JP3513324B2

JP3513324B2 - ディジタル署名処理方法

Info

Publication number: JP3513324B2
Application number: JP10822696A
Authority: JP
Inventors: 和臣大石
Original assignee: Canon Inc
Current assignee: Canon Inc
Priority date: 1996-04-26
Filing date: 1996-04-26
Publication date: 2004-03-31
Anticipated expiration: 2016-04-26
Also published as: JPH09298537A

Description

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】本発明はディジタル署名処理
方法に関し、例えば、情報通信システムで用いるディジ
タル署名に関する。

【０００２】

【従来の技術】コンピュータおよび通信ネットワークの
発展と広範な普及に伴い、社会的活動のような機能をネ
ットワーク上においても実現できるようになった。しか
し、誰が、何時、何処で、何を行ったか、も容易に把握
することができ、それに対抗するため、匿名で処理を行
うことによりネットワーク上で多様な機能を実現し、か
つプライバシも保護する方法が考えられている。

【０００３】後述する公開鍵暗号を用いれば、送信者は
通信内容を意図する受信者だけに送り、しかも受信者は
その通信の送信者が誰であるかを確実に確認することが
可能である。後述する零知識証明を利用すれば、ユーザ
がある秘密情報を保持していることを、その秘密を明ら
かにすることなく他者に証明できる。これらを応用した
情報通信システムが、Masahiro MAMBO, Eiji OKAMOTO
「A method to publiclyspecify a signer with hiding
identity, The 18th Symposium on Information Theor
y and Its Applications」October 1995で提案されてい
る。これを、以下では「MOシステム」と呼ぶことにす
る。

【０００４】以下、最初に公開鍵暗号を、次に零知識証
明を、それからMOシステムを詳細に説明する。

【０００５】［公開鍵暗号］公開鍵暗号とは、暗号鍵と復号鍵とが異なり、暗号鍵を
公開し、復号鍵を秘密にする暗号方式であり、以下のよ
うな特徴をもつ。 (1)暗号鍵と復号鍵とが異なり、暗号鍵を公開すること
ができるため、暗号鍵を秘密に配送する必要がなく、鍵
の配送が容易である。 (2)各利用者は、暗号鍵を公開し、各自、復号鍵だけを
秘密にし記憶しておけばよい。 (3)送られてきた通信文の送信者が偽者でないこと、お
よび、その通信文が改竄されていないことを、受信者が
確認するための認証機能（ディジタル署名）を実現でき
る。

【０００６】通信文（平文）Mに対して、公開の暗号鍵k
pを用いた暗号化操作をE(kp, M)とし、秘密の復号鍵ks
を用いた復号操作をD(ks, M)とすると、公開鍵暗号アル
ゴリズムは、まず次の二つの条件を満たす。 (1)暗号鍵kpが与えられたときE(kp, M)の計算は容易で
あり、復号鍵ksが与えられたときD(ks, M)の計算は容易
である。 (2)もし復号鍵ksを知らないなら、暗号鍵kp、暗号化操
作Eの計算手順、暗号であるC=E(kp, M)を知ったとして
も、平文Mを決定することは、その計算量から困難であ
る。

【０００７】さらに、上記(1)(2)に加えて、次の条件
(3)が成立することにより、秘密通信が実現できる。 (3)すべての平文Mに対し、E(kp, M)を定義することがで
き、次式が成立する。 D(ks, E(kp, M)) = M

【０００８】つまり、暗号鍵kpは公開されているため、
誰もがE(kp, M)を計算することができるが、D(ks, E(k
p, M))を計算して平文Mを得ることができるのは、秘密
の復号鍵ksを記憶している本人だけである。

【０００９】一方、上記(1)(2)に加えて、次の条件(4)
が成立することにより、認証通信（ディジタル署名）が
実現できる。 (4)すべての平文Mに対し、D(ks, M)を定義することがで
き、次式が成立する。 E(kp, D(ks, M)) = M

【００１０】つまり、D(ks, M)を計算できるのは秘密の
復号鍵ksを記憶している本人だけであり、他人が偽の鍵
ks'を用いてD(ks', M)を計算し、秘密の復号鍵ksを記憶
する本人になりすまそうとしても、E(kp, D(ks', M))≠
Mであり、受信者は受取った情報が不正なものであるこ
とを知ることができる。

【００１１】同様に、D(ks, M)が改竄されても、E(kp,
D(ks, M)')≠Mであり、受信者は受取った情報が不正な
ものであることを知ることができる。このD(ks, M)をM
に対する「ディジタル署名」と呼ぶ。

【００１２】代表的な公開鍵暗号方式を以下に挙げる。
秘密通信と認証通信ができる方式として、RSA暗号(R.
L. Rivest, A. Shamir and L. Adleman「A method of o
btaining digital signatures and public key cryptos
ystems」Comm. of ACM, 1978)、R暗号(M. Rabin「Digit
alized signatures and public-key cryptosystems」MI
T/LCS/TR-212, Technical Report MIT, 1979)、W暗号
(H. C. Williams「A modification of the RSA public-
key encryption procedure」IEEE Trans. Inf. Theory,
IT-26, 6, 1980)などがある。

【００１３】また、秘密通信だけができる方式として、
CR暗号(B. Chor and R. L. Rivest「A knapsack type p
ublic key cryptosystem based on arithmetic in fini
tefield」Proc. Crypto 84)、M暗号(R. J. McEliece「A
public-key cryptosystembased on algebraic coding
theory」DSN Progress Rep., Jet Propulsion Lab., 19
78)、E暗号(T. E. ElGamal「A public key cryptosyste
m and a signaturescheme based on discrete logarith
ms」IEEE Transaction on Information Theory, Vol. I
T-31, No.4, pp.469-472, 1985)などがある。

【００１４】認証通信だけができる方式として、S暗号
(A. Shamir「A fast signature scheme」Report MIT/LC
S/TM-107, MIT laboratory for computer science, Cam
bridge, Mass., 1978)、L暗号(K. Lieberherr「Uniform
complexity and digital signature」Lecture Notes i
n Computer Science 115 Automata, Language and Prog
ramming, Eight Colloquium Acre, Israel, 1981)、GMY
暗号(S. Goldwasser, S. Micali and A. Yao「Strong s
ignature schemes」ACM Symp. on Theory of Computin
g, 1983)、GMR暗号(S. Goldwasser, S. Micali and R.
L. Rivest「A 'paradoxical' solution to the signatu
re problem」ACM Symp. on Foundation ofComputer Sci
ence, 1984)、E暗号(T. E. ElGamal「A public key cry
ptosystemand a signature scheme based on discrete
logarithms」IEEE Transaction on Information Theor
y, Vol. IT-31, No.4, pp.469-472, 1985)、OS暗号(岡
本,白石「多項式演算によるディジタル署名方式」信学
論(D), J68-D, 5, 1985; T.Okamoto and A. Shiraisi
「A fast signature scheme based on quadratic inequ
alities」IEEE Symp. on Theory of Computing, 198
4)、Fiat-Shamir暗号(A. Fiat, A. Shamir「How to pro
ve yourself: practical solutions of identification
and signature problems」Proc. of CRYPTO'86, 198
7)、Schnorr暗号(C. P. Schnorr「Efficient signature
generation by smart cards」Journal of Cryptology,
vol.4, pp.161-174, 1991)などがある。

【００１５】具体的な一例として、離散対数を求めるこ
との困難性に安全性の根拠をおき、偽造に対する安全性
が極めて高いとされ、署名のサイズが小さい署名方式で
あるSchnorr暗号を説明する。

【００１６】例えば、大きな素数pと、q|p-1（qはp-1を
割り切る）なる大きな素数qを選ぶとき、{1, 2, …, q-
1}の中の一つをαとすると、α^x≡u (mod p)を満たすx
（=DL(u,α)と記す）は、ガロア体GF(p)上における離散
対数であり、p, q, α, uを与えられた上でxを効率的に
求めることは難しいとされている。

【００１７】Schnorr暗号では、鍵認証センタ(KAC: Key
Authentication Center)がシステムの初期化を行う。
署名者が鍵生成と署名生成を行い、認証者が署名を受け
取り確認する。システムの中では、一方向性ハッシュ関
数を用いる。一方向性ハッシュ関数とは、衝突を起こし
にくい圧縮関数である。つまり、任意の長さの値を入力
して固定の長さの値を出力し、同じ値を出力する異なる
入力を見つけることが困難である。Zは整数の集合で、Z
qは0以上q未満の整数の集合である。

【００１８】●システム初期化 (1)鍵認証センタ(KAC)は、大きな素数p(≧2⁵¹²)とq(≧2
¹⁴⁰)を選び公開する。ただし、q|p-1である。 (2)KACは、α∈Zpかつα^q = 1 (mod p)なるα(≠1)を選
び公開する。 (3)KACは、h: Zq×Z → {0, …, 2^t - 1}を選び公開す
る。ここで、tを「セキュリティパラメータ」と呼ぶ。 (4)KACは、自分の署名用の公開鍵と秘密鍵を選び、公開
鍵を公開する（例えば、Fiat-Shamir暗号など）。

【００１９】●鍵生成システムに加入するユーザ（署名者）は、0＜s≦qなる
任意の整数sを選び、v= α^-s mod pを計算する。署名者
の秘密鍵はsであり、公開鍵はvである。認証者は、署名
者の公開鍵の正当性を、例えば、署名者の公開鍵に対し
てKACが（例えば、Fiat-Shamir暗号で）署名を付ける、
あるいは、署名者の公開鍵が公開データベースに登録さ
れる、などによって確認することができる。

【００２０】●署名生成（メッセージmに対する署名） (1)署名者は、乱数r∈{1, …, q}を選び、x = α^r (mod
p)を計算する。 (2)署名者は、e = h(x, m)を求める。 (3)署名者は、y = r + s・e (mod q)を計算する。(e,
y)が、メッセージmに対する署名である。

【００２１】●署名検証メッセージmと署名(e, y)を受取った認証者は、前述の
方法でvの正当性を確認し、次式を確認する。 x' = α^y・v^e (mod p) e = h(x', m)

【００２２】［零知識証明］零知識証明とは、ある命題を証明者が検証者に証明する
ことであり、以下の三条件を満たす。 (1)完全性: 証明が正しければ、検証者は1または1に限
りなく近い確率（圧倒的確率）で受理する。 (2)健全性: 証明が誤っていれば、検証者は1または1に
限りなく近い確率（圧倒的確率）で棄却する。 (3)零知識性: 証明が正しければ、検証者がどのように
振る舞っても、証明の正しさ以外の情報は一切洩れな
い。

【００２３】ある秘密（数値）を知っている証明者が、
その秘密に関する情報を一切漏らさずに、その秘密を知
っていることを検証者に証明する零知識証明の方法が幾
つか提案されていて、身元証明やディジタル署名などに
応用され、情報セキュリティの分野における重要な基板
技術となっている。

【００２４】具体的な一例として、J. Boyar, D. Chau
m, I. Damard, T. Pedersen「Convertible undeniable
signatures」Proc. of CRYPTO'90において提案された、
z = DL(u, α)を知っている証明者が、zを明らかにする
ことなくDL(v, w) = DL(u, α)を証明する零知識証明プ
ロトコルを説明する。ただし、DL(u, α)は適当な群に
おける離散対数を意味する（例えば、前述のGF(p)の場
合、α^{DL(u, α)} ≡ (modp)）。

【００２５】●DL(v, w) = DL(u, α)を証明する零知識
証明プロトコル以下では、証明者をP(Prover)、検証者をV(Verifier)と
記す。PもVもv, w, u,αを知っている。 (1)検証者Vは、乱数aとbを選び(a, b∈Zq)、ch = w^a・
α^bを求め、chを証明者Pに送る。 (2)証明者Pは、乱数tを選び(t∈Zq)、h1 = ch・α^tとh2
= h1^zを求め、(h1, h2)を検証者Vに送る。 (3)検証者Vは、(a, b)を証明者Pに送る。 (4)証明者Pは、ch = w^a・α^bを確認し、tを検証者Vに送
る。 (5)検証者Vは、h1 =w^a・α^b+tとh2 = v^a・u^b+tを確認す
る。

【００２６】［ディジタル署名方式］以上に説明した公開鍵暗号や零知識証明を応用したディ
ジタル署名方式が、D.Chaum, E. van Heyst「Group Sig
natures」Proc. of EUROCRYPT'91, pp.257-265 (1991)
に提案されている。これはグループ署名と呼ばれ、以下
の性質を満たす。 (1)グループメンバのみが署名を行える。 (2)署名を受取った者は、それが正当な署名であること
は確認できるが、グループのどのメンバが証明をしたの
かはわからない。 (3)後で必要が生じたときに署名者を明らかにするため
に、署名は（グループメンバの助力を得て、あるいは、
得ずに）開示されることができる。

【００２７】グループ署名の用途には、例えば、入札シ
ステムがある。ある入札に参加する応札者をメンバと
し、応札者は自分の付ける値段や条件に対してグループ
署名を生成する。落札しない限り誰がどんな値段や条件
を提示したかは不明であるが、落札の際には落札者、つ
まり署名者を明らかにすることができる。

【００２８】

【発明が解決しようとする課題】前述したChaum等の論
文には四つのグループ署名方式が提案されていて、それ
ぞれ、署名者名を開示する際に特別に信頼されたオーソ
リティ（以下、これをZAで表す）を要する方式と、そう
でない方式、グループメンバの新規加入が容易な方式
と、そうでない方式など、幾つかの基準により分類され
る特徴をもつ。しかし、その何れの方式も、署名の正当
性を確認するために用いるグループの公開鍵は、メンバ
の数に比例した大きさになるという性質がある。

【００２９】一方、S. J. Park, I. S. Lee, D. H. Won
「A practical group signature」Proc. of the 1995 J
apan-Korea Workshop on Information Security and Cr
yptology, IV-3, pp.127-133 (1995)に提案されている
グループ署名方式は、グループの公開鍵の大きさはメン
バ数に比例せず、メンバの新規加入が容易であるという
特徴をもち、署名の開示の際にZAが必要な方式である。

【００３０】本発明は、上述の問題を解決するためのも
ので、グループの公開鍵の大きさをグループメンバ数に
比例させる必要をなくすことを目的とする。

【００３１】さらに、各メンバによる、その署名が自分
が作成した署名か否かの証明が可能なグループ署名にす
ることを他の目的とする。

【００３２】

【課題を解決するための手段】本発明は、前記の目的を
達成する一手段として、以下の構成を備える。

【００３３】本発明のディジタル署名処理方法は、信頼
されたオーソリティに相当する第一の情報処理装置、お
よび、複数のユーザに相当する複数の第二の情報処理装
置が互いに匿名で通信可能な匿名通信ネットワーク、並
びに、前記第一および第二の情報処理装置が共通にアク
セス可能なデータベースを有するシステムにおけるディ
ジタル署名処理方法であって、前記データベースにシス
テム共通のデータ群を登録し、前記第二の情報処理装置
それぞれが自身の秘密鍵および公開鍵を生成して当該公
開鍵を前記データベースに登録するとともに、前記第一
の情報処理装置が自身の秘密鍵および公開鍵を生成して
当該公開鍵をグループの公開鍵として前記データベース
に登録し、前記第一の情報処理装置が、前記第二の情報
処理装置の中から署名者に相当する第三の情報処理装置
を選択して、秘密に選んだ第一の乱数により前記第三の
情報処理装置の公開鍵を変換し、変換後の公開鍵、前記
共通データ群、前記第一の乱数および自身の秘密鍵を用
いて生成した前記第三の情報処理装置に対する匿名公開
鍵証明書を前記ネットワークを介して前記第三の情報処
理装置に送信し、前記第三の情報処理装置が、メッセー
ジ、秘密に選んだ第二の乱数、自身の秘密鍵および前記
データベースに登録された共通データ群を用いてディジ
タル署名を生成して、当該ディジタル署名および前記匿
名公開鍵証明書を合せて生成したグループ署名を、前記
第二の情報処理装置の中で確認者となる第四の情報処理
装置に前記ネットワークを介して送信し、前記第四の情
報処理装置が、受信したグループ署名中の匿名公開鍵証
明書を前記グループの公開鍵を用いて検証し、当該匿名
公開鍵証明書中の値を用いて当該グループ署名中の前記
署名者が生成したディジタル署名を検証し、当該グルー
プ署名が前記署名者によって生成されたグループ署名で
あることを確認し、前記署名者以外の前記第二の情報処
理装置それぞれが、自身の秘密鍵と前記グループ署名の
生成に用いられた前記署名者の秘密鍵とが異なることを
証明することで、前記署名者を開示することを特徴とす
る。

【００３４】

【発明の実施の形態】以下、本発明にかかる一実施形態
の情報通信システムを図面を参照して詳細に説明する。

【００３５】本発明にかかるディジタル署名方式は、後
述する匿名公開鍵証明書方式を応用して、信頼されたオ
ーソリティZAが指定者、メンバが署名者になり、匿名公
開鍵証明書に基づくディジタル署名をグループ署名とす
るものであり、本発明にかかる匿名公開鍵証明方式によ
れば、以下のような機能を実現することができる。

【００３６】指定者が、乱数により、共通の公開パラメ
ータと署名者のディジタル署名の公開鍵を変換し、変換
した公開鍵に対する指定者のディジタル署名1を生成す
る。署名者の秘密鍵と、変換されたパラメータおよび公
開鍵との間には、以前と同じ関係が成り立つので、署名
者は秘密鍵を用いて任意の平文に対してディジタル署名
2を生成することができる。

【００３７】ディジタル署名1および同2の受信者は、デ
ィジタル署名1により、変換されたパラメータおよび公
開鍵が指定者に認められていることを確認し、それらを
用いて、ディジタル署名2と平文の対応関係を確認する
ことができる。なお、ディジタル署名1および同2を合わ
せた署名は、それから署名者を明らかにすることが困難
なので匿名署名と呼ぶ。

【００３８】このように、指定者が信頼されたオーソリ
ティZAになり、指定者に指定されたユーザ、すなわち署
名者がメンバになるので、オーソリティZAの使う公開鍵
はグループの公開鍵になり、匿名署名はグループ署名に
なる。この署名はグループ署名の最初の二つの条件を満
たす。

【００３９】署名者の開示は、次のような方法をとる。
信頼されたオーソリティZAは、どのメンバにどの証明書
を発行したかを記録し、グループ署名が与えられたと
き、その証明書の部分からそれがどのメンバにより生成
されたかを判別することができる。さらに、その証明書
に用いた乱数を知っているので、その乱数を利用して証
明者名を開示することができる。

【００４０】一方、あるグループ署名に対して、各メン
バがその署名者であるか否かは、そのグループ署名に使
われた秘密鍵と各メンバの秘密鍵が等しいか否かで判別
することができる。従って、署名者ではないメンバは、
自分の秘密鍵と対象のグループ署名に使われた秘密鍵と
が異なることを証明できるので、すべてのメンバに対し
て、その証明を要求することにより誰が証明者であるか
を判別することができる。

【００４１】

【第１実施形態】以下では、匿名公開鍵証明書方式(APK
C: Anonymous Public Key Certificate)を最初に説明
し、次に、それを応用したグループ署名を説明する。

【００４２】［匿名公開鍵証明書方式］図1は公開鍵暗号を応用した匿名公開鍵証明書を説明す
るための図で、図2は公開鍵証明書に関する処理の流れ
の概要を示すフローチャートである。

【００４３】このシステムは、指定者（証明書の発行
者）と複数のユーザ、ユーザの中から選ばれる署名者、
署名者の作成する署名を確認する確認者からなり、通信
内容から判別できる場合を除き送受信者を突き止めるこ
とが困難な通信を可能とするネットワーク（以下「匿名
通信ネットワーク」と呼ぶ）上で実現することができ
る。

【００４４】図1において、「公開値(Public Values)」
は後述するシステム共通のデータ、「公開データベース
(Public Database)」は公開されたデータベース、矢印
はデータの取得，送信，受信を示し、括弧で囲まれた番
号は処理の手順を示す。また、「署名者(Specified Sig
ner)」は、「指定者(Specifier)」によりユーザの中か
ら選ばれた署名者を表し、「確認者(Verifier)」は署名
を確認する者を表す。

【００４５】Step 0（準備）: システム共通のデータと
して、素数pとq(q|p-1)、Zp*の元であり位数qのα（α^q
≡1 (mod p)、Zp*はZqかつpと互いに素である整数の集
合）、一方向性ハッシュ関数h: Zq×Z → {0, …, 2^t -
1}を用意する。これらは、システムに参加しているす
べてのユーザがアクセスでき、かつ不当な改竄などが起
こらないように適切に管理されている公開のデータベー
スに登録されているものとする。なお、以下の説明にお
いて、a_bはaに下付き添字bが付いた状態を表す場合が
ある。

【００４６】指定者iは公開鍵v_iと秘密鍵s_i(v_i = α
^-s_i} mod p)を生成し、公開鍵を公開のデータベースに
登録する。署名者になり得るユーザjは、公開鍵v_jと秘
密鍵v_j(v_j = α^-s_j mod p)を生成し、公開鍵を公開の
データベースに登録する。ユーザは複数存在し、署名者
も複数存在し得る。

【００４７】Step 1（ユーザ指定と公開）: 指定者i
は、複数の中からあるユーザ、すなわち署名者jを選び
（図1に示す矢印101）、署名者jの公開鍵v_jを乱数r_jを
用いて変換したz_jを計算し、z_jに対する署名（Schnorr
暗号による署名）を求め（図1に示す手順(1)）、その署
名（証明書）を署名者jに安全に送る（図1に示す矢印10
2）。なお、安全に送る一方法として、前述したE暗号を
用いる方法がある。

【００４８】具体的には、指定者iは（秘密の）乱数r
_j(r_j ∈ Zq*)を選び、次式により各パラメータを求め、
署名(y_j, e_j，z_j)を署名者jに送る。なお、r_j ∈ Zq*
は、Zq*からランダムにr_jを選ぶことを表している。 x_j = α^r_j mod p z_j = v_j ^r_j mod p e_j = h(x_j, z_j) y_j = r_j + e_j・s_i mod q

【００４９】Step 2（署名の生成）: 署名者jは、署名
(y_j, e_j, z_j)を手に入れ、次式を確認する。 e_j = h(α^y_j・v_i ^e_j mod p, z_j) z_j = (α^y_j・v_i ^e_j mod p)^-s_k mod p … (1)

【００５０】そして、署名したいメッセージm(j)に対
し、次の署名方式で署名を生成する。つまり、署名者j
は、秘密の乱数r(j)を選び(r(j) ∈ Zq*)、次式を計算
する。 x(j) = x_j ^r(j) mod p e(j) = h(x(j), m(j)) y(j) = r(j) + e(j)・s_j mod q

【００５１】そして、((y_j, e_j, z_j), y(j), e(j), m
(j))を署名として、必要な相手に送る（図1に示す手順
(3)、矢印103）。

【００５２】Step 3（署名の確認）: 上記署名を受信し
た確認者は最初に、式(1)を確認し、次に次式を確認す
る（図1に示す手順(4)）。 e(j) = h(x_j ^y(j)・z_j ^e(j) mod p, m(j))

【００５３】上記が確認できたならば、受信者（確認
者）は、メッセージm(j)に対する署名は指定者iに選ば
れた署名者によって生成された署名であると納得する。

【００５４】以上の匿名公開鍵証明書方式には次の性質
がある。 (1)指定者iだけが署名者jを指定でき、その証拠が証明
書（指定者iの生成したディジタル署名）になる。 (2)指定された署名者jは、証明書と自分の秘密鍵を用い
て匿名のままで署名を生成できる。 (3)受信者は、指定者iの公開鍵を用いて上記匿名署名の
正当性を確認できる。 (4)匿名署名からその署名者jを判別すること、および、
匿名署名を偽造することは困難である。

【００５５】［匿名公開鍵証明書に基づくグループ署名
方式］図3は本発明にかかる匿名公開鍵証明書に基づくグルー
プ署名方式(Group Signature based on APKC)を用いた
システムの概念図で、匿名通信ネットワーク(Anonymous
Communication Network)を介して、複数のユーザが互
いに匿名で通信を行える状況を表している。

【００５６】図3に示す環境には、信頼されたオーソリ
ティZA、ユーザj, k, Vなどがアクセスできる公開デー
タベースが存在し、そこに各ユーザの公開鍵や、共通の
パラメータなどが登録されている。公開データベース
は、そこに登録された情報をすり替えるような不当な行
為を防ぐように、適切に管理されている。また、図3に
おいて、あるグループの公開鍵をv_ZAとし、そのグルー
プはj, kを含むメンバからなるものとする。

【００５７】同じグループに所属するメンバj, kは、匿
名公開鍵証明書(y_j, e_j, z_j)および(y_k, e_k, z_k)をそれ
ぞれ、オーソリティZAから発行してもらい、それに基づ
き、メンバ固有の署名部分(y(j), e(j), z(j))を生成
し、匿名通信ネットワークを介して、ユーザVにグルー
プ署名((y_j, e_j, z_j)，y(j), e(j), z(j))を送る。

【００５８】ユーザVは、グループの公開鍵v_ZAを用い
て、匿名公開鍵証明書(y_j, e_j, z_j)を検証し、それから
計算される値を用いて(y(j), e(j), z(j))を検証するこ
とにより、グループ署名の正当性を確認することができ
る。

【００５９】以上の具体的な内容を図4を参考にして説
明する。図4は匿名公開鍵証明書に基づくグループ署名
方式を説明するための図、図5はグループ署名方式に関
する処理の流れの概要を示すフローチャートで、オーソ
リティZAに指定されたメンバjがグループ署名を生成
し、グループ署名を受信した確認者がグループ署名を確
認する例を示している。

【００６０】Step 10（準備）: 匿名公開鍵証明書方式
のStep 0と同じ。

【００６１】Step 11（メンバに対する証明書の発行）:
オーソリティZAは、ユーザjをグループのメンバにする
ことを認め、メンバjの公開鍵を乱数r_jを用いて変換し
たz_jを計算し、z_jに対する署名（Schnorr暗号による署
名）を求め（図4に示す手順(1)）、メンバjに直接送る
（図4に示す手順(2)、矢印402）。

【００６２】具体的には、指定者iは（秘密の）乱数r
_j(r_j ∈ Zq*)を選び、次式により各パラメータを求め、
署名(y_j, e_j, z_j)をメンバjに送る。 x_j = α^r_j mod p z_j = v_j ^r_j mod p e_j = h(x_j, z_j) y_j = r_j + e_j・s_ZA mod q

【００６３】Step 12（グループ署名の作成）: メンバj
は、署名(y_j, e_j, z_j)を手に入れ、次式を確認する。 e_j = h(α^y_j・v_ZA ^e_j mod p, z_j) z_j =(α^y_j・v_ZA ^e_j mod p)^-s_j mod p … (2)

【００６４】ここで、x_j = α^y_j・v_ZA ^e_j mod pが成り
立っているので、以降は、表記を簡略化するためにx_jを
用いる。そして、メンバjは、署名したいメッセージm
(j)に対し、次の署名方式でグループ署名を生成する。
つまり、メンバjは、秘密の乱数r(j)を選び(r(j) ∈ Zq
*)、次式を計算する。 x(j) = x_i ^r(j) mod p e(j) = h(x(j), m(j)) y(j) = r(j) + e(j)・s_j mod q

【００６５】そして、((y_j, e_j, z_j), y(j), e(j), m
(j))をグループ署名として、必要な相手に送る（図4に
示す手順(3)、矢印403）。

【００６６】Step 13（グループ署名の確認）: 上記署
名を受信した確認者は最初に、式(2)を確認し、次に次
式を確認する（図4に示す手順(4)）。 e(j) = h(x_j ^y(j)・z_j ^e(j) mod p, m(j))

【００６７】上記が確認できたならば、受信者（確認
者）は、メッセージm(j)に対する署名はオーソリティZA
に認められたメンバによって生成されたグループ署名で
あると納得する。

【００６８】［グループ署名の開示方法］あるグループ署名を誰が生成したのかを明らかにする、
すなわちグループ署名の開示は、次の二つの方法で実現
することができる。ただし、対象のグループ署名を
((e_k, y_k, z_k), e(k), y(k), m)、その署名者をメンバ
k、オーソリティZAが生成したz_kに対応する乱数をr_kと
する。

【００６９】方法1（信頼されたオーソリティによる開
示）: 信頼されたオーソリティZAは、証明書を生成する
際に用いた乱数r_kを記憶しておくことができるので、あ
るグループ署名が与えられたとき、その証明書の中のz_k
に対応するメンバが誰かを判別することができる。従っ
て、オーソリティZAは、署名者がメンバkで、乱数はr
_k(= DL(z_k, v_k))であることがわかる。

【００７０】オーソリティZA（証明者P）は、証明書の
公開鍵に対応する秘密鍵と、メンバの公開鍵に対応する
秘密鍵とが等しいことを証明する。つまり、前述したDL
(v,w) = DL(u, α)を証明する零知識証明プロトコルを
利用して、DL(z_k, v_k) = DL(x_k, α)を認証者Vに対して
証明する。ただし、x_k = α^y_k・v_i ^e_k mod pである。
なお、メンバの公開鍵は公開のデータベースに登録され
ている。

【００７１】● DL(z_k, v_k) = DL(x_k, α)を証明する零
知識証明プロトコル (1)証明者Pは、v_kを認証者Vに送る。 (2)認証者Vは、乱数aとb(a, b ∈ Zq)を選び、ch = v_k ^a
・α^bを計算し、証明者Pに送る。 (3)証明者Pは、乱数t(t ∈ Zq)を選び、h1 = ch・α^tとh
2 = h1^r_kを計算し、それらを認証者Vに送る。 (4)認証者Vは、(a, b)を証明者Pに送る。 (5)証明者Pは、ch = v_k ^a・α^bを確認し、tを認証者Vに
送る。 (6)認証者Vは、h1 = v_k ^a・α^b+tとh2 = z_k ^a・x_k ^b+tを確
認する。なお、上記のプロトコルの代わりに、同様の証明が可能
なプロトコルを使うこともでき、上記のプロトコルだけ
が利用可能なものというわけではない。

【００７２】方法2（各メンバによる署名の否認）: も
う一つの開示方法は、対象のグループ署名が、自分が生
成した署名ではないことを、各メンバが証明することに
よって実現する。

【００７３】メンバj（証明者P）は、そのグループ署名
に使われているz_kに対応する秘密鍵が自分の公開鍵に対
応する秘密鍵s_j = DL(z_j, x_j)とは異なることを（認証
者Vに）示す。つまり、DL(v_j, α) ≠ DL(z_k, x_k)を以
下のプロトコルで証明する。ただし、p, q, α, v_i,
v_j, z_kおよびx_k = α^y_k・v_i ^e_k mod pは、証明者Pと認
証者Vの両方が知っていて、両者がパラメータγに合意
した上で、以下のプロトコルが実行される。

【００７４】なお、BC(γ, R)は、乱数Rを入力したビッ
トγのビットコミットメントと呼ばれる。これは、ある
ビットについて‘0’か‘1’の何れかを選択し、その値
が何れかかは、乱数Rが明らかにならない限りわからな
いような変換値である。従って、乱数Rを示すことでコ
ミットした値を開示でき、同じ変換値に対して違うビッ
トをコミットしたと偽ることが困難であるという性質を
もつ。例えば、I. B.Damgard「Practical and provably
secure release of a secret and exchangeof a signa
ture」Proc. of EUROCRYPT'93, pp.207-217 (1994)に具
体例が示されている。

【００７５】●DL(v_j, α) ≠ DL(z_k, x_k)を証明する零
知識証明プロトコルなお、表記を簡略化するために、以下の説明においては
mod pを一部省略する。 (1)認証者Vは、乱数e(e ∈ Zq*)とβ ∈ {0, 1}を選
び、(a, b)を次のように計算し、得られた(a,b)を証明
者Pに送る。 β =‘0’ならば (a, b) = (α^e, v_j ^e) β =‘1’ならば (a, b) = (x_k ^e, z_k ^e) (2)証明者Pは、A^-sj ≡ b (mod p)の成立を確認し、成
り立つならばγ =‘1’とし、成り立たないならばγ =
‘0’とし、g = BC(γ, R)を認証者Vに送る。 (3)認証者Vは、eを証明者Pに送る。 (4)証明者Pは、(a, b) = (α^e, v_j ^e)あるいは(a, b) =
(x_k ^e, z_k ^e)が成立することを確認し、どちらかが成り立
つならばans = Rとし、どちらも成り立たないならばans
= stopとし、ansを認証者Vに送る。 (5)認証者Vは、ans = stopの場合はプロトコルの処理を
中止し、そうでない場合はBC(γ, R) = gを確認する。 (6)上記(1)から(5)を合計r回繰り返す。

【００７６】なお、上記のプロトコルの代わりに、同様
の証明が可能なプロトコルを使うこともでき、上記のプ
ロトコルだけが利用可能なものというわけではない。

【００７７】受信者が開示したいグループ署名を有する
ときに、以上の二つの方法の何れか片方だけを実行する
ように制御することに加え、以下のように制御すること
も可能である。つまり、第一は、二つの方法を任意に選
択して実行できるように制御する方法である。第二は、
自動的に方法1を実行し、オーソリティZAが有効に機能
しない場合は、方法2を実行する制御方法である。第三
は、自動的に方法2を実行し、コンタクトできないメン
バがあるなどの理由で開示できない場合は、方法1を実
行する制御方法である。

【００７８】グループが複数存在する場合は、各グルー
プ（a, b, …とする）に対応する信頼できるオーソリテ
ィZA_a, ZA_b, …を設け、各オーソリティZAが固有の公開
鍵v_a, v_b, …を管理する、あるいは、信頼できる単一の
オーソリティZAが各グループに対応する個別の公開鍵
v_a, v_b, …を管理する、あるいは、それらの中間的な方
法があり得る。何れの場合にせよ、上記の説明と同様に
してそれぞれのグループ署名を実現できる。

【００７９】以上の実施形態において、指定者あるいは
信頼されたオーソリティ、署名者あるいはメンバ、確認
者あるいは署名の受信者は、情報処理および通信に関す
る能力をもつ情報処理装置、例えばパーソナルコンピュ
ータ上において実現可能である。指定者、オーソリテ
ィ、署名者、メンバ、確認者、受信者の間における通信
は、例えばインターネットのようなネットワーク上で匿
名通信を可能にするサービスを運用することによって実
現できる。

【００８０】そして、パーソナルコンピュータのような
装置により、上記の計算を行い、上記のサービスが利用
できる通信ネットワーク上で通信を行うことにより、上
記の各ステップを実行して、匿名公開鍵証明書に基づく
ディジタル署名をグループ署名として用いた情報通信シ
ステムを構築することができる。勿論、インターネット
に限らず外部と分離された環境、例えば企業内のローカ
ルエリアネットワーク(LAN)においても、情報処理装置
を用いて通信ネットワークおよびサービスを構築するこ
とにより、匿名公開鍵証明書に基づくディジタル署名を
グループ署名として用いた情報通信システムを構築する
ことができる。

【００８１】また、上記では、オーソリティZAが、匿名
公開鍵証明書をメンバに直接送る例を説明したが、用途
によっては、同証明書を公開データベースに登録し、メ
ンバおよび署名の受信者が公開データベースにアクセス
するという方法もあり得る。

【００８２】以上説明したように、本実施形態にかかる
匿名公開鍵証明書に基づくディジタル署名をグループ署
名として用いた情報通信システムによれば、グループの
公開鍵の大きさはグループメンバ数に比例せず、各メン
バが、その署名は自分が作成した署名か否かを証明する
ことが可能なグループ署名を実現することができる。従
って、公開鍵の大きさがメンバ数に比例しない場合で
も、必ずしもオーソリティZAを必要とせず、データサイ
ズの低減と開示の際の融通性を同時に達成でき、コスト
低減と使い勝手の向上を達成することができる。

【００８３】また、本実施形態にかかるグループ署名方
式は、あるグループ署名に対して、オーソリティZAは、
その署名の開示を行うことが可能であり、かつ、各メン
バは、その署名は自分が作成した署名か否かを証明する
ことも可能である。従って、オーソリティZAが有効に機
能しない場合にも、署名の開示を行うことができ、また
その逆も可能であり、より柔軟性のあるシステム、使い
勝手のよいシステムにすることができる。

【００８４】また、本実施形態にかかるグループ署名方
式は、グループの公開鍵の大きさはグループメンバ数に
比例せず、かつ、オーソリティZAは、あるグループ署名
に対して、その署名の開示を行うことが可能であり、か
つ、各メンバは、その署名は自分が作成した署名か否か
を証明することが可能である。従って、データサイズが
小さくなる上、オーソリティZAを用いて署名の開示を行
うことも、オーソリティZAが有効に機能しない場合に署
名の開示を行うこともでき、データサイズの低減と開示
の際の融通性の最適化が図れ、コスト低減と使い勝手の
最適化を実現することができる。

【００８５】さらに、本実施形態にかかるグループ署名
方式は、メンバの新規加入が容易であるという特徴をも
つので、メンバの加入の度に処理を繰り返す必要がな
く、システム全体の効率を向上することができる。

【００８６】また、前述したPark等が提案するグループ
署名方式における公開鍵の大きさと、本発明にかかる方
式の公開鍵の大きさとを、素数pを688ビット、一方向性
ハッシュ関数のセキュリティパラメータを70ビットに揃
えて比較すると、Park等のグループ署名の大きさが1676
ビットになる（k'λ = 70とした）のに対して、本発明
にかかる方式のグループ署名の大きさは1108ビットであ
る。従って、署名の大きさを約34%削減でき、その分、
通信のコストを下げることができる。

【００８７】

【第２実施形態】以下、本発明にかかる第2実施形態の
情報通信システムを説明する。なお、第2実施形態にお
いて、第1実施形態と略同様の構成については、同一符
号を付して、その詳細説明を省略する。

【００８８】前述した実施形態においては、z_jに対する
公開鍵証明書をSchnorr暗号の署名を用いて生成し、p,
q, x_j, z_jを公開鍵、s_jを秘密鍵として、メッセージm_j
に対してSchnorr暗号の署名を適用した。これに対し、
第2実施形態においては、メッセージm_jに対して、Schno
rr暗号の署名ではなくE暗号(T. E. ElGamal「A publick
ey cryptosystem and a signature scheme based on di
screte logarithms」IEEE Transaction on Information
Theory, Vol. IT-31, No. 4, pp.469-472, 1985)を適
用する。

【００８９】以下では、第1実施形態と異なる点だけを
説明する。

【００９０】Step 12（グループ署名の作成）: 署名者j
は、署名をしたいメッセージm(j)に対し、次の方式で署
名を生成する。署名者jは、秘密の乱数k(j)を選び(k(j)
∈Zq*)、次式を計算する。 r(j) = x_j ^k(j) mod p s(j) = (m(j) + s_j・r(j))・k(j)^-1 mod (p - 1)

【００９１】そして、((y_j, e_j, z_j), r(j), s(j), m
(j))を署名として、必要な相手に送る。

【００９２】Step 13（グループ署名の確認）: 上記署
名を受信した確認者は最初に、式(2)を確認し、次に次
式を確認する。 x_j ^m(j) ≡ z_j ^r(j)・r(j)^s(j) mod p

【００９３】上記が確認できたならば、受信者（確認
者）は、メッセージm(j)に対する署名はオーソリティZA
に認められたメンバによって生成された署名であると納
得する。

【００９４】

【第３実施形態】以下、本発明にかかる第3実施形態の
情報通信システムを説明する。なお、第3実施形態にお
いて、第1実施形態と略同様の構成については、同一符
号を付して、その詳細説明を省略する。

【００９５】前述した第1および第2実施形態において
は、z_jに対する公開鍵証明書をSchnorr暗号の署名を用
いて生成し、メッセージm_jに対してSchnorr暗号またはE
暗号を適用する例を説明した。同様に、ディジタル署名
標準案としてNIST (National Institute of Standard a
nd Technology)に提案されたDSA（「Digital Signature
Algorithm」岡本栄司著、暗号理論入門、共立出版、pp.
136-138参照）をメッセージm_jに対して用いることも可
能である。

【００９６】p, q, x_j, z_jを公開鍵、s_jを秘密鍵として
用いる。

【００９７】Step 12（グループ署名の作成）: 署名者j
は、署名をしたいメッセージm(j)に対し、次の方式で署
名を生成する。署名者jは、秘密の乱数k(j)を選び(k(j)
∈Zq*)、次式を計算する。 r(j) = (x_j ^k(j) mod p) mod q s(j) = k(j)^-1・(H(m(j)) - s_j・r(j)) mod q

【００９８】そして、(((y_j, e_j), z_j), ((r(j), s
(j)), m(j)))を署名として、必要な相手に送る。

【００９９】Step 13（グループ署名の確認）: 上記署
名を受信した確認者は最初に、式(2)を確認し、0＜r(j)
＜q, 0＜s(j)＜qを確認した後、次の処理を行う。 w = s(j)^-1 mod q u1 = H(m(j))・w mod q u2 = r(j)・w mod q v = (x_j ^u1・z_j ^u2 mod p) mod q

【０１００】そして、以上の計算結果からv = r(j)を確
認し、確認できたならば受信者はm(j)に対する署名はオ
ーソリティZAに選ばれたメンバによって生成された署名
であると納得する。

【０１０１】

【第４実施形態】以下、本発明にかかる第4実施形態の
情報通信システムを説明する。なお、第4実施形態にお
いて、第1実施形態と略同様の構成については、同一符
号を付して、その詳細説明を省略する。

【０１０２】前述した第1から第3実施形態においては、
z_jに対する公開鍵証明書をSchnorr暗号の署名を用いて
生成し、メッセージm_jに対してSchnorr暗号、E暗号また
はDSAを適用する例を説明した。これに対して、z_jに対
する公開鍵証明書の生成にSchnorr暗号の署名の代わっ
て、E暗号を適用することも可能である。ただし、x_jとz
_jが次式の関係を満たすことが保証できるように、署名
を適用することに注意する。 x_j = α^r_j mod p z_j = v_j ^r_j mod p

【０１０３】具体的には、以下のとおりである。

【０１０４】Step 11（メンバに対する証明書の発行）:
オーソリティZAは、メンバjに対して、秘密の乱数r_jを
選び(r_j ∈ Zq*)、次式を計算する。 x_j = α^r_j mod p z_j = v_j ^r_j mod p S_j = (z_j + s_i・x_j)・r_j ^-1 mod (p - 1)

【０１０５】そして、(x_j, S_j, z_j)を公開鍵証明書とす
る。

【０１０６】Step 12（グループ署名の作成）: メンバj
は、次式が成り立つことで公開鍵証明書の正当性を確認
することができる。 α^z_j ≡ v_i ^x_j・x_j ^S_j mod p z_j = x_j ^-S_j mod p

【０１０７】

【第５実施形態】以下、本発明にかかる第5実施形態の
情報通信システムを説明する。なお、第5実施形態にお
いて、第1実施形態と略同様の構成については、同一符
号を付して、その詳細説明を省略する。

【０１０８】前述した第4実施形態においては、z_jに対
する公開鍵証明書の生成にSchnorr暗号の署名の代わり
にE暗号を適用する例を説明した。これに対して、Schno
rr暗号やE暗号の代わりに、DSAを適用することも可能で
ある。ただし、x_jとz_jが次式の関係を満たすことが保証
できるように、署名を適用することに注意する。 x_j = α^r_j mod p z_j = v_j ^r_j mod p

【０１０９】具体的には、以下のとおりである。

【０１１０】Step 11（メンバに対する証明書の発行）:
オーソリティZAは、メンバjに対して、秘密の乱数r_jを
選び(r_j ∈ Zq*)、次式を計算する。 x_j = α^r_j mod p z_j = v_j ^r_j mod p S_j = r_j ^-1・(H(z_j) - s_i・x_j) mod q

【０１１１】そして、(x_j, S_j, z_j)を公開鍵証明書とし
て、メンバjに送る。

【０１１２】公開鍵証明書の正当性は、次のように確認
できる。まず、0＜x_j＜ p, 0＜S_j＜qを確認した後、次
の処理を行う。

【０１１３】Step 12（グループ署名の作成）: メンバj
は、次式が成り立つことで公開鍵証明書の正当性を確認
することができる。まず、0＜x_j＜p, 0＜S_j＜q を確認
した後、次の処理を行う。 w = S_j ^-1 mod q u1 = H(z_j)・w mod q u2 = x_j・w mod q v = α^u1・v_i ^u2 mod p

【０１１４】そして、v = x_jを確認する。公開鍵証明書
の正当性は、次式が成り立つことで確認できる。 z_j = x_j ^-S_j mod p

【０１１５】

【他の実施形態】なお、本発明は、複数の機器（例えば
ホストコンピュータ、インタフェイス機器、リーダ、プ
リンタなど）から構成されるシステムに適用しても、一
つの機器からなる装置（例えば、複写機、ファクシミリ
装置など）に適用してもよい。

【０１１６】また、本発明の目的は、前述した実施形態
の機能を実現するソフトウェアのプログラムコードを記
録した記憶媒体（または記録媒体）を、システムあるい
は装置に供給し、そのシステムあるいは装置のコンピュ
ータ（またはCPUやMPU）が記憶媒体に格納されたプログ
ラムコードを読み出し実行することによっても、達成さ
れることは言うまでもない。この場合、記憶媒体から読
み出されたプログラムコード自体が前述した実施形態の
機能を実現することになり、そのプログラムコードを記
憶した記憶媒体は本発明を構成することになる。また、
コンピュータが読み出したプログラムコードを実行する
ことにより、前述した実施形態の機能が実現されるだけ
でなく、そのプログラムコードの指示に基づき、コンピ
ュータ上で稼働しているオペレーティングシステム(OS)
などが実際の処理の一部または全部を行い、その処理に
よって前述した実施形態の機能が実現される場合も含ま
れることは言うまでもない。

【０１１７】さらに、記憶媒体から読み出されたプログ
ラムコードが、コンピュータに挿入された機能拡張カー
ドやコンピュータに接続された機能拡張ユニットに備わ
るメモリに書込まれた後、そのプログラムコードの指示
に基づき、その機能拡張カードや機能拡張ユニットに備
わるCPUなどが実際の処理の一部または全部を行い、そ
の処理によって前述した実施形態の機能が実現される場
合も含まれることは言うまでもない。

【０１１８】本発明を上記記憶媒体に適用する場合、そ
の記憶媒体には、先に説明したフローチャートに対応す
るプログラムコードを格納することになるが、簡単に説
明すると、図6Aおよび6Bのメモリマップ例に示す各モジ
ュールを記憶媒体に格納することになる。すなわち、少
なくとも「生成」「確認」および「開示」の各モジュー
ル、または、「底生成」「公開鍵生成」「第一の署名生
成」「確認」「第二の署名生成」および「開示」の各モ
ジュールのプログラムコードを記憶媒体に格納すればよ
い。

【０１１９】

【発明の効果】以上説明したように、本発明によれば、
グループの公開鍵の大きさをグループメンバ数に比例さ
せる必要をなくすことができる。

【０１２０】さらに、各メンバによる、その署名が自分
が作成した署名か否かの証明が可能なグループ署名にす
ることができる。

【図面の簡単な説明】

【図１】本発明にかかる公開鍵暗号を応用した匿名公開
鍵証明書を説明するための図、

【図２】公開鍵証明書に関する処理の流れの概要を示す
フローチャート、

【図３】本発明にかかる匿名公開鍵証明書に基づくグル
ープ署名方式を用いたシステムの概念図、

【図４】匿名公開鍵証明書に基づくグループ署名方式を
説明するための図、

【図５】グループ署名方式に関する処理の流れの概要を
示すフローチャートで、

【図６Ａ】本発明にかかるプログラムコードを格納した
記憶媒体のメモリマップ例を示す図、

【図６Ｂ】本発明にかかるプログラムコードを格納した
記憶媒体のメモリマップ例を示す図である。

───────────────────────────────────────────────────── フロントページの続き (56)参考文献特開平４−264485（ＪＰ，Ａ) ＤａｖｉｄＣｈａｕｍａｎｄＥｕｇｅｎｅｖａｎＨｅｙｓｔ，“ＧｒｏｕｐＳｉｇｎａｔｕｒｅｓ”，ＬｅｃｔｕｒｅＮｏｔｅｓｉｎＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ（ＥＵＲＯＣＲＹＰＴ’91），1991年12月９日，Ｖｏｌ．547，ｐｐ．257−265 ＬＨａｒｎ，“Ｇｒｏｕｐ−ｏｒｉｅｎｔｅｄ（ｔ，ｎ）ｔｈｅｒｓｈｏｌｄｄｉｇｉｔａｌｓｉｇｎａｔｕｒｅｓｃｈｅｍｅａｎｄｄｉｇｉｔａｌｍｕｌｔｉｓｉｇｎａｔｕｒｅ”，ＩＥＥＰＲＯＣＥＥＤＩＮＧＳＣＯＭＰＵＴＥＲＳＡＮＤＤＩＧＩＴＡＬＴＥＣＨＮＩＱＵＥＳ，1994 年10月13日，Ｖｏｌ．141，Ｎｏ．５, ｐｐ．307−313 (58)調査した分野(Int.Cl.⁷，ＤＢ名) H04L 9/32 G09C 1/00 640

Claims

(57)【特許請求の範囲】

【請求項１】信頼されたオーソリティに相当する第一
の情報処理装置、および、複数のメンバに相当する複数
の第二の情報処理装置が互いに匿名で通信可能な匿名通
信ネットワーク、並びに、前記第一および第二の情報処
理装置が共通にアクセス可能なデータベースを有するシ
ステムにおけるディジタル署名処理方法であって、前記データベースにシステム共通のデータ群を登録し、前記第二の情報処理装置それぞれが自身の秘密鍵および
公開鍵を生成して当該公開鍵を前記データベースに登録
するとともに、前記第一の情報処理装置が自身の秘密鍵
および公開鍵を生成して当該公開鍵をグループの公開鍵
として前記データベースに登録し、前記第一の情報処理装置が、前記第二の情報処理装置の
中から署名者に相当する第三の情報処理装置を選択し
て、秘密に選んだ第一の乱数により前記第三の情報処理
装置の公開鍵を変換し、変換後の公開鍵、前記共通デー
タ群、前記第一の乱数および自身の秘密鍵を用いて生成
した前記第三の情報処理装置に対する匿名公開鍵証明書
を前記ネットワークを介して前記第三の情報処理装置に
送信し、前記第三の情報処理装置が、メッセージ、秘密に選んだ
第二の乱数、自身の秘密鍵および前記データベースに登
録された共通データ群を用いてディジタル署名を生成し
て、当該ディジタル署名および前記匿名公開鍵証明書を
合せて生成したグループ署名を、前記第二の情報処理装
置の中で確認者となる第四の情報処理装置に前記ネット
ワークを介して送信し、前記第四の情報処理装置が、受信したグループ署名中の
匿名公開鍵証明書を前記グループの公開鍵を用いて検証
し、当該匿名公開鍵証明書中の値を用いて当該グループ
署名中の前記署名者が生成したディジタル署名を検証
し、当該グループ署名が前記署名者によって生成された
グループ署名であることを確認し、前記署名者以外の前記第二の情報処理装置それぞれが、
自身の秘密鍵と前記グループ署名の生成に用いられた前
記署名者の秘密鍵とが異なることを証明することで、前
記署名者を開示することを特徴とするディジタル署名処
理方法。
【請求項２】さらに、前記第一の情報処理装置は、前
記第一の乱数を保存し、該第一の乱数を用いて、前記グ
ループ署名中の匿名公開鍵証明書に利用された公開鍵に
対応する秘密鍵と、特定の情報処理装置の公開鍵に対応
する秘密鍵とが等しいことを証明することで、前記署名
者を開示することを特徴とする請求項1に記載されたデ
ィジタル署名処理方法。
【請求項３】前記ディジタル署名は、Schnorr暗号の
署名、E暗号の署名およびDSA方式の署名の何れかとして
生成されることを特徴とする請求項1に記載されたディ
ジタル署名処理方法。
【請求項４】前記匿名公開鍵証明書は、Schnorr暗号
の署名、E暗号の署名およびDSA方式の署名の何ずれかを
用いて生成されることを特徴とする請求項1に記載され
たディジタル署名処理方法。