メールアドレスを公開鍵にする――「ペアリング」とその応用例クラウド時代の暗号化技術論(5)(1/2 ページ)

「好きな文字列を公開鍵として使いたい」「情報を暗号化したまま復号できる人を変更したい」――第5回では、暗号に対して求められるこのような利便性を達成するための技術である「IDベース暗号」「代理人再暗号化」と、その基礎となる「ペアリング」という関数について解説します。

» 2015年08月25日 05時00分 公開
[光成滋生@IT]
「クラウド時代の暗号化技術論」のインデックス

連載目次

IDベース暗号とは?

 まずは「IDベース暗号」の紹介から始めます。IDベース暗号とは、公開鍵に自分の好きな文字列(ID、Identifier)を選べる暗号のことです。従来の公開鍵暗号では、公開鍵はランダムに決められていました。例えば第3回で紹介した「楕円ElGamal暗号」では、乱数aと楕円曲線上の点Pに対して公開鍵はKA=aPです。KAを自分の好きな文字列にすることはできません。一方、IDベース暗号ではそれが可能です。より正確にいうと、以下のような仕組みをとります。

セットアップと鍵生成

鍵生成局Sが各ユーザーXのID(x)に対して秘密鍵Kxを発行する。

暗号化

平文mとユーザーAのID(a)を元に、c=Enc(a,m)を暗号文とする。

復号

ユーザーAは自身の秘密鍵Kaを使って暗号文cを復号する。

Dec(Ka,c)=Dec(Ka,Enc(a,m))=m

 公開鍵暗号では、事前に公開鍵を作成し、持ち主との対応を公開鍵証明書などで保証した上で配布する必要がありました。IDベース暗号では、特定の相手のID(メールアドレスなど)をそのまま公開鍵として使用し、その人に対する暗号文を作れます。

図1 IDベース暗号

 極端な話、Aさん自身がまだ自分の秘密鍵を持っていなくても、他人がAさんへの暗号文を作れます。Aさんはその暗号文を読みたくなった時に、鍵生成局に秘密鍵を発行してもらい、復号すればよいのです。

IDベース暗号と公開鍵暗号

 IDベース暗号を使うとPKI(Public Key Infrastructure、公開鍵基盤)が不要になるように思われますが、IDベース暗号がすぐに公開鍵暗号に取って代わるわけではありません。IDベース暗号には欠点もあるからです。

 まずIDベース暗号では、鍵生成局が全員の秘密鍵を知っています。これは非常に強い権限ですね。この欠点を改善するために、複数の鍵生成局を利用することで権限が集中しないようにする方式が提案されています。

 また、秘密鍵が漏えいしたり失効したりした場合、IDを変更しなければなりません。メールアドレスなどの変更はできるだけ避けたいですよね。これについては、例えば車の免許証のようにIDの最後に発行回数の番号を付与する、あるいは有効期限を含めたものをIDとするなどの運用が考えられます。

 いずれにせよIDベース暗号では、IDを管理する運用基盤が必要になります。今後は公開鍵暗号の利点とIDベース暗号の利点を組み合わせた複合的な仕組みが増えてくるかもしれません。実際に、「証明書ベースの暗号化(Certificate-Based Cryptography)」などの方式が提案されています。

ペアリング

 IDベース暗号の概念は1980年代にはあったのですが、その実用的な方式が提案されたのは2000年以降です。後述のペアリングという技術を使った方式を提示した米国のダン・ボネ(Dan Boneh)氏やマシュー・フランクリン(Matthew K. Franklin)氏らはその先駆者とされ、2013年にゲーデル賞を受賞しました。

 ただ、日本国内で彼らよりも前に、大岸聖史氏、境隆一氏、笠原正雄氏らがペアリングを使った暗号方式を提案していたのは、もっと知られてよい事実ではないでしょうか。

 さて、それではIDベース暗号の中心的技術である「ペアリング」について説明しましょう。第3回で紹介したように、ElGamal暗号は円周の上を、楕円曲線は浮輪の形(トーラス)の上を点がぐるぐる回っているイメージでした。ペアリングは楕円曲線上の2点P、Qが決まると、ある円周上の1点e(P,Q)が決まるという関数で、楕円曲線暗号とElGamal暗号の架け橋となるものです。

図2 ペアリング

 楕円曲線は切り開くと長方形となりました。下図のように、ペアリングでは楕円曲線上の点Pを2倍、3倍すると、円周上の点は2乗、3乗のところに進みます。

図3 楕円曲線上の点を2倍、3倍したときのペアリング

 Qについても同様の性質があり、一般に整数a、bに対して、

e(aP,bQ)=e(P,Q)ab

となります。ペアリングが持つこのような性質を「双線形」といい、これが暗号において最も重要な関係式となります。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。