JP2001209308A - 一括署名方法 - Google Patents

一括署名方法

Info

Publication number
JP2001209308A
JP2001209308A JP2000014713A JP2000014713A JP2001209308A JP 2001209308 A JP2001209308 A JP 2001209308A JP 2000014713 A JP2000014713 A JP 2000014713A JP 2000014713 A JP2000014713 A JP 2000014713A JP 2001209308 A JP2001209308 A JP 2001209308A
Authority
JP
Japan
Prior art keywords
verifier
prover
verification
modp
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000014713A
Other languages
English (en)
Inventor
Jun Anzai
潤 安齋
Natsume Matsuzaki
なつめ 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ADVANCED MOBILE TELECOMM SECUR, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical ADVANCED MOBILE TELECOMM SECUR
Priority to JP2000014713A priority Critical patent/JP2001209308A/ja
Publication of JP2001209308A publication Critical patent/JP2001209308A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 認証や署名において、検証情報の通信量を削
減するとともに、複数の秘密鍵を1回の演算で検証でき
るようにする。 【解決手段】 証明者1は、前情報x=gr modp
(r:乱数)を計算して検証者に送信する。検証者3
は、乱数eを証明者に送信する。証明者1は、検証情報
y=r+(s1+s2+s3)×e modq(s1〜s3:秘密
鍵)を計算して検証3者に送信する。検証者3は、検証
式x=gy×(v1×v2×v3)e modp(v1〜v3:公開
鍵)を検算する。秘密鍵と公開鍵が正しく対応すれば、
検証式が成立する。検証者3が複数の公開鍵をまとめて
検証するので、1回分の認証のベキ乗剰余演算回数で、
複数の秘密鍵を検証できる。検証情報の通信量も削減で
きる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一括署名方法に関
し、特に、1回の検証で証明者の複数の秘密鍵を認証す
る一括署名方法に関する。
【0002】
【従来の技術】従来の認証方式としては、Schnorr認証
法(詳細は、「HANDBOOK of APPLIED CRYPTOGRAPHY」Me
nezes,van Oorschot,Vanstone 共著,CRC出版,pp414
-416を参照)や、岡本龍明認証法(詳細は、「現代暗
号」岡本龍明,山本博資 共著,産業図書,pp160-pp161
の「離散対数問題に基づく認証」を参照)が知られてい
る。前者は演算量の少なさから、後者は安全性の高さか
ら非常に優れている。図8に、一対一の通信システムに
おけるSchnorr認証法を示す。図9に、一対一通信シス
テムにおける岡本龍明認証法を示す。
【0003】ところで、会社などでは、社員は、複数の
グループ(プロジェクトチーム、課、部など)に所属する
ため、複数の秘密鍵を持つことが多い。このように、証
明者が複数の秘密鍵を所有し、それに対応する複数の公
開鍵がある場合には、従来のSchnorr認証やDSA署名
などの通常の離散対数問題系の認証方式や署名方式で
は、それぞれの秘密鍵と公開鍵の組の数だけ検証を行っ
て、すべての秘密鍵が正しいことを確認する。(DSA
署名については、岡本、山本著「現代暗号」(産業図書
1997年)pp.179-180を参照)
【0004】
【発明が解決しようとする課題】しかし、上記従来のSc
hnorr認証やDSA署名はベキ乗剰余演算を含むため、
複数回の検証にはある程度の時間が必要となる。したが
って、認証する秘密鍵が非常に多い場合には、演算時間
が大きくなるという問題がある。また、通信量も検証の
回数に依存して増加するという問題がある。
【0005】本発明は、上記従来の問題を解決して、検
証者は、証明者の複数の秘密鍵を1回の演算で検証でき
るようにすることを目的とする。
【0006】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、証明者と検証者と通信路とからなる
検証システムの検証方法を、大きな素数をp,q(q|
p−1)とし、乗法群Zp *での位数がqとなるGF(p)
の元をgとして、証明者は、n(n≧2)個の任意の整
数si(1≦si≦q−1:1≦i≦n)を秘密鍵として
秘密に保管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、検証者による認証を受ける場合
に、 (1)証明者は、乱数r(1≦r≦q−1)を選んで前情
報 x=gr modp を計算して検証者に通信路を介して送信し、 (2)検証者は、前情報xを受信してから、乱数e(1≦
e<q)を選んで証明者に通信路を介して送信し、 (3)証明者は、乱数eを受信してから、検証情報 y=r+(s1+s2+…+sn)×e modq を計算して検証者に通信路を介して送信し、 (4)検証者は、検証情報yを受信してから、検証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には証明者の全
ての秘密鍵を正当であると判断し、成り立たない場合に
は不正な秘密鍵が存在すると判断する構成とした。
【0007】このように構成したことにより、予め証明
者側において複数の検証情報をまとめた検証情報を作成
して検証情報の通信量を削減できる。さらに、検証時に
検証者が複数の公開鍵をまとめて検証することで、検証
回数によらずベキ乗剰余演算の回数を一定回数に保つこ
とができる。
【0008】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図1〜図7を参照しながら詳細に説明する。
【0009】(第1の実施の形態)本発明の第1の実施
の形態は、複数のSchnorr認証の検証情報を1つにまと
めた認証方法である。
【0010】図1は、本発明の第1の実施の形態におけ
る認証方法の手順を示す流れ図である。図1において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、前情報の
送信段階である。ステップ2は、乱数の返送段階であ
る。ステップ3は、検証情報の送信段階である。ステッ
プ4は、検証段階である。
【0011】上記のように構成された本発明の第1の実
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。大きな素
数とは、離散対数問題を解くことが事実上不可能な程度
に大きな素数であるという意味である。(p−1)の素
因数をqとする。乗法群Zp *での位数がqとなるGF
(p)の元をgとする。すなわち、GF(p)の元の集合 Zp *={1,2,・・・,p−1} は、当然GF(p)上の乗法に関して群を成すから、GF
(p)の元のうち、乗法群における位数がqとなるgを選
ぶと、 gq mod p=1 gq' mod p≠1(1≦q'≦q−1) を満たす。
【0012】証明者は、3個の任意の整数si(1≦si
≦q−1:1≦i≦3)を秘密鍵として秘密に保管す
る。公開鍵として vi=g-si modp(1≦i≦3) を公開する。
【0013】次に、ステップ1を説明する。証明者は、
乱数r(1≦r≦q−1)を選んで、前情報 x=gr modp を計算して検証者に送信する。
【0014】ステップ2で、検証者は、乱数e(1≦e
≦q−1)を選んで証明者に送信する。
【0015】ステップ3で、証明者は、検証情報 y=r+(s1+s2+s3)×e modq を計算して検証者に送信する。
【0016】ステップ4で、検証者は、検証式 x=gy×(v1×v2×v3)e modp を検算する。秘密鍵と公開鍵が正しく対応すれば、 gy×(v1×v2×v3)e modp =g^{r+(s1+s2+s3)×e modq} ×(g-s1×g-s2×g-s3)emodp =g^{r+(s1+s2+s3)×e−(s1+s2+s3)×e} modp =gr modp=x となる。したがって、検証式が成り立つ場合には証明者
の全ての秘密鍵を正当であると判断する。成り立たない
場合には、不正な秘密鍵が存在すると判断する。
【0017】上記のように、本発明の第1の実施の形態
では、認証方法を、複数のSchnorr認証の検証情報を1
つにまとめて認証する方法としてので、1回分のSchnor
r認証のベキ乗剰余演算回数と通信量で、複数の秘密鍵
を検証できる。また、単に複数の秘密鍵を一つの秘密鍵
として扱うように拡張した方式のため、安全性は元の方
式に等しい。
【0018】(第2の実施の形態)本発明の第2の実施
の形態は、複数の岡本龍明認証の検証情報を1つにまと
めた認証方法である。
【0019】第2図は、本発明の第2の実施の形態にお
ける認証方法の手順を示した流れ図である。図2におい
て、証明者1は、秘密鍵により本人であることを証明し
ようとする者である。通信路2は、無線または有線の通
信路である。検証者3は、公開鍵の示す者と証明者が一
致するか否かを検証する者である。ステップ1は、前情
報の送信段階である。ステップ2は、乱数の返送段階で
ある。ステップ3は、検証情報の送信段階である。ステ
ップ4は、検証段階である。
【0020】上記のように構成された本発明の第2の実
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をg1,g2とする。証明者は、任意の整
数si(1≦si≦q−1:1≦i≦3)と、任意の整数
i(1≦ti≦q−1:1≦i≦3)を秘密鍵として秘
密に保管する。公開鍵として vi=g1 si2 ti modp(1≦i≦3) を公開する。
【0021】次に、ステップ1を説明する。証明者は、
乱数r1とr2(1≦r1,r2≦q−1)を選んで、前情
報 x=g1 r12 r2 modp を計算して検証者に送信する。
【0022】ステップ2で、検証者は、f(f=O
(p))ビットの乱数eを選んで、証明者に送信する。
【0023】ステップ3で、証明者は、検証情報 y1=r1+(s1+s2+s3)×e modq y2=r2+(t1+t2+t3)×e modq を計算して検証者に送信する。
【0024】ステップ4で、検証者は、検証式 gy1y2=x×(v1×v2×v3)e modp を検算する。秘密鍵と公開鍵が正しく対応すれば検証式
が成り立つ。したがって、検証式が成り立つ場合には、
証明者の全ての秘密鍵を正当であると判断する。成り立
たない場合には、不正な秘密鍵が存在すると判断する。
【0025】上記のように、本発明の第2の実施の形態
では、認証方法を、複数の岡本龍明認証の検証情報を1
つにまとめて認証する方法としてので、1回分の岡本龍
明認証のベキ乗剰余演算回数と通信量で、複数の秘密鍵
を検証できる。また、単に複数の秘密鍵を一つの秘密鍵
として扱うように拡張した方式のため、安全性は元の方
式に等しい。
【0026】(第3の実施の形態)本発明の第3の実施
の形態は、複数のDSA署名の署名情報を1つにまとめ
た署名方法である。
【0027】図3は、本発明の第3の実施の形態におけ
る署名方法の手順を示す流れ図である。図3において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、送信段階
である。ステップ2は、検証段階である。
【0028】上記のように構成された本発明の第3の実
施の形態における署名方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。証明者は、任意の整数xi
(1≦xi≦q−1:1≦i≦3)を秘密鍵として秘密
に保管する。公開鍵として、 yi=gxi modp(1≦i≦n) を公開する。証明者と検証者はハッシュ関数h( )を利
用できる。
【0029】次に、ステップ1を説明する。証明者は、
平文mに対して、乱数k(1≦k≦q−1)を選んで、
署名 R=(gk modp) modq S=(h(m)+(x1+x2+x3)×R)/k modq を計算して平文mと共に検証者に送信する。
【0030】ステップ2で、検証者は、検証式 R=(gh(m)/S mod q×(y1×y2×y3)R/S mod q mod
p) modq を検算する。署名と公開鍵が正しく対応すれば、 (g^{h(m)/S mod q}×g^{(x1+x2+x3)×R/
S mod q} mod p) mod q=(g^{k×S/S mod q} mod
p) mod q=R となるので、検証式が成り立つ場合には、平文mの署名
に用いられた証明者の全ての秘密鍵を正当であると判断
する。成り立たない場合には、不正な秘密鍵が存在する
または成りすましまたは改ざんが行なわれたと判断す
る。
【0031】上記のように、本発明の第3の実施の形態
では、署名方法を、複数のDSA署名の署名情報を1つ
にまとめて署名する方法としたので、検証者のべき乗剰
余演算回数が、認証する秘密鍵の個数に依存しない。
【0032】(第4の実施の形態)本発明の第4の実施
の形態は、複数のSchnorr署名の署名情報を1つにまと
めた署名方法である。
【0033】図4は、本発明の第4の実施の形態におけ
る署名方法の手順を示す流れ図である。図4において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、送信段階
である。ステップ2は、検証段階である。
【0034】上記のように構成された本発明の第4の実
施の形態における署名方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。証明者は、任意の整数xi
(1≦xi≦q−1:1≦i≦3)を秘密鍵として秘密
に保管する。公開鍵として、 yi=g-xi modp(1≦i≦3) を公開する。証明者と検証者は、q以下の値を出力する
ハッシュ関数h( )を利用できる。
【0035】次に、ステップ1を説明する。証明者は、
平文mに対して、乱数k(1≦k≦q−1)を選んで署
名 R=h(gk modp,m) S=k+(x1+x2+x3)×R modq を計算して平文mと共に検証者に送信する。
【0036】ステップ2で、検証者は、検証式 R=h(gS×(y1×y2×y3)R modp,m) を検算する。署名と公開鍵が正しく対応すれば、 h(gS×(y1×y2×y3)R modp,m)=h(g^{k+
(x1+x2+x3)×R modq}×g^{−(x1+x2+x3)
×R modq} mod p,m)=h(gk modp,m)=R となるので、検証式が成り立つ場合には、平文mの署名
に用いられた証明者の全ての秘密鍵を正当であると判断
する。成り立たない場合には、不正な秘密鍵が存在する
または成りすましまたは改ざんが行なわれたと判断す
る。
【0037】同様な方法で、Nyberg-Rueppe回復型署名
に適用することもできる。(Nyberg-Rueppe回復型署名
については、Menezes, van Oorschot, Vanstone著「HAN
DBOOKof APPLIED CRYPTOGRAPHY」(CRC出版)pp.460-46
2を参照)すなわち、図5に示すように、準備段階にお
いて、証明者1は、3個の任意の整数xi(1≦xi≦q
−1:1≦i≦3)を秘密鍵として秘密に保管する。2
個以上であればいくつでもよい。
【0038】yi=g^xi modp(1≦i≦3) を公開鍵として公開する。
【0039】ステップ1において、検証者3にメッセー
ジmを送る場合に、証明者1は平文mに対して、乱数k
(1≦k≦q−1)を選んで署名 R=m×g^k modp S=(x1+x2+x3)×R+k modq を計算して検証者3に通信路2を介して送信する。
【0040】ステップ2において、検証者3は、検証式 m'=(g^S)×{(y1×y2×y3)^(−R)}×R modp により平文m’を計算する。署名に対して改ざんおよび
成りすましが行われていなければ、 m=m’ となる。
【0041】上記のように、本発明の第4の実施の形態
では、署名方法を、複数のSchnorr署名の署名情報を1
つにまとめて署名する方法としたので、検証者のべき乗
剰余演算回数が、認証する秘密鍵の個数に依存しない。
【0042】(第5の実施の形態)本発明の第5の実施
の形態は、ICカードの複数の検証情報を1つにまとめ
て認証サーバで認証する認証方法である。
【0043】図6は、本発明の第5の実施の形態におけ
る認証方法の手順を示す流れ図である。図6において、
ICカード4は、秘密鍵により真正であることを証明し
ようとするカードである。通信路2は、無線または有線
の通信路である。認証サーバ5は、公開鍵の示すカード
とICカードが一致するか否かを検証する者である。ス
テップ1は、前情報の送信段階である。ステップ2は、
乱数の返送段階である。ステップ3は、検証情報の送信
段階である。ステップ4は、検証段階である。
【0044】上記のように構成された本発明の第5の実
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。ICカード4には、個人秘
密鍵x1と、主任秘密鍵x2と、部秘密鍵x3が秘密に格
納されている。認証サーバ5は、個人公開鍵 y1=g^(-x1) mod p と、主任公開鍵 y2=g^(-x2) mod p と、部公開鍵 y3=g^(-x3) mod p を保持している。
【0045】次に、ステップ1を説明する。ICカード
は、乱数k(1≦k≦q−1)を選んで、前情報 r=gk modp を計算して認証サーバ5に通信路2を介して送信する。
【0046】ステップ2で、認証サーバ5は、乱数e
(1≦e≦q−1)を選んでICカード4に送信する。
【0047】ステップ3で、ICカードは、検証情報 s=r+(x1+x2+x3)×e modq を計算して認証サーバに送信する。
【0048】ステップ4で、認証サーバは、検証式 r=gs×(y1×y2×y3)e modp を検算する。秘密鍵と公開鍵が正しく対応すれば、検証
式が成り立つ。したがって、検証式が成り立つ場合には
ICカードの全ての秘密鍵を正当であると判断する。成
り立たない場合には、不正な秘密鍵が存在すると判断す
る。
【0049】その他の認証方法を利用する場合も、同様
に適用できる。また、署名についても、ほぼ同様にして
実現できることは、当業者には明らかである。
【0050】上記のように、本発明の第5の実施の形態
では、認証方法を、ICカードの複数の検証情報を1つ
にまとめて認証サーバで認証する方法としたので、社内
の組織変更があっても、対象者のICカードの秘密鍵の
みを変更することで容易に対応できる。
【0051】(第6の実施の形態)本発明の第6の実施
の形態は、検証式が不成立の場合に2分探索法により不
正鍵を検索する認証方法である。
【0052】図7は、本発明の第6の実施の形態におけ
る認証方法の手順を示す流れ図である。図7において、
ステップ1は、全体の公開鍵の検証処理である。ステッ
プ2は、公開鍵1〜4の検証処理である。ステップ3
は、公開鍵1、2の検証処理である。ステップ4は、公
開鍵1の検証処理である。ステップ5は、公開鍵1の不
正検出処理である。ステップ6は、公開鍵5、6の検証
処理である。ステップ7は、公開鍵7の検証処理であ
る。ステップ8は、公開鍵5の検証処理である。ステッ
プ9は、公開鍵3の検証処理である。
【0053】上記のように構成された本発明の第6の実
施の形態における署名方法の手順を説明する。検証者
は、検証式 x=gy(v1×v2×…×vn)e modp が成り立つか否かを検証する。検証式が成り立たない場
合は、全公開鍵を半数ずつのグループに分けて検証を行
い、成り立たない方のグループを半数ずつのグループに
分けて検証を行うことを、不正鍵に対応する公開鍵が特
定できるまで繰り返す。
【0054】2分探索法に類似の方法による不正鍵に対
応する公開鍵の効率的な特定方法を、公開鍵数が8個の
場合を例として説明する。
【0055】ステップ1:検証者は、次の検証式 x=gy(v1×v2×v3×v4×v5×v6×v7×v8)e modp -(1) が成り立つか否かを検証する。
【0056】ステップ2:(1)式が不成立ならば公開
鍵を1〜4と5〜8のグループに分けて、 x=gy(v1×v2×v3×v4)e modp -(2) x=gy(v5×v6×v7×v8)e modp -(3) 同様に検証を行う。
【0057】ステップ3:(2)式が成立しない場合に
は、1〜2と3〜4にグループ分けて、 x=gy(v1×v2)e modp -(4) x=gy(v3×v4)e modp -(5) 同様に検証を行う。
【0058】ステップ4:(4)式が成立しない場合に
は、1と2に関してそれぞれ同様に、 x=gy1 e modp -(6) x=gy2 e modp -(7) 検証を行う。
【0059】ステップ5:(6)式が成立しない場合に
は、不正鍵に対応する公開鍵はv1であると特定でき
る。
【0060】検証者と証明者からなる検証システムにお
いて、本実施の形態とSchnorr認証法の不正鍵に対応す
る公開鍵を特定するために必要な検証者のベキ乗剰余演
算の回数を、公開鍵の総数をnとして比較する。
【0061】不正鍵が存在しないことを検証する場合
は、本実施の形態では常に2回で一定であるのに対し、
Schnorr認証法の場合には2×n回のベキ乗剰余演算が
必要となる。例えば、n=256台ならば、本実施の形態
では2回であるのに対し、Schnorr認証法では512回のベ
キ乗剰余演算が必要となる。
【0062】本実施の形態の場合には、不正鍵に対応す
る公開鍵を特定するためには、さらにベキ乗剰余演算が
4×log2n回必要である。例えば、n=256台ならば、
本発明では32回となるので、上記の2回との合計で34回
となり、512回必要であるSchnorr認証法より効率的であ
る。
【0063】実際は、不正鍵が存在する場合の方が少な
いので、存在確認のみならば、ベキ乗剰余演算2回で検
証可能な本実施の形態の方が、不正鍵の存在に関わらず
常に検証に2×n回必要なSchnorr認証法に比べて実用
上はさらに効率的である。
【0064】その他の認証方法を利用する場合も、同様
に適用できる。また、署名についても、ほぼ同様にして
実現できることは、当業者には明らかである。
【0065】上記のように、本発明の第6の実施の形態
では、認証方法を、検証式が不成立の場合に2分探索法
により不正鍵を検索する方法としたので、全ての鍵を個
別に検索するより効率的に検索できる。
【0066】
【発明の効果】以上の説明から明らかなように、本発明
では、証明者と検証者と通信路とからなる検証システム
の検証方法を、大きな素数をp,q(q|p−1)と
し、乗法群Zp *での位数がqとなるGF(p)の元をgと
して、証明者は、n(n≧2)個の任意の整数si(1
≦si≦q−1:1≦i≦n)を秘密鍵として秘密に保
管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、検証者による認証を受ける場合
に、(1)証明者は、乱数r(1≦r≦q−1)を選んで
前情報 x=gr modp を計算して検証者に通信路を介して送信し、(2)検証者
は、前情報xを受信してから、乱数e(1≦e<q)を
選んで証明者に通信路を介して送信し、(3)証明者は、
乱数eを受信してから、検証情報 y=r+(s1+s2+…+sn)×e modq を計算して検証者に通信路を介して送信し、(4)検証者
は、検証情報yを受信してから、検証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には証明者の全
ての秘密鍵を正当であると判断し、成り立たない場合に
は不正な秘密鍵が存在すると判断する構成としたので、
複数の検証情報をまとめた検証情報を作成して検証情報
の通信量を削減できるとともに、検証時に検証者が複数
の公開鍵をまとめて検証することで、検証回数によらず
ベキ乗剰余演算の回数を一定回数に保つことができると
いう効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における認証方法の
手順を示す流れ図、
【図2】本発明の第2の実施の形態における認証方法の
手順を示す流れ図、
【図3】本発明の第3の実施の形態における署名方法の
手順を示す流れ図、
【図4】本発明の第4の実施の形態における署名方法の
手順を示す流れ図、
【図5】本発明の第4の実施の形態における別の署名方
法の手順を示す流れ図、
【図6】本発明の第5の実施の形態における認証方法の
手順を示す流れ図、
【図7】本発明の第6の実施の形態における認証方法の
手順を示す流れ図、
【図8】従来のSchnorr認証法の手順を示す流れ図、
【図9】従来の岡本龍明認証法の手順を示す流れ図であ
る。
【符号の説明】
1 証明者 2 通信路 3 検証者 4 ICカード 5 認証サーバ
フロントページの続き (72)発明者 松崎 なつめ 神奈川県横浜市港北区新横浜三丁目20番地 8 株式会社高度移動通信セキュリティ技 術研究所内 Fターム(参考) 5J104 AA07 JA23 JA29 KA05 KA06 KA08 NA02 NA18 NA35

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 証明者と検証者と通信路とからなる検証
    システムの検証方法において、大きな素数をp,q(q
    |p−1)とし、乗法群Zp *での位数がqとなるGF
    (p)の元をgとして、前記証明者は、n(n≧2)個の
    任意の整数si(1≦si≦q−1:1≦i≦n)を秘密
    鍵として秘密に保管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、前記検証者による認証を受ける
    場合に、 (1)前記証明者は、乱数r(1≦r≦q−1)を選んで
    前情報 x=gr modp を計算して前記検証者に前記通信路を介して送信し、 (2)前記検証者は、前記前情報xを受信してから、乱数
    e(1≦e<q)を選んで前記証明者に前記通信路を介
    して送信し、 (3)前記証明者は、前記乱数eを受信してから、検証情
    報 y=r+(s1+s2+…+sn)×e modq を計算して前記検証者に前記通信路を介して送信し、 (4)前記検証者は、前記検証情報yを受信してから、検
    証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には前記証明者
    の全ての秘密鍵が正当であり成りすましが行なわれてい
    ないと判断し、成り立たない場合には不正な秘密鍵が存
    在すると判断することを特徴とする認証方法。
  2. 【請求項2】 証明者と検証者と通信路とからなる検証
    システムの認証方法において、大きな素数をp,q(q
    |p−1)とし、乗法群Zp *での位数がqとなるGF
    (p)の元をg1,g2として、証明者は、n(n≧2)個
    の任意の整数s i(1≦si≦q−1:1≦i≦n)とn
    個の任意の整数ti(1≦ti≦q−1:1≦i≦n)を
    秘密鍵として秘密に保管し、 vi=g1 si2 ti modp(1≦i≦n) を公開鍵として公開し、前記検証者による認証を受ける
    場合に、 (1)前記証明者は、乱数r1とr2(1≦r1,r2≦q−
    1)を選んで前情報 x=g1 r12 r2 modp を計算して前記検証者に前記通信路を介して送信し、 (2)前記検証者は、前記前情報xを受信してから、f
    (f=O(p))ビットの乱数eを選んで前記証明者に前
    記通信路を介して送信し、 (3)前記証明者は、前記乱数eを受信してから、検証情
    報 y1=r1+(s1+s2+…+sn)×e modq y2=r2+(t1+t2+…+tn)×e modq を計算して前記検証者に前記通信路を介して送信し、 (4)前記検証者は、前記検証情報y1,y2を受信してか
    ら、検証式 gy1y2 mod p=x×(v1×v2×…×vn)e modp が成り立つか否かを検算し、成り立つ場合には前記証明
    者の全ての秘密鍵が正当であり成りすましが行なわれて
    いないと判断し、成り立たない場合には不正な秘密鍵が
    存在すると判断することを特徴とする認証方法。
  3. 【請求項3】 証明者と検証者と通信路とからなる検証
    システムの署名方法において、大きな素数をp,q(q
    |p−1)とし、乗法群Zp *での位数がqとなるGF
    (p)の元をgとして、前記証明者は、n(n≧2)個の
    任意の整数xi(1≦xi≦q−1:1≦i≦n)を秘密
    鍵として秘密に保管し、 yi=gxi modp(1≦i≦n) を公開鍵として公開し、前記証明者と前記検証者はハッ
    シュ関数h( )を利用できるものとし、前記検証者にメ
    ッセージを送る場合に、 (1)前記証明者は平文mに対して、乱数k(1≦k≦q
    −1)を選んで署名 R=(gk modp) modq S=(h(m)+(x1+x2+…+xn)×R)/k modq を計算して前記平文mと共に前記検証者に前記通信路を
    介して送信し、 (2)前記検証者は、検証式 R=(gh(m)/S×(y1×y2×…×yn)R/S modp) modq が成り立つか否かを検算し、成り立つ場合には前記平文
    mの署名に用いられた前記証明者の全ての秘密鍵が正当
    であり前記署名に対して改ざんおよび成りすましが行わ
    れていない判断し、成り立たない場合には不正な秘密鍵
    が存在するまたは成りすましまたは改ざんが行なわれた
    と判断することを特徴とする署名方法。
  4. 【請求項4】 証明者と検証者と通信路とからなる検証
    システムの署名方法において、大きな素数をp,q(q
    |p−1)とし、乗法群Zp *での位数がqとなるGF
    (p)の元をgとして、前記証明者は、n(n≧2)個の
    任意の整数xi(1≦xi≦q−1:1≦i≦n)を秘密
    鍵として秘密に保管し、 yi=g-xi modp(1≦i≦n) を公開鍵として公開し、前記証明者と検証者は、q以下
    の値を出力するハッシュ関数h( )を利用できるものと
    し、前記検証者にメッセージを送る場合に、 (1)前記証明者は、平文mに対して、乱数k(1≦k≦
    q−1)を選んで署名 R=h(gk modp,m) S=k+(x1+x2+…+xn)×R modq を計算して前記平文mと共に前記検証者に前記通信路を
    介して送信し、 (2)前記検証者は、検証式 R=h(gS×(y1×y2×…×yn)R modp,m) が成り立つか否かを検算し、成り立つ場合には前記平文
    mの署名に用いられた前記証明者の全ての秘密鍵が正当
    であり前記署名に対して改ざんおよび成りすましが行わ
    れていないと判断し、成り立たない場合には不正な秘密
    鍵が存在するまたは成りすましまたは改ざんが行なわれ
    たと判断することを特徴とする署名方法。
  5. 【請求項5】 証明者と検証者と通信路とからなる検証
    システムの署名方法において、大きな素数をp,q(q
    |p−1)とし、乗法群Zp *での位数がqとなるGF
    (p)の元をgとして、前記証明者は、n(n≧2)個の
    任意の整数xi(1≦xi≦q−1:1≦i≦n)を秘密
    鍵として秘密に保管し、 yi=g^xi modp(1≦i≦n) を公開鍵として公開し、前記検証者にメッセージを送る
    場合に、 (1)前記証明者は平文mに対して、乱数k(1≦k≦q
    −1)を選んで署名 R=m×g^k modp S=(x1+x2+…+xn)×R+k modq を計算して前記検証者に前記通信路を介して送信し、 (2)前記検証者は、検証式 m'=(g^S)×{(y1×y2×…×yn)^(−R)}×R mod
    p により平文m’を計算し、前記署名に対して改ざんおよ
    び成りすましが行われていなければ、 m=m’ となることを特徴とする署名方法。
  6. 【請求項6】 前記証明者はICカードであり、前記検
    証者は認証サーバであることを特徴とする請求項1また
    は2記載の認証方法。
  7. 【請求項7】 前記証明者はICカードであり、前記検
    証者は認証サーバであることを特徴とする請求項3、
    4、5のいずれかに記載の署名方法。
  8. 【請求項8】 前記検証式が成り立たない場合には、前
    記公開鍵を半数ずつのグループに分けて再び前記検証を
    行い、前記検証式が成り立たない方のグループをさらに
    半数ずつのグループに分けて前記検証を行うことを不正
    な秘密鍵に対応する公開鍵を特定できるまで繰り返すこ
    とを特徴とする請求項1、2、6のいずれかに記載の認
    証方法。
  9. 【請求項9】 前記検証式が成り立たない場合には、前
    記公開鍵を半数ずつのグループに分けて再び前記検証を
    行い、前記検証式が成り立たない方のグループをさらに
    半数ずつのグループに分けて前記検証を行うことを不正
    な秘密鍵に対応する公開鍵を特定できるまで繰り返すこ
    とを特徴とする請求項3、4、5、7のいずれかに記載
    の署名方法。
JP2000014713A 2000-01-24 2000-01-24 一括署名方法 Pending JP2001209308A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000014713A JP2001209308A (ja) 2000-01-24 2000-01-24 一括署名方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000014713A JP2001209308A (ja) 2000-01-24 2000-01-24 一括署名方法

Publications (1)

Publication Number Publication Date
JP2001209308A true JP2001209308A (ja) 2001-08-03

Family

ID=18542129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000014713A Pending JP2001209308A (ja) 2000-01-24 2000-01-24 一括署名方法

Country Status (1)

Country Link
JP (1) JP2001209308A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009005213A (ja) * 2007-06-25 2009-01-08 Hitachi Ltd 一括検証装置、プログラム及び一括検証方法
KR100971038B1 (ko) * 2001-12-21 2010-07-20 프랑스 텔레콤 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법
US7840815B2 (en) 2005-07-13 2010-11-23 Fuji Xerox Co., Ltd. Digital signature computer, system, method, and storage medium storing program for collectively affixing signature to plurality of messages

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100971038B1 (ko) * 2001-12-21 2010-07-20 프랑스 텔레콤 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법
US7840815B2 (en) 2005-07-13 2010-11-23 Fuji Xerox Co., Ltd. Digital signature computer, system, method, and storage medium storing program for collectively affixing signature to plurality of messages
JP2009005213A (ja) * 2007-06-25 2009-01-08 Hitachi Ltd 一括検証装置、プログラム及び一括検証方法

Similar Documents

Publication Publication Date Title
US9160530B2 (en) Method and apparatus for verifiable generation of public keys
US6446207B1 (en) Verification protocol
US8594324B2 (en) Key validation scheme
US8639931B2 (en) Acceleration of key agreement protocols
US9800418B2 (en) Signature protocol
CA2305896C (en) Key validation scheme
US20020136401A1 (en) Digital signature and authentication method and apparatus
KR0146438B1 (ko) 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법
US20150006900A1 (en) Signature protocol
Minh et al. Blind signature protocol based on difficulty of simultaneous solving two difficult problems
Min-Shiang et al. Two simple batch verifying multiple digital signatures
Hwang et al. An untraceable blind signature scheme
Huang et al. Partially blind ECDSA scheme and its application to bitcoin
Malina et al. Trade-off between signature aggregation and batch verification
WO2016187689A1 (en) Signature protocol
JP2001209308A (ja) 一括署名方法
Chang et al. Threshold untraceable signature for group communications
EP1025674A1 (en) Signature verification for elgamal schemes
Lee et al. Untraceable blind signature schemes based on discrete logarithm problem
US9252941B2 (en) Enhanced digital signatures algorithm method and system utilitzing a secret generator
Sun et al. An improved proxy signature scheme based on elliptic curve cryptography
Tso et al. Practical strong designated verifier signature schemes based on double discrete logarithms
JPH11252070A (ja) 利用者認証方式
Hai-Peng et al. Digital signature algorithm based on hash round function and self-certified public key system
CA2892318C (en) Signature protocol

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040106