放送におけるセキュリティ技術

2006.03.26小川 一人

NHK 放送技術研究所 ネットワークシステム〒157-8510 東京都世田谷区砧1-10-11

E-mail : ogawa.k-cm@nhk.or.jp

１．はじめに~ デジタル放送の歴史 ~

2000 2001 2002 2003 2004

イベントソルトレイクオリンピック

日本－韓国World Cup

アテネオリンピック

ドイツWorld Cup

北京オリンピック

デジタル放送

12.1BS

デジタル

12.1地上

デジタル

サーバー型放送

2005 2006 2007 2008 … 2011

7.24アナログ放送終了

トリノオリンピック

4.1ワンセグサービス

- 2 -

１．はじめに~ 放送をとりまく状況 ~

• PCの普及、インターネットの普及

• DVD,USBメモリなど蓄積デバイスの低価格、

高密度化

• コンテンツ流通が容易となる

－＞ 意図しない流通も増加

－＞ 適切なセキュリティ技術に対する要望大

- 3 -

２．現行放送用DRM方式

• ARIB STD B25 [ARIBB25]

- 4 -

2.1 現行DRM方式~ARIB STD B25~

CAS card

Scramble

Ks

Kw

Enc

Km

Multiplex

Dec

De-scramble

Ks

Kw

Enc: 暗号化 Dec: 復号化: コンテンツの流れ: データの流れ: 出力制御

Contract

Verification

放送事業者 視聴者受信機 (STB)

Enc

De-M

ultiplex

Dec

Km

DTCP

contract

デジ

タル

出力

- 5 -

2.1 現行DRM方式~CAS カードの配布~

DTCP機能のある受信機CAS card

DTCP機能のない受信機

CASカード配布可能

CASカード配布不可能

- 6 -

2.1 現行DRM方式~Block Diagram~

CAS card

Scramble

Ks Enc

Km

Multiplex

Dec

De-scramble

Ks

Kw

Contract

Verification

放送事業者 視聴者受信機 (STB)

Enc

De-M

ultiplex

Dec

Km

DTCP

Digital

Output

Kwcontract

Enc: 暗号化 Dec: 復号化: コンテンツの流れ: データの流れ: 出力制御

- 7 -

2.2 サーバー型放送用DRM方式

new CAS card

蓄積装置

Scramble

Ks

KmM

ultiplex

De-scramble

Ks

Kw

KcRMPI

Kw

Dec

Dec

Dec

Km’

KcRMPI

EncEnc

Enc

EncD

e-multiplex

Km

Dec

Enc Dec

Sel

放送事業者 視聴者受信機 (STB)

Enc: 暗号化 Dec: 復号化 Sel:選択

: コンテンツの流れ: データの流れ: 出力制御

- 8 -

2.2 サーバー型放送用DRM方式

new CAS card

Scramble

Ks

KmM

ultiplex

De-scramble

Ks

KwKw

DecEnc

EncD

e-multiplex

Km

Dec

Sel

放送事業者 視聴者受信機 (STB)

Enc: 暗号化 Dec: 復号化 Sel:選択

: コンテンツの流れ: データの流れ: 出力制御

- 9 -

2.2 サーバー型放送用DRM方式

new CAS card

蓄積装置

Scramble

Ks

KmM

ultiplex

De-scramble

Ks

Kw

KcRMPI

Kw

Dec

Dec

Dec

Km’

KcRMPI

EncEnc

Enc

EncD

e-multiplex

Km

Dec

Enc Dec

Sel

放送事業者 視聴者受信機 (STB)

Enc: 暗号化 Dec: 復号化 Sel:選択

: コンテンツの流れ: データの流れ: 出力制御

- 10 -

2.2 サーバー型放送用DRM方式

検討事項

• インターネットを経由したコンテンツ（メタデータを含む）配信

• 蓄積されるコンテンツの取り扱い方法

• ドメインの概念の導入

– ドメイン内でコンテンツは自由に流通できる

- 11 -

3. サーバー型放送に関する

研究トピックス

• サーバー型放送用：

メタデータを用いたサービス

- 12 -

3. メタデータを用いたサービス~ ハイライト視聴 ~

Time: 19:30 19:38 19:44 19:58 20:03 20:15

20:30 20:44 20:51 21:05 21:07 21:08 21:18 メタデータファイル

ゴールシーンメタ

Time Duration

19:44 3’00

20:15 1’30

20:51 2’45

プログラム再構成

Time: 119:44 9:44 -- 19:4719:4720:15 20:15 –– 20:1620:16

20:51 20:51 –– 20:5420:54

- 13 -

3. メタデータを用いたサービス~ 新たな問題 ~

• 視聴者が自由に、簡単にメタデータを作ることが可能（勝手メタデータ）

• コンテンツ提供者（放送事業者）が意図した意味とはことなるコンテンツに変更してしまうことが可能

• コンテンツに対するアクセス制御（再生、蓄積、編集に対する）が必要

- 14 -

3. メタデータを用いたサービス~メタデータ・コンテンツ保護方式[NBINY04] ~

メタデータ

署名

コンテンツ

署名

検証

証明書・メタデータ

発行者 ID : A

CAS card

コンテンツ鍵

・コンテンツ使用許可メタデータ

発行者ID：A

ライセンス

コンテンツ鍵・コンテンツ使用許可メタデータ

発行者ID：A

ライセンス

メタデータファイル

放送事業者 視聴者受信機 (STB)

- 15 -

４．将来の放送のための研究トピックス

４．１ 双方向放送用セキュリティ

４．２ 不正ユーザ特定方式

４．３ 電子透かし

４．４ インターネット放送用セキュリティ

４．５ その他（インターネット配信）

- 16 -

4.1 双方向放送用セキュリティ~ 配信モデル ~

CASカード

受信端末（デジタルＴＶ）

コンテンツサーバ

個人情報管理サーバ

コンテンツ配信

個人情報送信

個人情報リクエスト

ネットワーク

放送局 視聴者

プロバイダ認証放送局署名鍵

放送局検証鍵

- 17 -

4.1 双方向放送用セキュリティ~ プロバイダ認証における課題 ~

個人情報管理サーバ ネットワーク

放送局

署名鍵

サーバ管理者以外の不正行為

サーバ管理者の不正行為

サーバ自体の盗難

第三者によるサーバアタック

更新が必要更新が必要 !!!!

- 18 -

4.1 双方向放送用セキュリティ~ プロバイダの鍵漏洩を考慮 [OHO06] ~

コンテンツ配信

個人情報送信

個人情報リクエスト

ネットワーク

マスター鍵mst検証鍵VK

初期署名鍵SK0生成

放送局 視聴者

署名鍵更新

SKt = SKt-1 + ⊿SKt

署名生成 σ = Sig (SKt , m, t)

コンテンツサーバ

個人情報管理サーバ

鍵管理サーバ

耐タンパ領域

mst

⊿SKt = f (mst, VK, t)

部分鍵生成

CASカードVK

{True/False}= Ver (VK, m, σ, t)

署名検証

専用回線

受信端末

- 19 -

4.1 双方向放送用セキュリティ~ 研究方向性 ~

• 認証：プロバイダ、ユーザの認証

• 個人情報保護：取得したデータの保護

– 運用コスト：サーバーの運用管理にかかるコストは低いこと

– 計算コスト：短時間の処理

– ユーザビリティ：ユーザの利便性を損なわない

- 20 -

4.2 不正ユーザ特定方式

• Chor,Fiat,Naor方式 [CFN94,CFNP00]• 代数（離散対数など）ベース

– Kurosawa方式 [KD98,KY02]– Matsushita方式 [MI04]

• Pairingベース

– Boneh-Sahai-Waters方式 [BSW06]

• 研究方向性

- 21 -

4.2 不正ユーザ特定方式~ Tracing Traitor [CFN94,CFNP00] ~

• コンテンツプロバイダー鍵集合を作る

• ユーザは鍵の部分集合を受け取る

• 鍵の組み合わせを見て、誰が結託したかを判断

1,1 1,2 1, 1,,1 ,2 , ,k nu u u k u nSK SK SK SK⎡ ⎤⎣ ⎦

1,1 1,2 1,

2,1 2,2 2,

,1 ,2 ,

n

n

l l l n

SK SK SKSK SK SK

SK SK SK

⎡ ⎤⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎣ ⎦

2,1 2,2 2, 2,,1 ,2 , ,k nu u u k u nSK SK SK SK

- 22 -

秘密鍵集合

⎡ ⎤⎣ ⎦

IDに応じた選択

U1用秘密鍵束

U2用秘密鍵束・・・

,1 ,2 , ,,1 ,2 , ,N N Nk Nnu u u k u nSK SK SK SK⎡ ⎤⎣ ⎦

4.2 不正ユーザ特定方式~ Tracing Traitor [CFN94,CFNP00] ~

問題点

• ヘッダーサイズが大きい

– ユーザ数（鍵数）に比例してヘッダーサイズが大きくなる

• ユーザの所有する秘密鍵サイズが大きい

- 23 -

4.2 不正ユーザ特定方式~ Kurosawa-Desmedt方式 [KD98,KY02] ~

• 多項式を利用して各ユーザのユニークな秘密鍵を生成

• 多項式の係数を用いて公開鍵を形成

• 公開鍵を用いて効率的に平文を暗号化し、一斉配信する

• 秘密鍵のユニーク性により、不正ユーザの特定を行う

- 24 -

秘密多項式秘密多項式:: f(xf(x)=)=ΣΣaaiixxii

公開鍵公開鍵:: (g,p,ga0,ga1,・・・,gan)

ユーザユーザ11ｆ（ｆ（IDID11））

ユーザユーザ22ｆ（ｆ（IDID22））

ユーザユーザ33ｆ（ｆ（IDID33））

ユーザユーザ44ｆ（ｆ（IDID４４））

NHK

4.2 不正ユーザ特定方式~ Kurosawa-Desmedt方式 [KD98,KY02] ~

利点

• ユーザの所有する秘密鍵サイズは O(1)• ユーザ数によらずヘッダーサイズは一定

- 25 -

4.2 不正ユーザ特定方式~ Matsushita方式 [MI04] ~

• ユーザを部分集合に分割

• 部分集合毎に異なるヘッダー情報を用いて復号– [KD98]の多項式を改良

– 個人、グループをリボークするためにヘッダーを改良

この場合 のユーザがリボークされる

• ブラックボックス特定機能も付加

0 0 2 1 2 1

2 10 1 2 1( )

( , , , , , )j j j j j k k j

j kj j k

r c a r c b r c a r

f x a a x b x a x

Header g g sg g − −

−−

+ + +

= + + + +

=

2 1

00

ki

ii

c uα−

=

- 26 -

≠∑

4.2 不正ユーザ特定方式~ Pairing ベース ~

• [MSK02]：Pairingを用いた初めての不正ユーザ特定方式

• [TSZ03]:[MSK02]を改善した方式

• [CPP05]:[TSZ03]をさらに改善

• [BSW06]:ユーザｎ人の結託耐性を持つ方式として提案された

注 [KD98][KY02][MI04][MSK02][TSZ03][CPP05]は結託人数に制限あり

- 27 -

4.2 不正ユーザ特定方式~ Boneh-Sahai-Waters方式[BSW06] ~

• Pairingを使用

• 結託者数の制限はなし（ｎ）

- 28 -

i 行

j 列

• 各ユーザにインデックス(i,j)を付与：i,jはユーザが属する行、列を示す• (i,j)に応じた個別鍵(Ki,j)を持ち、(i,j)に応じた暗号文の復号

,

,

:

: , , ,

: ,

( , ): ( , ) ( , )

i j

i i i i

j j

i i i

i j i i j

K

R R A B

C C

B e R CMe K A e R C

=

個別鍵(i,jにより定まる)

暗号化（行と列に分けてヘッダーを作成）

　i行用

　j列用

復号 ユーザインデックス

ユーザ(i,j)

4.2 不正ユーザ特定方式~ 研究方向性 ~

• 効率性の追求– ヘッダーサイズ

– 計算コスト

– 秘密鍵サイズ

– 公開鍵サイズ

– 結託ユーザ数等の条件の排除

• 機能性の追及– ブラックボックス特定機能

– リボーク機能

4.2 不正ユーザ特定方式~ 放送サービスの拡張 ~

Outside(Hotel)

Home

鍵を持ち歩くことができない

satellite

放送事業者

サービスを受けられない

- 30 -

CASカードから鍵をとり出せない

現状

4.2 不正ユーザ特定方式~ 放送サービスの拡張 [OHI05] ~

Outside(Hotel)

Home

一時的な鍵を持ち歩く

satellite

放送事業者

更新 一時鍵化

マスター鍵はCASカード内に保持

マスター鍵か

ら生成

サービス享受可能

- 31 -

•不正ユーザ特定方式[KD98]と鍵漏洩に耐性のある公開鍵方式[DKXY02]の特徴を合成•秘密鍵を持ち歩き可能なサービスを実現

4.3 電子透かし

• 著作権保護方式

• フィンガープリント方式

• 埋め込み符号関連研究– C-secureコード[BS95,BS98]– Tardos符号[Ta03]

• 研究方向性

- 32 -

4.3 電子透かし~ 著作権保護 ~

• コンテンツに著作権情報（例えば、コンテンツプロバイダID)を埋め込む• 効果：違法流通の際に著作権の主張を行う

- 33 -

配信

原コンテンツ 電子透かし入りコンテンツ

放送局ID著作権情報

不可視電子透かし埋め込み

コンテンツプロバイダ ユーザ

視聴可能

コピー抑制効果

4.3 電子透かし~ フィンガープリント ~

• コンテンツにユーザ識別子を埋め込む• 効果：違法流通の際に違法流通者特定に使用

- 34 -

０ １ ０ ０ １・・・

ユーザーID０１００１・・・

埋め込み

原画像フィンガープリント

埋め込み画像

０：埋め込み画像

１：埋め込み画像

4.3 電子透かし~ フィンガープリント ~

• ユーザ結託攻撃を考慮する

- 35 -

結託

ユーザA０１００１・・・

違法流通

違法流通者（A,B) を

結託符号から特定したい

ユーザB０００１１・・・

結託符号００００１・・・

4.3 電子透かし~符号関連研究：C-secure符号[BS95,BS98]~

• 結託符号の重み（符号内の1の数）から結託者を判定

• 同じ値をd回の繰り返し：dは結託者数cと全ユーザ数nとセキュリティパラメータεにより定める

- 36 -

1

21 3 1 2 3 1 2 3

3

4

: 1 1 1 1 1 1 1 1 1 1 1 1: 0 0 0 1 1 1 1 1 1 1 1 1

, 1 1 1 1 1 1: 0 0 0 0 0 0 1 1 1 1 1 1: 0 0 0 0 0 0 0 0 0 1 1 1

UU

U U a a a b b bUU

→ →が 結 託

前提：ビット位置置換によりa1a2a3b1b2b3については結託者がランダムに選択するようにする-> 結託者判定に利用

• 問題点：符号長が長い

d回繰り返し

4.3 電子透かし~ 符号関連研究： Tardos 符号[Ta03] ~

• 結託者を特定する手法としてスコアを導入

• 符号を確率的に生成

• 確率に応じたスコア設定

確率が高い符号とは異なる符号が出現 ＝＞高スコア ＝ 結託者である確率大

1,1 1,2 1,

2,1 2,2 2,

,1 ,2 ,

m

m

n n n m

a a aa a a

a a a

⎛ ⎞⎜ ⎟⎜ ⎟⎜ ⎟⎜ ⎟⎜ ⎟⎝ ⎠

- 37 -

ユー

ザ数

n

ビット長m符号行列 ① 列 ｊ(1≦j≦m)に対し符号が１となる確率pjを決定

② 確率pjに応じてai,jを決定

③ 結託符号ｙと各ユーザ符号に対するスコアを計算④ スコアがスレショルドより大きいユーザを結託者メンバーとする

, ,1: 1: 1 1: 1: 0

then

1

1j i j j i j

i i

m mj j

ij y a j y aj j

if Score U

p pScore

p p

ε

= = = = = =

<

−= −

−∑ ∑

が結託者

但し

4.3 電子透かし~ 符号関連研究 ~

• Isogai方式[IM05]：

– Tardos符号では種々のパラメータが登場するが、

直感的に定めている部分がある

– 直感的に定めた部分をより漸近的に理想値に近づける研究

• Hagiwara方式[HHI06]：

– 実用を考慮し、結託者人数を２，３，５名に絞った場合のTardos符号の改善研究

- 38 -

4.3 電子透かし~ 研究方向性 ~

• 著作権、フィンガープリント関連研究

– 埋め込み情報量が多いこと

– 埋め込み･検出処理（CPUコスト）の高速性

• 結託符号関連研究

– 短い符号長

– 多くの結託者に対し耐性があること

- 39 -

4.4 インターネット放送用セキュリティ

• 動的不正利用者特定研究– Dynamic Traitor Tracing [FT99,FT01]– Sequential Traitor Tracing [SW00,SW03]– Trade-off Traitor Tracing [HOFOMOI04]

• 研究方向性

- 40 -

4.4 インターネット放送用セキュリティ~ 問題点 ~

• 問題点：インターネット放送を受信し、PCなどで再配信を行う– 特にアナログ化、再キャプチャ、配信などの手段によりDRMの管理

が届かない再配信がある

- 41 -

インターネットインターネット

放送事業者

インターネット

インターネット

再配信者再配信者

要望：再配信者を特定したい

4.4 インターネット放送用セキュリティ~ Dynamic Traitor Tracing [FT99,FT01] ~• リアルタイムで再配信情報を入手する• 動的にユーザ集合を分割• 各ユーザ集合に別の電子透かしが埋め込まれたコンテンツを配信• 再配信されたコンテンツの電子透かしを検出し、当該するユーザ集合を

さらに分割してゆく

- 42 -

インターネットインターネット

放送事業者

再配信者再配信者

インターネット

インターネット

リアルタイムで再配信情報を入手リアルタイムで再配信情報を入手

動的にユーザ分割

4.4 インターネット放送用セキュリティ~ Dynamic Traitor Tracing [FT99,FT01] ~• リアルタイムで再配信情報を入手する• 動的にユーザ集合を分割• 各ユーザ集合に別の電子透かしが埋め込まれたコンテンツを配信• 再配信されたコンテンツの電子透かしを検出し、当該するユーザ集合を

さらに分割してゆく

- 43 -

S

IR

日本

S ⊕ S ⊕

IR

西日本 東日本S ⊕

S ⊕

IR

S ⊕ S ⊕

IR

情報入手ユーザ集合分割

情報入手ユーザ集合分割

情報入手ユーザ集合分割

別の透かし

4.4 インターネット放送用セキュリティ~ Dynamic Traitor Tracing [FT99,FT01] ~利点

• リアルタイムで再配信し続ける再配信者の特定に有効

問題点

• フィードバックのチャネル（リアルタイム情報入手用）が必要

• リアルタイムの計算が必要

• 遅延攻撃(蓄積後再配信）に弱い

- 44 -

4.4 インターネット放送用セキュリティ~ Sequential Traitor Tracing[SW00,SW03] ~

• コンテンツをセグメントに分割

• 埋め込みデータセット（セグメントと電子透かしの対応テーブル）を作成

• ユーザ集合を部分集合に分割

• 事前にユーザ部分集合毎に配信するデータセットをセグメント毎に指定

• 動的なユーザ集合の変更は不要（集合分割のためのフィードバックは不要）

• 遅延配信攻撃に対して効果的

1,1 1,2 1,

2,1 2,2 2,

,1 ,2 ,

n

n

l l l n

S S SS S S

S S S

⎡ ⎤⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎢ ⎥⎣ ⎦

- 45 -

セグメント

異な

る透

かし

データセット ユーザ部分集合分割

部分集合USij

Usij毎に

異なるセグメントを配信

' ' ' ' ' ' ' '

,1 ,2 , 1 ,

' '

,1 ,2 , 1 ,

:

[ , , , , ]

:

[ , , , , ]

ij ij ij ij

i j i j i j i j

ij

k k k n k n

i j

k k k n k n

US

S S S S

US

S S S S

−

−

4.4 インターネット放送用セキュリティ~ Sequential Traitor Tracing[SW00,SW03] ~

利点

• 動的計算が不要

• 遅延攻撃に耐性あり

問題点

• 常に大きな伝送容量が必要

- 46 -

4.4 インターネット放送用セキュリティ~ Trade-off Traitor Tracing [HOFOMOI04] ~

• 遅延配信攻撃に対応• 予めコンテンツを分割（セグメント化）して複数セグメントを準備• 再配信があった場合に複数セグメントを同時に入手• 複数セグメント毎に、動的にユーザ集合を分割、集合毎に異なる電子透

かしコンテンツを配信

- 47 -

S

S ⊗

S ⊗S ⊕ S ⊕

S S⊕ ⊗∩ S S⊕ ⊗∩

S S⊕ ⊗∩S S⊕ ⊗∩

S S⊕ ⊗∩ S S⊕ ⊗∩

S S⊕ ⊗∩S S⊕ ⊗∩or

複数セグメントにわたる分割を決めるIR： 不正再配信者

IR IRIR

不正再配信者が存在しえるパターン：西北に一人

Or西南と東北にひとりづつ

S ：ユーザ部分集合

日本 西日本 東日本

北日本

南日本

4.4 インターネット放送用セキュリティ~ 研究方向性 ~

• 研究方向性： 効率的に違法再配信者を特定可能であること

– 配信回数：再配信者を特定するまでの配信回数が短いこと

– 埋め込み情報：再配信者を特定するために必要な埋め込み情報の種類が少ない

– 配信データ量：ネットワークの負荷が少ないこと

– 耐性：動的な特定も可能、蓄積遅延攻撃にも対応可能であること

- 48 -

４．５ その他（インターネット配信）~ サーバー独立運用 ~

- 49 -

家庭家庭

放送局放送局AA

②暗号化

④復号化

ポスプロポスプロ

ISP

③ライセンス（復号鍵）

契約カード

復号鍵

⑤メタデータ

サブコンテンツ使用

インターネット配信現状：ISP完全依存タイプ！

放送局放送局BB

①コンテンツ

①メタデータ

４．５ その他（インターネット配信）~ サーバー独立運用[HOI03 ,HOI04] ~

- 50 -

家庭家庭

②IBE

暗号化 ④IBE

復号化

①コンテンツ

①メタデータ

ISP

③ライセンス

（IBE復号鍵）

契約カード

IBE復号鍵

⑤メタデータ

サブコンテンツ使用

InternetInternet

暗号化鍵に関する

秘密通信なし

特徴：ライセンスは鍵管理局による一元管理

放送局放送局AA

ポスプロポスプロ

鍵管理局鍵管理局

5. まとめ／将来の研究

• デジタル放送が実現されています

• サーバー型放送など新たなサービスが考えられています

• 著作権は考慮されなければなりません

• DRM が必要となります

• 将来のDRM：ユーザの利便性を損ねないDRMの研究が

望まれます

- 51 -

ご静聴ありがとうごご静聴ありがとうございましたざいました !!

- 52 -

References[ARIBB25]:"Conditional Access System Specifications for Digital Broadcasting ARIB-STD-B25",

Association of Radio Industries and Businesses.[BS95]: D. Boneh and J. Shaw, "Collusion secure fingerprinting for digital data, " Proc. of CRYPTO'95,

pp.452-465, 1995.[BS98]: D. Boneh and J. Shaw, "Collusion secure fingerprinting for digital data, " IEEE Trans. on

Information Theory, vol.44, no.5, pp.1897-1905, 1998, (full version of [BS95]).[BSW06]: D.Boneh, A. Sahai, and B. Waters, “Fully Collusion Resistant Traitor Tracing with Short

Ciphertexts and Private Keys,” http://eprint.iacr.org/2006/045, (Eurocrypt 2006 にて発表予定).[CFN94]: B. Chor, A. Fiat, and M. Naor, ”Tracing Traitors,” Proc. of Crypto’94, pp.257-270, 1994.[CFNP00]: B. Chor, A. Fiat, M. Naor, and B. Pinkas, “Tracing Traitors,” IEEE Trans. On Information

Theory, Vol.46, No.3 May 2000, pp.893-910, 2000, (full version of [CFN94]).[CPP05]: H. Chabanne and D. H. Phan, and D. Pointcheval, “ Public Traceability in Traitor Tracing

Schemes,” Proc. of Eurocrypt’05, pp.542-558, 2005.[FT99]: A. Fiat and T. Tassa, "Dynamic Traitor Tracing," Proc. of CRYPTO'99, pp.354-371, 1999.[FT01]: A. Fiat and T. Tassa, "Dynamic Traitor Tracing," J. of Cryptology, vol.14, no.3, pp.211-

223,2001, (full version of [FT99]).[HHI06]: M. Hagiwara, G. Hanaoka, and H. Imai, “A Short Random Fingerprinting Code Against a

Small Number of Pirates,” Proc. of AAECC’06, pp.193-202, 2006.[HOFOMOI04]: G. Hanaoka et al., “Trade-off Traitor Tracing", Technical Report of IEICE, ISEC2004-

73, pp. 39-45, 2004.[HOI03]: G. Hanaoka et.al., “Separating Encryption and Key Issuance in Digital Rights Management

Systems,” Proc. of ACISP’03, pp.365-376, 2003.[HOI04]: G. Hanaoka et al.,”Managing Encryption and Key Publication Independently in Digital Rights

Management Systems,” IEICE Trans. On Fundamentals, vol.E87-A, no.1, pp.160-172, 2004, (full version of [HOI03].

- 53 -

References[IM05]: 磯谷，村谷，”Tardos符号の改良,” SCIS2005予稿集，4A1-3， 2005.[KD98]: K. Kurosawa and Y. Desmedt, “Optimum Traitor Tracing and Asymmetric Schemes,” Proc. of

Eurocrypt’98, pp.145-157, 1998.[KY02]: K. Kurosawa and T. Yoshida, "Linear Code Implies Public-Key Traitor Tracing," Proc. of

PKC'02, pp.172-187, 2002.[MI04]: T. Matsushita and H. Imai, "A Public-Key Black-Box Traitor Tracing Scheme with Sublinear

Ciphertext Size Against Self-Defensive Pirates," Proc. of Asiacrypt'04, pp.260-275, 2004.[MSK02]: S. Mitsunari, R. Sakai, and M. Kasahara, ”A New Traitor Tracing,” IEICE Trans. on

Fundamentals, vol. E85-A, no.2, pp.481-484, 2002.[NBINY04]: 西本他，”サーバー型放送におけるメタデータによるコンテンツ利用のアクセス制御方式,”映像情

報メディア学会技術報告，Vol.28，No.43，pp.29-32，MMS2004-42, 2004.[OHI05]: K. Ogawa, G. Hanaoka and H. Imai, "A Secure Traitor Tracing Scheme against Key

Exposure," Proc. of ISIT'05, pp.1873-1877, 2005.[OHO06]: 大竹，花岡，小川， “双方向放送サービスにおける検証鍵不変なプロバイダ認証システム,” SCIS

２００６予稿集，2F4-3，2006．[SW00]: R. Safavi-Naini and Y. Wang, "Sequential Traitor Tracing," Proc. of Crypto’00, pp.316-332,

2000.[SW03]: R. Safavi-Naini and Y. Wang, "Sequential Traitor Tracing," IEEE Trans. on Information Theory,

vol.49, no.5, pp.1319-1326, (full version of [SW00]).[Ta03]: G. Tardos, “Optimal Probabilistic Fingerprinting Code", Proc. of STOC'03, ACM(2003), pp.116-

125, 2003.[TSZ03]: V. D. To, R. Safavi-Naini, and F. Zhang, “New Traitor Tracing Schemes using Bilinear Map,”

Proc. of ACM workshop on DRM’03, pp.67-76, 2003.

- 54 -