JP3691726B2 - Partial blind signature scheme - Google Patents

Partial blind signature scheme Download PDF

Info

Publication number
JP3691726B2
JP3691726B2 JP2000160704A JP2000160704A JP3691726B2 JP 3691726 B2 JP3691726 B2 JP 3691726B2 JP 2000160704 A JP2000160704 A JP 2000160704A JP 2000160704 A JP2000160704 A JP 2000160704A JP 3691726 B2 JP3691726 B2 JP 3691726B2
Authority
JP
Japan
Prior art keywords
signature
challenge
signer
commit
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000160704A
Other languages
Japanese (ja)
Other versions
JP2001343893A (en
Inventor
正幸 阿部
龍明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000160704A priority Critical patent/JP3691726B2/en
Publication of JP2001343893A publication Critical patent/JP2001343893A/en
Application granted granted Critical
Publication of JP3691726B2 publication Critical patent/JP3691726B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、電子情報に対して署名を付与するディジタル署名方式に関するものである。
【0002】
【従来の技術】
ブラインド署名は、署名者に文書の内容を秘密にしたままで署名を付けてもらう技術である。RSA法に基づく方式が、例えばD.Chaum,”Security without Identitication:Transaction Systems to Make Big Brother Obsolete”,Comm.of the ACM,Vol.28,No.10,1985,pp.1030−1044に示されている。
【0003】
署名の要求者は、ブラインド署名前処理によって文書mを乱数αで撹乱してブラインドメッセージeを作成する。署名者は、秘密鍵を用いてeに対応する仮の署名sを計算する。この時、eはαによって撹乱されているため、署名者は文書mを知ることはできない。要求者は、ブラインド署名後処理によって、sから乱数αの影響を除去して、本来の文書mに対する署名σを求め、mとσの対を署名検証者に送信する。署名検証者は、署名者の公開鍵を用いてσがmの署名であることを確認する。ここで、署名検証者は、乱数αを知らないため、sとσの対応関係を知ることはできない。
【0004】
Schnorr署名に基づくブラインド署名の手順を以下に示す。p,qを大きな素数とし、qはp−1を割り切るものとする。gをZpの位数qの元とする。署名者は秘密鍵x及びy=gx mod pを満たす公開鍵yを保持する。Hをハッシュ関数とする。p,q,g,H及びyは公開されているものとする。
【0005】
(Step−1)署名者は乱数k∈Zqを生成し、r:=gk mod qを計算してrを署名要求者へ送信する。
【0006】
(Step−2)署名要求者は乱数α,βを生成し、rを
【0007】
【数1】

Figure 0003691726
【0008】
と撹乱する。次に、チャレンジ値εをε:=H(m,γ)のように計算し、このチャレンジ値をc=ε−β mod qのように撹乱する。最後に、cを署名者へ送信する。
【0009】
(Step−3)署名者はs=k−cx mod qを計算し、sを署名要求者へ送信する。
【0010】
(Step−4)署名要求者はσ:=s+α mod qを計算し、(ε,σ)を文書mに対する署名として出力する。
【0011】
文書mに対する署名(ε,σ)は、
【0012】
【数2】
Figure 0003691726
【0013】
が成り立つ時、正しい文書−署名対として認められ、成り立たないならば、不正な署名であると見なされる。
【0014】
署名生成手順が正しく実行された場合、出力される(ε,σ)は、
【0015】
【数3】
Figure 0003691726
【0016】
となり、検証式
【0017】
【数4】
Figure 0003691726
【0018】
を満たす。
【0019】
【発明が解決しようとする課題】
前述のブラインド署名方式では、署名対象の文書mが完全にランダム化されているため、署名者は必要な情報が文書に正しく含まれているか否かを署名時に確かめることができない。例えば、署名者が、署名に有効期限を付けたい場合、前述の方式では、署名要求者が署名対象文書mの中に有効期限が正しく挿入しているかどうかを、署名者は確認することができない。
【0020】
本発明の目的は、署名対象文書中に、必要な情報が正しく含まれていることを署名者及び署名要求者が相互に確認可能である部分ブラインド署名方式を提供することにある。
【0021】
【課題を解決するための手段】
署名対象文書Mを、確認すべき情報を含む共通公開文書Dと、秘匿とすべき情報を含む秘匿文書mとの二つの部分に分割する。署名者AはDに基づいて、公開された公開鍵生成手段で公開鍵y1を生成する。但し、この公開鍵生成手段は、対応する秘密鍵を求めることが困難であるようなy1を生成するものとする。署名者は、元々保持している公開鍵y0と、新たに生成したy1の少なくとも一方に対応する秘密鍵を保持していることを証明するゼロ知識証明プコトコルに基づいてmに対するブラインド署名を発行する。そのようなゼロ知識証明は、y0に対応する秘密鍵に対するゼロ知識証明を実際に行う一方で、y1に対応する秘密鍵に対するゼロ知識証明をシミュレーションで擬似的に行うことで実行する。署名要求者が、y1あるいはy0に対応する秘密鍵を偽造できない限り、生成された署名は、D及びmに基づいていることが保証される。
【0022】
署名要求者及び署名検証者は、署名者と同様の手順でDから公開鍵y1を作成し、y0とy1の両方を用いて署名を検証する。検証に合格すれば、その署名は、公開部分D及び秘匿部分mの両方に対する署名であることを確認することができる。
【0023】
【発明の実施の形態】
[実施の形態1]
図1は本発明方式のシステム構成を示すもので、図中、10は署名者(センタ)、20は署名要求者、30は署名検証者である。
【0024】
署名者10は、ランダム公開鍵生成手段11と、コミット作成手段12と、疑似署名手段13と、チャレンジ分離手段14と、署名手段15とを備えている。署名要求者20は、ランダム公開鍵生成手段21と、コミット撹乱手段22と、チャレンジ生成手段23と、チャレンジ撹乱手段24と、撹乱除去手段25と、署名検証手段26とを備えている。署名検証者30は、ランダム公開鍵生成手段31と、署名検証手段32とを備えている。
【0025】
図2は乃至図10は本発明方式の第1の実施の形態、ここではElGamal署名に基づく実施の形態(但し、特許請求の範囲には含まれない。)を示すもので、図2は署名者10の処理フロー、図3は署名要求者20の処理フローをそれぞれ示す。
【0026】
pを大きな素数とし、qをp−1を割り切る大きな整数とする。gを位数がqであるZpの元とする。署名者10は{1,……,q−1}の範囲に入る秘密鍵x0及びy0=gx0 mod pを満たす公開鍵y0を保持する。H1及びH2をハッシュ関数とする。p,q,g,H1,H2及びy0は公開されているものとする。
【0027】
まず、公開部分Dを署名者10が決定する場合について説明する。署名要求があった場合、署名者10は以下の手順に従ってブラインド署名を発行する。
【0028】
(A1−1)Dを選ぶ。
【0029】
(A1−2)y1:=H1(D) mod pを計算する(ランダム公開鍵生成手段11の実行)。
【0030】
(A1−3)kを{1,……,q−1}からランダムに選び、r0:=gk modpを計算する(コミット作成手段12の実行)。
【0031】
(A1−4)疑似署名手段13(y1,g,p,q)を実行する。その結果を(r1,s1,c1)とする。
【0032】
(A1−5)r0,r1,Dを署名要求者20へ送信する。
【0033】
(A1−6)署名要求者20からeを受信する。
【0034】
(A1−7)eでなく、NGを受信した場合、異常終了する。NGでない場合、次のステップへ進む。
【0035】
(A1−8)チャレンジ分離手段14(e,c1,q)を実行する。その結果をc0とする。
【0036】
(A1−9)署名手段15(x,k,c0,q)を実行する。その結果をs0とする。
【0037】
(A1−10)s0,s1,c0,c1を署名要求者20へ送信する。
【0038】
署名要求者20は、署名者10に要求を出した後、以下の手順に従って、署名を得る。
【0039】
(B1−1)r0,r1,Dを署名者10から受信する。
【0040】
(B1−2,−3)Dを署名に含めることを認めるならば、次のステップへ進む。拒否するならば、NGを署名者10へ送付し、異常終了する。
【0041】
(B1−4)y1:=H1(D) mod qを計算する(ランダム公開鍵生成手段21の実行)。
【0042】
(B1−5)α0,β0,α1,β1を{0,……,q−1}からランダムに選ぶ。
【0043】
(B1−6)コミット撹乱手段22(y,g,r0,α0,β0,p)を実行し、結果γ0を得る。
【0044】
(B1−7)コミット撹乱手段22(y,g,r1、α1,β1,p)を実行し、結果γ1を得る。
【0045】
(B1−8)ε:=H2(m‖D‖y0‖γ0‖y1‖γ1) mod qを計算する(チャレンジ生成手段23の実行)。
【0046】
(B1−9)チャレンジ撹乱手段24(α0,β0,γ0,r0,α1,β1,γ1,r1,ε,q)を実行し、結果eを得る。
【0047】
(B1−10)署名者10へeを送信する。
【0048】
(B1−11)署名者10からs0,s1,c0,c1を受信する。
【0049】
(B1−12)撹乱除去手段25(α0,β0,γ0,r0,c0,s0,q)を実行し、結果(σ0,ε0)を得る。
【0050】
(B1−13)撹乱除去手段25(α1,β1,γ1,r1,c1,s1,q)を実行し、結果(σ1,ε1)を得る。
【0051】
(B1−14)署名検証手段26(γ0,ε0,σ0,γ1,ε1,σ1,D,m,y0,p,q)を実行し、OKならば、次のステップへ進む。NGならば、異常終了する。
【0052】
(B1−15)γ0,ε0,σ0,γ1,ε1,σ1を出力する。
【0053】
署名検証者30は、署名者10あるいは署名要求者20と同様にランダム公開鍵生成手段31を実行してy1を求めるとともに、署名−文書対(γ0,ε0,σ0,γ1,ε1,σ1,m,D)に対して、署名要求者20と同様に署名検証手段32(γ0,ε0,σ0,γ1,ε1,σ1,D,m,y0,p,q)がOKとなることを検証する。OKならば、その署名を正しいとし、そうでなければ、不正な署名と見なす。
【0054】
例えばP.Horster,M.Michels,H.Petersen,”meta−Message Recovery and Meta−BlindSignature Schemes Based on the Discrete Logarithm Problem and Their Applications”,Aisacrypt’92,Springer−Verlag,1992,pp.224−237に示される通り、ブラインドElGamal署名には、多数の変形版が存在し、どの変形方式を用いるかによって、上記各手段の具体的内容が決まる。以下にその一例を示す。ここで、記号「*」は0または1を表すものとする。
【0055】
Figure 0003691726
【0056】
【数5】
Figure 0003691726
【0057】
Figure 0003691726
かつ
【0058】
【数6】
Figure 0003691726
【0059】
かつ
【0060】
【数7】
Figure 0003691726
【0061】
の時
NG:それ以外
図4、図5、図6、図7、図8、図9、図10にそれぞれ、疑似署名手段13、チャレンジ分離手段14、署名手段15、コミット撹乱手段22、チャレンジ撹乱手段24、撹乱除去手段25、署名検証手段26,32を実現する処理フローの一例を示す。
【0062】
各手段の具体的内容によっては、入力変数の幾つかを使用しない場合もある。
【0063】
ステップA−3及びA−4で、r0 mod q=0あるいはr1 mod q=0となるか否かを検査し、そうなる場合には、これらのステップを乱数を変えて再度実行する、という手順を加えても良い。
【0064】
公開部分Dを署名要求者が決定する場合は、Dに関する選択と不合意(NG)時の通知の役割を入れ換えれば良い。
【0065】
Dがその日の日付である等、署名者と署名要求者との間で独立に取得可能な値である場合には、Dを送付したり、不合意通知をする必要はない。
【0066】
ハッシュ関数H2へ入力する変数の順序は、署名要求者と署名検証者の手順で同一ならば、どのような順序であっても良い。
【0067】
上記の実施の形態は、乗法群Zp *上で構成されたElGamal署名を用いた例であるが、ElGamal署名は離散対数問題が困難であるようなあらゆる群の上で実現できることが既知であり、例えば本実施の形態の趣旨に沿って、楕円曲線上の有限群でのElGamal署名を用いても良い。
【0068】
[実施の形態2]
図11及び図12は本発明方式の第2の実施の形態、ここではSchnorr署名に基づく実施の形態を示すもので、図11は署名者10の処理フロー、図12は署名要求者20の処理フローをそれぞれ示す。
【0069】
p,qを大きな素数とし、qはp−1を割り切るものとする。gをZpの位数qの元とする。署名者10は秘密鍵x及びy0=gx mod pを満たす公開鍵y0を保持する。H1及びH2をハッシュ関数とする。p,q,g,H1,H2及びy0は公開されているものとする。
【0070】
まず、公開部分Dを署名者10が決定する場合について説明する。署名要求があった場合、署名者10は以下の手順に従ってブラインド署名を発行する。
【0071】
(A2−1)Dを選ぶ。
【0072】
(A2−2)y1:=H1(D) mod pを計算する(ランダム公開鍵生成手段11の実行)。
【0073】
(A2−3)kを{1,……,q−1}からランダムに選び、r0:=gk modpを計算する(コミット作成手段12の実行)。
【0074】
(A2−4)(疑似署名手段13の実行)
(a)s1,c1を{0,……,q−1}からランダムに選ぶ。
【0075】
(b)r1:=gs10 c1 mod pを計算する。
【0076】
(A2−5)r0,r1,Dを署名要求者20へ送信する。
【0077】
(A2−6)署名要求者20からeを受信する。
【0078】
(A2−7)eでなく、NGを受信した場合、異常終了する。NGでない場合、次のステップへ進む。
【0079】
(A2−8)c0:=e−c1 mod qを求める(チャレンジ分離手段14の実行)。
【0080】
(A2−9)s0:=k−c0x mod qを求める(署名手段15の実行)。
【0081】
(A2−10)s0,s1,c0,c1を署名者要求20へ送信する。
【0082】
署名要求者20は、署名者10に要求を出した後、以下の手順に従って、署名を得る。
【0083】
(B2−1)r0,r1,Dを署名者10から受信する。
【0084】
(B2−2,−3)Dを署名に含めることを認めるならば、次のステップへ進む。拒否するならば、NGを署名者10へ送付し、異常終了する。
【0085】
(B2−4)y1:=H1(D) mod qを計算する(ランダム公開鍵生成手段21の実行)。
【0086】
(B2−5)α0,β0,α1,β1を{0,……,q−1}からランダムに選び、
【0087】
【数8】
Figure 0003691726
【0088】
及び
【0089】
【数9】
Figure 0003691726
【0090】
を求める(コミット撹乱手段22の実行)。
【0091】
(B2−6)ε:=H2(m‖D‖y0‖γ0‖y1‖γ1)を求める(チャレンジ生成手段23の実行)。
【0092】
(B2−7)e:=ε−β0−β1 mod qを求める(チャレンジ撹乱手段24の実行)。
【0093】
(B2−8)署名者10へeを送信する。
【0094】
(B2−9)署名者10からs0,s1,c0,c1を受信する。
【0095】
(B2−10)ε0:=c0+β0 mod q、σ0:=s0+α0 mod q、ε1:=c1+β1 mod q及びσ1:=s1+α1 mod qを求める(撹乱除去手段25の実行)。
【0096】
(B2−11)(署名検証手段26の実行)
【0097】
【数10】
Figure 0003691726
【0098】
が成り立つならば、次のステップへ進む。成り立たなければ、異常終了する。
【0099】
(B2−12)ε0,σ0,ε1,σ1を出力する。
【0100】
署名検証者30は、署名者10あるいは署名要求者20と同様にランダム公開鍵生成手段31を実行してy1を求めるとともに、署名−文書対(ε0,σ0,ε1,σ1,m,D)に対して、署名要求者20と同様に署名検証手段32を実行し、
【0101】
【数11】
Figure 0003691726
【0102】
が成り立つことを検証する。成り立つならば、その署名を正しいとし、そうでなければ、不正な署名と見なす。
【0103】
署名生成が正しく行われた場合、
【0104】
【数12】
Figure 0003691726
【0105】
となり、ε0,σ0,ε1,σ1,m,Dは検証式を満足する。
【0106】
公開部分Dを署名要求者が決定する場合は、Dに関する選択と不合意(NG)時の通知の役割を入れ換えれば良い。
【0107】
Dがその日の日付である等、署名者と署名要求者との間で独立に取得可能な値である場合には、Dを送付したり、不合意通知をする必要はない。
【0108】
ハッシュ関数H2へ入力する変数の順序は、署名要求者と署名検証者の手順で同一ならば、どのような順序であっても良い。
【0109】
上記の実施の形態は、乗法群Zp *上で構成されたSchnorr署名を用いた例であるが、ElGamal署名と同様、Schnorr署名も離散対数問題が困難であるような群の上で実現できるので、例えば、本実施の形態の趣旨に沿って、楕円曲線上の有限群でのSchnorr署名を用いても良い。
【0110】
【発明の効果】
以上説明したように、本発明によれば、署名対象文書の中に、必要な情報が正しく含まれていることを署名者と署名要求者が相互に確認できるブラインド署名の発行が可能となる。即ち、署名者は、発行した署名に有効期限やその他の条件等、必要な情報を含めることによって、その署名が署名者の意に沿わない条件で使用されることを防止することが可能となる。
【図面の簡単な説明】
【図1】本発明方式のシステムの概要図
【図2】第1の実施の形態における署名者の処理フローを示す図
【図3】第1の実施の形態における署名要求者の処理フローを示す図
【図4】疑似署名手段を実現する処理フローの一例を示す図
【図5】チャレンジ分離手段を実現する処理フローの一例を示す図
【図6】署名手段を実現する処理フローの一例を示す図
【図7】コミット撹乱手段を実現する処理フローの一例を示す図
【図8】チャレンジ撹乱手段を実現する処理フローの一例を示す図
【図9】撹乱除去手段を実現する処理フローの一例を示す図
【図10】署名検証手段を実現する処理フローの一例を示す図
【図11】第2の実施の形態における署名者の処理フローを示す図
【図12】第2の実施の形態における署名要求者の処理フローを示す図
【符号の説明】
10:署名者、11,21,31:ランダム公開鍵生成手段、12:コミット作成手段、13:疑似署名手段、14:チャレンジ分離手段、15:署名手段、20:署名要求者、22:コミット撹乱手段、23:チャレンジ生成手段、24:チャレンジ撹乱手段、25:撹乱除去手段、26,32:署名検証手段、30:署名検証者。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a digital signature method for giving a signature to electronic information.
[0002]
[Prior art]
Blind signature is a technology that allows a signer to sign a document while keeping its contents secret. A method based on the RSA method is described in, for example, Chaum, “Security without Identification: Transaction Systems to Make Big Brother Obsolet”, Comm. of the ACM, Vol. 28, no. 10, 1985, pp. 1030-1044.
[0003]
The requester of the signature creates the blind message e by disturbing the document m with the random number α by the blind signature preprocessing. The signer calculates a temporary signature s corresponding to e using the secret key. At this time, since e is disturbed by α, the signer cannot know the document m. The requester removes the influence of the random number α from s by blind signature post-processing, obtains a signature σ for the original document m, and transmits a pair of m and σ to the signature verifier. The signature verifier uses the signer's public key to confirm that σ is a signature of m. Here, since the signature verifier does not know the random number α, it cannot know the correspondence between s and σ.
[0004]
The procedure of the blind signature based on the Schnorr signature is shown below. Let p and q be large prime numbers, and q be divisible by p-1. Let g be an element of the order q of Z p . The signer holds a private key x and a public key y that satisfies y = g x mod p. Let H be a hash function. Assume that p, q, g, H, and y are open to the public.
[0005]
(Step-1) the signer generates a random number k∈Z q, r: = g k mod q and calculates and transmits an r to the signature requester.
[0006]
(Step-2) The signature requester generates random numbers α and β, and sets r to
[Expression 1]
Figure 0003691726
[0008]
And disturb. Next, the challenge value ε is calculated as ε: = H (m, γ), and the challenge value is disturbed as c = ε−β mod q. Finally, c is sent to the signer.
[0009]
(Step-3) The signer calculates s = k−cx mod q, and sends s to the signer.
[0010]
(Step-4) The signature requester calculates σ: = s + α mod q, and outputs (ε, σ) as a signature for the document m.
[0011]
The signature (ε, σ) for document m is
[0012]
[Expression 2]
Figure 0003691726
[0013]
Is accepted as a valid document-signature pair, otherwise it is considered an illegal signature.
[0014]
When the signature generation procedure is executed correctly, the output (ε, σ) is
[0015]
[Equation 3]
Figure 0003691726
[0016]
And the verification formula [0017]
[Expression 4]
Figure 0003691726
[0018]
Meet.
[0019]
[Problems to be solved by the invention]
In the above-described blind signature method, the document m to be signed is completely randomized, and therefore, the signer cannot confirm whether or not necessary information is correctly included in the document at the time of signing. For example, when the signer wants to add an expiration date to the signature, the signer cannot confirm whether the expiration date is correctly inserted in the signature target document m by the above-described method. .
[0020]
An object of the present invention is to provide a partial blind signature method in which a signer and a signature requester can mutually confirm that necessary information is correctly included in a signature target document.
[0021]
[Means for Solving the Problems]
The signature target document M is divided into two parts: a common public document D including information to be confirmed, and a secret document m including information to be concealed. Based on D, the signer A generates a public key y 1 using a public key generation unit that has been made public. However, this public key generation means generates y 1 that makes it difficult to obtain the corresponding secret key. The signer performs a blind signature on m based on a zero-knowledge proof protocol that proves that it holds a private key corresponding to at least one of the public key y 0 that is originally held and y 1 that is newly generated. Issue. Such zero knowledge proof is executed by actually performing a zero knowledge proof for the secret key corresponding to y 0 while performing a pseudo zero proof for the secret key corresponding to y 1 by simulation. As long as the signature requester cannot forge the secret key corresponding to y 1 or y 0 , the generated signature is guaranteed to be based on D and m.
[0022]
The signature requester and signature verifier create a public key y 1 from D in the same procedure as the signer, and verify the signature using both y 0 and y 1 . If the verification is passed, the signature can be confirmed to be a signature for both the public part D and the secret part m.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
[Embodiment 1]
FIG. 1 shows a system configuration according to the present invention. In the figure, 10 is a signer (center), 20 is a signature requester, and 30 is a signature verifier.
[0024]
The signer 10 includes a random public key generation unit 11, a commit creation unit 12, a pseudo signature unit 13, a challenge separation unit 14, and a signature unit 15. The signature requester 20 includes a random public key generation unit 21, a commit disturbance unit 22, a challenge generation unit 23, a challenge disturbance unit 24, a disturbance removal unit 25, and a signature verification unit 26. The signature verifier 30 includes a random public key generation unit 31 and a signature verification unit 32.
[0025]
2 to FIG. 10 show a first embodiment of the method of the present invention, here an embodiment based on an ElGamal signature (however, not included in the scope of claims). FIG. 3 shows a processing flow of the signature requester 20.
[0026]
Let p be a large prime number and q be a large integer that divides p-1. Let g be an element of Z p with order q. The signer 10 holds a secret key x 0 that falls within the range of {1,..., Q−1} and a public key y 0 that satisfies y 0 = g x0 mod p. Let H 1 and H 2 be hash functions. It is assumed that p, q, g, H 1 , H 2 and y 0 are made public.
[0027]
First, a case where the signer 10 determines the public part D will be described. When there is a signature request, the signer 10 issues a blind signature according to the following procedure.
[0028]
(A1-1) Select D.
[0029]
(A1-2) y 1 : = H 1 (D) mod p is calculated (execution of the random public key generation means 11).
[0030]
(A1-3) k is randomly selected from {1,..., Q−1}, and r 0 : = g k modp is calculated (execution of the commit creation means 12).
[0031]
(A1-4) The pseudo signature means 13 (y 1 , g, p, q) is executed. The result is (r 1 , s 1 , c 1 ).
[0032]
(A1-5) r 0 , r 1 , D are transmitted to the signature requester 20.
[0033]
(A1-6) e is received from the signature requester 20.
[0034]
(A1-7) If NG is received instead of e, the process ends abnormally. If not NG, proceed to the next step.
[0035]
(A1-8) The challenge separation means 14 (e, c 1 , q) is executed. Let the result be c 0 .
[0036]
(A1-9) The signature unit 15 (x, k, c 0 , q) is executed. The result is s 0 .
[0037]
(A1-10) s 0 , s 1 , c 0 , c 1 are transmitted to the signature requester 20.
[0038]
After requesting the signer 10, the signature requester 20 obtains a signature according to the following procedure.
[0039]
(B1-1) Receive r 0 , r 1 , D from the signer 10.
[0040]
If (B1-2, -3) D is allowed to be included in the signature, proceed to the next step. If rejected, NG is sent to the signer 10 and the process ends abnormally.
[0041]
(B1-4) y 1 : = H 1 (D) mod q is calculated (execution of the random public key generation means 21).
[0042]
(B1-5) α 0 , β 0 , α 1 , β 1 are randomly selected from {0,..., Q−1}.
[0043]
(B1-6) The commit disturbing means 22 (y, g, r 0 , α 0 , β 0 , p) is executed, and the result γ 0 is obtained.
[0044]
(B1-7) The commit disturbing means 22 (y, g, r 1 , α 1 , β 1 , p) is executed, and the result γ 1 is obtained.
[0045]
(B1-8) ε: = H 2 (m‖D‖y 0 ‖γ 0 ‖y 1 ‖γ 1 ) mod q is calculated (execution of the challenge generation means 23).
[0046]
(B1-9) The challenge disturbing means 24 (α 0 , β 0 , γ 0 , r 0 , α 1 , β 1 , γ 1 , r 1 , ε, q) is executed, and the result e is obtained.
[0047]
(B1-10) The e is transmitted to the signer 10.
[0048]
(B1-11) s 0 , s 1 , c 0 , c 1 are received from the signer 10.
[0049]
(B1-12) The disturbance removing means 25 (α 0 , β 0 , γ 0 , r 0 , c 0 , s 0 , q) is executed, and the result (σ 0 , ε 0 ) is obtained.
[0050]
(B1-13) The disturbance removing means 25 (α 1 , β 1 , γ 1 , r 1 , c 1 , s 1 , q) is executed, and the result (σ 1 , ε 1 ) is obtained.
[0051]
(B1-14) The signature verification means 26 (γ 0 , ε 0 , σ 0 , γ 1 , ε 1 , σ 1 , D, m, y 0 , p, q) is executed. Proceed to If NG, the process ends abnormally.
[0052]
(B1-15) γ 0 , ε 0 , σ 0 , γ 1 , ε 1 , σ 1 are output.
[0053]
The signature verifier 30 executes the random public key generation means 31 in the same manner as the signer 10 or the signature requester 20 to obtain y 1 , and the signature-document pair (γ 0 , ε 0 , σ 0 , γ 1 , Similarly to the signature requester 20, the signature verification means 32 (γ 0 , ε 0 , σ 0 , γ 1 , ε 1 , σ 1 , D, m, y 0 ) for ε 1 , σ 1 , m, D). , P, q) is verified to be OK. If OK, the signature is considered correct, otherwise it is considered an illegal signature.
[0054]
For example, P.I. Horster, M .; Michels, H.M. Petersen, “meta-Message Recovery and Meta-BlindSignature Schemes Based on the Discrete Logarithm Program and Theila Applications”, Aisacryptp. 92 As shown in 224-237, there are a large number of modified versions of the blind ElGamal signature, and the specific contents of each means are determined depending on which modification method is used. An example is shown below. Here, the symbol “*” represents 0 or 1.
[0055]
Figure 0003691726
[0056]
[Equation 5]
Figure 0003691726
[0057]
Figure 0003691726
And [0058]
[Formula 6]
Figure 0003691726
[0059]
And [0060]
[Expression 7]
Figure 0003691726
[0061]
NG: Otherwise, FIGS. 4, 5, 6, 7, 8, 9, and 10 show pseudo-signature means 13, challenge separation means 14, signature means 15, commit disturbance means 22, and challenge disturbance, respectively. An example of a processing flow for realizing the means 24, the disturbance removal means 25, and the signature verification means 26 and 32 is shown.
[0062]
Depending on the specific contents of each means, some of the input variables may not be used.
[0063]
In steps A-3 and A-4, it is checked whether r 0 mod q = 0 or r 1 mod q = 0, and if so, these steps are executed again while changing the random number. You may add the procedure.
[0064]
When the signature requester determines the public part D, the roles of selection regarding D and notification at the time of disagreement (NG) may be interchanged.
[0065]
If D is a value that can be acquired independently between the signer and the signing requester, such as the date of the day, there is no need to send D or notify disagreement.
[0066]
The order of variables input to the hash function H 2 may be any order as long as the order of the signature requester and the signature verifier is the same.
[0067]
The above embodiment is an example using the ElGamal signature constructed on the multiplicative group Z p * , but it is known that the ElGamal signature can be realized on any group where the discrete logarithm problem is difficult. For example, an ElGamal signature in a finite group on an elliptic curve may be used in accordance with the spirit of the present embodiment.
[0068]
[Embodiment 2]
11 and 12 show a second embodiment of the method of the present invention, here an embodiment based on the Schnorr signature, FIG. 11 is a processing flow of the signer 10, and FIG. 12 is a processing of the signature requester 20. Each flow is shown.
[0069]
Let p and q be large prime numbers, and q be divisible by p-1. Let g be an element of the order q of Z p . The signer 10 holds the public key y 0 that satisfies the secret key x and y 0 = g x mod p. Let H 1 and H 2 be hash functions. It is assumed that p, q, g, H 1 , H 2 and y 0 are made public.
[0070]
First, a case where the signer 10 determines the public part D will be described. When there is a signature request, the signer 10 issues a blind signature according to the following procedure.
[0071]
(A2-1) Select D.
[0072]
(A2-2) y 1 : = H 1 (D) mod p is calculated (execution of the random public key generation means 11).
[0073]
(A2-3) k is randomly selected from {1,..., Q−1}, and r 0 : = g k modp is calculated (execution of the commit creation means 12).
[0074]
(A2-4) (Execution of pseudo-signature means 13)
(A) s 1 and c 1 are randomly selected from {0,..., Q−1}.
[0075]
(B) Calculate r 1 : = g s1 y 0 c1 mod p.
[0076]
(A2-5) r 0 , r 1 , D are transmitted to the signature requester 20.
[0077]
(A2-6) e is received from the signature requester 20.
[0078]
(A2-7) If NG is received instead of e, the process ends abnormally. If not NG, proceed to the next step.
[0079]
(A2-8) c 0 : = e−c 1 mod q is obtained (execution of the challenge separation unit 14).
[0080]
(A2-9) s 0 : = k−c 0 x mod q is obtained (execution of the signature unit 15).
[0081]
(A2-10) s 0 , s 1 , c 0 , c 1 are transmitted to the signer request 20.
[0082]
After requesting the signer 10, the signature requester 20 obtains a signature according to the following procedure.
[0083]
(B2-1) r 0 , r 1 , D are received from the signer 10.
[0084]
If (B2-2, -3) D is allowed to be included in the signature, proceed to the next step. If rejected, NG is sent to the signer 10 and the process ends abnormally.
[0085]
(B2-4) y 1 : = H 1 (D) mod q is calculated (execution of the random public key generation means 21).
[0086]
(B2-5) α 0 , β 0 , α 1 , β 1 are randomly selected from {0,..., Q−1},
[0087]
[Equation 8]
Figure 0003691726
[0088]
And [0089]
[Equation 9]
Figure 0003691726
[0090]
(Execution of the commit disturbing means 22).
[0091]
(B2-6) ε: = H 2 (m‖D‖y 0 ‖γ 0 ‖y 1 ‖γ 1 ) is obtained (execution of the challenge generation means 23).
[0092]
(B2-7) e: = ε−β 0 −β 1 mod q is obtained (execution of the challenge disturbing means 24).
[0093]
(B2-8) e is transmitted to the signer 10.
[0094]
(B2-9) s 0 , s 1 , c 0 , c 1 are received from the signer 10.
[0095]
(B2-10) ε 0 : = c 0 + β 0 mod q, σ 0 : = s 0 + α 0 mod q, ε 1 : = c 1 + β 1 mod q and σ 1 : = s 1 + α 1 mod q (Execution of disturbance removal means 25).
[0096]
(B2-11) (Execution of signature verification means 26)
[0097]
[Expression 10]
Figure 0003691726
[0098]
If holds, go to the next step. If not, it ends abnormally.
[0099]
(B2-12) ε 0 , σ 0 , ε 1 and σ 1 are output.
[0100]
The signature verifier 30 executes the random public key generation means 31 in the same manner as the signer 10 or the signature requester 20 to obtain y 1 , and the signature-document pair (ε 0 , σ 0 , ε 1 , σ 1 , m, D), the signature verification means 32 is executed in the same manner as the signature requester 20;
[0101]
[Expression 11]
Figure 0003691726
[0102]
Verify that holds. If so, the signature is considered correct, otherwise it is considered an illegal signature.
[0103]
If signature generation is successful,
[0104]
[Expression 12]
Figure 0003691726
[0105]
Thus, ε 0 , σ 0 , ε 1 , σ 1 , m, and D satisfy the verification formula.
[0106]
When the signature requester determines the public part D, the roles of selection regarding D and notification at the time of disagreement (NG) may be interchanged.
[0107]
If D is a value that can be acquired independently between the signer and the signing requester, such as the date of the day, there is no need to send D or notify disagreement.
[0108]
The order of variables input to the hash function H 2 may be any order as long as the order of the signature requester and the signature verifier is the same.
[0109]
The above embodiment is an example using the Schnorr signature configured on the multiplicative group Z p *. Like the ElGamal signature, the Schnorr signature can be realized on a group where the discrete logarithm problem is difficult. Therefore, for example, a Schnorr signature in a finite group on an elliptic curve may be used in accordance with the spirit of the present embodiment.
[0110]
【The invention's effect】
As described above, according to the present invention, it is possible to issue a blind signature that allows a signer and a signature requester to mutually confirm that necessary information is correctly included in a signature target document. In other words, the signer can prevent the signature from being used under conditions that do not comply with the signer's will by including necessary information such as an expiration date and other conditions in the issued signature. .
[Brief description of the drawings]
FIG. 1 is a schematic diagram of a system of the present invention system. FIG. 2 is a diagram showing a processing flow of a signer in the first embodiment. FIG. 3 is a processing flow of a signing requester in the first embodiment. FIG. 4 is a diagram showing an example of a processing flow for realizing a pseudo-signature means. FIG. 5 is a diagram showing an example of a processing flow for realizing a challenge separating means. FIG. FIG. 7 is a diagram showing an example of a processing flow for realizing a commit disturbing means. FIG. 8 is a diagram showing an example of a processing flow for realizing a challenge disturbing means. FIG. FIG. 10 is a diagram showing an example of a processing flow for realizing signature verification means. FIG. 11 is a diagram showing a processing flow of a signer in the second embodiment. FIG. 12 is a diagram showing a signature in the second embodiment. Requester's processing flow To Figure [Description of the code]
10: Signer, 11, 21, 31: Random public key generation means, 12: Commit creation means, 13: Pseudo-signature means, 14: Challenge separation means, 15: Signature means, 20: Signature requester, 22: Commit disturbance Means 23: Challenge generation means 24: Challenge disturbance means 25: Disturbance removal means 26, 32: Signature verification means 30: Signature verifier.

Claims (2)

署名者装置は、乱数を秘匿するコミット値を作成する作成手段と、コミット作成に使用した乱数及びチャレンジ値に基づいて署名を生成する署名手段とを有し、署名要求者装置は、乱数でコミット値を撹乱するコミット撹乱手段と、コミット値及び署名対象文書に基づいてチャレンジ値を作成するチャレンジ生成手段と、乱数でチャレンジ値を撹乱するチャレンジ撹乱手段と、署名から乱数成分を除去する撹乱除去手段と、署名を検証する署名検証手段とを有し、署名者装置が、署名対象の文書を知ることなく署名を実行するブラインド署名方式であって、
署名対象の文書は公開共通文書と秘匿文書の二つの部分からなり、
署名者装置は、公開共通文書からランダムな公開鍵を生成するランダム公開鍵生成手段と、ランダムに選んだチャレンジ値に対する署名を生成する疑似署名手段と、署名要求者装置より受信したチャレンジ値から疑似署名手段で用いたランダム値を分離して別のチャレンジ値を生成するチャレンジ分離手段とを有し、
署名要求者装置は、チャレンジ値からも乱数成分を除去する撹乱除去手段と、署名者装置と同様のランダム公開鍵生成手段とを有し、
署名者装置が、ランダム公開鍵生成手段によってランダム公開鍵y1を生成するステップと、
署名者装置が、コミット作成手段によって乱数kに対応するコミット値r0を生成するステップと、
署名者装置が、疑似署名手段によってy1に基づく疑似署名s1、ランダムなチャレンジ値c1及びランダムなコミット値r1を得るステップと、
署名要求者装置が、ランダム公開鍵生成手段によってランダム公開鍵y1を生成するステップと、
署名要求者装置が、コミット撹乱手段によってr0及びr1を撹乱し、撹乱されたコミット値γ0,γ1を得るステップと、
署名要求者装置が、撹乱したコミット値γ0,γ1及び署名対象文書に基づいて、チャレンジ生成手段によってチャレンジ値εを得るステップと、
署名要求者装置が、チャレンジ撹乱手段によって撹乱されたチャレンジ値eを得るステップと、
署名者装置が、チャレンジ分離手段によってeからc1を分離してc0を生成するステップと、
署名者装置が、k,c0及び秘密の署名鍵に基づいて、署名手段によって署名s0を生成するステップと、
署名要求者装置が、撹乱除去手段によってc0,s0からε0,σ0を生成するステップと、
署名要求者装置が、撹乱除去手段によってc1,s1からε1,σ1を生成するステップと、
署名要求者装置が、γ0,ε0,σ0,γ1,ε1,σ1、公開共通文書及び秘匿文書に基づいて、署名検証手段によって署名を検証するステップとを実行する
ことを特徴とする部分ブラインド署名方式。The signer device includes a creating unit that creates a commit value that conceals a random number, and a signing unit that generates a signature based on the random number and the challenge value used for creating the commit. A commit disturbing means for disturbing the value, a challenge generating means for creating a challenge value based on the commit value and the document to be signed, a challenge disturbing means for disturbing the challenge value with a random number, and a disturbance removing means for removing the random number component from the signature And a signature verification means for verifying the signature, wherein the signer device executes the signature without knowing the document to be signed,
The document to be signed consists of two parts: a public common document D and a secret document m .
The signer device includes: a random public key generation unit that generates a random public key from the public common document; a pseudo-signature unit that generates a signature for a randomly selected challenge value; and a pseudo-signature from the challenge value received from the signature requester device. A challenge separating means for separating the random value used in the signing means and generating another challenge value;
The signature requester device has a disturbance removal unit that removes a random number component from the challenge value, and a random public key generation unit similar to the signer device,
The signer device generates a random public key y 1 by a random public key generation means;
The signer device generates a commit value r 0 corresponding to the random number k by the commit creation means;
A signer device obtains a pseudo-signature s 1 based on y 1 , a random challenge value c 1 and a random commit value r 1 by means of a pseudo-signature;
The signature requestor device generates a random public key y 1 by a random public key generation means;
The signature requester device disturbs r 0 and r 1 by commit disturbing means to obtain disturbed commit values γ 0 , γ 1 ;
The signature requester device obtains a challenge value ε by the challenge generation means based on the disturbed commit values γ 0 and γ 1 and the signature target document;
The signature requester device obtains a challenge value e disturbed by the challenge disturbing means;
The signer device separates c 1 from e by challenge separating means to generate c 0 ;
A signer device generating a signature s 0 by a signing means based on k, c 0 and a secret signature key;
The signature requester device generates ε 0 , σ 0 from c 0 , s 0 by the disturbance removing means;
A signature requester device generating ε 1 and σ 1 from c 1 and s 1 by means of disturbance removal;
The signature requester device executes a step of verifying the signature by the signature verification means based on γ 0 , ε 0 , σ 0 , γ 1 , ε 1 , σ 1 , the public common document and the confidential document. Partial blind signature method. p,qを大きな素数とし(qはp−1を割り切るものとする。)、gをZ p の位数qの元とし、署名者装置が、秘密鍵x及びy 0 =g x mod pを満たす公開鍵y 0 を保持するものとした時、Schnorr署名に基づき、
疑似署名手段を、
(a)s1,c1を{0,……,q−1}からランダムに選ぶ、
(b)r1:=gs10 c1 mod pの計算、
で実現し、
チャレンジ分離手段を、
0:=e−c1 mod q
の計算で実現し、
署名手段を、
0:=k−c0x mod q
の計算で実現し、
コミット撹乱手段を、
α 0 ,α 1 ,β 0 ,β 1 を{0,……,q−1}からランダムに選ぶとともに、
Figure 0003691726
及び
Figure 0003691726
の計算で実現し、
チャレンジ撹乱手段を、
e:=ε−β0−β1 mod q
の計算で実現し、
撹乱除去手段を、
ε0:=c0+β0 mod q、
σ0:=s0+α0 mod q、
ε1:=c1+β1 mod q
及び
σ1:=s1+α1 mod q
の計算で実現し、
署名検証手段を、 1 及びH 2 をハッシュ関数として、
Figure 0003691726
が成り立つならばOK、成り立たなければNGで実現した
ことを特徴とする請求項1記載の部分ブラインド署名方式。 Let p and q be large prime numbers (q is divisible by p−1), g is an element of the order q of Z p , and the signer device sets the secret key x and y 0 = g x mod p Based on the Schnorr signature , assuming that the public key y 0 that satisfies
Pseudo-signature means
(A) s 1 and c 1 are randomly selected from {0,..., Q−1}.
(B) Calculation of r 1 : = g s1 y 0 c1 mod p
Realized in
Challenge separation means
c 0 : = e−c 1 mod q
Realized by the calculation of
Signing means,
s 0 : = k−c 0 x mod q
Realized by the calculation of
Commit disruption means,
α 0 , α 1 , β 0 , β 1 are randomly selected from {0,..., q−1},
Figure 0003691726
 as well as
Figure 0003691726
 Realized by the calculation of
Challenge disruption means
e: = ε−β 0 −β 1 mod q
Realized by the calculation of
Disturbance removal means,
ε 0 : = c 0 + β 0 mod q,
σ 0 : = s 0 + α 0 mod q,
ε 1 : = c 1 + β 1 mod q
And σ 1 : = s 1 + α 1 mod q
Realized by the calculation of
Signature verification means, H 1 and H 2 as hash functions,
Figure 0003691726
 The partial blind signature method according to claim 1, wherein if the condition is satisfied, it is OK, and if not, it is realized by NG.
JP2000160704A 2000-05-30 2000-05-30 Partial blind signature scheme Expired - Lifetime JP3691726B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000160704A JP3691726B2 (en) 2000-05-30 2000-05-30 Partial blind signature scheme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000160704A JP3691726B2 (en) 2000-05-30 2000-05-30 Partial blind signature scheme

Publications (2)

Publication Number Publication Date
JP2001343893A JP2001343893A (en) 2001-12-14
JP3691726B2 true JP3691726B2 (en) 2005-09-07

Family

ID=18664859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000160704A Expired - Lifetime JP3691726B2 (en) 2000-05-30 2000-05-30 Partial blind signature scheme

Country Status (1)

Country Link
JP (1) JP3691726B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528696A (en) * 2017-09-27 2017-12-29 武汉理工大学 The digital signature generation method and system of a kind of hiding private key secret

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4678956B2 (en) * 2001-01-22 2011-04-27 株式会社東芝 Attribute certification program and device
JP4577720B2 (en) * 2005-07-11 2010-11-10 日本電信電話株式会社 Partial blind signature / verification / tracking method and system
JP4681474B2 (en) * 2005-09-16 2011-05-11 日本電信電話株式会社 Blind signature generation / verification method, blind signature generation apparatus, user apparatus, blind signature verification apparatus, blind signature generation / verification system, blind signature generation program, user program, blind signature verification program
JP4990739B2 (en) * 2007-11-12 2012-08-01 日本電信電話株式会社 User device, communication method using the same, and program thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528696A (en) * 2017-09-27 2017-12-29 武汉理工大学 The digital signature generation method and system of a kind of hiding private key secret
CN107528696B (en) * 2017-09-27 2020-01-14 武汉理工大学 Method and system for generating digital signature with hidden private key secret

Also Published As

Publication number Publication date
JP2001343893A (en) 2001-12-14

Similar Documents

Publication Publication Date Title
JP5468157B2 (en) Method and apparatus for generating verifiable public key
Brands Restrictive binding of secret-key certificates
Okamoto Provably secure and practical identification schemes and corresponding signature schemes
Ateniese et al. A practical and provably secure coalition-resistant group signature scheme
EP0639907B1 (en) Digital signature method and key agreement method
Ohta et al. On concrete security treatment of signatures derived from identification
US9882890B2 (en) Reissue of cryptographic credentials
KR960042341A (en) Authentication exchange method, restoration digital signature method, supplementary digital signature method, key exchange method, restoration multiple digital signature method, supplementary multiple digital signature method and blind digital signature method
JP4708565B2 (en) Software secret distribution method
CN113095827A (en) Anonymous multiple signature method, computer device, and storage medium
Bellare et al. Deterring certificate subversion: efficient double-authentication-preventing signatures
JP2008048451A (en) Method, system and device for proving authenticity of entity and/or integrity of message
JP3691726B2 (en) Partial blind signature scheme
KR960042410A (en) Authentication exchange method, restoration digital signature method, and additional digital signature method
US10841105B2 (en) Method and system for providing a proof-of-work
GB2313272A (en) Digital signature protocol with reduced bandwidth
JP4772965B2 (en) Method for proving entity authenticity and / or message integrity
US20020044648A1 (en) Methods and systems for efficient chained certification
Liu et al. Formal definition and construction of nominative signature
CN113112269A (en) Multiple signature method, computer device, and storage medium
JP3293461B2 (en) Restricted blind signature method and system
JP3939586B2 (en) Forward secure electronic signature method, apparatus, program, and recording medium
KR100676460B1 (en) Method for proving the authenticity of an entity and/or the integrity of a message by means of a public exponent equal to the power of two
Slowik et al. An efficient verification of CL-LRSW signatures and a pseudonym certificate system
CN112749964B (en) Information monitoring method, system, equipment and storage medium

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040810

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050125

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050616

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3691726

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100624

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100624

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110624

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120624

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130624

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 9

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term