ホーム > 特許ランキング > リアル・テクノロジー株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ リアル・テクノロジー株式会社の特許一覧 ▶ 尾崎 寛之の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6703706
(24)【登録日】2020年5月13日
(45)【発行日】2020年6月3日
(54)【発明の名称】暗号文管理方法、暗号文管理装置及びプログラム
(51)【国際特許分類】
H04L 9/08 20060101AFI20200525BHJP
G09C 1/00 20060101ALI20200525BHJP
G06F 21/60 20130101ALI20200525BHJP
【FI】
H04L9/00 601Z
H04L9/00 601B
G09C1/00 660D
G06F21/60 320
【請求項の数】5
【全頁数】14
(21)【出願番号】特願2016-7309(P2016-7309)
(22)【出願日】2016年1月18日
(65)【公開番号】特開2017-130720(P2017-130720A)
(43)【公開日】2017年7月27日
【審査請求日】2019年1月15日
(73)【特許権者】
【識別番号】516018005
【氏名又は名称】リアル・テクノロジー株式会社
(73)【特許権者】
【識別番号】516018016
【氏名又は名称】尾崎 寛之
(74)【代理人】
【識別番号】100136180
【弁理士】
【氏名又は名称】羽立 章二
(72)【発明者】
【氏名】尾崎 寛之
【審査官】
金沢 史明
(56)【参考文献】
【文献】
特開2014−060614(JP,A)
【文献】
特開2013−243441(JP,A)
【文献】
特開2004−328293(JP,A)
【文献】
米国特許出願公開第2014/0229731(US,A1)
【文献】
瀧本克真,他,秘密分散法と属性ベース暗号を用いたコンテンツ保護法,電子情報通信学会技術研究報告,日本,電子情報通信学会,2013年 7月11日,Vol.113,No.135,pp.199−204
【文献】
野口宏,他,階層構造をもった暗号化ファイルシステムについて,電子情報通信学会技術研究報告,日本,電子情報通信学会,2002年 3月12日,Vol.101,No.728,pp.117−120
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G06F 21/60
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
暗号文データを管理する暗号文管理方法であって、
暗号文管理装置が備える暗号化手段が、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化ステップと、
前記暗号文管理装置が備える分割手段が、前記暗号文データ及び前記鍵データを分割してそれぞれm個(mは2以上の自然数)の分割暗号文データ及びn個(nは2以上の自然数)の分割鍵データとする分割ステップと、
前記暗号文管理装置が備える配布手段が、前記分割暗号文データと前記分割鍵データの組み合わせを行って組み合わせ群を生成して前記組み合わせ群に含まれる組み合わせを配布するリンクステップと、
復元装置が備える復元手段が、前記分割暗号文データ及び前記分割鍵データを用いて前記暗号文データ及び前記鍵データを復元する復元ステップと、
前記復元装置が備える復号手段が、復元された前記鍵データを用いて復元された前記暗号文データを復号する復号ステップを含み、
前記リンクステップにおいて、
前記組み合わせ群は、少なくとも一つの組み合わせを含む平等組み合わせ群と、複数の組み合わせを含む不平等組み合わせ群を含み、
前記平等組み合わせ群に含まれる前記分割暗号文データと前記分割鍵データは、1回のみ組み合わされるものであり、
前記不平等組み合わせ群に含まれる組み合わせは、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされるものであって、前記不平等組み合わせ群に含まれる前記分割暗号文データ及び前記分割鍵データでは暗号文データ及び鍵データを復元できず、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えることで暗号文データ及び鍵データを復元でき、
前記復元ステップにおいて、
前記復元手段は、前記不平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び前記分割鍵データを用いて復元する場合に、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えて復元し、
複数のプレイヤーは、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データについて、他のプレイヤーに対して利用を許可できる一人又は複数の第1プレイヤーと、前記第1プレイヤーの許可がなければ利用できない第2プレイヤーを含み、
前記復元手段は、前記第2プレイヤーに対して、前記第1プレイヤーの許可により前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを利用して処理を行う、暗号文管理方法。
暗号文管理装置が備える暗号化手段が、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化ステップと、
前記暗号文管理装置が備える分割手段が、前記暗号文データ及び前記鍵データを分割してそれぞれm個(mは2以上の自然数)の分割暗号文データ及びn個(nは2以上の自然数)の分割鍵データとする分割ステップと、
前記暗号文管理装置が備える配布手段が、前記分割暗号文データと前記分割鍵データの組み合わせを行って組み合わせ群を生成して前記組み合わせ群に含まれる組み合わせを配布するリンクステップと、
復元装置が備える復元手段が、前記分割暗号文データ及び前記分割鍵データを用いて前記暗号文データ及び前記鍵データを復元する復元ステップと、
前記復元装置が備える復号手段が、復元された前記鍵データを用いて復元された前記暗号文データを復号する復号ステップを含み、
前記リンクステップにおいて、
前記組み合わせ群は、少なくとも一つの組み合わせを含む平等組み合わせ群と、複数の組み合わせを含む不平等組み合わせ群を含み、
前記平等組み合わせ群に含まれる前記分割暗号文データと前記分割鍵データは、1回のみ組み合わされるものであり、
前記不平等組み合わせ群に含まれる組み合わせは、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされるものであって、前記不平等組み合わせ群に含まれる前記分割暗号文データ及び前記分割鍵データでは暗号文データ及び鍵データを復元できず、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えることで暗号文データ及び鍵データを復元でき、
前記復元ステップにおいて、
前記復元手段は、前記不平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び前記分割鍵データを用いて復元する場合に、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えて復元し、
複数のプレイヤーは、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データについて、他のプレイヤーに対して利用を許可できる一人又は複数の第1プレイヤーと、前記第1プレイヤーの許可がなければ利用できない第2プレイヤーを含み、
前記復元手段は、前記第2プレイヤーに対して、前記第1プレイヤーの許可により前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを利用して処理を行う、暗号文管理方法。
【請求項2】
前記分割ステップにおいて、前記分割暗号文データと前記分割鍵データの分割後の個数は異なり、
前記リンクステップにおいて、前記配布手段は、
n>mのとき、m−1個の前記分割暗号文データとm−1個の前記分割鍵データをそれぞれ組み合わせてm−1個の前記平等組み合わせ群に含まれる組み合わせを生じ、他のn−m+1個の前記分割暗号文データと他の1個の前記分割鍵データを組み合わせてn−m+1個の前記不平等組み合わせ群に含まれる組み合わせを生じ、
n<mのとき、n−1個の前記分割暗号文データとn−1個の前記分割鍵データをそれぞれ組み合わせてn−1個の前記平等組み合わせ群に含まれる組み合わせを生じ、他の1個の前記分割暗号文データと他のm−n+1個の前記分割鍵データを組み合わせてm−n+1個の前記不平等組み合わせ群に含まれる組み合わせを生じる、請求項1記載の暗号文管理方法。
前記リンクステップにおいて、前記配布手段は、
n>mのとき、m−1個の前記分割暗号文データとm−1個の前記分割鍵データをそれぞれ組み合わせてm−1個の前記平等組み合わせ群に含まれる組み合わせを生じ、他のn−m+1個の前記分割暗号文データと他の1個の前記分割鍵データを組み合わせてn−m+1個の前記不平等組み合わせ群に含まれる組み合わせを生じ、
n<mのとき、n−1個の前記分割暗号文データとn−1個の前記分割鍵データをそれぞれ組み合わせてn−1個の前記平等組み合わせ群に含まれる組み合わせを生じ、他の1個の前記分割暗号文データと他のm−n+1個の前記分割鍵データを組み合わせてm−n+1個の前記不平等組み合わせ群に含まれる組み合わせを生じる、請求項1記載の暗号文管理方法。
【請求項3】
前記分割ステップにおいて、前記分割手段は、s個(sは、2以上m未満の自然数)の前記分割暗号文データにより前記暗号文データを復元でき、及び、t個(tは、2以上n未満の自然数)の前記分割鍵データにより前記鍵データを復元できるように分割し、
前記リンクステップにおいて、前記不平等組み合わせ群に含まれる組み合わせの全体において、前記分割暗号文データの個数はs個未満であり、及び/又は、前記分割鍵データの個数はt個未満である、請求項1又は2に記載の暗号文管理方法。
前記リンクステップにおいて、前記不平等組み合わせ群に含まれる組み合わせの全体において、前記分割暗号文データの個数はs個未満であり、及び/又は、前記分割鍵データの個数はt個未満である、請求項1又は2に記載の暗号文管理方法。
【請求項4】
暗号文データを管理する暗号文管理システムであって、
暗号文管理装置と、復元装置を備え、
前記暗号文管理装置は、
鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化手段と、
前記暗号文データ及び前記鍵データを分割して複数の分割暗号文データ及び複数の分割鍵データとする分割手段と、
前記分割暗号文データと前記分割鍵データの組み合わせを行って組み合わせ群を生成して前記組み合わせ群に含まれる組み合わせを配布する配布手段を備え、
前記復元装置は、
前記分割暗号文データ及び前記分割鍵データを用いて前記暗号文データ及び前記鍵データを復元する復元手段と、
復元された前記鍵データを用いて復元された前記暗号文データを復号する復号手段を備え、
前記組み合わせ群は、少なくとも一つの組み合わせを含む平等組み合わせ群と、複数の組み合わせを含む不平等組み合わせ群を含み、
前記平等組み合わせ群に含まれる前記分割暗号文データと前記分割鍵データは、1回のみ組み合わされるものであり、
前記不平等組み合わせ群に含まれる組み合わせは、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされるものであって、前記不平等組み合わせ群に含まれる前記分割暗号文データ及び前記分割鍵データでは暗号文データ及び鍵データを復元できず、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えることで暗号文データ及び鍵データを復元でき、
前記復元手段は、前記不平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び前記分割鍵データを用いて復元する場合に、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えて復元し、
複数のプレイヤーは、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データについて、他のプレイヤーに対して利用を許可できる一人又は複数の第1プレイヤーと、前記第1プレイヤーの許可がなければ利用できない第2プレイヤーを含み、
前記復元手段は、前記第2プレイヤーに対して、前記第1プレイヤーの許可により前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを利用して処理を行う、暗号文管理システム。
暗号文管理装置と、復元装置を備え、
前記暗号文管理装置は、
鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化手段と、
前記暗号文データ及び前記鍵データを分割して複数の分割暗号文データ及び複数の分割鍵データとする分割手段と、
前記分割暗号文データと前記分割鍵データの組み合わせを行って組み合わせ群を生成して前記組み合わせ群に含まれる組み合わせを配布する配布手段を備え、
前記復元装置は、
前記分割暗号文データ及び前記分割鍵データを用いて前記暗号文データ及び前記鍵データを復元する復元手段と、
復元された前記鍵データを用いて復元された前記暗号文データを復号する復号手段を備え、
前記組み合わせ群は、少なくとも一つの組み合わせを含む平等組み合わせ群と、複数の組み合わせを含む不平等組み合わせ群を含み、
前記平等組み合わせ群に含まれる前記分割暗号文データと前記分割鍵データは、1回のみ組み合わされるものであり、
前記不平等組み合わせ群に含まれる組み合わせは、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされるものであって、前記不平等組み合わせ群に含まれる前記分割暗号文データ及び前記分割鍵データでは暗号文データ及び鍵データを復元できず、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えることで暗号文データ及び鍵データを復元でき、
前記復元手段は、前記不平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び前記分割鍵データを用いて復元する場合に、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを加えて復元し、
複数のプレイヤーは、前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データについて、他のプレイヤーに対して利用を許可できる一人又は複数の第1プレイヤーと、前記第1プレイヤーの許可がなければ利用できない第2プレイヤーを含み、
前記復元手段は、前記第2プレイヤーに対して、前記第1プレイヤーの許可により前記平等組み合わせ群に含まれる少なくとも一つの前記分割暗号文データ及び/又は前記分割鍵データを利用して処理を行う、暗号文管理システム。
【請求項5】
コンピュータを、請求項4記載の暗号文管理装置及び/又は復元装置として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号文管理方法、暗号文管理装置及びプログラムに関し、特に、暗号文データを管理する暗号文管理方法等に関する。
【背景技術】
【0002】
Krawczykは、RabinのIDA(Information Dispersal Algorithm)とShamirのPSS(Perfect Sharing Scheme)を組み合わせた、計算量的に安全なSS(Secret Sharing)を提案している(SSMS、非特許文献1参照)。まず、秘密データを秘密鍵暗号で暗号化する。そして、暗号化データはIDAで分散し、秘密鍵はPSSで分割する。これにより、分散秘密データの大きさを、単にShamirを適用するよりも、大幅に削減することができる。<分散処理>
(Dis1)まず、暗号化鍵Kをランダムに選ぶ。秘密データSを暗号関数ENC、鍵Kで暗号化する。E=ENCK(S)。
(Dis2)EをIDA(α,β)でβ個に分割する:E1,E2,…,Eβ
(Dis3)ShamirのPSS(α,β)で、鍵Kをβ個に分割する:K1,K2,…,Kβ
(Dis4)各プレイヤーPi(i=1,2,…,β)には、Si=(Ei,Ki)を配布する。ただし、Kiは、秘密裏にPiに送る必要がある。
<復元・復号処理>
(Rec1)プレイヤーが集まり、α個の組み合わせSj=(Ej,Kj)(jは、β以下で、α個の異なる自然数)を持ち寄る。
(Rec2)IDAを使って、α個のEjからEを復元する
(Rec3)PSSを使って、α個のKjからKを復元する。
(Rec4)Kを使ってEからSを復号する。S=DECK(E)
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Krawczyk,H. Secret sharing made short, CRYPTO’93, 1993.
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来、情報分割・分散保存方式は、分割された全ての小片が「対等」であることを最大の特徴としてきた。例えば非特許文献1の手法における分散処理では、Eiの個数とKiの個数は同数である。そして、Siでは、全ての異なるEiには、異なるKiが組み合わされる。そのため、各Eiは対等なものであり、各プレイヤーPiに対等な小片を配布する。
【0005】
しかしながら、この情報分割・分散保存方式の対等性が、運用現場においては規制事項となる。例えば、非特許文献1記載の手法において、(3,5)型秘密分散で、5つに分割し、そのうちの3つを集めれば復元できるとする。この場合、その3つを持った社員が一斉に退職してファイルを持ち出したならば、それが悪意を持った第三者に渡り、情報が漏えいする可能性がある。このように、従来、公平性を重視して設計されてきた情報分割・分散保存方式の利点が、組織管理の立場からは逆に問題点になる。
【0006】
さらに、非特許文献1では、Kiを秘密裏にPiに送る必要性を指摘するのみである。EiやKiの情報が漏えいした場合について、十分に検討できていない。
【0007】
ゆえに、本発明は、情報分散・分散保存方式において不公平性を導入することにより、新たな暗号文データの管理を実現する暗号文管理方法等を提供することを目的とする。
【課題を解決するための手段】
【0008】
本願発明の第1の観点は、暗号文データを管理する暗号文管理方法であって、暗号文管理装置が備える暗号化手段が、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化ステップと、前記暗号文管理装置が備える分割手段が、前記暗号文データ及び前記鍵データを分割してそれぞれm個(mは自然数)の分割暗号文データ及びn個(nは自然数)の分割鍵データとする分割ステップと、前記暗号文管理装置が備える配布手段が、前記分割暗号文データと前記分割鍵データの組み合わせを行うリンクステップを含み、前記リンクステップにおいて、前記組み合わせは、前記分割暗号文データと前記分割鍵データが共に1回のみ組み合わされる平等な組み合わせと、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされる不平等な組み合わせを含むものである。
【0009】
本願発明の第2の観点は、第1の観点の暗号文管理方法であって、前記分割ステップにおいて、前記分割暗号文データと前記分割鍵データの分割後の個数は異なり、前記リンクステップにおいて、前記配布手段は、n>mのとき、m−1個の前記分割暗号文データとm−1個の前記分割鍵データをそれぞれ組み合わせてm−1個の平等な組み合わせを生じ、他のn−m+1個の前記分割暗号文データと他の1個の前記分割鍵データを組み合わせてn−m+1個の不平等な組み合わせを生じ、n<mのとき、n−1個の前記分割暗号文データとn−1個の前記分割鍵データをそれぞれ組み合わせてn−1個の組み合わせを生じ、他の1個の前記分割暗号文データと他のm−n+1個の前記分割鍵データを組み合わせてm−n+1個の組み合わせを生じるものである。
【0010】
本願発明の第3の観点は、第1又は第2の観点の暗号文管理方法であって、前記分割ステップにおいて、前記分割手段は、s個(sは、2以上m未満の自然数)の前記分割暗号文データにより前記暗号文データを復元でき、及び、t個(tは、2以上n未満の自然数)の前記分割鍵データにより前記鍵データを復元できるように分割し、前記リンクステップにおいて、前記不平等な組み合わせの全体において、前記分割暗号文データの個数はs個未満であり、及び/又は、前記分割鍵データの個数はt個未満であるものである。
【0011】
本願発明の第4の観点は、暗号文データを管理する暗号文管理装置であって、鍵データを用いて秘密データを暗号化して前記暗号文データを得る暗号化手段と、前記暗号文データ及び前記鍵データを分割して複数の分割暗号文データ及び複数の分割鍵データとする分割手段と、前記分割暗号文データと前記分割鍵データの組み合わせを行う配布手段を備え、前記組み合わせは、前記分割暗号文データと前記分割鍵データが共に1回のみ組み合わされる平等な組み合わせと、前記分割暗号文データと前記分割鍵データの少なくとも一方が複数回組み合わされる不平等な組み合わせを含むものである。
【0012】
本願発明の第5の観点は、コンピュータを、第4の観点の暗号文管理装置として機能させるためのプログラムである。
【0013】
なお、本願発明を、第5の観点のプログラムを記録するコンピュータ読み取り可能な記録媒体として捉えてもよい。
【0014】
また、本願発明を、前記配布手段が、保持装置に対して、前記分割暗号文データと前記分割鍵データの組み合わせを保持させる保持ステップを含むものとして捉えてもよい。ここで、保持装置は、パソコンやスマートフォンなどのようなプレイヤーが所有する情報処理装置でもよく、サーバのようにプレイヤーが通信してアクセスするものでもよく、また、USBメモリなどのように情報を記憶する記憶装置であってもよい。
【0015】
例えばサーバであれば、プレイヤーがアクセスをしてきたときに、適切なユーザ認証工程を経て、そのプレイヤーがアクセスを許可されたプレイヤーであるかを検出し、アクセスの許可/拒否をコントロールすることにより秘密漏えいを防ぐこともできる。
【0016】
また、平等な組み合わせと不平等な組み合わせを地理的にも異なる保存装置に保管することより、プレイヤーは各々のアクセス権に応じて許可された複数の保存装置から分割暗号文データと分割鍵を集めて秘密データを復元・復号できるので、耐故障性、耐災害性を高めることができる。
【発明の効果】
【0017】
本願発明の各観点によれば、平等な組み合わせに加えて、不平等な組み合わせを生じることにより、情報分散・分散保存方式による新たな秘密保持を実現することができる。
【0018】
例えば、分割暗号文データ及び分割鍵データを(3,5)型秘密分散し、それぞれ、5個に分割して、そのうちの3個を集めれば復元できるとする。平等な組み合わせは、3個の組み合わせを集めれば秘密データを復元することができる。そのため、従来と同様に、公平性が担保されている。他方、不平等な組み合わせでは、同じデータを含む3個の組み合わせを集めても秘密データを復元することはできず、不公平なものとなっている。
【0019】
さらに、本願発明の第2の観点によれば、不平等な組み合わせにおいては分割暗号文データと分割鍵データのいずれかが異なるため、不平等な組み合わせの情報が漏えいした場合でも、誰が漏えいしたかを特定することができる。
【0020】
さらに、本願発明の第3の観点によれば、不平等な組み合わせを集めてもs個未満の分割暗号文データ及び/又はt個未満の分割鍵データを得られるにすぎず、秘密データを復号することができない。そのため、平等な組み合わせの漏えいを防ぐことにより、秘密状態を保持することが可能となる。よって、秘密管理の負担が大幅に減少する。
【0021】
なお、Shamirはシェア受取人の重要度により、シェアの数を変えて配布するという階層構造を作る提案をしている。しかし、このShamir提案では、上位層の受取人は自分だけで秘密を合成できるという特権を持つことにはなるが、下位層の受取人が何人か集まることで秘密を合成できてしまうので、秘密の漏えいを防止することはできない。本願発明においてはこれを防止すべく、同じ階層構造においても、下位層の受取人だけでは秘密が合成できない構造を作ることができる。
【発明を実施するための形態】
【0023】
以下、図面を参照して、本願発明の実施例について述べる。なお、本願発明の実施の形態は、以下の実施例に限定されるものではない。
【実施例】
【0024】
組織内に、一つのチームがあるとする。チームには、リーダーと複数のフォロワーがいる。さらに、トップが、チーム外から管理している。
【0025】
図1は、本願発明の実施の形態に係る暗号文管理システムの一例を示す図である。暗号文管理システム1は、暗号文管理装置3(本願請求項の「暗号文管理装置」の一例)と、サーバ群5(本願請求項の「保持装置」の一例)と、復元装置群7を備える。
【0026】
サーバ群5は、トップサーバ群11と、リーダーサーバ群13を備える。
【0027】
復元装置群7は、トップ復元装置21と、リーダー復元装置23と、フォロワー復元装置251,…,25rを備える。なお、符号の添え字は、省略する場合もある。復元装置は、各プレイヤーが使用するものであり、パソコンなどである。なお、暗号文データや鍵データや秘密データなどは、ハードディスクなどには保存せず、メモリなどに一時的に保存することにより、情報漏えいを防ぐ。
【0028】
トップサーバ群11は、トップが管理する一つ又は複数のサーバである。他のプレイヤーは、トップの許可により、保持する情報にアクセスすることができる。トップ復元装置21は、トップが使用する復元装置である。
【0029】
リーダーサーバ群13は、リーダーが管理する一つ又は複数のサーバである。フォロワーは、リーダーの許可により、保持する情報にアクセスすることができる。リーダー復元装置23は、リーダーが使用する復元装置である。
【0030】
フォロワー復元装置25は、フォロワーが使用する復元装置である。
【0031】
暗号文管理装置3は、鍵データを利用して秘密データの暗号文を作成し、暗号文データ及び鍵データを分割し、サーバ群5や復元装置群7に対して分割暗号文データ及び分割鍵データの組み合わせを配布する。サーバや復元装置では、暗号文管理装置3から分割暗号文データ及び分割鍵データの組み合わせを受信して保管する。復元装置は、分割暗号文データ及び分割鍵データから暗号文データ及び鍵データを復元し、鍵データを用いて暗号文データから秘密データを復号する。以下では、簡単のために、「データ」の表現を省略する場合がある。ここで、組み合わせは、2つのデータ部分を物理的に一つにする場合(一般的にコンピュータ業界での「リンク」)と、ただペアとして扱う場合(一般用語としての「リンク」)を意味するものである。
【0032】
図2は、(a)暗号文管理装置3、(b)サーバ群5の各サーバ、及び、(c)復元装置群7の各復元装置の構成の一例を示すブロック図である。図3は、(a)暗号文管理装置3、(b)サーバ、(c)トップ復元装置21、リーダー復元装置23及びフォロワー復元装置25の動作の一例を示すフロー図である。
【0033】
図2(a)及び図3(a)を参照して、暗号文管理装置の構成及び動作の一例を説明する。
【0034】
暗号文管理装置31は、秘密データ記憶部33と、鍵記憶部35と、暗号文記憶部37と、分割暗号文記憶部39と、分割鍵記憶部41と、暗号化部43(本願請求項の「暗号化手段」の一例)と、分割部43(本願請求項の「分割手段」の一例)と、配布部45(本願請求項の「配布手段」の一例)を備える。
【0035】
秘密データ記憶部33は、秘密データを記憶する。鍵記憶部35は、鍵を記憶する。
【0036】
暗号化部43は、鍵を使って秘密データを暗号化して暗号文を生成する(ステップSTM1)。暗号文記憶部37は、暗号文を記憶する。
【0037】
分割部45は、暗号文及び鍵を分割して、分割暗号文及び分割鍵を生成する(ステップSTM2)。分割部45は、(s,m)型秘密分散で、暗号文Eをm個の分割暗号文Eq(q=1,…,m)に分割して、そのうちのs個を集めれば復元できるようにする。また、分割部45は、(t,n)型秘密分散で、鍵Kをn個の分割鍵Kq(q=1,…,n)に分割し、そのうちのt個を集めれば復元できるようにする。分割暗号文記憶部39は、分割暗号文を記憶する。分割鍵記憶部41は、分割鍵を記憶する。ここで、mは自然数であり、sは、2以上m未満の自然数である。また、nは自然数であり、tは、2以上n未満の自然数である。また、簡単のために、s=t及びm>nであり、分割暗号文の個数は分割鍵の個数よりも多く、同じ個数sで復元処理ができるものとする。
【0038】
配布部47は、分割暗号文と分割鍵の組み合わせSq(q=1,…,m)を生成する(ステップSTM3)。Sq=(Eq,Kq)(q=1,…,n−1)とし、Sq=(Eq,Kn)(q=n,…,m)とする。すなわち、EqとKq(q=1,…,n−1)は、全ての異なる分割暗号データEqに対して、異なる分割鍵データKqが組み合わさる。このように、すべてが異なる組み合わせを「平等な組み合わせ」という。また、Eq(q=n,…,m)とKnを組み合わせる。Knは、複数回組み合わされており、このような複数回組み合わされる分割暗号文及び/又は分割鍵を含む組み合わせを「不平等な組み合わせ」という。このように、平等な組み合わせと不平等な組み合わせにより、組み合わせSqを生成する。
【0039】
続いて、配布部47は、サーバ及び復元装置に、組み合わせSqを配布する(ステップSTM4)。
【0040】
配布部47は、トップサーバ群11に対して、平等な組み合わせSq(q=1,…,n−1)のうちs個を送信する。また、m−n+1個の不平等な組み合わせを送信する。トップサーバ群11は、受信したSqを保存する。トップサーバ群11が保存した情報により、秘密データを復元することができる。ただし、一つのサーバで全ての組み合わせを管理するのではなく、例えばs+m−n+1台のサーバに対して各サーバに1個の組み合わせのみを保存する。サーバーコストを削減する目的で、閾値数未満であれば、各サーバに複数のリンク小片を保存することにより、各サーバでの情報での復元・復号処理を防止することは可能であるが、セキュリティー上のリスクは増大させることとなる。また、不平等な組み合わせでは分割鍵Knが共通しているため、s個集めたとしても復元することができない。
【0041】
配布部47は、リーダーサーバ群13に対して、平等な組み合わせのうちs個未満を送信する。リーダーサーバ群13は、受信したSqを保存する。以下では、s−1台のサーバに、s−1個を送信し、各サーバが1個の組み合わせを保存するとする。リーダーサーバ群13が保存した情報により、秘密データを復元することができない。
【0042】
リーダーサーバ群13が保存した情報に、不平等な組み合わせの1つの情報を加えることにより、秘密データを復元することができる。そのため、仮に、トップサーバ群11のうち、平等な組み合わせを記憶するサーバが故障しても復元でき、耐故障性が高い。なお、正確には、リーダーサーバ群13が保存しない平等な組み合わせの一つの情報でも復元できる。そのため、この事例では、トップサーバ群11のうち、リーダーサーバ群13が保存しない組み合わせが一つでもあれば、アクセス許可を取得した後に復元することができる。
【0043】
図2(b)及び図3(b)を参照して、サーバの構成及び動作の一例を説明する。
【0044】
サーバ61は、組み合わせ記憶部63と、受信部65と、送信部67を備える。受信部65は、暗号文管理装置31の配布部47から、分割暗号文と分割鍵の組み合わせを受信し(ステップSTS1)、組み合わせ記憶部63に記憶する(ステップSTS2)。送信部67は、アクセスが許可されている復元装置から要求があると、復元装置71に対して、分割暗号文と分割鍵の組み合わせを送信する(ステップSTS3)。
【0045】
図2(c)並びに図3(c)を参照して、復元装置の構成及び動作の一例を説明する。復元装置71は、分割暗号文記憶部73と、分割鍵記憶部75と、暗号文記憶部77と、鍵記憶部79と、秘密データ記憶部81と、受信部83と、復元部85と、復号部87を備える。秘密データは、図示を省略する表示部に表示される。
【0046】
受信部83は、サーバから分割暗号文と分割鍵の組み合わせを受信する。分割暗号文記憶部73は、分割暗号文を記憶する。分割鍵記憶部75は、分割鍵を記憶する。復元部85は、分割暗号文及び分割鍵から暗号文及び鍵を復元する。復号部87は、鍵記憶部79の鍵を用いて、暗号文記憶部77の暗号文を復号して秘密データを生成する。秘密データ記憶部81は、秘密データを記憶する。
【0047】
図3(c)を参照して、トップ復元装置21の動作の一例を説明する。平等な組み合わせの情報により、秘密データを復元することができる。そのため、トップ復元装置21の受信部83は、トップサーバ群11にアクセスして平等な組み合わせSqを受信する(ステップSTF1)。受信した分割暗号文及び分割鍵を、それぞれ、分割暗号文記憶部73及び分割鍵記憶部75に記憶する。復元部85は、分割暗号文及び分割鍵を用いて暗号文及び鍵を復元し、それぞれ、暗号文記憶部77及び鍵記憶部79に記憶する(ステップSTF2)。復号部87は、鍵を用いて暗号文を復号して秘密データを得て、秘密データ記憶部81に記憶する(ステップSTF3)。
【0048】
図3(c)を参照して、リーダー復元装置23の動作の一例を説明する。受信部83は、s個の組み合わせSqを受信する(ステップSTF1)。まず、リーダーサーバ群13が記憶するs−1個の組み合わせSqを受信する。トップにサーバへのアクセスを許可してもらい、他の1個の組み合わせSqを受信する。受信部83は、受信した分割暗号文及び分割鍵を、それぞれ、分割暗号文記憶部73及び分割鍵記憶部75に記憶する。復元部85は、分割暗号文及び分割鍵を用いて暗号文及び鍵を復元し、それぞれ、暗号文記憶部77及び鍵記憶部79に記憶する(ステップSTF2)。復号部87は、鍵を用いて暗号文を復号して秘密データを得て、秘密データ記憶部81に記憶する(ステップSTF3)。
【0049】
図3(c)を参照して、フォロワー復元装置25の動作の一例を説明する。フォロワーは、最初、アクセス権がなく、トップ及びリーダーの許可により、s個の組み合わせに限り、サーバへのアクセスを許可してもらう。受信部83は、s個の組み合わせSqを受信する(ステップSTF1)。例えば、まず、トップの許可により不平等な組み合わせの1個であるSqを受信する。フォロワーは、リーダーにリーダーサーバ群13へのアクセスを許可してもらい、フォロワーは、リーダーが管理するサーバにアクセスして他のs−1個の組み合わせSqを受信する。受信部83は、受信した分割暗号文及び分割鍵を、それぞれ、分割暗号文記憶部73及び分割鍵記憶部75に記憶する。復元部85は、分割暗号文及び分割鍵を用いて暗号文及び鍵を復元し、それぞれ、暗号文記憶部77及び鍵記憶部79に記憶する(ステップSTF2)。復号部87は、鍵を用いて暗号文を復号して秘密データを得て、秘密データ記憶部81に記憶する(ステップSTF3)。
【0050】
なお、本実施例では、サーバが分割暗号文と分割鍵の組み合わせを保存し、そのアクセス制御を含めて、秘密管理を行う例を説明した。例えば、分割暗号文と分割鍵の組み合わせを、USBメモリのような持ち運び可能な記録媒体に保存し、復元装置は、記録媒体から読み出して復号処理等を行うようにしてもよい。
【0051】
続いて、図4及び表1を参照して、本願発明を、事例を使って説明する。IDA(t,m)の記号はRabinのIDAによるm分割t合成を表し、PSS(s,n)の記号はShamirのPSSによるn分割s合成を表す。また、組織内に、1名の社長(L1)と、1名の部長(L2)と、2名の社員(L31、L32。2人)による場合について説明する。
【0052】
まず、図4を参照して、この事例における暗号文管理システムの構成及び動作の一例を説明する。暗号文管理システム101は、情報作成装置103と、暗号文管理装置105と、サーバ群107と、復元装置109と、表示装置111を備える。
【0053】
情報作成装置103は、平文記憶部113と、平文処理部115を備える。平文記憶部113は、秘密データを記憶する。平文処理部115は、秘密データの編集などの処理を行う。文書作成者は、情報作成装置103で文書を作成し、これを暗号化するために暗号文管理装置105に送る。
【0054】
暗号文管理装置105は、暗号化部117と、分割部119と、配布部121を備える。暗号化部117と分割部119と配布部121は、図2の暗号化部43と分割部45と配布部47と同様に動作することにより、平文記憶部113に記憶された秘密データに対して、暗号化処理及び分割処理を行って分割暗号文及び分割鍵を生成し、配布部12が、これらを組み合わせてサーバ群107の各サーバに配布する。
【0055】
サーバ群107には、この事例では5台のサーバ1,・・・,サーバ5が存在する。
【0056】
分割処理及び配布処理について、具体的に説明する。閾値は2、暗号文の分割数は5、鍵の分割数は4である。(Dis1)まず、暗号化鍵Kをランダムに選ぶ。秘密データSを暗号関数ENC、鍵Kで暗号化する。E=ENCK(S)。
(Dis2)EをIDA(2,5)で5個に分割する:E1,E2,E3,E4,E5
(Dis3)ShamirのPSS(2,4)で、鍵Kを4個に分割する:K1,K2,K3,K4
(Dis4)分散暗号文と分散鍵の組み合わせSkを生成する。この事例では、S1=(E1,K1)、S2=(E2,K2)、S3=(E3,K3)、S4=(E4,K4)、S5=(E5,K4)とする。
(Dis5)各サーバに組み合わせSkを配布する。
【0057】
表1は、各サーバに格納される分割暗号文と分割鍵の組み合わせを示す。■は、各サーバに格納されている。↑は、他のプレイヤーが管理するサーバの組み合わせSkを、管理者の許可によりアクセスして得るものである。
【0058】
サーバ1にS1を、サーバ2にS2を、サーバ3にS3を、サーバ4にS4を、サーバ5にS5を格納する。L1は、サーバ1、2、4及び5のアクセスを管理する。L2は、サーバ3のアクセスを管理する。L1は、L2に対し、サーバ2へのアクセスを許可する。L1は、L31に対し、サーバ4へのアクセスを許可する。L1は、L32に対し、サーバ5へのアクセスを許可する。L2は、L3に対し、サーバ3へのアクセスを許可する。
【0059】
【表1】
【0060】
L1(社長)は、合成できる小片を2つ持つので、いつでも合成できる。L2(部長)は、自分だけでは合成できず、社長のサーバ2から小片を1つ借りる。L3(社員)は、自分だけでは合成できず、部長のサーバ3から小片を1つ借りる。L3の2人は、自分達に割り当てられている小片S4=(E4,K4)及びS5=(E5,K4)を合わせても鍵が一緒なので合成できない。仮にL32が自分の小片を流出した場合、E5を含むので、誰が流出したか分かる。
【0061】
復元装置109は、受信部123と、復元部125と、復号部127を備える。受信部123は、サーバ群にダウンロードリクエストを行い、認証された後に、分割暗号文及び分割鍵の組み合わせをダウンロードする。
【0062】
サーバ1及び2は、L1がユーザとして認証できたならば、格納する小片のダウンロードを許可する。サーバ2は、L2がユーザとして認証できたならば、格納する小片のダウンロードを許可する。サーバ3は、L2又はL3がユーザとして認証できたならば、格納する小片のダウンロードを許可する。サーバ4及び5は、それぞれ、L31及びL32がユーザとして認証できたならば、格納する小片のダウンロードを許可する。
【0063】
復元部125及び復号部127は、図2の復元部85及び復号部87と同様に動作し、ダウンロードされた閾値数分の分割暗号文及び分割鍵から暗号文及び鍵を復元し、元の秘密データを復号する。
【0064】
表示部111は、復号した秘密データを表示する。
【0065】
L2が、L3によるサーバ3へのアクセスを禁止すると、L31及びL32は、単独で復元することはできず、また、協力しても、K4が共通するために復元はできない。ここに、不平等性がある。よって、L2は、L3が情報漏えいしたような非常時に、サーバ3を止めることにより情報流出を防ぐことができる。
【0066】
なお、図4において、情報作成装置103、暗号文管理装置105、及び、復元装置109は別々のシステム(パソコン)と捉えてもよく、また、通信中の情報漏洩を防ぐためには一台のシステム(パソコン)の中にある機能部分として実現してもよい。情報を閲覧するだけの場合は、復元装置109によるダウンロードリクエストから始まる。
【0067】
なお、本実施例は、容易に一般化することができる。すなわち、本実施例では、分割された暗号文及び鍵の組み合わせについて、不平等な組み合わせにおける分割鍵が1つで分割暗号文が複数である場合について説明したが、分割暗号文が1つで分割鍵が複数であってもよく、また、分割鍵が複数で、分割暗号文も複数であってもよい。ただし、運用上、不平等な組み合わせは、情報を流出するリスクのあるプレイヤーにアクセス許可をすることを想定している。そのため、秘密管理の観点からは、不平等な組み合わせにおける分割暗号文と分割鍵の個数は、少なくとも一方は、分割暗号文についてはs個未満とするか、分割鍵の個数についてはt個未満とすることが望ましい。これにより、不平等な組み合わせにアクセス許可されるプレイヤーが集まっても、暗号文と鍵の少なくとも一方は復元できない。そのため、復元するには、平等な組み合わせへのアクセス許可を得ることが必要となる。そのため、平等な組み合わせを適切に管理することにより、秘密管理を行うことができる。
【0068】
例えば、暗号文を(3,7)型秘密分散して分割暗号文E1,…,E7とし、鍵を(3,5)型秘密分散して分割鍵K1,…,K5とする。そして、平等な組み合わせを(E1,K1),(E2,K2),(E3,K3)とする。不平等な組み合わせとして、例えば、(E4,K4),(E5,K4),(E6,K5),(E7,K5)のようにしてもよい。これにより、例えば、不平等な組み合わせへのアクセスを、チーム1のフォロワーには分割鍵K4の組み合わせに、チーム2のフォロワーには分割鍵K5の組み合わせに許可するように、いわば、垂直的な階層構造だけでなく、同レベルの水平的な組織構造にも対応することが可能になる。また、不平等な組み合わせを(E4,K4),…,(E7,K4),(E4,K5),…,(E7,K5)のようにすることにより、不平等な組み合わせの数を大幅に増やすことができる。
【0069】
また、本実施例では、暗号文及び鍵の分割は、Kwawczykに習いIDAとPSSを利用したが、本願発明は、秘密をn個に分割してt個で復元ができる秘密分散のアルゴリズムや手法であれば、どのようなものでも実現することが可能である。例えば、ランプ型などを利用してもよい。また、例えば、Rivestは、1997年に計算量的に安全な(n,n)型秘密分散とみなせるAONTを提案した。さらに、RS符号化の後処理を適用したAONT-RSも提案されている。本願発明は、AONTやAONT-RSを用いても実現できる。この場合は、例えば、AONTのように初期値が秘密鍵として利用できるkeyed-AONTの鍵に対して、Shamirの秘密分散を適用する。
【符号の説明】
【0070】
1 暗号文管理システム、3 暗号文管理装置、5 サーバ群、7 復元装置群、 トップサーバ群、13 リーダーサーバ群、21 トップ復元装置、23 リーダー復元装置、25 フォロワー復元装置、31 暗号文管理装置、33 秘密データ記憶部、35 鍵記憶部、37 暗号文記憶部、39 分割暗号文記憶部、41 分割鍵記憶部、43 暗号化部、45 分割部、47 配布部、61 サーバ、63 組み合わせ記憶部、65 受信部、67 送信部、71 復元装置、73 分割暗号文記憶部、75 分割鍵記憶部、77 暗号文記憶部、79 鍵記憶部、81 秘密データ記憶部、83 受信部、85 復元部、87 復号部、101 暗号文管理システム、103 情報作成装置、105 暗号文管理装置、107 サーバ群、109 復元装置、111 表示部、113 平文記憶部、115 平文処理部、117 暗号化部、119 分割部、121 配布部、123 受信部、125 復元部、127 復号部