IDベース暗号のソースを表示

'''IDベース暗号''' (ID-Based Encryption) とは[[公開鍵暗号]]の一種であり識別子を利用した暗号方式である。この暗号では、利用者の公開鍵として、利用者の識別子に関する一意な情報を用いる。例えば、利用者の[[メールアドレス]]、姓名や[[ドメイン名]]、物理的な[[IPアドレス]]等を[[公開鍵]]として用いることが出来る。ID-Based Encryptionの略から'''IBE'''とも呼ばれる。

[[1984年]]にメールアドレスに基づく公開鍵基盤方式 (PKI) が[[アディ・シャミア]]（[[RSA暗号|RSA]]の"S"）によって提案された<ref>Adi Shamir, [http://www.iseca.org/modules/mydownloads/visit.php?cid=56&lid=33 Identity-Based Cryptosystems and Signature Schemes]. ''Advances in Cryptology: Proceedings of CRYPTO 84, Lecture Notes in Computer Science'', 7:47--53, 1984</ref>。
これは利用者の識別子のように公開されている情報のみから[[デジタル署名]]の検証を可能とする。

最近では、ボネ ([[:en:Dan Boneh]]) とフランクリン ([[:en:Matthew K. Franklin]]) のペアリングに基づく暗号方式<ref>Dan Boneh, Matthew K. Franklin, Identity-Based Encryption from the Weil Pairing ''Advances in Cryptology - Proceedings of CRYPTO 2001'' (2001)</ref>、コックスの平方剰余に基づく暗号方式<ref>Clifford Cocks, [http://groups.csail.mit.edu/cis/crypto/classes/6.876/papers/cocks-IBE.pdf An Identity Based Encryption Scheme Based on Quadratic Residues], ''Proceedings of the 8th IMA International Conference on Cryptography and Coding'', 2001</ref>も存在する。

== 利用法 ==
IDベースの方式は、任意の利用者に、たとえば文字列といった識別子から公開鍵を生成することを許す。
[[秘密鍵生成局]] (Private Key Generator:PKG) と呼ばれる信頼された第三者は、対応する秘密鍵を生成する。
まず秘密鍵生成局はマスター公開鍵を公開し、'''マスター秘密鍵''' (以下では'''マスター鍵'''と呼ぶ) を秘密に保持する。
マスター公開鍵が与えられると、利用者は識別子''ID''に対応する公開鍵を、マスター公開鍵と識別子から計算できる。
対応する秘密鍵を得るには、識別子''ID''と認証された参加者が秘密鍵生成局にアクセスする。
この際、秘密鍵生成局はマスター秘密鍵を用いて識別子''ID''用の秘密鍵を生成する。

個々の利用者間で通信に先立って鍵を配布することなく、利用者はメッセージを暗号化 (または署名を検証) することができる。
認証済みのカギを先行配布するのが不便な場合、または技術的な制限により不可能な場合に、非常に有用である。
しかし、復号または署名を行うためには、認証済みの利用者は秘密鍵生成局から秘密鍵を受け取らねばならない。
この方法論の注意点として、秘密鍵生成局が非常に信頼されているという点がある。（秘密鍵生成局は、任意の利用者の秘密鍵を生成できるので、認証無しに復号または署名を行える）
任意の利用者の秘密鍵は第三者のマスター秘密鍵から生成されるので、この方式は必然的に鍵供託を行っていることになる。
この方式の変種では、鍵供託問題を取り除くことが可能である。（[[:en:certificate-based encryption]]、[[:en:secure key issuing cryptography]]、[[:en:certificateless cryptography]]<ref>SS Al-Riyami, KG Paterson [http://www.springerlink.com/index/4WC47ELK7FP8XWTY.pdf Certificateless Public Key Cryptography] ''Advances in Cryptology - Proceedings of ASIACRYPT 2003'' (2003)</ref>.<!-- {{Fact|date=March 2008}} -->{{要出典|date=2008年3月}}

== プロトコルの枠組み ==
ボネーとフランクリンはIDベース暗号方式を4つの[[アルゴリズム]]からなるものとして定義した。
* '''初期設定 (Setup) ''': このアルゴリズムは秘密鍵生成局がIDベース暗号方式の利用を始める際に一度だけ用いられる。マスター鍵は秘密に保存され利用者の秘密鍵を抽出するために用いられる。一方、システムパラメータは公開される。このアルゴリズムはセキュリティパラメータ<math>\textstyle k</math>を入力とし、以下を出力する。
# システムパラメータからなる集合 <math>\textstyle \mathcal{P}</math>。これは平文空間 <math>\textstyle \mathcal{M}</math> および暗号文空間 <math>\textstyle \mathcal{C}</math> を含む。
# マスター鍵 <math>\textstyle K_m</math>.
* '''秘密鍵生成 (Extract) ''': 秘密鍵生成局が利用者から秘密鍵を生成するよう要求されたときに用いられる。要求者の認証および利用者の秘密鍵<math>\textstyle d</math>を送信する際の安全な通信はIDベース暗号のプロトコルでは扱わない。秘密鍵生成アルゴリズムは入力として<math>\textstyle \mathcal{P}</math>, <math>\textstyle K_m</math>および識別子<math>\textstyle ID \in \left\{0,1\right\}^*</math>を受け取り、利用者<math>\textstyle ID</math>用の秘密鍵<math>\textstyle d</math>を出力する。
* '''暗号化 (Encrypt)''': <math>\textstyle \mathcal{P}</math>、平文<math>\textstyle m \in \mathcal{M}</math>、および識別子<math>\textstyle ID \in \left\{0,1\right\}^*</math>を入力とし、暗号文<math>\textstyle c \in \mathcal{C}</math>を出力する。
* '''復号 (Decrypt)''': <math>\textstyle d</math>、<math>\textstyle \mathcal{P}</math>、<math>\textstyle c \in \mathcal{C}</math>を入力とし、<math>\textstyle m \in \mathcal{M}</math>を出力する。

=== 正当性 ===
全体がうまく動作するためには、当り前ではあるが以下を前提とする。
<math> \forall m \in \mathcal{M}, ID \in \left\{0,1\right\}^*: Decrypt\left(Extract\left(\mathcal{P}, K_m, ID\right), \mathcal{P}, Encrypt\left(\mathcal{P}, m, ID \right) \right) = m </math>。
<!-- Roget注: 多少弱められるがどうするか。 -->

== 暗号方式 ==
効率が良いIDベース暗号方式は、現在のところ、[[:en:Weil pairing]]や[[:en:Tate pairing]]といった楕円曲線上の双線形ペアリングに基づいている。最初のペアリングに基づく暗号方式は、[[:en:Dan Boneh]]と[[:en:Matthew K. Franklin]]によって提案された。これは[[ElGamal暗号]]のようなアプローチによって構成された確率的暗号である。Boneh-Franklin暗号は安全性証明を有するが、証明は楕円曲線上の有限群のある問題の困難性に関する新しい仮定を必要とする。
<!-- Roget注: 一応、境・大岸・笠原が2000年1月に提案しているので、BF暗号が最初では無い -->

他のアプローチは[[:en:Clifford Cocks]]によって2001に提案された. [[Cocks IBE方式]]はよく用いられている平方剰余仮定 (QR仮定) に基づいている。しかし、メッセージを1ビットごとに暗号化するため、暗号文が非常に長くなってしまう。したがって、共通鍵暗号で用いるセッション鍵のように短いメッセージ以外では、効率が悪く実用的では無い。

== 利点 ==
IDベース暗号の主要な利点の1つとして、利用者数が有限であれば、全ての利用者に秘密鍵が配布されたのちに、第三者（秘密鍵生成局）の秘密鍵を廃棄できることが挙げられる。これは、ひとたび生成された鍵は以降ずっと正しいものであると仮定されていることから可能になる (基本的な方式では鍵無効化の方法は考えられていない)。鍵無効化法を持つ多くの方式ではこの利点が失われる。<!-- Roget注: 訳が怪しい   →  Squirrel's tail: 若干，修正してみた -->

更に、公開鍵が識別子から生成されるため、IDベース暗号方式は公開鍵基盤を必要としない。この方式では、秘密鍵が識別子に対応する利用者に安全に配送されていさえすれば、公開鍵は暗に認証されている。

また、IDベース暗号は、識別子に付加的な情報を埋め込むことが出来るため、有用な機能を持つ。例えば、送信者はメッセージの満了日を設定することが可能になる。送信者は、満了日の時刻情報を受信者の識別子に加えればよい (X.509のような形式を用いることが可能であろう)。受信者が秘密鍵生成局にアクセスした際に、秘密鍵生成局は識別子を評価し、もし満了日を過ぎていた場合は秘密鍵生成を拒否できる。一般に、識別子へのデータの埋め込みは、送信者と秘密鍵生成局の間に新しい通信路を開くことに対応しており、その通信路の信頼性は秘密鍵が識別子に依存していることにより保証される。

== 欠点 ==
* 秘密鍵生成局が利用者の秘密鍵を生成するので、生成局は認証なしに任意の暗号文を復号でき、また任意のメッセージに署名できる。
** しかし、組織の中に自前のPKGを立てて、システム管理者を信頼することを厭わないならば、これは特に問題にならないかもしれない。<!-- しかし、これは生成局を用いる組織の問題というだけでは無い。-->
* この鍵供託問題は、公開鍵基盤では秘密鍵は利用者の計算機で生成されるため、現在の公開鍵基盤では存在しない。さまざまな方式が鍵供託問題を解決するため提案されている。例として、[[:en:certificate-based encryption]]、[[秘密分散法]]、[[:en:secure key issuing cryptography]]、[[:en:certificateless cryptography]]が挙げられる。<!-- [主観的内容] これは利益として考えられるかもしれない。-->
* システムに参加するためには秘密鍵を安全に配送するため、利用者と秘密鍵生成局の間に安全な通信路が必要である。大規模なシステムでは、[[Transport Layer Security|SSL]]のような通信方式がよく用いられている。

== 関連項目 ==
* [[:en:Trend Micro]], owners of Identum's ID-based cryptography technology
* [[:en:Voltage Security]]

== 参考文献 ==
{{Reflist}}

== 外部リンク ==
* [http://www.crypto.rub.de/its_seminar_ws0708.html Seminar 'Cryptography and Security in Banking'/'Alternative Cryptology', Ruhr University Bochum]
* [https://www.ietf.org/rfc/rfc5091.txt RFC 5091 - the IETF RFC defining two common IBE algorithms] 
* [http://www.hpl.hp.com/techreports/2003/HPL-2003-21.pdf HP Role-Based Encryption]
* [http://www.larc.usp.br/~pbarreto/pblounge.html The Pairing-Based Crypto Lounge]
* [http://www.voltage.com/vsn The Voltage Security Network - IBE encryption web service]
* [http://vsn.visus-it.com VSN Fully Managed Email Encryption Service - UK based IBE encryption web service]
* [http://www.ferris.com/2006/05/30/the-total-cost-of-ownership-for-voltage-identity-based-encryption-solutions/ Analyst report on the cost of IBE versus PKI]

{{DEFAULTSORT:IDへえすあんこう}}
[[Category:暗号技術]]