Vol.7 No.2 2014
36/78

研究論文:モジュール化に基づく高機能暗号の設計(花岡ほか)−100−Synthesiology Vol.7 No.2(2014)4 提案手法の評価高機能暗号技術の安全性を信頼できるようにするために、すでに広く用いられている基本的な技術に分解することが重要であることはこれまでに述べてきたとおりである。ここでは、まず、前章において紹介した代理再暗号化技術を例に、どのような基本的技術への分解が行われ、また、なぜそれらの基本的技術への分解を行ったのかについて、より詳しく説明を行う。具体的には、前章の代理再暗号化技術は、公開鍵暗号、電子署名、閾値暗号といった基本的技術へ分解がなされているが、これらは、単に代理再暗号化技術に比べてより基本的なものであるだけでなく、いずれもすでに広く用いられている技術となっている。これは偶然にそのような分解がなされたのではなく、それらの技術について安全性を非常に高く信頼された実装がすでに存在することから、そのような分解がなされるよう意図されたうえでのものとなっている。すなわち、公開鍵暗号としてRSA-OAEP方式、電子署名としてRSASSA-PKCS1-v1_5方式等がSSL/TLSにおいてすでに広く利用されている。実際、米国シマンテック・コーポレーションが発行しインストールされたSSLサーバ証明書は80万枚以上[16]に達しており、これほどまでに広く利用されていながらこれまでに安全性上の問題は見つかっていない。(ただし、RSASSA-PKCS1-v1_5方式については、すべての実装が必ずしも安全でないため、利用実績が高い信頼できる実装を慎重に選ぶ必要がある。)閾値暗号に関しては上記二つの技術に比べて広く普及しているわけではないが、電子投票等において活用がなされており、十分に信頼できる技術と考えられる。以上のことから、前章の代理再暗号化技術において、どのような方針により機能の分解が行われているかが理解できる。上記のような機能の分解を行うことによる利点として、以下の5点が挙げられる。【利点1】スクラッチな構成と比べて、代理再暗号化という高度な技術を達成できていることを把握しやすくなっている。2.1節で述べた機能がどのように達成されているかを考えると、・機能1の鍵生成は、受信者Aが閾値公開鍵と閾値秘密鍵のペアを生成し、受信者Bが通常の公開鍵、秘密鍵のペアを生成することで実現される(図4)。・機能2の再暗号化鍵生成は、二つある閾値秘密鍵のうち片方を受信者Bの(通常の)公開鍵で暗号化し、残りの閾値秘密鍵と合わせたものを再暗号化鍵とすることで実現される(図5)。・機能3,5の暗号化と復号は、閾値暗号の暗号化と復号によって実現される(図4)。・機能4の再暗号化は、代理人が得た閾値秘密鍵を用いて暗号文を部分復号し、得られた復号シェアとA宛ての暗号文、暗号化された閾値秘密鍵をまとめて受信者B宛てに暗号化して送信することで実現される(図5)。・機能6の再暗号化暗号文復号は、受信者Bが送られてきた暗号文を自身の秘密鍵で復号し、さらにその中の暗号化された閾値秘密鍵を復号する。得られた閾値秘密鍵でA宛ての暗号文を部分復号すると二つ目の復号シェアが手に入り、メッセージを復号できるようになることで機能6が実現される(図6)。ということが難しい数式を追わずとも直観的に理解できる。【利点2】利点1と関連して、代理再暗号化の各機能について構成要素技術間の役割分担を明確にしたことで、全体として達成できている安全性の把握も容易となっている。また、仮に安全性証明の誤りが発覚したとしても、誤り箇所がどの構成要素技術と対応しているか明確なため、証明の修正もしやすくなる。【利点3】構成要素である暗号方式の一部を同等の機能をもつ別の方式と交換することで、方式全体の性能向上やカスタマイズを容易に行える。スクラッチな構成の場合、例えば実行速度向上のために1か所の構造を組み替えるごとに、全体の構成まで立ち返ってその変更が機能や安全性を損なわないことを確認しなければならないため負担が大きい。一方、今回の方法論であれば、ある構成要素の構図6 提案手法の構成イメージ(受信者Bの復号)と復号可能。で正当性を確認。代理人を取り出し、からを用いて6. 復号受信者B

元のページ 

page 36

※このページを正しく表示するにはFlashPlayer10.2以上が必要です