Comments
Description
Transcript
双方向サービスのための効率的な プロバイダー認証
報告 双方向サービスのための効率的な プロバイダー認証 大竹 剛 小川一人 Efficient Provider Authentication for Interactive Services Go OHTAKE and Kazuto OGAWA 要約 双方向サービスにおいては,プロバイダーに成り済ました第三者へ視聴者の個人情報が漏えいす ることを防止する必要があり,そのためのプロバイダー認証は重要な技術である。プロバイダー 認証はデジタル署名を用いることで実現できるが,署名鍵が漏えいした場合には,成り済ましを 防止するために署名鍵を更新する必要がある。しかし,従来のデジタル署名方式の場合,署名鍵 の更新に伴って,対応する検証鍵を更新する必要があり,新しい検証鍵を視聴者に再配布するた めの通信コストが非常に大きくなる。本稿では,署名鍵が漏えいした場合においても安全なプロ バイダー認証が可能な双方向コンテンツ配信システムを提案する。また,提案システムにおける プロバイダー認証に最適なStrong keyinsulated署名方式を提案する。 ABSTRACT 44 NHK技研 R&D/No.124/2010.11 In interactive services, provider authentication is necessary to prevent an adversary from impersonation of a content provider. For this purpose, a digital signature schemes are often used. If the provider s signing key is leaked to an adversary, the provider must update their signing key. Hence, the corresponding verification key, which all users must hold, has to be updated and the communication cost for key redistribution to all users is huge. In this paper, we propose a bidirectional content distribution system that enables secure provider authentication even when a signing key is leaked. Moreover, we propose an efficient strong keyinsulated scheme, which is the most suitable for provider authentication in the bidirectional content distribution system. プロバイダー 視聴者 コンテンツ サーバー 受信端末 (デジタルTV) コンテンツ配信 個人情報リクエスト 個人情報管理 サーバー ネットワーク 個人情報送信 ICカード 検証鍵 署名鍵 1図 双方向コンテンツ配信モデル 1.まえがき 本稿では,署名鍵が漏えいした場合においても安全なプ 近年,デジタル放送とブロードバンド網の普及に伴い, ロバイダー認証が可能な双方向コンテンツ配信システムを インターネットを用いてハイビジョン番組などの高品質な 提案する。提案するシステムでは,プロバイダー認証に コンテンツを配信するサービスが実用化されている。一 Keyinsulated署名方式2)3)5)10)11)*2を採用 し た。Key 方,TVショッピングやクイズ番組などの双方向サービス insulated署名方式では,署名鍵を更新しても対応する検 では,視聴者は氏名,住所,電話番号などの個人情報を通 証鍵の更新は不要なので,上記のトレードオフを解決する 信ネットワーク経由でプロバイダーに送信する必要があ ことができ,視聴者は安心して個人情報をプロバイダーに る。ここでいうプロバイダーとは,既存の放送局や通信 送信できる。また,Keyinsulated署名方式よりも安全な ネットワークを用いて放送コンテンツを提供するサービス Strong keyinsulated署名方式で,従来よりも効率的な プロバイダーを想定している。個人情報を送信する際に 方式を提案する。双方向サービスでは,プロバイダーと膨 は,プロバイダーに成り済ました第三者に視聴者の個人情 大な数の視聴者との間で多数の署名付きメッセージがネッ 報が誤って送信されることを防止する必要があり,プロバ トワーク上を送受信されるので,署名の長さはできる限り イダー認証が重要な技術となる。現在の双方向サービスで 短い方が良い。提案方式の署名長は従来方式よりも短く, *1 は,SSL(Secure Socket Layer) を用いたサーバー認 証を行うことでプロバイダー認証を実現している。しか 通信コストを削減できる。最後に,提案する署名方式の性 能評価実験を行い,十分に実用的であることを示す。 し,プロバイダーにおける鍵漏えいの問題については考慮 されていない。 2.双方向コンテンツ配信モデル プロバイダー認証を実現するためには,一般にデジタル 双方向コンテンツ配信モデルを1図に示す。プロバイ 署名が用いられる。プロバイダーは署名を生成する際に必 ダーはコンテンツを配信するコンテンツサーバーと視聴者 要な署名鍵を保持する必要がある。また,署名鍵が第三者 の個人情報を管理する個人情報管理サーバーを持ち,視聴 に漏えいした場合のプロバイダーの成り済ましを防止する 者はコンテンツを受信する受信端末(デジタルTV)を ために,プロバイダーは署名鍵を安全に管理する必要があ 持っている。受信端末には,コンテンツの復号鍵が保存さ る。従って,鍵管理コストは非常に大きくなる。鍵管理コ れたICカードが挿入されており,通信ネットワーク経由 ストを小さくするために,署名鍵を頻繁に更新する方法も でプロバイダーから提供されるサービスを受信する。 あるが,従来のデジタル署名方式では,署名鍵を更新する 際に,対応する検証鍵も同時に更新しなければならない。 コンテンツサーバーは通信ネットワークの下り回線を用 いて,視聴者にコンテンツを配信する。コンテンツは著作 双方向サービスにおいては,プロバイダーは膨大な数の視 聴者と通信を行うので,検証鍵の再配布に必要なコストも 非常に大きくなる。従って,上記のトレードオフを解決す *1 インターネット上で情報を暗号化して送受信するプロトコル。プラ イバシーにかかわる情報やクレジットカード番号などを安全に送受 信することができる。 るプロバイダー認証システムが求められる。 *2 署名鍵が漏えいした場合においても安全なデジタル署名方式。 NHK技研 R&D/No.124/2010.11 45 報告 権を保護するために暗号化されている。視聴者はICカー タである証明書を発行し,検証鍵に証明書を添付すること ドを用いてコンテンツを復号し視聴する。双方向サービス でデジタル署名による安全な認証を実現している。しか を行うために,個人情報管理サーバーは個人情報リクエス し,双方向コンテンツ配信モデルのプロバイダー認証に トを視聴者に送信し,視聴者の受信端末は通信ネットワー PKIを用いた場合には,以下のような問題が生じる。デジ クの上り回線を利用して,要求された個人情報をプロバイ タル署名の検証を行う際,検証鍵に添付された証明書の正 ダーに送信する。送信された視聴者の個人情報は個人情報 当性(証明書発行者や署名アルゴリズム,検証鍵などの証 管理サーバーに保存される。 明書記載事項の確認およびCAが付加した署名の検証)を 視聴者が双方向サービスを受信する際には,プロバイ 確認する必要があるとともに,証明書失効リスト(CRL: ダーの成り済ましを防止するために,プロバイダー認証を Certificate Revocation List)の確認を行う必要がある。 行う必要がある。プロバイダー認証はデジタル署名方式を これらの処理を行うためにはシステムにかかる負荷が大き 用いることで実現できる。すなわち,個人情報管理サー い。また,双方向コンテンツ配信モデルで署名鍵を更新し バーが個人情報リクエストを視聴者に送信する際に,署名 た場合に,すべての視聴者の受信端末にある検証鍵を同時 鍵を用いてリクエストメッセージにプロバイダーの署名を に更新することはできないので,プロバイダーが提供する 付加する。視聴者の受信端末はリクエストを受信し,IC リアルタイムの双方向サービスに影響を及ぼすことにな カード内にある検証鍵を用いて署名の検証を行う。このよ る。 うな手順で個人情報リクエストの送信者を認証すること 3.3 ICカードを用いた場合の問題点 で,視聴者は安心して個人情報をプロバイダーに提供する ことができる。 PKIを用いないでプロバイダー認証を行う方法として, ICカードを用いる方法がある。視聴者はプロバイダーか 1図に示すモデルでは,ICカード内にあらかじめ保存 らあらかじめ配布された検証鍵の格納されたICカードを している検証鍵をプロバイダー認証に用いているので,現 用いてプロバイダー認証を行う。署名鍵を更新した場合に 行の放送システムへの導入は容易である。 は,プロバイダーは放送波を利用して検証鍵やCRLをカ ルーセル伝送1)*3 することもできるが,受信端末の電源 3.従来のプロバイダー認証の問題点 従来のプロバイダー認証の問題点を明らかにするととも ルの周期や期間などのパラメーター設定が難しい。署名鍵 に,双方向コンテンツ配信モデルに最適なプロバイダー認 の更新に伴ってICカードを再配布する方法もあるが,プ 証を実現するKeyinsulated署名方式について述べる。 ロバイダー・視聴者双方にとって利便性が悪い。 3.1 署名鍵の漏えい 3.4 双方向コンテンツ配信モデルに最適なプロバイ 双方向コンテンツ配信モデルにおいて,プロバイダーの ダー認証 署名鍵が漏えいした場合,署名鍵を入手した第三者がプロ プロバイダー認証には一般にデジタル署名方式が用いら バイダーに成り済まし,有効な署名が付加されたリクエス れ,3.1節∼3.3節で述べた問題点を解決するためには,署 トを視聴者に送信して個人情報を得ることになる。 名方式が安全であること以外に,以下の2つの要求条件 1図の署名鍵を保持している個人情報管理サーバーは 通信ネットワークに接続されているので,第三者が外部か らサーバーアタックを行い,署名鍵を不正に入手する可能 性がある。また,サーバー管理者による不正行為やケアレ を満たす必要がある。 ・プロバイダーは署名鍵漏えいによる被害を最小限にする ために,署名鍵を速やかに更新できること。 ・プロバイダーが署名鍵を更新しても,検証鍵やCRL スミス,コンピューターウイルスによる鍵漏えいの可能性 の伝送が不要であること。 もある。更に,サーバーそのものが盗まれる可能性も否定 上記の要求条件を満たすKeyinsulated署名方式は双方 できない。従って,プロバイダーは署名鍵を安全に管理す 向コンテンツ配信モデルに最適な署名方式である。 るとともに,鍵漏えいへの対策を行うことが重要である。 3.5 Keyinsulated署名方式の問題点 3.2 PKIを用いた場合の問題点 Keyinsulated署名方式を双方向コンテンツ配信モデル PKI(Public Key Infrastructure:公開鍵基盤)は公開 に適用し署名鍵を更新したとしても,古い署名鍵を不正に 鍵(検証鍵)と所有者の結び付きを保証する仕組みであ 利用される可能性がある。従って,Keyinsulated署名方 り,インターネット上で広く用いられている。検証鍵にIC 式の署名鍵に有効期限を持たせる必要がある。 カードを用いる代わりに,信頼できる認証機関(CA: Certificate Authority)が上記の結び付きを保証するデー 46 を入れるタイミングは視聴者ごとに異なるので,カルーセ NHK技研 R&D/No.124/2010.11 *3 データ放送において,ニュースや天気予報など,同じ情報を一定周 期で繰り返して送る伝送方式。 鍵生成 - マスター鍵 SK * - 検証鍵 PK - 初期署名鍵 SK 0 プロバイダー コンテンツ サーバー 視聴者 j, M) 〈 j, s〉 =SignSK( j 署名生成 ネット ワーク 受信端末 Gen 個人情報管理 サーバー 鍵管理サーバー 部分鍵生成 耐タンパーデバイス SK * ICカード PK SK’i, j=Upd( * i, j, SK *) 署名検証 b = VrfyPK(M,〈 j, s〉) 署名鍵更新 SKj=Upd(i, j, SK i , SK’i, j) 2図 提案する双方向コンテンツ配信システム ムSignを用いてMに対する時刻jの署名〈j,s〉= SignSK j 6) 4.提案システム (j,M)を生成し,Mと〈j,s〉を視聴者に送信する。 署名鍵が漏えいした場合においても安全にプロバイダー ⑤ プロバイダー認証:Vrfy 認証を行うことができる双方向コンテンツ配信システムを 視聴者の受信端末は,M, 〈j,s〉 ,PKおよびアルゴリズ 提案する。提案システムでは,プロバイダー認証にKey ムVrfyを用いて〈j,s〉の検証,すなわち,プロバイダー insulated署名方式を用いる。 〈j,s〉 )を行う。 認証b = VrfyPK(M, 4.1 データの処理と流れ ここで,bは1(検証成功)または0(検証失敗)の値を 署名鍵の更新は「鍵管理サーバー」と「個人情報管理 サーバー」の2つのサーバーを用いて行う。これらのサー バーは別の部屋で管理され,管理者を別の人に割り当て る。提案する双方向コンテンツ配信システムを2図に示 表す。 ⑥ 個人情報送信 受信端末はb = 1の場合に限り,個人情報を個人情報管 理サーバーに送信する。 す。Gen,Upd*,Upd,Sign,VrfyはKeyinsulated署 PKIで用いるRSA署名*5などの一般的なデジタル署名 名方式のアルゴリズム(鍵生成,部分鍵生成,署名鍵更 方式の流れと,提案システムで用いるKeyinsulated署名 新,署名生成,署名検証)である。データの流れを以下に 方式の流れを3図に示す。一般的なデジタル署名方式の 示す。 場合には,プロバイダーが署名鍵を更新する度に負荷の大 ①鍵生成:Gen きい鍵生成処理を実行しなければならない。一方,Key 鍵管理サーバーにおいて,マスター鍵SK*,検証鍵PK, insulated署名方式の場合には,鍵生成処理はシステムの *4 初期化の際に1回実行するだけである。すなわち,Key に保存する。プロバイダーはPKが格納されたICカードを insulated署名方式の場合には3.2節や3.3節で述べた負荷 各視聴者に配布する。視聴者はICカードを受信端末に挿 の大きい処理が不要である。 入する。 4.2 Keyinsulated署名方式の運用 初期署名鍵SK0を生成する。SK*は耐タンパーデバイス ②部分鍵生成:Upd* 3.5節で述べた問題点を解決するために,以下のような プロバイダーにおいて,時刻iで有効な署名鍵SKiを時刻 運用を行う。プロバイダーは署名鍵を1日1回定期的に jで有効な署名鍵SKjに更新する場合,鍵管理サーバーはi, 更新し,リクエストメッセージにその日の署名が付いてい j,SK*およびアルゴリズムUpd*を用いて部分鍵SK’i,j = ない場合には視聴者の受信端末で排除する。このように署 Upd*(i,j,SK*)を生成する。鍵管理サーバーはSK’i,j 名鍵に有効期限を設定することで,期限切れの署名鍵を第 を個人情報管理サーバーに送信する。 三者が入手しても,有効なリクエストを視聴者に送信する ③署名鍵更新:Upd ことはできない。 個人情報管理サーバーはSK’i,j,i,jと更新前の署名鍵SKi およびアルゴリズムUpdを用いて署名鍵SKj = Upd(i,j, SKi,SK’i,j)を更新する。 ④署名付き個人情報リクエスト:Sign 個人情報管理サーバーは個人情報リクエストMを視聴者 の受信端末に送信する。この際,j,SKjおよびアルゴリズ *4 物理的あるいは論理的に内部の情報を読み取られないような工夫が 施されたデバイス。鍵データなど,機密性の高い情報を格納するた めに用いられる。 *5 桁数が大きい合成数(1と素数以外の自然数)の素因数分解が困難 であることを安全性の根拠としたデジタル署名方式。現在,インター ネット上で広く用いられている。RSAは3人の発明者の頭文字をつ なげたもの。 NHK技研 R&D/No.124/2010.11 47 報告 一般的なデジタル署名方式 (RSA署名など) Key-insulated署名方式 鍵生成 Gen 鍵生成 Gen 部分鍵生成 Upd* 署名生成 Sign 署名鍵更新 Upd 署名検証 Vrfy 署名生成 Sign 署名鍵更新 署名検証 Vrfy 負荷の大きい処理 3図 一般的なデジタル署名方式とKeyinsulated署名方式の流れ 4.3 提案システムの特徴 1表 提案システムと従来システムの比較 提案システムは,双方向サービスのリアルタイム性を失 提案システム PKI ICカード うことなく,プロバイダーの署名鍵漏えいによる被害を最 視聴者の利便性 ○ × × 小限にとどめることができる。提案システムの特徴を以下 リアルタイム性 ○ × × にまとめる。 鍵漏えい被害の最小化 ◎ ○ ○ ・視聴者の利便性 サーバーに対する攻撃耐性 ◎ ○ ○ Keyinsulated署名方式は検証鍵の更新が不要なので, 視聴者へのICカードの再配布も不要であり,視聴者の利 便性を損なうことなく署名鍵の更新ができる。 ・リアルタイム性 プロバイダーは署名鍵の更新の際に視聴者への通知を行 う必要がなく,リアルタイムの双方向サービスであって 7) 8) 5.提案するKeyinsulated署名方式 4章で提案した双方向コンテンツ配信システムに適し たKeyinsulated署名方式を提案する。 5.1 具体的な構成法 提案するKeyinsulated署名方式のアルゴリズムを数式 も,更新された署名鍵ですぐに利用できる。 を用いて記述すると,以下のようになる。 ・鍵漏えい被害の最小化 ・鍵生成アルゴリズム:Gen 署名鍵の有効期限を設定できるので,鍵漏えいの被害を Gqを素数位数*6qの巡回群*7とする。生成元*8gをGq 有効期間内にとどめることができる。 からランダムに選ぶ。次に,x,x をZq(0からq −1まで ・サーバーに対する攻撃耐性 の整数の集合)からランダムに選び,マスター鍵x0 =x 部分鍵と過去の署名鍵の両方を入手しないと署名鍵の更 −x を耐タンパーデバイス内に管理し,x を署名者が管理 新ができない。提案システムで署名鍵の更新を行うために す る。そ し て,y0=gx ,y =gx を 求 め,検 証 鍵PK= は2つのサーバーを管理している2人の管理者の管理者 ,H(· , · , · , ·) 〉を公開する。ここで, 〈q, g, y0, y’, G(· , ·) 権限が必要であり,サーバーに対する攻撃耐性が強化され G,Hは任意の長さのデータを固定長のデータに圧縮する ている。 ハッシュ関数*9である。Gは2つのデータを入力し,固 0 提案システムと従来の一般的なデジタル署名方式による システム(3.2節で述べたPKI方式および3.3節で述べたIC *6 集合Gqの要素の数を位数といい,位数が素数qであること。 カード方式)の比較を1表に示す。提案システムは従来 *7 集合Gqの要素gに対して,楕円曲線上で定義されている掛け算を用 いてgを複数回掛けた値が元の要素gに戻るような集合(群) 。 だえん システムよりも効果的であることがわかる。 48 NHK技研 R&D/No.124/2010.11 *8 元の要素gに戻るまでの掛け算の回数が集合Gqの要素の数よりも1 つだけ少ない場合のgを生成元という。 2表 提案方式と従来のStrong keyinsulated 署名方式の比較 をベースにしたStrong keyinsulated署名方式2)である。 また,計算量は計算時間が最も長いべき乗剰余演算におけ CB方式 GQ方式 提案方式 る乗算の回数を示した。提案方式の署名長は従来方式の署 検証鍵長(bits) 320 1,024 160 名長の約2/5の長さであり,通信ネットワーク上を膨大 署名長(bits) 1,120 1,184 480 署名生成の計算量 (乗算の回数) 720 1,776 240 署名検証の計算量 (乗算の回数) 1,440 1,776 720 安全性の仮定 DL RSA DL な数の署名付きデータが送受信される双方向サービスに適 した署名方式である。また,検証鍵のサイズも従来方式よ り短く,メモリー容量の少ないICカードに検証鍵を保存 することができる。更に,署名生成および署名検証に要す る計算量も従来方式と比較して少ない。プロバイダーの サーバーでは,膨大な数の視聴者に対して署名生成を行う 定長のデータ(ハッシュ値)を出力する。Hは4つのデー 必要があるが,提案方式における署名生成の計算量は少な タを入力し,固定長のデータ(ハッシュ値)を出力する。 いので,サーバーへの負荷は小さい。また,デジタルTV ・部分鍵生成アルゴリズム:Upd* など,PCと比較して性能の低い受信端末を用いて署名検 耐タンパーデバイス内において,乱数r1をZq からランダ r1 証を行う必要があるが,提案方式における署名検証の計算 ムに選び,v1 = g を求める。次に,時刻情報Tを用いてc1 量は少ないので,受信端末への負荷は小さい。従って,プ = G(v1,T)を求め,更に,マスター鍵x0を用いて部分鍵 ロバイダー認証によるシステム全体への負荷は小さい。 x1 =(c1r1+x0)mod qを求め,x1,v1,Tを署名者に送る。 ・鍵更新アルゴリズム:Upd なお,提案方式は離散対数問題(q,g,gx mod qが与え られたときのxを求める問題)が困難であるというDL仮定 x1 c1 1 0 署名者はc1 = G(v1,T)を求め,g = v y が成り立つ (Discrete Logarithm Assumption)の下で安全性が証明 かどうかを検証する。部分鍵の検証に成功した場合には, 可能である。 x を用いて時刻Tの署名鍵SKT =(x1+x )mod qを求める。 5.3 性能評価実験 提案したStrong keyinsulated署名方式を双方向コン ・署名生成アルゴリズム:Sign vs = gr を求め 署名者は, 乱数rsをZq からランダムに選び, テンツ配信システムに実装し,性能評価実験を行った。 る。次に,メッセージmと署名生成時刻Tを用いてcs = PC 3台を用いて2図の双方向コンテンツ配信システムを ,σs =(csrs+SKT )mod qを 求 め,m H(v1,vs,T,m) 構築し,5.1節で述べたアルゴリズムをC++言語を用いて と〈σs ,cs ,v1〉とTを検証者に送る。 実装した。システム諸元を3表に示す。試作システムを ・署名検証アルゴリズム:Vrfy 用いて各アルゴリズムの処理時間を測定し,効率性の検証 s 検証者はc1 = G(v1,T)を求め, −1 1/c (gσ (v1c y0y’) ) ,T,m) cs = H(v1, s 1 s を行った。 実験結果を4表に示す。表の1列 目 はStrong Key Insulated署名方式のアルゴリズムを,2列目は各アルゴ が成り立つかどうかを検証する。検証に成功した場合は リズムを実行するエンティティー*10を,3列目は各アル b = 1,失敗した場合はb = 0を出力する。 ゴリズムの処理時間を表す。4表に示すように,Genと 5.2 提案方式の特徴 Upd* は 鍵 管 理 サ ー バ ー(KMS:Key Management 提案方式は署名鍵の漏えいに対してだけではなく,マス タ ー 鍵 の 漏 え い に 対 し て も 対 処 で き るStrong key 2) Server)で,UpdとSignは 個 人 情 報 管 理 サ ー バ ー (PIMS: Personal Information Management Server) insulated署名 と呼ばれる方式である。従って,双方向コ で,Vrfyは受信端末(UT:User Terminal)でそれぞれ ンテンツ配信システムにおいて,安全性の高いプロバイ 実行される。プロバイダーの検証鍵はUTに挿入されてい ダー認証が実現できる。 るICカードに格納されるが,Vrfyは(ICカードではなく) 提案したStrong keyinsulated署名方式は,署名や検 UTの内部で実行される。なお,Upd*UpdはKMSにおけ 証鍵のサイズが小さく,署名生成(Sign)と署名検証 るUpd*からPIMSにおけるUpdまでの一連の(サーバー間 (Vrfy)に要する計算量の少ない効率的な方式である。従 通信を含む)鍵更新処理を表す。また,処理時間は各アル 来のStrong keyinsulated署名方式との性能比較を行っ た結果を2表に示す。2表のCB方式は既存のSchnorr 9) 署名 を用いた証明書ベースのStrong keyinsulated署名 方式であり,GQ方式は既存のGuillouQuisquater署名4) *9 ハッシュ関数によって得られる値をハッシュ値という。元のデータ が異なればハッシュ値はほぼ100%異なる。また,ハッシュ値から 元のデータを求めることはほぼ不可能である。 *10 各アルゴリズムを実行するサーバーや端末のこと。 NHK技研 R&D/No.124/2010.11 49 報告 4表 実験結果 3表 システム諸元 鍵管理サーバー(KMS) アルゴリズム エンティティー 処理時間(ms) CPU Intel Core2 Duo(E4400) 2.00GHz Gen KMS 2,183.5 メモリー 512MB Upd* KMS 3.8 OS Windows XP SP2 個人情報管理サーバー(PIMS) Upd PIMS Upd*Upd KMS, PIMS CPU Intel Core2 Duo(E4400) 2.00GHz Sign PIMS メモリー 512MB Vrfy UT OS Windows XP SP2 受信端末(UT) CPU Intel Pentium 4 2.80GHz メモリー 512MB OS Windows XP SP2 7.5 218.4 3.5 15.5 6.むすび 署名鍵が漏えいした場合においても安全なプロバイダー 認証が可能な双方向コンテンツ配信システムを提案した。 また,双方向コンテンツ配信システムに最適な署名方式と ゴリズムを1,000回実行した場合の平均値である。KMS して,Keyinsulated署名方式よりも安全なStrong key PIMS間およびPIMSUT間のネットワークはTCP/IP insulated署名方式で,従来よりも効率的な方式を提案し で接続する。 た。提案したStrong keyinsulated署名方式を双方向コ 実験の結果,Genの処理時間が2,183.5(ms)と長いこ ンテンツ配信システムに適用することで,視聴者は個人情 とがわかった。しかし,Genが実行されるのはシステムの 報をプロバイダーに安心して提供することができる。シス 初期化のときだけであり,システムに与える影響は小さ テム実装による性能評価実験を行い,提案したStrong い。署名鍵更新の際にKMSとPIMSで実行されるUpd* keyinsulated署名方式が十分に実用的であることを示し およびUpdの処理時間はそれぞれ3.8(ms)お よ び7.5 た。 (ms) ,個人情報リクエスト送信の際にPIMSで実行される Signの処理時間は3.5(ms)であり,プロバイダーのサー バーにおける処理は短時間で実行可能である。また, 7.謝辞 KMSとPIMSのサーバー間通信を含めた署名鍵更新Upd* 本研究の共同研究者である独立行政法人産業技術総合研 Updの処理時間は218.4(ms)である。4.2節で述べたよ 究所情報セキュリティ研究センターの花岡悟一郎主任研究 うに,提案システムではプロバイダーの署名鍵更新の頻度 員に感謝する。 は1日1回であり,Upd*Updの処理も1日に1回だけ 実行されるので,システムに与える影響は小さい。一方, 個人情報リクエスト受信の際にUTで実行されるVrfyの処 論文を元に加筆・修正したものである。 理時間は15.5(ms)であるが,UTがPCの1/10の性能し G. Ohtake, G. Hanaoka and K. Ogawa :“ Efficient かないデジタルTVだと仮定しても,Vrfyの処理時間は約 Provider 150(ms)であり,実用上の問題はない。すなわち,5.1 Broadcasting Service,”IEICE Trans. Fundamentals, 節で提案したStrong keyinsulated署名方式は十分に実 Vol.E93A, No.6, pp. 10391051(2010) 用的である。 50 本稿は電子情報通信学会英文論文誌に掲載された以下の NHK技研 R&D/No.124/2010.11 Authentication for Bidirectional 参考文献 1) 電波産業会: “デジタル放送におけるデータ放送符号化方式と伝送方式(5.4版) , ”ARIB STDB24 (2009) 2) Y. Dodis, J. Katz, S. Xu and M. Yung: “Strong KeyInsulated Signature Schemes, ”Proc. PKC 03, pp. 130144(2003) 3) N. GonzalezDeleito, O. Markowitch and E. Dall Olio:“A New KeyInsulated Signature Scheme,” Proc. ICICS 04, pp. 465479(2004) 4) L. C. Guillou and J. J. Quisquater :“ A practical zero knowledge protocol fitted to security microprocessor minimizing both transmission and memory, ”Proc. Eurocrypt 88, pp.123128(1988) 5) Z. Le, Y. Ouyang, J. Ford and F. Makedon: “A Hierarchical KeyInsulated Signature Scheme in the CA Trust Model, ”Proc. ISC 04, pp. 280291(2004) 6) G. Ohtake, G. Hanaoka and K. Ogawa, “Provider Authentication for Bidirectional Broadcasting Service with Fixed Verification Key, ”Proc. ISITA 06, pp.155160(2006) 7) G. Ohtake, G. Hanaoka and K. Ogawa: “An Efficient Strong KeyInsulated Signature Scheme and Its Application, ”Proc. EUROPKI 08, pp.150165(2008) 8) 大竹,花岡,小川: “双方向放送サービスのための効率的なプロバイダ認証, ”第7回情報科学技術フォーラ ム(FIT2008) ,L006, pp.99100(2008) 9) C. P. Schnorr: “Efficient signature generation for smart cards, ”Proc. Crypto 89, pp.239252(1990) 10)J. Weng, S. Liu, K. Chen and X. Li:“IdentityBased KeyInsulated Signature with Secure Key Updates, ”Proc. Inscrypt 06, pp.1326(2006) 11)Y. Zhou, Z. Cao and Z. Chai: “Identity Based Key Insulated Signature, ”Proc. ISPEC 06, pp. 226234 (2006) おおたけ ごう おがわかずと 大竹 剛 小川一人 2001年入局。放送技術研究所にて,電子透か しなどの著作権保護用画像処理,デジタル署 名,暗号プロトコルの研究・開発に従事。現 在,放送技術研究所次世代プラットフォーム 研究部に所属。博士(情報学) 。 1987年入局。甲府放送局を経て,1991年か ら放送技術研究所にて,暗号の研究・開発に 従事。現在,放送技術研究所次世代プラット フォーム研究部副部長。博士(情報理工学) 。 NHK技研 R&D/No.124/2010.11 51