放送におけるセキュリティ技術isec/event/isec060326/isec...4.1...
TRANSCRIPT
放送におけるセキュリティ技術
2006.03.26小川 一人
NHK 放送技術研究所 ネットワークシステム〒157-8510 東京都世田谷区砧1-10-11
E-mail : [email protected]
1.はじめに~ デジタル放送の歴史 ~
2000 2001 2002 2003 2004
イベントソルトレイクオリンピック
日本-韓国World Cup
アテネオリンピック
ドイツWorld Cup
北京オリンピック
デジタル放送
12.1BS
デジタル
12.1地上
デジタル
サーバー型放送
2005 2006 2007 2008 … 2011
7.24アナログ放送終了
トリノオリンピック
4.1ワンセグサービス
- 2 -
1.はじめに~ 放送をとりまく状況 ~
• PCの普及、インターネットの普及
• DVD,USBメモリなど蓄積デバイスの低価格、
高密度化
• コンテンツ流通が容易となる
-> 意図しない流通も増加
-> 適切なセキュリティ技術に対する要望大
- 3 -
2.現行放送用DRM方式
• ARIB STD B25 [ARIBB25]
- 4 -
2.1 現行DRM方式~ARIB STD B25~
CAS card
Scramble
Ks
Kw
Enc
Km
Multiplex
Dec
De-scramble
Ks
Kw
Enc: 暗号化 Dec: 復号化: コンテンツの流れ: データの流れ: 出力制御
Contract
Verification
放送事業者 視聴者受信機 (STB)
Enc
De-M
ultiplex
Dec
Km
DTCP
contract
デジ
タル
出力
- 5 -
2.1 現行DRM方式~CAS カードの配布~
DTCP機能のある受信機CAS card
DTCP機能のない受信機
CASカード配布可能
CASカード配布不可能
- 6 -
2.1 現行DRM方式~Block Diagram~
CAS card
Scramble
Ks Enc
Km
Multiplex
Dec
De-scramble
Ks
Kw
Contract
Verification
放送事業者 視聴者受信機 (STB)
Enc
De-M
ultiplex
Dec
Km
DTCP
Digital
Output
Kwcontract
Enc: 暗号化 Dec: 復号化: コンテンツの流れ: データの流れ: 出力制御
- 7 -
2.2 サーバー型放送用DRM方式
new CAS card
蓄積装置
Scramble
Ks
KmM
ultiplex
De-scramble
Ks
Kw
KcRMPI
Kw
Dec
Dec
Dec
Km’
KcRMPI
EncEnc
Enc
EncD
e-multiplex
Km
Dec
Enc Dec
Sel
放送事業者 視聴者受信機 (STB)
Enc: 暗号化 Dec: 復号化 Sel:選択
: コンテンツの流れ: データの流れ: 出力制御
- 8 -
2.2 サーバー型放送用DRM方式
new CAS card
Scramble
Ks
KmM
ultiplex
De-scramble
Ks
KwKw
DecEnc
EncD
e-multiplex
Km
Dec
Sel
放送事業者 視聴者受信機 (STB)
Enc: 暗号化 Dec: 復号化 Sel:選択
: コンテンツの流れ: データの流れ: 出力制御
- 9 -
2.2 サーバー型放送用DRM方式
new CAS card
蓄積装置
Scramble
Ks
KmM
ultiplex
De-scramble
Ks
Kw
KcRMPI
Kw
Dec
Dec
Dec
Km’
KcRMPI
EncEnc
Enc
EncD
e-multiplex
Km
Dec
Enc Dec
Sel
放送事業者 視聴者受信機 (STB)
Enc: 暗号化 Dec: 復号化 Sel:選択
: コンテンツの流れ: データの流れ: 出力制御
- 10 -
2.2 サーバー型放送用DRM方式
検討事項
• インターネットを経由したコンテンツ(メタデータを含む)配信
• 蓄積されるコンテンツの取り扱い方法
• ドメインの概念の導入
– ドメイン内でコンテンツは自由に流通できる
- 11 -
3. サーバー型放送に関する
研究トピックス
• サーバー型放送用:
メタデータを用いたサービス
- 12 -
3. メタデータを用いたサービス~ ハイライト視聴 ~
Time: 19:30 19:38 19:44 19:58 20:03 20:15
20:30 20:44 20:51 21:05 21:07 21:08 21:18 メタデータファイル
ゴールシーンメタ
Time Duration
19:44 3’00
20:15 1’30
20:51 2’45
プログラム再構成
Time: 119:44 9:44 -- 19:4719:4720:15 20:15 –– 20:1620:16
20:51 20:51 –– 20:5420:54
- 13 -
3. メタデータを用いたサービス~ 新たな問題 ~
• 視聴者が自由に、簡単にメタデータを作ることが可能(勝手メタデータ)
• コンテンツ提供者(放送事業者)が意図した意味とはことなるコンテンツに変更してしまうことが可能
• コンテンツに対するアクセス制御(再生、蓄積、編集に対する)が必要
- 14 -
3. メタデータを用いたサービス~メタデータ・コンテンツ保護方式[NBINY04] ~
メタデータ
署名
コンテンツ
署名
検証
証明書・メタデータ
発行者 ID : A
CAS card
コンテンツ鍵
・コンテンツ使用許可メタデータ
発行者ID:A
ライセンス
コンテンツ鍵・コンテンツ使用許可メタデータ
発行者ID:A
ライセンス
メタデータファイル
放送事業者 視聴者受信機 (STB)
- 15 -
4.将来の放送のための研究トピックス
4.1 双方向放送用セキュリティ
4.2 不正ユーザ特定方式
4.3 電子透かし
4.4 インターネット放送用セキュリティ
4.5 その他(インターネット配信)
- 16 -
4.1 双方向放送用セキュリティ~ 配信モデル ~
CASカード
受信端末(デジタルTV)
コンテンツサーバ
個人情報管理サーバ
コンテンツ配信
個人情報送信
個人情報リクエスト
ネットワーク
放送局 視聴者
プロバイダ認証放送局署名鍵
放送局検証鍵
- 17 -
4.1 双方向放送用セキュリティ~ プロバイダ認証における課題 ~
個人情報管理サーバ ネットワーク
放送局
署名鍵
サーバ管理者以外の不正行為
サーバ管理者の不正行為
サーバ自体の盗難
第三者によるサーバアタック
更新が必要更新が必要 !!!!
- 18 -
4.1 双方向放送用セキュリティ~ プロバイダの鍵漏洩を考慮 [OHO06] ~
コンテンツ配信
個人情報送信
個人情報リクエスト
ネットワーク
マスター鍵mst検証鍵VK
初期署名鍵SK0生成
放送局 視聴者
署名鍵更新
SKt = SKt-1 + ⊿SKt
署名生成 σ = Sig (SKt , m, t)
コンテンツサーバ
個人情報管理サーバ
鍵管理サーバ
耐タンパ領域
mst
⊿SKt = f (mst, VK, t)
部分鍵生成
CASカードVK
{True/False}= Ver (VK, m, σ, t)
署名検証
専用回線
受信端末
- 19 -
4.1 双方向放送用セキュリティ~ 研究方向性 ~
• 認証:プロバイダ、ユーザの認証
• 個人情報保護:取得したデータの保護
– 運用コスト:サーバーの運用管理にかかるコストは低いこと
– 計算コスト:短時間の処理
– ユーザビリティ:ユーザの利便性を損なわない
- 20 -
4.2 不正ユーザ特定方式
• Chor,Fiat,Naor方式 [CFN94,CFNP00]• 代数(離散対数など)ベース
– Kurosawa方式 [KD98,KY02]– Matsushita方式 [MI04]
• Pairingベース
– Boneh-Sahai-Waters方式 [BSW06]
• 研究方向性
- 21 -
4.2 不正ユーザ特定方式~ Tracing Traitor [CFN94,CFNP00] ~
• コンテンツプロバイダー鍵集合を作る
• ユーザは鍵の部分集合を受け取る
• 鍵の組み合わせを見て、誰が結託したかを判断
1,1 1,2 1, 1,,1 ,2 , ,k nu u u k u nSK SK SK SK⎡ ⎤⎣ ⎦
1,1 1,2 1,
2,1 2,2 2,
,1 ,2 ,
n
n
l l l n
SK SK SKSK SK SK
SK SK SK
⎡ ⎤⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎣ ⎦
2,1 2,2 2, 2,,1 ,2 , ,k nu u u k u nSK SK SK SK
- 22 -
秘密鍵集合
⎡ ⎤⎣ ⎦
IDに応じた選択
U1用秘密鍵束
U2用秘密鍵束・・・
,1 ,2 , ,,1 ,2 , ,N N Nk Nnu u u k u nSK SK SK SK⎡ ⎤⎣ ⎦
4.2 不正ユーザ特定方式~ Tracing Traitor [CFN94,CFNP00] ~
問題点
• ヘッダーサイズが大きい
– ユーザ数(鍵数)に比例してヘッダーサイズが大きくなる
• ユーザの所有する秘密鍵サイズが大きい
- 23 -
4.2 不正ユーザ特定方式~ Kurosawa-Desmedt方式 [KD98,KY02] ~
• 多項式を利用して各ユーザのユニークな秘密鍵を生成
• 多項式の係数を用いて公開鍵を形成
• 公開鍵を用いて効率的に平文を暗号化し、一斉配信する
• 秘密鍵のユニーク性により、不正ユーザの特定を行う
- 24 -
秘密多項式秘密多項式:: f(xf(x)=)=ΣΣaaiixxii
公開鍵公開鍵:: (g,p,ga0,ga1,・・・,gan)
ユーザユーザ11f(f(IDID11))
ユーザユーザ22f(f(IDID22))
ユーザユーザ33f(f(IDID33))
ユーザユーザ44f(f(IDID44))
NHK
4.2 不正ユーザ特定方式~ Kurosawa-Desmedt方式 [KD98,KY02] ~
利点
• ユーザの所有する秘密鍵サイズは O(1)• ユーザ数によらずヘッダーサイズは一定
- 25 -
4.2 不正ユーザ特定方式~ Matsushita方式 [MI04] ~
• ユーザを部分集合に分割
• 部分集合毎に異なるヘッダー情報を用いて復号– [KD98]の多項式を改良
– 個人、グループをリボークするためにヘッダーを改良
この場合 のユーザがリボークされる
• ブラックボックス特定機能も付加
0 0 2 1 2 1
2 10 1 2 1( )
( , , , , , )j j j j j k k j
j kj j k
r c a r c b r c a r
f x a a x b x a x
Header g g sg g − −
−−
+ + +
= + + + +
=
2 1
00
ki
ii
c uα−
=
- 26 -
≠∑
4.2 不正ユーザ特定方式~ Pairing ベース ~
• [MSK02]:Pairingを用いた初めての不正ユーザ特定方式
• [TSZ03]:[MSK02]を改善した方式
• [CPP05]:[TSZ03]をさらに改善
• [BSW06]:ユーザn人の結託耐性を持つ方式として提案された
注 [KD98][KY02][MI04][MSK02][TSZ03][CPP05]は結託人数に制限あり
- 27 -
4.2 不正ユーザ特定方式~ Boneh-Sahai-Waters方式[BSW06] ~
• Pairingを使用
• 結託者数の制限はなし(n)
- 28 -
i 行
j 列
• 各ユーザにインデックス(i,j)を付与:i,jはユーザが属する行、列を示す• (i,j)に応じた個別鍵(Ki,j)を持ち、(i,j)に応じた暗号文の復号
,
,
:
: , , ,
: ,
( , ): ( , ) ( , )
i j
i i i i
j j
i i i
i j i i j
K
R R A B
C C
B e R CMe K A e R C
=
個別鍵(i,jにより定まる)
暗号化(行と列に分けてヘッダーを作成)
i行用
j列用
復号 ユーザインデックス
ユーザ(i,j)
4.2 不正ユーザ特定方式~ 研究方向性 ~
• 効率性の追求– ヘッダーサイズ
– 計算コスト
– 秘密鍵サイズ
– 公開鍵サイズ
– 結託ユーザ数等の条件の排除
• 機能性の追及– ブラックボックス特定機能
– リボーク機能
4.2 不正ユーザ特定方式~ 放送サービスの拡張 ~
Outside(Hotel)
Home
鍵を持ち歩くことができない
satellite
放送事業者
サービスを受けられない
- 30 -
CASカードから鍵をとり出せない
現状
4.2 不正ユーザ特定方式~ 放送サービスの拡張 [OHI05] ~
Outside(Hotel)
Home
一時的な鍵を持ち歩く
satellite
放送事業者
更新 一時鍵化
マスター鍵はCASカード内に保持
マスター鍵か
ら生成
サービス享受可能
- 31 -
•不正ユーザ特定方式[KD98]と鍵漏洩に耐性のある公開鍵方式[DKXY02]の特徴を合成•秘密鍵を持ち歩き可能なサービスを実現
4.3 電子透かし
• 著作権保護方式
• フィンガープリント方式
• 埋め込み符号関連研究– C-secureコード[BS95,BS98]– Tardos符号[Ta03]
• 研究方向性
- 32 -
4.3 電子透かし~ 著作権保護 ~
• コンテンツに著作権情報(例えば、コンテンツプロバイダID)を埋め込む• 効果:違法流通の際に著作権の主張を行う
- 33 -
配信
原コンテンツ 電子透かし入りコンテンツ
放送局ID著作権情報
不可視電子透かし埋め込み
コンテンツプロバイダ ユーザ
視聴可能
コピー抑制効果
4.3 電子透かし~ フィンガープリント ~
• コンテンツにユーザ識別子を埋め込む• 効果:違法流通の際に違法流通者特定に使用
- 34 -
0 1 0 0 1・・・
ユーザーID01001・・・
埋め込み
原画像フィンガープリント
埋め込み画像
0:埋め込み画像
1:埋め込み画像
4.3 電子透かし~ フィンガープリント ~
• ユーザ結託攻撃を考慮する
- 35 -
結託
ユーザA01001・・・
違法流通
違法流通者(A,B) を
結託符号から特定したい
ユーザB00011・・・
結託符号00001・・・
4.3 電子透かし~符号関連研究:C-secure符号[BS95,BS98]~
• 結託符号の重み(符号内の1の数)から結託者を判定
• 同じ値をd回の繰り返し:dは結託者数cと全ユーザ数nとセキュリティパラメータεにより定める
- 36 -
1
21 3 1 2 3 1 2 3
3
4
: 1 1 1 1 1 1 1 1 1 1 1 1: 0 0 0 1 1 1 1 1 1 1 1 1
, 1 1 1 1 1 1: 0 0 0 0 0 0 1 1 1 1 1 1: 0 0 0 0 0 0 0 0 0 1 1 1
UU
U U a a a b b bUU
→ →が 結 託
前提:ビット位置置換によりa1a2a3b1b2b3については結託者がランダムに選択するようにする-> 結託者判定に利用
• 問題点:符号長が長い
d回繰り返し
4.3 電子透かし~ 符号関連研究: Tardos 符号[Ta03] ~
• 結託者を特定する手法としてスコアを導入
• 符号を確率的に生成
• 確率に応じたスコア設定
確率が高い符号とは異なる符号が出現 =>高スコア = 結託者である確率大
1,1 1,2 1,
2,1 2,2 2,
,1 ,2 ,
m
m
n n n m
a a aa a a
a a a
⎛ ⎞⎜ ⎟⎜ ⎟⎜ ⎟⎜ ⎟⎜ ⎟⎝ ⎠
- 37 -
ユー
ザ数
n
ビット長m符号行列 ① 列 j(1≦j≦m)に対し符号が1となる確率pjを決定
② 確率pjに応じてai,jを決定
③ 結託符号yと各ユーザ符号に対するスコアを計算④ スコアがスレショルドより大きいユーザを結託者メンバーとする
, ,1: 1: 1 1: 1: 0
then
1
1j i j j i j
i i
m mj j
ij y a j y aj j
if Score U
p pScore
p p
ε
= = = = = =
<
−= −
−∑ ∑
が結託者
但し
4.3 電子透かし~ 符号関連研究 ~
• Isogai方式[IM05]:
– Tardos符号では種々のパラメータが登場するが、
直感的に定めている部分がある
– 直感的に定めた部分をより漸近的に理想値に近づける研究
• Hagiwara方式[HHI06]:
– 実用を考慮し、結託者人数を2,3,5名に絞った場合のTardos符号の改善研究
- 38 -
4.3 電子透かし~ 研究方向性 ~
• 著作権、フィンガープリント関連研究
– 埋め込み情報量が多いこと
– 埋め込み・検出処理(CPUコスト)の高速性
• 結託符号関連研究
– 短い符号長
– 多くの結託者に対し耐性があること
- 39 -
4.4 インターネット放送用セキュリティ
• 動的不正利用者特定研究– Dynamic Traitor Tracing [FT99,FT01]– Sequential Traitor Tracing [SW00,SW03]– Trade-off Traitor Tracing [HOFOMOI04]
• 研究方向性
- 40 -
4.4 インターネット放送用セキュリティ~ 問題点 ~
• 問題点:インターネット放送を受信し、PCなどで再配信を行う– 特にアナログ化、再キャプチャ、配信などの手段によりDRMの管理
が届かない再配信がある
- 41 -
インターネットインターネット
放送事業者
インターネット
インターネット
再配信者再配信者
要望:再配信者を特定したい
4.4 インターネット放送用セキュリティ~ Dynamic Traitor Tracing [FT99,FT01] ~• リアルタイムで再配信情報を入手する• 動的にユーザ集合を分割• 各ユーザ集合に別の電子透かしが埋め込まれたコンテンツを配信• 再配信されたコンテンツの電子透かしを検出し、当該するユーザ集合を
さらに分割してゆく
- 42 -
インターネットインターネット
放送事業者
再配信者再配信者
インターネット
インターネット
リアルタイムで再配信情報を入手リアルタイムで再配信情報を入手
動的にユーザ分割
4.4 インターネット放送用セキュリティ~ Dynamic Traitor Tracing [FT99,FT01] ~• リアルタイムで再配信情報を入手する• 動的にユーザ集合を分割• 各ユーザ集合に別の電子透かしが埋め込まれたコンテンツを配信• 再配信されたコンテンツの電子透かしを検出し、当該するユーザ集合を
さらに分割してゆく
- 43 -
S
IR
日本
S ⊕ S ⊕
IR
西日本 東日本S ⊕
S ⊕
IR
S ⊕ S ⊕
IR
情報入手ユーザ集合分割
情報入手ユーザ集合分割
情報入手ユーザ集合分割
別の透かし
4.4 インターネット放送用セキュリティ~ Dynamic Traitor Tracing [FT99,FT01] ~利点
• リアルタイムで再配信し続ける再配信者の特定に有効
問題点
• フィードバックのチャネル(リアルタイム情報入手用)が必要
• リアルタイムの計算が必要
• 遅延攻撃(蓄積後再配信)に弱い
- 44 -
4.4 インターネット放送用セキュリティ~ Sequential Traitor Tracing[SW00,SW03] ~
• コンテンツをセグメントに分割
• 埋め込みデータセット(セグメントと電子透かしの対応テーブル)を作成
• ユーザ集合を部分集合に分割
• 事前にユーザ部分集合毎に配信するデータセットをセグメント毎に指定
• 動的なユーザ集合の変更は不要(集合分割のためのフィードバックは不要)
• 遅延配信攻撃に対して効果的
1,1 1,2 1,
2,1 2,2 2,
,1 ,2 ,
n
n
l l l n
S S SS S S
S S S
⎡ ⎤⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎣ ⎦
- 45 -
セグメント
異な
る透
かし
データセット ユーザ部分集合分割
部分集合USij
Usij毎に
異なるセグメントを配信
' ' ' ' ' ' ' '
,1 ,2 , 1 ,
' '
,1 ,2 , 1 ,
:
[ , , , , ]
:
[ , , , , ]
ij ij ij ij
i j i j i j i j
ij
k k k n k n
i j
k k k n k n
US
S S S S
US
S S S S
−
−
4.4 インターネット放送用セキュリティ~ Sequential Traitor Tracing[SW00,SW03] ~
利点
• 動的計算が不要
• 遅延攻撃に耐性あり
問題点
• 常に大きな伝送容量が必要
- 46 -
4.4 インターネット放送用セキュリティ~ Trade-off Traitor Tracing [HOFOMOI04] ~
• 遅延配信攻撃に対応• 予めコンテンツを分割(セグメント化)して複数セグメントを準備• 再配信があった場合に複数セグメントを同時に入手• 複数セグメント毎に、動的にユーザ集合を分割、集合毎に異なる電子透
かしコンテンツを配信
- 47 -
S
S ⊗
S ⊗S ⊕ S ⊕
S S⊕ ⊗∩ S S⊕ ⊗∩
S S⊕ ⊗∩S S⊕ ⊗∩
S S⊕ ⊗∩ S S⊕ ⊗∩
S S⊕ ⊗∩S S⊕ ⊗∩or
複数セグメントにわたる分割を決めるIR: 不正再配信者
IR IRIR
不正再配信者が存在しえるパターン:西北に一人
Or西南と東北にひとりづつ
S :ユーザ部分集合
日本 西日本 東日本
北日本
南日本
4.4 インターネット放送用セキュリティ~ 研究方向性 ~
• 研究方向性: 効率的に違法再配信者を特定可能であること
– 配信回数:再配信者を特定するまでの配信回数が短いこと
– 埋め込み情報:再配信者を特定するために必要な埋め込み情報の種類が少ない
– 配信データ量:ネットワークの負荷が少ないこと
– 耐性:動的な特定も可能、蓄積遅延攻撃にも対応可能であること
- 48 -
4.5 その他(インターネット配信)~ サーバー独立運用 ~
- 49 -
家庭家庭
放送局放送局AA
②暗号化
④復号化
ポスプロポスプロ
ISP
③ライセンス(復号鍵)
契約カード
復号鍵
⑤メタデータ
サブコンテンツ使用
インターネット配信現状:ISP完全依存タイプ!
放送局放送局BB
①コンテンツ
①メタデータ
4.5 その他(インターネット配信)~ サーバー独立運用[HOI03 ,HOI04] ~
- 50 -
家庭家庭
②IBE
暗号化 ④IBE
復号化
①コンテンツ
①メタデータ
ISP
③ライセンス
(IBE復号鍵)
契約カード
IBE復号鍵
⑤メタデータ
サブコンテンツ使用
InternetInternet
暗号化鍵に関する
秘密通信なし
特徴:ライセンスは鍵管理局による一元管理
放送局放送局AA
ポスプロポスプロ
鍵管理局鍵管理局
5. まとめ/将来の研究
• デジタル放送が実現されています
• サーバー型放送など新たなサービスが考えられています
• 著作権は考慮されなければなりません
• DRM が必要となります
• 将来のDRM:ユーザの利便性を損ねないDRMの研究が
望まれます
- 51 -
ご静聴ありがとうごご静聴ありがとうございましたざいました !!
- 52 -
References[ARIBB25]:"Conditional Access System Specifications for Digital Broadcasting ARIB-STD-B25",
Association of Radio Industries and Businesses.[BS95]: D. Boneh and J. Shaw, "Collusion secure fingerprinting for digital data, " Proc. of CRYPTO'95,
pp.452-465, 1995.[BS98]: D. Boneh and J. Shaw, "Collusion secure fingerprinting for digital data, " IEEE Trans. on
Information Theory, vol.44, no.5, pp.1897-1905, 1998, (full version of [BS95]).[BSW06]: D.Boneh, A. Sahai, and B. Waters, “Fully Collusion Resistant Traitor Tracing with Short
Ciphertexts and Private Keys,” http://eprint.iacr.org/2006/045, (Eurocrypt 2006 にて発表予定).[CFN94]: B. Chor, A. Fiat, and M. Naor, ”Tracing Traitors,” Proc. of Crypto’94, pp.257-270, 1994.[CFNP00]: B. Chor, A. Fiat, M. Naor, and B. Pinkas, “Tracing Traitors,” IEEE Trans. On Information
Theory, Vol.46, No.3 May 2000, pp.893-910, 2000, (full version of [CFN94]).[CPP05]: H. Chabanne and D. H. Phan, and D. Pointcheval, “ Public Traceability in Traitor Tracing
Schemes,” Proc. of Eurocrypt’05, pp.542-558, 2005.[FT99]: A. Fiat and T. Tassa, "Dynamic Traitor Tracing," Proc. of CRYPTO'99, pp.354-371, 1999.[FT01]: A. Fiat and T. Tassa, "Dynamic Traitor Tracing," J. of Cryptology, vol.14, no.3, pp.211-
223,2001, (full version of [FT99]).[HHI06]: M. Hagiwara, G. Hanaoka, and H. Imai, “A Short Random Fingerprinting Code Against a
Small Number of Pirates,” Proc. of AAECC’06, pp.193-202, 2006.[HOFOMOI04]: G. Hanaoka et al., “Trade-off Traitor Tracing", Technical Report of IEICE, ISEC2004-
73, pp. 39-45, 2004.[HOI03]: G. Hanaoka et.al., “Separating Encryption and Key Issuance in Digital Rights Management
Systems,” Proc. of ACISP’03, pp.365-376, 2003.[HOI04]: G. Hanaoka et al.,”Managing Encryption and Key Publication Independently in Digital Rights
Management Systems,” IEICE Trans. On Fundamentals, vol.E87-A, no.1, pp.160-172, 2004, (full version of [HOI03].
- 53 -
References[IM05]: 磯谷,村谷,”Tardos符号の改良,” SCIS2005予稿集,4A1-3, 2005.[KD98]: K. Kurosawa and Y. Desmedt, “Optimum Traitor Tracing and Asymmetric Schemes,” Proc. of
Eurocrypt’98, pp.145-157, 1998.[KY02]: K. Kurosawa and T. Yoshida, "Linear Code Implies Public-Key Traitor Tracing," Proc. of
PKC'02, pp.172-187, 2002.[MI04]: T. Matsushita and H. Imai, "A Public-Key Black-Box Traitor Tracing Scheme with Sublinear
Ciphertext Size Against Self-Defensive Pirates," Proc. of Asiacrypt'04, pp.260-275, 2004.[MSK02]: S. Mitsunari, R. Sakai, and M. Kasahara, ”A New Traitor Tracing,” IEICE Trans. on
Fundamentals, vol. E85-A, no.2, pp.481-484, 2002.[NBINY04]: 西本他,”サーバー型放送におけるメタデータによるコンテンツ利用のアクセス制御方式,”映像情
報メディア学会技術報告,Vol.28,No.43,pp.29-32,MMS2004-42, 2004.[OHI05]: K. Ogawa, G. Hanaoka and H. Imai, "A Secure Traitor Tracing Scheme against Key
Exposure," Proc. of ISIT'05, pp.1873-1877, 2005.[OHO06]: 大竹,花岡,小川, “双方向放送サービスにおける検証鍵不変なプロバイダ認証システム,” SCIS
2006予稿集,2F4-3,2006.[SW00]: R. Safavi-Naini and Y. Wang, "Sequential Traitor Tracing," Proc. of Crypto’00, pp.316-332,
2000.[SW03]: R. Safavi-Naini and Y. Wang, "Sequential Traitor Tracing," IEEE Trans. on Information Theory,
vol.49, no.5, pp.1319-1326, (full version of [SW00]).[Ta03]: G. Tardos, “Optimal Probabilistic Fingerprinting Code", Proc. of STOC'03, ACM(2003), pp.116-
125, 2003.[TSZ03]: V. D. To, R. Safavi-Naini, and F. Zhang, “New Traitor Tracing Schemes using Bilinear Map,”
Proc. of ACM workshop on DRM’03, pp.67-76, 2003.
- 54 -