JP2001209308A - 一括署名方法 - Google Patents
一括署名方法Info
- Publication number
- JP2001209308A JP2001209308A JP2000014713A JP2000014713A JP2001209308A JP 2001209308 A JP2001209308 A JP 2001209308A JP 2000014713 A JP2000014713 A JP 2000014713A JP 2000014713 A JP2000014713 A JP 2000014713A JP 2001209308 A JP2001209308 A JP 2001209308A
- Authority
- JP
- Japan
- Prior art keywords
- verifier
- prover
- verification
- modp
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 認証や署名において、検証情報の通信量を削
減するとともに、複数の秘密鍵を1回の演算で検証でき
るようにする。 【解決手段】 証明者1は、前情報x=gr modp
(r:乱数)を計算して検証者に送信する。検証者3
は、乱数eを証明者に送信する。証明者1は、検証情報
y=r+(s1+s2+s3)×e modq(s1〜s3:秘密
鍵)を計算して検証3者に送信する。検証者3は、検証
式x=gy×(v1×v2×v3)e modp(v1〜v3:公開
鍵)を検算する。秘密鍵と公開鍵が正しく対応すれば、
検証式が成立する。検証者3が複数の公開鍵をまとめて
検証するので、1回分の認証のベキ乗剰余演算回数で、
複数の秘密鍵を検証できる。検証情報の通信量も削減で
きる。
減するとともに、複数の秘密鍵を1回の演算で検証でき
るようにする。 【解決手段】 証明者1は、前情報x=gr modp
(r:乱数)を計算して検証者に送信する。検証者3
は、乱数eを証明者に送信する。証明者1は、検証情報
y=r+(s1+s2+s3)×e modq(s1〜s3:秘密
鍵)を計算して検証3者に送信する。検証者3は、検証
式x=gy×(v1×v2×v3)e modp(v1〜v3:公開
鍵)を検算する。秘密鍵と公開鍵が正しく対応すれば、
検証式が成立する。検証者3が複数の公開鍵をまとめて
検証するので、1回分の認証のベキ乗剰余演算回数で、
複数の秘密鍵を検証できる。検証情報の通信量も削減で
きる。
Description
【0001】
【発明の属する技術分野】本発明は、一括署名方法に関
し、特に、1回の検証で証明者の複数の秘密鍵を認証す
る一括署名方法に関する。
し、特に、1回の検証で証明者の複数の秘密鍵を認証す
る一括署名方法に関する。
【0002】
【従来の技術】従来の認証方式としては、Schnorr認証
法(詳細は、「HANDBOOK of APPLIED CRYPTOGRAPHY」Me
nezes,van Oorschot,Vanstone 共著,CRC出版,pp414
-416を参照)や、岡本龍明認証法(詳細は、「現代暗
号」岡本龍明,山本博資 共著,産業図書,pp160-pp161
の「離散対数問題に基づく認証」を参照)が知られてい
る。前者は演算量の少なさから、後者は安全性の高さか
ら非常に優れている。図8に、一対一の通信システムに
おけるSchnorr認証法を示す。図9に、一対一通信シス
テムにおける岡本龍明認証法を示す。
法(詳細は、「HANDBOOK of APPLIED CRYPTOGRAPHY」Me
nezes,van Oorschot,Vanstone 共著,CRC出版,pp414
-416を参照)や、岡本龍明認証法(詳細は、「現代暗
号」岡本龍明,山本博資 共著,産業図書,pp160-pp161
の「離散対数問題に基づく認証」を参照)が知られてい
る。前者は演算量の少なさから、後者は安全性の高さか
ら非常に優れている。図8に、一対一の通信システムに
おけるSchnorr認証法を示す。図9に、一対一通信シス
テムにおける岡本龍明認証法を示す。
【0003】ところで、会社などでは、社員は、複数の
グループ(プロジェクトチーム、課、部など)に所属する
ため、複数の秘密鍵を持つことが多い。このように、証
明者が複数の秘密鍵を所有し、それに対応する複数の公
開鍵がある場合には、従来のSchnorr認証やDSA署名
などの通常の離散対数問題系の認証方式や署名方式で
は、それぞれの秘密鍵と公開鍵の組の数だけ検証を行っ
て、すべての秘密鍵が正しいことを確認する。(DSA
署名については、岡本、山本著「現代暗号」(産業図書
1997年)pp.179-180を参照)
グループ(プロジェクトチーム、課、部など)に所属する
ため、複数の秘密鍵を持つことが多い。このように、証
明者が複数の秘密鍵を所有し、それに対応する複数の公
開鍵がある場合には、従来のSchnorr認証やDSA署名
などの通常の離散対数問題系の認証方式や署名方式で
は、それぞれの秘密鍵と公開鍵の組の数だけ検証を行っ
て、すべての秘密鍵が正しいことを確認する。(DSA
署名については、岡本、山本著「現代暗号」(産業図書
1997年)pp.179-180を参照)
【0004】
【発明が解決しようとする課題】しかし、上記従来のSc
hnorr認証やDSA署名はベキ乗剰余演算を含むため、
複数回の検証にはある程度の時間が必要となる。したが
って、認証する秘密鍵が非常に多い場合には、演算時間
が大きくなるという問題がある。また、通信量も検証の
回数に依存して増加するという問題がある。
hnorr認証やDSA署名はベキ乗剰余演算を含むため、
複数回の検証にはある程度の時間が必要となる。したが
って、認証する秘密鍵が非常に多い場合には、演算時間
が大きくなるという問題がある。また、通信量も検証の
回数に依存して増加するという問題がある。
【0005】本発明は、上記従来の問題を解決して、検
証者は、証明者の複数の秘密鍵を1回の演算で検証でき
るようにすることを目的とする。
証者は、証明者の複数の秘密鍵を1回の演算で検証でき
るようにすることを目的とする。
【0006】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、証明者と検証者と通信路とからなる
検証システムの検証方法を、大きな素数をp,q(q|
p−1)とし、乗法群Zp *での位数がqとなるGF(p)
の元をgとして、証明者は、n(n≧2)個の任意の整
数si(1≦si≦q−1:1≦i≦n)を秘密鍵として
秘密に保管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、検証者による認証を受ける場合
に、 (1)証明者は、乱数r(1≦r≦q−1)を選んで前情
報 x=gr modp を計算して検証者に通信路を介して送信し、 (2)検証者は、前情報xを受信してから、乱数e(1≦
e<q)を選んで証明者に通信路を介して送信し、 (3)証明者は、乱数eを受信してから、検証情報 y=r+(s1+s2+…+sn)×e modq を計算して検証者に通信路を介して送信し、 (4)検証者は、検証情報yを受信してから、検証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には証明者の全
ての秘密鍵を正当であると判断し、成り立たない場合に
は不正な秘密鍵が存在すると判断する構成とした。
めに、本発明では、証明者と検証者と通信路とからなる
検証システムの検証方法を、大きな素数をp,q(q|
p−1)とし、乗法群Zp *での位数がqとなるGF(p)
の元をgとして、証明者は、n(n≧2)個の任意の整
数si(1≦si≦q−1:1≦i≦n)を秘密鍵として
秘密に保管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、検証者による認証を受ける場合
に、 (1)証明者は、乱数r(1≦r≦q−1)を選んで前情
報 x=gr modp を計算して検証者に通信路を介して送信し、 (2)検証者は、前情報xを受信してから、乱数e(1≦
e<q)を選んで証明者に通信路を介して送信し、 (3)証明者は、乱数eを受信してから、検証情報 y=r+(s1+s2+…+sn)×e modq を計算して検証者に通信路を介して送信し、 (4)検証者は、検証情報yを受信してから、検証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には証明者の全
ての秘密鍵を正当であると判断し、成り立たない場合に
は不正な秘密鍵が存在すると判断する構成とした。
【0007】このように構成したことにより、予め証明
者側において複数の検証情報をまとめた検証情報を作成
して検証情報の通信量を削減できる。さらに、検証時に
検証者が複数の公開鍵をまとめて検証することで、検証
回数によらずベキ乗剰余演算の回数を一定回数に保つこ
とができる。
者側において複数の検証情報をまとめた検証情報を作成
して検証情報の通信量を削減できる。さらに、検証時に
検証者が複数の公開鍵をまとめて検証することで、検証
回数によらずベキ乗剰余演算の回数を一定回数に保つこ
とができる。
【0008】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図1〜図7を参照しながら詳細に説明する。
て、図1〜図7を参照しながら詳細に説明する。
【0009】(第1の実施の形態)本発明の第1の実施
の形態は、複数のSchnorr認証の検証情報を1つにまと
めた認証方法である。
の形態は、複数のSchnorr認証の検証情報を1つにまと
めた認証方法である。
【0010】図1は、本発明の第1の実施の形態におけ
る認証方法の手順を示す流れ図である。図1において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、前情報の
送信段階である。ステップ2は、乱数の返送段階であ
る。ステップ3は、検証情報の送信段階である。ステッ
プ4は、検証段階である。
る認証方法の手順を示す流れ図である。図1において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、前情報の
送信段階である。ステップ2は、乱数の返送段階であ
る。ステップ3は、検証情報の送信段階である。ステッ
プ4は、検証段階である。
【0011】上記のように構成された本発明の第1の実
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。大きな素
数とは、離散対数問題を解くことが事実上不可能な程度
に大きな素数であるという意味である。(p−1)の素
因数をqとする。乗法群Zp *での位数がqとなるGF
(p)の元をgとする。すなわち、GF(p)の元の集合 Zp *={1,2,・・・,p−1} は、当然GF(p)上の乗法に関して群を成すから、GF
(p)の元のうち、乗法群における位数がqとなるgを選
ぶと、 gq mod p=1 gq' mod p≠1(1≦q'≦q−1) を満たす。
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。大きな素
数とは、離散対数問題を解くことが事実上不可能な程度
に大きな素数であるという意味である。(p−1)の素
因数をqとする。乗法群Zp *での位数がqとなるGF
(p)の元をgとする。すなわち、GF(p)の元の集合 Zp *={1,2,・・・,p−1} は、当然GF(p)上の乗法に関して群を成すから、GF
(p)の元のうち、乗法群における位数がqとなるgを選
ぶと、 gq mod p=1 gq' mod p≠1(1≦q'≦q−1) を満たす。
【0012】証明者は、3個の任意の整数si(1≦si
≦q−1:1≦i≦3)を秘密鍵として秘密に保管す
る。公開鍵として vi=g-si modp(1≦i≦3) を公開する。
≦q−1:1≦i≦3)を秘密鍵として秘密に保管す
る。公開鍵として vi=g-si modp(1≦i≦3) を公開する。
【0013】次に、ステップ1を説明する。証明者は、
乱数r(1≦r≦q−1)を選んで、前情報 x=gr modp を計算して検証者に送信する。
乱数r(1≦r≦q−1)を選んで、前情報 x=gr modp を計算して検証者に送信する。
【0014】ステップ2で、検証者は、乱数e(1≦e
≦q−1)を選んで証明者に送信する。
≦q−1)を選んで証明者に送信する。
【0015】ステップ3で、証明者は、検証情報 y=r+(s1+s2+s3)×e modq を計算して検証者に送信する。
【0016】ステップ4で、検証者は、検証式 x=gy×(v1×v2×v3)e modp を検算する。秘密鍵と公開鍵が正しく対応すれば、 gy×(v1×v2×v3)e modp =g^{r+(s1+s2+s3)×e modq} ×(g-s1×g-s2×g-s3)emodp =g^{r+(s1+s2+s3)×e−(s1+s2+s3)×e} modp =gr modp=x となる。したがって、検証式が成り立つ場合には証明者
の全ての秘密鍵を正当であると判断する。成り立たない
場合には、不正な秘密鍵が存在すると判断する。
の全ての秘密鍵を正当であると判断する。成り立たない
場合には、不正な秘密鍵が存在すると判断する。
【0017】上記のように、本発明の第1の実施の形態
では、認証方法を、複数のSchnorr認証の検証情報を1
つにまとめて認証する方法としてので、1回分のSchnor
r認証のベキ乗剰余演算回数と通信量で、複数の秘密鍵
を検証できる。また、単に複数の秘密鍵を一つの秘密鍵
として扱うように拡張した方式のため、安全性は元の方
式に等しい。
では、認証方法を、複数のSchnorr認証の検証情報を1
つにまとめて認証する方法としてので、1回分のSchnor
r認証のベキ乗剰余演算回数と通信量で、複数の秘密鍵
を検証できる。また、単に複数の秘密鍵を一つの秘密鍵
として扱うように拡張した方式のため、安全性は元の方
式に等しい。
【0018】(第2の実施の形態)本発明の第2の実施
の形態は、複数の岡本龍明認証の検証情報を1つにまと
めた認証方法である。
の形態は、複数の岡本龍明認証の検証情報を1つにまと
めた認証方法である。
【0019】第2図は、本発明の第2の実施の形態にお
ける認証方法の手順を示した流れ図である。図2におい
て、証明者1は、秘密鍵により本人であることを証明し
ようとする者である。通信路2は、無線または有線の通
信路である。検証者3は、公開鍵の示す者と証明者が一
致するか否かを検証する者である。ステップ1は、前情
報の送信段階である。ステップ2は、乱数の返送段階で
ある。ステップ3は、検証情報の送信段階である。ステ
ップ4は、検証段階である。
ける認証方法の手順を示した流れ図である。図2におい
て、証明者1は、秘密鍵により本人であることを証明し
ようとする者である。通信路2は、無線または有線の通
信路である。検証者3は、公開鍵の示す者と証明者が一
致するか否かを検証する者である。ステップ1は、前情
報の送信段階である。ステップ2は、乱数の返送段階で
ある。ステップ3は、検証情報の送信段階である。ステ
ップ4は、検証段階である。
【0020】上記のように構成された本発明の第2の実
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をg1,g2とする。証明者は、任意の整
数si(1≦si≦q−1:1≦i≦3)と、任意の整数
ti(1≦ti≦q−1:1≦i≦3)を秘密鍵として秘
密に保管する。公開鍵として vi=g1 sig2 ti modp(1≦i≦3) を公開する。
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をg1,g2とする。証明者は、任意の整
数si(1≦si≦q−1:1≦i≦3)と、任意の整数
ti(1≦ti≦q−1:1≦i≦3)を秘密鍵として秘
密に保管する。公開鍵として vi=g1 sig2 ti modp(1≦i≦3) を公開する。
【0021】次に、ステップ1を説明する。証明者は、
乱数r1とr2(1≦r1,r2≦q−1)を選んで、前情
報 x=g1 r1g2 r2 modp を計算して検証者に送信する。
乱数r1とr2(1≦r1,r2≦q−1)を選んで、前情
報 x=g1 r1g2 r2 modp を計算して検証者に送信する。
【0022】ステップ2で、検証者は、f(f=O
(p))ビットの乱数eを選んで、証明者に送信する。
(p))ビットの乱数eを選んで、証明者に送信する。
【0023】ステップ3で、証明者は、検証情報 y1=r1+(s1+s2+s3)×e modq y2=r2+(t1+t2+t3)×e modq を計算して検証者に送信する。
【0024】ステップ4で、検証者は、検証式 gy1gy2=x×(v1×v2×v3)e modp を検算する。秘密鍵と公開鍵が正しく対応すれば検証式
が成り立つ。したがって、検証式が成り立つ場合には、
証明者の全ての秘密鍵を正当であると判断する。成り立
たない場合には、不正な秘密鍵が存在すると判断する。
が成り立つ。したがって、検証式が成り立つ場合には、
証明者の全ての秘密鍵を正当であると判断する。成り立
たない場合には、不正な秘密鍵が存在すると判断する。
【0025】上記のように、本発明の第2の実施の形態
では、認証方法を、複数の岡本龍明認証の検証情報を1
つにまとめて認証する方法としてので、1回分の岡本龍
明認証のベキ乗剰余演算回数と通信量で、複数の秘密鍵
を検証できる。また、単に複数の秘密鍵を一つの秘密鍵
として扱うように拡張した方式のため、安全性は元の方
式に等しい。
では、認証方法を、複数の岡本龍明認証の検証情報を1
つにまとめて認証する方法としてので、1回分の岡本龍
明認証のベキ乗剰余演算回数と通信量で、複数の秘密鍵
を検証できる。また、単に複数の秘密鍵を一つの秘密鍵
として扱うように拡張した方式のため、安全性は元の方
式に等しい。
【0026】(第3の実施の形態)本発明の第3の実施
の形態は、複数のDSA署名の署名情報を1つにまとめ
た署名方法である。
の形態は、複数のDSA署名の署名情報を1つにまとめ
た署名方法である。
【0027】図3は、本発明の第3の実施の形態におけ
る署名方法の手順を示す流れ図である。図3において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、送信段階
である。ステップ2は、検証段階である。
る署名方法の手順を示す流れ図である。図3において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、送信段階
である。ステップ2は、検証段階である。
【0028】上記のように構成された本発明の第3の実
施の形態における署名方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。証明者は、任意の整数xi
(1≦xi≦q−1:1≦i≦3)を秘密鍵として秘密
に保管する。公開鍵として、 yi=gxi modp(1≦i≦n) を公開する。証明者と検証者はハッシュ関数h( )を利
用できる。
施の形態における署名方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。証明者は、任意の整数xi
(1≦xi≦q−1:1≦i≦3)を秘密鍵として秘密
に保管する。公開鍵として、 yi=gxi modp(1≦i≦n) を公開する。証明者と検証者はハッシュ関数h( )を利
用できる。
【0029】次に、ステップ1を説明する。証明者は、
平文mに対して、乱数k(1≦k≦q−1)を選んで、
署名 R=(gk modp) modq S=(h(m)+(x1+x2+x3)×R)/k modq を計算して平文mと共に検証者に送信する。
平文mに対して、乱数k(1≦k≦q−1)を選んで、
署名 R=(gk modp) modq S=(h(m)+(x1+x2+x3)×R)/k modq を計算して平文mと共に検証者に送信する。
【0030】ステップ2で、検証者は、検証式 R=(gh(m)/S mod q×(y1×y2×y3)R/S mod q mod
p) modq を検算する。署名と公開鍵が正しく対応すれば、 (g^{h(m)/S mod q}×g^{(x1+x2+x3)×R/
S mod q} mod p) mod q=(g^{k×S/S mod q} mod
p) mod q=R となるので、検証式が成り立つ場合には、平文mの署名
に用いられた証明者の全ての秘密鍵を正当であると判断
する。成り立たない場合には、不正な秘密鍵が存在する
または成りすましまたは改ざんが行なわれたと判断す
る。
p) modq を検算する。署名と公開鍵が正しく対応すれば、 (g^{h(m)/S mod q}×g^{(x1+x2+x3)×R/
S mod q} mod p) mod q=(g^{k×S/S mod q} mod
p) mod q=R となるので、検証式が成り立つ場合には、平文mの署名
に用いられた証明者の全ての秘密鍵を正当であると判断
する。成り立たない場合には、不正な秘密鍵が存在する
または成りすましまたは改ざんが行なわれたと判断す
る。
【0031】上記のように、本発明の第3の実施の形態
では、署名方法を、複数のDSA署名の署名情報を1つ
にまとめて署名する方法としたので、検証者のべき乗剰
余演算回数が、認証する秘密鍵の個数に依存しない。
では、署名方法を、複数のDSA署名の署名情報を1つ
にまとめて署名する方法としたので、検証者のべき乗剰
余演算回数が、認証する秘密鍵の個数に依存しない。
【0032】(第4の実施の形態)本発明の第4の実施
の形態は、複数のSchnorr署名の署名情報を1つにまと
めた署名方法である。
の形態は、複数のSchnorr署名の署名情報を1つにまと
めた署名方法である。
【0033】図4は、本発明の第4の実施の形態におけ
る署名方法の手順を示す流れ図である。図4において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、送信段階
である。ステップ2は、検証段階である。
る署名方法の手順を示す流れ図である。図4において、
証明者1は、秘密鍵により本人であることを証明しよう
とする者である。通信路2は、無線または有線の通信路
である。検証者3は、公開鍵の示す者と証明者が一致す
るか否かを検証する者である。ステップ1は、送信段階
である。ステップ2は、検証段階である。
【0034】上記のように構成された本発明の第4の実
施の形態における署名方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。証明者は、任意の整数xi
(1≦xi≦q−1:1≦i≦3)を秘密鍵として秘密
に保管する。公開鍵として、 yi=g-xi modp(1≦i≦3) を公開する。証明者と検証者は、q以下の値を出力する
ハッシュ関数h( )を利用できる。
施の形態における署名方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。証明者は、任意の整数xi
(1≦xi≦q−1:1≦i≦3)を秘密鍵として秘密
に保管する。公開鍵として、 yi=g-xi modp(1≦i≦3) を公開する。証明者と検証者は、q以下の値を出力する
ハッシュ関数h( )を利用できる。
【0035】次に、ステップ1を説明する。証明者は、
平文mに対して、乱数k(1≦k≦q−1)を選んで署
名 R=h(gk modp,m) S=k+(x1+x2+x3)×R modq を計算して平文mと共に検証者に送信する。
平文mに対して、乱数k(1≦k≦q−1)を選んで署
名 R=h(gk modp,m) S=k+(x1+x2+x3)×R modq を計算して平文mと共に検証者に送信する。
【0036】ステップ2で、検証者は、検証式 R=h(gS×(y1×y2×y3)R modp,m) を検算する。署名と公開鍵が正しく対応すれば、 h(gS×(y1×y2×y3)R modp,m)=h(g^{k+
(x1+x2+x3)×R modq}×g^{−(x1+x2+x3)
×R modq} mod p,m)=h(gk modp,m)=R となるので、検証式が成り立つ場合には、平文mの署名
に用いられた証明者の全ての秘密鍵を正当であると判断
する。成り立たない場合には、不正な秘密鍵が存在する
または成りすましまたは改ざんが行なわれたと判断す
る。
(x1+x2+x3)×R modq}×g^{−(x1+x2+x3)
×R modq} mod p,m)=h(gk modp,m)=R となるので、検証式が成り立つ場合には、平文mの署名
に用いられた証明者の全ての秘密鍵を正当であると判断
する。成り立たない場合には、不正な秘密鍵が存在する
または成りすましまたは改ざんが行なわれたと判断す
る。
【0037】同様な方法で、Nyberg-Rueppe回復型署名
に適用することもできる。(Nyberg-Rueppe回復型署名
については、Menezes, van Oorschot, Vanstone著「HAN
DBOOKof APPLIED CRYPTOGRAPHY」(CRC出版)pp.460-46
2を参照)すなわち、図5に示すように、準備段階にお
いて、証明者1は、3個の任意の整数xi(1≦xi≦q
−1:1≦i≦3)を秘密鍵として秘密に保管する。2
個以上であればいくつでもよい。
に適用することもできる。(Nyberg-Rueppe回復型署名
については、Menezes, van Oorschot, Vanstone著「HAN
DBOOKof APPLIED CRYPTOGRAPHY」(CRC出版)pp.460-46
2を参照)すなわち、図5に示すように、準備段階にお
いて、証明者1は、3個の任意の整数xi(1≦xi≦q
−1:1≦i≦3)を秘密鍵として秘密に保管する。2
個以上であればいくつでもよい。
【0038】yi=g^xi modp(1≦i≦3) を公開鍵として公開する。
【0039】ステップ1において、検証者3にメッセー
ジmを送る場合に、証明者1は平文mに対して、乱数k
(1≦k≦q−1)を選んで署名 R=m×g^k modp S=(x1+x2+x3)×R+k modq を計算して検証者3に通信路2を介して送信する。
ジmを送る場合に、証明者1は平文mに対して、乱数k
(1≦k≦q−1)を選んで署名 R=m×g^k modp S=(x1+x2+x3)×R+k modq を計算して検証者3に通信路2を介して送信する。
【0040】ステップ2において、検証者3は、検証式 m'=(g^S)×{(y1×y2×y3)^(−R)}×R modp により平文m’を計算する。署名に対して改ざんおよび
成りすましが行われていなければ、 m=m’ となる。
成りすましが行われていなければ、 m=m’ となる。
【0041】上記のように、本発明の第4の実施の形態
では、署名方法を、複数のSchnorr署名の署名情報を1
つにまとめて署名する方法としたので、検証者のべき乗
剰余演算回数が、認証する秘密鍵の個数に依存しない。
では、署名方法を、複数のSchnorr署名の署名情報を1
つにまとめて署名する方法としたので、検証者のべき乗
剰余演算回数が、認証する秘密鍵の個数に依存しない。
【0042】(第5の実施の形態)本発明の第5の実施
の形態は、ICカードの複数の検証情報を1つにまとめ
て認証サーバで認証する認証方法である。
の形態は、ICカードの複数の検証情報を1つにまとめ
て認証サーバで認証する認証方法である。
【0043】図6は、本発明の第5の実施の形態におけ
る認証方法の手順を示す流れ図である。図6において、
ICカード4は、秘密鍵により真正であることを証明し
ようとするカードである。通信路2は、無線または有線
の通信路である。認証サーバ5は、公開鍵の示すカード
とICカードが一致するか否かを検証する者である。ス
テップ1は、前情報の送信段階である。ステップ2は、
乱数の返送段階である。ステップ3は、検証情報の送信
段階である。ステップ4は、検証段階である。
る認証方法の手順を示す流れ図である。図6において、
ICカード4は、秘密鍵により真正であることを証明し
ようとするカードである。通信路2は、無線または有線
の通信路である。認証サーバ5は、公開鍵の示すカード
とICカードが一致するか否かを検証する者である。ス
テップ1は、前情報の送信段階である。ステップ2は、
乱数の返送段階である。ステップ3は、検証情報の送信
段階である。ステップ4は、検証段階である。
【0044】上記のように構成された本発明の第5の実
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。ICカード4には、個人秘
密鍵x1と、主任秘密鍵x2と、部秘密鍵x3が秘密に格
納されている。認証サーバ5は、個人公開鍵 y1=g^(-x1) mod p と、主任公開鍵 y2=g^(-x2) mod p と、部公開鍵 y3=g^(-x3) mod p を保持している。
施の形態における認証方法の手順を説明する。最初に、
準備段階を説明する。大きな素数をpとする。(p−
1)の素因数をqとする。乗法群Zp *での位数がqとな
るGF(p)の元をgとする。ICカード4には、個人秘
密鍵x1と、主任秘密鍵x2と、部秘密鍵x3が秘密に格
納されている。認証サーバ5は、個人公開鍵 y1=g^(-x1) mod p と、主任公開鍵 y2=g^(-x2) mod p と、部公開鍵 y3=g^(-x3) mod p を保持している。
【0045】次に、ステップ1を説明する。ICカード
は、乱数k(1≦k≦q−1)を選んで、前情報 r=gk modp を計算して認証サーバ5に通信路2を介して送信する。
は、乱数k(1≦k≦q−1)を選んで、前情報 r=gk modp を計算して認証サーバ5に通信路2を介して送信する。
【0046】ステップ2で、認証サーバ5は、乱数e
(1≦e≦q−1)を選んでICカード4に送信する。
(1≦e≦q−1)を選んでICカード4に送信する。
【0047】ステップ3で、ICカードは、検証情報 s=r+(x1+x2+x3)×e modq を計算して認証サーバに送信する。
【0048】ステップ4で、認証サーバは、検証式 r=gs×(y1×y2×y3)e modp を検算する。秘密鍵と公開鍵が正しく対応すれば、検証
式が成り立つ。したがって、検証式が成り立つ場合には
ICカードの全ての秘密鍵を正当であると判断する。成
り立たない場合には、不正な秘密鍵が存在すると判断す
る。
式が成り立つ。したがって、検証式が成り立つ場合には
ICカードの全ての秘密鍵を正当であると判断する。成
り立たない場合には、不正な秘密鍵が存在すると判断す
る。
【0049】その他の認証方法を利用する場合も、同様
に適用できる。また、署名についても、ほぼ同様にして
実現できることは、当業者には明らかである。
に適用できる。また、署名についても、ほぼ同様にして
実現できることは、当業者には明らかである。
【0050】上記のように、本発明の第5の実施の形態
では、認証方法を、ICカードの複数の検証情報を1つ
にまとめて認証サーバで認証する方法としたので、社内
の組織変更があっても、対象者のICカードの秘密鍵の
みを変更することで容易に対応できる。
では、認証方法を、ICカードの複数の検証情報を1つ
にまとめて認証サーバで認証する方法としたので、社内
の組織変更があっても、対象者のICカードの秘密鍵の
みを変更することで容易に対応できる。
【0051】(第6の実施の形態)本発明の第6の実施
の形態は、検証式が不成立の場合に2分探索法により不
正鍵を検索する認証方法である。
の形態は、検証式が不成立の場合に2分探索法により不
正鍵を検索する認証方法である。
【0052】図7は、本発明の第6の実施の形態におけ
る認証方法の手順を示す流れ図である。図7において、
ステップ1は、全体の公開鍵の検証処理である。ステッ
プ2は、公開鍵1〜4の検証処理である。ステップ3
は、公開鍵1、2の検証処理である。ステップ4は、公
開鍵1の検証処理である。ステップ5は、公開鍵1の不
正検出処理である。ステップ6は、公開鍵5、6の検証
処理である。ステップ7は、公開鍵7の検証処理であ
る。ステップ8は、公開鍵5の検証処理である。ステッ
プ9は、公開鍵3の検証処理である。
る認証方法の手順を示す流れ図である。図7において、
ステップ1は、全体の公開鍵の検証処理である。ステッ
プ2は、公開鍵1〜4の検証処理である。ステップ3
は、公開鍵1、2の検証処理である。ステップ4は、公
開鍵1の検証処理である。ステップ5は、公開鍵1の不
正検出処理である。ステップ6は、公開鍵5、6の検証
処理である。ステップ7は、公開鍵7の検証処理であ
る。ステップ8は、公開鍵5の検証処理である。ステッ
プ9は、公開鍵3の検証処理である。
【0053】上記のように構成された本発明の第6の実
施の形態における署名方法の手順を説明する。検証者
は、検証式 x=gy(v1×v2×…×vn)e modp が成り立つか否かを検証する。検証式が成り立たない場
合は、全公開鍵を半数ずつのグループに分けて検証を行
い、成り立たない方のグループを半数ずつのグループに
分けて検証を行うことを、不正鍵に対応する公開鍵が特
定できるまで繰り返す。
施の形態における署名方法の手順を説明する。検証者
は、検証式 x=gy(v1×v2×…×vn)e modp が成り立つか否かを検証する。検証式が成り立たない場
合は、全公開鍵を半数ずつのグループに分けて検証を行
い、成り立たない方のグループを半数ずつのグループに
分けて検証を行うことを、不正鍵に対応する公開鍵が特
定できるまで繰り返す。
【0054】2分探索法に類似の方法による不正鍵に対
応する公開鍵の効率的な特定方法を、公開鍵数が8個の
場合を例として説明する。
応する公開鍵の効率的な特定方法を、公開鍵数が8個の
場合を例として説明する。
【0055】ステップ1:検証者は、次の検証式 x=gy(v1×v2×v3×v4×v5×v6×v7×v8)e modp -(1) が成り立つか否かを検証する。
【0056】ステップ2:(1)式が不成立ならば公開
鍵を1〜4と5〜8のグループに分けて、 x=gy(v1×v2×v3×v4)e modp -(2) x=gy(v5×v6×v7×v8)e modp -(3) 同様に検証を行う。
鍵を1〜4と5〜8のグループに分けて、 x=gy(v1×v2×v3×v4)e modp -(2) x=gy(v5×v6×v7×v8)e modp -(3) 同様に検証を行う。
【0057】ステップ3:(2)式が成立しない場合に
は、1〜2と3〜4にグループ分けて、 x=gy(v1×v2)e modp -(4) x=gy(v3×v4)e modp -(5) 同様に検証を行う。
は、1〜2と3〜4にグループ分けて、 x=gy(v1×v2)e modp -(4) x=gy(v3×v4)e modp -(5) 同様に検証を行う。
【0058】ステップ4:(4)式が成立しない場合に
は、1と2に関してそれぞれ同様に、 x=gy v1 e modp -(6) x=gy v2 e modp -(7) 検証を行う。
は、1と2に関してそれぞれ同様に、 x=gy v1 e modp -(6) x=gy v2 e modp -(7) 検証を行う。
【0059】ステップ5:(6)式が成立しない場合に
は、不正鍵に対応する公開鍵はv1であると特定でき
る。
は、不正鍵に対応する公開鍵はv1であると特定でき
る。
【0060】検証者と証明者からなる検証システムにお
いて、本実施の形態とSchnorr認証法の不正鍵に対応す
る公開鍵を特定するために必要な検証者のベキ乗剰余演
算の回数を、公開鍵の総数をnとして比較する。
いて、本実施の形態とSchnorr認証法の不正鍵に対応す
る公開鍵を特定するために必要な検証者のベキ乗剰余演
算の回数を、公開鍵の総数をnとして比較する。
【0061】不正鍵が存在しないことを検証する場合
は、本実施の形態では常に2回で一定であるのに対し、
Schnorr認証法の場合には2×n回のベキ乗剰余演算が
必要となる。例えば、n=256台ならば、本実施の形態
では2回であるのに対し、Schnorr認証法では512回のベ
キ乗剰余演算が必要となる。
は、本実施の形態では常に2回で一定であるのに対し、
Schnorr認証法の場合には2×n回のベキ乗剰余演算が
必要となる。例えば、n=256台ならば、本実施の形態
では2回であるのに対し、Schnorr認証法では512回のベ
キ乗剰余演算が必要となる。
【0062】本実施の形態の場合には、不正鍵に対応す
る公開鍵を特定するためには、さらにベキ乗剰余演算が
4×log2n回必要である。例えば、n=256台ならば、
本発明では32回となるので、上記の2回との合計で34回
となり、512回必要であるSchnorr認証法より効率的であ
る。
る公開鍵を特定するためには、さらにベキ乗剰余演算が
4×log2n回必要である。例えば、n=256台ならば、
本発明では32回となるので、上記の2回との合計で34回
となり、512回必要であるSchnorr認証法より効率的であ
る。
【0063】実際は、不正鍵が存在する場合の方が少な
いので、存在確認のみならば、ベキ乗剰余演算2回で検
証可能な本実施の形態の方が、不正鍵の存在に関わらず
常に検証に2×n回必要なSchnorr認証法に比べて実用
上はさらに効率的である。
いので、存在確認のみならば、ベキ乗剰余演算2回で検
証可能な本実施の形態の方が、不正鍵の存在に関わらず
常に検証に2×n回必要なSchnorr認証法に比べて実用
上はさらに効率的である。
【0064】その他の認証方法を利用する場合も、同様
に適用できる。また、署名についても、ほぼ同様にして
実現できることは、当業者には明らかである。
に適用できる。また、署名についても、ほぼ同様にして
実現できることは、当業者には明らかである。
【0065】上記のように、本発明の第6の実施の形態
では、認証方法を、検証式が不成立の場合に2分探索法
により不正鍵を検索する方法としたので、全ての鍵を個
別に検索するより効率的に検索できる。
では、認証方法を、検証式が不成立の場合に2分探索法
により不正鍵を検索する方法としたので、全ての鍵を個
別に検索するより効率的に検索できる。
【0066】
【発明の効果】以上の説明から明らかなように、本発明
では、証明者と検証者と通信路とからなる検証システム
の検証方法を、大きな素数をp,q(q|p−1)と
し、乗法群Zp *での位数がqとなるGF(p)の元をgと
して、証明者は、n(n≧2)個の任意の整数si(1
≦si≦q−1:1≦i≦n)を秘密鍵として秘密に保
管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、検証者による認証を受ける場合
に、(1)証明者は、乱数r(1≦r≦q−1)を選んで
前情報 x=gr modp を計算して検証者に通信路を介して送信し、(2)検証者
は、前情報xを受信してから、乱数e(1≦e<q)を
選んで証明者に通信路を介して送信し、(3)証明者は、
乱数eを受信してから、検証情報 y=r+(s1+s2+…+sn)×e modq を計算して検証者に通信路を介して送信し、(4)検証者
は、検証情報yを受信してから、検証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には証明者の全
ての秘密鍵を正当であると判断し、成り立たない場合に
は不正な秘密鍵が存在すると判断する構成としたので、
複数の検証情報をまとめた検証情報を作成して検証情報
の通信量を削減できるとともに、検証時に検証者が複数
の公開鍵をまとめて検証することで、検証回数によらず
ベキ乗剰余演算の回数を一定回数に保つことができると
いう効果が得られる。
では、証明者と検証者と通信路とからなる検証システム
の検証方法を、大きな素数をp,q(q|p−1)と
し、乗法群Zp *での位数がqとなるGF(p)の元をgと
して、証明者は、n(n≧2)個の任意の整数si(1
≦si≦q−1:1≦i≦n)を秘密鍵として秘密に保
管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、検証者による認証を受ける場合
に、(1)証明者は、乱数r(1≦r≦q−1)を選んで
前情報 x=gr modp を計算して検証者に通信路を介して送信し、(2)検証者
は、前情報xを受信してから、乱数e(1≦e<q)を
選んで証明者に通信路を介して送信し、(3)証明者は、
乱数eを受信してから、検証情報 y=r+(s1+s2+…+sn)×e modq を計算して検証者に通信路を介して送信し、(4)検証者
は、検証情報yを受信してから、検証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には証明者の全
ての秘密鍵を正当であると判断し、成り立たない場合に
は不正な秘密鍵が存在すると判断する構成としたので、
複数の検証情報をまとめた検証情報を作成して検証情報
の通信量を削減できるとともに、検証時に検証者が複数
の公開鍵をまとめて検証することで、検証回数によらず
ベキ乗剰余演算の回数を一定回数に保つことができると
いう効果が得られる。
【図1】本発明の第1の実施の形態における認証方法の
手順を示す流れ図、
手順を示す流れ図、
【図2】本発明の第2の実施の形態における認証方法の
手順を示す流れ図、
手順を示す流れ図、
【図3】本発明の第3の実施の形態における署名方法の
手順を示す流れ図、
手順を示す流れ図、
【図4】本発明の第4の実施の形態における署名方法の
手順を示す流れ図、
手順を示す流れ図、
【図5】本発明の第4の実施の形態における別の署名方
法の手順を示す流れ図、
法の手順を示す流れ図、
【図6】本発明の第5の実施の形態における認証方法の
手順を示す流れ図、
手順を示す流れ図、
【図7】本発明の第6の実施の形態における認証方法の
手順を示す流れ図、
手順を示す流れ図、
【図8】従来のSchnorr認証法の手順を示す流れ図、
【図9】従来の岡本龍明認証法の手順を示す流れ図であ
る。
る。
1 証明者 2 通信路 3 検証者 4 ICカード 5 認証サーバ
フロントページの続き (72)発明者 松崎 なつめ 神奈川県横浜市港北区新横浜三丁目20番地 8 株式会社高度移動通信セキュリティ技 術研究所内 Fターム(参考) 5J104 AA07 JA23 JA29 KA05 KA06 KA08 NA02 NA18 NA35
Claims (9)
- 【請求項1】 証明者と検証者と通信路とからなる検証
システムの検証方法において、大きな素数をp,q(q
|p−1)とし、乗法群Zp *での位数がqとなるGF
(p)の元をgとして、前記証明者は、n(n≧2)個の
任意の整数si(1≦si≦q−1:1≦i≦n)を秘密
鍵として秘密に保管し、 vi=g-si modp(1≦i≦n) を公開鍵として公開し、前記検証者による認証を受ける
場合に、 (1)前記証明者は、乱数r(1≦r≦q−1)を選んで
前情報 x=gr modp を計算して前記検証者に前記通信路を介して送信し、 (2)前記検証者は、前記前情報xを受信してから、乱数
e(1≦e<q)を選んで前記証明者に前記通信路を介
して送信し、 (3)前記証明者は、前記乱数eを受信してから、検証情
報 y=r+(s1+s2+…+sn)×e modq を計算して前記検証者に前記通信路を介して送信し、 (4)前記検証者は、前記検証情報yを受信してから、検
証式 gy×(v1×v2×…×vn)e modp=x が成り立つか否か検算し、成り立つ場合には前記証明者
の全ての秘密鍵が正当であり成りすましが行なわれてい
ないと判断し、成り立たない場合には不正な秘密鍵が存
在すると判断することを特徴とする認証方法。 - 【請求項2】 証明者と検証者と通信路とからなる検証
システムの認証方法において、大きな素数をp,q(q
|p−1)とし、乗法群Zp *での位数がqとなるGF
(p)の元をg1,g2として、証明者は、n(n≧2)個
の任意の整数s i(1≦si≦q−1:1≦i≦n)とn
個の任意の整数ti(1≦ti≦q−1:1≦i≦n)を
秘密鍵として秘密に保管し、 vi=g1 sig2 ti modp(1≦i≦n) を公開鍵として公開し、前記検証者による認証を受ける
場合に、 (1)前記証明者は、乱数r1とr2(1≦r1,r2≦q−
1)を選んで前情報 x=g1 r1g2 r2 modp を計算して前記検証者に前記通信路を介して送信し、 (2)前記検証者は、前記前情報xを受信してから、f
(f=O(p))ビットの乱数eを選んで前記証明者に前
記通信路を介して送信し、 (3)前記証明者は、前記乱数eを受信してから、検証情
報 y1=r1+(s1+s2+…+sn)×e modq y2=r2+(t1+t2+…+tn)×e modq を計算して前記検証者に前記通信路を介して送信し、 (4)前記検証者は、前記検証情報y1,y2を受信してか
ら、検証式 gy1gy2 mod p=x×(v1×v2×…×vn)e modp が成り立つか否かを検算し、成り立つ場合には前記証明
者の全ての秘密鍵が正当であり成りすましが行なわれて
いないと判断し、成り立たない場合には不正な秘密鍵が
存在すると判断することを特徴とする認証方法。 - 【請求項3】 証明者と検証者と通信路とからなる検証
システムの署名方法において、大きな素数をp,q(q
|p−1)とし、乗法群Zp *での位数がqとなるGF
(p)の元をgとして、前記証明者は、n(n≧2)個の
任意の整数xi(1≦xi≦q−1:1≦i≦n)を秘密
鍵として秘密に保管し、 yi=gxi modp(1≦i≦n) を公開鍵として公開し、前記証明者と前記検証者はハッ
シュ関数h( )を利用できるものとし、前記検証者にメ
ッセージを送る場合に、 (1)前記証明者は平文mに対して、乱数k(1≦k≦q
−1)を選んで署名 R=(gk modp) modq S=(h(m)+(x1+x2+…+xn)×R)/k modq を計算して前記平文mと共に前記検証者に前記通信路を
介して送信し、 (2)前記検証者は、検証式 R=(gh(m)/S×(y1×y2×…×yn)R/S modp) modq が成り立つか否かを検算し、成り立つ場合には前記平文
mの署名に用いられた前記証明者の全ての秘密鍵が正当
であり前記署名に対して改ざんおよび成りすましが行わ
れていない判断し、成り立たない場合には不正な秘密鍵
が存在するまたは成りすましまたは改ざんが行なわれた
と判断することを特徴とする署名方法。 - 【請求項4】 証明者と検証者と通信路とからなる検証
システムの署名方法において、大きな素数をp,q(q
|p−1)とし、乗法群Zp *での位数がqとなるGF
(p)の元をgとして、前記証明者は、n(n≧2)個の
任意の整数xi(1≦xi≦q−1:1≦i≦n)を秘密
鍵として秘密に保管し、 yi=g-xi modp(1≦i≦n) を公開鍵として公開し、前記証明者と検証者は、q以下
の値を出力するハッシュ関数h( )を利用できるものと
し、前記検証者にメッセージを送る場合に、 (1)前記証明者は、平文mに対して、乱数k(1≦k≦
q−1)を選んで署名 R=h(gk modp,m) S=k+(x1+x2+…+xn)×R modq を計算して前記平文mと共に前記検証者に前記通信路を
介して送信し、 (2)前記検証者は、検証式 R=h(gS×(y1×y2×…×yn)R modp,m) が成り立つか否かを検算し、成り立つ場合には前記平文
mの署名に用いられた前記証明者の全ての秘密鍵が正当
であり前記署名に対して改ざんおよび成りすましが行わ
れていないと判断し、成り立たない場合には不正な秘密
鍵が存在するまたは成りすましまたは改ざんが行なわれ
たと判断することを特徴とする署名方法。 - 【請求項5】 証明者と検証者と通信路とからなる検証
システムの署名方法において、大きな素数をp,q(q
|p−1)とし、乗法群Zp *での位数がqとなるGF
(p)の元をgとして、前記証明者は、n(n≧2)個の
任意の整数xi(1≦xi≦q−1:1≦i≦n)を秘密
鍵として秘密に保管し、 yi=g^xi modp(1≦i≦n) を公開鍵として公開し、前記検証者にメッセージを送る
場合に、 (1)前記証明者は平文mに対して、乱数k(1≦k≦q
−1)を選んで署名 R=m×g^k modp S=(x1+x2+…+xn)×R+k modq を計算して前記検証者に前記通信路を介して送信し、 (2)前記検証者は、検証式 m'=(g^S)×{(y1×y2×…×yn)^(−R)}×R mod
p により平文m’を計算し、前記署名に対して改ざんおよ
び成りすましが行われていなければ、 m=m’ となることを特徴とする署名方法。 - 【請求項6】 前記証明者はICカードであり、前記検
証者は認証サーバであることを特徴とする請求項1また
は2記載の認証方法。 - 【請求項7】 前記証明者はICカードであり、前記検
証者は認証サーバであることを特徴とする請求項3、
4、5のいずれかに記載の署名方法。 - 【請求項8】 前記検証式が成り立たない場合には、前
記公開鍵を半数ずつのグループに分けて再び前記検証を
行い、前記検証式が成り立たない方のグループをさらに
半数ずつのグループに分けて前記検証を行うことを不正
な秘密鍵に対応する公開鍵を特定できるまで繰り返すこ
とを特徴とする請求項1、2、6のいずれかに記載の認
証方法。 - 【請求項9】 前記検証式が成り立たない場合には、前
記公開鍵を半数ずつのグループに分けて再び前記検証を
行い、前記検証式が成り立たない方のグループをさらに
半数ずつのグループに分けて前記検証を行うことを不正
な秘密鍵に対応する公開鍵を特定できるまで繰り返すこ
とを特徴とする請求項3、4、5、7のいずれかに記載
の署名方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000014713A JP2001209308A (ja) | 2000-01-24 | 2000-01-24 | 一括署名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000014713A JP2001209308A (ja) | 2000-01-24 | 2000-01-24 | 一括署名方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2001209308A true JP2001209308A (ja) | 2001-08-03 |
Family
ID=18542129
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000014713A Pending JP2001209308A (ja) | 2000-01-24 | 2000-01-24 | 一括署名方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2001209308A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009005213A (ja) * | 2007-06-25 | 2009-01-08 | Hitachi Ltd | 一括検証装置、プログラム及び一括検証方法 |
KR100971038B1 (ko) * | 2001-12-21 | 2010-07-20 | 프랑스 텔레콤 | 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법 |
US7840815B2 (en) | 2005-07-13 | 2010-11-23 | Fuji Xerox Co., Ltd. | Digital signature computer, system, method, and storage medium storing program for collectively affixing signature to plurality of messages |
-
2000
- 2000-01-24 JP JP2000014713A patent/JP2001209308A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100971038B1 (ko) * | 2001-12-21 | 2010-07-20 | 프랑스 텔레콤 | 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법 |
US7840815B2 (en) | 2005-07-13 | 2010-11-23 | Fuji Xerox Co., Ltd. | Digital signature computer, system, method, and storage medium storing program for collectively affixing signature to plurality of messages |
JP2009005213A (ja) * | 2007-06-25 | 2009-01-08 | Hitachi Ltd | 一括検証装置、プログラム及び一括検証方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9160530B2 (en) | Method and apparatus for verifiable generation of public keys | |
US6446207B1 (en) | Verification protocol | |
US8594324B2 (en) | Key validation scheme | |
US8639931B2 (en) | Acceleration of key agreement protocols | |
US9800418B2 (en) | Signature protocol | |
CA2305896C (en) | Key validation scheme | |
US20020136401A1 (en) | Digital signature and authentication method and apparatus | |
KR0146438B1 (ko) | 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법 | |
US20150006900A1 (en) | Signature protocol | |
Minh et al. | Blind signature protocol based on difficulty of simultaneous solving two difficult problems | |
Min-Shiang et al. | Two simple batch verifying multiple digital signatures | |
Hwang et al. | An untraceable blind signature scheme | |
Huang et al. | Partially blind ECDSA scheme and its application to bitcoin | |
Malina et al. | Trade-off between signature aggregation and batch verification | |
WO2016187689A1 (en) | Signature protocol | |
JP2001209308A (ja) | 一括署名方法 | |
Chang et al. | Threshold untraceable signature for group communications | |
EP1025674A1 (en) | Signature verification for elgamal schemes | |
Lee et al. | Untraceable blind signature schemes based on discrete logarithm problem | |
US9252941B2 (en) | Enhanced digital signatures algorithm method and system utilitzing a secret generator | |
Sun et al. | An improved proxy signature scheme based on elliptic curve cryptography | |
Tso et al. | Practical strong designated verifier signature schemes based on double discrete logarithms | |
JPH11252070A (ja) | 利用者認証方式 | |
Hai-Peng et al. | Digital signature algorithm based on hash round function and self-certified public key system | |
CA2892318C (en) | Signature protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040106 |