双方向サービスのための効率的な プロバイダー認証

報告
双方向サービスのための効率的な
プロバイダー認証
大竹
剛
小川一人
Efficient Provider Authentication for Interactive Services
Go OHTAKE and Kazuto OGAWA
要約
双方向サービスにおいては，プロバイダーに成り済ました第三者へ視聴者の個人情報が漏えいす
ることを防止する必要があり，そのためのプロバイダー認証は重要な技術である。プロバイダー
認証はデジタル署名を用いることで実現できるが，署名鍵が漏えいした場合には，成り済ましを
防止するために署名鍵を更新する必要がある。しかし，従来のデジタル署名方式の場合，署名鍵
の更新に伴って，対応する検証鍵を更新する必要があり，新しい検証鍵を視聴者に再配布するた
めの通信コストが非常に大きくなる。本稿では，署名鍵が漏えいした場合においても安全なプロ
バイダー認証が可能な双方向コンテンツ配信システムを提案する。また，提案システムにおける
プロバイダー認証に最適なStrong key­insulated署名方式を提案する。
ABSTRACT
44
NHK技研 R&D/No.124/2010.11
In interactive services, provider authentication is necessary to prevent an adversary from
impersonation of a content provider. For this purpose, a digital signature schemes are often used.
If the provider s signing key is leaked to an adversary, the provider must update their signing key.
Hence, the corresponding verification key, which all users must hold, has to be updated and the
communication cost for key redistribution to all users is huge. In this paper, we propose a
bidirectional content distribution system that enables secure provider authentication even when
a signing key is leaked. Moreover, we propose an efficient strong key­insulated scheme, which is
the most suitable for provider authentication in the bidirectional content distribution system.
プロバイダー
視聴者
コンテンツ
サーバー
受信端末
（デジタルTV）
コンテンツ配信
個人情報リクエスト
個人情報管理
サーバー
ネットワーク
個人情報送信
ICカード
検証鍵
署名鍵
１図 双方向コンテンツ配信モデル
１．まえがき
本稿では，署名鍵が漏えいした場合においても安全なプ
近年，デジタル放送とブロードバンド網の普及に伴い，
ロバイダー認証が可能な双方向コンテンツ配信システムを
インターネットを用いてハイビジョン番組などの高品質な
提案する。提案するシステムでは，プロバイダー認証に
コンテンツを配信するサービスが実用化されている。一
Key­insulated署名方式２）３）５）10）11）＊２を採用 し た。Key­
方，TVショッピングやクイズ番組などの双方向サービス
insulated署名方式では，署名鍵を更新しても対応する検
では，視聴者は氏名，住所，電話番号などの個人情報を通
証鍵の更新は不要なので，上記のトレードオフを解決する
信ネットワーク経由でプロバイダーに送信する必要があ
ことができ，視聴者は安心して個人情報をプロバイダーに
る。ここでいうプロバイダーとは，既存の放送局や通信
送信できる。また，Key­insulated署名方式よりも安全な
ネットワークを用いて放送コンテンツを提供するサービス
Strong key­insulated署名方式で，従来よりも効率的な
プロバイダーを想定している。個人情報を送信する際に
方式を提案する。双方向サービスでは，プロバイダーと膨
は，プロバイダーに成り済ました第三者に視聴者の個人情
大な数の視聴者との間で多数の署名付きメッセージがネッ
報が誤って送信されることを防止する必要があり，プロバ
トワーク上を送受信されるので，署名の長さはできる限り
イダー認証が重要な技術となる。現在の双方向サービスで
短い方が良い。提案方式の署名長は従来方式よりも短く，
＊１
は，SSL（Secure Socket Layer）
を用いたサーバー認
証を行うことでプロバイダー認証を実現している。しか
通信コストを削減できる。最後に，提案する署名方式の性
能評価実験を行い，十分に実用的であることを示す。
し，プロバイダーにおける鍵漏えいの問題については考慮
されていない。
２．双方向コンテンツ配信モデル
プロバイダー認証を実現するためには，一般にデジタル
双方向コンテンツ配信モデルを１図に示す。プロバイ
署名が用いられる。プロバイダーは署名を生成する際に必
ダーはコンテンツを配信するコンテンツサーバーと視聴者
要な署名鍵を保持する必要がある。また，署名鍵が第三者
の個人情報を管理する個人情報管理サーバーを持ち，視聴
に漏えいした場合のプロバイダーの成り済ましを防止する
者はコンテンツを受信する受信端末（デジタルTV）を
ために，プロバイダーは署名鍵を安全に管理する必要があ
持っている。受信端末には，コンテンツの復号鍵が保存さ
る。従って，鍵管理コストは非常に大きくなる。鍵管理コ
れたICカードが挿入されており，通信ネットワーク経由
ストを小さくするために，署名鍵を頻繁に更新する方法も
でプロバイダーから提供されるサービスを受信する。
あるが，従来のデジタル署名方式では，署名鍵を更新する
際に，対応する検証鍵も同時に更新しなければならない。
コンテンツサーバーは通信ネットワークの下り回線を用
いて，視聴者にコンテンツを配信する。コンテンツは著作
双方向サービスにおいては，プロバイダーは膨大な数の視
聴者と通信を行うので，検証鍵の再配布に必要なコストも
非常に大きくなる。従って，上記のトレードオフを解決す
＊１ インターネット上で情報を暗号化して送受信するプロトコル。プラ
イバシーにかかわる情報やクレジットカード番号などを安全に送受
信することができる。
るプロバイダー認証システムが求められる。
＊２ 署名鍵が漏えいした場合においても安全なデジタル署名方式。
NHK技研 R&D/No.124/2010.11
45
報告
権を保護するために暗号化されている。視聴者はICカー
タである証明書を発行し，検証鍵に証明書を添付すること
ドを用いてコンテンツを復号し視聴する。双方向サービス
でデジタル署名による安全な認証を実現している。しか
を行うために，個人情報管理サーバーは個人情報リクエス
し，双方向コンテンツ配信モデルのプロバイダー認証に
トを視聴者に送信し，視聴者の受信端末は通信ネットワー
PKIを用いた場合には，以下のような問題が生じる。デジ
クの上り回線を利用して，要求された個人情報をプロバイ
タル署名の検証を行う際，検証鍵に添付された証明書の正
ダーに送信する。送信された視聴者の個人情報は個人情報
当性（証明書発行者や署名アルゴリズム，検証鍵などの証
管理サーバーに保存される。
明書記載事項の確認およびCAが付加した署名の検証）を
視聴者が双方向サービスを受信する際には，プロバイ
確認する必要があるとともに，証明書失効リスト（CRL：
ダーの成り済ましを防止するために，プロバイダー認証を
Certificate Revocation List）の確認を行う必要がある。
行う必要がある。プロバイダー認証はデジタル署名方式を
これらの処理を行うためにはシステムにかかる負荷が大き
用いることで実現できる。すなわち，個人情報管理サー
い。また，双方向コンテンツ配信モデルで署名鍵を更新し
バーが個人情報リクエストを視聴者に送信する際に，署名
た場合に，すべての視聴者の受信端末にある検証鍵を同時
鍵を用いてリクエストメッセージにプロバイダーの署名を
に更新することはできないので，プロバイダーが提供する
付加する。視聴者の受信端末はリクエストを受信し，IC
リアルタイムの双方向サービスに影響を及ぼすことにな
カード内にある検証鍵を用いて署名の検証を行う。このよ
る。
うな手順で個人情報リクエストの送信者を認証すること
3.3 ICカードを用いた場合の問題点
で，視聴者は安心して個人情報をプロバイダーに提供する
ことができる。
PKIを用いないでプロバイダー認証を行う方法として，
ICカードを用いる方法がある。視聴者はプロバイダーか
１図に示すモデルでは，ICカード内にあらかじめ保存
らあらかじめ配布された検証鍵の格納されたICカードを
している検証鍵をプロバイダー認証に用いているので，現
用いてプロバイダー認証を行う。署名鍵を更新した場合に
行の放送システムへの導入は容易である。
は，プロバイダーは放送波を利用して検証鍵やCRLをカ
ルーセル伝送１）＊３ することもできるが，受信端末の電源
３．従来のプロバイダー認証の問題点
従来のプロバイダー認証の問題点を明らかにするととも
ルの周期や期間などのパラメーター設定が難しい。署名鍵
に，双方向コンテンツ配信モデルに最適なプロバイダー認
の更新に伴ってICカードを再配布する方法もあるが，プ
証を実現するKey­insulated署名方式について述べる。
ロバイダー・視聴者双方にとって利便性が悪い。
3.1 署名鍵の漏えい
3.4 双方向コンテンツ配信モデルに最適なプロバイ
双方向コンテンツ配信モデルにおいて，プロバイダーの
ダー認証
署名鍵が漏えいした場合，署名鍵を入手した第三者がプロ
プロバイダー認証には一般にデジタル署名方式が用いら
バイダーに成り済まし，有効な署名が付加されたリクエス
れ，3.1節∼3.3節で述べた問題点を解決するためには，署
トを視聴者に送信して個人情報を得ることになる。
名方式が安全であること以外に，以下の２つの要求条件
１図の署名鍵を保持している個人情報管理サーバーは
通信ネットワークに接続されているので，第三者が外部か
らサーバーアタックを行い，署名鍵を不正に入手する可能
性がある。また，サーバー管理者による不正行為やケアレ
を満たす必要がある。
・プロバイダーは署名鍵漏えいによる被害を最小限にする
ために，署名鍵を速やかに更新できること。
・プロバイダーが署名鍵を更新しても，検証鍵やCRL
スミス，コンピューターウイルスによる鍵漏えいの可能性
の伝送が不要であること。
もある。更に，サーバーそのものが盗まれる可能性も否定
上記の要求条件を満たすKey­insulated署名方式は双方
できない。従って，プロバイダーは署名鍵を安全に管理す
向コンテンツ配信モデルに最適な署名方式である。
るとともに，鍵漏えいへの対策を行うことが重要である。
3.5 Key­insulated署名方式の問題点
3.2 PKIを用いた場合の問題点
Key­insulated署名方式を双方向コンテンツ配信モデル
PKI（Public Key Infrastructure：公開鍵基盤）は公開
に適用し署名鍵を更新したとしても，古い署名鍵を不正に
鍵（検証鍵）と所有者の結び付きを保証する仕組みであ
利用される可能性がある。従って，Key­insulated署名方
り，インターネット上で広く用いられている。検証鍵にIC
式の署名鍵に有効期限を持たせる必要がある。
カードを用いる代わりに，信頼できる認証機関（CA：
Certificate Authority）が上記の結び付きを保証するデー
46
を入れるタイミングは視聴者ごとに異なるので，カルーセ
NHK技研 R&D/No.124/2010.11
＊３ データ放送において，ニュースや天気予報など，同じ情報を一定周
期で繰り返して送る伝送方式。
鍵生成
- マスター鍵 SK *
- 検証鍵 PK
- 初期署名鍵 SK 0
プロバイダー
コンテンツ
サーバー
視聴者
j, M）
〈 j, s〉
＝SignSK（
j
署名生成
ネット
ワーク
受信端末
Gen
個人情報管理
サーバー
鍵管理サーバー
部分鍵生成
耐タンパーデバイス
SK *
ICカード
PK
SK’i, j＝Upd（
* i, j, SK *）
署名検証
b ＝ VrfyPK（M,〈 j, s〉）
署名鍵更新
SKj＝Upd（i, j, SK i , SK’i, j）
２図 提案する双方向コンテンツ配信システム
ムSignを用いてMに対する時刻jの署名〈j，s〉= SignSK
j
６）
４．提案システム
（j，M）を生成し，Mと〈j，s〉を視聴者に送信する。
署名鍵が漏えいした場合においても安全にプロバイダー
⑤ プロバイダー認証：Vrfy
認証を行うことができる双方向コンテンツ配信システムを
視聴者の受信端末は，M，
〈j，s〉
，PKおよびアルゴリズ
提案する。提案システムでは，プロバイダー認証にKey
ムVrfyを用いて〈j，s〉の検証，すなわち，プロバイダー
­insulated署名方式を用いる。
〈j，s〉
）を行う。
認証b = VrfyPK（M,
4.1 データの処理と流れ
ここで，bは１（検証成功）または０（検証失敗）の値を
署名鍵の更新は「鍵管理サーバー」と「個人情報管理
サーバー」の２つのサーバーを用いて行う。これらのサー
バーは別の部屋で管理され，管理者を別の人に割り当て
る。提案する双方向コンテンツ配信システムを２図に示
表す。
⑥ 個人情報送信
受信端末はb = １の場合に限り，個人情報を個人情報管
理サーバーに送信する。
す。Gen，Upd*，Upd，Sign，VrfyはKey­insulated署
PKIで用いるRSA署名＊５などの一般的なデジタル署名
名方式のアルゴリズム（鍵生成，部分鍵生成，署名鍵更
方式の流れと，提案システムで用いるKey­insulated署名
新，署名生成，署名検証）である。データの流れを以下に
方式の流れを３図に示す。一般的なデジタル署名方式の
示す。
場合には，プロバイダーが署名鍵を更新する度に負荷の大
①鍵生成：Gen
きい鍵生成処理を実行しなければならない。一方，Key
鍵管理サーバーにおいて，マスター鍵SK*，検証鍵PK，
­insulated署名方式の場合には，鍵生成処理はシステムの
＊４
初期化の際に１回実行するだけである。すなわち，Key
に保存する。プロバイダーはPKが格納されたICカードを
­insulated署名方式の場合には3.2節や3.3節で述べた負荷
各視聴者に配布する。視聴者はICカードを受信端末に挿
の大きい処理が不要である。
入する。
4.2 Key­insulated署名方式の運用
初期署名鍵SK０を生成する。SK*は耐タンパーデバイス
②部分鍵生成：Upd*
3.5節で述べた問題点を解決するために，以下のような
プロバイダーにおいて，時刻iで有効な署名鍵SKiを時刻
運用を行う。プロバイダーは署名鍵を１日１回定期的に
jで有効な署名鍵SKjに更新する場合，鍵管理サーバーはi，
更新し，リクエストメッセージにその日の署名が付いてい
j，SK*およびアルゴリズムUpd*を用いて部分鍵SK’i,j =
ない場合には視聴者の受信端末で排除する。このように署
Upd*（i，j，SK*）を生成する。鍵管理サーバーはSK’i,j
名鍵に有効期限を設定することで，期限切れの署名鍵を第
を個人情報管理サーバーに送信する。
三者が入手しても，有効なリクエストを視聴者に送信する
③署名鍵更新：Upd
ことはできない。
個人情報管理サーバーはSK’i,j，i，jと更新前の署名鍵SKi
およびアルゴリズムUpdを用いて署名鍵SKj = Upd（i，j，
SKi，SK’i,j）を更新する。
④署名付き個人情報リクエスト：Sign
個人情報管理サーバーは個人情報リクエストMを視聴者
の受信端末に送信する。この際，j，SKjおよびアルゴリズ
＊４ 物理的あるいは論理的に内部の情報を読み取られないような工夫が
施されたデバイス。鍵データなど，機密性の高い情報を格納するた
めに用いられる。
＊５ 桁数が大きい合成数（１と素数以外の自然数）の素因数分解が困難
であることを安全性の根拠としたデジタル署名方式。現在，インター
ネット上で広く用いられている。RSAは３人の発明者の頭文字をつ
なげたもの。
NHK技研 R&D/No.124/2010.11
47
報告
一般的なデジタル署名方式
（RSA署名など）
Key-insulated署名方式
鍵生成
Gen
鍵生成
Gen
部分鍵生成
Upd*
署名生成
Sign
署名鍵更新
Upd
署名検証
Vrfy
署名生成
Sign
署名鍵更新
署名検証
Vrfy
負荷の大きい処理
３図 一般的なデジタル署名方式とKey­insulated署名方式の流れ
4.3 提案システムの特徴
１表 提案システムと従来システムの比較
提案システムは，双方向サービスのリアルタイム性を失
提案システム
PKI
ICカード
うことなく，プロバイダーの署名鍵漏えいによる被害を最
視聴者の利便性
○
×
×
小限にとどめることができる。提案システムの特徴を以下
リアルタイム性
○
×
×
にまとめる。
鍵漏えい被害の最小化
◎
○
○
・視聴者の利便性
サーバーに対する攻撃耐性
◎
○
○
Key­insulated署名方式は検証鍵の更新が不要なので，
視聴者へのICカードの再配布も不要であり，視聴者の利
便性を損なうことなく署名鍵の更新ができる。
・リアルタイム性
プロバイダーは署名鍵の更新の際に視聴者への通知を行
う必要がなく，リアルタイムの双方向サービスであって
７）
８）
５．提案するKey­insulated署名方式
４章で提案した双方向コンテンツ配信システムに適し
たKey­insulated署名方式を提案する。
5.1 具体的な構成法
提案するKey­insulated署名方式のアルゴリズムを数式
も，更新された署名鍵ですぐに利用できる。
を用いて記述すると，以下のようになる。
・鍵漏えい被害の最小化
・鍵生成アルゴリズム：Gen
署名鍵の有効期限を設定できるので，鍵漏えいの被害を
Gqを素数位数＊６qの巡回群＊７とする。生成元＊８gをGq
有効期間内にとどめることができる。
からランダムに選ぶ。次に，x，x をZq（０からq −１まで
・サーバーに対する攻撃耐性
の整数の集合）からランダムに選び，マスター鍵x０ =x
部分鍵と過去の署名鍵の両方を入手しないと署名鍵の更
−x を耐タンパーデバイス内に管理し，x を署名者が管理
新ができない。提案システムで署名鍵の更新を行うために
す る。そ し て，y０＝gx ，y =gx を 求 め，検 証 鍵PK=
は２つのサーバーを管理している２人の管理者の管理者
，H（· , · , · , ·）
〉を公開する。ここで，
〈q, g, y０, y’, G（· , ·）
権限が必要であり，サーバーに対する攻撃耐性が強化され
G，Hは任意の長さのデータを固定長のデータに圧縮する
ている。
ハッシュ関数＊９である。Gは２つのデータを入力し，固
０
提案システムと従来の一般的なデジタル署名方式による
システム（3.2節で述べたPKI方式および3.3節で述べたIC
＊６ 集合Gqの要素の数を位数といい，位数が素数qであること。
カード方式）の比較を１表に示す。提案システムは従来
＊７ 集合Gqの要素gに対して，楕円曲線上で定義されている掛け算を用
いてgを複数回掛けた値が元の要素gに戻るような集合（群）
。
だえん
システムよりも効果的であることがわかる。
48
NHK技研 R&D/No.124/2010.11
＊８ 元の要素gに戻るまでの掛け算の回数が集合Gqの要素の数よりも１
つだけ少ない場合のgを生成元という。
２表 提案方式と従来のStrong key­insulated
署名方式の比較
をベースにしたStrong key­insulated署名方式２）である。
また，計算量は計算時間が最も長いべき乗剰余演算におけ
CB方式
GQ方式
提案方式
る乗算の回数を示した。提案方式の署名長は従来方式の署
検証鍵長（bits）
320
1,024
160
名長の約２／５の長さであり，通信ネットワーク上を膨大
署名長（bits）
1,120
1,184
480
署名生成の計算量
（乗算の回数）
720
1,776
240
署名検証の計算量
（乗算の回数）
1,440
1,776
720
安全性の仮定
DL
RSA
DL
な数の署名付きデータが送受信される双方向サービスに適
した署名方式である。また，検証鍵のサイズも従来方式よ
り短く，メモリー容量の少ないICカードに検証鍵を保存
することができる。更に，署名生成および署名検証に要す
る計算量も従来方式と比較して少ない。プロバイダーの
サーバーでは，膨大な数の視聴者に対して署名生成を行う
定長のデータ（ハッシュ値）を出力する。Hは４つのデー
必要があるが，提案方式における署名生成の計算量は少な
タを入力し，固定長のデータ（ハッシュ値）を出力する。
いので，サーバーへの負荷は小さい。また，デジタルTV
・部分鍵生成アルゴリズム：Upd*
など，PCと比較して性能の低い受信端末を用いて署名検
耐タンパーデバイス内において，乱数r１をZq からランダ
r１
証を行う必要があるが，提案方式における署名検証の計算
ムに選び，v１ = g を求める。次に，時刻情報Tを用いてc１
量は少ないので，受信端末への負荷は小さい。従って，プ
= G（v１，T）を求め，更に，マスター鍵x０を用いて部分鍵
ロバイダー認証によるシステム全体への負荷は小さい。
x１ ＝（c１r１+x０）mod qを求め，x１，v１，Tを署名者に送る。
・鍵更新アルゴリズム：Upd
なお，提案方式は離散対数問題（q，g，gx mod qが与え
られたときのxを求める問題）が困難であるというDL仮定
x１
c１
１ ０
署名者はc１ = G（v１，T）を求め，g = v y が成り立つ
（Discrete Logarithm Assumption）の下で安全性が証明
かどうかを検証する。部分鍵の検証に成功した場合には，
可能である。
x を用いて時刻Tの署名鍵SKT ＝（x１+x ）mod qを求める。
5.3 性能評価実験
提案したStrong key­insulated署名方式を双方向コン
・署名生成アルゴリズム：Sign
vs = gr を求め
署名者は，
乱数rsをZq からランダムに選び，
テンツ配信システムに実装し，性能評価実験を行った。
る。次に，メッセージmと署名生成時刻Tを用いてcs =
PC ３台を用いて２図の双方向コンテンツ配信システムを
，σs ＝（csrs+SKT ）mod qを 求 め，m
H（v１，vs，T，m）
構築し，5.1節で述べたアルゴリズムをC＋＋言語を用いて
と〈σs ，cs ，v１〉とTを検証者に送る。
実装した。システム諸元を３表に示す。試作システムを
・署名検証アルゴリズム：Vrfy
用いて各アルゴリズムの処理時間を測定し，効率性の検証
s
検証者はc１ = G（v１，T）を求め，
−１ １／c
（gσ （v１c y０y’）
） ，T，m）
cs = H（v１，
s
１
s
を行った。
実験結果を４表に示す。表の１列 目 はStrong Key­
Insulated署名方式のアルゴリズムを，２列目は各アルゴ
が成り立つかどうかを検証する。検証に成功した場合は
リズムを実行するエンティティー＊10を，３列目は各アル
b = １，失敗した場合はb = ０を出力する。
ゴリズムの処理時間を表す。４表に示すように，Genと
5.2 提案方式の特徴
Upd* は 鍵 管 理 サ ー バ ー（KMS：Key Management
提案方式は署名鍵の漏えいに対してだけではなく，マス
タ ー 鍵 の 漏 え い に 対 し て も 対 処 で き るStrong key­
２）
Server）で，UpdとSignは 個 人 情 報 管 理 サ ー バ ー
（PIMS： Personal Information Management Server）
insulated署名 と呼ばれる方式である。従って，双方向コ
で，Vrfyは受信端末（UT：User Terminal）でそれぞれ
ンテンツ配信システムにおいて，安全性の高いプロバイ
実行される。プロバイダーの検証鍵はUTに挿入されてい
ダー認証が実現できる。
るICカードに格納されるが，Vrfyは（ICカードではなく）
提案したStrong key­insulated署名方式は，署名や検
UTの内部で実行される。なお，Upd*­UpdはKMSにおけ
証鍵のサイズが小さく，署名生成（Sign）と署名検証
るUpd*からPIMSにおけるUpdまでの一連の（サーバー間
（Vrfy）に要する計算量の少ない効率的な方式である。従
通信を含む）鍵更新処理を表す。また，処理時間は各アル
来のStrong key­insulated署名方式との性能比較を行っ
た結果を２表に示す。２表のCB方式は既存のSchnorr
９）
署名 を用いた証明書ベースのStrong key­insulated署名
方式であり，GQ方式は既存のGuillou­Quisquater署名４）
＊９
ハッシュ関数によって得られる値をハッシュ値という。元のデータ
が異なればハッシュ値はほぼ100％異なる。また，ハッシュ値から
元のデータを求めることはほぼ不可能である。
＊10 各アルゴリズムを実行するサーバーや端末のこと。
NHK技研 R&D/No.124/2010.11
49
報告
４表 実験結果
３表 システム諸元
鍵管理サーバー（KMS）
アルゴリズム
エンティティー
処理時間（ms）
CPU
Intel Core2 Duo（E4400）
2.00GHz
Gen
KMS
2,183.5
メモリー
512MB
Upd*
KMS
3.8
OS
Windows XP SP2
個人情報管理サーバー（PIMS）
Upd
PIMS
Upd*­Upd
KMS, PIMS
CPU
Intel Core2 Duo（E4400）
2.00GHz
Sign
PIMS
メモリー
512MB
Vrfy
UT
OS
Windows XP SP2
受信端末（UT）
CPU
Intel Pentium 4 2.80GHz
メモリー
512MB
OS
Windows XP SP2
7.5
218.4
3.5
15.5
６．むすび
署名鍵が漏えいした場合においても安全なプロバイダー
認証が可能な双方向コンテンツ配信システムを提案した。
また，双方向コンテンツ配信システムに最適な署名方式と
ゴリズムを1,000回実行した場合の平均値である。KMS
して，Key­insulated署名方式よりも安全なStrong key
­PIMS間およびPIMS­UT間のネットワークはTCP/IP
­insulated署名方式で，従来よりも効率的な方式を提案し
で接続する。
た。提案したStrong key­insulated署名方式を双方向コ
実験の結果，Genの処理時間が2,183.5（ms）と長いこ
ンテンツ配信システムに適用することで，視聴者は個人情
とがわかった。しかし，Genが実行されるのはシステムの
報をプロバイダーに安心して提供することができる。シス
初期化のときだけであり，システムに与える影響は小さ
テム実装による性能評価実験を行い，提案したStrong
い。署名鍵更新の際にKMSとPIMSで実行されるUpd*
key­insulated署名方式が十分に実用的であることを示し
およびUpdの処理時間はそれぞれ3.8（ms）お よ び7.5
た。
（ms）
，個人情報リクエスト送信の際にPIMSで実行される
Signの処理時間は3.5（ms）であり，プロバイダーのサー
バーにおける処理は短時間で実行可能である。また，
７．謝辞
KMSとPIMSのサーバー間通信を含めた署名鍵更新Upd*
本研究の共同研究者である独立行政法人産業技術総合研
­Updの処理時間は218.4（ms）である。4.2節で述べたよ
究所情報セキュリティ研究センターの花岡悟一郎主任研究
うに，提案システムではプロバイダーの署名鍵更新の頻度
員に感謝する。
は１日１回であり，Upd*­Updの処理も１日に１回だけ
実行されるので，システムに与える影響は小さい。一方，
個人情報リクエスト受信の際にUTで実行されるVrfyの処
論文を元に加筆・修正したものである。
理時間は15.5（ms）であるが，UTがPCの１／10の性能し
G. Ohtake, G. Hanaoka and K. Ogawa ：“ Efficient
かないデジタルTVだと仮定しても，Vrfyの処理時間は約
Provider
150（ms）であり，実用上の問題はない。すなわち，5.1
Broadcasting Service，”IEICE Trans. Fundamentals,
節で提案したStrong key­insulated署名方式は十分に実
Vol.E93­A, No.6, pp. 1039­1051（2010）
用的である。
50
本稿は電子情報通信学会英文論文誌に掲載された以下の
NHK技研 R&D/No.124/2010.11
Authentication
for
Bidirectional
参考文献
1） 電波産業会：
“デジタル放送におけるデータ放送符号化方式と伝送方式（5.4版）
，
”ARIB STD­B24
（2009）
2） Y. Dodis, J. Katz, S. Xu and M. Yung：
“Strong Key­Insulated Signature Schemes，
”Proc. PKC 03, pp.
130­144（2003）
3） N. Gonzalez­Deleito, O. Markowitch and E. Dall Olio：“A New Key­Insulated Signature Scheme，”
Proc. ICICS 04, pp. 465­479（2004）
4） L. C. Guillou and J. ­ J. Quisquater ：“ A practical zero ­ knowledge protocol fitted to security
microprocessor minimizing both transmission and memory，
”Proc. Eurocrypt 88, pp.123­128（1988）
5） Z. Le, Y. Ouyang, J. Ford and F. Makedon：
“A Hierarchical Key­Insulated Signature Scheme in the CA
Trust Model，
”Proc. ISC 04, pp. 280­291（2004）
6） G. Ohtake, G. Hanaoka and K. Ogawa,
“Provider Authentication for Bidirectional Broadcasting Service
with Fixed Verification Key，
”Proc. ISITA 06, pp.155­160（2006）
7） G. Ohtake, G. Hanaoka and K. Ogawa：
“An Efficient Strong Key­Insulated Signature Scheme and Its
Application，
”Proc. EUROPKI 08, pp.150­165（2008）
8） 大竹，花岡，小川：
“双方向放送サービスのための効率的なプロバイダ認証，
”第7回情報科学技術フォーラ
ム（FIT2008）
，L­006, pp.99­100（2008）
9） C. P. Schnorr：
“Efficient signature generation for smart cards，
”Proc. Crypto 89, pp.239­252（1990）
10）J. Weng, S. Liu, K. Chen and X. Li：“Identity­Based Key­Insulated Signature with Secure Key­
Updates，
”Proc. Inscrypt 06, pp.13­26（2006）
11）Y. Zhou, Z. Cao and Z. Chai：
“Identity Based Key Insulated Signature，
”Proc. ISPEC 06, pp. 226­234
（2006）
おおたけ
ごう
おがわかずと
大竹
剛
小川一人
2001年入局。放送技術研究所にて，電子透か
しなどの著作権保護用画像処理，デジタル署
名，暗号プロトコルの研究・開発に従事。現
在，放送技術研究所次世代プラットフォーム
研究部に所属。博士（情報学）
。
1987年入局。甲府放送局を経て，1991年か
ら放送技術研究所にて，暗号の研究・開発に
従事。現在，放送技術研究所次世代プラット
フォーム研究部副部長。博士（情報理工学）
。
NHK技研 R&D/No.124/2010.11
51