JP5174826B2 - 圧縮されたecdsa署名 - Google Patents
圧縮されたecdsa署名 Download PDFInfo
- Publication number
- JP5174826B2 JP5174826B2 JP2009535536A JP2009535536A JP5174826B2 JP 5174826 B2 JP5174826 B2 JP 5174826B2 JP 2009535536 A JP2009535536 A JP 2009535536A JP 2009535536 A JP2009535536 A JP 2009535536A JP 5174826 B2 JP5174826 B2 JP 5174826B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- values
- value
- pair
- compressed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 52
- 238000012795 verification Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000006837 decompression Effects 0.000 claims description 2
- 238000007906 compression Methods 0.000 description 10
- 230000006835 compression Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/30—Compression, e.g. Merkle-Damgard construction
Description
(本発明の分野)
本発明は、暗号スキームに関し、デジタル署名アルゴリズムにおいて特定の有用性を有する。
本発明は、暗号スキームに関し、デジタル署名アルゴリズムにおいて特定の有用性を有する。
(先行技術の説明)
メッセージのデジタル署名は、署名者にのみ知られた何らかの秘密に、さらには、署名されるメッセージの内容に依存する数である。署名は、検証可能であるように意図される。(自分が実際に作成した署名を否認しようとする署名者か、または不正な請求者のいずれかによって引き起こされる)関係者が文書に署名したか否かに関して争いが生じる場合には、バイアスのかかっていない第三者が、署名者の秘密情報(例えば、秘密鍵)へのアクセスを要求することなく、公正に問題を解決し得るべきである。
メッセージのデジタル署名は、署名者にのみ知られた何らかの秘密に、さらには、署名されるメッセージの内容に依存する数である。署名は、検証可能であるように意図される。(自分が実際に作成した署名を否認しようとする署名者か、または不正な請求者のいずれかによって引き起こされる)関係者が文書に署名したか否かに関して争いが生じる場合には、バイアスのかかっていない第三者が、署名者の秘密情報(例えば、秘密鍵)へのアクセスを要求することなく、公正に問題を解決し得るべきである。
デジタル署名は、特に、それらが暗号スキームにおいて用いられているので、情報安全性において多くの用途を有する。一部の用途は、認証、データ統合性、および非否認(non−repudiation)を含む。デジタル署名の一つの特に有意義な用途は、大規模ネットワークにおける公開鍵の認証である。認証は、信頼される第三者が使用者の識別を公開鍵と結びつけ、その結果、しばらく後の時点で他の主体が信頼される第三者の支援なしで公開鍵を認証し得るための手段である。
デジタル署名アルゴリズム(DSA)として知られている暗号スキームは、周知のしばしば論じられる離散対数問題の難しさ(intractabiliy)に基づいている。DSAは、米国標準技術局(NIST)によって1991年に提案され、デジタル署名標準(DSS)と呼ばれる米国連邦情報処理規格(FIPS 186)となっている。そのアルゴリズムは、周知のElGamal署名スキームの変形であり、付属物を有するデジタル署名(すなわち、カスタマイズされた冗長関数(redundancy function)よりも暗号ハッシュ関数に依存するデジタル署名)として分類され得る。
楕円曲線デジタル署名アルゴリズム(ECDSA)は、楕円曲線暗号システムにおいて用いられ得る、DSAに類似した属性を有する署名スキームである。ECDSAは、概して最も広く標準化された楕円曲線をベースにした署名スキームと見なされ、ANSI X9.62、FIPS 186−2、IEEE 1363−2000およびISO/IEC 15946−2の規格、およびいくつかの草案の規格に見られる。
ECDSA署名生成は、いくつかの領域パラメーター、秘密鍵d、およびメッセージmに対して機能する。出力は、署名(r,s)であり、署名の成分rおよびsは、整数であり、以下のように進められる。
1.任意の整数
1.任意の整数
を選ぶ。nは、領域パラメーターのうちの一つである。
2.kP=(x1,y1)を計算し、x1を整数
2.kP=(x1,y1)を計算し、x1を整数
に変換する。Pは、楕円曲線E上の点であり、領域パラメーターのうちの一つである。
3.
3.
を計算する。r=0の場合には、ステップ1に戻る。
4.e=H(m)を計算する。Hは、出力がnのビット長さを超えないビット長さを有する、暗号ハッシュ関数を示す(この条件が満たされない場合、Hの出力は切り捨て(truncate)られ得る)。
5.s=k−1(e+αr) mod nを計算する。αは、署名者の長期の秘密鍵である。
s=0の場合には、ステップ1に戻る。
6.メッセージmのECDSA署名として対(r,s)を出力する。
4.e=H(m)を計算する。Hは、出力がnのビット長さを超えないビット長さを有する、暗号ハッシュ関数を示す(この条件が満たされない場合、Hの出力は切り捨て(truncate)られ得る)。
5.s=k−1(e+αr) mod nを計算する。αは、署名者の長期の秘密鍵である。
s=0の場合には、ステップ1に戻る。
6.メッセージmのECDSA署名として対(r,s)を出力する。
ECDSA署名検証は、いくつかの領域パラメーター、Q=αPである長期の公開鍵Q、メッセージm、および上記で導かれた署名(r,s)に対して機能する。ECDSA署名検証は、署名の拒絶または承認を出力し、以下のように進められる。
1.rおよびsが区間[1,n−1]にある整数であることを検証する。すべての検証が失敗する場合には、拒絶が返される。
2.e=H(m)を計算する。
3.w=s−1 mod nを計算する。
4.u1=ew mod nおよびu2=rw mod nを計算する。
5.R=u1P+u2Q=s−1(eP+rQ)を計算する。(上記の3および4から)
6.R=∞の場合には、署名は、拒絶される。
7.Rのx座標x1を整数
1.rおよびsが区間[1,n−1]にある整数であることを検証する。すべての検証が失敗する場合には、拒絶が返される。
2.e=H(m)を計算する。
3.w=s−1 mod nを計算する。
4.u1=ew mod nおよびu2=rw mod nを計算する。
5.R=u1P+u2Q=s−1(eP+rQ)を計算する。(上記の3および4から)
6.R=∞の場合には、署名は、拒絶される。
7.Rのx座標x1を整数
に変換する。
を計算する。
8.ν=rの場合には、署名は、承認される。そうでない場合には、署名は、拒絶される。
8.ν=rの場合には、署名は、承認される。そうでない場合には、署名は、拒絶される。
ECDSA署名検証の効率性を高めるために、sの反転を含む上記の具体的なステップ5において、ECDSA署名は、2bビットを省略することでsを切り捨てることによって圧縮されることが知られてきた。そのような圧縮は、付加的な検証ステップを代償として払い、その付加的な検証ステップは、検証者に約22bの追加の楕円曲線群操作を代償として行わせることが知られてきた。
署名の圧縮は、帯域幅の節約が最も重要な暗号用途において特に望ましく、付加的な暗号操作が、検証者によって容易に扱われ得る。一例は、帯域幅が非常に限られた二次元バーコードであるが、検証者のプロセッサーは高速であり得る。別の例は、データを送信するために無線周波数の場からの電力を必要とする無線自動識別(RFID)タグであり、したがって低い送信帯域幅が非常に望まれる。
そのような以前の圧縮スキームよりも検証者に払わせる代償が小さいECDSA署名圧縮のスキームが必要とされている。
したがって、上記の不利な点のうちの少なくとも一つを除去または軽減することが、本発明の目的である。
一つの局面において、メッセージのデジタル署名を圧縮する方法が提供され、署名は、一対の署名成分r、sを含み、その方法は、数学的にsに関連した一対の値c、dを獲得することであって、その一対の値のうちの一つは、sよりも小さいことと、デジタル署名における署名成分sをその一つの値で代替することと、署名を受取人に送ることとを含む。
別の局面において、一対の署名成分r、sから圧縮された署名を生成する暗号システムが提供され、そのシステムは、成分sと数学的に関連した一対の値c、dを提供するための演算ユニットと、署名sをその値のうちの一つの値で代替するための署名生成装置とを有する。
さらに別の局面において、上記の値のうちのもう一方の値を復元し、そのもう一方の値を予め定義された基準と比較するための演算ユニットを含む上記で定義されたシステムを用いて、送付者から受け取られた署名r、cを検証する暗号システムが提供されている。
さらに別の局面において、値sをより小さな値cで代替するステップであって、値cは、sおよび別の値dから導かれ、別の値dは、cがsより小さくなるよう十分に小さい、ステップと、圧縮された署名(r,c)を獲得するために値sを値cで代替するステップとを含む、デジタル署名(r,s)を圧縮する方法が提供される。
さらに別の局面において、圧縮された署名を検証する方法が提供され、圧縮された署名は、完全な署名(r,s)のうちの値sを代替した値cを含み、その方法は、圧縮された署名およびメッセージのパラメーターを用いて値dを計算するステップであって、値cは、値dおよび値sから導かれる、ステップと、dの値が予め決定された基準に従って発見され得る場合には、圧縮された署名を検証するステップとを含む方法が提供される。
(項目1)
メッセージのデジタル署名を圧縮する方法であって、該署名は、一対の署名成分r、sを含み、該方法は、
数学的にsに関連した一対の値c、dを獲得することであって、該一対の値のうちの一つは、sよりも小さい、ことと、
該デジタル署名における該署名成分sを該一つの値で代替することと、
該署名を受取人に送ることと
を含む、方法。
(項目2)
上記値c、dの両方は、予め決定された基準を満たす、項目1に記載の方法。
(項目3)
上記dの値は、予め決定された境界内に収まることを要求される、項目2に記載の方法。
(項目4)
上記値cは、上記成分sより小さい、項目3に記載の方法。
(項目5)
上記成分r、sは、ECDSA署名を表す、項目4に記載の方法。
(項目6)
s、c、およびdは、s=c/d mod nの関係にある、項目1に記載の方法。
(項目7)
上記値c、dは、予め決定された基準を満たすように獲得される、項目6に記載の方法。
(項目8)
上記値c、dは、拡張されたユークリッドの互除法のアルゴリズムの適用によって獲得され、上記予め決定された基準が満たされたときに該アルゴリズムの反復が終了される、項目7に記載の方法。
(項目9)
上記一つの値は、cに対応する、項目6に記載の方法。
(項目10)
上記一つの値は、dに対応する、項目6に記載の方法。
(項目11)
上記署名から上記値のうちのもう一方の値に等しい値を復元することと、定義された基準を満たすか否かを決定することとによって、項目1に従って生成された署名を検証する方法。
(項目12)
上記もう一方の値の復元は、上記署名成分を組み合わせることから獲得される、項目11に記載の方法。
(項目13)
中間的な値は、上記メッセージから獲得され、上記もう一方の値を復元するために上記署名成分から獲得された値と組み合わされる、項目12に記載の方法。
(項目14)
上記もう一方の値は、定義された境界内に収まることを要求される、項目11に記載の方法。
(項目15)
上記もう一方の値が上記予め定義された基準を満たさない場合には、上記署名を拒絶するステップを含む、項目11に記載の方法。
(項目16)
上記もう一方の値が上記予め定義された基準を満たす場合には、上記署名を承認するステップを含む、項目11に記載の方法。
(項目17)
さらなる検証は、上記一つの値の適用から獲得されたオリジナルの署名と、上記受取人によって受け取られた上記署名に該受取人によって復元される上記もう一方の値とに対して実行される、項目16に記載の方法。
(項目18)
一対の署名成分r、sから圧縮された署名を生成する暗号システムであって、該システムは、該成分sと数学的に関連した一対の値c、dを提供するための演算ユニットと、該署名sを該値のうちの一つの値で代替するための署名生成装置とを有する、システム。
(項目19)
上記値のうちのもう一方の値を復元し、該もう一方の値を予め定義された基準と比較するための演算ユニットを含む項目18に記載のシステムを用いて、送付者から受け取られた署名r、cを検証する暗号システム。
(項目1)
メッセージのデジタル署名を圧縮する方法であって、該署名は、一対の署名成分r、sを含み、該方法は、
数学的にsに関連した一対の値c、dを獲得することであって、該一対の値のうちの一つは、sよりも小さい、ことと、
該デジタル署名における該署名成分sを該一つの値で代替することと、
該署名を受取人に送ることと
を含む、方法。
(項目2)
上記値c、dの両方は、予め決定された基準を満たす、項目1に記載の方法。
(項目3)
上記dの値は、予め決定された境界内に収まることを要求される、項目2に記載の方法。
(項目4)
上記値cは、上記成分sより小さい、項目3に記載の方法。
(項目5)
上記成分r、sは、ECDSA署名を表す、項目4に記載の方法。
(項目6)
s、c、およびdは、s=c/d mod nの関係にある、項目1に記載の方法。
(項目7)
上記値c、dは、予め決定された基準を満たすように獲得される、項目6に記載の方法。
(項目8)
上記値c、dは、拡張されたユークリッドの互除法のアルゴリズムの適用によって獲得され、上記予め決定された基準が満たされたときに該アルゴリズムの反復が終了される、項目7に記載の方法。
(項目9)
上記一つの値は、cに対応する、項目6に記載の方法。
(項目10)
上記一つの値は、dに対応する、項目6に記載の方法。
(項目11)
上記署名から上記値のうちのもう一方の値に等しい値を復元することと、定義された基準を満たすか否かを決定することとによって、項目1に従って生成された署名を検証する方法。
(項目12)
上記もう一方の値の復元は、上記署名成分を組み合わせることから獲得される、項目11に記載の方法。
(項目13)
中間的な値は、上記メッセージから獲得され、上記もう一方の値を復元するために上記署名成分から獲得された値と組み合わされる、項目12に記載の方法。
(項目14)
上記もう一方の値は、定義された境界内に収まることを要求される、項目11に記載の方法。
(項目15)
上記もう一方の値が上記予め定義された基準を満たさない場合には、上記署名を拒絶するステップを含む、項目11に記載の方法。
(項目16)
上記もう一方の値が上記予め定義された基準を満たす場合には、上記署名を承認するステップを含む、項目11に記載の方法。
(項目17)
さらなる検証は、上記一つの値の適用から獲得されたオリジナルの署名と、上記受取人によって受け取られた上記署名に該受取人によって復元される上記もう一方の値とに対して実行される、項目16に記載の方法。
(項目18)
一対の署名成分r、sから圧縮された署名を生成する暗号システムであって、該システムは、該成分sと数学的に関連した一対の値c、dを提供するための演算ユニットと、該署名sを該値のうちの一つの値で代替するための署名生成装置とを有する、システム。
(項目19)
上記値のうちのもう一方の値を復元し、該もう一方の値を予め定義された基準と比較するための演算ユニットを含む項目18に記載のシステムを用いて、送付者から受け取られた署名r、cを検証する暗号システム。
本発明の一実施形態が、ここで、添付された図面を参照して単に例として説明される。
図1は、暗号通信システムである。
図2は、署名圧縮スキームおよび圧縮された署名の署名検証スキームの一実施形態を図示するフローチャートである。
図3は、署名圧縮スキームおよび圧縮された署名の署名検証スキームの別の実施形態を図示するフローチャートである。
(本発明の詳細な説明)
したがって、図1を参照すると、暗号通信システムが、数字10によって一般的に示されている。システム10は、通信チャネル16を介して互いに通信し得る第一の通信者12および第二の通信者14を有する。通信チャネル16は、安全であり得るか、または、安全でないこともあり得る。各通信者は、暗号化操作を実行するために、暗号モジュール18および暗号モジュール20をそれぞれ有する。
したがって、図1を参照すると、暗号通信システムが、数字10によって一般的に示されている。システム10は、通信チャネル16を介して互いに通信し得る第一の通信者12および第二の通信者14を有する。通信チャネル16は、安全であり得るか、または、安全でないこともあり得る。各通信者は、暗号化操作を実行するために、暗号モジュール18および暗号モジュール20をそれぞれ有する。
暗号モジュール18および暗号モジュール20はそれぞれ、ECDSA署名生成のような楕円曲線の暗号化操作と、体
上で定義される楕円曲線E上で機能する検証スキームとを実行し得る。本明細書で説明される実施形態は、特にECDSAアルゴリズムに適しており、例えば、署名(r,s)における整数sは、検証者が付加的な暗号化操作を行う必要があるという代償を払って圧縮され得る。
図2に例示された第一の実施形態において、通信者12は、「署名者」として参照され得、通信者14は、「検証者」として参照され得る。署名者12によってメッセージmのために生成されるECDSA署名(r,s)は、上記で説明されたように生成される。帯域幅を狭くするために、署名は、例えばsをより小さな値cにより代替することによって圧縮され得る。この例における値sおよび値cは、式
によって関連づけられ、dの値は、cがsよりも小さい値になるように選ばれる。dの値または「境界」の可能な範囲は、システムパラメーターの一部であり、復元されたdが承認可能か否かを決定する検証ステップにおいて用いられる。
cおよびdの値は、拡張されたユークリッドの互除法の変形を用い、ds+un=cの形の等式を解くことによって獲得され得る。より正確には、拡張されたユークリッドの互除法における中間ステップは、xs+yn=zとなるような値x、y、zを計算する。通常、拡張されたユークリッドの互除法は、小さなxおよびy(0または1の値)および大きなz(nまたはsと同じくらい大きい)で始まり、大きなxおよびy(それぞれおよそnおよびsの大きさ)および小さなzで終わる(ECDSAにおけるnおよびsの選択に対しては生じないであろう、nおよびsが公約数を有する場合を除き、通常は1)。本実施形態において、拡張されたユークリッドの互除法は、大きさが中間的であってdおよびcそれぞれの要求を満たすxおよびyの値を入手するために途中で止められる。
獲得されたcの値は、圧縮された署名(r,c)を提供するために、署名におけるsの代替とされる。次いで、これは、署名者から受取人へ送られる。
圧縮された署名(r,c)は、点Rを計算することによって受取人により検証され得、Rは、rから復元され得る。rからRを復元することは、Rに対するいくつかの候補を提供し得、その場合に、以下の検証スキームが、各々のそのようなRについて検証者14によって試みられ得る。代わりに、候補の値のうちのどれがRに対する正しい選択であるかを示すために、追加の情報が、署名またはメッセージmとともに送られ得るか、または署名またはメッセージmの中に埋め込まれ得る。これは、例えば、Rのy座標の値の最初のビット(first bit)または類似の技術であり得る。各々のそのようなRについて、完全な署名(r,s)は、定義により、R=s−1(eP+rQ)の場合およびその場合にのみ、妥当であり、R=s−1(eP+rQ)は、上記の表記法に従えば、cR=d(eP+rQ)に等しい。
署名(r,c)を検証するために、検証者14は、受取人にとって利用可能な公的情報を用いて行われ得るW=eP+rQを最初に計算する。上記で論じられたように、eは、概してメッセージmのハッシュとして、例えばe=H(m)として計算される。次いで、検証者14は、署名圧縮という目的のために署名者と検証者とによって合意された予め決定された境界よりもdが小さいという知識を用いて、d=logw(cR)を計算しようと試みる。そのようなdが境界内に発見され得ない場合には、圧縮された署名(r,c)は妥当でないとして拒絶される。同様に、合意された境界を満たすdの値が獲得される場合には、署名は、検証されたとみなされ得る。そのような離散対数アルゴリズムは、概して、
に比例する時間を要する。
が十分に小さい場合には、そのようなアルゴリズムを用いることは、検証者14にとって非常に実用的である。いったん(および仮に)dが検証者14によって獲得されると、完全な署名(r,s)は、s=c/d mod nを計算することによって復元され得、検証者14が望む場合には、検証者14がまた完全な署名を用いる、または検証することも可能にし得る。
図3に示される別の実施形態において、圧縮された署名は、(r,d)であり得、dは、上記の表記法において用いられる値であり、この場合において、cの復元された値は、特定の範囲の大きさを満たすこと、すなわち「十分に小さい」ことが要求される。
上記の実施形態と同様に、値W=eP+rQが最初に計算され、次いで、検証者14は、Rを選ぶために任意の適切な方法を用いてc=logR(dW)を計算しようと試み、上記の計算は、cが十分に小さい場合に行われ得る。そのようなcが発見され得ない場合には、圧縮された署名(r,d)は、妥当でないとして拒絶される。いったん(および仮に)cが獲得されると、署名は検証されたとみなされ得るが、検証者14が完全な署名(r,s)を用いるまたは検証することを望む場合には、完全な署名(r,s)は、s=c/d mod nを計算することによって復元され得る。
多くの実用的な用途において、Rの選択は、しばしば二つの値の間に、例えばrのみが与えられる場合にはRと−Rとの間の選択に狭められ得る。一般に、Rとある点Wとの間の離散対数を解くアルゴリズムはまた、−RとWとの間の対数を求める。なぜならば最初の対数が例えばuである場合、もう一方は−uだからである。典型的には、−uが十分に小さいことをチェックするのは容易なので、候補の対(R,−R)につき一つの離散対数を計算すれば、概して十分である。
上記の圧縮スキームは、検証者14が追加の2bの楕円曲線群操作を実行するという代償を払って、2bビットの除去によりECDSA署名を効果的に圧縮し得、bは、署名者によって選ばれた予め決定された値である。公知の圧縮技術によって、2bビットを節減することの代償は、22bの追加の署名検証であったが、その追加の署名検証は、適度な大きさのbに対して、より多くの相当なコストがかかる。
ECDSA署名(r,s)の検証、圧縮および解凍が秘密鍵を用いないで行われ得ることは、留意されるべきである。安全性の観点から、このことは、秘密鍵が完全な署名を圧縮または解凍する必要がないので、圧縮されたECDSA署名が完全な署名と同じように安全であることが大いに保証されることを意味する。実用的な観点から、このことは、圧縮された署名を検証するために、第三者が上記で説明されたスキームを含み得る方法を用いてサービスを提供し得ることを意味する。例えば、CAは、署名者によって作成された署名を圧縮し、それらが検証され得る受取人にそれらを送るための媒介として機能し得る。
本発明は、所定の具体的な実施形態を参照して説明されてきたが、それらの多様な修正は、本明細書に添付された特許請求の範囲に概略が述べられている本発明の精神および範囲から逸脱することなく、当業者にとって明らかであろう。例えば、本技術は、第一の署名コンポーネントを生成するために短期の秘密鍵が用いられる他の離散対数署名アルゴリズムとともに用いられ得、第一の署名コンポーネントは、次いで第二の署名コンポーネントを生成するためにメッセージおよび署名者の長期の秘密鍵と結びつけられる。
Claims (21)
- メッセージのデジタル署名を圧縮する方法であって、該デジタル署名は、一対の署名成分r、sを含み、該方法は、暗号化操作を実行する暗号モジュールによって実行され、該暗号モジュールは、演算ユニットと、署名生成器とを含み、
該方法は、
該演算ユニットが、数学的にsに関連した一対の値c、dを取得することであって、該一対の値のうちの一方の値は、sよりも小さい、ことと、
該署名生成器が、該デジタル署名における該署名成分sを該一対の値のうちの該一方の値で代替することにより、圧縮された署名を生成することと、
該暗号モジュールが、該圧縮された署名を受取人の別の暗号モジュールに送ることと
を含む、方法。 - 前記一対の値のうちの前記一方の値は、sよりも小さいビット数を含む、請求項1に記載の方法。
- 前記値c、dの両方は、所定の基準を満たす、請求項1に記載の方法。
- 前記dの値は、予め定義された境界内に収まることを必要とされる、請求項3に記載の方法。
- 前記値cは、前記署名成分sより小さい、請求項4に記載の方法。
- 前記署名成分r、sは、ECDSA署名を表す、請求項5に記載の方法。
- s、c、およびdは、
nは、領域パラメータである、請求項1に記載の方法。 - 前記値c、dは、所定の基準を満たすように取得される、請求項7に記載の方法。
- 前記値c、dは、拡張されたユークリッドの互除法のアルゴリズムの適用によって取得され、前記所定の基準が満たされたときに該アルゴリズムの反復が終了される、請求項8に記載の方法。
- 前記一対の値のうちの前記一方の値は、cに対応する、請求項7に記載の方法。
- 前記一対の値のうちの前記一方の値は、dに対応する、請求項7に記載の方法。
- 請求項1に従って生成された圧縮された署名を検証する方法であって、該圧縮された署名を検証する方法は、暗号化操作を実行する前記別の暗号モジュールによって実行され、該別の暗号モジュールは、別の演算ユニットを含み、
該方法は、
該別の演算ユニットが、該圧縮された署名から前記一対の値のうちの他方の値を復元することと、
該別の演算ユニットが、該一対の値のうちの該他方の値が予め定義された基準を満たすか否かを決定することと
を含む、方法。 - 前記一対の値のうちの前記他方の値の復元は、前記圧縮された署名の署名成分を組み合わせることから取得される、請求項12に記載の方法。
- 中間的な値は、前記メッセージから取得され、前記一対の値のうちの前記他方の値を復元するために前記圧縮された署名の署名成分から取得された値と組み合わされる、請求項13に記載の方法。
- 前記一対の値のうちの前記他方の値は、予め定義された境界内に収まることを必要とされる、請求項12に記載の方法。
- 前記一対の値のうちの前記他方の値が前記予め定義された基準を満たさない場合には、前記別の演算ユニットが、前記圧縮された署名を拒絶するステップを含む、請求項12に記載の方法。
- 前記一対の値のうちの前記他方の値が前記予め定義された基準を満たす場合には、前記別の演算ユニットが、前記圧縮された署名を承認するステップを含む、請求項12に記載の方法。
- さらなる検証は、前記一対の値のうちの前記一方の値の適用から取得されたオリジナルの署名と、前記圧縮された署名から前記別の演算ユニットによって復元される該一対の値のうちの前記他方の値とに対して実行される、請求項17に記載の方法。
- 一対の署名成分r、sを含むデジタル署名から圧縮された署名を生成する暗号システムであって、該システムは、該署名成分sと数学的に関連した一対の値c、dを提供するための演算ユニットと、該署名成分sを該一対の値のうちの一方の値で代替するための署名生成装置とを有し、該一対の値のうちの該一方の値は、sよりも小さい、暗号システム。
- 前記一対の値のうちの前記一方の値は、sよりも小さいビット数を含む、請求項19に記載の暗号システム。
- 前記一対の値のうちの他方の値を復元し、該一対の値のうちの該他方の値と予め定義された基準とを比較するための演算ユニットを含む請求項18に記載のシステムを用いて、送付者の署名生成器から受け取られた圧縮された署名r、cを検証する暗号システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US86554406P | 2006-11-13 | 2006-11-13 | |
| US60/865,544 | 2006-11-13 | ||
| PCT/CA2007/002023 WO2008058377A1 (en) | 2006-11-13 | 2007-11-13 | Compressed ecdsa signatures |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012043403A Division JP2012110053A (ja) | 2006-11-13 | 2012-02-29 | 圧縮されたecdsa署名 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010509623A JP2010509623A (ja) | 2010-03-25 |
| JP5174826B2 true JP5174826B2 (ja) | 2013-04-03 |
Family
ID=39401272
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009535536A Active JP5174826B2 (ja) | 2006-11-13 | 2007-11-13 | 圧縮されたecdsa署名 |
| JP2012043403A Withdrawn JP2012110053A (ja) | 2006-11-13 | 2012-02-29 | 圧縮されたecdsa署名 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012043403A Withdrawn JP2012110053A (ja) | 2006-11-13 | 2012-02-29 | 圧縮されたecdsa署名 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8631240B2 (ja) |
| EP (1) | EP2082523B1 (ja) |
| JP (2) | JP5174826B2 (ja) |
| CN (1) | CN101647229B (ja) |
| CA (1) | CA2669472C (ja) |
| SG (1) | SG175679A1 (ja) |
| WO (1) | WO2008058377A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8691439B2 (en) | 2002-02-27 | 2014-04-08 | Spectrum Brands, Inc. | Alkaline cell with performance enhancing additives |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2363976A1 (en) * | 2010-02-25 | 2011-09-07 | Certicom Corp. | Improved digital signature and key agreement schemes |
| US8918648B2 (en) | 2010-02-25 | 2014-12-23 | Certicom Corp. | Digital signature and key agreement schemes |
| EP2495907A1 (en) * | 2011-02-28 | 2012-09-05 | Certicom Corp. | System and method for reducing computations in the derivation of a publick key corresponding to an implicit certificate |
| US8572367B2 (en) | 2011-02-28 | 2013-10-29 | Certicom Corp. | System and method for reducing computations in an implicit certificate scheme |
| DE102013204708A1 (de) * | 2013-03-18 | 2014-09-18 | Siemens Aktiengesellschaft | Recheneinheit und Verfahren zur Bereitstellung einer digitalen Signatur |
| US9800411B1 (en) * | 2016-05-05 | 2017-10-24 | ISARA Corporation | Using a secret generator in an elliptic curve cryptography (ECC) digital signature scheme |
| CN109413084B (zh) * | 2018-11-15 | 2021-08-31 | 北京信安世纪科技股份有限公司 | 一种口令更新方法、装置及系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5054088A (en) | 1989-09-20 | 1991-10-01 | International Business Machines Corporation | Signature verification data compression for storage on an identification card |
| US5757915A (en) * | 1995-08-25 | 1998-05-26 | Intel Corporation | Parameterized hash functions for access control |
| US6795553B1 (en) * | 1997-11-04 | 2004-09-21 | Nippon Telegraph And Telephone Corporation | Method and apparatus for modular inversion for information security and recording medium with a program for implementing the method |
| US6279110B1 (en) * | 1997-11-10 | 2001-08-21 | Certicom Corporation | Masked digital signatures |
| US6011873A (en) | 1998-04-29 | 2000-01-04 | Penware, Inc. | Method and apparatus for lossless compression of signature data |
| US6757827B1 (en) * | 1999-04-26 | 2004-06-29 | Unisys Corporation | Autonomously secured image data |
| CA2285770A1 (en) | 1999-05-26 | 2000-11-26 | Certicom Corp. | Efficient digital signatures for mail systems |
| US6356937B1 (en) * | 1999-07-06 | 2002-03-12 | David Montville | Interoperable full-featured web-based and client-side e-mail system |
| JP2002132148A (ja) * | 2000-10-26 | 2002-05-09 | Sangikyou:Kk | デジタル署名の圧縮方法 |
| JP2002207426A (ja) | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および電子認証装置、並びにプログラム記憶媒体 |
| EP2395424B1 (en) | 2005-01-18 | 2013-07-31 | Certicom Corp. | Accelerated verification of digital signatures and public keys |
| US8533473B2 (en) | 2005-03-04 | 2013-09-10 | Oracle America, Inc. | Method and apparatus for reducing bandwidth usage in secure transactions |
-
2007
- 2007-11-13 EP EP07845497.2A patent/EP2082523B1/en active Active
- 2007-11-13 CA CA2669472A patent/CA2669472C/en active Active
- 2007-11-13 US US11/939,022 patent/US8631240B2/en active Active
- 2007-11-13 WO PCT/CA2007/002023 patent/WO2008058377A1/en active Application Filing
- 2007-11-13 SG SG2011078326A patent/SG175679A1/en unknown
- 2007-11-13 JP JP2009535536A patent/JP5174826B2/ja active Active
- 2007-11-13 CN CN2007800419460A patent/CN101647229B/zh active Active
-
2012
- 2012-02-29 JP JP2012043403A patent/JP2012110053A/ja not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8691439B2 (en) | 2002-02-27 | 2014-04-08 | Spectrum Brands, Inc. | Alkaline cell with performance enhancing additives |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2082523A4 (en) | 2010-11-10 |
| JP2010509623A (ja) | 2010-03-25 |
| US20100023775A1 (en) | 2010-01-28 |
| EP2082523A1 (en) | 2009-07-29 |
| US8631240B2 (en) | 2014-01-14 |
| CA2669472A1 (en) | 2008-05-22 |
| JP2012110053A (ja) | 2012-06-07 |
| CA2669472C (en) | 2015-11-24 |
| EP2082523B1 (en) | 2014-03-19 |
| CN101647229A (zh) | 2010-02-10 |
| WO2008058377A1 (en) | 2008-05-22 |
| SG175679A1 (en) | 2011-11-28 |
| CN101647229B (zh) | 2013-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5174826B2 (ja) | 圧縮されたecdsa署名 | |
| US7372961B2 (en) | Method of public key generation | |
| US20120096274A1 (en) | Authenticated encryption for digital signatures with message recovery | |
| EP2503728B1 (en) | Incorporating data into public-key reconstruction data of an ecqv implicit certificate | |
| US9800418B2 (en) | Signature protocol | |
| US20120096273A1 (en) | Authenticated encryption for digital signatures with message recovery | |
| CN107911217B (zh) | 基于ecdsa算法协同生成签名的方法、装置和数据处理系统 | |
| US20150006900A1 (en) | Signature protocol | |
| Chande et al. | An improvement of a elliptic curve digital signature algorithm | |
| Stallings | Digital signature algorithms | |
| JP2005513564A (ja) | 負荷を複数のエンティティおよびそのデバイスに分散させるための暗号法 | |
| KR100659609B1 (ko) | 디지털 서명 생성 및 확인 방법 및 그 장치 | |
| Wu et al. | Self-certified multi-proxy signature schemes with message recovery | |
| JP3540477B2 (ja) | 署名方式 | |
| Jain | Digital signature algorithm | |
| Wei | Design of hyperelliptic curve system digital signature in identity authentication | |
| CA2892318C (en) | Signature protocol | |
| Bamasak et al. | DiSigncryption: an integration of agent-based signature delegation with distributed reputation management scheme | |
| II et al. | ECRYPT II | |
| Parthiban et al. | Stern Series Based ECC for Digital Signature with Message Recovery | |
| JP2003234735A (ja) | 検証可暗号方法、送信者側端末、受信者側端末、検証可暗号システム、及びデータ送受信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100526 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120229 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120711 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121102 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20121122 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121210 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121228 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5174826 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |