JP2006203754A - Method of electronic signature with threshold, and apparatus and program using it - Google Patents

Method of electronic signature with threshold, and apparatus and program using it Download PDF

Info

Publication number
JP2006203754A
JP2006203754A JP2005015336A JP2005015336A JP2006203754A JP 2006203754 A JP2006203754 A JP 2006203754A JP 2005015336 A JP2005015336 A JP 2005015336A JP 2005015336 A JP2005015336 A JP 2005015336A JP 2006203754 A JP2006203754 A JP 2006203754A
Authority
JP
Japan
Prior art keywords
signature
key
public key
generation
participating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005015336A
Other languages
Japanese (ja)
Other versions
JP4738003B2 (en
Inventor
Kotaro Suzuki
幸太郎 鈴木
Eiichiro Fujisaki
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005015336A priority Critical patent/JP4738003B2/en
Publication of JP2006203754A publication Critical patent/JP2006203754A/en
Application granted granted Critical
Publication of JP4738003B2 publication Critical patent/JP4738003B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prove that participants have cooperated signature production, and confirm how many of them can prove their cooperation with their signatures by using an electronic signature technology with threshold, and to prevent information of a secret key paired with a public key registered at a public organization from leaking by using a disposable secret key (second secret key). <P>SOLUTION: Evidence of signatories is previously recorded, and the evidence of signatories is published when it is necessary to prove cooperation of the signature production, then the evidence is confirmed. At least one dummy public key to a participating device which does not cooperate the signature production is generated, and the electronic signature is generated by using the dummy public key as well. Moreover, two kinds of pairs of the secret keys and the public keys are generated, and at least one dummy public key to the second pubic key is generated with a dummy key generation device. The first and the second signatures are generated by using the first and the second public keys for each participating device, or the signature is generated by using the second secret key related to the first secret key to verify the signature. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、情報セキュリティ技術に関するものであり、閾値つき電子署名技術に関する。   The present invention relates to information security technology, and to a digital signature technology with a threshold.

閾値つき電子署名技術は、複数の参加者の一部が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名である。n人の参加者うち任意のt人以上が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名の方式を、(t,n)閾値電子署名方式と呼ぶ。従来の方法として非特許文献1に示された方法がある。最初に本説明中で使用する記号について説明する。離散対数問題が難しいと考えられている巡回群をGとし、その生成元をg、群の位数をqとする(G=<g>,#G=q)。Zは、qを法とする剰余類{0,1,2,…,q−1}である。∈は一様ランダムに元を取り出すことを、{0,1}は0または1が任意長並んだビット列を、Kは有限体を意味する。また、H,I,JはそれぞれH:{0,1}→G,I:K→Z,J:{0,1}→Kのように変換するハッシュ関数である。以下に非特許文献1に示された方法について説明する。 The digital signature technique with a threshold is an electronic signature that can be confirmed from only the signature so that it is not known who has cooperated in the signature generation that the signature has been generated by the cooperation of some of the plurality of participants. An electronic signature method that can confirm from the signature alone that the signature has been generated by the cooperation of arbitrary t or more of the n participants without knowing who has cooperated in the signature generation (t, n) Called threshold electronic signature method. There is a method disclosed in Non-Patent Document 1 as a conventional method. First, symbols used in this description will be described. Let G be a cyclic group that is considered to be difficult to solve the discrete logarithm problem, g be the generation source, and q be the order of the group (G = <g>, # G = q). Z q is a residue class {0, 1, 2,..., Q−1} modulo q. ∈ U means that elements are extracted uniformly and randomly, {0, 1} * means a bit string in which 0 or 1 are arranged in an arbitrary length, and K means a finite field. H, I, and J are hash functions that are converted as follows: H: {0, 1} * → G, I: K → Z q , J: {0, 1} * → K. The method disclosed in Non-Patent Document 1 will be described below.

図1に、閾値つき電子署名システムの構成例と流れを示す。本システムへの参加者の総数はn人であり、n台の参加装置910−i(i=1,…,n)では、あらかじめ定められた巡回群Gの元g(g∈G)を用いて、各参加装置の秘密鍵skと公開鍵pkとが生成され、公開鍵pkは公開される。署名を作成する場合は、n人中の任意のt人以上が参加装置910−i(i=1,…,t)でコミットメントaを生成し、署名生成部920を備える装置に送信する。ここで、説明を簡略化するために、i=1,…,tを署名生成に使用した(協力した)参加装置を示す数、i=t+1,…,nを署名作成に使用していない(協力しなかった)参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。 FIG. 1 shows a configuration example and a flow of an electronic signature system with a threshold. The total number of participants in this system is n, and n participating devices 910-i (i = 1,..., N) use a predetermined element g (gεG) of a cyclic group G. Thus, the secret key sk i and the public key pk i of each participating device are generated, and the public key pk i is made public. When creating a signature, any t or more of the n people generate a commitment a i with the participating devices 910-i (i = 1,..., T), and transmit the commitment a i to a device including the signature generation unit 920. Here, to simplify the explanation, i = 1,..., T is a number indicating the participating devices that used (cooperated) for signature generation, and i = t + 1,. The number of participating devices that did not cooperate) may be any of the n participating devices.

署名生成部920は、独立した装置ででもかまわないし、いずれかの参加装置内に備えさせてもかまわない。署名生成部920は、i=t+1,…,nに対するダミーレスポンスe、ダミーチャレンジc、およびダミーコミットメントaを生成した上で、n−t次多項式f(x)、i=1,…,tに対するチャレンジcとレスポンスeとを生成し、署名σ(m)を作成する。この署名σ(m)はt台の参加装置910−i(i=1,…,t)から取得したコミットメントaと、署名生成部920がダミーとして生成したコミットメントa(i=t+1,…,n)等から生成されており、t人が協力した署名生成になっているだけでなく、どのt人が協力したのかが分からない署名になっている。 The signature generation unit 920 may be an independent device, or may be provided in any participating device. The signature generation unit 920 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i for i = t + 1,..., N, and then an n−t degree polynomial f (x), i = 1,. , T, a challenge c i and a response e i are generated, and a signature σ (m) is generated. The signature σ (m) is a commitment a i acquired from t participating devices 910-i (i = 1,..., T) and a commitment a i (i = t + 1,...) Generated as a dummy by the signature generation unit 920. , N), etc., and not only the signature generation with which t people cooperated, but also the signature with which it is not known which t people cooperated.

署名検証部930は、署名検証を行いたい任意の装置内に備えてかまわない。署名検証部では、多項式f(x)の次数がn−tであること、チャレンジc(i=1,…,n)とf(0)の値が正しいことなどを検証する。
図2は、参加装置910−iの機能構成例を示す図である。参加装置910−iは、鍵生成部911−i、署名者証拠生成部912−i、記録部913−i、および通信部914−iから構成される。図3は鍵生成部911−iの処理フローを示す図であり、図4は署名者証拠生成部912−iの処理フローを示す図である。 The signature verification unit 930 may be provided in any apparatus that wishes to perform signature verification. The signature verification unit verifies that the degree of the polynomial f (x) is n−t and that the values of the challenges c i (i = 1,..., N) and f (0) are correct.
FIG. 2 is a diagram illustrating a functional configuration example of the participation apparatus 910-i. Participating device 910-i includes key generation unit 911-i, signer evidence generation unit 912-i, recording unit 913-i, and communication unit 914-i. FIG. 3 is a diagram illustrating a processing flow of the key generation unit 911-i, and FIG. 4 is a diagram illustrating a processing flow of the signer evidence generation unit 912-i.

鍵生成部911−iは、秘密鍵sk生成手段9111−iと公開鍵pk生成手段9112−iとで構成される。鍵生成部911-iでの具体的な鍵生成方法の例を次に示す。秘密鍵sk生成手段9111−iでは、qを法とする剰余類Zから等確率でランダムに1つの元を選択して秘密鍵skとし(sk)(S9111)、秘密鍵skを記録部913−iに記録する(S9112)。公開鍵pk生成手段9112−iでは、あらかじめ定められた巡回群Gの元gを用いて、

Figure 2006203754
により公開鍵pk(pk∈G={1,g,g,…,gq−1})を生成し(S9113)、公開鍵pkを記録部913−iに記録する(S9114)。ここで、巡回群Gは、離散対数問題が難しい群から選ばれているため、公開鍵pkと元gが分かっても、秘密鍵skは分からない。このように生成された公開鍵pkは、元gの情報とともに通信部914−iを介して公開される。 The key generation unit 911-i includes a secret key sk i generation unit 9111-i and a public key pk i generation unit 9112-i. An example of a specific key generation method in the key generation unit 911-i is shown below. In the secret key sk i generating means 9111-i, one element is selected at random from the remainder class Z q modulo q with an equal probability as the secret key sk i (sk iU Z q ) (S 9111), the secret key sk i is recorded in the recording unit 913-i (S9112). The public key pk i generating means 9112-i uses the element g of the cyclic group G determined in advance,
Figure 2006203754
 Generates a public key pk i (pk i ∈ G = {1, g, g 2 ,..., G q−1 }) (S9113), and records the public key pk i in the recording unit 913-i (S9114). . Here, since the cyclic group G is selected from a group in which the discrete logarithm problem is difficult, even if the public key pk i and the element g are known, the secret key sk i is not known. The public key pk i generated in this way is disclosed via the communication unit 914-i together with the information on the original g.

署名者証拠生成部912−iは、署名生成に協力する場合に動作する構成部であり、署名者証拠r生成手段9121−i、コミットメントa生成手段9122−i、チャレンジc取得手段9123−i、およびレスポンスe生成手段9122−iで構成される。署名者証拠生成部912−iでの具体的な処理手順の例を次に示す。参加者が署名に協力する場合には、署名者証拠r生成手段9121−iでは、qを法とする剰余類Zから等確率でランダムに1つの元を選択して署名者証拠rとする(r)(S9121)。次にコミットメントa生成手段9122−iでは、元gを用いて、

Figure 2006203754
によりコミットメントa(∈G)を生成し(S9122)、コミットメントaを記録部913−iに記録し、通信部914−iを介して署名生成部920を備える装置に送信する(S9123)。通常、署名者証拠rはコミットメントaを生成すれば不要となるため、記録部913−iに記録されること無く消去される。署名生成部920で署名生成処理が行われると、署名生成部920の計算部922の処理過程で生成されたチャレンジcが署名生成部920から、署名生成に協力している参加装置910−i(i=1,…,t)に送信される。このチャレンジcをチャレンジc取得手段9123−iで取得し(S9124)、記録部913−iに記録する(S9125)。また、レスポンスe生成手段9122−iで、e:=r−csk(e∈Z)により、e(i=1,…,t)を求め(S9126)、記録部913−iに記録するとともに署名生成部920に送信する(S9127)。 Signer evidence generator 912-i is a component which operates when to cooperate with the signature generation, the signer evidence r i generation means 9121-i, commitment a i generation means 9122-i, challenge c i acquisition unit 9123 -i, and consists of a response e i generation means 9122-i. An example of a specific processing procedure in the signer evidence generation unit 912-i is shown below. If the participants cooperate to signature, the signer evidence r i generation means in 9121-i, and selects one based on randomly with equal probability from coset Z q modulo q signer evidence r i (R i ε U Z q ) (S9121). Next, the commitment a i generating means 9122-i uses the element g,
Figure 2006203754
 To generate a commitment a i (∈G) (S9122), record the commitment a i in the recording unit 913-i, and transmit it to the apparatus including the signature generation unit 920 via the communication unit 914-i (S9123). Usually, the signer proof r i is not necessary if the commitment a i is generated, and thus is deleted without being recorded in the recording unit 913-i. If the signature generation processing is performed in the signature generation unit 920, from the challenge c i is the signature generation unit 920 generated in the process of calculating unit 922 of the signature generation unit 920, participants are collaborating in the signature generating apparatus 910-i (I = 1,..., T). Gets the challenge c i a challenge c i acquisition unit 9123-i (S9124), and records in the recording unit 913-i (S9125). Further, the response e i generation means 9122-i, e i: = the r i -c i sk i (e i ∈Z q), e i (i = 1, ..., t) and calculated (S9126), recording The information is recorded in the part 913-i and transmitted to the signature generation part 920 (S9127).

図5に署名生成部920の機能構成例を示す。署名生成部920は、ダミー生成部921、計算部922、情報取得部923、記録部924、および通信部925から構成されている。また、図6は署名生成部920の処理フローを示す図である。
署名生成部920では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部923の公開鍵pk(i=1,…,n)取得手段9231により、参加装置910−i(i=1,…,n)の公開鍵pkを取得する(S9231)。ダミー生成部921では、次のように、ダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa(i=t+1,…,n)を生成する。ダミーレスポンスe(i=t+1,…,n)生成手段9211により、qを法とする剰余類Zから等確率でランダムに1つの元を選択してダミーレスポンスe(i=t+1,…,n)とし(e)(S9211)、記録部924に記録する(S9212)。ダミーチャレンジc(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yを選び、そのハッシュ関数をダミーチャレンジc(i=t+1,…,n)とし(yK,c:=I(y)∈Z)(S9213)、記録部924に記録する(S9214)。また、ダミーコミットメントa(i=t+1,…,n)生成手段9213により、元gと公開鍵pkを用いて、

Figure 2006203754
によりダミーコミットメントa(i=t+1,…,n)を生成し(S9215)、記録部924に記録する(S9216)。 FIG. 5 shows a functional configuration example of the signature generation unit 920. The signature generation unit 920 includes a dummy generation unit 921, a calculation unit 922, an information acquisition unit 923, a recording unit 924, and a communication unit 925. FIG. 6 is a diagram showing a processing flow of the signature generation unit 920.
The signature generation unit 920 generates a signature σ (m) by the following procedure. The public key pk i (i = 1, ... , n) of the information acquisition unit 923 via the communication unit 925 by acquiring unit 9231, obtains the public key pk i participating device 910-i (i = 1, ..., n) (S9231). The dummy generation unit 921 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i (i = t + 1,..., N) as follows. The dummy response e i (i = t + 1,..., N) generation unit 9211 selects one element at random with equal probability from the remainder class Z q modulo q, and the dummy response e i (i = t + 1,...). , N) (e iU Z q ) (S9211), and records it in the recording unit 924 (S9212). The dummy challenge c i (i = t + 1,..., N) generation unit 9212 selects one coordinate value y i from the finite field K at random with equal probability, and the hash function is set as the dummy challenge c i (i = t + 1,...). , n) and then (y i ∈ U K, c i: = I (y i) ∈Z q) (S9213), and records in the recording unit 924 (S9214). In addition, the dummy commitment a i (i = t + 1,..., N) generation unit 9213 uses the element g and the public key pk i ,
Figure 2006203754
 The dummy commitment a i (i = t + 1,..., N) is generated (S9215) and recorded in the recording unit 924 (S9216).

また、通信部925を介して情報取得部923のコミットメントa(i=1,…,t)取得手段9232により、参加装置910−i(i=1,…,t)のコミットメントaを取得する(S9232)。 The commitment a i (i = 1, ... , t) in the information acquisition unit 923 via the communication unit 925 by acquiring unit 9232, acquires the commitment a i participating device 910-i (i = 1, ..., t) (S9232).

次に、計算部922では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段9221により、n−t次の多項式f(x)(f(x)=α+αx+α+…+αn−tn−t,α∈K)と定め、f(0)=J(t,n,pk,…,pk,a,…,a,m)とf(i)=y(i=t+1,…,n)の条件からα(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S9221)。また、求めたn−t次多項式f(x)を記録部924に記録する(S9222)。チャレンジc(i=1,…,t)生成手段9222では、c:=I(f(i))により、チャレンジc(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジcに対応する参加装置910−i(i=1,…,t)にチャレンジcを送信する(S9224)。各参加者装置910−i(i=1,…,t)では、送信されたチャレンジcを用いて、上記のようにレスポンスeを生成し署名生成部920に送信する(S9124〜S9127)。そこで、レスポンスe(i=1,…,t)取得手段9223は、レスポンスe(i=1,…,t)を取得し(S9225)、記録部924に記録する(S9226)。署名σ(m)作成手段9223では、σ(m)=(t,n,f,c,…,c,e,…,e)により、σ(m)を求め(S9227)、記録部924に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。 Next, the calculation unit 922 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 9221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α j ∈ K), f (0) = J (t, n, pk 1 ,..., pk n , a 1 ,..., a n , m) and f (i) = y i (i = t + 1,. , N) to obtain an nt degree polynomial f (x) by calculating α j (j = 0,..., Nt) (S9221). Further, the obtained nt degree polynomial f (x) is recorded in the recording unit 924 (S9222). Challenge c i (i = 1, ... , t) in the generator 9222, c i: = by I (f (i)), the challenge c i (i = 1, ... , t) and calculated (S9223), recording unit and records in 924, the challenge c i participating device corresponding to the 910-i (i = 1, ..., t) to send a challenge c i (S9224). Each participant device 910-i (i = 1,..., T) generates a response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 920 (S9124 to S9127). . Therefore, the response e i (i = 1,..., T) acquisition unit 9223 acquires the response e i (i = 1,..., T) (S9225) and records it in the recording unit 924 (S9226). The signature σ (m) creating means 9223 obtains σ (m) from σ (m) = (t, n, f, c 1 ,..., C n , e 1 ,..., E n ) (S9227), Recording is performed in the recording unit 924 (S9228). In this way, the (t, n) threshold signature σ (m) for the message m is obtained.

図7に署名検証部930の機能構成例を示す。また、図8に署名検証部930での署名σ(m)を検証するフローを示す。情報取得手段933は、公開鍵pk(i=1,…,n)と署名σ(m)を取得し(S933)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、チャレンジc、多項式f(0)確認手段932で、

Figure 2006203754
であることを確認する(S932)。 FIG. 7 shows a functional configuration example of the signature verification unit 930. FIG. 8 shows a flow for verifying the signature σ (m) in the signature verification unit 930. The information acquisition unit 933 acquires the public key pk i (i = 1,..., N) and the signature σ (m) (S933), and the degree confirmation unit 931 of the polynomial f (x) determines the degree of the polynomial f (x). Is nt (S931), challenge c i , polynomial f (0) confirmation means 932,
Figure 2006203754
 (S932).

このように署名σ(m)の生成と検証を行うことで、署名検証部930(署名検証をする人)は、少なくともt台の参加装置910−i(t人の参加者)が協力して署名を作成したことが確認できる。また、署名検証部930は、n台の参加装置910−i中のどのt台(n人の参加者中のどのt人)が署名生成に協力したのかは分からない。
[CDS94] R. Cramer and I. Damgard and B. Schoen-makers, Proofs of Partial Knowledge and Simplified Design of Witness Hiding Protocols, CRYPTO ’94, pp. 174-187, 1994. By generating and verifying the signature σ (m) in this way, the signature verification unit 930 (the person who performs the signature verification) cooperates with at least t participating devices 910-i (t participants). You can confirm that you have created a signature. In addition, the signature verification unit 930 does not know which t of the n participating devices 910-i (which t of the n participants) cooperated in generating the signature.
[CDS94] R. Cramer and I. Damgard and B. Schoen-makers, Proofs of Partial Knowledge and Simplified Design of Witness Hiding Protocols, CRYPTO '94, pp. 174-187, 1994.

従来技術では、どの参加者が署名生成に協力したのかが分からないことを特徴としているが、参加者が署名生成に協力したことを証明すること(名乗り出ること)もできなかった。
また、署名生成に協力したことを証明することができるようにする場合には、何人の参加者が証明できるのかを署名から確認できるようにすることも必要である。さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することが考えられることから、以後、今までの秘密鍵と公開鍵が使用できなくなる。 The prior art is characterized by the fact that it is not known which participant has cooperated in signature generation, but it has not been possible to prove that the participant has cooperated in signature generation.
In addition, when it is possible to prove that the signature generation has been cooperated, it is also necessary to be able to confirm from the signature how many participants can be proved. Furthermore, since it is conceivable that secret key information is also leaked when proving that the signature generation has been cooperated, the secret key and the public key so far cannot be used.

本発明では、あらかじめ参加装置の記録部で署名者証拠を記録しておき、参加者が署名生成に協力したことを証明したい場合に当該署名者証拠を公開し、署名検証装置で当該署名者証拠を確認する。
また、何人の参加者が証明できるのかを署名から確認できるようにするための手段は以下のとおりである。ダミー鍵生成装置の情報取得部で署名生成に協力していない参加装置に対する公開鍵を少なくとも1つ生成し、当該公開鍵および公開鍵生成時に使用した乱数と離散対数問題の難しい巡回群の元を公開する。署名生成装置でダミーの公開鍵も用いて電子署名を生成する。署名検証装置でダミーの公開鍵を含めて公開鍵を取得し、ダミーの公開鍵生成時に使用した上記乱数と離散対数問題の難しい巡回群の上記元も取得し、署名者参加者数を確認する。 In the present invention, the signer evidence is recorded in advance in the recording unit of the participating device, and when the participant wants to prove that he has cooperated in the signature generation, the signer evidence is disclosed, and the signer evidence is displayed in the signature verification device. Confirm.
Moreover, the means for making it possible to confirm from the signature how many participants can be proved is as follows. At least one public key for a participating device that does not cooperate in signature generation is generated by the information acquisition unit of the dummy key generation device, and the public key, the random number used when generating the public key, and the element of the cyclic group having a difficult discrete logarithm problem are generated. Publish. The signature generation apparatus generates an electronic signature using a dummy public key. Obtain the public key including the dummy public key with the signature verification device, obtain the random number used when generating the dummy public key, and the above-mentioned elements of the cyclic group where the discrete logarithm problem is difficult, and check the number of signer participants .

さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することに対応する手段は以下のとおりである。参加装置では、公的機関に公開鍵を登録するような長期的に使用する秘密鍵と公開鍵の組(第1の秘密鍵と公開鍵)の他に、署名生成に用いる使い捨ての秘密鍵と公開鍵の組(第2の秘密鍵と公開鍵)を生成し、ダミー鍵生成装置で少なくとも1つの第2の公開鍵に対するダミー公開鍵を生成する。署名生成装置では、第1の署名と第2の署名とを生成する。署名検証装置では、参加者装置ごとの第1の公開鍵、第2の公開鍵を取得し、第1の署名および第2の署名の確認を行う。   Furthermore, the means for dealing with the leakage of secret key information when proving that the signature generation has been cooperated are as follows. In the participation apparatus, in addition to a private key and public key pair (first private key and public key) used for a long time such as registering a public key with a public institution, a disposable private key used for signature generation A set of public keys (second secret key and public key) is generated, and a dummy public key for at least one second public key is generated by the dummy key generation device. The signature generation device generates a first signature and a second signature. The signature verification apparatus acquires a first public key and a second public key for each participant apparatus, and confirms the first signature and the second signature.

または、参加装置で、署名生成に用いる使い捨ての秘密鍵(第2の秘密鍵)を、第1の秘密鍵から生成する。署名生成装置では、第2の秘密鍵を用いた署名だけを生成する。署名検証装置で、第1の公開鍵および第1の鍵生成と第2の鍵生成で使用した2つの問題の難しい巡回群の元を用いて署名を検証する。   Alternatively, the participating device generates a disposable private key (second private key) used for signature generation from the first private key. The signature generation device generates only a signature using the second secret key. The signature verification apparatus verifies the signature by using the first public key and the elements of the two difficult problem cyclic groups used in the first key generation and the second key generation.

本発明では上記のような手段により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。   In the present invention, it is possible to prove by the above-described means when it is desired to prove that the participant cooperated with the signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.

以下にこの発明の実施形態を図面を参照して説明するが、同一の機能を有する部分は、各図中に同一参照番号を付けて重複説明を省略する。また、以下の説明でも背景技術の説明と同様に、説明を簡単にするために、i=1,…,tを署名生成に協力した参加装置を示す数、i=t+1,…,nを署名作成に協力しなかった参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。   Embodiments of the present invention will be described below with reference to the drawings, but portions having the same functions are denoted by the same reference numerals in each of the drawings, and redundant description is omitted. Also, in the following description, as in the background art, for simplicity, i = 1,..., T is a number indicating the participating devices that cooperated in signature generation, and i = t + 1,. The number indicates the participating devices that did not cooperate in the creation, but the t participating devices may be any of the n participating devices.

[第1実施形態]
本発明では、tを1≦t≦nとし、(t,n)閾値署名方式で署名に協力した参加者i(i=1,…,t)が、署名検証後に署名に協力したことを証明できる。図9は本発明のシステム構成例と流れを示す図であり、従来技術のシステム構成例を示す図である図1との違いは、次の点である。各参加者装置110−i(i=1,…,t)が、署名作成に協力する過程で生成した署名者証拠rを記録しておき、署名生成に協力したこと(署名者の1人であったこと)を証明したい場合に、署名者証拠rを、署名検証部130を備える装置に送信することで、署名生成に協力したことを証明する。以下に、従来技術と異なる構成装置について詳細に説明する。 [First Embodiment]
In the present invention, it is proved that the participant i (i = 1,..., T) who cooperated with the signature in the (t, n) threshold signature scheme cooperated with the signature after the signature verification by setting t to 1 ≦ t ≦ n. it can. FIG. 9 is a diagram showing a system configuration example and a flow of the present invention. The difference from FIG. 1 which is a diagram showing a system configuration example of the prior art is as follows. Each participant devices 110-i (i = 1, ..., t) is, Record the signer evidence r i generated in the process to cooperate with the signature creation, it has cooperated in the signature generation (one of the signers If the user wants to prove that the signer evidence r i is transmitted to the apparatus including the signature verification unit 130, it is proved that the signature generation cooperation has been cooperated. Hereinafter, a configuration apparatus different from the conventional technique will be described in detail.

図10は、参加装置110−iの機能構成例を示す図である。参加装置110−iは、従来の参加装置910−iとは、署名者証拠生成部112−iと記録部113−iが異なり、署名者証拠公開部115−iが追加されている。図11は署名者証拠生成部112−iの処理フローを示す図であり、図12は署名者証拠公開部115−iの処理フローを示す図である。図11に示すように、署名者証拠生成部112−iでは、従来であれば、通常コミットメントaを生成すれば不要となる署名者証拠rを、記録部913−iに記録する工程(S1121)を署名者証拠r生成ステップ(S9121)の後に追加した処理を行う。また、参加者iが署名生成に協力したことを証明したい場合には、図12に示すように、署名者証拠公開部115−iは、記録部113−iに記録された署名者証拠rを署名検証部130に対して公開する(S115)。 FIG. 10 is a diagram illustrating a functional configuration example of the participation apparatus 110-i. The participation device 110-i differs from the conventional participation device 910-i in a signer evidence generation unit 112-i and a recording unit 113-i, and a signer evidence disclosure unit 115-i is added. FIG. 11 is a diagram showing a processing flow of the signer evidence generating unit 112-i, and FIG. 12 is a diagram showing a processing flow of the signer evidence disclosing unit 115-i. As shown in FIG. 11, the signer evidence generating unit 112-i records the signer evidence r i that is unnecessary when the normal commitment a i is generated in the conventional method in the recording unit 913-i ( performing additional processing after S1121) the signer evidence r i generating step (S9121). When it is desired to prove that the participant i cooperated in signature generation, as shown in FIG. 12, the signer evidence disclosing unit 115-i performs signer evidence r i recorded in the recording unit 113- i. Is disclosed to the signature verification unit 130 (S115).

図13に署名検証部130の機能構成例を示す。図7に示す従来の署名検証部930との違いは、署名者証拠r確認手段133が追加されたことと、情報取得手段134が署名者証拠rも取得するよう変更されたことである。図14に署名に協力したことを証明したい参加者から署名者証拠rが公開された場合の、署名者証拠r確認フローを示す。署名に協力したことを証明したい参加者iから署名者証拠rが公開された場合には、署名検証部130の情報取得手段134は署名者証拠rを取得する(S134)。次に、署名者証拠r確認手段133で、

Figure 2006203754
であることを確認する(S133)ことで、署名者証拠rを公開した参加者iが署名生成に協力した参加者であることが分かる。 FIG. 13 shows a functional configuration example of the signature verification unit 130. The difference between conventional signature verification unit 930 shown in FIG. 7 are that the signer evidence r i confirmation unit 133 is added, is that the information obtaining unit 134 has been modified to also retrieve signer evidence r i . FIG. 14 shows a signer proof r i confirmation flow when the signer proof r i is released from the participant who wants to prove that he / she cooperated in the signature. If the signer evidence r i from participants i was published that want to prove that it has cooperated with the signature, signature information acquisition unit 134 of the verification unit 130 to get the signer evidence r i (S134). Next, in the signer proof r i confirmation means 133,
Figure 2006203754
 (S133) confirms that the participant i who disclosed the signer evidence ri is a participant who cooperated in signature generation.

ただし、署名者証拠r、レスポンスe、チャレンジc、および秘密鍵skの間には、e=r−cskの関係があるため、署名者証拠rを公開することで、秘密鍵skも分かってしまう。したがって、署名に協力したことを証明した後は、これまで使用してきた秘密鍵skと公開鍵pkの組は使用できなくなる。 However, the signer evidence r i, response e i, challenge c i, and between the secret key sk i is, because there is a relationship of e i = r i -c i sk i, to publish a signer evidence r i Thus, the secret key sk i is also known. Therefore, after proving that the signature has been cooperated, the pair of the secret key sk i and the public key pk i that have been used so far cannot be used.

[第2実施形態]
本発明は、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。(t,n−1,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上n-1人以下であることを署名のみから確認できる方式である。図15は、本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、ダミー鍵生成部240が追加されたことと、署名検証部230が変更されたことである。ダミー鍵生成部240では、参加装置110−nの鍵生成部911−nの代わりに署名生成に使用する公開鍵pkを生成する。この公開鍵pkを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上n-1人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。 [Second Embodiment]
The present invention relates to a (t, n−1, n) threshold signature scheme in which t is 1 ≦ t ≦ n−1. The (t, n-1, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and n-1 or fewer participants who can prove that they are signers. is there. FIG. 15 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that the dummy key generation unit 240 is added and the signature verification unit 230 is changed. . The dummy key generation unit 240 generates a public key pk n used for signature generation instead of the key generation unit 911-n of the participating device 110-n. By generating a signature using this public key pk n , a system is realized that can confirm from the signature only that there are t or more and n-1 or less participants who can prove that they were signers. To do. The present invention is described in detail below.

図16にダミー鍵生成部240の機能構成例を、図17にダミー鍵生成部240の処理フローを示す。ダミー鍵生成部240では、通信部243を介して情報取得部242の公開鍵pk(i=1,…,n−1)取得手段2421で、参加装置110−i(i=1,…,n−1)の公開鍵pkを取得する(S2421)。計算部241のダミー公開鍵pk生成手段2411で、巡回群Gに属する元x(x∈G)を、例えば{0,1}の乱数Rのハッシュ値として生成する(x=H(R))。例えば、乱数Rのビット長を1024とする。ここで、秘密鍵skはqを法とする剰余類Zから等確率でランダムに1つの元(sk)であり(S9111参照)、公開鍵pkは巡回群Gの元(pk∈G)である(S9113参照)。公開鍵pkをpk:=x/pkpk…pkn−1と定め(S2411)、公開鍵pk、元x、および乱数Rを公開する(S2412)。このように公開鍵pkを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。 FIG. 16 shows a functional configuration example of the dummy key generation unit 240, and FIG. 17 shows a processing flow of the dummy key generation unit 240. In the dummy key generation unit 240, the public device pk i (i = 1,..., N−1) acquisition unit 2421 of the information acquisition unit 242 via the communication unit 243, the participating device 110-i (i = 1,. The public key pk i of n-1) is acquired (S2421). The dummy public key pk n generation unit 2411 of the calculation unit 241 generates an element x (xεG) belonging to the cyclic group G as a hash value of a random number R of {0, 1} * , for example (x = H (R )). For example, the bit length of the random number R is 1024. Here, the secret key sk i is one element (sk iU Z q ) randomly with equal probability from the remainder class Z q modulo q (see S9111), and the public key pk i is the cyclic group G Element (pk i εG) (see S9113). The public key pk n is defined as pk n : = x / pk 1 pk 2 ... Pk n−1 (S2411), and the public key pk n , the element x, and the random number R are disclosed (S2412). If the public key pk n is determined in this way, the discrete logarithm of x is not known, so the secret key of the participant n is not known.

なお、ダミー鍵生成部240を各参加装置110−i(i=1,…,n)に備えさせておき、ダミーの公開鍵を作ることとした1つの参加装置110−nだけは、ダミー鍵生成部240で公開鍵pkを生成することとしてもよい。また、単独のダミー鍵生成部240を具備するダミー鍵生成装置を1つ設置し、参加装置110−nの代わりに公開鍵pkを生成し、直接または参加装置110−n経由で公開鍵pkを公開してもよい。 It should be noted that a dummy key generation unit 240 is provided in each participating device 110-i (i = 1,..., N), and only one participating device 110-n that has created a dummy public key has a dummy key. The generation unit 240 may generate the public key pk n . Also, one dummy key generation device having a single dummy key generation unit 240 is installed, a public key pk n is generated instead of the participation device 110-n, and a public key pk is directly or via the participation device 110-n. n may be disclosed.

図18に署名検証部230の機能構成例を示す。第1実施形態との違いは、署名参加者数確認手段235が追加されたことと、情報取得手段234が元xとRも取得するよう変更されたことである。図19に署名検証部230が署名σ(m)を検証するフローを示す。第1実施形態の署名σ(m)の検証フローは従来技術を同じであるので、本フローの違いは図8に示した従来の署名σ(m)の検証フローとの違いを説明する。署名検証部230では、情報取得手段234で、公開鍵pk(i=1,…,n)、署名σ(m)、元x、および乱数Rを取得し(S234)、多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段235で、x=H(R)とpkpk…pk=xを確認する(S235)。 FIG. 18 shows a functional configuration example of the signature verification unit 230. The difference from the first embodiment is that the signature participant number confirmation unit 235 is added, and the information acquisition unit 234 is changed so as to also acquire the elements x and R. FIG. 19 shows a flow in which the signature verification unit 230 verifies the signature σ (m). Since the verification flow of the signature σ (m) of the first embodiment is the same as that of the conventional technique, the difference of this flow will be described with respect to the difference from the verification flow of the conventional signature σ (m) shown in FIG. In the signature verification unit 230, the information acquisition unit 234 acquires the public key pk i (i = 1,..., N), the signature σ (m), the element x, and the random number R (S234), and the polynomial f (x) Are confirmed (same as S931), challenge c i , and polynomial f (0) confirmation (same as S932). Further, the signature participant number confirmation means 235 confirms x = H (R) and pk 1 pk 2 ... Pk n = x (S235).

このように署名σ(m)を生成、検証することで、どの公開鍵pkかは分からないが、少なくとも1つは秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i, but at least one dummy public key without a private key exists, so cooperation in signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.

[第3実施形態]
本発明は、tとt’とを1≦t≦t'≦n−1とする(t,t’,n)閾値署名方式に関する。(t,t’,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上t’人以下であることを署名のみから確認できる方式である。図20は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、ダミー鍵生成部340と署名検証部330が変更されたことである。ダミー鍵生成部340では、参加装置110−i(i=t’,…,n)の鍵生成部911−i(i=t’,…,n)の代わりに署名生成に使用する公開鍵pk(i=t’,…,n)を生成する。この公開鍵pkを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上t'人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。 [Third Embodiment]
The present invention relates to a (t, t ′, n) threshold signature scheme in which t and t ′ are 1 ≦ t ≦ t ′ ≦ n−1. The (t, t ′, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and t ′ or fewer participants who can prove that they are signers. FIG. 20 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the dummy key generation unit 340 and the signature verification unit 330 are changed. In the dummy key generation unit 340, the public key pk used for signature generation instead of the key generation unit 911-i (i = t ′,..., N) of the participating device 110-i (i = t ′,..., N). i (i = t ′,..., n) is generated. By generating a signature using this public key pk i , a system is realized in which it is possible to confirm from the signature alone that there are t or more and t ′ or fewer participants who can prove that they were signers. . The present invention is described in detail below.

図21にダミー鍵生成部340の機能構成例を、図22にダミー鍵生成部340の処理フローを示す。ダミー鍵生成部340では、通信部243を介して情報取得部342の公開鍵pk(i=1,…,t')取得手段3421で、参加装置110−i(i=1,…,t')の公開鍵pkを取得する(S3421)。計算部341のダミー公開鍵pk(i=t'+1,…,n)生成手段では、巡回群Gに属する元A(A∈G)を、例えば{0,1}の乱数Rのハッシュ値として生成する(A=H(R))。(mij)を、

Figure 2006203754
のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 2006203754
 と定め、公開鍵pk(i=t'+1,…,n)を
Figure 2006203754
 として公開鍵pkを生成し(S3411)、公開鍵pk、元A、および乱数Rを公開する(S3412)。このように公開鍵pk(i=t'+1,…,n)を生成すれば、公開鍵pk∈Gを満足するので、t’次多項式F(F∈Z[x])が存在し、秘密鍵sk=F(i)かつlog=F(0)となっている。ここで、Aの離散対数は分からないので、参加者i(i=t'+1,…,n)の秘密鍵は分からない。 FIG. 21 shows a functional configuration example of the dummy key generation unit 340, and FIG. 22 shows a processing flow of the dummy key generation unit 340. In the dummy key generation unit 340, the public device pk i (i = 1,..., T ′) acquisition unit 3421 of the information acquisition unit 342 via the communication unit 243 performs the participation apparatus 110-i (i = 1,..., T). The public key pk i of ') is acquired (S3421). In the dummy public key pk i (i = t ′ + 1,..., N) generation means of the calculation unit 341, the element A 0 (A 0 ∈G) belonging to the cyclic group G is represented by a random number R of {0, 1} * , for example. (A 0 = H (R)). ( M ij )
Figure 2006203754
 A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 2006203754
 And the public key pk i (i = t ′ + 1,..., N)
Figure 2006203754
 The public key pk i is generated (S3411), and the public key pk i , the element A i , and the random number R are disclosed (S3412). If the public key pk i (i = t ′ + 1,..., N) is generated in this way, the public key pk i ∈G is satisfied, and therefore a t′-order polynomial F (F∈Z q [x]) exists. The secret key sk i = F (i) and log g A 0 = F (0). Here, since the discrete logarithm of A 0 is not known, the secret key of the participant i (i = t ′ + 1,..., N) is not known.

図23に署名検証部330の機能構成例を示す。第2実施形態との違いは、署名参加者数確認手段335と、情報取得手段334が変更されたことである。図24に署名検証部330が署名σ(m)を検証するフローを示す。署名検証部330では、情報取得手段334で、公開鍵pk(i=1,…,n)、署名σ(m)、元A(i=1,…,t')、および乱数Rを取得し(S334)、多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段335で、A=H(R)と

Figure 2006203754
(pk∈G)(i=1,…,n)を確認する(S335)。 FIG. 23 shows a functional configuration example of the signature verification unit 330. The difference from the second embodiment is that the signature participant number confirmation means 335 and the information acquisition means 334 are changed. FIG. 24 shows a flow in which the signature verification unit 330 verifies the signature σ (m). In the signature verification unit 330, the information acquisition unit 334 receives the public key pk i (i = 1,..., N), the signature σ (m), the element A i (i = 1,..., T ′), and the random number R. Obtain (S334), confirm the degree of the polynomial f (x) (same as S931), perform the challenge c i and confirm the polynomial f (0) (same as S932). Further, in the signature participant number confirmation means 335, A 0 = H (R)
Figure 2006203754
 (Pk i εG) (i = 1,..., N) is confirmed (S335).

このように署名σ(m)を生成、検証することで、どの公開鍵pkかは分からないが、少なくともn−t’は秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i is, but at least nt ′ has a dummy public key without a secret key. It can be confirmed from the signature only that the number of participants who can prove that they have cooperated with t is t or more and t 'or less.

[第4実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第2実施形態を改良したものであって、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。図25は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部420、署名検証部430、およびダミー鍵生成部440のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠rを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第2実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠rの公開後も使用できる。以下に本発明を詳しく説明する。 [Fourth Embodiment]
The present invention is an improvement of the second embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n−1. The present invention relates to a (t, n-1, n) threshold signature scheme. FIG. 25 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the participating devices 410-i (i = 1,..., N), the signature generation unit 420, the signature verification unit 430, and each of the dummy key generation unit 440, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the second embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.

図26は、参加装置410−iの機能構成例を示す図である。参加装置410−iは、第1の秘密鍵と公開鍵を生成する鍵生成部411−i、第2の秘密鍵と公開鍵を生成する鍵生成部911−i、署名者証拠生成部112−i、記録部413−i、通信部914−i、および署名者証拠公開部115−iから構成される。図27は第1の秘密鍵と公開鍵を生成する鍵生成部411−iの処理フローを示す図である。鍵生成部411−iの秘密鍵SK生成手段4111−iでは、任意の(t,n)閾値署名Σ(m)の方法で秘密鍵SKを生成し(S4111)、記録部413−iに記録する(S4112)。この(t,n)閾値署名Σ(m)は従来からある技術を用いればよいし、鍵生成部911−iと同じ方法でも良い。公開鍵PK生成手段4112−iでは、上記の秘密鍵SK生成手段4111−iに対応した方法で公開鍵PKを生成し(S4113)、記録部413−iに記録する(S4114)。鍵生成部411−iで生成された秘密鍵SKと公開鍵PKの組が、継続的に使用し、署名者証拠rを公開後も使用できる鍵となる。また、鍵生成部911−iで生成された秘密鍵skと公開鍵pkの組(鍵生成フローは図3と同じ)が使い捨ての鍵であり、署名者証拠rを公開後は使用できない鍵となる。なお、署名者証拠生成部112−iと署名者証拠r公開部115−iは第1実施形態と同じである。 FIG. 26 is a diagram illustrating a functional configuration example of the participation apparatus 410-i. The participation apparatus 410-i includes a key generation unit 411-i that generates a first secret key and a public key, a key generation unit 911-i that generates a second secret key and a public key, and a signer evidence generation unit 112-. i, a recording unit 413-i, a communication unit 914-i, and a signer proof disclosure unit 115-i. FIG. 27 is a diagram illustrating a processing flow of the key generation unit 411-i that generates the first secret key and the public key. In secret key SK i generation means 4111-i of the key generation unit 411-i, and generates a secret key SK i at any (t, n) threshold signature sigma (m) method (S4111), the recording unit 413-i (S4112). For this (t, n) threshold signature Σ (m), a conventional technique may be used, or the same method as the key generation unit 911-i may be used. In public key PK i generation means 4112-i, and generates a public key PK i in a manner corresponding to the secret key SK i generation means 4111-i of the (S4113), and records in the recording unit 413-i (S4114). Set of key generation unit 411-i and the secret key SK i, which is generated by the public key PK i is used continuously, it is key that can be used after publication of the signer evidence r i. Also, a set of secret key sk i and the public key pk i generated by the key generation unit 911-i (key generation flow is the same as FIG. 3) is the key is disposable after publishing the signer evidence r i used It is a key that cannot be done. Incidentally, the signer evidence r i revealer 115-i signer proof generating unit 112-i is the same as the first embodiment.

図28にダミー鍵生成部440の構成例を、図29にダミー鍵生成部440の処理フローを示す。ダミー鍵生成部440では、通信部243を介して情報取得部442の公開鍵PK(i=1,…,n−1)取得手段4421で、参加装置410−i(i=1,…,n−1)の公開鍵PKを取得する(S4421)。また、情報取得部242の公開鍵pk(i=1,…,n−1)取得手段2421で、参加装置410−i(i=1,…,n−1)の公開鍵pkを取得する(S2421と同じ)。計算部441のダミー公開鍵pk生成手段4411で、R=(t,n−1,n,PK,…,PK,m)として、巡回群Gに属する元x(x∈G)を、Rのハッシュ値として生成する(x=H(R))。公開鍵pkをpk:=x/pkpk…pkn−1と定め(S4411)、公開鍵pk、元x、およびRを公開する(S2412と同じ)。このように公開鍵pkを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。 FIG. 28 shows a configuration example of the dummy key generation unit 440, and FIG. 29 shows a processing flow of the dummy key generation unit 440. In the dummy key generation unit 440, the public key PK i (i = 1,..., N−1) acquisition unit 4421 of the information acquisition unit 442 via the communication unit 243 performs the participation device 410-i (i = 1,..., The public key PK i of n-1) is acquired (S4421). Further, the public key pk i information acquisition unit 242 (i = 1, ..., n-1) obtained by the obtaining unit 2421, participation device 410-i (i = 1, ..., n-1) the public key pk i of (Same as S2421). The dummy public key pk n generation means 4411 of the calculation unit 441 uses the element x (x∈G) belonging to the cyclic group G as R = (t, n−1, n, PK 1 ,..., PK n , m). , R as a hash value (x = H (R)). The public key pk n is defined as pk n : = x / pk 1 pk 2 ... Pk n−1 (S4411), and the public key pk n , the element x, and R are made public (same as S2412). If the public key pk n is determined in this way, the discrete logarithm of x is not known, so the secret key of the participant n is not known.

図30に署名生成部420の機能構成例を示す。署名生成部420は、ダミー生成部921、計算部422、情報取得部423、記録部424、および通信部925から構成されている。また、図31は署名生成部420の処理フローを示す図である。
署名生成部420では、以下の手順で署名σ(m)と署名Σ(m)が生成される。通信部925を介して情報取得部423の公開鍵PK(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKを取得する(S4231)。ステップS9231の公開鍵pk(i=1,…,n)の取得、ダミー鍵生成部の処理フローであるステップS9211〜ステップS9216、およびステップS9232のコミットメントa(i=1,…,t)の取得は、図6での説明と同じである。また、情報取得部423の元x取得手段4233では、元xを取得する(S4233)。計算部422の処理のステップS9221〜S9228の処理は、図6の説明と同じである。したがって、n−t次多項式f(x)、チャレンジc(i=1,…,t)、レスポンスe(i=1,…,t)、メッセージmに対する(t,n)閾値署名σ(m)は、第2実施形態と同じで、背景技術として説明した従来技術と同じである。次に、署名作成手段4225では、M=(t,n−1,n,PK,…,PK,m,x,pk,…,pk)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S4227)、記録部424への記憶と公開を行う(S4228)。なお、Σ(m)はステップS4411での秘密鍵SKの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いればよい。 FIG. 30 shows a functional configuration example of the signature generation unit 420. The signature generation unit 420 includes a dummy generation unit 921, a calculation unit 422, an information acquisition unit 423, a recording unit 424, and a communication unit 925. FIG. 31 is a diagram showing a processing flow of the signature generation unit 420.
The signature generation unit 420 generates a signature σ (m) and a signature Σ (m) by the following procedure. Public key PK i (i = 1, ... , n) of the information acquisition unit 423 via the communication unit 925 by acquiring unit 4231, obtains the public key PK i participating device 910-i (i = 1, ..., n) (S4231). Acquisition of public key pk i (i = 1,..., N) in step S9231, step S9211 to step S9216, which is a processing flow of the dummy key generation unit, and commitment a i (i = 1,..., T) in step S9232. Is obtained in the same manner as described with reference to FIG. Further, the element x acquisition unit 4233 of the information acquisition unit 423 acquires the element x (S4233). The processing of steps S9221 to S9228 of the calculation unit 422 is the same as the description of FIG. Therefore, an nt degree polynomial f (x), a challenge c i (i = 1,..., T), a response e i (i = 1,..., T), a (t, n) threshold signature σ ( m) is the same as that of the second embodiment, and is the same as the prior art described as the background art. Next, in the signature creation means 4225, M = (t, n−1, n, PK 1 ,..., PK n , m, x, pk 1 ,..., Pk n ), and (M, σ (M), Σ (M, σ (M)), (M, Σ (M), σ (M, Σ (M))) or (M, σ (M), Σ (M)) is used as a signature (S4227), Storage and disclosure in the recording unit 424 (S4228) Note that Σ (m) is an arbitrary (t, n) threshold signature Σ (m) method corresponding to the method for generating the secret key SK i in step S4411. May be used.

図32に署名検証部430の機能構成例を、図33に署名検証部430での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段434で、公開鍵PK(i=1,…,n)、公開鍵pk(i=1,…,n)、署名σ(m)、元x、およびRを取得する(S434)。多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、ステップS4411での秘密鍵SKの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431)。さらに、署名参加者数確認手段235で、x=H(R)とpkpk…pk=xを確認する(S235と同じ)。 FIG. 32 shows a functional configuration example of the signature verification unit 430, and FIG. 33 shows a verification flow of the signature σ (m) and the signature Σ (m) in the signature verification unit 430. The information acquisition unit 434 acquires the public key PK i (i = 1,..., N), the public key pk i (i = 1,..., N), the signature σ (m), the element x, and R (S434). ). Order confirmation of the polynomial f (x) (the same as S931), by performing the challenge c i, the polynomial f (0) Check (same as S932), it is verified the sigma (m). The verification of Σ (m) is performed using an arbitrary (t, n) threshold signature Σ (m) method corresponding to the generation method of the secret key SK i in step S4411 (S431). Further, the signature participant number confirmation means 235 confirms x = H (R) and pk 1 pk 2 ... Pk n = x (same as S235).

このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠rの公開後も秘密鍵SKと公開鍵PKとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.

[第5実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第3実施形態を改良したものであって、tとt’を1≦t≦t’≦nとする(t,t’,n)閾値署名方式に関する。図34は、本発明のシステム構成例と流れを示す図であり、第3実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部520、署名検証部530、およびダミー鍵生成部540のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠rを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第3実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠rの公開後も使用できる。以下に本発明を詳しく説明する。 [Fifth Embodiment]
The present invention is an improvement of the third embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, and t and t ′ are set to 1 ≦ t ≦ t ′. (T, t ′, n) Threshold signature scheme with n. FIG. 34 is a diagram showing a system configuration example and a flow of the present invention. The difference from the third embodiment is that a participating device 410-i (i = 1,..., N), a signature generation unit 520, a signature verification unit. 530, and each of the dummy key generation unit 540, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the third embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.

参加装置410−i(i=1,…,n)は第4実施形態と同じため、説明は省略する。 図35にダミー鍵生成部540の構成例を、図36にダミー鍵生成部540の処理フローを示す。ダミー鍵生成部540では、通信部243を介して情報取得部542の公開鍵PK(i=1,…,n)取得手段4421で、参加装置410−i(i=1,…,n)の公開鍵PKを取得する(S4421と同じ)。また、情報取得部342の公開鍵pk(i=1,…,t’)取得手段3421で、参加装置410−i(i=1,…,t’)の公開鍵pkを取得する(S2421と同じ)。計算部541のダミー公開鍵pk(i=t’+1,…,n)生成手段5411で、R=(t,t’,n,PK,…,PK,m)として、巡回群Gに属する元A(A∈G)を、Rのハッシュ値として生成する(A=H(R))。その後はステップS3411と同じ方法であって、(mij)を、

Figure 2006203754
のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 2006203754
 と定め、
Figure 2006203754
 として公開鍵pk(i=t'+1,…,n)を生成する(S5411)。生成された公開鍵pk、元A、およびRを公開する(S3412と同じ)。このように公開鍵pk(i=t'+1,…,n)を生成すれば、第3実施形態と同様に、公開鍵pk∈Gを満足するので、t’次多項式F(F∈Z[x])が存在し、秘密鍵sk=F(i)かつlog=F(0)となっている。ここで、Aの離散対数は分からないので、参加者i(i=t'+1,…,n)の秘密鍵は分からない。 Since the participating devices 410-i (i = 1,..., N) are the same as those in the fourth embodiment, description thereof is omitted. FIG. 35 shows a configuration example of the dummy key generation unit 540, and FIG. 36 shows a processing flow of the dummy key generation unit 540. In the dummy key generation unit 540, the public device PK i (i = 1,..., N) acquisition unit 4421 of the information acquisition unit 542 via the communication unit 243 and the participating device 410-i (i = 1,..., N). The public key PK i is acquired (same as S4421). Further, the public key pk i information acquisition unit 342 (i = 1, ..., t ') in acquiring unit 3421, participation device 410-i (i = 1, ..., t') to acquire the public key pk i of ( Same as S2421). The dummy public key pk i (i = t ′ + 1,..., N) generation unit 5411 of the calculation unit 541 sets R = (t, t ′, n, PK 1 ,..., PK n , m) as a cyclic group G. the original a 0 (a 0 ∈G) belonging to generates a hash value of R (a 0 = H (R )). After that, it is the same method as step S3411, and (m ij ) is
Figure 2006203754
 A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 2006203754
 And
Figure 2006203754
 To generate a public key pk i (i = t ′ + 1,..., N) (S5411). The generated public key pk i , element A i , and R are made public (same as S3412). If the public key pk i (i = t ′ + 1,..., N) is generated in this way, the public key pk i ∈G is satisfied as in the third embodiment, and therefore the t′-order polynomial F (F∈ Z q [x]) exists, and the secret key sk i = F (i) and log g A 0 = F (0). Here, since the discrete logarithm of A 0 is not known, the secret key of the participant i (i = t ′ + 1,..., N) is not known.

図37に署名生成部520の機能構成例を示す。署名生成部520は、ダミー生成部921、計算部522、情報取得部523、記録部424、および通信部925から構成されている。また、図38は署名生成部520の処理フローを示す図である。この機能構成と処理フローは、ほとんど第4実施形態の署名生成部420と同じであり、異なる点は元xではなく元A(i=0,…,t')を用いる点だけである。異なる点だけを示すと以下のようになる。情報取得部523の元A(i=0,…,t')取得手段5233では、元xではなく元A(i=0,…,t')を取得する(S5233)。署名作成手段5225では、M=(t,t’,n,PK,…,PK,m,A,…,At’,pk,…,pk)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S5227)、記録部424への記憶と公開を行う(S4228)。 FIG. 37 shows a functional configuration example of the signature generation unit 520. The signature generation unit 520 includes a dummy generation unit 921, a calculation unit 522, an information acquisition unit 523, a recording unit 424, and a communication unit 925. FIG. 38 is a diagram showing a processing flow of the signature generation unit 520. This functional configuration and processing flow are almost the same as those of the signature generation unit 420 of the fourth embodiment, and the only difference is that the element A i (i = 0,..., T ′) is used instead of the element x. Only the differences are shown below. Original A i (i = 0, ... , t ') of the information acquisition unit 523 in the acquisition means 5233, the original x rather original A i (i = 0, ... , t') to get (S5233). In the signature creation means 5225, M = (t, t ′, n, PK 1 ,..., PK n , m, A 0 ,..., A t ′ , pk 1 ,..., Pk n ), and (M, σ ( M), Σ (M, σ (M)), (M, Σ (M), σ (M, Σ (M))) or (M, σ (M), Σ (M)) are used as signatures ( S5227), storage in the recording unit 424 and disclosure (S4228).

図39に署名検証部530の機能構成例を、図40に署名検証部530での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段534で、公開鍵PK(i=1,…,n)、公開鍵pk(i=1,…,n)、署名σ(m)、元A(i=0,…,t')、およびRを取得する(S534)。多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、参加装置410−iでの秘密鍵SKの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431と同じ)。さらに、署名参加者数確認手段335で、A=H(R)と

Figure 2006203754
(pk∈G)(i=1,…,n)を確認する(S335と同じ)。 FIG. 39 shows a functional configuration example of the signature verification unit 530, and FIG. 40 shows a verification flow of the signature σ (m) and the signature Σ (m) in the signature verification unit 530. In the information acquisition means 534, the public key PK i (i = 1,..., N), the public key pk i (i = 1,..., N), the signature σ (m), the element A i (i = 0,. t ′) and R are acquired (S534). Order confirmation of the polynomial f (x) (the same as S931), by performing the challenge c i, the polynomial f (0) Check (same as S932), it is verified the sigma (m). Further, the verification of Σ (m) is performed using an arbitrary (t, n) threshold signature Σ (m) method corresponding to the generation method of the secret key SK i in the participating device 410-i (the same as S431). ). Further, in the signature participant number confirmation means 335, A 0 = H (R)
Figure 2006203754
 (Pk i ∈ G) (i = 1,..., N) is confirmed (same as S335).

このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠rの公開後も秘密鍵SKと公開鍵PKとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more participants who can prove this.

[第6実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第1実施形態を改良したものであって、tを1≦t≦nとする(t,n)閾値署名方式に関する。図41は本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、参加装置610−i(i=1,…,n)、署名生成部620、および署名検証部630のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠rを公開すると使用できなくなる使い捨ての秘密鍵(第2の秘密鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第1実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠rの公開後も使用できる。また、第4実施形態と第5実施形態との違いとしては、継続的に使用する第1の秘密鍵SKと使い捨ての第2の秘密鍵skとをペアリング写像を用いて関連つけた点にあり、本発明では、署名生成部620は1つの署名σ(m)のみを生成する。 [Sixth Embodiment]
The present invention is an improvement of the first embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n (t N) Threshold signature scheme. FIG. 41 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that a participating device 610-i (i = 1,..., N), a signature generation unit 620, and a signature verification unit. each 630, two types of keys of a normal private and public keys (first secret key and public key) and the signer evidence r i becomes unusable and publish disposable private key (second private key) It has been changed so that it can respond to. By using two types of keys, while the effect of the first embodiment is maintained, public key such as that registered in the authority of the public (first public key) is also was published signer evidence r i Can be used. Further, the difference between the fourth embodiment and the fifth embodiment is that the first secret key SK i to be used continuously and the second secret key sk i to be used are associated with each other using a pairing map. In the present invention, the signature generation unit 620 generates only one signature σ (m).

まず、発明の説明のために追加または変更される記号等について簡単に説明する。E={0,P,2P,…,(p−1)P}を加法によりPで生成される位数pの巡回群とする。またEは離散対数問題は難しい(つまりPとaPの値が分かっても、aを求めることは難しい)巡回群である。G={1,g,g,…,g(q−1)}を乗法によりgで生成される位数q(ただしpはqの約数)の巡回群とする。またGは離散対数問題は難しい(つまりgとgの値が分かっても、aを求めることは難しい)巡回群である。<・,・>:E×E→Gを双線形性(つまり<aP,Q>=<P,aQ>=<P,Q>が任意のaに対して成立する)と非退化性(つまり<P,Q>=1が任意のQに対して成り立つならば、P=0)を満たすペアリング写像とする。H,I,JはそれぞれH:{0,1}→E,I:K→Z,J:{0,1}→Kのように変換するハッシュ関数である。このような群とペアリング写像は、楕円曲線とその上のベイユペアリング(Weil Pairing)を用いて実現することができる(例えばD. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO ’01, pp. 213-229, 2001.)。以下に本発明を詳しく説明する。 First, symbols and the like that are added or changed for the description of the invention will be briefly described. Let E = {0, P, 2P,..., (P−1) P} be a cyclic group of order p generated by P by addition. E is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of P and aP are known). Let G = {1, g, g 2 ,..., G (q−1) } be a cyclic group of order q (p is a divisor of q ) generated by g by multiplication. G is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of g and g a are known). <•, •>: E × E → G is bilinear (that is, <aP, Q> = <P, aQ> = <P, Q> a holds for any a) and non-degenerate ( That is, if <P, Q> = 1 holds for an arbitrary Q, the pairing map satisfies P = 0). H, I, and J are hash functions for conversion as H: {0, 1} * → E, I: K → Z p , and J: {0, 1} * → K, respectively. Such groups and pairing maps can be realized using elliptic curves and Weil Pairing on top of them (eg D. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO '01, pp. 213-229, 2001.). The present invention is described in detail below.

図42に参加装置610−iの機能構成例を示す。参加装置610−iは、第1の鍵生成部611−i、第2の鍵生成部612−i、署名者証拠生成部613−i、記録部614−i、署名者証拠公開部115−i、および通信部914−iから構成される。図43は第1の鍵生成部611−iの処理フローを示す図、図44は第2の鍵生成部612−iの処理フローを示す図、図45は署名者証拠生成部613−iの処理フローを示す図である。   FIG. 42 shows a functional configuration example of the participation apparatus 610-i. The participation apparatus 610-i includes a first key generation unit 611-i, a second key generation unit 612-i, a signer evidence generation unit 613-i, a recording unit 614-i, and a signer evidence disclosure unit 115-i. , And a communication unit 914-i. 43 is a diagram showing a processing flow of the first key generation unit 611-i, FIG. 44 is a diagram showing a processing flow of the second key generation unit 612-i, and FIG. 45 is a diagram of the signer evidence generation unit 613-i. It is a figure which shows a processing flow.

参加装置610−i(i=1,…,n)の鍵生成部611−iでは、以下の手順で第1の秘密鍵SKと公開鍵PKとを生成する。秘密鍵SK生成手段6111−iでは、pを法とする剰余類Zから等確率でランダムに1つの元sを選択して秘密鍵SKとし(SK=s)(S6111)、秘密鍵SKを記録部614−iに記録する(S6112)。公開鍵PK生成手段6112−iでは、あらかじめ定められた巡回群Eの元Pを用いて、PK=sPにより公開鍵PK(PK∈E)を生成し(S6113)、公開鍵PKを記録部614−iに記録する(S6114)。ここで、巡回群Eは、離散対数問題が難しい群から選ばれているため、公開鍵PKと元Pとが分かっても、秘密鍵SK(=s)は分からない。このように生成された公開鍵PKは、元Pの情報とともに通信部914−iを介して公開される。 The key generation unit 611-i of the participating device 610-i (i = 1,..., N) generates the first secret key SK i and the public key PK i by the following procedure. The secret key SK i generating means 6111-i selects one element s i at random from the remainder class Z p modulo p with equal probability as the secret key SK i (SK i = s iU Z p ) (S6111), the secret key SK i is recorded in the recording unit 614-i (S6112). The public key PK i generating means 6112- i generates a public key PK i (PK i εE) by PK i = s i P using a predetermined element P of the cyclic group E (S 6113). The key PK i is recorded in the recording unit 614-i (S6114). Here, since the cyclic group E is selected from a group in which the discrete logarithm problem is difficult, even if the public key PK i and the element P are known, the secret key SK i (= s i ) is not known. The public key PK i generated in this way is disclosed through the communication unit 914-i together with the information of the original P.

鍵生成部612−iでは、以下の手順で第2の秘密鍵skを生成する。まず、公開鍵PK(i=1,…,n)取得手段6123−iで参加装置610−i(i=1,…,n)の公開鍵PKを取得する(S6121)。Q生成手段6122−iでは、Q=H(t,n,PK,…,PK,m)としてQ(Q∈E)を生成し(S6122)、Qを記録部614−iに記録するとともに公開する(S6123)。秘密鍵sk生成手段6121−iでは、sk=sとして使い捨ての秘密鍵sk(sk∈E)を生成し(S6124)、秘密鍵skを記録部614−iに記録する(S6125)。なお、上記のQを求める方法では全ての参加装置610−iの公開鍵PK(i=1,…,n)を使用しており、どの参加装置で計算しても同じQを得る。したがって、1つの参加装置または別の装置でQを求め、各参加装置に送信しても良い。 The key generation unit 612-i generates the second secret key ski i by the following procedure. First, the public key PK i (i = 1, ... , n) participating device acquisition unit 6123-i 610-i (i = 1, ..., n) to obtain the public key PK i of (S6121). The Q m generation means 6122-i generates Q m (Q m ∈E) as Q m = H (t, n, PK 1 ,..., PK n , m) (S 6122), and Q m is recorded in the recording unit 614. -I is recorded and released (S6123). The secret key sk i generating means 6121- i generates a disposable secret key sk i (sk i εE) as sk i = s i Q m (S6124), and records the secret key sk i in the recording unit 614-i. (S6125). In the above method for obtaining Q m , public keys PK i (i = 1,..., N) of all participating devices 610-i are used, and the same Q m is obtained regardless of which participating device calculates. . Therefore, Q m may be obtained by one participating device or another device and transmitted to each participating device.

参加者が署名に協力する場合には、署名者証拠生成部613−iの署名者証拠r生成手段6121−iでは、pを法とする剰余類Zから等確率でランダムに1つの元を選択して署名者証拠r(r)とし(S6121)、記録部614−iに記録する(S1121)。次にコミットメントa生成手段6132−iは、元Pを用いて、

Figure 2006203754
によりコミットメントa(∈G)を生成し(S6132)、コミットメントaを記録部614−iに記録し、通信部914−iを介して署名生成部620に送信する(S9123)。署名生成部620で署名生成処理が行われると、署名生成部620の計算部622の処理過程で生成されたチャレンジcが署名生成部620から、署名生成に協力している参加装置610−i(i=1,…,t)に送信される。このチャレンジcをチャレンジc取得手段9123−iで取得し(S9124)、記録部913−iに記録する(S9125)。また、レスポンスe生成手段6132−iで、e:=r−csk(e∈E)により、e(i=1,…,t)を求め(S6136)、記録部614−iに記録するとともに署名生成部620に送信する(S9127)。 If the participants cooperate to signature, the signer the evidence generation unit 613-i of the signer evidence r i generation means 6121-i, 1 randomly with equal probability from residue class Z p modulo p Tsunomoto And signer evidence r i (r i ε U Z p ) is selected (S6121) and recorded in the recording unit 614-i (S1121). Next, the commitment a i generating means 6132-i uses the element P,
Figure 2006203754
 To generate a commitment a i (∈G) (S6132), record the commitment a i in the recording unit 614-i, and transmit it to the signature generation unit 620 via the communication unit 914-i (S9123). If the signature generation processing is performed in the signature generation unit 620, from the challenge c i is the signature generation unit 620 generated in the process of calculating portion 622 of the signature generation unit 620, participants are collaborating in the signature generating apparatus 610-i (I = 1,..., T). Gets the challenge c i a challenge c i acquisition unit 9123-i (S9124), and records in the recording unit 913-i (S9125). Further, the response e i generation means 6132-i, e i: = the r i Q m -c i sk i (e i ∈E), e i (i = 1, ..., t) and calculated (S6136), The information is recorded in the recording unit 614-i and transmitted to the signature generation unit 620 (S9127).

図46に署名生成部620の機能構成例を示す。署名生成部620は、ダミー生成部621、計算部622、情報取得部623、記録部624、および通信部925から構成されている。また、図47は署名生成部620の処理フローを示す図である。   FIG. 46 shows a functional configuration example of the signature generation unit 620. The signature generation unit 620 includes a dummy generation unit 621, a calculation unit 622, an information acquisition unit 623, a recording unit 624, and a communication unit 925. FIG. 47 is a diagram showing a processing flow of the signature generation unit 620.

署名生成部620では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部623の公開鍵PK(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKを取得する(S4231)。また、Q取得手段6231により、Qを取得する(S6231)。ダミー生成部621では、次のように、ダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa(i=t+1,…,n)を生成する。ダミーレスポンスe(i=t+1,…,n)生成手段6211により、pを法とする剰余類Zから等確率でランダムに1つの元を選択してダミーレスポンスe(i=t+1,…,n)とし(e)(S6211)、記録部624に記録する(S9212)。ダミーチャレンジc(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yを選び、そのハッシュ関数をダミーチャレンジc(i=t+1,…,n)とし(yK,c:=I(y)∈Z)(S6213)、記録部624に記録する(S9214)。また、ダミーコミットメントa(i=t+1,…,n)生成手段6213により、元P、Q、および公開鍵PKを用いて、

Figure 2006203754
によりダミーコミットメントa(i=t+1,…,n)を生成し(S6215)、記録部624に記録する(S9216)。 The signature generation unit 620 generates a signature σ (m) by the following procedure. Public key PK i (i = 1, ... , n) of the information acquisition unit 623 via the communication unit 925 by acquiring unit 4231, obtains the public key PK i participating device 910-i (i = 1, ..., n) (S4231). Further, the Q m acquisition unit 6231 acquires a Q m (S6231). The dummy generation unit 621 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i (i = t + 1,..., N) as follows. The dummy response e i (i = t + 1,..., N) generating means 6211 selects one element at random from the remainder class Z p modulo p with equal probability, and the dummy response e i (i = t + 1,. , N) (e iU Z p ) (S6211), and records it in the recording unit 624 (S9212). The dummy challenge c i (i = t + 1,..., N) generation unit 9212 selects one coordinate value y i from the finite field K at random with equal probability, and the hash function is set as the dummy challenge c i (i = t + 1,...). , n) and then (y i ∈ U K, c i: = I (y i) ∈Z p) (S6213), and records in the recording unit 624 (S9214). Further, the dummy commitment a i (i = t + 1,..., N) generation unit 6213 uses the element P, Q m , and the public key PK i ,
Figure 2006203754
 The dummy commitment a i (i = t + 1,..., N) is generated (S6215) and recorded in the recording unit 624 (S9216).

また、通信部925を介して情報取得部623のコミットメントa(i=1,…,t)取得手段9232により、参加装置610−i(i=1,…,t)のコミットメントaを取得する(S9232と同じ)。 The commitment a i (i = 1, ... , t) in the information acquisition unit 623 via the communication unit 925 by acquiring unit 9232, acquires the commitment a i participating device 610-i (i = 1, ..., t) (Same as S9232).

次に、計算部622では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段6221により、n−t次の多項式f(x)(f(x)=α+αx+α+…+αn−tn−t,α∈K)と定め、f(0)=J(t,n,PK,…,PK,Q,a,…,a,m)とf(i)=y(i=t+1,…,n)の条件からα(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S6221)。また、求めたn−t次多項式f(x)を記録部624に記録する(S9222)。チャレンジc(i=1,…,t)生成手段9222では、c:=I(f(i))により、チャレンジc(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジcに対応する参加装置910−i(i=1,…,t)にチャレンジcを送信する(S9224)。 Next, the calculation unit 622 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 6221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α defined as j ∈K), f (0) = J (t, n, PK 1, ..., PK n, Q m, a 1, ..., a n, m) and f (i) = y i ( i = By calculating α j (j = 0,..., nt) from the condition of t + 1,..., n), an nt degree polynomial f (x) is obtained (S6221). Further, the obtained nt degree polynomial f (x) is recorded in the recording unit 624 (S9222). Challenge c i (i = 1, ... , t) in the generator 9222, c i: = by I (f (i)), the challenge c i (i = 1, ... , t) and calculated (S9223), recording unit and records in 924, the challenge c i participating device corresponding to the 910-i (i = 1, ..., t) to send a challenge c i (S9224).

各参加者装置610−i(i=1,…,t)では、送信されたチャレンジcを用いて、上記のようにレスポンスeを生成し署名生成部620に送信する(図45のS9124〜S9127)。そこで、レスポンスe(i=1,…,t)取得手段9223は、レスポンスe(i=1,…,t)を取得し(S9225)、記録部624に記録する(S9226)。署名σ(m)作成手段6223では、σ(m)=(f,c,…,c,e,…,e)により、σ(m)を求め(S6227)、記録部624に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。 Each participant device 610-i (i = 1,..., T) generates a response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 620 (S9124 in FIG. 45). To S9127). Therefore, the response e i (i = 1,..., T) acquisition unit 9223 acquires the response e i (i = 1,..., T) (S9225) and records it in the recording unit 624 (S9226). The signature σ (m) creating means 6223 obtains σ (m) from σ (m) = (f, c 1 ,..., C n , e 1 ,..., E n ) (S 6227) and stores it in the recording unit 624. Recording is performed (S9228). In this way, the (t, n) threshold signature σ (m) for the message m is obtained.

図48に署名検証部630の機能構成例を、図49に署名検証部630での署名σ(m)を検証するフローを示す。なお、署名者証拠rを確認する処理フローは第1実施形態と同じである。署名σ(m)を検証する場合は、情報取得手段634で公開鍵PK(i=1,…,n)、Q、および署名σ(m)を取得し(S634)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、Q確認手段632で、Q=H(t,n,PK,…,PK,m)かつQ∈Eであることを確認し(S632)、チャレンジc、多項式f(0)確認手段633で、

Figure 2006203754
であることを確認する(S932)。 FIG. 48 shows a functional configuration example of the signature verification unit 630, and FIG. 49 shows a flow for verifying the signature σ (m) in the signature verification unit 630. The processing flow for confirming the signer evidence r i is the same as the first embodiment. When verifying the signature σ (m), the information acquisition unit 634 acquires the public key PK i (i = 1,..., N), Q m , and the signature σ (m) (S634), and the polynomial f (x ) Order confirmation means 931 confirms that the degree of the polynomial f (x) is n−t (S931), and Q m confirmation means 632 confirms that Q m = H (t, n, PK 1 ,..., PK n , m) and Q m ∈ E (S632), the challenge c i , the polynomial f (0) confirmation means 633,
Figure 2006203754
 (S932).

このように署名σ(m)を生成、検証することによって以下のような効果がある。署名生成に協力したことを参加者iが証明するために署名者証拠rを公開した場合、第2の秘密鍵skは、sk=s=c -1(r−e)により求めることができるが、Eは離散対数問題が難しい巡回群から選ばれているため、第1の秘密鍵SK(SK=s∈Z)を求めることはできない。したがって、署名者証拠r公開後も公開鍵PKを使うことができる。また、チャレンジc、多項式f(0)確認手段633で、

Figure 2006203754
を確認しているため、署名者証拠r(r∈Z)と公開鍵PK(PK=sP∈E)とは関連しており、署名者証拠rを示すことにより公開鍵PKに対応する参加者iが署名に協力したことを証明することができる。 By generating and verifying the signature σ (m) in this way, the following effects can be obtained. If you publish a signer evidence r i in order to prove the participants i that it has cooperated in the signature generation, the second of the secret key sk i is, sk i = s i Q m = c i -1 (r i Q m −e i ), but since E is selected from a cyclic group in which the discrete logarithm problem is difficult, the first secret key SK i (SK i = s i ∈Z p ) cannot be obtained. . Therefore, the public key PK i can be used even after the signer proof r i is disclosed. In addition, the challenge c i, a polynomial f (0) confirmation means 633,
Figure 2006203754
 Therefore, the signer evidence r i (r i ∈Z p ) and the public key PK i (PK i = s i P∈E) are related, and by indicating the signer evidence r i It can be proved that the participant i corresponding to the public key PK i cooperated in the signature.

[第7実施形態]
本実施形態は、第1実施形態から第6実施形態の総括である。図50に第1実施形態から第6実施形態をまとめた(t,n)閾値電子署名システムの処理フローを示す。図50では、すべての実施形態に共通する装置(部)と処理工程を実線の四角で示し、第2実施形態から第5実施形態に必要な装置(部)と処理工程を点線の四角で示し、第4実施形態から第6実施形態に必要な装置(部)と処理工程を一点鎖線の四角で示す。第6実施形態に必要な処理工程を二点鎖線の四角で示す。 [Seventh Embodiment]
This embodiment is a summary of the first to sixth embodiments. FIG. 50 shows a processing flow of the (t, n) threshold electronic signature system in which the first to sixth embodiments are summarized. In FIG. 50, apparatuses (parts) and processing steps common to all the embodiments are indicated by solid squares, and apparatuses (parts) and processing steps necessary for the second to fifth embodiments are indicated by dotted squares. The apparatuses (parts) and processing steps necessary for the fourth to sixth embodiments are indicated by a dashed-dotted line. The processing steps necessary for the sixth embodiment are indicated by a two-dot chain square.

第4実施形態から第6実施形態の参加装置(410−i、または610−i)(i=1,…,n)は、第1の秘密鍵SKと公開鍵PKを生成し、公開鍵PKを公開する。第1の実施形態と第6実施形態の場合は、すべての参加装置(110−i、または610−i)(i=1,…,n)は、署名に使用する秘密鍵skを生成し、第1の実施形態は公開鍵pkも生成し、公開鍵pkを公開する。第2実施形態と第4実施形態は参加装置(110−i、または410−i)(i=1,…,n−1)が、署名に使用する秘密鍵skと公開鍵pkを生成し、公開鍵pkを公開する。第3実施形態と第5実施形態は参加装置(110−i、または410−i)(i=1,…,t’)が、署名に使用する秘密鍵skと公開鍵pkを生成し、公開鍵pkを公開する。 Participating devices (410-i or 610-i) (i = 1,..., N) of the fourth to sixth embodiments generate a first secret key SK i and a public key PK i and make them public. Publish the key PK i . In the case of the first embodiment and the sixth embodiment, all the participating devices (110-i or 610-i) (i = 1,..., N) generate a secret key sk i used for signature. the first embodiment also generates a public key pk i, publishes the public key pk i. In the second and fourth embodiments, the participating device (110-i or 410-i) (i = 1,..., N-1) generates a private key sk i and a public key pk i used for signature. And public key pk i is made public. In the third and fifth embodiments, the participating device (110-i or 410-i) (i = 1,..., T ′) generates a secret key sk i and a public key pk i used for signature. , Public key pk i is made public.

第2実施形態から第5実施形態の場合は、ダミー鍵生成部(240、340,440,540)で、ダミーの公開鍵pk(i=nまたはt’,…,n)を生成し、公開する。
署名生成に協力する参加装置(110−i、410−i、または610−i)(i=1,…,t)は、署名者証拠rとコミットメントaを生成し、コミットメントaを署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名生成に協力していない参加装置(110−i、410−i、または610−i)(i=t+1,…,n)に対応するダミーのレスポンスe、チャレンジc、およびコミットメントaを生成し、n−t次多項式fと署名生成に協力した参加装置(110−i、410−i、または610−i)(i=1,…,t)に対応するチャレンジcを生成し、チャレンジcを参加装置(110−i、410−i、または610−i)(i=1,…,t)に送信する。各参加装置(110−i、410−i、または610−i)(i=1,…,t)では、レスポンスeを生成し署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を生成する。署名検証部(130、230、330,430,530、または630)で、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を確認し、第2実施形態から第5実施形態の場合は、署名参加者数を確認する。さらに、署名に協力した参加者が署名に協力したことを証明したい場合には、参加装置(110−i、410−i、または610−i)(i=1,…,t)は署名者証拠rを公開し、署名検証部(130、230、330,430,530、または630)は署名者証拠rを確認する。なお、各処理の詳細は、上記の第1実施形態から第6実施形態に示したとおりである。 In the case of the second to fifth embodiments, the dummy key generation unit (240, 340, 440, 540) generates a dummy public key pk i (i = n or t ′,..., N), Publish.
Join apparatus to cooperate with the signature generation (110-i, 410-i or 610-i,) (i = 1, ..., t) generates a signer evidence r i and commitment a i, signed commitment a i It transmits to a production | generation part (920, 420, 520, or 620). The signature generation unit (920, 420, 520, or 620) corresponds to a participating device (110-i, 410-i, or 610-i) (i = t + 1,..., N) that does not cooperate with signature generation. Participating devices (110-i, 410-i, or 610-i) that have generated dummy responses e i , challenges c i , and commitment a i and cooperated in generating the nt-order polynomial f and signature (i = 1) , ..., generates a challenge c i corresponding to t), join apparatus Challenge c i (110-i, 410 -i or 610-i) (i = 1 ,, ..., are transmitted to t). Each participating device (110-i, 410-i, or 610-i) (i = 1,..., T) generates a response e i and transmits it to the signature generation unit (920, 420, 520, or 620). . The signature generation unit (920, 420, 520, or 620) generates a signature σ (in the case of the fourth and fifth embodiments, further Σ). The signature verification unit (130, 230, 330, 430, 530, or 630) confirms the signature σ (in the case of the fourth and fifth embodiments, further Σ), and the second to fifth embodiments. In the case of a form, the number of signature participants is confirmed. Further, if the participant who cooperated with the signature wants to prove that the participant cooperated with the signature, the participating device (110-i, 410-i, or 610-i) (i = 1,. publish the r i, the signature verification unit (130,230,330,430,530 or 630,) confirms the signer evidence r i. The details of each process are as shown in the first to sixth embodiments.

このようなシステム構成と処理方法により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。   With such a system configuration and processing method, it is possible to prove that the participant wants to prove that he / she cooperated in signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.

閾値つき電子署名システムの構成例と流れを示す図。The figure which shows the structural example and flow of an electronic signature system with a threshold value. 参加装置910−iの機能構成例を示す図。The figure which shows the function structural example of participation apparatus 910-i. 鍵生成部911−iの処理フローを示す図。The figure which shows the processing flow of the key generation part 911-i. 署名者証拠生成部912−iの処理フローを示す図。The figure which shows the processing flow of the signer proof production | generation part 912-i. 署名生成部920の機能構成例を示す図。The figure which shows the function structural example of the signature production | generation part 920. FIG. 署名生成部920の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 920. 署名検証部930の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 930. FIG. 署名検証部930での署名σ(m)を検証するフローを示す図。The figure which shows the flow which verifies signature (sigma) (m) in the signature verification part 930. FIG. 第1実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 1st Embodiment. 参加装置110−iの機能構成例を示す図。The figure which shows the function structural example of participating apparatus 110-i. 署名者証拠生成部112−iの処理フローを示す図。The figure which shows the processing flow of the signer proof production | generation part 112-i. 署名者証拠公開部115−iの処理フローを示す図The figure which shows the processing flow of the signer proof disclosure part 115-i. 署名検証部130の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 130. FIG. 署名に協力したことを証明したい参加者から署名者証拠rが公開された場合の、署名者証拠r確認フローを示す図。The figure which shows a signer proof r i confirmation flow when the signer proof r i is made public by a participant who wants to prove that he has cooperated in the signature. 第2実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 2nd Embodiment. ダミー鍵生成部240の機能構成例を示す図。The figure which shows the function structural example of the dummy key production | generation part 240. FIG. ダミー鍵生成部240の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 240. FIG. 署名検証部230の機能構成例を示す図。FIG. 3 is a diagram illustrating an example of a functional configuration of a signature verification unit 230. 署名検証部230が署名σ(m)を検証するフローを示す図。The figure which shows the flow in which the signature verification part 230 verifies signature (sigma) (m). 第3実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 3rd Embodiment. ダミー鍵生成部340の機能構成例を示す図。The figure which shows the function structural example of the dummy key production | generation part 340. ダミー鍵生成部340の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 340. 署名検証部330の機能構成例を示す図。FIG. 3 is a diagram illustrating an example of a functional configuration of a signature verification unit 330. 署名検証部330が署名σ(m)を検証するフローを示す図。The figure which shows the flow in which the signature verification part 330 verifies signature (sigma) (m). 第4実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 4th Embodiment. 参加装置410−iの機能構成例を示す図。The figure which shows the function structural example of participating apparatus 410-i. 第1の秘密鍵と公開鍵を生成する鍵生成部411−iの処理フローを示す図。The figure which shows the processing flow of the key generation part 411-i which produces | generates a 1st secret key and a public key. ダミー鍵生成部440の構成例を示す図。The figure which shows the structural example of the dummy key production | generation part 440. FIG. ダミー鍵生成部440の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 440. FIG. 署名生成部420の機能構成例を示す図。FIG. 4 is a diagram illustrating an example of a functional configuration of a signature generation unit 420. 署名生成部420の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 420. FIG. 署名検証部430の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 430. FIG. 署名検証部430での署名σ(m)と署名Σ(m)の検証フローを示す図。The figure which shows the verification flow of signature (sigma) (m) and signature (SIGMA) (m) in the signature verification part 430. FIG. 第5実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 5th Embodiment. ダミー鍵生成部540の構成例を示す図。The figure which shows the structural example of the dummy key production | generation part 540. ダミー鍵生成部540の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 540. 署名生成部520の機能構成例を示す図。The figure which shows the function structural example of the signature production | generation part 520. FIG. 署名生成部520の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 520. 署名検証部530の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 530. FIG. 署名検証部530での署名σ(m)と署名Σ(m)の検証フローを示す図。The figure which shows the verification flow of signature (sigma) (m) and signature (SIGMA) (m) in the signature verification part 530. FIG. 第6実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 6th Embodiment. 参加装置610−iの機能構成例を示す図。The figure which shows the function structural example of participating apparatus 610-i. 第1の鍵生成部611−iの処理フローを示す図。The figure which shows the processing flow of the 1st key production | generation part 611-i. 第2の鍵生成部612−iの処理フローを示す図。The figure which shows the processing flow of the 2nd key production | generation part 612-i. 署名者証拠生成部613−iの処理フローを示す図。The figure which shows the processing flow of the signer proof production | generation part 613-i. 署名生成部620の機能構成例を示す図。The figure which shows the function structural example of the signature production | generation part 620. FIG. 署名生成部620の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 620. FIG. 署名検証部630の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 630. FIG. 署名検証部630での署名σ(m)を検証するフローを示す図。The figure which shows the flow which verifies signature (sigma) (m) in the signature verification part 630. FIG. 第1実施形態から第6実施形態をまとめた(t,n)閾値電子署名システムの処理フローを示す図。The figure which shows the processing flow of the (t, n) threshold value electronic signature system which put together 6th Embodiment from 1st Embodiment.

Claims (29)

閾値つき電子署名システムの構成装置として電子署名を行う参加装置であって、
署名者証拠を記録する記録部と、
署名者証拠を公開する署名者証拠公開部と、
を備える参加装置。 A participating device that performs an electronic signature as a constituent device of an electronic signature system with a threshold,
A recording section for recording the signer evidence;
A signer evidence publishing section that publishes signer evidence;
A participation apparatus comprising: 請求項1記載の参加装置であって、
第1の秘密鍵と公開鍵とを生成する第1の鍵生成部と、
署名生成に用いる第2の秘密鍵と公開鍵とを生成する第2の鍵生成部と、
を備える参加装置。 The participation device according to claim 1,
A first key generation unit that generates a first secret key and a public key;
A second key generation unit that generates a second secret key and a public key used for signature generation;
A participation apparatus comprising: 請求項1記載の参加装置であって、
第1の秘密鍵と公開鍵とを生成する第1の鍵生成部と、
第1の秘密鍵から署名生成に用いる第2の秘密鍵を生成する第2の鍵生成部と、
を備える参加装置。 The participation device according to claim 1,
A first key generation unit that generates a first secret key and a public key;
A second key generation unit for generating a second secret key used for signature generation from the first secret key;
A participation apparatus comprising: 請求項3記載の参加装置であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、
上記閾値つき電子署名システムを構成する参加装置の第1の公開鍵PK(i=1,…,n)とメッセージmから、任意長のビット列を離散対数問題の難しい加法による巡回群の元に変換するハッシュ関数Hを用いて
=H(t,n,PK,…,PK,m)
とし、参加装置の第1の秘密鍵SKを用いて、
sk=SK
として第2の秘密鍵skを生成する上記第2の鍵生成部と、
pを法とする剰余類Zから等確率でランダムに選択した1つの元を署名者証拠rとし、第1の鍵生成部で使用した離散対数問題の難しい加法による巡回群の元Pを用いて、
Figure 2006203754
 によりコミットメントaを生成する署名者証拠生成部と、
を備える参加装置。 The participation device according to claim 3,
There are n participating devices, and any t participating devices cooperated in the signature,
From the first public key PK i (i = 1,..., N) of the participating devices constituting the thresholded digital signature system and the message m, an arbitrary-length bit string is used as a cyclic group by addition that is difficult to the discrete logarithm problem. Q m = H (t, n, PK 1 ,..., PK n , m) using the hash function H to be converted
And using the first secret key SK i of the participating device,
sk i = SK i Q m
The second key generation unit for generating the second secret key sk i as:
One element randomly selected with equal probability from the remainder class Z p modulo p is used as a signer proof r i, and an element P of a cyclic group by addition difficult to the discrete logarithm problem used in the first key generation unit is used. make use of,
Figure 2006203754
 Signer proof generation unit for generating commitment a i by
A participation apparatus comprising: 閾値つき電子署名システムの構成装置としてダミーの公開鍵を生成するダミー鍵生成装置であって、
少なくとも1つの署名生成に協力していない参加装置の公開鍵を生成し、当該公開鍵および公開鍵生成時に使用した離散対数問題の難しい巡回群の元を公開する計算部
を備えるダミー鍵生成装置。 A dummy key generation device that generates a dummy public key as a constituent device of an electronic signature system with a threshold,
A dummy key generation device comprising: a calculation unit that generates a public key of a participating device that is not cooperating with at least one signature generation and publishes the public key and an element of a cyclic group having a difficult discrete logarithm problem used when generating the public key. 請求項5記載のダミー鍵生成装置であって、
n台の参加装置がある場合に、署名生成に協力していない1つの参加装置の公開鍵pkを、その他の参加装置の公開鍵pk(i=1,…,n−1)と離散対数問題が難しい巡回群の元xから、
pk=x/pkpk…pkn−1
と定める上記計算部
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 5,
When there are n participating devices, the public key pk n of one participating device that is not cooperating with signature generation is separated from the public keys pk i (i = 1,..., n−1) of other participating devices. From the element x of the cyclic group where the logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
A dummy key generation device comprising the calculation unit as defined above. 請求項5記載のダミー鍵生成装置であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
署名生成に協力していない(n−t’)の参加装置の公開鍵pk(i=t'+1,…,n)を、その他の参加装置の公開鍵pk(i=1,…,t')と離散対数問題が難しい巡回群の元Aから、(mij)を、
Figure 2006203754
 のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 2006203754
 と定め、
Figure 2006203754
 として生成する上記計算部
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 5,
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
The public keys pk i (i = t ′ + 1,..., N) of (nt−t) participating devices not cooperating with signature generation are used as the public keys pk i (i = 1,. From t ′) and the element A 0 of the cyclic group in which the discrete logarithm problem is difficult, (m ij )
Figure 2006203754
 A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 2006203754
 And
Figure 2006203754
 A dummy key generation device comprising the calculation unit generated as described above. 2つの公開鍵を用いる閾値つき電子署名システムの構成装置として、署名に用いる第2の公開鍵を生成するダミー鍵生成装置であって、
少なくとも1つの署名生成に協力していない参加装置の第2の公開鍵を、他の参加装置の第2の公開鍵を利用して生成し、当該公開鍵および公開鍵生成時に使用した離散対数問題の難しい巡回群の元を公開する計算部
を備えるダミー鍵生成装置。 As a constituent device of a thresholded electronic signature system using two public keys, a dummy key generating device that generates a second public key used for a signature,
Discrete logarithm problem generated by generating a second public key of a participating device not cooperating with at least one signature generation using a second public key of another participating device and used when generating the public key and public key A dummy key generator with a computing unit that reveals the elements of difficult cyclic groups. 請求項8記載のダミー鍵生成装置であって、
n台の参加装置がある場合に、署名生成に協力していない任意の1つの参加装置に対応するダミー公開鍵pkを、その他の参加装置の第2の公開鍵pk(i=1,…,n−1)と離散対数問題が難しい巡回群に属する元xから、
pk=x/pkpk…pkn−1
と定める上記計算部
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 8, wherein
When there are n participating devices, the dummy public key pk n corresponding to any one participating device not cooperating with signature generation is used as the second public key pk i (i = 1, 1) of the other participating devices. ..., n-1) and the element x belonging to the cyclic group where the discrete logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
A dummy key generation device comprising the calculation unit as defined above. 請求項8記載のダミー鍵生成装置であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
署名生成に協力していない任意の(n−t’)の参加装置に対応するダミー公開鍵pk(i=t'+1,…,n)を、その他の参加装置の第2の公開鍵pk(i=1,…,t')と離散対数問題が難しい巡回群に属する元Aから、(mij)を、
Figure 2006203754
 のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 2006203754
 と定め、
Figure 2006203754
 として生成する上記計算部
を備えるダミー鍵生成装置。 The dummy key generation device according to claim 8, wherein
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
A dummy public key pk i (i = t ′ + 1,..., N) corresponding to an arbitrary (nt−t ′) participating device not cooperating with signature generation is used as the second public key pk of the other participating devices. From i (i = 1,..., t ′) and the element A 0 belonging to the cyclic group in which the discrete logarithm problem is difficult, (m ij )
Figure 2006203754
 A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 2006203754
 And
Figure 2006203754
 A dummy key generation device comprising the calculation unit generated as described above. 閾値つき電子署名システムの構成装置として電子署名を検証する署名検証装置であって、
参加装置が公開する署名者証拠を取得する情報取得部と、
署名者証拠を確認する署名者証拠確認部と、
を備える署名検証装置。 A signature verification device that verifies an electronic signature as a component of an electronic signature system with a threshold,
An information acquisition unit for acquiring signer evidence disclosed by the participating devices;
A signer evidence confirmation unit for confirming the signer evidence;
A signature verification apparatus comprising: 請求項11記載の署名検証装置であって、
参加装置間の公開鍵の関係から署名者参加者数を確認する署名者参加者数確認部、
を備える署名検証装置。 The signature verification device according to claim 11,
Signer participant number confirmation unit for confirming the number of signer participants from the relationship of public keys between participating devices,
A signature verification apparatus comprising: 請求項12記載の署名検証装置であって、
n台の参加装置がある場合に、参加装置の公開鍵pk(i=1,…,n)と離散対数問題が難しい巡回群の元xから、
pkpk…pk=x
となることを確認する署名者参加者数確認部
を備える署名検証装置。 The signature verification device according to claim 12,
When there are n participating devices, the public key pk i (i = 1,..., n) of the participating device and the element x of the cyclic group where the discrete logarithm problem is difficult,
pk 1 pk 2 ... pk n = x
A signature verification apparatus comprising a signer participant number confirmation unit for confirming that 請求項12記載の署名検証装置であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
参加装置の公開鍵pk(i=1,…,n)と離散対数問題が難しい巡回群の元A(i=0,…,t')から、
Figure 2006203754
 となることを確認する署名者参加者数確認部
を備える署名検証装置。 The signature verification device according to claim 12,
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
From the participating device's public key pk i (i = 1,..., N) and the cyclic group element A i (i = 0,..., T ′) where the discrete logarithm problem is difficult.
Figure 2006203754
 A signature verification apparatus comprising a signer participant number confirmation unit for confirming that 請求項11〜14のいずれかに記載の署名検証装置であって、
参加者装置ごとの第1の公開鍵、第2の公開鍵を取得する上記情報取得部と、
第1の署名および第2の署名の確認を行う署名確認部
を備える署名検証装置。 The signature verification apparatus according to any one of claims 11 to 14,
The information acquisition unit for acquiring a first public key and a second public key for each participant device;
A signature verification apparatus comprising: a signature confirmation unit that confirms the first signature and the second signature. 請求項11記載の署名検証装置であって、
参加装置が公開する第1の公開鍵と鍵生成に使用した離散対数問題の難しい巡回群の元、および第2の秘密鍵生成に使用した離散対数問題の難しい巡回群の元を取得する上記情報取得部と、
第2の秘密鍵生成時に使用した元を確認する元確認部と、
チャレンジと多項式とを確認する上記チャレンジ・多項式確認部と、
を備える署名検証装置。 The signature verification device according to claim 11,
The above-mentioned information for acquiring the first public key published by the participating device and the element of the cyclic group that is difficult for the discrete logarithm problem used for key generation and the element of the cyclic group that is difficult for the discrete logarithm problem used for the second secret key generation An acquisition unit;
An original confirmation unit for confirming the original used when generating the second secret key;
The above challenge / polynomial confirmation unit for confirming the challenge and polynomial,
A signature verification apparatus comprising: 閾値つき電子署名システムの構成装置として電子署名を生成する署名生成装置であって、
閾値つき電子署名システムを構成する参加装置ごとの第1の公開鍵と第2の公開鍵、および公開鍵生成時に使用した離散対数問題の難しい巡回群の元を取得する情報取得部と、
第1の署名と第2の署名とを生成し、第1の署名と第2の署名とを公開する計算部と、
を備える署名生成装置。 A signature generation device that generates an electronic signature as a constituent device of an electronic signature system with a threshold,
An information acquisition unit that acquires a first public key and a second public key for each participating device constituting the thresholded electronic signature system, and an element of a cyclic group that is difficult to use in the discrete logarithm problem used when generating the public key;
A calculation unit that generates a first signature and a second signature and publishes the first signature and the second signature;
A signature generation apparatus comprising: 2つの秘密鍵を用いる閾値つき電子署名システムの構成装置として電子署名を生成する署名生成装置であって、
第1の秘密鍵に関連付けられた第2の秘密鍵を用いた署名を生成する計算部
を備える署名生成装置。 A signature generation device that generates an electronic signature as a constituent device of a thresholded electronic signature system using two secret keys,
A signature generation apparatus comprising: a calculation unit that generates a signature using a second secret key associated with a first secret key. 請求項18記載の署名生成装置であって、
全参加装置の第1の公開鍵PK(i=1,…,n)、第1の鍵生成と第2の鍵生成で使用された離散対数問題の難しい加法による巡回群の元Pと元Qを用いて、
離散対数問題の難しい加法による巡回群から等確率ランダムに選ばれた元をダミーレスポンスeとし、
有限体の座標値をpを法とする剰余類Zに変換するハッシュ関数Iを用いて、有限体の座標値yから、c=I(y)によりダミーチャレンジcを求め、
Figure 2006203754
 によりダミーコミットメントaを生成するダミー生成部
を備える署名生成装置。 The signature generation device according to claim 18, wherein
The first public key PK i (i = 1,..., N) of all the participating devices, the elements P and elements of the cyclic group by the difficult addition of the discrete logarithm problem used in the first key generation and the second key generation Using Q m
A dummy response e i is an element selected at random with equal probability from a cyclic group by a difficult addition of the discrete logarithm problem,
Using a hash function I for converting the coordinate values of the finite field in residue class Z p modulo p, from the coordinate value y i of the finite field, obtains a dummy challenge c i by c i = I (y i),
Figure 2006203754
 A signature generation device comprising: a dummy generation unit that generates a dummy commitment a i . 閾値つき電子署名方法であって、
あらかじめ参加装置の記録部で、署名者証拠を記録しておき、
上記参加装置の署名者証拠公開部で、上記署名者証拠を公開し、
署名検証装置で、上記署名者証拠を確認する
ことを特徴とする閾値つき電子署名方法。 A digital signature method with a threshold,
Record the signer's evidence in the recording unit of the participating device beforehand,
In the signer proof disclosure section of the participating device, publish the signer proof,
An electronic signature method with a threshold, characterized in that the signer evidence is confirmed by a signature verification device. 請求項20記載の閾値つき電子署名方法であって、
ダミー鍵生成装置の計算部で、少なくとも1つの署名生成に協力していない参加装置の鍵生成部の代わりに公開鍵を生成し、当該公開鍵および当該ダミー鍵生成装置が使用した離散対数問題の難しい巡回群の元を公開し、
署名生成装置で、上記ダミー鍵生成装置が生成した公開鍵も用いて電子署名を生成し、
上記署名検証装置の署名者参加者数確認部で、参加装置間の公開鍵の関係から署名者参加者数を確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 20,
The calculation unit of the dummy key generation device generates a public key instead of the key generation unit of the participating device that is not cooperating with at least one signature generation, and solves the discrete logarithm problem used by the public key and the dummy key generation device. To reveal the source of difficult traveling groups,
The signature generation device generates an electronic signature using the public key generated by the dummy key generation device,
An electronic signature method with a threshold, characterized in that the number of signer participants in the signature verification device confirms the number of signer participants from the public key relationship between the participating devices. 請求項21記載の閾値つき電子署名方法であって、
n台の参加装置がある場合に、上記ダミー鍵生成装置の計算部で、署名生成に協力していない1つの参加装置の公開鍵pkを、その他の参加装置の公開鍵pk(i=1,…,n−1)と離散対数問題が難しい巡回群の元xから、
pk=x/pkpk…pkn−1
と定め、
上記署名検証装置の署名者参加者数確認部で、公開鍵pk(i=1,…,n)と離散対数問題が難しい巡回群の元xから、
pkpk…pk=x
となることを確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 21, comprising:
When there are n participating devices, the calculation unit of the dummy key generating device uses the public key pk n of one participating device not cooperating with signature generation as the public key pk i (i = 1, ..., n-1) and the element x of the cyclic group where the discrete logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
And
In the signer participant number confirmation unit of the signature verification device, from the public key pk i (i = 1,..., N) and the element x of the cyclic group in which the discrete logarithm problem is difficult,
pk 1 pk 2 ... pk n = x
A digital signature method with a threshold value characterized by confirming that 請求項21記載の閾値つき電子署名方法であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
上記ダミー鍵生成装置の計算部で、署名生成に協力していない(n−t’)の参加装置の公開鍵pk(i=t'+1,…,n)を、その他の参加装置の公開鍵pk(i=1,…,t')および離散対数問題が難しい巡回群の元Aから、(mij)を、
Figure 2006203754
 のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 2006203754
 と定め、
Figure 2006203754
 として生成し、
上記署名検証装置の署名者参加者数確認部で、参加装置に対応する公開鍵pk(i=1,…,n)と離散対数問題が難しい巡回群に属する元A(i=0,…,t')から、
Figure 2006203754
 となることを確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 21, comprising:
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
The public key pk i (i = t ′ + 1,..., N) of (nt−t ′) participating devices that are not cooperating with signature generation in the calculation unit of the dummy key generating device is disclosed to other participating devices. From the key pk i (i = 1,..., T ′) and the element A 0 of the cyclic group in which the discrete logarithm problem is difficult, (m ij )
Figure 2006203754
 A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 2006203754
 And
Figure 2006203754
 Produces as
In the signer participant number confirmation unit of the signature verification device, the public key pk i (i = 1,..., N) corresponding to the participating device and the element A i (i = 0, n) belonging to the cyclic group in which the discrete logarithm problem is difficult. ..., t ')
Figure 2006203754
 A digital signature method with a threshold value characterized by confirming that 請求項20記載の閾値つき電子署名方法であって、
上記参加装置の第1の鍵生成部で、第1の秘密鍵と公開鍵とを生成し、
上記参加装置の第2の鍵生成部で、署名生成に用いる第2の秘密鍵と公開鍵とを生成し、
ダミー鍵生成装置の計算部で、少なくとも1つの署名生成に協力していない参加装置の第2の公開鍵を生成し、
上記署名生成装置の計算部で、第1の署名と第2の署名とを生成し、
上記署名検証装置の署名確認部で、第1の署名および第2の署名の確認を行い、
上記署名検証装置の署名者参加者数確認部で、参加装置間の公開鍵の関係から署名者参加者数を確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 20,
The first key generation unit of the participating device generates a first secret key and a public key,
The second key generation unit of the participating device generates a second secret key and a public key used for signature generation,
Generating a second public key of a participating device not cooperating with at least one signature generation in the calculation unit of the dummy key generation device;
The calculation unit of the signature generation device generates a first signature and a second signature,
The signature verification unit of the signature verification apparatus confirms the first signature and the second signature,
An electronic signature method with a threshold, characterized in that the number of signer participants in the signature verification device confirms the number of signer participants from the public key relationship between the participating devices. 請求項24記載の閾値つき電子署名方法であって、
n台の参加装置がある場合に、上記ダミー鍵生成装置の計算部で、署名生成に協力していない1つの参加装置の公開鍵pkを、その他の参加装置の第2の公開鍵pk(i=1,…,n−1)と離散対数問題が難しい巡回群の元xから、
pk=x/pkpk…pkn−1
と定め、
上記署名検証装置の署名者参加者数確認部で、第2の公開鍵pk(i=1,…,n)と離散対数問題が難しい巡回群の元xから、
pkpk…pk=x
となることを確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 24,
When there are n participating devices, the calculation unit of the dummy key generating device uses the public key pk n of one participating device not cooperating with signature generation as the second public key pk i of the other participating devices. (I = 1,..., N−1) and the element x of the cyclic group where the discrete logarithm problem is difficult,
pk n = x / pk 1 pk 2 ... pk n−1
And
In the signer participant number confirmation unit of the signature verification device, from the second public key pk i (i = 1,..., N) and the element x of the cyclic group in which the discrete logarithm problem is difficult,
pk 1 pk 2 ... pk n = x
A digital signature method with a threshold value characterized by confirming that 請求項24記載の閾値つき電子署名方法であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、t≦t’≦nの関係があるときに、
上記ダミー鍵生成装置の計算部で、署名生成に協力していない(n−t’)の参加装置の公開鍵pk(i=t'+1,…,n)を、その他の参加装置の第2の公開鍵pk(i=1,…,t')および離散対数問題が難しい巡回群の元Aから、(mij)を、
Figure 2006203754
 のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 2006203754
 と定め、
Figure 2006203754
 として生成し、
上記署名検証装置の署名者参加者数確認部で、参加装置に対応する第2の公開鍵pk(i=1,…,n)と離散対数問題が難しい巡回群に属する元A(i=0,…,t')から、
Figure 2006203754
 となることを確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 24,
When there are n participating devices, and any t participating devices cooperate with the signature, and there is a relationship of t ≦ t ′ ≦ n,
In the calculation unit of the dummy key generation device, the public key pk i (i = t ′ + 1,..., N) of the (nt−t ′) participating device not cooperating with the signature generation is used as the number of the other participating device. (M ij ) from two public keys pk i (i = 1,..., T ′) and a cyclic group element A 0 in which the discrete logarithm problem is difficult.
Figure 2006203754
 A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 2006203754
 And
Figure 2006203754
 Produces as
In the signer participant number confirmation unit of the signature verification device, the second public key pk i (i = 1,..., N) corresponding to the participating device and the element A i (i belonging to the cyclic group where the discrete logarithm problem is difficult. = 0, ..., t ')
Figure 2006203754
 A digital signature method with a threshold value characterized by confirming that 請求項20記載の閾値つき電子署名方法であって、
上記参加装置の第1の鍵生成部で、第1の秘密鍵と公開鍵とを生成し、
上記参加装置の第2の鍵生成部で、第1の秘密鍵から署名生成に用いる第2の秘密鍵を生成し、
上記署名生成装置の計算部で、第2の秘密鍵を用いた署名を生成し、
上記署名検証装置で、上記署名を確認する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 20,
The first key generation unit of the participating device generates a first secret key and a public key,
The second key generation unit of the participating device generates a second secret key used for signature generation from the first secret key,
The calculation unit of the signature generation device generates a signature using the second secret key,
An electronic signature method with a threshold, wherein the signature is verified by the signature verification device. 請求項27記載の閾値つき電子署名方法であって、
n台の参加装置があり、任意のt台の参加装置が署名に協力した場合であって、
上記参加装置の第2の鍵生成部で、上記閾値つき電子署名システムを構成する参加装置の第1の公開鍵PK(i=1,…,n)とメッセージmから、任意長のビット列を離散対数問題の難しい加法による巡回群の元に変換するハッシュ関数Hを用いて
=H(t,n,PK,…,PK,m)
とし、参加装置の第1の秘密鍵SKを用いて、
sk=SK
として第2の秘密鍵skを生成し、
上記参加装置の署名者証拠生成部では、pを法とする剰余類Zから等確率でランダムに選択した1つの元を署名者証拠rとし、第1の鍵生成部で使用した離散対数問題の難しい加法による巡回群の元Pを用いて、
Figure 2006203754
 によりコミットメントaを生成し、
上記署名生成装置のダミー生成部では、離散対数問題の難しい加法による巡回群から等確率ランダムに選ばれた元をダミーレスポンスeとし、
有限体の座標値をpを法とする剰余類Zに変換するハッシュ関数Iを用いて、有限体の座標値yから、c=I(y)によりダミーチャレンジcを求め、
Figure 2006203754
 によりダミーコミットメントaを生成する
ことを特徴とする閾値つき電子署名方法。 The thresholded electronic signature method according to claim 27,
There are n participating devices, and any t participating devices cooperated in the signature,
In the second key generation unit of the participating device, a bit string of an arbitrary length is obtained from the first public key PK i (i = 1,..., N) of the participating device that constitutes the thresholded digital signature system and the message m. Q m = H (t, n, PK 1 ,..., PK n , m) using a hash function H that transforms into an element of a cyclic group by addition, which is difficult for the discrete logarithm problem
And using the first secret key SK i of the participating device,
sk i = SK i Q m
As a second secret key sk i
The signatory proof generating unit of the participating device, the one based on randomly selected with equal probability from residue class Z p modulo p and signer evidence r i, discrete logarithm used in the first key generating portion Using the element P of the cyclic group by the difficult addition,
Figure 2006203754
 Produces a commitment a i
In the dummy generation unit of the signature generation device, an element selected at random with equal probability from a cyclic group by addition in which the discrete logarithm problem is difficult is set as a dummy response e i .
Using a hash function I for converting the coordinate values of the finite field in residue class Z p modulo p, from the coordinate value y i of the finite field, obtains a dummy challenge c i by c i = I (y i),
Figure 2006203754
 A digital signature method with a threshold value, characterized in that a dummy commitment a i is generated by: 請求項1〜19のいずれかに記載の装置をコンピュータにより実現するプログラム。   The program which implement | achieves the apparatus in any one of Claims 1-19 with a computer.
JP2005015336A 2005-01-24 2005-01-24 Signature system, signing method Active JP4738003B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005015336A JP4738003B2 (en) 2005-01-24 2005-01-24 Signature system, signing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005015336A JP4738003B2 (en) 2005-01-24 2005-01-24 Signature system, signing method

Publications (2)

Publication Number Publication Date
JP2006203754A true JP2006203754A (en) 2006-08-03
JP4738003B2 JP4738003B2 (en) 2011-08-03

Family

ID=36961332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005015336A Active JP4738003B2 (en) 2005-01-24 2005-01-24 Signature system, signing method

Country Status (1)

Country Link
JP (1) JP4738003B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007318745A (en) * 2006-04-27 2007-12-06 Matsushita Electric Ind Co Ltd Content distribution system
WO2015118160A1 (en) * 2014-02-10 2015-08-13 Thomson Licensing Signing methods for delivering partial signatures, and/or threshold signatures, corresponding verification methods, and corresponding electronic devices
JP2016001263A (en) * 2014-06-12 2016-01-07 日本電信電話株式会社 Partial throwaway signature system and method, signature device, verification device, and program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3788530A4 (en) 2018-05-04 2022-01-19 Crypto4A Technologies Inc. Digital data comparison filter, system and method, and applications therefor

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001142397A (en) * 1998-10-30 2001-05-25 Hitachi Ltd Digital signature method, method and system for managing secret information
JP2002175009A (en) * 2000-12-07 2002-06-21 Hitachi Ltd Method for generating digital signature, and method for verifying digital signature
JP2003218858A (en) * 2002-01-25 2003-07-31 Nippon Telegr & Teleph Corp <Ntt> Signature generation method and signature verification method, signature-generating apparatus and signature- verifying apparatus, signature generation program and signature verification program, and storage medium for storing signature generation program and storage medium for storing signature verification program
JP2004312512A (en) * 2003-04-09 2004-11-04 Nippon Telegr & Teleph Corp <Ntt> Anonymity signature device, signature verification device, anonymity signature method, anonymity signature program, and signature verification program
JP2005184134A (en) * 2003-12-16 2005-07-07 Murata Mach Ltd Electronic signature method, program, and device thereof
JP2006101225A (en) * 2004-09-29 2006-04-13 Toshiba Corp Signature request device, signature system, signature request method, and signature request program
JP2006203660A (en) * 2005-01-21 2006-08-03 Toshiba Corp Device method and program for forming digital signature information

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001142397A (en) * 1998-10-30 2001-05-25 Hitachi Ltd Digital signature method, method and system for managing secret information
JP2002175009A (en) * 2000-12-07 2002-06-21 Hitachi Ltd Method for generating digital signature, and method for verifying digital signature
JP2003218858A (en) * 2002-01-25 2003-07-31 Nippon Telegr & Teleph Corp <Ntt> Signature generation method and signature verification method, signature-generating apparatus and signature- verifying apparatus, signature generation program and signature verification program, and storage medium for storing signature generation program and storage medium for storing signature verification program
JP2004312512A (en) * 2003-04-09 2004-11-04 Nippon Telegr & Teleph Corp <Ntt> Anonymity signature device, signature verification device, anonymity signature method, anonymity signature program, and signature verification program
JP2005184134A (en) * 2003-12-16 2005-07-07 Murata Mach Ltd Electronic signature method, program, and device thereof
JP2006101225A (en) * 2004-09-29 2006-04-13 Toshiba Corp Signature request device, signature system, signature request method, and signature request program
JP2006203660A (en) * 2005-01-21 2006-08-03 Toshiba Corp Device method and program for forming digital signature information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6010030148, 藤崎英一郎、鈴木幸太郎, "Just t−out−of−n Signature", 2005年暗号と情報セキュリティシンポジウム(SCIS2005)予稿集, 20050125, 3E4−4, 電子情報通信学会 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007318745A (en) * 2006-04-27 2007-12-06 Matsushita Electric Ind Co Ltd Content distribution system
WO2015118160A1 (en) * 2014-02-10 2015-08-13 Thomson Licensing Signing methods for delivering partial signatures, and/or threshold signatures, corresponding verification methods, and corresponding electronic devices
JP2016001263A (en) * 2014-06-12 2016-01-07 日本電信電話株式会社 Partial throwaway signature system and method, signature device, verification device, and program

Also Published As

Publication number Publication date
JP4738003B2 (en) 2011-08-03

Similar Documents

Publication Publication Date Title
CN102201920B (en) Method for constructing certificateless public key cryptography
JP5419056B2 (en) Encrypting Cartier Pairing
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
KR101425552B1 (en) Group signature system and schemes with controllable linkability
US9698984B2 (en) Re-encrypted data verification program, re-encryption apparatus and re-encryption system
US9438589B2 (en) Binding a digital file to a person&#39;s identity using biometrics
US10263773B2 (en) Method for updating a public key
CN114070556A (en) Threshold ring signature method and device, electronic equipment and readable storage medium
JP4738003B2 (en) Signature system, signing method
CN111130758B (en) Lightweight anonymous authentication method suitable for resource-constrained equipment
CN114257366B (en) Information homomorphic processing method, device, equipment and computer readable storage medium
WO2008026345A1 (en) Electronic signature system and electronic signature verifying method
JP4771053B2 (en) Integrated shuffle validity proving device, proof integrating device, integrated shuffle validity verifying device, and mixed net system
CN105939198B (en) The location-based digital signature method under time-constrain
WO2010013699A1 (en) Signature system
JP6592851B2 (en) Anonymous broadcast method, key exchange method, anonymous broadcast system, key exchange system, communication device, program
CN107682158A (en) It is a kind of can trustship authentication encryption method
JP2012103655A (en) Digital signature system with quantum computer-resistant property
CN115580408A (en) SM 9-based certificateless signature generation method and system
EP3917076A1 (en) A zero knowledge proof method for content engagement
JP6634171B2 (en) Apparatus, method and program for certifying public key reliability
JP2009224997A (en) Signature system, signature method, certifying apparatus, verifying apparatus, certifying method, verifying method, and program
JP4533636B2 (en) Digital signature system, digital signature management apparatus, digital signature management method and program
JP5331028B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
CN111082932A (en) Anti-repudiation identification private key generation and digital signature method, system and device

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20061225

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110419

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110426

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4738003

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250