JP2006203754A - Method of electronic signature with threshold, and apparatus and program using it - Google Patents
Method of electronic signature with threshold, and apparatus and program using it Download PDFInfo
- Publication number
- JP2006203754A JP2006203754A JP2005015336A JP2005015336A JP2006203754A JP 2006203754 A JP2006203754 A JP 2006203754A JP 2005015336 A JP2005015336 A JP 2005015336A JP 2005015336 A JP2005015336 A JP 2005015336A JP 2006203754 A JP2006203754 A JP 2006203754A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- key
- public key
- generation
- participating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、情報セキュリティ技術に関するものであり、閾値つき電子署名技術に関する。 The present invention relates to information security technology, and to a digital signature technology with a threshold.
閾値つき電子署名技術は、複数の参加者の一部が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名である。n人の参加者うち任意のt人以上が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名の方式を、(t,n)閾値電子署名方式と呼ぶ。従来の方法として非特許文献1に示された方法がある。最初に本説明中で使用する記号について説明する。離散対数問題が難しいと考えられている巡回群をGとし、その生成元をg、群の位数をqとする(G=<g>,#G=q)。Zqは、qを法とする剰余類{0,1,2,…,q−1}である。∈Uは一様ランダムに元を取り出すことを、{0,1}*は0または1が任意長並んだビット列を、Kは有限体を意味する。また、H,I,JはそれぞれH:{0,1}*→G,I:K→Zq,J:{0,1}*→Kのように変換するハッシュ関数である。以下に非特許文献1に示された方法について説明する。
The digital signature technique with a threshold is an electronic signature that can be confirmed from only the signature so that it is not known who has cooperated in the signature generation that the signature has been generated by the cooperation of some of the plurality of participants. An electronic signature method that can confirm from the signature alone that the signature has been generated by the cooperation of arbitrary t or more of the n participants without knowing who has cooperated in the signature generation (t, n) Called threshold electronic signature method. There is a method disclosed in
図1に、閾値つき電子署名システムの構成例と流れを示す。本システムへの参加者の総数はn人であり、n台の参加装置910−i(i=1,…,n)では、あらかじめ定められた巡回群Gの元g(g∈G)を用いて、各参加装置の秘密鍵skiと公開鍵pkiとが生成され、公開鍵pkiは公開される。署名を作成する場合は、n人中の任意のt人以上が参加装置910−i(i=1,…,t)でコミットメントaiを生成し、署名生成部920を備える装置に送信する。ここで、説明を簡略化するために、i=1,…,tを署名生成に使用した(協力した)参加装置を示す数、i=t+1,…,nを署名作成に使用していない(協力しなかった)参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。 FIG. 1 shows a configuration example and a flow of an electronic signature system with a threshold. The total number of participants in this system is n, and n participating devices 910-i (i = 1,..., N) use a predetermined element g (gεG) of a cyclic group G. Thus, the secret key sk i and the public key pk i of each participating device are generated, and the public key pk i is made public. When creating a signature, any t or more of the n people generate a commitment a i with the participating devices 910-i (i = 1,..., T), and transmit the commitment a i to a device including the signature generation unit 920. Here, to simplify the explanation, i = 1,..., T is a number indicating the participating devices that used (cooperated) for signature generation, and i = t + 1,. The number of participating devices that did not cooperate) may be any of the n participating devices.
署名生成部920は、独立した装置ででもかまわないし、いずれかの参加装置内に備えさせてもかまわない。署名生成部920は、i=t+1,…,nに対するダミーレスポンスei、ダミーチャレンジci、およびダミーコミットメントaiを生成した上で、n−t次多項式f(x)、i=1,…,tに対するチャレンジciとレスポンスeiとを生成し、署名σ(m)を作成する。この署名σ(m)はt台の参加装置910−i(i=1,…,t)から取得したコミットメントaiと、署名生成部920がダミーとして生成したコミットメントai(i=t+1,…,n)等から生成されており、t人が協力した署名生成になっているだけでなく、どのt人が協力したのかが分からない署名になっている。 The signature generation unit 920 may be an independent device, or may be provided in any participating device. The signature generation unit 920 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i for i = t + 1,..., N, and then an n−t degree polynomial f (x), i = 1,. , T, a challenge c i and a response e i are generated, and a signature σ (m) is generated. The signature σ (m) is a commitment a i acquired from t participating devices 910-i (i = 1,..., T) and a commitment a i (i = t + 1,...) Generated as a dummy by the signature generation unit 920. , N), etc., and not only the signature generation with which t people cooperated, but also the signature with which it is not known which t people cooperated.
署名検証部930は、署名検証を行いたい任意の装置内に備えてかまわない。署名検証部では、多項式f(x)の次数がn−tであること、チャレンジci(i=1,…,n)とf(0)の値が正しいことなどを検証する。
図2は、参加装置910−iの機能構成例を示す図である。参加装置910−iは、鍵生成部911−i、署名者証拠生成部912−i、記録部913−i、および通信部914−iから構成される。図3は鍵生成部911−iの処理フローを示す図であり、図4は署名者証拠生成部912−iの処理フローを示す図である。
The signature verification unit 930 may be provided in any apparatus that wishes to perform signature verification. The signature verification unit verifies that the degree of the polynomial f (x) is n−t and that the values of the challenges c i (i = 1,..., N) and f (0) are correct.
FIG. 2 is a diagram illustrating a functional configuration example of the participation apparatus 910-i. Participating device 910-i includes key generation unit 911-i, signer evidence generation unit 912-i, recording unit 913-i, and communication unit 914-i. FIG. 3 is a diagram illustrating a processing flow of the key generation unit 911-i, and FIG. 4 is a diagram illustrating a processing flow of the signer evidence generation unit 912-i.
鍵生成部911−iは、秘密鍵ski生成手段9111−iと公開鍵pki生成手段9112−iとで構成される。鍵生成部911-iでの具体的な鍵生成方法の例を次に示す。秘密鍵ski生成手段9111−iでは、qを法とする剰余類Zqから等確率でランダムに1つの元を選択して秘密鍵skiとし(ski∈UZq)(S9111)、秘密鍵skiを記録部913−iに記録する(S9112)。公開鍵pki生成手段9112−iでは、あらかじめ定められた巡回群Gの元gを用いて、
署名者証拠生成部912−iは、署名生成に協力する場合に動作する構成部であり、署名者証拠ri生成手段9121−i、コミットメントai生成手段9122−i、チャレンジci取得手段9123−i、およびレスポンスei生成手段9122−iで構成される。署名者証拠生成部912−iでの具体的な処理手順の例を次に示す。参加者が署名に協力する場合には、署名者証拠ri生成手段9121−iでは、qを法とする剰余類Zqから等確率でランダムに1つの元を選択して署名者証拠riとする(ri∈UZq)(S9121)。次にコミットメントai生成手段9122−iでは、元gを用いて、
図5に署名生成部920の機能構成例を示す。署名生成部920は、ダミー生成部921、計算部922、情報取得部923、記録部924、および通信部925から構成されている。また、図6は署名生成部920の処理フローを示す図である。
署名生成部920では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部923の公開鍵pki(i=1,…,n)取得手段9231により、参加装置910−i(i=1,…,n)の公開鍵pkiを取得する(S9231)。ダミー生成部921では、次のように、ダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントai(i=t+1,…,n)を生成する。ダミーレスポンスei(i=t+1,…,n)生成手段9211により、qを法とする剰余類Zqから等確率でランダムに1つの元を選択してダミーレスポンスei(i=t+1,…,n)とし(ei∈UZq)(S9211)、記録部924に記録する(S9212)。ダミーチャレンジci(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yiを選び、そのハッシュ関数をダミーチャレンジci(i=t+1,…,n)とし(yi∈UK,ci:=I(yi)∈Zq)(S9213)、記録部924に記録する(S9214)。また、ダミーコミットメントai(i=t+1,…,n)生成手段9213により、元gと公開鍵pkiを用いて、
The signature generation unit 920 generates a signature σ (m) by the following procedure. The public key pk i (i = 1, ... , n) of the information acquisition unit 923 via the
また、通信部925を介して情報取得部923のコミットメントai(i=1,…,t)取得手段9232により、参加装置910−i(i=1,…,t)のコミットメントaiを取得する(S9232)。
The commitment a i (i = 1, ... , t) in the information acquisition unit 923 via the
次に、計算部922では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段9221により、n−t次の多項式f(x)(f(x)=α0+α1x+α2x2+…+αn−txn−t,αj∈K)と定め、f(0)=J(t,n,pk1,…,pkn,a1,…,an,m)とf(i)=yi(i=t+1,…,n)の条件からαj(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S9221)。また、求めたn−t次多項式f(x)を記録部924に記録する(S9222)。チャレンジci(i=1,…,t)生成手段9222では、ci:=I(f(i))により、チャレンジci(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジciに対応する参加装置910−i(i=1,…,t)にチャレンジciを送信する(S9224)。各参加者装置910−i(i=1,…,t)では、送信されたチャレンジciを用いて、上記のようにレスポンスeiを生成し署名生成部920に送信する(S9124〜S9127)。そこで、レスポンスei(i=1,…,t)取得手段9223は、レスポンスei(i=1,…,t)を取得し(S9225)、記録部924に記録する(S9226)。署名σ(m)作成手段9223では、σ(m)=(t,n,f,c1,…,cn,e1,…,en)により、σ(m)を求め(S9227)、記録部924に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。
Next, the calculation unit 922 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 9221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α j ∈ K), f (0) = J (t, n, pk 1 ,..., pk n , a 1 ,..., a n , m) and f (i) = y i (i = t + 1,. , N) to obtain an nt degree polynomial f (x) by calculating α j (j = 0,..., Nt) (S9221). Further, the obtained nt degree polynomial f (x) is recorded in the recording unit 924 (S9222). Challenge c i (i = 1, ... , t) in the generator 9222, c i: = by I (f (i)), the challenge c i (i = 1, ... , t) and calculated (S9223), recording unit and records in 924, the challenge c i participating device corresponding to the 910-i (i = 1, ..., t) to send a challenge c i (S9224). Each participant device 910-i (i = 1,..., T) generates a response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 920 (S9124 to S9127). . Therefore, the response e i (i = 1,..., T)
図7に署名検証部930の機能構成例を示す。また、図8に署名検証部930での署名σ(m)を検証するフローを示す。情報取得手段933は、公開鍵pki(i=1,…,n)と署名σ(m)を取得し(S933)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、チャレンジci、多項式f(0)確認手段932で、
このように署名σ(m)の生成と検証を行うことで、署名検証部930(署名検証をする人)は、少なくともt台の参加装置910−i(t人の参加者)が協力して署名を作成したことが確認できる。また、署名検証部930は、n台の参加装置910−i中のどのt台(n人の参加者中のどのt人)が署名生成に協力したのかは分からない。
従来技術では、どの参加者が署名生成に協力したのかが分からないことを特徴としているが、参加者が署名生成に協力したことを証明すること(名乗り出ること)もできなかった。
また、署名生成に協力したことを証明することができるようにする場合には、何人の参加者が証明できるのかを署名から確認できるようにすることも必要である。さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することが考えられることから、以後、今までの秘密鍵と公開鍵が使用できなくなる。
The prior art is characterized by the fact that it is not known which participant has cooperated in signature generation, but it has not been possible to prove that the participant has cooperated in signature generation.
In addition, when it is possible to prove that the signature generation has been cooperated, it is also necessary to be able to confirm from the signature how many participants can be proved. Furthermore, since it is conceivable that secret key information is also leaked when proving that the signature generation has been cooperated, the secret key and the public key so far cannot be used.
本発明では、あらかじめ参加装置の記録部で署名者証拠を記録しておき、参加者が署名生成に協力したことを証明したい場合に当該署名者証拠を公開し、署名検証装置で当該署名者証拠を確認する。
また、何人の参加者が証明できるのかを署名から確認できるようにするための手段は以下のとおりである。ダミー鍵生成装置の情報取得部で署名生成に協力していない参加装置に対する公開鍵を少なくとも1つ生成し、当該公開鍵および公開鍵生成時に使用した乱数と離散対数問題の難しい巡回群の元を公開する。署名生成装置でダミーの公開鍵も用いて電子署名を生成する。署名検証装置でダミーの公開鍵を含めて公開鍵を取得し、ダミーの公開鍵生成時に使用した上記乱数と離散対数問題の難しい巡回群の上記元も取得し、署名者参加者数を確認する。
In the present invention, the signer evidence is recorded in advance in the recording unit of the participating device, and when the participant wants to prove that he has cooperated in the signature generation, the signer evidence is disclosed, and the signer evidence is displayed in the signature verification device. Confirm.
Moreover, the means for making it possible to confirm from the signature how many participants can be proved is as follows. At least one public key for a participating device that does not cooperate in signature generation is generated by the information acquisition unit of the dummy key generation device, and the public key, the random number used when generating the public key, and the element of the cyclic group having a difficult discrete logarithm problem are generated. Publish. The signature generation apparatus generates an electronic signature using a dummy public key. Obtain the public key including the dummy public key with the signature verification device, obtain the random number used when generating the dummy public key, and the above-mentioned elements of the cyclic group where the discrete logarithm problem is difficult, and check the number of signer participants .
さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することに対応する手段は以下のとおりである。参加装置では、公的機関に公開鍵を登録するような長期的に使用する秘密鍵と公開鍵の組(第1の秘密鍵と公開鍵)の他に、署名生成に用いる使い捨ての秘密鍵と公開鍵の組(第2の秘密鍵と公開鍵)を生成し、ダミー鍵生成装置で少なくとも1つの第2の公開鍵に対するダミー公開鍵を生成する。署名生成装置では、第1の署名と第2の署名とを生成する。署名検証装置では、参加者装置ごとの第1の公開鍵、第2の公開鍵を取得し、第1の署名および第2の署名の確認を行う。 Furthermore, the means for dealing with the leakage of secret key information when proving that the signature generation has been cooperated are as follows. In the participation apparatus, in addition to a private key and public key pair (first private key and public key) used for a long time such as registering a public key with a public institution, a disposable private key used for signature generation A set of public keys (second secret key and public key) is generated, and a dummy public key for at least one second public key is generated by the dummy key generation device. The signature generation device generates a first signature and a second signature. The signature verification apparatus acquires a first public key and a second public key for each participant apparatus, and confirms the first signature and the second signature.
または、参加装置で、署名生成に用いる使い捨ての秘密鍵(第2の秘密鍵)を、第1の秘密鍵から生成する。署名生成装置では、第2の秘密鍵を用いた署名だけを生成する。署名検証装置で、第1の公開鍵および第1の鍵生成と第2の鍵生成で使用した2つの問題の難しい巡回群の元を用いて署名を検証する。 Alternatively, the participating device generates a disposable private key (second private key) used for signature generation from the first private key. The signature generation device generates only a signature using the second secret key. The signature verification apparatus verifies the signature by using the first public key and the elements of the two difficult problem cyclic groups used in the first key generation and the second key generation.
本発明では上記のような手段により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。 In the present invention, it is possible to prove by the above-described means when it is desired to prove that the participant cooperated with the signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.
以下にこの発明の実施形態を図面を参照して説明するが、同一の機能を有する部分は、各図中に同一参照番号を付けて重複説明を省略する。また、以下の説明でも背景技術の説明と同様に、説明を簡単にするために、i=1,…,tを署名生成に協力した参加装置を示す数、i=t+1,…,nを署名作成に協力しなかった参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。 Embodiments of the present invention will be described below with reference to the drawings, but portions having the same functions are denoted by the same reference numerals in each of the drawings, and redundant description is omitted. Also, in the following description, as in the background art, for simplicity, i = 1,..., T is a number indicating the participating devices that cooperated in signature generation, and i = t + 1,. The number indicates the participating devices that did not cooperate in the creation, but the t participating devices may be any of the n participating devices.
[第1実施形態]
本発明では、tを1≦t≦nとし、(t,n)閾値署名方式で署名に協力した参加者i(i=1,…,t)が、署名検証後に署名に協力したことを証明できる。図9は本発明のシステム構成例と流れを示す図であり、従来技術のシステム構成例を示す図である図1との違いは、次の点である。各参加者装置110−i(i=1,…,t)が、署名作成に協力する過程で生成した署名者証拠riを記録しておき、署名生成に協力したこと(署名者の1人であったこと)を証明したい場合に、署名者証拠riを、署名検証部130を備える装置に送信することで、署名生成に協力したことを証明する。以下に、従来技術と異なる構成装置について詳細に説明する。
[First Embodiment]
In the present invention, it is proved that the participant i (i = 1,..., T) who cooperated with the signature in the (t, n) threshold signature scheme cooperated with the signature after the signature verification by setting t to 1 ≦ t ≦ n. it can. FIG. 9 is a diagram showing a system configuration example and a flow of the present invention. The difference from FIG. 1 which is a diagram showing a system configuration example of the prior art is as follows. Each participant devices 110-i (i = 1, ..., t) is, Record the signer evidence r i generated in the process to cooperate with the signature creation, it has cooperated in the signature generation (one of the signers If the user wants to prove that the signer evidence r i is transmitted to the apparatus including the signature verification unit 130, it is proved that the signature generation cooperation has been cooperated. Hereinafter, a configuration apparatus different from the conventional technique will be described in detail.
図10は、参加装置110−iの機能構成例を示す図である。参加装置110−iは、従来の参加装置910−iとは、署名者証拠生成部112−iと記録部113−iが異なり、署名者証拠公開部115−iが追加されている。図11は署名者証拠生成部112−iの処理フローを示す図であり、図12は署名者証拠公開部115−iの処理フローを示す図である。図11に示すように、署名者証拠生成部112−iでは、従来であれば、通常コミットメントaiを生成すれば不要となる署名者証拠riを、記録部913−iに記録する工程(S1121)を署名者証拠ri生成ステップ(S9121)の後に追加した処理を行う。また、参加者iが署名生成に協力したことを証明したい場合には、図12に示すように、署名者証拠公開部115−iは、記録部113−iに記録された署名者証拠riを署名検証部130に対して公開する(S115)。 FIG. 10 is a diagram illustrating a functional configuration example of the participation apparatus 110-i. The participation device 110-i differs from the conventional participation device 910-i in a signer evidence generation unit 112-i and a recording unit 113-i, and a signer evidence disclosure unit 115-i is added. FIG. 11 is a diagram showing a processing flow of the signer evidence generating unit 112-i, and FIG. 12 is a diagram showing a processing flow of the signer evidence disclosing unit 115-i. As shown in FIG. 11, the signer evidence generating unit 112-i records the signer evidence r i that is unnecessary when the normal commitment a i is generated in the conventional method in the recording unit 913-i ( performing additional processing after S1121) the signer evidence r i generating step (S9121). When it is desired to prove that the participant i cooperated in signature generation, as shown in FIG. 12, the signer evidence disclosing unit 115-i performs signer evidence r i recorded in the recording unit 113- i. Is disclosed to the signature verification unit 130 (S115).
図13に署名検証部130の機能構成例を示す。図7に示す従来の署名検証部930との違いは、署名者証拠ri確認手段133が追加されたことと、情報取得手段134が署名者証拠riも取得するよう変更されたことである。図14に署名に協力したことを証明したい参加者から署名者証拠riが公開された場合の、署名者証拠ri確認フローを示す。署名に協力したことを証明したい参加者iから署名者証拠riが公開された場合には、署名検証部130の情報取得手段134は署名者証拠riを取得する(S134)。次に、署名者証拠ri確認手段133で、
ただし、署名者証拠ri、レスポンスei、チャレンジci、および秘密鍵skiの間には、ei=ri−ciskiの関係があるため、署名者証拠riを公開することで、秘密鍵skiも分かってしまう。したがって、署名に協力したことを証明した後は、これまで使用してきた秘密鍵skiと公開鍵pkiの組は使用できなくなる。 However, the signer evidence r i, response e i, challenge c i, and between the secret key sk i is, because there is a relationship of e i = r i -c i sk i, to publish a signer evidence r i Thus, the secret key sk i is also known. Therefore, after proving that the signature has been cooperated, the pair of the secret key sk i and the public key pk i that have been used so far cannot be used.
[第2実施形態]
本発明は、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。(t,n−1,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上n-1人以下であることを署名のみから確認できる方式である。図15は、本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、ダミー鍵生成部240が追加されたことと、署名検証部230が変更されたことである。ダミー鍵生成部240では、参加装置110−nの鍵生成部911−nの代わりに署名生成に使用する公開鍵pknを生成する。この公開鍵pknを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上n-1人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。
[Second Embodiment]
The present invention relates to a (t, n−1, n) threshold signature scheme in which t is 1 ≦ t ≦ n−1. The (t, n-1, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and n-1 or fewer participants who can prove that they are signers. is there. FIG. 15 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that the dummy key generation unit 240 is added and the signature verification unit 230 is changed. . The dummy key generation unit 240 generates a public key pk n used for signature generation instead of the key generation unit 911-n of the participating device 110-n. By generating a signature using this public key pk n , a system is realized that can confirm from the signature only that there are t or more and n-1 or less participants who can prove that they were signers. To do. The present invention is described in detail below.
図16にダミー鍵生成部240の機能構成例を、図17にダミー鍵生成部240の処理フローを示す。ダミー鍵生成部240では、通信部243を介して情報取得部242の公開鍵pki(i=1,…,n−1)取得手段2421で、参加装置110−i(i=1,…,n−1)の公開鍵pkiを取得する(S2421)。計算部241のダミー公開鍵pkn生成手段2411で、巡回群Gに属する元x(x∈G)を、例えば{0,1}*の乱数Rのハッシュ値として生成する(x=H(R))。例えば、乱数Rのビット長を1024とする。ここで、秘密鍵skiはqを法とする剰余類Zqから等確率でランダムに1つの元(ski∈UZq)であり(S9111参照)、公開鍵pkiは巡回群Gの元(pki∈G)である(S9113参照)。公開鍵pknをpkn:=x/pk1pk2…pkn−1と定め(S2411)、公開鍵pkn、元x、および乱数Rを公開する(S2412)。このように公開鍵pknを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。
FIG. 16 shows a functional configuration example of the dummy key generation unit 240, and FIG. 17 shows a processing flow of the dummy key generation unit 240. In the dummy key generation unit 240, the public device pk i (i = 1,..., N−1)
なお、ダミー鍵生成部240を各参加装置110−i(i=1,…,n)に備えさせておき、ダミーの公開鍵を作ることとした1つの参加装置110−nだけは、ダミー鍵生成部240で公開鍵pknを生成することとしてもよい。また、単独のダミー鍵生成部240を具備するダミー鍵生成装置を1つ設置し、参加装置110−nの代わりに公開鍵pknを生成し、直接または参加装置110−n経由で公開鍵pknを公開してもよい。 It should be noted that a dummy key generation unit 240 is provided in each participating device 110-i (i = 1,..., N), and only one participating device 110-n that has created a dummy public key has a dummy key. The generation unit 240 may generate the public key pk n . Also, one dummy key generation device having a single dummy key generation unit 240 is installed, a public key pk n is generated instead of the participation device 110-n, and a public key pk is directly or via the participation device 110-n. n may be disclosed.
図18に署名検証部230の機能構成例を示す。第1実施形態との違いは、署名参加者数確認手段235が追加されたことと、情報取得手段234が元xとRも取得するよう変更されたことである。図19に署名検証部230が署名σ(m)を検証するフローを示す。第1実施形態の署名σ(m)の検証フローは従来技術を同じであるので、本フローの違いは図8に示した従来の署名σ(m)の検証フローとの違いを説明する。署名検証部230では、情報取得手段234で、公開鍵pki(i=1,…,n)、署名σ(m)、元x、および乱数Rを取得し(S234)、多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段235で、x=H(R)とpk1pk2…pkn=xを確認する(S235)。
FIG. 18 shows a functional configuration example of the signature verification unit 230. The difference from the first embodiment is that the signature participant
このように署名σ(m)を生成、検証することで、どの公開鍵pkiかは分からないが、少なくとも1つは秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i, but at least one dummy public key without a private key exists, so cooperation in signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.
[第3実施形態]
本発明は、tとt’とを1≦t≦t'≦n−1とする(t,t’,n)閾値署名方式に関する。(t,t’,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上t’人以下であることを署名のみから確認できる方式である。図20は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、ダミー鍵生成部340と署名検証部330が変更されたことである。ダミー鍵生成部340では、参加装置110−i(i=t’,…,n)の鍵生成部911−i(i=t’,…,n)の代わりに署名生成に使用する公開鍵pki(i=t’,…,n)を生成する。この公開鍵pkiを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上t'人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。
[Third Embodiment]
The present invention relates to a (t, t ′, n) threshold signature scheme in which t and t ′ are 1 ≦ t ≦ t ′ ≦ n−1. The (t, t ′, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and t ′ or fewer participants who can prove that they are signers. FIG. 20 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the dummy key generation unit 340 and the signature verification unit 330 are changed. In the dummy key generation unit 340, the public key pk used for signature generation instead of the key generation unit 911-i (i = t ′,..., N) of the participating device 110-i (i = t ′,..., N). i (i = t ′,..., n) is generated. By generating a signature using this public key pk i , a system is realized in which it is possible to confirm from the signature alone that there are t or more and t ′ or fewer participants who can prove that they were signers. . The present invention is described in detail below.
図21にダミー鍵生成部340の機能構成例を、図22にダミー鍵生成部340の処理フローを示す。ダミー鍵生成部340では、通信部243を介して情報取得部342の公開鍵pki(i=1,…,t')取得手段3421で、参加装置110−i(i=1,…,t')の公開鍵pkiを取得する(S3421)。計算部341のダミー公開鍵pki(i=t'+1,…,n)生成手段では、巡回群Gに属する元A0(A0∈G)を、例えば{0,1}*の乱数Rのハッシュ値として生成する(A0=H(R))。(mij)を、
図23に署名検証部330の機能構成例を示す。第2実施形態との違いは、署名参加者数確認手段335と、情報取得手段334が変更されたことである。図24に署名検証部330が署名σ(m)を検証するフローを示す。署名検証部330では、情報取得手段334で、公開鍵pki(i=1,…,n)、署名σ(m)、元Ai(i=1,…,t')、および乱数Rを取得し(S334)、多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段335で、A0=H(R)と
このように署名σ(m)を生成、検証することで、どの公開鍵pkiかは分からないが、少なくともn−t’は秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i is, but at least nt ′ has a dummy public key without a secret key. It can be confirmed from the signature only that the number of participants who can prove that they have cooperated with t is t or more and t 'or less.
[第4実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第2実施形態を改良したものであって、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。図25は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部420、署名検証部430、およびダミー鍵生成部440のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠riを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第2実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠riの公開後も使用できる。以下に本発明を詳しく説明する。
[Fourth Embodiment]
The present invention is an improvement of the second embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n−1. The present invention relates to a (t, n-1, n) threshold signature scheme. FIG. 25 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the participating devices 410-i (i = 1,..., N), the signature generation unit 420, the signature verification unit 430, and each of the dummy key generation unit 440, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the second embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.
図26は、参加装置410−iの機能構成例を示す図である。参加装置410−iは、第1の秘密鍵と公開鍵を生成する鍵生成部411−i、第2の秘密鍵と公開鍵を生成する鍵生成部911−i、署名者証拠生成部112−i、記録部413−i、通信部914−i、および署名者証拠公開部115−iから構成される。図27は第1の秘密鍵と公開鍵を生成する鍵生成部411−iの処理フローを示す図である。鍵生成部411−iの秘密鍵SKi生成手段4111−iでは、任意の(t,n)閾値署名Σ(m)の方法で秘密鍵SKiを生成し(S4111)、記録部413−iに記録する(S4112)。この(t,n)閾値署名Σ(m)は従来からある技術を用いればよいし、鍵生成部911−iと同じ方法でも良い。公開鍵PKi生成手段4112−iでは、上記の秘密鍵SKi生成手段4111−iに対応した方法で公開鍵PKiを生成し(S4113)、記録部413−iに記録する(S4114)。鍵生成部411−iで生成された秘密鍵SKiと公開鍵PKiの組が、継続的に使用し、署名者証拠riを公開後も使用できる鍵となる。また、鍵生成部911−iで生成された秘密鍵skiと公開鍵pkiの組(鍵生成フローは図3と同じ)が使い捨ての鍵であり、署名者証拠riを公開後は使用できない鍵となる。なお、署名者証拠生成部112−iと署名者証拠ri公開部115−iは第1実施形態と同じである。 FIG. 26 is a diagram illustrating a functional configuration example of the participation apparatus 410-i. The participation apparatus 410-i includes a key generation unit 411-i that generates a first secret key and a public key, a key generation unit 911-i that generates a second secret key and a public key, and a signer evidence generation unit 112-. i, a recording unit 413-i, a communication unit 914-i, and a signer proof disclosure unit 115-i. FIG. 27 is a diagram illustrating a processing flow of the key generation unit 411-i that generates the first secret key and the public key. In secret key SK i generation means 4111-i of the key generation unit 411-i, and generates a secret key SK i at any (t, n) threshold signature sigma (m) method (S4111), the recording unit 413-i (S4112). For this (t, n) threshold signature Σ (m), a conventional technique may be used, or the same method as the key generation unit 911-i may be used. In public key PK i generation means 4112-i, and generates a public key PK i in a manner corresponding to the secret key SK i generation means 4111-i of the (S4113), and records in the recording unit 413-i (S4114). Set of key generation unit 411-i and the secret key SK i, which is generated by the public key PK i is used continuously, it is key that can be used after publication of the signer evidence r i. Also, a set of secret key sk i and the public key pk i generated by the key generation unit 911-i (key generation flow is the same as FIG. 3) is the key is disposable after publishing the signer evidence r i used It is a key that cannot be done. Incidentally, the signer evidence r i revealer 115-i signer proof generating unit 112-i is the same as the first embodiment.
図28にダミー鍵生成部440の構成例を、図29にダミー鍵生成部440の処理フローを示す。ダミー鍵生成部440では、通信部243を介して情報取得部442の公開鍵PKi(i=1,…,n−1)取得手段4421で、参加装置410−i(i=1,…,n−1)の公開鍵PKiを取得する(S4421)。また、情報取得部242の公開鍵pki(i=1,…,n−1)取得手段2421で、参加装置410−i(i=1,…,n−1)の公開鍵pkiを取得する(S2421と同じ)。計算部441のダミー公開鍵pkn生成手段4411で、R=(t,n−1,n,PK1,…,PKn,m)として、巡回群Gに属する元x(x∈G)を、Rのハッシュ値として生成する(x=H(R))。公開鍵pknをpkn:=x/pk1pk2…pkn−1と定め(S4411)、公開鍵pkn、元x、およびRを公開する(S2412と同じ)。このように公開鍵pknを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。
FIG. 28 shows a configuration example of the dummy key generation unit 440, and FIG. 29 shows a processing flow of the dummy key generation unit 440. In the dummy key generation unit 440, the public key PK i (i = 1,..., N−1) acquisition unit 4421 of the information acquisition unit 442 via the
図30に署名生成部420の機能構成例を示す。署名生成部420は、ダミー生成部921、計算部422、情報取得部423、記録部424、および通信部925から構成されている。また、図31は署名生成部420の処理フローを示す図である。
署名生成部420では、以下の手順で署名σ(m)と署名Σ(m)が生成される。通信部925を介して情報取得部423の公開鍵PKi(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKiを取得する(S4231)。ステップS9231の公開鍵pki(i=1,…,n)の取得、ダミー鍵生成部の処理フローであるステップS9211〜ステップS9216、およびステップS9232のコミットメントai(i=1,…,t)の取得は、図6での説明と同じである。また、情報取得部423の元x取得手段4233では、元xを取得する(S4233)。計算部422の処理のステップS9221〜S9228の処理は、図6の説明と同じである。したがって、n−t次多項式f(x)、チャレンジci(i=1,…,t)、レスポンスei(i=1,…,t)、メッセージmに対する(t,n)閾値署名σ(m)は、第2実施形態と同じで、背景技術として説明した従来技術と同じである。次に、署名作成手段4225では、M=(t,n−1,n,PK1,…,PKn,m,x,pk1,…,pkn)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S4227)、記録部424への記憶と公開を行う(S4228)。なお、Σ(m)はステップS4411での秘密鍵SKiの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いればよい。
FIG. 30 shows a functional configuration example of the signature generation unit 420. The signature generation unit 420 includes a dummy generation unit 921, a calculation unit 422, an information acquisition unit 423, a recording unit 424, and a
The signature generation unit 420 generates a signature σ (m) and a signature Σ (m) by the following procedure. Public key PK i (i = 1, ... , n) of the information acquisition unit 423 via the
図32に署名検証部430の機能構成例を、図33に署名検証部430での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段434で、公開鍵PKi(i=1,…,n)、公開鍵pki(i=1,…,n)、署名σ(m)、元x、およびRを取得する(S434)。多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、ステップS4411での秘密鍵SKiの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431)。さらに、署名参加者数確認手段235で、x=H(R)とpk1pk2…pkn=xを確認する(S235と同じ)。 FIG. 32 shows a functional configuration example of the signature verification unit 430, and FIG. 33 shows a verification flow of the signature σ (m) and the signature Σ (m) in the signature verification unit 430. The information acquisition unit 434 acquires the public key PK i (i = 1,..., N), the public key pk i (i = 1,..., N), the signature σ (m), the element x, and R (S434). ). Order confirmation of the polynomial f (x) (the same as S931), by performing the challenge c i, the polynomial f (0) Check (same as S932), it is verified the sigma (m). The verification of Σ (m) is performed using an arbitrary (t, n) threshold signature Σ (m) method corresponding to the generation method of the secret key SK i in step S4411 (S431). Further, the signature participant number confirmation means 235 confirms x = H (R) and pk 1 pk 2 ... Pk n = x (same as S235).
このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠riの公開後も秘密鍵SKiと公開鍵PKiとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.
[第5実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第3実施形態を改良したものであって、tとt’を1≦t≦t’≦nとする(t,t’,n)閾値署名方式に関する。図34は、本発明のシステム構成例と流れを示す図であり、第3実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部520、署名検証部530、およびダミー鍵生成部540のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠riを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第3実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠riの公開後も使用できる。以下に本発明を詳しく説明する。
[Fifth Embodiment]
The present invention is an improvement of the third embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, and t and t ′ are set to 1 ≦ t ≦ t ′. (T, t ′, n) Threshold signature scheme with n. FIG. 34 is a diagram showing a system configuration example and a flow of the present invention. The difference from the third embodiment is that a participating device 410-i (i = 1,..., N), a signature generation unit 520, a signature verification unit. 530, and each of the dummy key generation unit 540, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the third embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.
参加装置410−i(i=1,…,n)は第4実施形態と同じため、説明は省略する。 図35にダミー鍵生成部540の構成例を、図36にダミー鍵生成部540の処理フローを示す。ダミー鍵生成部540では、通信部243を介して情報取得部542の公開鍵PKi(i=1,…,n)取得手段4421で、参加装置410−i(i=1,…,n)の公開鍵PKiを取得する(S4421と同じ)。また、情報取得部342の公開鍵pki(i=1,…,t’)取得手段3421で、参加装置410−i(i=1,…,t’)の公開鍵pkiを取得する(S2421と同じ)。計算部541のダミー公開鍵pki(i=t’+1,…,n)生成手段5411で、R=(t,t’,n,PK1,…,PKn,m)として、巡回群Gに属する元A0(A0∈G)を、Rのハッシュ値として生成する(A0=H(R))。その後はステップS3411と同じ方法であって、(mij)を、
図37に署名生成部520の機能構成例を示す。署名生成部520は、ダミー生成部921、計算部522、情報取得部523、記録部424、および通信部925から構成されている。また、図38は署名生成部520の処理フローを示す図である。この機能構成と処理フローは、ほとんど第4実施形態の署名生成部420と同じであり、異なる点は元xではなく元Ai(i=0,…,t')を用いる点だけである。異なる点だけを示すと以下のようになる。情報取得部523の元Ai(i=0,…,t')取得手段5233では、元xではなく元Ai(i=0,…,t')を取得する(S5233)。署名作成手段5225では、M=(t,t’,n,PK1,…,PKn,m,A0,…,At’,pk1,…,pkn)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S5227)、記録部424への記憶と公開を行う(S4228)。
FIG. 37 shows a functional configuration example of the signature generation unit 520. The signature generation unit 520 includes a dummy generation unit 921, a calculation unit 522, an information acquisition unit 523, a recording unit 424, and a
図39に署名検証部530の機能構成例を、図40に署名検証部530での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段534で、公開鍵PKi(i=1,…,n)、公開鍵pki(i=1,…,n)、署名σ(m)、元Ai(i=0,…,t')、およびRを取得する(S534)。多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、参加装置410−iでの秘密鍵SKiの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431と同じ)。さらに、署名参加者数確認手段335で、A0=H(R)と
このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠riの公開後も秘密鍵SKiと公開鍵PKiとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more participants who can prove this.
[第6実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第1実施形態を改良したものであって、tを1≦t≦nとする(t,n)閾値署名方式に関する。図41は本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、参加装置610−i(i=1,…,n)、署名生成部620、および署名検証部630のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠riを公開すると使用できなくなる使い捨ての秘密鍵(第2の秘密鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第1実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠riの公開後も使用できる。また、第4実施形態と第5実施形態との違いとしては、継続的に使用する第1の秘密鍵SKiと使い捨ての第2の秘密鍵skiとをペアリング写像を用いて関連つけた点にあり、本発明では、署名生成部620は1つの署名σ(m)のみを生成する。
[Sixth Embodiment]
The present invention is an improvement of the first embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n (t N) Threshold signature scheme. FIG. 41 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that a participating device 610-i (i = 1,..., N), a signature generation unit 620, and a signature verification unit. each 630, two types of keys of a normal private and public keys (first secret key and public key) and the signer evidence r i becomes unusable and publish disposable private key (second private key) It has been changed so that it can respond to. By using two types of keys, while the effect of the first embodiment is maintained, public key such as that registered in the authority of the public (first public key) is also was published signer evidence r i Can be used. Further, the difference between the fourth embodiment and the fifth embodiment is that the first secret key SK i to be used continuously and the second secret key sk i to be used are associated with each other using a pairing map. In the present invention, the signature generation unit 620 generates only one signature σ (m).
まず、発明の説明のために追加または変更される記号等について簡単に説明する。E={0,P,2P,…,(p−1)P}を加法によりPで生成される位数pの巡回群とする。またEは離散対数問題は難しい(つまりPとaPの値が分かっても、aを求めることは難しい)巡回群である。G={1,g,g2,…,g(q−1)}を乗法によりgで生成される位数q(ただしpはqの約数)の巡回群とする。またGは離散対数問題は難しい(つまりgとgaの値が分かっても、aを求めることは難しい)巡回群である。<・,・>:E×E→Gを双線形性(つまり<aP,Q>=<P,aQ>=<P,Q>aが任意のaに対して成立する)と非退化性(つまり<P,Q>=1が任意のQに対して成り立つならば、P=0)を満たすペアリング写像とする。H,I,JはそれぞれH:{0,1}*→E,I:K→Zp,J:{0,1}*→Kのように変換するハッシュ関数である。このような群とペアリング写像は、楕円曲線とその上のベイユペアリング(Weil Pairing)を用いて実現することができる(例えばD. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO ’01, pp. 213-229, 2001.)。以下に本発明を詳しく説明する。 First, symbols and the like that are added or changed for the description of the invention will be briefly described. Let E = {0, P, 2P,..., (P−1) P} be a cyclic group of order p generated by P by addition. E is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of P and aP are known). Let G = {1, g, g 2 ,..., G (q−1) } be a cyclic group of order q (p is a divisor of q ) generated by g by multiplication. G is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of g and g a are known). <•, •>: E × E → G is bilinear (that is, <aP, Q> = <P, aQ> = <P, Q> a holds for any a) and non-degenerate ( That is, if <P, Q> = 1 holds for an arbitrary Q, the pairing map satisfies P = 0). H, I, and J are hash functions for conversion as H: {0, 1} * → E, I: K → Z p , and J: {0, 1} * → K, respectively. Such groups and pairing maps can be realized using elliptic curves and Weil Pairing on top of them (eg D. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO '01, pp. 213-229, 2001.). The present invention is described in detail below.
図42に参加装置610−iの機能構成例を示す。参加装置610−iは、第1の鍵生成部611−i、第2の鍵生成部612−i、署名者証拠生成部613−i、記録部614−i、署名者証拠公開部115−i、および通信部914−iから構成される。図43は第1の鍵生成部611−iの処理フローを示す図、図44は第2の鍵生成部612−iの処理フローを示す図、図45は署名者証拠生成部613−iの処理フローを示す図である。 FIG. 42 shows a functional configuration example of the participation apparatus 610-i. The participation apparatus 610-i includes a first key generation unit 611-i, a second key generation unit 612-i, a signer evidence generation unit 613-i, a recording unit 614-i, and a signer evidence disclosure unit 115-i. , And a communication unit 914-i. 43 is a diagram showing a processing flow of the first key generation unit 611-i, FIG. 44 is a diagram showing a processing flow of the second key generation unit 612-i, and FIG. 45 is a diagram of the signer evidence generation unit 613-i. It is a figure which shows a processing flow.
参加装置610−i(i=1,…,n)の鍵生成部611−iでは、以下の手順で第1の秘密鍵SKiと公開鍵PKiとを生成する。秘密鍵SKi生成手段6111−iでは、pを法とする剰余類Zpから等確率でランダムに1つの元siを選択して秘密鍵SKiとし(SKi=si∈UZp)(S6111)、秘密鍵SKiを記録部614−iに記録する(S6112)。公開鍵PKi生成手段6112−iでは、あらかじめ定められた巡回群Eの元Pを用いて、PKi=siPにより公開鍵PKi(PKi∈E)を生成し(S6113)、公開鍵PKiを記録部614−iに記録する(S6114)。ここで、巡回群Eは、離散対数問題が難しい群から選ばれているため、公開鍵PKiと元Pとが分かっても、秘密鍵SKi(=si)は分からない。このように生成された公開鍵PKiは、元Pの情報とともに通信部914−iを介して公開される。 The key generation unit 611-i of the participating device 610-i (i = 1,..., N) generates the first secret key SK i and the public key PK i by the following procedure. The secret key SK i generating means 6111-i selects one element s i at random from the remainder class Z p modulo p with equal probability as the secret key SK i (SK i = s i ∈ U Z p ) (S6111), the secret key SK i is recorded in the recording unit 614-i (S6112). The public key PK i generating means 6112- i generates a public key PK i (PK i εE) by PK i = s i P using a predetermined element P of the cyclic group E (S 6113). The key PK i is recorded in the recording unit 614-i (S6114). Here, since the cyclic group E is selected from a group in which the discrete logarithm problem is difficult, even if the public key PK i and the element P are known, the secret key SK i (= s i ) is not known. The public key PK i generated in this way is disclosed through the communication unit 914-i together with the information of the original P.
鍵生成部612−iでは、以下の手順で第2の秘密鍵skiを生成する。まず、公開鍵PKi(i=1,…,n)取得手段6123−iで参加装置610−i(i=1,…,n)の公開鍵PKiを取得する(S6121)。Qm生成手段6122−iでは、Qm=H(t,n,PK1,…,PKn,m)としてQm(Qm∈E)を生成し(S6122)、Qmを記録部614−iに記録するとともに公開する(S6123)。秘密鍵ski生成手段6121−iでは、ski=siQmとして使い捨ての秘密鍵ski(ski∈E)を生成し(S6124)、秘密鍵skiを記録部614−iに記録する(S6125)。なお、上記のQmを求める方法では全ての参加装置610−iの公開鍵PKi(i=1,…,n)を使用しており、どの参加装置で計算しても同じQmを得る。したがって、1つの参加装置または別の装置でQmを求め、各参加装置に送信しても良い。 The key generation unit 612-i generates the second secret key ski i by the following procedure. First, the public key PK i (i = 1, ... , n) participating device acquisition unit 6123-i 610-i (i = 1, ..., n) to obtain the public key PK i of (S6121). The Q m generation means 6122-i generates Q m (Q m ∈E) as Q m = H (t, n, PK 1 ,..., PK n , m) (S 6122), and Q m is recorded in the recording unit 614. -I is recorded and released (S6123). The secret key sk i generating means 6121- i generates a disposable secret key sk i (sk i εE) as sk i = s i Q m (S6124), and records the secret key sk i in the recording unit 614-i. (S6125). In the above method for obtaining Q m , public keys PK i (i = 1,..., N) of all participating devices 610-i are used, and the same Q m is obtained regardless of which participating device calculates. . Therefore, Q m may be obtained by one participating device or another device and transmitted to each participating device.
参加者が署名に協力する場合には、署名者証拠生成部613−iの署名者証拠ri生成手段6121−iでは、pを法とする剰余類Zpから等確率でランダムに1つの元を選択して署名者証拠ri(ri∈UZp)とし(S6121)、記録部614−iに記録する(S1121)。次にコミットメントai生成手段6132−iは、元Pを用いて、
図46に署名生成部620の機能構成例を示す。署名生成部620は、ダミー生成部621、計算部622、情報取得部623、記録部624、および通信部925から構成されている。また、図47は署名生成部620の処理フローを示す図である。
FIG. 46 shows a functional configuration example of the signature generation unit 620. The signature generation unit 620 includes a dummy generation unit 621, a calculation unit 622, an information acquisition unit 623, a recording unit 624, and a
署名生成部620では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部623の公開鍵PKi(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKiを取得する(S4231)。また、Qm取得手段6231により、Qmを取得する(S6231)。ダミー生成部621では、次のように、ダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントai(i=t+1,…,n)を生成する。ダミーレスポンスei(i=t+1,…,n)生成手段6211により、pを法とする剰余類Zpから等確率でランダムに1つの元を選択してダミーレスポンスei(i=t+1,…,n)とし(ei∈UZp)(S6211)、記録部624に記録する(S9212)。ダミーチャレンジci(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yiを選び、そのハッシュ関数をダミーチャレンジci(i=t+1,…,n)とし(yi∈UK,ci:=I(yi)∈Zp)(S6213)、記録部624に記録する(S9214)。また、ダミーコミットメントai(i=t+1,…,n)生成手段6213により、元P、Qm、および公開鍵PKiを用いて、
また、通信部925を介して情報取得部623のコミットメントai(i=1,…,t)取得手段9232により、参加装置610−i(i=1,…,t)のコミットメントaiを取得する(S9232と同じ)。
The commitment a i (i = 1, ... , t) in the information acquisition unit 623 via the
次に、計算部622では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段6221により、n−t次の多項式f(x)(f(x)=α0+α1x+α2x2+…+αn−txn−t,αj∈K)と定め、f(0)=J(t,n,PK1,…,PKn,Qm,a1,…,an,m)とf(i)=yi(i=t+1,…,n)の条件からαj(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S6221)。また、求めたn−t次多項式f(x)を記録部624に記録する(S9222)。チャレンジci(i=1,…,t)生成手段9222では、ci:=I(f(i))により、チャレンジci(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジciに対応する参加装置910−i(i=1,…,t)にチャレンジciを送信する(S9224)。
Next, the calculation unit 622 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 6221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α defined as j ∈K), f (0) = J (t, n,
各参加者装置610−i(i=1,…,t)では、送信されたチャレンジciを用いて、上記のようにレスポンスeiを生成し署名生成部620に送信する(図45のS9124〜S9127)。そこで、レスポンスei(i=1,…,t)取得手段9223は、レスポンスei(i=1,…,t)を取得し(S9225)、記録部624に記録する(S9226)。署名σ(m)作成手段6223では、σ(m)=(f,c1,…,cn,e1,…,en)により、σ(m)を求め(S6227)、記録部624に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。
Each participant device 610-i (i = 1,..., T) generates a response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 620 (S9124 in FIG. 45). To S9127). Therefore, the response e i (i = 1,..., T)
図48に署名検証部630の機能構成例を、図49に署名検証部630での署名σ(m)を検証するフローを示す。なお、署名者証拠riを確認する処理フローは第1実施形態と同じである。署名σ(m)を検証する場合は、情報取得手段634で公開鍵PKi(i=1,…,n)、Qm、および署名σ(m)を取得し(S634)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、Qm確認手段632で、Qm=H(t,n,PK1,…,PKn,m)かつQm∈Eであることを確認し(S632)、チャレンジci、多項式f(0)確認手段633で、
このように署名σ(m)を生成、検証することによって以下のような効果がある。署名生成に協力したことを参加者iが証明するために署名者証拠riを公開した場合、第2の秘密鍵skiは、ski=siQm=ci -1(riQm−ei)により求めることができるが、Eは離散対数問題が難しい巡回群から選ばれているため、第1の秘密鍵SKi(SKi=si∈Zp)を求めることはできない。したがって、署名者証拠ri公開後も公開鍵PKiを使うことができる。また、チャレンジci、多項式f(0)確認手段633で、
[第7実施形態]
本実施形態は、第1実施形態から第6実施形態の総括である。図50に第1実施形態から第6実施形態をまとめた(t,n)閾値電子署名システムの処理フローを示す。図50では、すべての実施形態に共通する装置(部)と処理工程を実線の四角で示し、第2実施形態から第5実施形態に必要な装置(部)と処理工程を点線の四角で示し、第4実施形態から第6実施形態に必要な装置(部)と処理工程を一点鎖線の四角で示す。第6実施形態に必要な処理工程を二点鎖線の四角で示す。
[Seventh Embodiment]
This embodiment is a summary of the first to sixth embodiments. FIG. 50 shows a processing flow of the (t, n) threshold electronic signature system in which the first to sixth embodiments are summarized. In FIG. 50, apparatuses (parts) and processing steps common to all the embodiments are indicated by solid squares, and apparatuses (parts) and processing steps necessary for the second to fifth embodiments are indicated by dotted squares. The apparatuses (parts) and processing steps necessary for the fourth to sixth embodiments are indicated by a dashed-dotted line. The processing steps necessary for the sixth embodiment are indicated by a two-dot chain square.
第4実施形態から第6実施形態の参加装置(410−i、または610−i)(i=1,…,n)は、第1の秘密鍵SKiと公開鍵PKiを生成し、公開鍵PKiを公開する。第1の実施形態と第6実施形態の場合は、すべての参加装置(110−i、または610−i)(i=1,…,n)は、署名に使用する秘密鍵skiを生成し、第1の実施形態は公開鍵pkiも生成し、公開鍵pkiを公開する。第2実施形態と第4実施形態は参加装置(110−i、または410−i)(i=1,…,n−1)が、署名に使用する秘密鍵skiと公開鍵pkiを生成し、公開鍵pkiを公開する。第3実施形態と第5実施形態は参加装置(110−i、または410−i)(i=1,…,t’)が、署名に使用する秘密鍵skiと公開鍵pkiを生成し、公開鍵pkiを公開する。 Participating devices (410-i or 610-i) (i = 1,..., N) of the fourth to sixth embodiments generate a first secret key SK i and a public key PK i and make them public. Publish the key PK i . In the case of the first embodiment and the sixth embodiment, all the participating devices (110-i or 610-i) (i = 1,..., N) generate a secret key sk i used for signature. the first embodiment also generates a public key pk i, publishes the public key pk i. In the second and fourth embodiments, the participating device (110-i or 410-i) (i = 1,..., N-1) generates a private key sk i and a public key pk i used for signature. And public key pk i is made public. In the third and fifth embodiments, the participating device (110-i or 410-i) (i = 1,..., T ′) generates a secret key sk i and a public key pk i used for signature. , Public key pk i is made public.
第2実施形態から第5実施形態の場合は、ダミー鍵生成部(240、340,440,540)で、ダミーの公開鍵pki(i=nまたはt’,…,n)を生成し、公開する。
署名生成に協力する参加装置(110−i、410−i、または610−i)(i=1,…,t)は、署名者証拠riとコミットメントaiを生成し、コミットメントaiを署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名生成に協力していない参加装置(110−i、410−i、または610−i)(i=t+1,…,n)に対応するダミーのレスポンスei、チャレンジci、およびコミットメントaiを生成し、n−t次多項式fと署名生成に協力した参加装置(110−i、410−i、または610−i)(i=1,…,t)に対応するチャレンジciを生成し、チャレンジciを参加装置(110−i、410−i、または610−i)(i=1,…,t)に送信する。各参加装置(110−i、410−i、または610−i)(i=1,…,t)では、レスポンスeiを生成し署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を生成する。署名検証部(130、230、330,430,530、または630)で、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を確認し、第2実施形態から第5実施形態の場合は、署名参加者数を確認する。さらに、署名に協力した参加者が署名に協力したことを証明したい場合には、参加装置(110−i、410−i、または610−i)(i=1,…,t)は署名者証拠riを公開し、署名検証部(130、230、330,430,530、または630)は署名者証拠riを確認する。なお、各処理の詳細は、上記の第1実施形態から第6実施形態に示したとおりである。
In the case of the second to fifth embodiments, the dummy key generation unit (240, 340, 440, 540) generates a dummy public key pk i (i = n or t ′,..., N), Publish.
Join apparatus to cooperate with the signature generation (110-i, 410-i or 610-i,) (i = 1, ..., t) generates a signer evidence r i and commitment a i, signed commitment a i It transmits to a production | generation part (920, 420, 520, or 620). The signature generation unit (920, 420, 520, or 620) corresponds to a participating device (110-i, 410-i, or 610-i) (i = t + 1,..., N) that does not cooperate with signature generation. Participating devices (110-i, 410-i, or 610-i) that have generated dummy responses e i , challenges c i , and commitment a i and cooperated in generating the nt-order polynomial f and signature (i = 1) , ..., generates a challenge c i corresponding to t), join apparatus Challenge c i (110-i, 410 -i or 610-i) (i = 1 ,, ..., are transmitted to t). Each participating device (110-i, 410-i, or 610-i) (i = 1,..., T) generates a response e i and transmits it to the signature generation unit (920, 420, 520, or 620). . The signature generation unit (920, 420, 520, or 620) generates a signature σ (in the case of the fourth and fifth embodiments, further Σ). The signature verification unit (130, 230, 330, 430, 530, or 630) confirms the signature σ (in the case of the fourth and fifth embodiments, further Σ), and the second to fifth embodiments. In the case of a form, the number of signature participants is confirmed. Further, if the participant who cooperated with the signature wants to prove that the participant cooperated with the signature, the participating device (110-i, 410-i, or 610-i) (i = 1,. publish the r i, the signature verification unit (130,230,330,430,530 or 630,) confirms the signer evidence r i. The details of each process are as shown in the first to sixth embodiments.
このようなシステム構成と処理方法により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。 With such a system configuration and processing method, it is possible to prove that the participant wants to prove that he / she cooperated in signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.
Claims (29)
署名者証拠を記録する記録部と、
署名者証拠を公開する署名者証拠公開部と、
を備える参加装置。 A participating device that performs an electronic signature as a constituent device of an electronic signature system with a threshold,
A recording section for recording the signer evidence;
A signer evidence publishing section that publishes signer evidence;
A participation apparatus comprising:
第1の秘密鍵と公開鍵とを生成する第1の鍵生成部と、
署名生成に用いる第2の秘密鍵と公開鍵とを生成する第2の鍵生成部と、
を備える参加装置。 The participation device according to claim 1,
A first key generation unit that generates a first secret key and a public key;
A second key generation unit that generates a second secret key and a public key used for signature generation;
A participation apparatus comprising:
第1の秘密鍵と公開鍵とを生成する第1の鍵生成部と、
第1の秘密鍵から署名生成に用いる第2の秘密鍵を生成する第2の鍵生成部と、
を備える参加装置。 The participation device according to claim 1,
A first key generation unit that generates a first secret key and a public key;
A second key generation unit for generating a second secret key used for signature generation from the first secret key;
A participation apparatus comprising:
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、
上記閾値つき電子署名システムを構成する参加装置の第1の公開鍵PKi(i=1,…,n)とメッセージmから、任意長のビット列を離散対数問題の難しい加法による巡回群の元に変換するハッシュ関数Hを用いて
Qm=H(t,n,PK1,…,PKn,m)
とし、参加装置の第1の秘密鍵SKiを用いて、
ski=SKiQm
として第2の秘密鍵skiを生成する上記第2の鍵生成部と、
pを法とする剰余類Zpから等確率でランダムに選択した1つの元を署名者証拠riとし、第1の鍵生成部で使用した離散対数問題の難しい加法による巡回群の元Pを用いて、
を備える参加装置。 The participation device according to claim 3,
There are n participating devices, and any t participating devices cooperated in the signature,
From the first public key PK i (i = 1,..., N) of the participating devices constituting the thresholded digital signature system and the message m, an arbitrary-length bit string is used as a cyclic group by addition that is difficult to the discrete logarithm problem. Q m = H (t, n, PK 1 ,..., PK n , m) using the hash function H to be converted
And using the first secret key SK i of the participating device,
sk i = SK i Q m
The second key generation unit for generating the second secret key sk i as:
One element randomly selected with equal probability from the remainder class Z p modulo p is used as a signer proof r i, and an element P of a cyclic group by addition difficult to the discrete logarithm problem used in the first key generation unit is used. make use of,
A participation apparatus comprising:
少なくとも1つの署名生成に協力していない参加装置の公開鍵を生成し、当該公開鍵および公開鍵生成時に使用した離散対数問題の難しい巡回群の元を公開する計算部
を備えるダミー鍵生成装置。 A dummy key generation device that generates a dummy public key as a constituent device of an electronic signature system with a threshold,
A dummy key generation device comprising: a calculation unit that generates a public key of a participating device that is not cooperating with at least one signature generation and publishes the public key and an element of a cyclic group having a difficult discrete logarithm problem used when generating the public key.
n台の参加装置がある場合に、署名生成に協力していない1つの参加装置の公開鍵pknを、その他の参加装置の公開鍵pki(i=1,…,n−1)と離散対数問題が難しい巡回群の元xから、
pkn=x/pk1pk2…pkn−1
と定める上記計算部
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 5,
When there are n participating devices, the public key pk n of one participating device that is not cooperating with signature generation is separated from the public keys pk i (i = 1,..., n−1) of other participating devices. From the element x of the cyclic group where the logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
A dummy key generation device comprising the calculation unit as defined above.
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
署名生成に協力していない(n−t’)の参加装置の公開鍵pki(i=t'+1,…,n)を、その他の参加装置の公開鍵pki(i=1,…,t')と離散対数問題が難しい巡回群の元A0から、(mij)を、
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 5,
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
The public keys pk i (i = t ′ + 1,..., N) of (nt−t) participating devices not cooperating with signature generation are used as the public keys pk i (i = 1,. From t ′) and the element A 0 of the cyclic group in which the discrete logarithm problem is difficult, (m ij )
少なくとも1つの署名生成に協力していない参加装置の第2の公開鍵を、他の参加装置の第2の公開鍵を利用して生成し、当該公開鍵および公開鍵生成時に使用した離散対数問題の難しい巡回群の元を公開する計算部
を備えるダミー鍵生成装置。 As a constituent device of a thresholded electronic signature system using two public keys, a dummy key generating device that generates a second public key used for a signature,
Discrete logarithm problem generated by generating a second public key of a participating device not cooperating with at least one signature generation using a second public key of another participating device and used when generating the public key and public key A dummy key generator with a computing unit that reveals the elements of difficult cyclic groups.
n台の参加装置がある場合に、署名生成に協力していない任意の1つの参加装置に対応するダミー公開鍵pknを、その他の参加装置の第2の公開鍵pki(i=1,…,n−1)と離散対数問題が難しい巡回群に属する元xから、
pkn=x/pk1pk2…pkn−1
と定める上記計算部
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 8, wherein
When there are n participating devices, the dummy public key pk n corresponding to any one participating device not cooperating with signature generation is used as the second public key pk i (i = 1, 1) of the other participating devices. ..., n-1) and the element x belonging to the cyclic group where the discrete logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
A dummy key generation device comprising the calculation unit as defined above.
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
署名生成に協力していない任意の(n−t’)の参加装置に対応するダミー公開鍵pki(i=t'+1,…,n)を、その他の参加装置の第2の公開鍵pki(i=1,…,t')と離散対数問題が難しい巡回群に属する元A0から、(mij)を、
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 8, wherein
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
A dummy public key pk i (i = t ′ + 1,..., N) corresponding to an arbitrary (nt−t ′) participating device not cooperating with signature generation is used as the second public key pk of the other participating devices. From i (i = 1,..., t ′) and the element A 0 belonging to the cyclic group in which the discrete logarithm problem is difficult, (m ij )
参加装置が公開する署名者証拠を取得する情報取得部と、
署名者証拠を確認する署名者証拠確認部と、
を備える署名検証装置。 A signature verification device that verifies an electronic signature as a component of an electronic signature system with a threshold,
An information acquisition unit for acquiring signer evidence disclosed by the participating devices;
A signer evidence confirmation unit for confirming the signer evidence;
A signature verification apparatus comprising:
参加装置間の公開鍵の関係から署名者参加者数を確認する署名者参加者数確認部、
を備える署名検証装置。 The signature verification device according to claim 11,
Signer participant number confirmation unit for confirming the number of signer participants from the relationship of public keys between participating devices,
A signature verification apparatus comprising:
n台の参加装置がある場合に、参加装置の公開鍵pki(i=1,…,n)と離散対数問題が難しい巡回群の元xから、
pk1pk2…pkn=x
となることを確認する署名者参加者数確認部
を備える署名検証装置。 The signature verification device according to claim 12,
When there are n participating devices, the public key pk i (i = 1,..., n) of the participating device and the element x of the cyclic group where the discrete logarithm problem is difficult,
pk 1 pk 2 ... pk n = x
A signature verification apparatus comprising a signer participant number confirmation unit for confirming that
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
参加装置の公開鍵pki(i=1,…,n)と離散対数問題が難しい巡回群の元Ai(i=0,…,t')から、
を備える署名検証装置。 The signature verification device according to claim 12,
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
From the participating device's public key pk i (i = 1,..., N) and the cyclic group element A i (i = 0,..., T ′) where the discrete logarithm problem is difficult.
参加者装置ごとの第1の公開鍵、第2の公開鍵を取得する上記情報取得部と、
第1の署名および第2の署名の確認を行う署名確認部
を備える署名検証装置。 The signature verification apparatus according to any one of claims 11 to 14,
The information acquisition unit for acquiring a first public key and a second public key for each participant device;
A signature verification apparatus comprising: a signature confirmation unit that confirms the first signature and the second signature.
参加装置が公開する第1の公開鍵と鍵生成に使用した離散対数問題の難しい巡回群の元、および第2の秘密鍵生成に使用した離散対数問題の難しい巡回群の元を取得する上記情報取得部と、
第2の秘密鍵生成時に使用した元を確認する元確認部と、
チャレンジと多項式とを確認する上記チャレンジ・多項式確認部と、
を備える署名検証装置。 The signature verification device according to claim 11,
The above-mentioned information for acquiring the first public key published by the participating device and the element of the cyclic group that is difficult for the discrete logarithm problem used for key generation and the element of the cyclic group that is difficult for the discrete logarithm problem used for the second secret key generation An acquisition unit;
An original confirmation unit for confirming the original used when generating the second secret key;
The above challenge / polynomial confirmation unit for confirming the challenge and polynomial,
A signature verification apparatus comprising:
閾値つき電子署名システムを構成する参加装置ごとの第1の公開鍵と第2の公開鍵、および公開鍵生成時に使用した離散対数問題の難しい巡回群の元を取得する情報取得部と、
第1の署名と第2の署名とを生成し、第1の署名と第2の署名とを公開する計算部と、
を備える署名生成装置。 A signature generation device that generates an electronic signature as a constituent device of an electronic signature system with a threshold,
An information acquisition unit that acquires a first public key and a second public key for each participating device constituting the thresholded electronic signature system, and an element of a cyclic group that is difficult to use in the discrete logarithm problem used when generating the public key;
A calculation unit that generates a first signature and a second signature and publishes the first signature and the second signature;
A signature generation apparatus comprising:
第1の秘密鍵に関連付けられた第2の秘密鍵を用いた署名を生成する計算部
を備える署名生成装置。 A signature generation device that generates an electronic signature as a constituent device of a thresholded electronic signature system using two secret keys,
A signature generation apparatus comprising: a calculation unit that generates a signature using a second secret key associated with a first secret key.
全参加装置の第1の公開鍵PKi(i=1,…,n)、第1の鍵生成と第2の鍵生成で使用された離散対数問題の難しい加法による巡回群の元Pと元Qmを用いて、
離散対数問題の難しい加法による巡回群から等確率ランダムに選ばれた元をダミーレスポンスeiとし、
有限体の座標値をpを法とする剰余類Zpに変換するハッシュ関数Iを用いて、有限体の座標値yiから、ci=I(yi)によりダミーチャレンジciを求め、
を備える署名生成装置。 The signature generation device according to claim 18, wherein
The first public key PK i (i = 1,..., N) of all the participating devices, the elements P and elements of the cyclic group by the difficult addition of the discrete logarithm problem used in the first key generation and the second key generation Using Q m
A dummy response e i is an element selected at random with equal probability from a cyclic group by a difficult addition of the discrete logarithm problem,
Using a hash function I for converting the coordinate values of the finite field in residue class Z p modulo p, from the coordinate value y i of the finite field, obtains a dummy challenge c i by c i = I (y i),
あらかじめ参加装置の記録部で、署名者証拠を記録しておき、
上記参加装置の署名者証拠公開部で、上記署名者証拠を公開し、
署名検証装置で、上記署名者証拠を確認する
ことを特徴とする閾値つき電子署名方法。 A digital signature method with a threshold,
Record the signer's evidence in the recording unit of the participating device beforehand,
In the signer proof disclosure section of the participating device, publish the signer proof,
An electronic signature method with a threshold, characterized in that the signer evidence is confirmed by a signature verification device.
ダミー鍵生成装置の計算部で、少なくとも1つの署名生成に協力していない参加装置の鍵生成部の代わりに公開鍵を生成し、当該公開鍵および当該ダミー鍵生成装置が使用した離散対数問題の難しい巡回群の元を公開し、
署名生成装置で、上記ダミー鍵生成装置が生成した公開鍵も用いて電子署名を生成し、
上記署名検証装置の署名者参加者数確認部で、参加装置間の公開鍵の関係から署名者参加者数を確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 20,
The calculation unit of the dummy key generation device generates a public key instead of the key generation unit of the participating device that is not cooperating with at least one signature generation, and solves the discrete logarithm problem used by the public key and the dummy key generation device. To reveal the source of difficult traveling groups,
The signature generation device generates an electronic signature using the public key generated by the dummy key generation device,
An electronic signature method with a threshold, characterized in that the number of signer participants in the signature verification device confirms the number of signer participants from the public key relationship between the participating devices.
n台の参加装置がある場合に、上記ダミー鍵生成装置の計算部で、署名生成に協力していない1つの参加装置の公開鍵pknを、その他の参加装置の公開鍵pki(i=1,…,n−1)と離散対数問題が難しい巡回群の元xから、
pkn=x/pk1pk2…pkn−1
と定め、
上記署名検証装置の署名者参加者数確認部で、公開鍵pki(i=1,…,n)と離散対数問題が難しい巡回群の元xから、
pk1pk2…pkn=x
となることを確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 21, comprising:
When there are n participating devices, the calculation unit of the dummy key generating device uses the public key pk n of one participating device not cooperating with signature generation as the public key pk i (i = 1, ..., n-1) and the element x of the cyclic group where the discrete logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
And
In the signer participant number confirmation unit of the signature verification device, from the public key pk i (i = 1,..., N) and the element x of the cyclic group in which the discrete logarithm problem is difficult,
pk 1 pk 2 ... pk n = x
A digital signature method with a threshold value characterized by confirming that
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
上記ダミー鍵生成装置の計算部で、署名生成に協力していない(n−t’)の参加装置の公開鍵pki(i=t'+1,…,n)を、その他の参加装置の公開鍵pki(i=1,…,t')および離散対数問題が難しい巡回群の元A0から、(mij)を、
上記署名検証装置の署名者参加者数確認部で、参加装置に対応する公開鍵pki(i=1,…,n)と離散対数問題が難しい巡回群に属する元Ai(i=0,…,t')から、
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 21, comprising:
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
The public key pk i (i = t ′ + 1,..., N) of (nt−t ′) participating devices that are not cooperating with signature generation in the calculation unit of the dummy key generating device is disclosed to other participating devices. From the key pk i (i = 1,..., T ′) and the element A 0 of the cyclic group in which the discrete logarithm problem is difficult, (m ij )
In the signer participant number confirmation unit of the signature verification device, the public key pk i (i = 1,..., N) corresponding to the participating device and the element A i (i = 0, n) belonging to the cyclic group in which the discrete logarithm problem is difficult. ..., t ')
上記参加装置の第1の鍵生成部で、第1の秘密鍵と公開鍵とを生成し、
上記参加装置の第2の鍵生成部で、署名生成に用いる第2の秘密鍵と公開鍵とを生成し、
ダミー鍵生成装置の計算部で、少なくとも1つの署名生成に協力していない参加装置の第2の公開鍵を生成し、
上記署名生成装置の計算部で、第1の署名と第2の署名とを生成し、
上記署名検証装置の署名確認部で、第1の署名および第2の署名の確認を行い、
上記署名検証装置の署名者参加者数確認部で、参加装置間の公開鍵の関係から署名者参加者数を確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 20,
The first key generation unit of the participating device generates a first secret key and a public key,
The second key generation unit of the participating device generates a second secret key and a public key used for signature generation,
Generating a second public key of a participating device not cooperating with at least one signature generation in the calculation unit of the dummy key generation device;
The calculation unit of the signature generation device generates a first signature and a second signature,
The signature verification unit of the signature verification apparatus confirms the first signature and the second signature,
An electronic signature method with a threshold, characterized in that the number of signer participants in the signature verification device confirms the number of signer participants from the public key relationship between the participating devices.
n台の参加装置がある場合に、上記ダミー鍵生成装置の計算部で、署名生成に協力していない1つの参加装置の公開鍵pknを、その他の参加装置の第2の公開鍵pki(i=1,…,n−1)と離散対数問題が難しい巡回群の元xから、
pkn=x/pk1pk2…pkn−1
と定め、
上記署名検証装置の署名者参加者数確認部で、第2の公開鍵pki(i=1,…,n)と離散対数問題が難しい巡回群の元xから、
pk1pk2…pkn=x
となることを確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 24,
When there are n participating devices, the calculation unit of the dummy key generating device uses the public key pk n of one participating device not cooperating with signature generation as the second public key pk i of the other participating devices. (I = 1,..., N−1) and the element x of the cyclic group where the discrete logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
And
In the signer participant number confirmation unit of the signature verification device, from the second public key pk i (i = 1,..., N) and the element x of the cyclic group in which the discrete logarithm problem is difficult,
pk 1 pk 2 ... pk n = x
A digital signature method with a threshold value characterized by confirming that
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
上記ダミー鍵生成装置の計算部で、署名生成に協力していない(n−t’)の参加装置の公開鍵pki(i=t'+1,…,n)を、その他の参加装置の第2の公開鍵pki(i=1,…,t')および離散対数問題が難しい巡回群の元A0から、(mij)を、
上記署名検証装置の署名者参加者数確認部で、参加装置に対応する第2の公開鍵pki(i=1,…,n)と離散対数問題が難しい巡回群に属する元Ai(i=0,…,t')から、
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 24,
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
In the calculation unit of the dummy key generation device, the public key pk i (i = t ′ + 1,..., N) of the (nt−t ′) participating device not cooperating with the signature generation is used as the number of the other participating device. (M ij ) from two public keys pk i (i = 1,..., T ′) and a cyclic group element A 0 in which the discrete logarithm problem is difficult.
In the signer participant number confirmation unit of the signature verification device, the second public key pk i (i = 1,..., N) corresponding to the participating device and the element A i (i belonging to the cyclic group where the discrete logarithm problem is difficult. = 0, ..., t ')
上記参加装置の第1の鍵生成部で、第1の秘密鍵と公開鍵とを生成し、
上記参加装置の第2の鍵生成部で、第1の秘密鍵から署名生成に用いる第2の秘密鍵を生成し、
上記署名生成装置の計算部で、第2の秘密鍵を用いた署名を生成し、
上記署名検証装置で、上記署名を確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 20,
The first key generation unit of the participating device generates a first secret key and a public key,
The second key generation unit of the participating device generates a second secret key used for signature generation from the first secret key,
The calculation unit of the signature generation device generates a signature using the second secret key,
An electronic signature method with a threshold, wherein the signature is verified by the signature verification device.
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、
上記参加装置の第2の鍵生成部で、上記閾値つき電子署名システムを構成する参加装置の第1の公開鍵PKi(i=1,…,n)とメッセージmから、任意長のビット列を離散対数問題の難しい加法による巡回群の元に変換するハッシュ関数Hを用いて
Qm=H(t,n,PK1,…,PKn,m)
とし、参加装置の第1の秘密鍵SKiを用いて、
ski=SKiQm
として第2の秘密鍵skiを生成し、
上記参加装置の署名者証拠生成部では、pを法とする剰余類Zpから等確率でランダムに選択した1つの元を署名者証拠riとし、第1の鍵生成部で使用した離散対数問題の難しい加法による巡回群の元Pを用いて、
上記署名生成装置のダミー生成部では、離散対数問題の難しい加法による巡回群から等確率ランダムに選ばれた元をダミーレスポンスeiとし、
有限体の座標値をpを法とする剰余類Zpに変換するハッシュ関数Iを用いて、有限体の座標値yiから、ci=I(yi)によりダミーチャレンジciを求め、
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 27,
There are n participating devices, and any t participating devices cooperated in the signature,
In the second key generation unit of the participating device, a bit string of an arbitrary length is obtained from the first public key PK i (i = 1,..., N) of the participating device that constitutes the thresholded digital signature system and the message m. Q m = H (t, n, PK 1 ,..., PK n , m) using a hash function H that transforms into an element of a cyclic group by addition, which is difficult for the discrete logarithm problem
And using the first secret key SK i of the participating device,
sk i = SK i Q m
As a second secret key sk i
The signatory proof generating unit of the participating device, the one based on randomly selected with equal probability from residue class Z p modulo p and signer evidence r i, discrete logarithm used in the first key generating portion Using the element P of the cyclic group by the difficult addition,
In the dummy generation unit of the signature generation device, an element selected at random with equal probability from a cyclic group by addition in which the discrete logarithm problem is difficult is set as a dummy response e i .
Using a hash function I for converting the coordinate values of the finite field in residue class Z p modulo p, from the coordinate value y i of the finite field, obtains a dummy challenge c i by c i = I (y i),
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005015336A JP4738003B2 (en) | 2005-01-24 | 2005-01-24 | Signature system, signing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005015336A JP4738003B2 (en) | 2005-01-24 | 2005-01-24 | Signature system, signing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006203754A true JP2006203754A (en) | 2006-08-03 |
JP4738003B2 JP4738003B2 (en) | 2011-08-03 |
Family
ID=36961332
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005015336A Active JP4738003B2 (en) | 2005-01-24 | 2005-01-24 | Signature system, signing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4738003B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007318745A (en) * | 2006-04-27 | 2007-12-06 | Matsushita Electric Ind Co Ltd | Content distribution system |
WO2015118160A1 (en) * | 2014-02-10 | 2015-08-13 | Thomson Licensing | Signing methods for delivering partial signatures, and/or threshold signatures, corresponding verification methods, and corresponding electronic devices |
JP2016001263A (en) * | 2014-06-12 | 2016-01-07 | 日本電信電話株式会社 | Partial throwaway signature system and method, signature device, verification device, and program |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3788530A4 (en) | 2018-05-04 | 2022-01-19 | Crypto4A Technologies Inc. | Digital data comparison filter, system and method, and applications therefor |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001142397A (en) * | 1998-10-30 | 2001-05-25 | Hitachi Ltd | Digital signature method, method and system for managing secret information |
JP2002175009A (en) * | 2000-12-07 | 2002-06-21 | Hitachi Ltd | Method for generating digital signature, and method for verifying digital signature |
JP2003218858A (en) * | 2002-01-25 | 2003-07-31 | Nippon Telegr & Teleph Corp <Ntt> | Signature generation method and signature verification method, signature-generating apparatus and signature- verifying apparatus, signature generation program and signature verification program, and storage medium for storing signature generation program and storage medium for storing signature verification program |
JP2004312512A (en) * | 2003-04-09 | 2004-11-04 | Nippon Telegr & Teleph Corp <Ntt> | Anonymity signature device, signature verification device, anonymity signature method, anonymity signature program, and signature verification program |
JP2005184134A (en) * | 2003-12-16 | 2005-07-07 | Murata Mach Ltd | Electronic signature method, program, and device thereof |
JP2006101225A (en) * | 2004-09-29 | 2006-04-13 | Toshiba Corp | Signature request device, signature system, signature request method, and signature request program |
JP2006203660A (en) * | 2005-01-21 | 2006-08-03 | Toshiba Corp | Device method and program for forming digital signature information |
-
2005
- 2005-01-24 JP JP2005015336A patent/JP4738003B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001142397A (en) * | 1998-10-30 | 2001-05-25 | Hitachi Ltd | Digital signature method, method and system for managing secret information |
JP2002175009A (en) * | 2000-12-07 | 2002-06-21 | Hitachi Ltd | Method for generating digital signature, and method for verifying digital signature |
JP2003218858A (en) * | 2002-01-25 | 2003-07-31 | Nippon Telegr & Teleph Corp <Ntt> | Signature generation method and signature verification method, signature-generating apparatus and signature- verifying apparatus, signature generation program and signature verification program, and storage medium for storing signature generation program and storage medium for storing signature verification program |
JP2004312512A (en) * | 2003-04-09 | 2004-11-04 | Nippon Telegr & Teleph Corp <Ntt> | Anonymity signature device, signature verification device, anonymity signature method, anonymity signature program, and signature verification program |
JP2005184134A (en) * | 2003-12-16 | 2005-07-07 | Murata Mach Ltd | Electronic signature method, program, and device thereof |
JP2006101225A (en) * | 2004-09-29 | 2006-04-13 | Toshiba Corp | Signature request device, signature system, signature request method, and signature request program |
JP2006203660A (en) * | 2005-01-21 | 2006-08-03 | Toshiba Corp | Device method and program for forming digital signature information |
Non-Patent Citations (1)
Title |
---|
JPN6010030148, 藤崎英一郎、鈴木幸太郎, "Just t−out−of−n Signature", 2005年暗号と情報セキュリティシンポジウム(SCIS2005)予稿集, 20050125, 3E4−4, 電子情報通信学会 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007318745A (en) * | 2006-04-27 | 2007-12-06 | Matsushita Electric Ind Co Ltd | Content distribution system |
WO2015118160A1 (en) * | 2014-02-10 | 2015-08-13 | Thomson Licensing | Signing methods for delivering partial signatures, and/or threshold signatures, corresponding verification methods, and corresponding electronic devices |
JP2016001263A (en) * | 2014-06-12 | 2016-01-07 | 日本電信電話株式会社 | Partial throwaway signature system and method, signature device, verification device, and program |
Also Published As
Publication number | Publication date |
---|---|
JP4738003B2 (en) | 2011-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102201920B (en) | Method for constructing certificateless public key cryptography | |
JP5419056B2 (en) | Encrypting Cartier Pairing | |
US7634085B1 (en) | Identity-based-encryption system with partial attribute matching | |
KR101425552B1 (en) | Group signature system and schemes with controllable linkability | |
US9698984B2 (en) | Re-encrypted data verification program, re-encryption apparatus and re-encryption system | |
US9438589B2 (en) | Binding a digital file to a person's identity using biometrics | |
US10263773B2 (en) | Method for updating a public key | |
CN114070556A (en) | Threshold ring signature method and device, electronic equipment and readable storage medium | |
JP4738003B2 (en) | Signature system, signing method | |
CN111130758B (en) | Lightweight anonymous authentication method suitable for resource-constrained equipment | |
CN114257366B (en) | Information homomorphic processing method, device, equipment and computer readable storage medium | |
WO2008026345A1 (en) | Electronic signature system and electronic signature verifying method | |
JP4771053B2 (en) | Integrated shuffle validity proving device, proof integrating device, integrated shuffle validity verifying device, and mixed net system | |
CN105939198B (en) | The location-based digital signature method under time-constrain | |
WO2010013699A1 (en) | Signature system | |
JP6592851B2 (en) | Anonymous broadcast method, key exchange method, anonymous broadcast system, key exchange system, communication device, program | |
CN107682158A (en) | It is a kind of can trustship authentication encryption method | |
JP2012103655A (en) | Digital signature system with quantum computer-resistant property | |
CN115580408A (en) | SM 9-based certificateless signature generation method and system | |
EP3917076A1 (en) | A zero knowledge proof method for content engagement | |
JP6634171B2 (en) | Apparatus, method and program for certifying public key reliability | |
JP2009224997A (en) | Signature system, signature method, certifying apparatus, verifying apparatus, certifying method, verifying method, and program | |
JP4533636B2 (en) | Digital signature system, digital signature management apparatus, digital signature management method and program | |
JP5331028B2 (en) | Signature / verification system, signature / verification method, signature device, verification device, program, recording medium | |
CN111082932A (en) | Anti-repudiation identification private key generation and digital signature method, system and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20061225 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110401 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110419 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110426 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4738003 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |