JP3338088B2 - 電子署名装置及び電子署名システム - Google Patents

電子署名装置及び電子署名システム

Info

Publication number
JP3338088B2
JP3338088B2 JP24185992A JP24185992A JP3338088B2 JP 3338088 B2 JP3338088 B2 JP 3338088B2 JP 24185992 A JP24185992 A JP 24185992A JP 24185992 A JP24185992 A JP 24185992A JP 3338088 B2 JP3338088 B2 JP 3338088B2
Authority
JP
Japan
Prior art keywords
integer
station
signature
random number
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP24185992A
Other languages
English (en)
Other versions
JPH0695590A (ja
Inventor
淳 新保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP24185992A priority Critical patent/JP3338088B2/ja
Publication of JPH0695590A publication Critical patent/JPH0695590A/ja
Application granted granted Critical
Publication of JP3338088B2 publication Critical patent/JP3338088B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、電子的な文書に対する
署名、捺印機能を実現する電子署名装置及び電子署名
ステムに関する。
【0002】
【従来の技術】電子署名(ディジタル署名)の作成法と
して様々な方法が考案されている。この中で代表的なも
のはRSA(Rivest-Shamir-Adleman )方式とElGamal
方式である。
【0003】RSA方式は素数p,qの積からなる合成
数nを法とする代数系で構成される方式であり、署名作
成者の秘密情報はこれらの素数p,qと(2)式を満た
す整数dであり、署名作成者の公開情報はnと(2)式
のeである。
【0004】e・d=l mod L 但し、L=lcm(p-
1,q-1)…(2) 文書Mに対する電子署名(ディジタル署名)Sは次式で
作成される。
【0005】 S=Md mod n …(3) 署名検査は、S,Mが次式の関係を満たすことを確認す
ることで行なわれる。 M=Se mod n …(4) nの素因数p,qが計算できれば(2)式を満たすdを
求めることは容易である。逆にnの素因数分解を求めず
にdを求める方法は現在発見されていない。このような
状況からRSA方式の安全性は素因数分解に基づいてい
ると考えられている。素因数分解を困難にするために
は、nのサイズは512bit 以上が必要であると考えら
れている。nのサイズを仮に512bit とすると、署名
Sのサイズも512bit となる。
【0006】一方、ElGamal 方式は、素数pを法とする
代数系で構成され、署名作成者の秘密情報はp−1以下
の整数であり、署名作成者の公開情報は素数p,GF
(p)の原始元g、次式のyである。
【0007】 y=gx mod p …(5) 文書Mに対するディジタル署名は以下の手順により作成
される。まず、1からp−1までの間から(p−1)と
互いに素である乱数kを決定し、このkから次式のrを
求める。
【0008】 r=gk mod p …(6) 次に、次式のsを求める。
【0009】 s=k-1・(M−x・r) mod (p−1)…(7) 但し、k-1は法(p−1)でのkの逆元であり、ユーク
リッドの互除法により計算できる。署名データは(r,
s)のペアである。署名の検査は、M,r,sが次式を
満たすことを検査することによって行なわれる。
【0010】 gM =yr ・rs mod p …(8) ElGamal 方式においては、(5)式の公開情報yからx
を求めること(離散対数問題)ができれば署名データの
作成は容易に行えるが、それ以外に(8)式を満たす
(r,s)のペアを求める方法は発見されていない。こ
のような状況からElGamal 方式の安全性は離散対数問題
に基づいていると考えられている。ElGamal 方式におい
て離散対数問題を困難にするために必要なpのサイズは
512bit以上であると考えられている。仮にpのサイ
ズを512bit とすると、署名データ(r,s)のサイ
ズは1024bit である。このようにElGamal 方式の署
名サイズはRSA方式の2倍であるが、ElGamal 方式の
署名サイズを少なく抑える方式に米国NISTの提案し
ているDSA(Digital Signature Algorithm )があ
る。DSAによる署名サイズは320bit である。
【0011】ElGamal 方式は、“T.ElGamal ,“A publ
ic key cryptosystem and a signature scheme based o
n discrete logarithms ”,IEEE Trans . IT,Vol.IT
−31,NO.4,July 1985,pp.469−47
2”に詳しい。
【0012】以上の電子署名方法により一般の電子文書
に対する捺印機能を実現することができるが、さらに、
電子的な回覧文書に対する複数の署名者による捺印機能
も要望される。このような機能は複数の署名者による同
一の文書に対する署名データを連結することで構成でき
る。しかし、このような構成では署名者数に比例して署
名データが増加する欠点がある。署名データ量が署名者
数に依存しない方法、あるいは、単純に連結する場合に
比べて署名データの増加が少なく抑えられる方法が考案
されており、これらは多重署名法と呼ばれている。
【0013】従来RSA方式に対する多重署名法は幾つ
か考案されているが、ElGamal 方式に対する多重署名方
法は提案されていない。RSA方式に対する多重署名法
の一方式としては、例えば“T.Okamoto ,“A Digital
Multisignature scheme using bijective public-key c
ryptosystems”,ACM Trans .Computer Systems,Vol.
6,NO.8,Nov.1988,pp.432−441”に提
案されている方法が挙げられる。
【0014】
【発明が解決しようとする課題】以上述べてきたよう
に、従来においては、離散対数問題の困難性に基づくデ
ィジタル署名方法の代表であるElGamal 署名方式に基づ
く多重署名方法は示されていない。
【0015】この発明はこのような従来の課題を解決す
るためになされたもので、その目的とするところは、El
Gamal 署名方式を変形し多重署名を容易に構成できる電
子署名装置及び電子署名システムを提供することにあ
る。
【0016】
【課題を解決するための手段】上記目的を達成するた
め、本願第1の発明は、電子文書Mの電子署名データ
r、sを生成する電子署名データ作成装置であって、乱
数kを生成する乱数発生器と、秘密整数xを記憶する秘
密情報メモリと、前記乱数発生器からの前記乱数kに依
存する整数rと、前記乱数発生器からの前記乱数kと前
記秘密情報メモリからの前記秘密整数とに依存する整数
sとを求める演算器と、を備え、前記演算器で生成され
る前記整数r及び前記整数sは、公開された整数gと、
公開された素数pを法として整数gを整数xでべき乗し
結果としての公開整数yと、前記Mとrとsとに基づ
いて得られる関係式a=yb・rc modp(但し、a≠Mであり、a,b,cはM,r,sの組か
らそれぞれ割り当てたもの)を満足するよう求めること
を特徴とする。
【0017】また、本願第2の発明では、請求項1記載
の電子署名装置において、電子文書M’の電子署名デー
タr’、s’が正しいか否かを判定するために、公開さ
れた整数g’と、公開された素数p’を法として整数
g’を整数x’でべき乗した結果としての整数y’と、
前記M’とr’とs’とに基づいて得られる関係式 g’ a’ =y’ b’ ・r’ c’ modp’ (但し、a’≠M’であり、a’,b’,c’はM’,
r’,s’の組からそれぞれ割り当てたもの)を満足す
るか否かを判定する判定手段を備えることを特徴とす
る。
【0018】本願第3の発明は、電子文書Mに対し、n
個の局が電子署名し電子署名データr,sを生成する電
子署名システムにおいて、第iの局(i=1,2,・・
・,n)に対し、秘密整数xiと、公開された素数pを
法として公開された整数gを前記秘密整数xiでべき乗
した結果としての公開整数yiとが対応付けられてお
り、個々の第i局それぞれは、乱数kiを生成する乱数
発生器と、秘密整数xiを記憶する秘密情報メモリと、
前記乱数発生器からの前記乱数kiとri-1に依存する整
数ri(但し、r0=1)と、前記乱数発生器からの前記
乱数kiと前記秘密情報メモリからの前記秘密整数xiと
si-1に依存する整数si(但し、s0=0)とを求める
演算器と、を備え、局iから局i+1に整数データr
i、siを送信し、第n局において、全てのki、xiに依
存する署名データr、sを求め、前記演算器で生成され
る前記整数r及び前記整数sは、前記g,yi,M,
r,sに基づいて得られる関係式 a =(y1・y2・…・yn) b ・r c modp (但し、a≠Mであり、a,b,cはM,r,sの組か
らそれぞれ割り当てたもの)を満足するよう求めること
を特徴とする。本願第4の発明は、請求項3に記載の電
子署名システムにおいて、電子文書M’の電子署名デー
タr’,s’,が正しいか否かを判定するために、第i
の局(i=1,2,…,n)に対し、秘密整数xiと、
公開された素数pを法として公開された整数g’を前記
秘密整数xiでべき乗した結果としての公開整数yiとが
対応付けられており、前記M’とr’とs’とに基づい
て得られる関係式 g’ a’ =(y1・y2・…・yn) b’ ・r’ c’ mo
dp’ (但し、a’≠M’であり、a’、b’、c’はM’,
r’,s’の組からそれぞれ割り当てられたもの)を満
足するか否かを判定する判定手段を備えることを特徴と
する。
【0019】
【作用】上述の如く構成された本願第1、第の発明は
ElGamal方式を変形した電子署名装置、及びシステム
ある。ElGamal方式との相違点は、署名検査式における
文書データMと署名データr,sの指数部の位置を入れ
替えたことにある。このように変形しても公開情報yに
対する秘密情報xを保持する署名者は検査式を満たす署
名データr,sを作成できる。一方、秘密情報xを保持
しない場合に署名データr,sを求めることは、ElGama
l方式と同様に離散対数問題を求める以外の方法は考案
されていない。従って、電子署名方式として有効であ
る。
【0020】本願第2、第4の発明は、本願第1、第3
の発明の電子署名装置、及びシステムを多重署名方式と
して適用する。複数の署名者がそれぞれ乱数kを作成
し、各々の乱数kに依存したrを最初にデータを一巡さ
せることで作成する。その後、各々の署名者が自身の作
成した乱数kと秘密情報xから部分署名sを作成し、こ
れを巡回する。sの巡回においては、それ以前の署名者
による部分署名を融合させる。こうして最後の署名者の
処理により多重署名データr,sが作成される。なお、
r,sの作成を一巡の処理により実現することもでき
る。
【0021】署名検査における検査式は本願第1の発明
における検査式の公開情報yを複数の署名作成者の個々
の公開情報yi の積に置き換えたものであり、個々の公
開情報yi に対応する秘密情報xi を保持する複数の署
名者により作成されたr,sは検査式を満たす。しか
し、秘密情報xi が一つでも関与しない場合には、検査
式を満たすr,sは得られない。従って、複数の署名者
による電子署名方法として有効である。
【0022】
【実施例】以下、図面を参照しながら本発明の実施例を
説明する。まず、図8のシステム構成図を参照して、シ
ステムの基本構成を説明する。図8に示すように、本シ
ステムはセンタと利用者に対応する複数の局から成る通
信ネットワークにより構成される。センタは512bit
以上の大きさの素数pを生成し、公開する。また、有限
体GF(p)の原始元gを求め、公開する。ただし一般
には、gは原始元でなくとも位数の大きな元であればよ
い。各局Ui は1からp−1までの範囲の乱数xi を定
め、xi を局秘密情報とする。さらに、局公開情報yi
を次式により定める。
【0023】yi =gxi mod p 局Ui はyi をセンタに送り、センタは公開リストの局
i のエリアにyi を登録する。公開リストの書き換え
はセンタのみが実行でき、同リストの読み出しは任意の
局が実行できる。なお、局Ui のID情報(識別情報)
をIi とする。まず、図1(a)を参照しながら、局U
i が電子文書(データ)Mに対するディジタル署名を生
成する手順を説明する。
【0024】<局Ui の手順> 1:以下の条件を満たす乱数kを定める。…(ステップ
101) gcd(k,p−1)=1かつ1<k<p−1 2:r=gk mod p を計算する。…(ステップ10
2) 3:M,r,kと秘密情報xi からs=xi ・r+k・
M mod ( p−1)を計算する。…(ステップ103) 以上により作成されたrとsが局Ui のMに対するディ
ジタル署名となる。
【0025】この署名作成手続きにおいてステップ10
1と102は、平文Mに依存しないためディジタル署名
作成の要求が生じる前に計算し、(k,r)のペアとし
て幾つか蓄積しておくことができる。このようにする
と、署名作成要求時の処理はステップ103のみとな
り、処理時間面で有効である。
【0026】次に図1(b)を参照しながら、本ディジ
タル署名の検査手順を説明する。
【0027】<署名検査手順> 1:公開リストから局Ui の公開情報yi を取り出す。
…(ステップ104) 2:r,s,M,yi が以下の2つの関係を満たすこと
を確認する。…(ステップ105) gs =yi r ・rM mod p r≠p−1 この関係が成立する場合には、(r,s)は局Ui のM
に対するディジタル署名であるものと判定する。なお、
第2の関係式r≠p−1の検査が必要な理由は以下の通
りである。
【0028】r=p−1とし、Mが偶数の場合にはs=
0(mod p−1)とし、Mが奇数の場合にはs=(p−
1)/2(mod p−1)とすると、(r,s)はステッ
プ105の第1の関係式を満たす。このことは、yi
対応する秘密情報xi を知り得ない第三者が任意の平文
Mに対応する署名を作成できることを意味する。従っ
て、r≠p−1の検査が必須となる。
【0029】ステップ101から103の手順により生
成された(r,s)がステップ105の検査式を満足す
ることは明らかである。逆に平文Mが与えられた状態
で、yi の離散対数xi を持たない局がステップ105
の検査式を満たす(r,s)の組を求めることは離散対
数問題を求めることを同等に困難であると考えられる。
例えば、最初にrを定めるとgs =const mod p なるs
を求めることになり、これは離散対数問題に他ならな
い。一方、sを先に決定するとyi r ・rM =const mo
d p なるrを求めることになり、この解法もr=p−1
の場合以外は知られていない。なお、平文Mが特定され
ない場合には、xi を持たない場合にも検査式を満たす
(r,s)を生成できることには注意を要する。例え
ば、次のようにする。r=yi a ・gb mod p として
検査式に代入すると、 aM+r=0 mod (p−1) bM=s mod (p−1) なる式が得られる。そこで、まず(a,b)を任意に定
めてrを決定し、次にMを第1の関係式から定め、最後
にsを第2の関係式から定めると検査式を満たす(r,
s)を生成できることが分かる。但し、このような性質
はElGamal 方式やRSA方式にも存在する。そこでMに
対してそのまま署名する代わりに一方向性の圧縮関数
(ハッシュ関数)による変換結果h(M)に対して署名
することが考えられる。このようにすると、一方向性関
数を攻撃できない限り、先に示した手順では(r,s)
のペアを生成できなくなる。
【0030】また、関数f(定義域:Zp-1 ={0,
1,2,……,p−2},値域:128bit 程度の整
数)を用いて次のように署名手順を変更してもよい。
【0031】<局Ui の手順> 1,2:変更なし。
【0032】3:s=xi ・f(r)+k・M mod
(p−1)を計算する。
【0033】<署名検査手順> 1:変更なし。
【0034】2:r,s,M,yi が次式の関係を満た
すことを確認する。
【0035】gs =yi f(r)・rM mod p 次に、図1に示したディジタル署名を多重署名に適用す
る手順を説明する。図2は多重署名における情報の流れ
を表し、図3は各局の処理手段を表す。
【0036】ここでは、局U1 ,U2 ,…,Un のn局
が平文Mに多重署名する場合を想定する。多重署名の作
成は図2に示すように(a)のrn の作成ラウンドと
(b)のsn の作成ラウンドの2回の巡回操作から成
る。図3(a)はrn の作成ラウンドにおける局Ui
処理手段、図3(b)はsn の作成ラウンドにおける局
i の処理手段をそれぞれ示す。
【0037】rn の作成ラウンド <局Ui の手順> 1:次の条件を満たす乱数ki を作成する。…(ステッ
プ301) gcd (ki ,p−1)=かつ1<ki <p−1 2:局Ui-1 から受信した情報ri-1 と乱数ki から次
式のri を作成する。 ri =ri-1 ・gki mod p…(ステップ302) 3:情報ri ,平文Mを局Ui+1 に送信する。…(ステ
ップ303) 以上の処理を局U1 から順番に局Un まで実行し、rn
を作成する。但し、局Un の処理においてrn =p−1
が得られた場合、局Un は別の乱数kn を選び、rn
p−1となるようにする。なお、局U1 は、r0 =1と
してステップ302の処理を行う。また、局Un は作成
した情報rn を局U1 に送信し、sn の作成ラウンドに
移る。
【0038】sn の作成ラウンド <局Ui の手順> 1:局U1 ,U2 ,…,Ui-1 の公開情報y1 ,y2
…,yi-1 を公開リストから取り出す。…(ステップ3
04) 2:局Ui-1 からrn の作成ラウンドで受信したri-1
と、このラウンドで局Ui-1 から受信したrn ,si-1
が次の関係を満たしていることを確認する。…(ステッ
プ305)
【数1】 gsi-1=(y1 ・y2 ・…・yi-1 rn・ri-1 M mod p rn ≠p−1 3:ステップ305の関係を満足していない場合には、
局Ui-1 の処理に異状があったものとして処理を打ち切
る。…(ステップ306) 4:先のラウンドで作成した乱数ki と自局の秘密情報
i を用いて次式のsi を計算する。…(ステップ30
7) si =si-1 +xi ・rn +ki ・M mod (p−1) 5:si ,rn を局Ui+1 に送る。…(ステップ30
8) 以上の処理を局U1 から順番に局Un まで実行し、sn
を作成する。なお、局U1 は、s0 =0としてステップ
307の処理を行う。
【0039】以上により作成された(rn ,sn )が局
1 からUn による平文Mに対する多重署名である。局
n は作成した情報sn を必要に応じて全ての局U1
2,…,Un-1 に送る。
【0040】なお、上記手順のうちステップ304,3
05,306は部分署名si-1 の検査を実行する部分で
あり、省略することも可能である。この部分署名の検査
を省略した場合、多重署名(rn ,sn )が作成された
後になってはじめて検査を実行することになる。署名作
成者の不正をできるだけ早期に検出するためにはステッ
プ304,305,306の部分署名の検査が有効であ
る。
【0041】図4は図3の手順により作成された多重署
名の検査手順を示す。
【0042】検査時には以下の処理を行う。署名検査に
はrn ,sn ,M及び署名作成局のID情報I1
2 ,…、In が必要である。
【0043】1:局U1 ,U2 ,…,Un の公開情報y
1 ,y2 ,…,yn を公開リストから取り出す。…(ス
テップ401) 2:rn ,sn ,Mが次の関係を満たすことを確認す
る。…(ステップ402) gsn=(y1 ・y2 ・…・yn rn・rn M mod p rn ≠p−1 この関係が成立する場合には、(rn ,sn )は正当な
多重署名であるものと判定する。
【0044】次に、ElGamal 方式を変形したディジタル
署名方法の他の例を説明する。図5(a)は、局Ui
電子文書(データ)Mに対するディジタル署名を作成す
る手順であり、図5(b)はこのディジタル署名の検査
手順である。
【0045】<局Ui の手順> 1:以下の条件を満たす乱数kを定める。…(ステップ
501) gcd(k,p−1)=1かつ1<k<p−1 2:r=gk mod p を計算する。…(ステップ50
2) 3:M,rと秘密情報xi からs=xi ・M+k・r
mod (p−1)を計算する。…(ステップ503) 以上により作成されたrとsが局Ui のMに対するディ
ジタル署名となる。この署名作成手続きでもステップ5
01と502は、平文Mに依存しないためディジタル署
名作成の要求が生じる前に計算し、(k,r)のペアを
幾つか蓄積しておくことができる。
【0046】<署名検査手順> 1:公開リストから局Ui の公開情報yi を取り出す。
…(ステップ504) 2:r,s,M,yi が次式の関係を満たすことを確認
する。…(ステップ505) gs =yi M ・rr mod p この関係が成立する場合には、(r,s)は局Ui のM
に対するディジタル署名であるものと判定する。
【0047】図5の手順に対しても平文Mをそのまま利
用する代わりに一方向性の圧縮関数(ハッシュ関数)に
よる変換結果h(M)に対して署名してもよい。
【0048】また、関数f(定義域:Zp-1 ,値域:1
28bit 程度の整数)を用いて次のように変更してもよ
い。
【0049】<局Ui の手順> 1,2:変更なし。
【0050】3:s=xi ・M+k・f(r) mod
(p−1)を計算する。
【0051】<署名検査手順> 1:変更なし。
【0052】2:r,s,M,yi が次式の関係を満た
すことを確認する。
【0053】gs =yi M ・rf(r) mod p 次に、図5に示したディジタル署名を多重署名に適用す
る手順を2つ説明する。第1の手順では、情報の流れは
図2と同じであり、複数の署名作成局間で情報を2巡さ
せることにより多重署名データを生成する。局U1 ,U
2 ,…,Un のn局が多重署名データを作成するものと
する。図6は局Ui の手順を示す。
【0054】rn の作成ラウンド <局Ui の手順> 1:次の条件を満たす乱数ki を作成する。…(ステッ
プ601) gcd (ki ,p−1)=1かつ1<ki <p−1 2:局Ui-1 から受信した情報ri-1 と乱数ki から次
式のri を作成する。 ri =ri-1 ・gki mod p…(ステップ602) 3:情報ri ,平文Mを局Ui+1 に送信する。…(ステ
ップ603) 以上の処理を局U1 から順番に局Un まで実行し、rn
を作成する。なお、局U1 は、r0 =1としてステップ
602の処理を行う。また、局Un は作成した情報rn
を局U1 に送信し、sn の作成ラウンドに移る。
【0055】sn の作成ラウンド <局Ui の手順> 1:局U1 ,U2 ,…,Ui-1 の公開情報y1 ,y2
…,yi-1 を公開リストから取り出す。…(ステップ6
04) 2:局Ui-1 からrn の作成ラウンドで受信したri-1
と、このラウンドで受信したrn ,si-1 が次の関係を
満たしていることを確認する。…(ステップ605)
【数2】 gsi-1=(y1 ・y2 ・…・yi-1 M ・ri-1 rn mod p 3:ステップ605の関係を満足していない場合には、
局Ui-1 の処理に異状があったものとして処理を打ち切
る。…(ステップ606) 4:先のラウンドで作成した乱数ki と自局の秘密情報
xi を用いて次式のsi を計算する。…(ステップ60
7)
【数3】 si =si-1 +xi ・M+ki ・rn mod (p−1) 5:si ,rn を局Ui+1 に送る。…(ステップ60
8) 以上の処理を局U1 から順番に局Un まで実行し、sn
を作成する。なお、局U1 は、s0 =0としてステップ
607の処理を行う。
【0056】以上により作成された(rn ,sn )が局
1 からUn による平文Mに対する多重署名である。
【0057】図6の手順により作成された多重署名の検
査手順を図7を参照しながら説明する。
【0058】1:局U1 ,U2 ,…,Un の公開情報y
1 ,y2 ,…,yn を公開リストから取り出す。…(ス
テップ701) 2:rn ,sn ,Mが次の関係を満たすことを確認す
る。…(ステップ702) gsn=(y1 ・y2 ・…
・yn M ・rn rn mod p この関係が成立する場合には、(rn ,sn )は正当な
多重署名であるものと判定する。
【0059】次に、図5に示したディジタル署名を多重
署名に適用する第2の手順を説明する。第2の手順にお
ける情報の流れを図11に示す。複数の署名作成局間で
情報を1巡させるだけで多重署名データを生成する。局
1 ,U2 ,…,Un のn局が多重署名データを作成す
るものとする。図12は局Ui の手順を示す。
【0060】<局Ui の手順> 1:局U1 ,U2 ,…,Ui-1 の公開情報y1 ,y2
…,yi-1 を公開リストから取り出す。…(ステップ1
201) 2:局Ui-1 から受信したr1 ,r2 ,…,ri-1 ,s
i-1 が次の関係を満たしていることを確認する。…(ス
テップ1202)
【数4】 gsi-1=(y1 ・y2 ・…・yi-1 M ・r1 r1 ,r2 r2 …ri-1 ri- 1 mod p 3:ステップ1202の関係を満足していない場合に
は、局Ui-1 の処理に異状があったものとして処理を打
ち切る。…(ステップ1203) 4:次の条件を満たす乱数ki を作成する。…(ステッ
プ1204) gcd (ki ,p−1 )=1かつ1<ki <p−1 5:局Ui-1 から受信した情報ri-1 と乱数ki から次
式のri を計算する。 ri =ri-1 ・gki mod p…(ステップ1205) 6:局Ui-1 から受信した情報si-1 と乱数ki
i 、自局の秘密情報xiから次式のsi を計算する。
【0061】
【数5】 si =si-1 +xi ・M+ki ・ri mod (p−1) …(ステップ1206) 7:情報si ,r1 ,r2 ,…ri ,平文Mを局Ui+1
に送信する。…(ステップ1207) 以上の処理を局U1 から順番に局Un まで実行し、作成
されたsn ,r1 ,r2 ,…rn が局U1 からUn によ
る平文Mに対する多重署名である。なお、局U1 は、r
0 =1,s0 =0としてステップ1205,1206の
処理を行い、ステップ1201から1203までの部分
署名の検査処理は行わない。
【0062】図12の手順により作成された多重署名の
検査手順を図13を参照しながら説明する。
【0063】1:局U1 , U2 , …,Un の 公開情報
1 , y2 , …,yn を 公開リストから取り出す。…
(ステップ1301) 2:si ,r1 , r2 , …rn , Mが次の関係を満たす
ことを確認する。…(ステップ1302)
【数6】 gsn=(y1 ・y2 ・…・yn M ・r1 r1・r2 r2…rn rn mod p この関係が成立する場合には、(sn , r1 , r2 , …
n ) は正当な多重署名であるものと判定する。
【0064】なお、図11に示した多重署名法は、図3
もしくは図6の多重署名法に比べて、データサイズと検
査時の処理量からは不利であるが、署名作成が1巡の処
理で行えるという利点を持つ。
【0065】次に、本発明の署名方法の変形例を2つ示
す。署名者の秘密鍵と公開鍵の形式は、図8と同じであ
る。
【0066】第1の変形例は、署名検査式を次式とする
ものである。
【0067】gr = yM ・rs mod p 署名作成は、以下の手順で行う。
【0068】1:以下の条件を満たす乱数kを定める。
【0069】 gcd (k,p−1 )=1かつ1<k<p−1 2:r=gk mod p を計算する。
【0070】3:M,rと秘密情報xi からr=xi
M+k・s mod (p−1) を満たすsを求める。
【0071】第2の変形例は、署名検査式を次式とする
ものである。
【0072】 gr =ys ・rM mod p (但し、r≠p−1) 署名作成は、以下の手順で行う。
【0073】1:以下の条件を満たす乱数kを定める。
【0074】 gcd (k,p−1 )=1かつ1<k<p−1 2:r=gk mod pを計算する。
【0075】3:M,rと秘密情報xi からr=xi
s+k・M mod (p−1) を満たすsを求める。
【0076】ここに示した2つの変形に対しても平文M
をそのまま利用する代わりに一方向性の圧縮関数(ハッ
シュ関数)による変換結果h(M)に対して署名しても
よい。また、関数f(定義域:Zp-1 ,値域:128bi
t 程度の整数)を用いて変形したf(r)を指数部のr
と置き換えてもよい。
【0077】第9図は、本発明の電子署名方法の作成・
検査を実行する装置の一構成を示す。演算器901は多
倍長の演算を実行する部分であり、本電子署名方式の演
算処理の大部分を実行する。乱数発生器902は署名作
成時に必要な乱数kを生成する部分である。乱数メモリ
903は乱数発生器902で発生された乱数kと、乱数
kから計算されるgk mod pの値のペアを蓄積する部
分である。乱数発生器902、演算器901は署名作成
時・検査時以外にも稼働し、乱数(k,gk mod p)
のペアを生成し、乱数メモリ903に蓄積する。秘密情
報メモリ904は局の秘密情報を格納するメモリであ
る。その他に制御部905、メモリ906、入出力部9
07から構成される。
【0078】次に、本発明による多重署名法(図3もし
くは図6の方法)の性能をRSA法の多重署名法と比較
して説明する。
【0079】(1)多重署名による署名データの増加 本発明による多重署名データ(rn ,sn )のサイズは
一般の署名データ(r,s)のサイズ(図1もしくは図
5の方法)と同じであり、多重署名による署名データの
増加はない。一方、RSA法の多重署名法でも同様の性
質を持つ方式が考案されている。
【0080】(2)多重署名生成の処理量 本発明の場合、各局における署名作成の処理量は、部分
署名の検査処理の部分を除くと512bit の剰余乗算が
3回程度となる。但し、乱数ki ,gkiの事前計算を行
うことを前提とする。部分署名si-1 の検査にはべき乗
剰余計算が高々3回(効率の良い計算法によれば2回)
と剰余乗算が(i−1)回である。
【0081】一方、RSA方式に基づく多重署名方式で
は、部分署名の検査を除いて各々の局の処理がべき乗剰
余計算1回である。部分署名の検査は局Ui (第i番目
の署名局)では(i−1)回のべき乗剰余計算が必要で
ある。
【0082】従って、本発明の多重署名法はRSA法の
多重署名法はRSA法の多重署名よりも一般に署名作成
の効率が良い。
【0083】(3)多重署名検査の処理量 本発明の場合、署名作成局の数nに対し、512bit の
剰余乗算がn−1回とべき乗剰余計算が高々3回(効率
の良い計算法によれば約2回)である。一方、RSA方
式に基づく多重署名方式では、べき乗剰余計算がn回必
要である。但し、RSA方式において署名検査用のべき
指数は3や5などの極めて小さい値に設定されることが
多いので、剰余乗算がc・n回(但し、c=2 or 3な
どの値)に相当する。
【0084】従って、署名検査に関してはRSA方式の
多重署名の方が効率が良い場合が多い。
【0085】以上で説明したディジタル署名方式および
多重署名方式は、素数pでの剰余類により定義される有
限体GF(p)で構成したが、素数pのべき乗を位数と
する有限体GF(pm )でも同様に構成できる(特に、
「GF2m 」)。GF(pm)では乗算および剰余算が
シフトレジスタで実現できるため、ハードウェア処理に
よる高速化が期待できる。
【0086】また、楕円曲線上で定義される元の個数が
有限の群に対しても、本発明の署名方式・多重署名方式
は応用できる。楕円曲線上の群で定義される演算は加算
であり、本発明における乗算を楕円曲線上の群における
加算に置き換え、「べき乗」を「繰り返し加算」に置き
換えればよい。一般の有限体GF(p)における離散対
数問題よりも楕円曲線上の群における離散対数問題の方
が難しい可能性があり、より安全性の高い方式にできる
可能性や鍵サイズを小さくできる可能性がある。
【0087】次に、本発明による多重署名方法の応用例
であるID−based システムにおけるセキュリティ・セ
ンタの複数化について説明する。
【0088】ID−based システムでは、単一のセキュ
リティ・センタが存在し、各利用局固有の秘密情報の生
成・配布を行う。具体的には、局Ui の秘密情報として
ID情報Ii に対するセキュリティ・センタのディジタ
ル署名を局Ui の秘密情報Si とするのが典型である。
このようなシステムでは、局Ui の認承は秘密情報Si
の保持を確認することによって行われ、局のID情報を
知っていれば相手局の正当性の確認やディジタル署名の
確認、暗号鍵の共有などが実現できる。ただし、このよ
うなID−based システムでは、セキュリティ・センタ
がシステム全体の特権情報を全て握ることになる。なぜ
なら、セキュリティ・センタは全ての局の秘密情報を知
り得るためである。
【0089】セキュリティ・センタであっても局の秘密
情報を知り得ない構成としてKonhfelderの公開鍵証明書
方式がある。この方式では、各局が固有の秘密情報と公
開情報を生成し、公開情報と局のID情報に対してセン
タが署名した「公開鍵証明書」を各局が保持する。すな
わち、センタは各局の公開情報に対して“お墨付き”を
発行する役割に限定される。局の秘密情報はそれぞれの
局が生成するためセキュリティ・センタであっても局秘
密情報は求められない。しかし、このようにしてもセキ
ュリティ・センタが任意の局の秘密情報と公開情報をね
つ造し、公開鍵証明書を発行する不正が可能である。Ko
nhfelder方式と同様の効果、問題点を有する方式にGira
ult のSelf-certified public key 方式、Horster とKn
oblochのTestimonial 方式がある。
【0090】以上に説明したセキュリティ・センタの不
正を防ぐ方法として、セキュリティ・センタを複数化す
ることが考えられている。このことにより全てのセキュ
リティ・センタが結託しない限り局の秘密情報の導出や
局の秘密情報・公開情報のねつ造を困難にすることがで
きる。
【0091】以降では、分散化されたセンタの処理とし
て本発明による多重署名方式を採用し、Testimonial 方
式との組み合わせにより構成されるID−based システ
ムを説明する。セキュリティ・センタをC1 , C2 ,
…,Cn のn個とする。図10は、システムの構成を示
す。
【0092】まずシステム加入時における局Ui への秘
密情報Si の配布手順を説明する。 <局Ui の手続き> 1:次の条件を満たす乱数k0 を生成する。
【0093】 gcd(k0 ,p−1)=1かつ1<k0 <p−1 2:次式のr0 を求める。
【0094】r0 =gko mod p 3 センタC1 ,C2 ,…,Cn にr0 を送る。
【0095】<センタC1 ,C2 ,…,Cn の手続き>
センタは局ID情報Ii に対して図2、図3に示した手
順で多重署名を行う。但し、センタCj による部分署名
j-1 の検査(図3ステップ305)は以下の検査式で
実行する。
【0096】
【数7】 gsj-1=(y1 ・y2 ・…・yj-1 rn・(rj-1 /r0 ij mod p センタCn は生成された多重署名データ(rn ,sn
を局Ui に送る。多重署名の生成過程において各センタ
j の生成した乱数をkj とし、センタCj の秘密情報
をxj とすると、rn ,sn は次の形式となる。
【0097】rn = g(ko+k1+…+kn) mod p
【数8】sn = rn ・ (x1 + …+xn ) +Ii ・ (k
1 + …+kn )mod (p−1)<局Ui の手続き> 4:センタからrn ,sn を受信する。
【0098】5:sn とk0 から次式のSi を求める。
【0099】
【数9】 Si =sn +Ii ・k0 mod (p−1) =rn ・(x1 +…+xn )+Ii ・(k0 +k1 +…+kn )mod ( p−1) 6:rn ,Si が次式の関係を満たすことを確認す
る。
【0100】 gSi=(y1 ・y2 ・…・yn rn・rn Ii mod p この関係が成立する場合には、Si を局Ui の秘密情報
とする。また、rn は局Ui の公開情報Ri として公開
する。
【0101】局Ui の乱数k0 が作用しているために、
n を生成するセンタCn であってもSi の値は求める
ことができない。また、多重署名の生成過程において部
分署名の検査を実施するため、あるセンタが途中で不正
を行った場合には次のセンタと結託していない限り、不
正が発覚する。従って、全てのセンタが結託しない限
り、センタの不正は発覚する。
【0102】以降ではこのようにして各局Ui に秘密情
報Si と公開情報Ri が発行されたシステムにおいて、
具体的なセキュリティ機能を実現する手段を説明する。
【0103】まず、局Ui の確認(identification) 手
続きを説明する。但し、Ui :{処理}という表現によ
って局Ui の行う処理を表す。また、検査を行う局をV
とする。さらに、以下ではY=y1 ・y2 …yn mod
p とする。
【0104】<局Ui の認証手続き> Ui :乱数tを生成する。さらに次式のXを求める。
【0105】X=gt mod p 公開情報Ri ,ID情報Ii およびXを局Vに送る。
【0106】V:乱数eを生成し、局Ui に送る。
【0107】Ui :次式のZを求め、局Vに送る。
【0108】Z=t+Si ・e mod (p−1) V:Z,X,Ri ,Ii が以下の関係を満たすことを確
認する。
【0109】gZ =X・(YRi・Ri Iie mod p この関係が成立する場合には検査局Vは相手局を局Ui
であるものと認める。
【0110】次に局Ui と局Uj が共通の秘密鍵を共有
する方法を説明する。
【0111】<局Ui と局Uj の鍵共有手続き> U1 :公開情報Ri ,ID情報Ii を局Uj に送る。
【0112】Uj :公開情報Rj ,ID情報Ij を局U
j に送る。
【0113】Ui :共有鍵Kijを次式により求める。
【0114】Kij=(YRj・Rj IjSi mod p Uj :共有鍵Kjiを次式により求める。
【0115】Kji=(YRj・ri IiSj mod p 局Ui ,Uj の双方が正当な局であれば、次式が成立
する。
【0116】Kij=Kji=gSi Sj mod p 以上のように本発明の多重署名方法をID−based 方式
のセンタ処理部に利用することによりセンタの権限を分
散したシステムを構成することができ、しかもidentifi
cationや鍵共有などの手続きが効率良く実行できる。こ
れは本発明の多重署名法が共通の法pの上で構成できる
ことに由来している。例えば、RSA方式の多重署名法
では各センタCj が個別の法nj を使用することにな
り、identificationなどのプロトコルの効率が悪くな
る。
【0117】
【発明の効果】以上のべたように本発明によれば、ElGa
mal方式の変形であって、さらに、多重署名方法が実現
可能な電子署名装置および電子署名システムが得られ
る。そして、本多重署名装置では署名のサイズが署名者
数に依存しないこと、および乱数生成を事前に実行する
ことで多重署名の生成における処理量が著しく低減され
るという効果が得られる。
【図面の簡単な説明】
【図1】本発明による第1の電子署名方法の計算手順お
よび検査手順を示すフローチャートである。
【図2】本発明の2巡式の多重署名方法における情報の
流れを示す説明図である。
【図3】第1の電子署名方法に基づく2巡式の多重署名
方法の計算手順を示すフローチャートである。
【図4】第1の電子署名方法に基づく2巡式の多重署名
方法の検査手順を示すフローチャートである。
【図5】本発明による第2の電子署名方法の計算手順お
よび検査手順を示すフローチャートである。
【図6】第2の電子署名方法に基づく2巡式の多重署名
方法の計算手順を示すフローチャートである。
【図7】第2の電子署名方法に基づく2巡式の多重署名
方法の検査手順を示すフローチャートである。
【図8】本発明の電子署名システムの構成の一例を示す
図である。
【図9】本発明の電子署名システムに係る作成・検査装
置を示す説明図である。
【図10】センタを分散したシステム構成の一例を与え
る図である。
【図11】本発明の1巡式の多重署名方法における情報
の流れを示す図である。
【図12】第2の電子署名方法に基づく1巡式の多重署
名方法の計算手順を示すフローチャートである。
【図13】第2の電子署名方法に基づく1巡式の多重署
名方法の検査手順を示すフローチャートである。
【符号の説明】
901 演算器 902 乱数発生器 903 乱数メモリ 904 秘密情報メモリ 905 制御部 906 メモリ 907 入出力部
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 太田和夫,岡本龍明,“多重署名の安 全性について”,1997年暗号と情報セキ ュリティシンポジウム(SCIS’ 97),日本,1997年 1月31日,23B 新保淳,“多重署名に適したElGa mal署名の一変形方式”,1994年暗号 と情報セキュリティシンポジウム(SC IS’94),日本,1994年 1月27日, 2C G.B.AGNEW,R.C.MUL LIN,S.A.VANSTONS, “IMPROVED DIGITAL SIGNATURE SCHEME B ASED ON DISCRETE E XPONENTIATION”,Ele ctronics Letters,英 国,1990年 6月 5日,Vol.26, No.14,p.1024−1025 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G09C 1/00

Claims (4)

    (57)【特許請求の範囲】
  1. 【請求項1】 電子文書Mの電子署名データr、sを生
    成する電子署名データ作成装置であって、 乱数kを生成する乱数発生器と、 秘密整数xを記憶する秘密情報メモリと、 前記乱数発生器からの前記乱数kに依存する整数rと、
    前記乱数発生器からの前記乱数kと前記秘密情報メモリ
    からの前記秘密整数とに依存する整数sとを求める演算
    器と、を備え、 前記演算器で生成される前記整数r及び前記整数sは、 公開された整数gと、公開された素数pを法として整数
    gを整数xでべき乗した結果としての公開整数yと、前
    Mとrとsとに基づいて得られる関係式 ga=yb・rc modp(但し、a≠Mであり、a,b,cはM,r,sの組か
    らそれぞれ割り当てたもの)を満足するよう求めること
    を特徴とする電子署名装置。
  2. 【請求項2】 請求項1記載の電子署名装置において、 電子文書M’の電子署名データr’、s’が正しいか否
    かを判定するために、 公開された整数g’と、公開された素数p’を法として
    整数g’を整数x’でべき乗した結果としての整数y’
    と、前記M’とr’とs’とに基づいて得られる関係式 g’ a’ =y’ b’ ・r’ c’ modp’ (但し、a’≠M’であり、a’,b’,c’はM’,
    r’,s’の組からそれぞれ割り当てたもの)を満足す
    るか否かを判定する判定手段を備えることを特徴とする
    電子署名装置。
  3. 【請求項3】 電子文書Mに対し、n個の局が電子署名
    し電子署名データr,sを生成する電子署名システムに
    おいて、 第iの局(i=1,2,・・・,n)に対し、秘密整数
    xiと、公開された素数pを法として公開された整数g
    を前記秘密整数xiでべき乗した結果としての公開整数
    yiとが対応付けられており、 個々の第i局それぞれは、 乱数kiを生成する乱数発生器と、 秘密整数xiを記憶する秘密情報メモリと、 前記乱数発生器からの前記乱数kiとri-1に依存する整
    数ri(但し、r0=1)と、前記乱数発生器からの前記
    乱数kiと前記秘密情報メモリからの前記秘密整数xiと
    si-1に依存する整数si(但し、s0=0)とを求める
    演算器と、を備え、 局iから局i+1に整数データri、siを送信し、 第n局において、全てのki、xiに依存する署名データ
    r、sを求め、 前記演算器で生成される前記整数r及び前記整数sは、 前記g,yi,M,r,sに基づいて得られる関係式 a =(y1・y2・…・yn) b ・r c modp (但し、a≠Mであり、a,b,cはM,r,sの組か
    らそれぞれ割り当てたもの)を満足するよう求めること
    を特徴とする電子署名システム。
  4. 【請求項4】 請求項3に記載の電子署名システムにお
    いて、 電子文書M’の電子署名データr’,s’,が正しいか
    否かを判定するために、 第iの局(i=1,2,…,n)に対し、秘密整数xi
    と、公開された素数pを法として公開された整数g’を
    前記秘密整数xiでべき乗した結果としての公開整数yi
    とが対応付けられており、 前記M’とr’とs’とに基づいて得られる関係式 g’ a’ =(y1・y2・…・yn) b’ ・r’ c’ mo
    dp’ (但し、a’≠M’であり、a’、b’、c’はM’,
    r’,s’の組からそれぞれ割り当てられたもの)を満
    足するか否かを判定する判定手段を備えることを特徴と
    する電子署名システム。
JP24185992A 1992-09-10 1992-09-10 電子署名装置及び電子署名システム Expired - Fee Related JP3338088B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP24185992A JP3338088B2 (ja) 1992-09-10 1992-09-10 電子署名装置及び電子署名システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP24185992A JP3338088B2 (ja) 1992-09-10 1992-09-10 電子署名装置及び電子署名システム

Publications (2)

Publication Number Publication Date
JPH0695590A JPH0695590A (ja) 1994-04-08
JP3338088B2 true JP3338088B2 (ja) 2002-10-28

Family

ID=17080581

Family Applications (1)

Application Number Title Priority Date Filing Date
JP24185992A Expired - Fee Related JP3338088B2 (ja) 1992-09-10 1992-09-10 電子署名装置及び電子署名システム

Country Status (1)

Country Link
JP (1) JP3338088B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088798A (en) * 1996-09-27 2000-07-11 Kabushiki Kaisha Toshiba Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein
JPH10133576A (ja) 1996-10-31 1998-05-22 Hitachi Ltd 公開鍵暗号方法および装置
EP2381616B1 (en) * 2004-11-29 2013-01-16 NEC Corporation Signature and verifying method and signature and verifying device
CN111478772B (zh) * 2020-06-22 2020-10-16 杭州趣链科技有限公司 一种流水线友好的签名和验签方法、设备及存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
G.B.AGNEW,R.C.MULLIN,S.A.VANSTONS,"IMPROVED DIGITAL SIGNATURE SCHEME BASED ON DISCRETE EXPONENTIATION",Electronics Letters,英国,1990年 6月 5日,Vol.26,No.14,p.1024−1025
太田和夫,岡本龍明,"多重署名の安全性について",1997年暗号と情報セキュリティシンポジウム(SCIS’97),日本,1997年 1月31日,23B
新保淳,"多重署名に適したElGamal署名の一変形方式",1994年暗号と情報セキュリティシンポジウム(SCIS’94),日本,1994年 1月27日,2C

Also Published As

Publication number Publication date
JPH0695590A (ja) 1994-04-08

Similar Documents

Publication Publication Date Title
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
Wang et al. Threshold signature schemes with traceable signers in group communications
US9191214B2 (en) Procedure for a multiple digital signature
US9800418B2 (en) Signature protocol
EP2792098B1 (en) Group encryption methods and devices
EP2686978B1 (en) Keyed pv signatures
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
Boruah et al. Implementation of ElGamal Elliptic Curve Cryptography over prime field using C
CN103095459A (zh) 公钥密码体制中模幂运算方法、设备和服务器
López-García et al. A pairing-based blind signature e-voting scheme
US6480606B1 (en) Elliptic curve encryption method and system
Jeng et al. An ECC-based blind signature scheme
EP1540882B1 (en) Groups signature scheme
US7248692B2 (en) Method of and apparatus for determining a key pair and for generating RSA keys
US20150006900A1 (en) Signature protocol
Abdelfatah A color image authenticated encryption using conic curve and Mersenne twister
JP3338088B2 (ja) 電子署名装置及び電子署名システム
WO2016187689A1 (en) Signature protocol
Inam et al. A novel public key cryptosystem and digital signatures
Fan et al. Strongly secure certificateless signature scheme supporting batch verification
Ramlee et al. A new directed signature scheme with hybrid problems
Ashraf et al. Message transmission for GH-public key cryptosystem
Zahhafi et al. A DSA-like digital signature protocol
Wang et al. A threshold undeniable signature scheme without a trusted party
Salome et al. Pairing free identity-based blind signature scheme with message recovery

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070809

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080809

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090809

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees