 、 情報暗号化用秘 密鍵 Wか ら演算手段 4 0 1 に お い て情報暗号化用 ブ 口 ッ ク 秘密鍵 W B · . ( i = 1 , 2 , …, L : 2 ,
1 J j = 1 , … > b ) を生成す る ( S 4 0 6 ) ο 次に、 計算結果 X ii 1
= 1 , 2 , …, L ) か ら演算手段 4 0 1 中の一方向性ラ ン 夕" ム /ヽ 'シ シ ュ 関数 h ( ♦ ) に よ り g ビ ッ ト 長の鍵暗号 化用秘密鍵 K h ( X X
10 1 j 23 11 … 11 X Lj) ( i = l , 2 , …, L ; j = 1 , 2 , "-, b ) を生成 し ( S 4 0 7 ) 、 情報暗号化用 ブ 口 ッ ク 秘密鍵 W B ijと 鍵暗号化用秘密 鍵 K u ( i = 1 ,. 2 , · · , L : j = 1 , 2 , …, b ) と か ら演算手段 4 0 1 中の関数 f ( · ) に よ り 検査
文 e ij ( i = l , 2 , …, L : j = 1 , 2 , … , b ) を生成 し
て ( S 4 0 8 ) 、 検証手段 4 0 3 に お い て一時 メ モ リ 4 〇 2 に蓄積 さ れた通信履歴デー タ H 中の検査文 e i j ( i = 1 , 2 , … , L : j = 1 , 2 , … , b ) と 全て の ビ ッ ト に つ い て—致す る か ど う かを検査す る ( S 4 0 9 ) 。 全ての ビ ッ ト に つ い て一致すれば、 通信履歴デー タ H の 正当性が証明 さ れた こ と に な り 、 利用者が情報 Mを受信 し て い る こ と が保証 さ れ る ( S 4 1 0 ) 。 そ う でな けれ ば通信履歴デー タ H は無効 と さ れ る ( S 4 1 1 ) 。
上記の情報配送方式を用 いれば、 情報 M は初め に暗号 文 C に暗号化 さ れて利用者 に送信 も し く は物理媒体 に よ り 配布 さ れ る た め、 暗号文 C を利用者が入手 し た時点で は情報 Μ を獲得 さ れ る こ と は な い。 そ し て プ ロ ト コ ルが 正常に終了 し た時点で、 ゼ ロ 知識証明 プ ロ ト コ ルに よ る 利用者認証が正常 に行な われた こ と の ほかに 、 検査文 e を利用者が正常に受信 し た こ と が確認で き る 。 ま た 、 検 査文 e の他は利用者 自 身が作成 し た初期応答文 X i j ( i = 1 , 2 , … , L : j = 1 , 2 , …, b ) か ら 情報暗号 化用秘密鍵 Wを生成 し 、 利用者が暗号文 C を復号 し て情 報 Mを獲得す る こ と がで き る た め、 検査文 e を利用者が 正常に受信 し た こ と と 利用者が情報 Mを正常 に受信 し た こ と と は 同値 と な る 。 し た が っ て 、 情報提供者は正確か つ確実に情報 Mを利用者 に配送 し た こ と を確認で き る 。
ま た、 情報提供者 と 利用者 と の 間の通信は情報暗号化 用秘密鍵 Wの分割 プ ロ ッ ク 数 b と 同 じ 回数だけ繰 り 返 し 行な われ る た め、 途中で情報提供者の検証に失敗 し た場
合 に は そ れ以降 の 通信 は打 ち 切 ら れ、 残 り の 検査文 は送 信 さ れな い 。 す な わ ち 、 利用 者が知 る こ と の で き る 検査 文 は検証 に 失敗す る 以前の も の の み に 限 ら れ る の で、 情 報提供者 の検証を失敗 さ せ た 利用 者 は暗号文 C を 復号す る た め に 必要 な 情報の 一部 し か獲得す る こ と がで き ず、 結果 と し て正 し い 情報暗号 化用 秘密鍵 Wを生成す る こ と が不可能 と な る 。 し た が っ て 、 利用 者 の 秘密情報 S を知 ら な い 不正 な 利用 者が不正 な 応答文 を送信す る 場合 は も と よ り 、 応答文 そ の も の を送信 し な い よ う な 不正行為 を 行 な い 、 情報提供者が情報 M を利用 者 に 配送 し た 事実 を 証明す る 通信履歴デ ー タ H を情報提供者が記録で き な い に も 関わ ら ず、 利用 者が情報 M を獲得す る の に 必要 な 検 査文 e を 全て受信 し 、 情報 M を 不正 に 復号 獲得 し て し ま う こ と 力 な い よ う に す る こ と 力 可能で あ る 。 な お 、 上 記の 説明で は分割す る プ ロ ッ ク を 各 プ ロ ッ ク と も ビ ッ ト 長 を L で一定 と し た が、 例 え ば第 1 ブ ロ ッ ク は 1 ピ ッ ト 第 ブ ロ ッ ク は 2 ビ ッ ト 、 第 3 ブ ロ ッ ク は 4 ピ ッ ト と い う よ う に ブ ロ ッ ク ご と に ビ ッ ト 長 を変 え て も 当然構わ な い 次 に 、 署名 付 き 情報暗号化用 秘密鍵 S W は利用 者 に し か作成で き な い た め 、 情報暗号 化秘密鍵 W も し く は署名 付 き 情報暗号化用 秘密鍵 S W を情報提供者が不正 に 改変 す る こ と はで き な い。 ま た 、 情報暗号 化用秘密鍵 W と 、 初期応答文 X u、 検査文 e u、 応答文 Y u ( i = 1 , 2 …, L : j = 1 , 2 , ··· , b ) か ら な る 通信系列 と の 関 係で は 、 ゼ ロ 知識証明 プ ロ ト コ ル に お け る 検証式 と 一方
向性 ラ ン ダム ハ ッ シ ュ 関数 h ( ♦ ) と に よ り 相互 に 関係 し 合 っ て い る た め、 そ れ ら の一部を不正 に 改竄す る な ど し て通信系列を改変 · 偽造す る こ と は不可能で あ る 。 し た が っ て、 通信履歴デー タ H を記録保管す る こ と に よ り 暗号文 C を復号 し て利用者が情報 M を獲得で き る た め の 情報暗号化用秘密鍵 Wを利用者が確実に受信 し て い る こ と の証拠 と し て後 に調停者な どの 中立的な第三者 に提示 す る こ と 力 で き る 。
以上の説明 は、 情報提供者が情報 Mを正確かつ確実に 利用者 に配送 し た こ と を証明で き る も ので あ り 、 例え ば 情報 Mを著作物な ど の有料情報 と し た場合、 上記の情報 配送方法に よ つ て情報提供者が利用者 に情報 M を送信す る こ と に よ り 、 情報提供者が記録管理す る 通信履歴デ一 夕 H を著作権使用料等の情報料を徴収す る と き の証明情 報 と し て利用 で き る な ど、 様 々 な 利用が可能で あ る 。
ま た、 上記の説明で は Fiat Shami r 法を も と に説明 を し たが、 本方法 は拡張 Fiat Shami r 法 (太田 — 岡本 「 Fi at-Shamir 法の高次への拡張」 、 電子情報通信学会技術 研究報告 I S E C 8 8 — 1 3 ) を始め と す る 、 素因数分 解困難性あ る い は離散対数問題等の困難性に安全性の根 拠を置 く 全ての ゼ ロ 知識対話証明 プ ロ ト コ ル に 応用が可 能であ る 。
以上説明 し た と お り 、 本発明 の第 9 実施例 に よ れば、 ゼ ロ 知識証明 プ ロ ト コ ルを利用 し た情報配送方法で は、 第 "^に情報配送 ス テ ッ プ に お い て 、 利用者が要求 し た情
報 は情報提供者 に よ っ て暗号化 さ れて利用者 に配送 さ れ る た め、 こ の時点で は要求 し た情報そ の も の を利用者が 取 り 出す こ と はで き な い 0 ^ ' に配送確口' 1?、 テ ツ プで i われ る プ ロ ト コ ル動作 自 体 は利用者認証 と し ての ゼ ロ 知 識証明 プ ロ ト コ ル と 同等で あ る た め、 ゼ 口 知識証明 プ ロ 卜 コ ル と 同 じ ょ う に不正な利用者が情報提供者の検証を ク リ ァ す る こ と は ほぼ不可能で め る 。 二 に配送確認ス テ ッ プが正常 に終了 し た ¾g 口 V は 、 ゼ 口 知識証明 プ ロ ト
3 ノレが正常に終了 し た こ と と 同値であ る 力、 ら 、 情報提供 者 は利用者が検査文を正 し く 受信 し 、 想正な処理を し て い る と 判断で き る 。 第 四 に情報取 り 出 し ス テ ッ プに お い て、 利用者 は検査文を正 し く 受信で き れば情報暗号化用 秘密鍵を作成す る こ と がで き る の で、 こ の時点で前記情 報暗号化用秘密鍵 に よ り 暗号化 さ れた情報を復号 し 、 要 求 し た情報を取 り 出す こ と がで さ る o し たが つ て、 こ れ ら の効果に よ り 、 情報配送方法の 全ての ス テ ッ プが終了 し た ノロ' に は、 情報提供者は正規の利用者 に対 し て要求 さ れた情報を暗号化 し た状態で提供 し た後、 利用者が暗 号化 さ れた情報を復号す る た め に必要な情報を利用者 に 配送 し 、 かつ確実に利用者が受信 し た こ と が確認で き る の で、 情報提供者は利用者が要求 し た情報を利用者 ま で 確実に配送 し た と 判断で さ る 。
叉、 情報提供者が 自 分 に都合の よ い情報暗号化用秘密 鍵に不正に改竄で き な い よ う にす る こ と がで さ る 0 さ ら に 、 暗号化 さ れた情報暗号化用秘密鍵 は情報提供者以外
は復号す る こ と がで き な い の で 、 署名 を行 う 時点で は利 用者 に情報暗号化用秘密鍵を知 ら れ る こ と は な い。
叉、 通信履歴を偽造す る こ と は不可能であ る の で、 情 報提供者 は正規の利用者 に対 し て要求 さ れた情報を暗号 化 し た状態で提供 し た後、 利用者が暗号化 さ れた情報を 復号す る た め に必要な 情報を利用者 に配送 し 、 かつ確実 に利用者が受信 し た こ と を後 日 証明で き る 証拠能力 を持 つ こ と 力《で き る 。
叉、 証拠能力 を有す る 通信履歴を必要 に 応 じ て提示で き る よ う に な る 。 ま た 、 情報提供者が情報を配送 し た事 実の証拠 と し て記録管理 し な ければな ら な い情報量が桜 井 (特開平 5 — 1 2 3 2 1 ) の方式 と 比較 し て大幅に削 減で き る 。
叉、 情報提供者 と 利用者の 間で情報の提供の有無につ い て調停をす る 必要が生 じ た場合、 裁判所等の 中立な 調 停機関が証拠能力 を有す る 通信履歴に つ い てそ の正当性 を検査す る こ と に よ り 、 情報提供者 と 利用者の ど ち ら の 主張が正当であ る の かを判定で き る 。
叉、 例え ば不正な利用者 に よ る 利用 な ど に よ り 配送確 認ス テ ッ プ の途中で情報提供者の検証に失敗 し た場合に は、 た だ ち に プ ロ ト コ ルの実行が中止 さ れ、 検証に失敗 し た以降の プ ロ ッ ク は利用者 に送信 さ れな い こ と に な る し たが っ て、 情報提供者の検証を失敗 さ せた利用者は暗 号化 さ れた情報を復号す る た め に必要な情報の一部 し か 獲得す る こ と がで き ず、 結果 と し て情報暗号化用秘密鍵
9
を生成す る こ と が不可能 と な る の で、 不正な 利用者が要 求 し た情報を不正 に獲得 し て し ま う こ と が な い よ う に で さ る 。
叉、 こ の実施例 に よ れば、 情報提供者が要求 さ れた情 報を利用者 に確実に配送 し 、 かつ利用者が確実 に受信 し て い る こ と を情報提供者が確認で き シ ス テ ム と な る 。 ま た 、 必要に応 じ て情報提供者が利用者を認証す る 利用 者認証方法 と し て の ゼ 口 知識証明 プ 口 ト コ ルを単独 に使 用 す る こ と も で き る 。
叉、 情報暗号化秘密鍵を生成す る と き に乱数文を利用 で き る よ う に し た シ ス ナ ム と な る 。
叉、 情報提供者が秘密に保持すべ き 情報を蓄積す る こ と がで き る 情報提供者秘密情報蓄積手段を有 し た シ ス テ ム と な る 0
叉、 情報提供者 と 利用者の 間で公開鍵暗号方法 に よ る 暗号通信がで き る よ う に し た シ ス テ ム と な る o
叉、 鍵暗号化用秘密鍵 と 生成機能を有 し 、 情報暗号化 用秘密鍵 と 鍵暗号用秘密鍵 と を利用 し た情報配送がで き る よ う に し た シ ス テ ム と な る o
叉、 証拠能力 を有す る 通信履歴を必要に応 じ て提示で き る よ う に し た シ ス テ ム と な る 。
叉、 裁判所等の中立な 調停機関に よ り 、 証拠能力 を有 す る 通信履歴に つ い て そ の正当性を検査 し 、 情報提供者 と 利用者の ど ち ら の 主張が正当 で あ る の かを判定す る こ と がで き る よ う に し た シ ス テ ム と な る o
£ 6
° 9: Άマ : 2 4· m ^ ^ m 、 agi ^つ ^ ^ ·¾ ^ 達 >
° 2 ^ マ マ ^ ^ ι) τ y\ ^ cf ^ : ^ 2- u m ΐ ^ u
Ί ^達 Ά袅 ¾ HI 、 ュ っ ψ Φ ¾ 牽 ø c 4 a J ? ¾ D?) ) ¾ Ί ffi
x
A9C00/S6df/IDd S0L ZIS6 OAV
Claims
1 . 少な く と も 情報提供者 と 利用者 と を含む シ ス テ ム に お いて、 利用者が情報提供者 に情報の配送を要求 し た時 に、 售
情報提供者が、 ゼ ロ 知識証明 プ ロ ト コ ル に し たが つ て 利用者の利用者認証を行な う 過程 と 、
情報提供者が、 利用者 に配送す る 情報 Μを ゼ ロ 知識証 明 プ ロ ト コ ル中 に お け る 検査文 Ε に 含めて送信 し 、 利用 者に情報を 1 ビ ッ ト ま た は複数 ビ ッ ト 単位で配送す る 過 程 と 、 囲
情報提供者が、 ゼ ロ 知識証明 プ ロ ト コ ル の通信履歴デ 一 夕 Η を記録管理す る 過程 と 、
を同時 に行な う こ と を特徴 と す る 情報配送方法。
2 . 請求の範囲 1 に記載の情報配送方法に お い て、 前記 利用者認証を行な う 過程及び前記配送す る 過程は、
利用者が、 初期応答文 X を情報提供者 に送信 し 、 情報提供者が、 利用者 に配送す る 情報 Μを利用者 に送 信 し 、
利用者が、 情報 Μを検査文 Ε と し て、 初期応答文 X と 検査文 Ε と 利用者の秘密情報 S と を用 い て応答文 Υ を作 成 し て情報提供者に送信 し 、
情報提供者が、 情報 Μを検査文 Ε と し て、 応答文 Υ は 初期応答文 X と 検査文 Ε と 利用者の公開情報 I と に対す る 正 し い応答に な っ てい る かを検査 し て、 利用者の秘密
情報 s を漏 す こ と な く 、 利用者 は秘密情報 S を知 っ て い る こ と を認証す る と と も に 、 禾 IJ用者 は情報 M を確実 に 受信 し て い る こ と を確 6¾ る と 力、 ら な る 配送確認プ 口 セ ス を含む こ と
を特徴 と す る 情報配送方法。
請求の範囲 2 に記載の情報配送方法 に お い て 、 情報提供者力、 ら利用者に送信す る 情報 M に つ い て暗号 通信を仃 7よ う こ と
を特徴 と す る 情報配送方法。
4 . 請求の範囲 3 に記載の情報配送方法 に お い て 、
利用者か ら 情報提供者 に送信す る 初期応答文 X ま た は 応答文 Y の少な く と も いずれか一方 に つ い て暗号通信を 行な う こ と
を特徴 と す る 情報配送方法 ο
請求の範囲 1 に記載の情報配送方法に お い て、 』記 利用者認証を行な う 過 ·άび前記配送す る 過程 は、
利用者が、 初期応答文 X を情報提供者に送信 し 、 情報提供者が、 利用者 に配送す る 情報 Μを暗号化 し た 暗号文 C を利用者に送信 し
利用者が、 暗号文 C を検査文 Ε と し て、 初期応答文 X と 検査文 E と 利用者の秘密情報 S と を用 い て応答文 Υ を 作成 し て情報提供者に送信 し 、
報提供者が、 送信 し た暗号文 c を検査文 Ε と し て、 応答文 Y は初期応答文 X と 検査文 Ε と 利用者の 公開情報 I と に対す る 正 し い応答に な っ てい る かを検査 し て、 利
用者の秘密情報 s を漏 ら す こ と な く 、 利用者 は秘密情報 S を知 っ て い る こ と を認証す る と と も に 、 利用者 は暗号 文 C を確実に受信 し て い る こ と を確認す る こ と 力、 ら な る 配送確認プ ロ セ ス と 、
利用者が、 暗号文 C を復号 し て情報 Mを獲得す る こ と 力、 ら な る 情報取 り 出 し プ ロ セ ス と
を含む こ と を特徴 と す る 情報配送方法。
6 . 請求の範囲 2 か ら 請求の範囲 5 の いずれか に記載の 情報配送方法に お い て、
利用者及び情報提供者 は、 少な く と も 情報 M ま た は暗 号文 C を用 い て情報圧縮関数 に よ り 検査文 E を作成す る こ と
を特徴 と す る 情報配送方法。
7 . 請求の範囲 2 か ら請求の範囲 6 の いずれか に記載の 情報配送方法 に お い て、
利用者及び情報提供者 は、 少な く と も 情報 M ま た は暗 号文 C と 初期応答文 X と を用 い て一方向性関数 に よ り 検 査文 E を作成す る こ と
を特徴 と す る 情報配送方法。
8 . 請求の範囲 7 に記載の情報配送方法に お い て、 前記 記録管理す る 過程で は
情報提供者が、 少な く と も 情報 M ま た は暗号文 C と 検 査文 E と 応答文 Y と か ら な る 通信履歴デー タ H を記録管 理す る こ と
を特徴 と す る 情報配送方法。
9 . 請求の範囲 8 に記載の情報配送方法 に お い て、 更 に 情報提供者が、 調停者 に対 し 通信履歴デー タ H を提示 し 、
調停者が、 検査文 E と 応答文 Y と 利用者の公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X と 情報 M ま た は暗号文 C と を用 い て一方向性関数に よ り 検査文 E を作成 し 、 作成 し た検査文 E は通信履歴デー タ H に 含 ま れ る 検査文 E と 一致す る かを検査 し て、 一致す れば情報提供者は利用者を認証 し 、 かつ利用者 に対 し て 情報 M を配送 し た こ と を認め る こ と か ら な る 過程を 含む こ と を特徴 と す る 情報配送方法。
1 0 . 請求の範囲 2 か ら 請求の範囲 9 の い ずれか に 記載 の情報配送方法に お いて、 前記利用者認証を行な う 過程 及び前記配送す る 過程は、
情報提供者が、 利用者 に送信す る 情報 M ま た は暗号文 C を任意 ビ ッ ト 長の サ イ ズの複数個の ブ ロ ッ ク に分割 し 各 プ ロ ッ ク ご と に独立 し て繰 り 返 し 配送確認プ ロ セ ス を 行な う こ と
を特徴 と す る 情報配送方法。
1 1 . 請求の範囲 1 に記載の情報配送方法に お い て、 前 記利用者認証を行な う 過程及び前記配送す る 過程は、 利用者が、 初期応答文 X を情報提供者に送信 し 、 情報提供者が、 情報暗号化用秘密鍵 wを生成 し 、 利用 者 に配送す る 情報 Mを情報暗号化用秘密鍵 Wを用 い て共 通鍵暗号方式に よ り 暗号化 し た暗号文 C を利用者 に送信
し
利用者が 、 暗号文 C を受信 し た後、 受信 し た 旨を情報 供者に通知 し 、
情報提供者が、 少な く と も 情報暗号化用秘密鍵 Wを用 て検査文 E を生成 し て利用者 に送信 し 、
利用者が、 初期応答文 X と 検査文 E と 利用者の秘密情 報 s と を用 い て応答文 Y を作成 し て情報提供者 に送信 し 情報提供者が、 応答文 Y は初期応答文 X と 検査文 E と 利用者の公開情報 I と に対す る 正 し い応答に な っ て い る かを検査 し て 、 利用者の秘密情報 s を漏 ら す こ と な く 、 利用者 は秘密情報 S を知 っ て い る こ と す る と と も に、 利用者 は検査文 E を確実 に受信 し て い る こ と を確認 す る こ と か ら な る 配送確認プ 口 セ ス と
利用者が、 少な く と も 検査文 E を用 い て情報暗号化用 秘密鍵 Wを取 り 出 し 、 情報暗号化用秘密鍵 Wを用 い て共 鍵暗号方式に よ り 暗号文 c を復号 し て情報 Mを獲得す る こ と カヽ ら な る 情報取 り 出 し プ ロ セ ス と
を含む こ と を特徴 と す る 情報配送方法 o
の範囲 1 1 に記載の情報配送方法 に お い て、 情報提供者は、 少な く と も 初期応答文 X と 乱数文 Z を 用 い て一方向性関数に よ り 情報暗号化用秘密鍵 Wを生成 す る こ と
を特徴 と す る 情報配送方法。
3 . 請求の範囲 1 2 に記載の情報配送方法に お い て、
、 ·- 刖記記録管理す る 過程では
情報提供者が、 少な く と も 乱数文 Z と 検査文 E と 応答 文 Y と か ら な る 通信履歴デー タ H を記録管理す る こ と を特徴 と す る 情報配送方法。
1 4 . 請求の範囲 1 3 に記載の情報配送方法 に お い て、 更 に、
情報提供者が、 調停者 に対 し 通信履歴デー タ H を提示 し 、
調停者が、 検査文 E と 応答文 Y と 利用者の 公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X と 乱数文 Z を用 い て一方向性関数 に よ り 情報暗号化用秘 密鍵 Wを生成 し 、 少な く と も情報暗号化用秘密鍵 Wを用 い て検査文 E を作成 し 、 作成 し た検査文 E は通信履歴デ 一 夕 H に 含 ま れ る 検査文 E と 一致す る かを検査 し て、 一 致すれば情報提供者 は利用者を認証 し 、 かつ利用者 に対 し て情報 M を配送 し た こ と を認め る こ と か ら な る 過程 と を含む こ と を特徵 と す る 情報配送方法。
1 5 . 請求の範囲 1 に記載の情報配送方法 に お い て、 前 記利用者認証を行な う 過程及び前記配送す る 過程は、 情報提供者が、 情報暗号化用秘密鍵 Wを生成 し 、 情報 M を情報暗号化用秘密鍵 Wを用 い て共通鍵暗号方式に よ り 暗号化 し た暗号文 C を利用者 に送信 し 、
利用者が、 暗号文 C を受信 し た後、 受信 し た 旨を情報 提供者 に通知す る こ と か ら な る 情報配送プ ロ セ ス と 、 利用者が、 初期応答文 X を情報提供者 に送信 し 、 情報提供者が、 少な く と も情報暗号化秘密鍵 Wを用 い
て検査文 E を作成 し て利用者 に送信 し 、
利用者が、 初期応答文 X と 検査文 E と 利用者の秘密情 報 S と を用 いて応答文 Y を作成 し て情報提供者 に送信 し 情報提供者が、 応答文 Y は初期応答文 X と 検査文 E と 利用者の公開情報 I と に対す る 正 し い応答 に な っ て い る かを検査 し て、 利用者の秘密情報 S を漏 ら す こ と な く 、 利用者 は秘密情報 S を知 っ て い る こ と を認証す る と と も に 、 利用者 は検査文 E を確実 に受信 し て い る こ と を確認 す る こ と 力、 ら な る 配送確認 プ ロ セ ス と 、
利用者が、 少な く と も 検査文 E を用 い て情報暗号化用 秘密鍵 Wを獲得 し 、 情報暗号化用秘密鍵 Wを用 い て共通 鍵暗号方式に よ り 暗号文 C を復号 し て情報 M を獲得す る こ と か ら な る 情報取 り 出 し プ ロ セ ス と
を含む こ と を特徴 と す る 情報配送方法。
1 6 . 請求の範囲 1 5 に記載の情報配送方法に お い て、 情報提供者は少な く と も 自 ら 生成 し た乱数文 Z を用 い て一方向性関数に よ り 情報暗号化用秘密鍵 Wを生成す る こ と
を特徴 と す る 情報配送方法。
1 7 . 請求の範囲 1 6 に記載の情報配送方法 に お い て、 前記配送確認プ ロ セ ス で は 、 情報提供者 は少な く と も 初期応答文 X を用 い て一方向性関数 に よ り 鍵暗号化用秘 密鍵 K を生成 し 、 少な く と も情報暗号化用秘密鍵 W と鍵 暗号化用秘密鍵 K と を用 い て検査文 E を生成 し て利用者 に送信 し 、
記情報取 り 出 し プ ロ セ ス で は 、 利用者 は少 な く と も 初期応答文 X を用 い て一方向性関数 に よ り 鍵暗号化用秘 密鍵 Κ を生成 し 、 少な く と も 検査文 Ε と 鍵暗号化用秘密 鍵 Κ と を用 い て情報暗号化用秘密鍵 Wを取 り 出す こ と を特徴 と す る 情報配送方法。
1 8 . 請求の範囲 1 7 に記載の情報配送方法 に お い て 、 前記記録管理す る 過程で は
情報提供者が、 少な く と も 乱数文 Ζ と 検査文 Ε と 応答 文 Υ と か ら な る 通信履歴デー タ Η を記録管理す る こ と を特徴 と す る 情報配送方法。
1 . 請求の範囲 1 8 に記載の情報配送方法 に お い て 、 更に
情報提供者が、 調停者 に対 し 通信履歴デー タ Η を提示 し 、
調停者が 、 検査文 Ε と 応答文 Υ と 利用者の公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X を用 い て一方向性関数に よ り 鍵暗号用秘密鍵 κ を、 ま た 少な く と ち 乱数文 Ζ を用 い て一方向性関数 に よ り 情報暗 号化用秘密鍵 Wを そ れぞれ生成 し 、 少な く と も 鍵暗号用 秘密鍵 Κ と 情報暗号化用秘密鍵 W と を用 い て検査文 Ε を 作成 し 、 作成 し た検査文 Ε は通信履歴デ 一 夕 Η に 含ま れ る 検査文 Ε と 一致す る かを検査 し て 、 一致すれば情報提 供者 は利用者を認証 し 、 かつ利用者 に対 し て情報 Μを配 送 し た こ と ¾τ έίί め る こ と か ら な る 過程
を含む こ と を特徴 と す る 情報配送方法。
0 1 —
2 0 . 請求の範囲 1 6 に記載の情報配送方法 に お い て、 前記配送確認プ ロ セ ス で は、 情報提供者 は少な く と も 初期応答文 X お よ び利用者 と 情報提供者が秘密 に共有 し て い る 秘密情報 C S と を用 い て一方向性関数 に よ り 鍵暗 号化用秘密鍵 K を生成 し 、 少な く と も 情報暗号化用秘密 鍵 W と 鍵暗号化用秘密鍵 K と を用 い て検査文 E を生成 し て利用者に送信 し 、
前記情報取 り 出 し プ ロ セ ス で は 、 利用者は少な く と も 初期応答文 X と 秘密情報 C S と を用 い て一方向性関数 に よ り 鍵暗号化用秘密鍵 K を生成 し 、 少な く と も 検査文 E と 鍵暗号化用秘密鍵 K と を用 い て情報暗号化用秘密鍵 W を取 り 出す こ と
を特徴 と す る 情報配送方法。
2 1 . 請求の範囲 2 0 に記載の情報配送方法 に おいて、 前記記録管理す る 過程で は、
情報提供者が、 少な く と も 利用者 と 情報提供者が秘密 に共有 し て い る 秘密情報 C S と 乱数文 Z と 検査文 E と 応 答文 Y と か ら な る 通信履歴デー タ H を記録管理す る こ と を特徵 と す る 情報配送方法。
2 2 . 請求の範囲 2 1 に記載の情報配送方法 に おい て、 更に、
情報提供者が、 調停者 に対 し 通信履歴デー タ H を提示 し 、
調停者が、 検査文 E と 応答文 Y と 利用者の公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X
お よ び利用者 と 情報提供者が秘密 に 共有 し て い る 秘密情 報 じ s と を用 い て一方向性関数 に よ り 鍵暗号用秘密鍵 κ を、 ま た少な く と も 乱数文 z を用 い て一方向性関数 に よ り 情報暗号化用秘密鍵 wを そ れぞれ生成 し 、 少な く と も 鍵暗号用秘密鍵 κ と 情報暗号化用秘密鍵 W と を用 い て検 査文 E を作成 し 、 作成 し た検査文 E は通信履歴デー タ H に 含 ま れ る 検査文 E と 一致す る かを検査 し て、 一致すれ ば情報提供者 は利用者を認証 し 、 かつ利用者 に対 し て情 報 M を配送 し た こ と を認め る こ と か ら 成 る 過程
を含む こ と を特徴 と す る 情報配送方法。
2 3 . 請求の範囲 1 5 に記載の情報配送方法 に お い て、 利用者 は、 要求文 R を情報提供者 に送信 し 、
情報提供者 は、 少な く と も 要求文 R と 自 ら 生成 し た乱 数文 Z と を用 い て一方向性関数に よ り 情報暗号化用秘密 鍵 Wを生成す る こ と
を特徴 と す る 情報配送方法。
2 4 . 請求の範囲 2 3 に記載の情報配送方法 に お い て、 利用者か ら 情報提供者 に送信す る 要求文 R につ い て暗 号通信を行な う こ と
を特徴 と す る 情報配送方法。
2 5 . 請求の範囲 2 3 ま た は請求の範囲 2 4 に記載の情 報配送方法 に お い て、
前記配送確認プ ロ セ ス で は、 情報提供者が、 少な く と も 初期応答文 X を用 い て一方向性関数に よ り 鍵暗号化用 秘密鍵 K を生成 し 、 少な く と も 情報暗号化用秘密鍵 W と
0
鍵暗号化用秘密鍵 K と を用 い て検査文 E を生成 し て利用 者 に送信 し 、
前記情報取 り 出 し プ ロ セ ス で は 、 利用者が、 少な く と も 初期応答文 X を用 い て一方向性関数 に よ り 鍵暗号化用 秘密鍵 K を生成 し 、 少な く と も 検査文 E と 鍵暗号化用秘 密鍵 K と を用 い て情報暗号化用秘密鍵 Wを取 り 出す こ と を特徴 と す る 情報配送方法。
2 6 . 請求の範囲 2 5 に記載の情報配送方法 に お い て、 前記記録管理す る 過程で は
情報提供者が、 少な く と も 乱数文 Z と 検査文 E と 応答 文 Y と 要求文 R と か ら な る 通信履歴デー タ H を記録管理 す る こ と
を特徵 と す る 情報配送方法。
2 7 . 請求の範囲 2 6 に記載の情報配送方法 に お い て、 更に
情報提供者が、 調停者に対 し 通信履歴デー タ H を提示 し 、
調停者が、 検査文 E と 応答文 Y と 利用者の公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X を用 い て一方向性関数に よ り 鍵暗号用秘密鍵 K を、 ま た 少な く と も 乱数文 Z と 要求文 R と を用 い て一方向性関数 に よ り 情報暗号化用秘密鍵 Wを そ れぞれ生成 し 、 少な く と も鍵暗号用秘密鍵 K と 情報暗号化用秘密鍵 W と を用 い て検査文 E を作成 し 、 作成 し た検査文 E は通信履歴デ一 夕 H に 含ま れ る 検査文 E と 一致す る かを検査 し て、 一致
すれば情報提供者 は利用者を認証 し 、 かつ利用 者 に 対 し て情報 M を配送 し た こ と を認め る こ と か ら な る 過程
を含む こ と を特徴 と す る 情報配送方法。
2 8 . 請求の範囲 2 3 ま た は請求の範囲 2 4 に 記載の情 報配送方法 に お い て、
前記配送確認プ ロ セ ス で は、 情報提供者が、 少な く と も 初期応答文 X お よ び利用者 と 情報提供者が秘密に共有 し て い る 秘密情報 C S と を用 い て一方向性関数 に よ り 鍵 暗号化用秘密鍵 K を生成 し 、 少な く と も 情報暗号化用秘 密鍵 W と 鍵暗号化用秘密鍵 K と を用 い て検査文 E を生成 し て利用者に送信 し 、
前記情報取 り 出 し プ ロ セ ス で は 、 利用者が、 少な く と も 初期応答文 X と 秘密情報 C S を用 い て一方向性関数 に よ り 鍵暗号化用秘密鍵 K を生成 し 、 少な く と も 検査文 E と 鍵暗号化用秘密鍵 K と を用 い て情報暗号 化用秘密鍵 Wを取 り 出す こ と
を特徴 と す る 情報配送方法。
2 9 . 請求の範囲 2 8 に記載の情報配送方法 に お い て、 前記記録管理す る 過程で は、
情報提供者が、 少な く と も 利用者 と 情報提供者が秘密 に共有 し て い る 秘密情報 C S と 乱数文 Z と 検査文 E と 応 答文 Y と 要求文 R と か ら な る 通信履歴デー タ H を記録管 理す る こ と
を特徴 と す る 情報配送方法。
3 0 . 請求の範囲 2 9 に記載の情報配送方法 に お い て、
0
更に
情報提供者が、 調停者に対 し 通信履歴デー タ H を提示 し ヽ
調停者が、 検査文 E と 応答文 Y と 利用者の 公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X お よ び利用者 と 情報提供者が秘密に共有 し て い る 秘密情 報 c S と を用 い て一方向性関数 に よ り 鍵暗号用秘密鍵 K を、 ま た少な く と ち 乱数文 Z と 要求文 R と を用 い て一方 向性関数に よ り 情報暗号化用秘密鍵 Wを そ れぞれ生成 し 少な く と も 鍵暗号用秘密鍵 κ と 情報暗号化用秘密鍵 W と を用 い て検査文 E を作成 し 、 作成 し た検査文 E は通信履 歴デ— タ H に 含 ま れ る 検査文 E と 一致す る かを検査 し て 一致すれば情報提供者 は利用者を n'ひ証 し 、 かつ利用者に 対 し て情報 M を配送 し た こ と を認め る こ と 力、 ら 成 る 過程 を含む こ と を特徴 と す る 情報配送方法。
3 1 . 請求の範囲 1 5 に記載の情報配送方法 に お い て、 更に
情報提供者が、 利用者に は復号で き な い方式で暗号化 し た情報暗号化用秘密鍵 c wを利用者 に送信 し 、
利用者が、 暗号化 さ れた情報暗号化用秘密鍵 C Wに デ
、、、
ィ ン タ ル署名 し た署名 付 き 情報暗号用秘密鍵 S Wを情報 提供者 に送信 し 、
情報提供者が、 署名付 き 情報暗号用秘密鍵 S Wの署名 は正 し いかを検証す る こ と か ら な る 過程
を含む こ と を特徴 と す る 情報配送方法。
0 6 —
3 2 . 請求の範囲 3 1 に記載の情報配送方法 に お い て、 前記配送確認プ ロ セ ス で は、 情報提供者が、 少な く と も 初期応答文 X を用 い て一方向性関数 に よ り 鍵暗号化用 秘密鍵 K を生成 し 、 少な く と も 情報暗号化用秘密鍵 W と 鍵暗号化用秘密鍵 K と を用 い て検査文 E を生成 し て利用 者 に送信 し 、
前記情報取 り 出 し プ ロ セ ス で は 、 利用者が、 少な く と も 初期応答文 X を用 い て一方向性関数 に よ り 鍵暗号化用 秘密鍵 K を生成 し 、 少な く と も 検査文 E と 鍵暗号化用秘 密鍵 K と を用 い て情報暗号化用秘密鍵 Wを取 り 出す こ と を特徴 と す る 情報配送方法。
3 3 . 請求の範囲 3 2 に記載の情報配送方法 に お い て、 前記記録管理す る 過程で は、
情報提供者が、 少な く と も 情報暗号用秘密鍵 W と 署名 付 き 情報暗号用秘密鍵 S W と 検査文 E と 応答文 Y と か ら な る 通信履歴デー タ H を記録管理す る こ と
を特徴 と す る 情報配送方法。
3 4 . 請求の範囲 3 3 に記載の情報配送方法に お い て、 更に、
情報提供者が、 調停者に対 し通信履歴デー タ H を提示 し 、
調停者が、 署名付 き 情報暗号用秘密鍵 S W は情報暗号 用秘密鍵 W に対す る 正 し い署名で あ る か ど う かを検証 し た後、 検査文 E と 応答文 Y と 利用者の公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X を用 い
0 7 一
て一方向性関数 に よ り 鍵暗号用秘密鍵 κ を生成 し 、 少な く と も 鍵暗号用秘密鍵 κ と 情報暗号化用秘密鍵 W と を用 い て検査文 E を作成 し 、 作成 し た検査文 E は通信履歴デ 一 夕 H に 含 ま れ る 検査文 E と 一致す る かを検査 し て、 一 致すれば情報提供者 は利用者を認証 し 、 かつ利用者 に対 し て情報 M を配送 し た こ と を認め る こ と か ら な る 過程 を含む こ と を特徴 と す る 情報配送方法。
3 5 . 請求の範囲 3 1 に記載の情報配送方法 に お い て、 前記配送確認プ ロ セ ス で は、 情報提供者 は少な く と も 初期応答文 X 及び利用者 と 情報提供者が秘密 に共有 し て い る 秘密情報 C S を用 い て一方向性関数 に よ り 鍵暗号化 用秘密鍵 K を生成 し 、 少な く と も 情報暗号化用秘密鍵 W と 鍵暗号化用秘密鍵 K と を用 い て検査文 E を生成 し て利 用者 に送信 し 、
前記情報取 り 出 し プ ロ セ スで は、 利用者は少な く と も 初期応答文 X 及び利用者 と 情報提供者が秘密に共有 し て い る 秘密情報 C S を用 い て一方向性関数 に よ り 鍵暗号化 用秘密鍵 K を生成 し 、 少な く と も 検査文 E と 鍵暗号化用 秘密鍵 K と を用 い て情報暗号化用秘密鍵 Wを取 り 出す こ と
を特徴 と す る 情報配送方法。
3 6 . 請求の範囲 3 5 に記載の情報配送方法 に おい て、 前記記録管理す る 過程で は、
情報提供者が、 少な く と も m報暗号用秘密鍵 W と 署名 付 き 情報暗号用秘密鍵 S W と 検査文 E と 応答文 Y及び利
用者 と 情報提供者が秘密 に共有 し て い る 秘密情報 C S と か ら な る 通信履歴デー タ H を記録管理す る こ と
を特徵 と す る 情報配送方法。
3 7 . 請求の範囲 3 6 に記載の情報配送方法 に お い て 、 更 に 、
情報提供者が、 調停者 に対 し 通信履歴デ 夕 H を提示 し 、
調停者が、 署名付 き 情報暗号用秘密鍵 S W は情報暗号 用秘密鍵 W に対す る 正 し い署名であ る か ど う かを検証 し た後、 検査文 E と 応答文 Y と 利用者の公開情報 I と か ら 初期応答文 X を計算 し 、 少な く と も 初期応答文 X 及び利 用者 と 情報提供者が秘密に共有 し て い る 秘密情報 C S を 用 いて一方向性関数 に よ り 鍵暗号用秘密鍵 K を生成 し 、 少な く と も 鍵暗号用秘密鍵 K と 情報暗号化用秘密鍵 W と を用 い て検査文 E を作成 し 、 作成 し た検査文 E は通信履 歴デー タ H に 含 ま れ る 検査文 E と 一致す る かを検査 し て 一致すれば情報提供者 は利用者を認証 し 、 かつ利用者に 対 し て情報 Mを配送 し た こ と を認め る こ と か ら な る 過程 を含む こ と を特徴 と す る 情報配送方法。
3 8 . 請求の範囲 1 1 か ら 請求の範囲 3 7 の い ずれか に 記載の情報配送方法 に お い て、
情報提供者か ら 利用者 に送信す る 検査文 E に つ い て暗 号通信を行な う こ と
を特徴 と す る 情報配送方法。
3 9 . 請求の範囲 3 8 の情報配送方法に お い て、
0 9
利用者か ら 情報提供者 に送信す る 初期応答文 X ま た は 応答文 Y の少な く と も 一方を暗号通信を行な う こ と
を特徴 と す る 情報配送方法。
4 0 . 請求の範囲 1 1 か ら 請求の範囲 3 7 の い ずれか に 記載の情報配送方法 に お い て、
前記配送確認プ ロ セ ス で は 、 情報提供者が、 少な く と も検査文 E を暗号化 し て利用者 に送信 し 、
前記情報取 り 出 し プ ロ セ ス で は 、 利用者が、 検査文 E を復号す る こ と
を特徴 と す る 情報配送方法。
4 1 . 請求の範囲 1 1 か ら 請求の範囲 4 0 の いずれか に 記載の情報配送方法に おい て、 前記利用者認証を行な う 過程及び前記配送す る 過程 は、
検査文 E を任意 ビ ッ ト 長の サ イ ズの複数個の プ ロ ッ ク に分割 し 、 各ブ ロ ッ ク こ と に独立 し て繰 り 返 し配送確認 プ ロ セ ス を行 な う こ と
を特徴 と す る 情報配送方法。
4 2 . 請求の範囲 1 か ら 請求の範囲 4 1 の い ずれかに記 載の情報配送方法に お い て、
利用者側の動作は携帯可能な利用者の 力 一 ド に よ っ て 実行 さ れ る こ と
を特徴 と す る 情報配送方法。
4 3 . 請求の範囲 1 か ら請求の範囲 4 2 の いずれか に記 載の情報配送方法 に お い て、 更に、
前記形態可能な利用者の カ ー ド に利用者が受信 し た情
0
報 M ま た は情報暗号用秘密鍵 Wを記録す る こ と
を含む こ と を特徴 と す る 情報配送方法。
4 4 . 少な く と も 利用者端末 と 情報提供者端末 と を 含む シ ス テ ム で あ っ て 、
利用者端末 は、
情報提供者端末 と の 間の通信を制御す る 利用者通信制 御手段 と 、
利用者が秘密 に保持すべ き 秘密情報を蓄積 し てお く 利 用者秘密情報蓄積手段 と 、
乱数を発生す る 乱数発生手段 と 、
前記利用者通信制御手段を介 し て通信 さ れ る 初期応答 文 と 応答文を前記秘密情報 と 乱数 に基づい て生成す る 利 用者演算手段 と を有 し 、
情報提供者端末 は、
利用者端末 と の 間の通信を制御す る 情報提供者通信制 御手段 と 、
前記情報提供者通信制御手段を介 し て利用者 に提供す る 情報を蓄積 し て お く 情報者デー タ ベー ス と 、
前記情報提供者通信制御手段を介 し て利用者の認証を 行な う 検証手段 と を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
4 5 . 請求の範囲 4 4 に記載の情報配送 シ ス テ ム に お い て 、
利用者端末は更に前記利用者通信制御手段を介 し て情 報提供者か ら配送 さ れた情報を蓄積す る 情報蓄積手段を
有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
4 6 . ' 請求の範囲 4 4 ま た は請求の範囲 4 5 の いずれか に記載の情報配送 シ ス テ ム に お い て、
利用者端末お よ び情報提供者端末の双方が更に共通鍵 暗号方式 ま た は公開鍵暗号方式、 も し く は そ の両方の暗 号方式に よ る 暗号通信を行 う 暗号手段を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
4 7 . 請求の範囲 4 6 に記載の情報配送 シ ス テ ム に お い て 、
情報提供者端末は更に前記暗号手段で利用 さ れ る 情報 提供者が秘密に保持すべ き 情報を蓄積す る 情報提供者秘 密情報蓄積手段を有す る こ と
を特徽 と す る 情報配送 シ ス テ ム 。
4 8 . 請求の範囲 4 4 か ら 請求の範囲 4 7 の いずれかに 記載 の情報配送 シ ス テ ム に お い て 、
利用者端末の前記利用者演算手段お よ び情報提供者端 末の前記検証手段の双方が情報圧縮関数ま た は一方向性 関数、 も し く は そ の両方の関数 に よ る 関数演算を行 う 手 段を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
4 9 . 請求の範囲 4 4 か ら請求の範囲 4 8 の いずれか に
ί
記載の情報配送 シ ス テ ム に お い て、
情報提供者端末は更に通信履歴デー タ を記録管理す る 通信履歴フ ァ ィ ルを有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
5 0 . 請求の範囲 4 9 に記載の情報配送 シ ス テ ム に お い て 、 更に 、
情報提供者が利用 者 に 情報を提供 し た こ と を照明す る 通信履歴デー タ につ い て 、 通信履歴デー タ の正当性を検 査す る 調停端末で あ っ て、
初期応答文 と 検査文を生成す る 調停演算手段 と 、 通信履歴デー タ 中 の検査文 と 前記調停演算手段で生成 し た検査文 と に基づい て該通信履歴デー タ の正当性を検 査す る 調停検証手段 と を有す る も の
を含む こ と を特徴 と す る 情報配送 シ ス テ ム 。
5 1 . 請求の範囲 4 4 か ら請求の範囲 5 0 の いずれか に 記載の情報配送 シ ス テ ム に お い て 、
情報提供者端末は更に前記情報提供者通信制御手段を 介 し て利用者へ配送す る 情報を任意 ビ ッ ト 長サ イ ズの複 数の プ ロ ッ ク に分割す る 情報分割手段を有 し 、
利用者端末は更に前記複数個の プ ロ ッ ク に 分割 さ れた 情報を元の情報に再構成す る 情報再構成手段を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
5 2 . 少な く と も 利用者端末 と 情報提供者端末 と を含む シ ス テ ム で あ っ て、
利用者端末 は、
情報提供者端末 と の 間の通信を制御す る 利用者通信制 御手段 と 、
1
利用者が秘密に保持すベ き 秘密情報を蓄積 し て お く 利 用者秘密情報蓄積手段 と 、
前記利用者通信制御手段を介 し て情報提供者端末 と の 間で暗号通信を行 う 利用者共通鍵暗号手段 と
乱数を発生す る 乱数発生手段 と
、 '- m sci利用者通信制御手段を介 し て通信 さ れ る 初期応答 文 と 応答文 と 秘密鍵を生成す る 利用者演算手段 と 、
二"!
m s己利用者通信制御手段を介 し て 報提供者力、 ら 配送 さ れた情報を蓄積す る 情報蓄積手段 と を有 し
情報提供者端末は、
利用者端末 と の 間の通信を制御す る 情報提供者通信制 御手段 と 、
前記情報提供者通信制御手段を介 し て利用者 に提供す る 情報を蓄積 し てお く 情報デー タ ベー ス と 、
秘密鍵 と 検査文を生成す る 情報提供者演算手段 と 前記情報提供者通信制御手段を介 し て利用者端末 と の 間で暗号通信を行 う 情報提供者共通鍵暗号手段 と 、
前記情報提供者通信制御手段を介 し て利用者の認証を 行な う 検証手段 と を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
5 3 . 請求の範囲 5 2 に記載の情報配送 シ ス テ ム に お い て、
情報提供者端末は更に前記情報提供者演算手段で利用 さ れ る 乱数を発生す る 乱数発生手段を有す る こ と
を特徵 と す る 情報配送 シ ス テ ム 。
4 一
5 4 . 請求の範囲 5 2 ま た は請求の範囲 5 3 に記載の情 報配送 シ ス テ ム に お い て 、
利用者端末お よ び情報提供者端末の双方が更 に公開鍵 暗号方式に よ る 暗号通信を行な う 公開鍵暗号手段を を有 す る こ と
を特徴 と す る 情報配送 シ ス ア ム 。
5 5 . 請求の範囲 5 2 か ら 請求の範囲 5 4 の いずれか に 記載の情報配送 シ ス テ ム に お い て 、
情報提供者端末は更 に前記情報提供者演算手段 ま た は 前記公開鍵暗号手段で利用 さ れ る 情報提供者が秘密 に保 持すべ き 情報を蓄積す る 情報提供者秘密情報蓄積手段を 有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
5 6 . 請求の範囲 5 2 カヽ ら 請求の範囲 5 5 の い ずれか に 記載の情報配送 シ ス テ ム に お い て 、
利用者端末は更に デ ィ ジ タ ル署名 を行 う デ ィ ジ タ ル署 名手段を有 し 、
情報提供者端末 はテ ィ シ タ ル署名 を検証す る た めの デ ィ ジ タ ノレ署名検証手段を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム o
5 7 . 請求の範囲 5 2 カヽ ら 請求の範囲 5 6 の いずれか に 記載の情報配送 シ ス テ ム に お い て 、
情報提供者端末 は更に通信履歴デー タ を記録管理す る 通信履歴 フ ア イ ルを有す る
を特徴 と す る 情報配送 シ ス テ ム Q
5 8 . 請求の範囲 5 7 に 記載の†青報配送 シ ス テ ム に お い て 、 更 に 、
情報提供者が利用者 に情報を提供 し た こ と を証明す る 通信履歴デー タ につ い て 、 通信履歴デー タ の正当性を検 查す る 調停端末であ っ て、
初期応答文 と 秘密鍵 と 検査文を生成す る 調停演算手段 と 、
通信履歴デ— タ 中の検査文 と 前記調停演算手段で生成 し た検査文 と に基づい て該通信履歴デー タ の正当性を検 査す る 調停検証手段 と を有す る も の
を含む こ と を特徴 す る 情報配送 シ ス テ ム 。
5 9 . 請求の範囲 5 8 に記載の情報配送 シ ス テ ム に お い て、
調停端末が更に通信履歴デー タ 中の署名 付 き 情報暗号 用秘密鍵の署名 は正当であ る かを検証す る 検証手段を有 す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
6 0 . 請求の範囲 5 2 か ら 請求の範囲 5 9 の いずれか に 記載の情報配送 シ ス テ ム に お い て 、
情報提供者端末は更に前記情報提供者通信制御手段を 介 し て利用者へ配送す る 情報を任意 ビ ッ ト 長サ イ ズの複 数の プ ロ ッ ク に分割す る 情報分割手段を有 し 、
利用者端末は更に前記複数個の プ ロ ッ ク に分割 さ れた 情報を元の情報に再構成す る 情報再構成手段を有す る こ と .
を特徴 と す る情報配送 シ ス テ ム'。
6 1 . 請求の範囲 4 4 か ら 請求の範囲 6 0 の いずれかに 記載の情報配送 シ ス テ ム に お い て、
利用者端末は前記利用者秘密鍵蓄積手段、 乱数発生手 段、 利用者演算手段を含ん だ 力 一 ド と 、
該 カ ー ドが揷入 さ れ る カ ー ド揷入手段 と を有す る こ と を特徴 と す る 情報配送 シ ス テ ム 。
6 2 . 請求の範囲 6 1 に 記載の情報配送 シ ス テ ム に お い て、
前記カ ー ド は更に情報提供者か ら 配送 さ れた情報を蓄 積す る 情報力 一 ド蓄積手段を有す る こ と
を特徴 と す る 情報配送 シ ス テ ム 。
7 一
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US08/535,199 US6011848A (en) | 1994-03-07 | 1995-03-07 | Method and system for message delivery utilizing zero knowledge interactive proof protocol |
| EP95910757A EP0697687A4 (en) | 1994-03-07 | 1995-03-07 | METHOD AND SYSTEM FOR PROVIDING AUTHENTICATION PROTOCOL BASED ON ZERO KNOWLEDGE |
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3579794 | 1994-03-07 | ||
| JP6/35797 | 1994-03-07 | ||
| JP21337494 | 1994-09-07 | ||
| JP6/213374 | 1994-09-07 | ||
| JP22628294 | 1994-09-21 | ||
| JP6/226282 | 1994-09-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO1995024708A1 true WO1995024708A1 (fr) | 1995-09-14 |
Family
ID=27288876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP1995/000367 WO1995024708A1 (fr) | 1994-03-07 | 1995-03-07 | Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US6011848A (ja) |
| EP (1) | EP0697687A4 (ja) |
| WO (1) | WO1995024708A1 (ja) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
| GB9709135D0 (en) * | 1997-05-02 | 1997-06-25 | Certicom Corp | Two way authentication protocol |
| DE69724235T2 (de) * | 1997-05-28 | 2004-02-26 | Siemens Ag | Computersystem und Verfahren zum Schutz von Software |
| DE69720971T2 (de) * | 1997-05-28 | 2003-10-30 | Siemens Ag | Computersystem und Verfahren zum Schutz von Software |
| JP3815022B2 (ja) * | 1998-02-09 | 2006-08-30 | 富士ゼロックス株式会社 | 利用資格検証装置および方法、ならびに、利用資格検証システム |
| JPH11231778A (ja) * | 1998-02-18 | 1999-08-27 | Matsushita Electric Ind Co Ltd | 暗号化装置及び復号装置、暗号化方法及び復号方法並びにそれらの方法を記録した記録媒体 |
| FR2792142B1 (fr) | 1999-04-08 | 2001-06-01 | France Telecom | Procede d'authentification et de signature de message utilisant des engagements de taille reduite |
| US7089420B1 (en) | 2000-05-24 | 2006-08-08 | Tracer Detection Technology Corp. | Authentication method and system |
| US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
| US7165268B1 (en) * | 2000-10-17 | 2007-01-16 | Moore Keith E | Digital signatures for tangible medium delivery |
| US6904521B1 (en) | 2001-02-16 | 2005-06-07 | Networks Associates Technology, Inc. | Non-repudiation of e-mail messages |
| US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| JP2002297477A (ja) * | 2001-03-28 | 2002-10-11 | Sony Computer Entertainment Inc | 配信システム及び配信方法 |
| FR2823928B1 (fr) * | 2001-04-19 | 2003-08-22 | Canal Plus Technologies | Procede pour une communication securisee entre deux dispositifs |
| KR100400458B1 (ko) * | 2001-05-14 | 2003-10-01 | 엘지전자 주식회사 | 네트워크 가능한 가전기기의 프로토콜 업그레이드 방법 |
| WO2003093961A2 (en) * | 2002-05-02 | 2003-11-13 | Shieldip, Inc. | Method and apparatus for protecting information and privacy |
| US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
| US7840806B2 (en) * | 2002-10-16 | 2010-11-23 | Enterprise Information Management, Inc. | System and method of non-centralized zero knowledge authentication for a computer network |
| US8239917B2 (en) * | 2002-10-16 | 2012-08-07 | Enterprise Information Management, Inc. | Systems and methods for enterprise security with collaborative peer to peer architecture |
| US20040193923A1 (en) * | 2003-01-16 | 2004-09-30 | Hammond Frank J. | Systems and methods for enterprise security with collaborative peer to peer architecture |
| JP4306232B2 (ja) * | 2002-11-25 | 2009-07-29 | 日本電気株式会社 | 証明システムと評価システム |
| KR20040050625A (ko) * | 2002-12-10 | 2004-06-16 | 한국전자통신연구원 | 대칭형 및 비대칭형 인증 키 교환을 이용한 인증방법 |
| US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
| US7516492B1 (en) | 2003-10-28 | 2009-04-07 | Rsa Security Inc. | Inferring document and content sensitivity from public account accessibility |
| US7523301B2 (en) * | 2003-10-28 | 2009-04-21 | Rsa Security | Inferring content sensitivity from partial content matching |
| JP4626148B2 (ja) * | 2004-01-07 | 2011-02-02 | 株式会社日立製作所 | 復号または署名作成におけるべき乗剰余算の計算方法 |
| KR100668016B1 (ko) | 2004-01-22 | 2007-01-16 | 닛본 덴끼 가부시끼가이샤 | 믹스넷 시스템 |
| JP4940592B2 (ja) * | 2005-08-11 | 2012-05-30 | 日本電気株式会社 | 否認可能零知識対話証明に適用される証明装置及び検証装置 |
| US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
| US8171293B2 (en) | 2005-12-30 | 2012-05-01 | Apple Inc. | Receiver non-repudiation via a secure device |
| US7890757B2 (en) * | 2005-12-30 | 2011-02-15 | Novell, Inc. | Receiver non-repudiation |
| US7499552B2 (en) | 2006-01-11 | 2009-03-03 | International Business Machines Corporation | Cipher method and system for verifying a decryption of an encrypted user data key |
| US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
| US8806214B2 (en) | 2008-12-01 | 2014-08-12 | Novell, Inc. | Communication with non-repudiation and blind signatures |
| US8458477B2 (en) | 2008-12-01 | 2013-06-04 | Novell, Inc. | Communication with non-repudiation |
| US20110246779A1 (en) * | 2008-12-11 | 2011-10-06 | Isamu Teranishi | Zero-knowledge proof system, zero-knowledge proof device, zero-knowledge verification device, zero-knowledge proof method and program therefor |
| CA2762682A1 (en) * | 2009-05-18 | 2010-11-25 | Telcordia Technologies, Inc. | A privacy architecture for distributed data mining based on zero-knowledge collections of databases |
| JP5712995B2 (ja) * | 2012-12-20 | 2015-05-07 | トヨタ自動車株式会社 | 通信システム、通信装置及び通信方法 |
| US11265165B2 (en) * | 2015-05-22 | 2022-03-01 | Antique Books, Inc. | Initial provisioning through shared proofs of knowledge and crowdsourced identification |
| US10839096B2 (en) | 2016-03-28 | 2020-11-17 | International Business Machines Corporation | Cryptographically provable zero-knowledge content distribution network |
| AU2018321008B2 (en) * | 2017-08-22 | 2021-05-20 | Nippon Telegraph And Telephone Corporation | Share generating device, reconstructing device, secure computation system, share generation method, reconstruction method, program, and recording medium |
| CN110795745B (zh) * | 2019-10-14 | 2022-06-21 | 山东药品食品职业学院 | 一种基于服务器的信息存储和传送系统及其方法 |
| US11146558B2 (en) | 2020-03-11 | 2021-10-12 | International Business Machines Corporation | Stateless multi-party authorization system in web applications |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63101987A (ja) * | 1986-07-09 | 1988-05-06 | イエダ リサ−チ アンド デベロツプメント カンパニ− リミテツド | 識別及び署名方法及び装置 |
| JPH02266464A (ja) * | 1989-04-05 | 1990-10-31 | Nippon Telegr & Teleph Corp <Ntt> | 認証方法及びそれに用いる装置 |
| JPH0382237A (ja) * | 1989-08-25 | 1991-04-08 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号・認証方式 |
| JPH0382239A (ja) * | 1989-08-25 | 1991-04-08 | Nippon Telegr & Teleph Corp <Ntt> | 暗号鍵配送方式 |
| JPH0512321A (ja) * | 1991-07-08 | 1993-01-22 | Mitsubishi Electric Corp | 認証方式 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4200770A (en) * | 1977-09-06 | 1980-04-29 | Stanford University | Cryptographic apparatus and method |
| US4405829A (en) * | 1977-12-14 | 1983-09-20 | Massachusetts Institute Of Technology | Cryptographic communications system and method |
| US5140634A (en) * | 1987-09-07 | 1992-08-18 | U.S Philips Corporation | Method and apparatus for authenticating accreditations and for authenticating and signing messages |
| US4932056A (en) * | 1989-03-16 | 1990-06-05 | Yeda Research And Development Company Limited | Method and apparatus for user identification based on permuted kernels |
| US4956863A (en) * | 1989-04-17 | 1990-09-11 | Trw Inc. | Cryptographic method and apparatus for public key exchange with authentication |
| DE69133502T2 (de) * | 1990-06-01 | 2006-09-14 | Kabushiki Kaisha Toshiba, Kawasaki | Geheimübertragungsverfahren und -gerät |
| US5390252A (en) * | 1992-12-28 | 1995-02-14 | Nippon Telegraph And Telephone Corporation | Authentication method and communication terminal and communication processing unit using the method |
| FR2700430B1 (fr) * | 1992-12-30 | 1995-02-10 | Jacques Stern | Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification et dispositif pour sa mise en Óoeuvre. |
| US5373558A (en) * | 1993-05-25 | 1994-12-13 | Chaum; David | Desinated-confirmer signature systems |
| EP0639907B1 (en) * | 1993-08-17 | 1999-12-08 | R3 Security Engineering AG | Digital signature method and key agreement method |
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| FR2714780B1 (fr) * | 1993-12-30 | 1996-01-26 | Stern Jacques | Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification. |
| US5553145A (en) * | 1995-03-21 | 1996-09-03 | Micali; Silvia | Simultaneous electronic transactions with visible trusted parties |
-
1995
- 1995-03-07 EP EP95910757A patent/EP0697687A4/en not_active Withdrawn
- 1995-03-07 US US08/535,199 patent/US6011848A/en not_active Expired - Fee Related
- 1995-03-07 WO PCT/JP1995/000367 patent/WO1995024708A1/ja not_active Application Discontinuation
-
1997
- 1997-08-25 US US08/944,025 patent/US6044463A/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63101987A (ja) * | 1986-07-09 | 1988-05-06 | イエダ リサ−チ アンド デベロツプメント カンパニ− リミテツド | 識別及び署名方法及び装置 |
| JPH02266464A (ja) * | 1989-04-05 | 1990-10-31 | Nippon Telegr & Teleph Corp <Ntt> | 認証方法及びそれに用いる装置 |
| JPH0382237A (ja) * | 1989-08-25 | 1991-04-08 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号・認証方式 |
| JPH0382239A (ja) * | 1989-08-25 | 1991-04-08 | Nippon Telegr & Teleph Corp <Ntt> | 暗号鍵配送方式 |
| JPH0512321A (ja) * | 1991-07-08 | 1993-01-22 | Mitsubishi Electric Corp | 認証方式 |
Non-Patent Citations (1)
| Title |
|---|
| See also references of EP0697687A4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP0697687A1 (en) | 1996-02-21 |
| US6044463A (en) | 2000-03-28 |
| US6011848A (en) | 2000-01-04 |
| EP0697687A4 (en) | 2000-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO1995024708A1 (fr) | Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles | |
| US8654975B2 (en) | Joint encryption of data | |
| US7716484B1 (en) | System and method for increasing the security of encrypted secrets and authentication | |
| US6708893B2 (en) | Multiple-use smart card with security features and method | |
| US5164988A (en) | Method to establish and enforce a network cryptographic security policy in a public key cryptosystem | |
| EP2348446B1 (en) | A computer implemented method for authenticating a user | |
| US8667287B2 (en) | Transaction auditing for data security devices | |
| US8195951B2 (en) | Data processing system for providing authorization keys | |
| EP1992101A2 (en) | Secure data transmission using undiscoverable or black data | |
| JP2004015241A (ja) | 暗号通信システム、その端末装置及びサーバ並びに復号方法 | |
| CN111131336B (zh) | 多方授权场景下的资源访问方法、装置、设备及存储介质 | |
| US7660987B2 (en) | Method of establishing a secure e-mail transmission link | |
| EP3496331A1 (en) | Two-party signature device and method | |
| KR100563515B1 (ko) | 과도 키 디지탈 시간 스탬프 방법 및 시스템 | |
| JP6041864B2 (ja) | データの暗号化のための方法、コンピュータ・プログラム、および装置 | |
| US8015398B2 (en) | Set membership proofs in data processing systems | |
| CN108833431A (zh) | 一种密码重置的方法、装置、设备及存储介质 | |
| JP3970243B2 (ja) | 暗号認証方法 | |
| US20040153652A1 (en) | Method, apparatus, system, and program for creating ring signature | |
| CN114095181A (zh) | 一种基于国密算法的门限环签名方法及系统 | |
| LU93150B1 (en) | Method for providing secure digital signatures | |
| JP3314900B2 (ja) | ゼロ知識証明プロトコルを利用した情報配送方法およびシステム | |
| JP5101535B2 (ja) | 認証方法、認証システム、プログラムおよび共有鍵生成方法 | |
| JP3746919B2 (ja) | 可変認証情報を用いる資格認証方法 | |
| JP3862397B2 (ja) | 情報通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): CA CN FI KR NO SG US |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LU MC NL PT SE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 08535199 Country of ref document: US |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 1995910757 Country of ref document: EP |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWP | Wipo information: published in national office |
Ref document number: 1995910757 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: CA |
|
| WWW | Wipo information: withdrawn in national office |
Ref document number: 1995910757 Country of ref document: EP |