Time Capsule Encryption

タイムカプセル暗号とは, 暗号化されたコンテンツを受け取った人(復号する人)が, 指定された時刻になって, 署名つき時報を受け取ることで復号できる暗号化方式です.
コンテンツを暗号化した人は, 自分が決めた復号してよい時刻まで暗号化鍵を管理せずにすむのが最大の特長です. また, 暗号化をする人と復号する人との間で鍵をやりとりする必要もありません.

Windows Xp, Pentium 4用クライアントソフトを公開します.

tc-bin.20070902.zip [binary for Windows download]
tc-src.20070902.zip [source for Windows/Linux download]

2006/5/30 Norton AntiVirusでエラーになるのを修正
2006/6/10 公開鍵のフォーマット変更
2007/9/2 Visual C++ 2005 Express Edition(VC8)対応

エンジンの一部であるペアリングライブラリは 「平成15年度未踏ソフトウェア創造事業」 における成果物を利用しています. ソースは修正BSDライセンスです. 詳細はreadme.txtを参照してください.

登場人物は次の三人です:

• 時報局(Signaler)
  電子署名データ確認用の鍵(検証鍵)をあらかじめ公開しておく.
  随時時報に電子署名データをつけて配布する.
  
• 暗号化する人(Encoder) --- 複数可
  指定時刻を選び, 乱数(暗号化鍵)を生成してコンテンツを暗号化する.
  コンテンツを暗号化した後は, 暗号化鍵を誰にも知らせることなく破棄してよい.
  
• 復号する人(Decoder) --- 複数可
  暗号化コンテンツを受けた人は, 指定された時刻の正式な時報を受けて復号できる.

次の特長を持っています:

• Signalerは署名つき時報を放送する以外何もする必要がない.
• Encoderは暗号化鍵を管理する必要がない.
• だれもがEncoderになることができ, 自由に復号時刻や暗号化鍵を決めることができる.
• Decoderは署名つき時報のみで復号できる.

イメージ図です:

詳細は 「タイムカプセル暗号って何?」や初公開時のpdfファイルを参照してください.

サンプルアプリは上記ソースをコンパイルすると得られます.
使い方:

• 準備 : サーバ用のマシンとクライアント用(2台)の計3台のマシンを用意する(1台でも代用可). ポート番号80を利用するのでファイアウォールの設定で空けておくこと.
• サーバ用マシン上ですること:
  Signalerを起動する.

  > ts_tool -s -init "乱数のための文字列"
  

  これにより，Signalerは秘密鍵, 公開鍵のペアを作成して クライアントからの鍵要求待ち状態に移行する. 本来なら放送したいがそれはできないのでこうなっている.
• クライアント用のマシン1(Encoder)上ですること:
  
  • 公開鍵を取得する:

    > ts_tool -e -init "サーバのip address"
    

    これにより, カレントディレクトリにtimecapsule.pubという 公開鍵ファイルが生成される.
  • 暗号化を行う:

    > ts_tool -e -f "ファイル名" -t 復号許可時刻 -s 乱数
    

    これにより, "ファイル名"を暗号化した"ファイル名.tce"というファイルが生成される. 復号可能時刻にはYYYYMMDDhhmmssの形の秒単位の時刻を指定すること.
    

        YYYY:西暦4桁
        MM:月(01〜12)
        DD:日(01〜31)
        hh:24時間(00〜23)
        mm:分(00〜59)
        ss:秒(00〜59)
    

• クライアント用のマシン2(Decoder)上ですること:
  上記"ファイル名.tce"を適当な方法で取得する.
  復号可能時刻になったら署名つき時報を受け取り復号する.

  > ts_tool -d -f "ファイル名.mts" -a "サーバのip address"
  

  これにより, "ファイル名.mts.dec"という"ファイル名"と同一のファイルが生成される. Encoderが指定した復号可能時刻よりも前にこのコマンドを実行しても失敗する.

以下のやり方はタイムカプセル暗号の実装の一つです[2006/6/10:内容を実装に合わせました].
詳細は吉田真紀さんが電子情報通信学会研究会ISEC(12月)やICISC2005などで発表されたものを参照してください.

(G₁, ＋), (G₂, ×) をそれぞれ離散対数問題が困難な群とし,

e : G₁ × G₁ → G₂

をペアリング写像 (e(nP, Q) = e(P, nQ) が成り立つ) とします.

• Signalerは自然数 x を秘密鍵とし, P ∈ G₁ を選んで

  (P, xP)

  を公開鍵として公開します.
  現在時刻 t に対して (t, 1/(x + t)P) を正式な時報として毎秒発行します.
  署名が正式であるか否かは

  e(1/(x + t)P, xP + tP) = e(P, P)

  の成立をもって確認できます.
• Encoderは勝手な自然数 r と時刻 t₀ を選び,

  s = e(rP, P)

  を計算し, これをコンテンツの暗号化鍵(セッション鍵)として暗号化します. 暗号化されたコンテンツには

  (t₀, r(t₀ + x)P)

  をヘッダとして付加しておきます.
• Decoderは時刻 t₀ になると正式な時報につけられた署名データ 1/(x+t₀)P を取得し,

  (r(t₀ + x)P, 1/(x + t₀)P) = s

  を計算しコンテンツを復号します.

G₁ として E[m], G₂ として F_p² を利用しました. ただし, それぞれのパラメータは

p+1 = 2^512 - 2^384 + 2^160 - 2^128 - 2^64
    = m × 2 ^ 64 × 4083347321136877
      × 626211632945787132711495483863 
      × 296090721933842419838212125193885104528533

m = 960010107982557278263008018855396039340009821353
    (about 160bits)

を意味します. 楕円曲線は, 座標系, およびdistorsion写像としては

E : y^2 = 4x^3 - 12x
Jacobi coordinate x = X/Z^2, y = Y/Z^3
e : E[m] × E[m] → F_(p^2)

distorsion map E[m] : (x, y) → (-x, iy) 
                                          (i^2 = -1)

を利用しました.
コンテンツ自体の暗号化にはRijndael暗号を利用しています. ソースファイルはVincent Rijmenさんたちのものを利用しています. 彼らに感謝します.