双線形写像を用いたIDベース暗号方式

双線形写像を用いた簡易暗号方式4

簡易暗号方式３においてはe(g,g)^abcを計算できれば復号できます。 受信者はaを知らなくてもg^acを知っていればe(g^ac,g^b)=e(g,g)^abcを求めることができますので、受信者の秘密鍵をaからg^acに変更することができます。 更に、f=g^cとおくことにして暗号方式3を書き直します。

【公開鍵】

f,g,g^a

【受信者の秘密鍵】

f^a

【暗号化】

送信者は公開鍵のf,g,g^a,と自分で選んだbを用いて (e(g^a,f))^b = e(g,f)^ab を求め、平文m∈GTに対する暗号文をe(g,g)^bとme(g,g)^abの組 (g^b,me(g,f)^ab) とします。

【復号化】

暗号文(g^b,me(g,f)^ab)のg^b、秘密鍵f^aより、 (e(g^b,f))^a = e(g,f)^ab を求め、 me(g,f)^ab/ e(g,f)^ab = m と平文mを求めます。

双線形写像を用いた簡易暗号方式5(IDベース暗号方式)

暗号方式４において公開鍵fを受信者ごとにID情報から求まる値とします。
受信者のID情報をidとし、それぞれのID情報idにG₁上の異なる要素h(id)を割当てる関数をhとします。
h(id) (∈GT)がID情報idをもつ受信者の公開鍵となります。
関数hは誰でも利用できる関数として公開鍵の一部となります。

【公開鍵】

g,g^a, 関数h

【ID情報がidの受信者の秘密鍵】

h(id)^a,

【暗号化】

送信者は受信者のid、公開鍵のg,g^a, hと自分で選んだbを用いて (e(g^a,h(id)))^b = e(g,h(id))^ab を求め、平文m∈GTに対する暗号文をe(g,g)^bとme(g,g)^abの組 (g^b,me(g,h(id))^ab) とします。

【復号化】

暗号文(g^b,me(g,h(id))^ab)のg^b、秘密鍵h(id)^aより、 (e(g^b,h(id)))^a = e(g,h(id))^ab を求め、 me(g, h(id))^ab/ e(g, h(id))^ab = m と平文mを求めます。

双線形写像を用いた簡易暗号方式5の安全性

簡易暗号方式５は公開鍵をid情報から求まるh(id)としており、秘密鍵発行機関はマスター秘密鍵aを用いてidに対応する秘密鍵h(id)^aを発行します。
ユーザのすべての秘密鍵に共通のマスター秘密鍵aが存在するため、安全性を考えるためにはユーザ間で結託して攻撃する場合も想定する必要が出てきます。

• 攻撃者はユーザid₁暗号文を解読しようとするときに、ユーザid₂やユーザid₃の秘密鍵h(id₂)^a, h(id₃)^aを不正な手段によって手に入れている場合を想定します。
• このような攻撃対象となっていないユーザの秘密鍵を手に入れて攻撃対象のユーザへの暗号文の解読に成功するような攻撃者B君がいないことを証明することを考えてみます。
• これまでの様にA君がB君を利用して双線形DH問題を解くことを考えると、B君が正しく解読の動作をするためには攻撃対象以外のユーザの秘密鍵をA君が用意してあげる必要があります。しかし、マスター秘密鍵aをA君も知らないのでこれは不可能です。

• ランダムオラクルの動作をシミュレートすることによって、その入出力を利用して目的とする問題を解く手法です。 例えば、簡易暗号方式５におけるhをid情報からG_Tの要素を出力するランダムオラクルとすることにより、攻撃者がランダムオラクルを利用する際の入出力を利用できるようにします。
• ランダムオラクルモデルは証明手段としては強力な方法ですが、ランダムオラクルという理想的な関数を想定した上での安全性の証明ですので、実際のシステムに対する安全性の証明ではないことに注意が必要です。
• ランダムオラクルモデルを用いないでの安全性の証明はスタンダードモデルにおいての安全性の証明と呼ばれます。 スタンダードモデルで安全性が証明できるような暗号方式の構成が望まれます。
• 暗号システムの安全性の証明としてはランダムオラクルモデルを用いずに証明できることが本来は望まれます。 ランダムオラクルモデル以外にも攻撃者の動作に制限を設けた上で安全性を証明する手法がありますが、それらの制限を設けずに証明することが本来は望まれています。