JPH08328472A - 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 - Google Patents

認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法

Info

Publication number
JPH08328472A
JPH08328472A JP8154963A JP15496396A JPH08328472A JP H08328472 A JPH08328472 A JP H08328472A JP 8154963 A JP8154963 A JP 8154963A JP 15496396 A JP15496396 A JP 15496396A JP H08328472 A JPH08328472 A JP H08328472A
Authority
JP
Japan
Prior art keywords
message
signer
electronic signature
mod
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP8154963A
Other languages
English (en)
Other versions
JP3522447B2 (ja
Inventor
Ill Hwan Park
イル ホアン バク
Chung Ryong Jang
チョン ヨン ジャン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KOREA TELECOMMUN AUTHORITY
KORIA TELECOMMUN OOSORITEI
KT Corp
Original Assignee
KOREA TELECOMMUN AUTHORITY
KORIA TELECOMMUN OOSORITEI
KT Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KOREA TELECOMMUN AUTHORITY, KORIA TELECOMMUN OOSORITEI, KT Corp filed Critical KOREA TELECOMMUN AUTHORITY
Publication of JPH08328472A publication Critical patent/JPH08328472A/ja
Application granted granted Critical
Publication of JP3522447B2 publication Critical patent/JP3522447B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 復元型、付加型、復元型公衆、付加型公衆、
ブラインド電子署名方法および認証交換方法およびキー
交換方法に関し、偽証を防止すること。 【解決手段】 証明者Aは、任意数rを選択して認証情
報Iを生成した後、x≡Ig-r mod pを計算して
検証者に送信する。検証者Bは、任意数eを選択して送
信する。証明者Aは、受信した任意数eとxをハッシュ
関数に入力してh(x,e)を生成した後、y≡r+a
h(x,e) mod qを計算して送信する。検証者
Bは、任意数eとxをハッシュ関数に入力してh(x,
e)を生成した後、I≡xgy h(x,e) mod pを
計算してIを復元して、これの内容を確認して証明者A
を認証する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、離散的対数の計算
の困難さに安全性を基礎として多様な応用性を有する認
証交換方法(identification scheme) 、復元型電子署名
方法、付加型電子署名方法、鍵交換方法、復元型公衆電
子署名方法、付加型公衆電子署名方法およびブラインド
電子署名方法に関するもので、特に、証明者が検証者に
より多くの情報を提供して証明者が検証者に自分の身元
をより確実に証明でき、すでに使用された認証情報を再
使用できないようにする認証交換方法と二人の使用者が
共通の秘密鍵を使用して第三者がわからないように鍵を
交換する鍵交換方法、署名するメッセージの大きさによ
り復元型または付加型で電子署名を生成する復元型およ
び付加型電子署名方法、同一なメッセージに対して複数
の署名者が一連の電子署名を生成でき、署名するメッセ
ージの大きさにより復元型または付加型で電子署名を生
成する公衆電子署名方法および署名するメッセージの内
容公開が困難な場合にこれを公証しようとする署名者が
署名するメッセージの内容をわからない状態でも電子署
名を生成するようにするブラインド電子署名方法に関す
るものである。
【0002】なお、本明細書の記述は本件出願の優先権
の基礎たる韓国特許出願第1995−13388号(1
995年5月26日出願)の明細書の記載に基づくもの
であって、当該韓国特許出願の番号を参照することによ
って当該韓国特許出願の明細書の記載内容が本明細書の
一部分を構成するものとする。
【0003】
【従来の技術】現代社会では、学問と半導体技術の革新
によりコンピュータの普及が拡大されることにより、コ
ンピュータ通信網を通じた情報の交換が増大されてい
る。これにより、情報を交換する前に、情報を交換する
相対方の確認と、交換された情報の出処と保存状態等の
情報の保護に対して関心が持たれることになった。情報
が知的財産としての価値を認定される情報化社会に進入
することにより、公衆通信網を通じて伝達される情報の
重要性がより増大される。また、これによる情報の不法
漏出、不法変造等による被害も増加することになった。
【0004】従って、公衆通信網等の各種通信回線を通
じて流通される情報の保護についての関心が高まること
になって、これにより情報の保護のための方法の研究が
活発に進行している。
【0005】一例として、公衆通信網等の各種通信回線
を通じて情報を交換する時に通信する相対方や伝送を受
けたデータの発信元を確認できる認証交換方法と、通信
処理以前に各種端末システムで電子化された文書に従来
の紙文書における手記署名の代わりに符号化された2進
数列(binary sequence coded by originator) を使用し
て署名することにより、伝送された文書の発信元を確認
でき、また文書が不法に変更されたかどうかと内容証明
等を確認できる電子署名(digital signature)方法があ
る。
【0006】上記認証交換方法と電子署名方法におい
て、qは大きい素数で、gは1とp間の自然数でありq
乗してpで割った剰余が1の数(gq ≡1 mod
p)とすると、(g,q,p)は使用者らの間に共通に
使用されるシステム係数である。各使用者らは、1とq
の間で任意のs(1<s<q)を選択して秘密鍵に使用
して、gを−s乗してpで割った剰余v(≡g-s mo
d p)を公開鍵に使用すると、各使用者の公開係数は
(v,g,q,p)になる。これらの公開係数からsを
探し出すことは困難であり、離散的対数の解を求める際
の困難さと同値である。多くの公開鍵認証交換方法(ide
ntification schemes)と電子署名方法(digital signatu
re schemes) が、上記離散的対数問題の計算が難しいと
の事実に安全性を置いている。
【0007】このような電子署名方法は、生成された電
子署名の形態と機能面で、付加型電子署名(digital sig
nature with appendix) 方法、復元型電子署名(digital
signature giving message recovery) 方法、そして、
これらを兼用に使用できる複合型電子署名方法に分類で
きる。
【0008】上記付加型電子署名方法では、生成された
電子署名を署名したメッセージの後尾に付加する方法と
して署名したメッセージと共に対として処理する。上記
復元型電子署名方法では、生成された電子署名の正当性
の検証結果として電子署名に署名されたメッセージを復
元するものである。検証者は、復元されたメッセージの
内容を確認して、電子署名の正当性を検証する。
【0009】そして、付加型と復元型を兼用に使用でき
る複合型電子署名方法は、署名するメッセージの大きさ
(2進ビット数列)または電子署名の使用目的により、
適切に付加型または復元型でメッセージに対して電子署
名を生成できる方法である。
【0010】この複合型電子署名方法は、大きさが小さ
いメッセージについて復元型方法を使用することにより
電子署名の検証結果にメッセージを復元できるから、電
子署名の大きさを小さくして情報通信において通信量を
減らすことができる長所と、大きさが大きいメッセージ
についてはメッセージについての関連情報を包含させて
付加型方法を使用できるから、署名するメッセージの大
きさによりゆとりを持って電子署名を生成できる特徴を
持っている。
【0011】Schnorr(シュノル)は、1989年に離散
的対数の安全性を基礎とする認証交換方法と電子署名方
法を発表した。シュノルの電子署名方法は、付加型方法
として1985年にElGamal が発表した電子署名方法に
メッセージハッシュ関数(hash function) を導入して電
子署名の生成と検証の手順を簡素化し、また、生成され
た電子署名の大きさも小さくした方法である。
【0012】シュノルの認証交換方法は電子署名方法と
構造が同一なアルゴリズムを使用する方法であり、通信
する相対方に自分の身元を認証させる方法である。ま
ず、証明者(prover)Aが自分の身元を検証者(verfier)
Bに証明するシュノルの認証交換方法をみると次の通り
である。
【0013】証明者Aのシステム係数を(g,q,
p)、秘密鍵をs(1<s<q)、そして公開鍵をv
(≡g-s mod p)とすると、証明者Aは1とqの
間で任意数(random number) rを選択して、gをr乗し
てpで割った剰余x(≡gr mod p)を計算して
検証者Bに送信する。検証者Bは証明者Aからxを受信
したら、1とqの間で任意数eを選択して証明者Aに送
信する。
【0014】証明者Aは、検証者Bから受信したeを自
分の秘密鍵sに掛けて、これにxの計算に使用した任意
数rを足した後qで割った剰余y(≡r+se mod
q)を計算して検証者Bに送信する。証明者Aからy
を受信した検証者Bは、gをy乗してこれに証明者Aの
公開鍵vをe乗して掛けた後pで割った剰余x′(≡g
y e mod p)を計算する。このように計算して
求めたx′が証明者Aから受信したxと同一かを確認し
て、証明者Aの身元についての正当性を認証することに
なる。
【0015】シュノルの電子署名方法では、署名するメ
ッセージをmとすると、証明者Aは1とqの間で任意数
rを選択してgをr乗してpで割った剰余x(≡gr
mod p)を計算して、xとメッセージmをハッシュ
関数(hash function) に入力してe(=h(x,m))
を求める。そして、自分の秘密鍵sとeを掛けた後、こ
れにrを足してqで割った剰余y(≡r+se mod
q)を計算する。すると、(e,y)がメッセージm
についての付加型電子署名になる。メッセージmについ
ての付加型電子署名(e,y)の正当性の検証はだれに
でも容易であり、この検証方法は次の通りである。
【0016】メッセージmについての署名者Aの付加型
電子署名が(e,y)の時、検証者はgをy乗してこれ
に署名者Aの公開鍵のvをe乗して掛けた後pで割った
剰余x′(≡gy e mod p)を計算する。そし
て、x′とメッセージmをハッシュ関数に入力してe′
(=h(x′,m))を求める。
【0017】このようにして求めたe′がeと同一かを
確認して、メッセージmについての署名者Aの付加型電
子署名(e,y)の正当性を検証する。
【0018】一方、1993年にNybergとRueppel は、
離散的対数の安全性を基礎とした復元型電子署名方法を
発表した。この復元型電子署名方法は、メッセージにつ
いての電子署名の生成のみではなくて、通信する両方が
同一なシステム係数を使用すると電子署名方法と同一な
アルゴリズムを使用して両方が秘密鍵として共有鍵(ses
sion Key) を生成できる方法としても活用できるもので
ある。
【0019】次に、N−R(Nyberg-Rueppel)の復元型電
子署名方法をみると、次の通りである。
【0020】署名者のシステム係数を(g,q,p)、
秘密鍵をs(1<s<q)、そして公開鍵をv(≡g-s
mod p)とする。mを署名するメッセージとする
と、署名者は1とqの間で任意数rを選択してgを−r
乗してこれにメッセージmを掛けた後pで割った剰余x
(≡mg-r mod p)を計算する。そして、自分の
秘密鍵sとxを掛けた後、これにxの計算に使用した任
意数rを足してqで割った剰余y(≡r+sx mod
q)を計算する。このように計算した(x,y)が、
メッセージmについての復元型電子署名になる。
【0021】電子署名(x,y)の検証方法では、検証
者がgをy乗してこれに署名者の公開鍵のvをx乗して
掛けた後、さらにこれにxを掛けてpで割った剰余xg
y x mod pを計算して、電子署名(x,y)の
検証結果として復元したメッセージmの内容が適合する
かを確認して電子署名(x,y)の正当性を検証する。
【0022】なお、上記N−R(Nyberg-Rueppel)電子署
名方法と同一なアルゴリズムを利用して使用者間に共通
鍵を生成できる鍵交換方法に活用する方法について説明
すると、次の通りである。
【0023】使用者AとBがシステム係数に(g,q,
p)を共通に使用するものとし、
【0024】
【外14】
【0025】とする。使用者AとBとの間に共有鍵を生
成しようとすると、使用者Aは1とqの間で任意数Rと
rを選択してx(≡gR -r mod p)とy(≡r
+sAmod q)を計算し、使用者Bに(x,y)を
送信する。その後使用者Aは、共有鍵としてKを、次の
ように
【0026】
【外15】
【0027】を計算して求める。
【0028】使用者BはAから受信した(x,y)から
次のように計算して、
【0029】
【外16】
【0030】従って、使用者AとBは1回の送受信で両
方の間に共有鍵Kを生成できる。
【0031】そして、離散的対数の安全性を基礎にした
別の鍵交換方法として、両使用者の間に共有鍵を生成で
きるDiffie-Hellman鍵交換方法がある。この方法は、二
人の使用者AとBとが(g,q,p)をシステム係数に
使用する時、AとBとが各々1とqの間で任意数aとb
を選択してga とgb を各々計算して交換すると、Aと
Bが共有鍵としてK(≡(ga b ≡(gb a mo
d p)を共有できる方法である。
【0032】
【発明が解決しようとする課題】上記のような従来の方
法は、認証方法において証明者の身元が正当であること
を確認する過程で証明者の属性の身分証明書、認証時
刻、使用者システム等の情報なしで使用認証方法の安定
性を根拠に認証するために、証明者の関連情報取得が難
しいという問題点があった。また、電子署名方法におい
ても、復元型の場合は人為的な冗長性(redundancy)の使
用により署名全体の大きさが倍加されて処理負荷を増加
させるという点と、付加型の場合は単純に署名自体の検
証だけをして署名関連情報の取得には限界があって、ま
た単独署名方法は公衆署名方法への拡張、鍵交換方法へ
の拡張およびブラインド署名方法への拡張が難しいとい
う問題点があった。
【0033】上記問題点を解決するために案出された本
発明の第1目的は、証明者が検証者により多くの情報を
提供して、すでに使用された認証情報を再使用できない
ようにする認証交換方法を提供することにある。
【0034】上記問題点を解決するために案出された本
発明の第2,第3の目的は、署名するメッセージの大き
さ、すなわち、2進数列の長さにより復元型または付加
型で電子署名を生成する方法を提供することにある。
【0035】上記問題点を解決するために案出された本
発明の第4の目的は、二人の使用者が共通の秘密鍵を使
用して、第三者がわからないように鍵を交換する鍵交換
方法を提供することにある。
【0036】上記問題点を解決するために案出された本
発明の第5,第6の目的は、署名するメッセージの大き
さ、すなわち、2進数列の長さにより復元型または付加
型で電子署名を生成するが、同一なメッセージに対して
複数の署名者が一連の電子署名を生成できるようにする
復元型または付加型公衆電子署名方法を提供することに
ある。
【0037】上記問題点を解決するために案出された本
発明の第7の目的は、署名者が署名するメッセージの内
容が署名者にも公開されない時に電子署名を生成できる
ブラインド電子署名方法を提供することにある。
【0038】
【課題を解決するための手段】上記目的を達成するため
に、本発明は、認証交換方法において、システム係数が
g,q,pで公開鍵がv(≡g-a mod p)の時、
証明者が任意数rを選択してgを−r乗してg-rを求め
た後自分の識別番号と現在の時間を包含する認証情報I
を作成してg-rと掛けてpで割った剰余x(≡Ig-r
mod p)を計算して検証者に送信する第1段階、検
証者が証明者からxを受信した後任意数eを選択して証
明者に送信すると、証明者は受信した任意数eとxをハ
ッシュ関数に入力してh(x,e)を求めて、これに自
分の秘密鍵eを掛けた後xの計算に使用した任意数rを
足してqで割った剰余y(≡r+ah(x,e) mo
dq)を計算して検証者に送信する第2段階、および検
証者がyを受信すると、xとeを共にハッシュ関数に入
力してh(x,e)を求めた後gをy乗したものに証明
者の公開鍵vをh(x,e)乗してさらにxを掛けてp
で割った剰余xgy h(x,e) mod pを計算してx
に包含されている認証情報Iを復元することで認証情報
Iの内容を確認し、証明者の身元を認証する第3段階を
包含することを特徴とする。
【0039】そして、電子メッセージmに対して電子署
名を生成する復元型電子署名方法において、署名者が任
意数rを選択してgを−r乗してg-rを求めた後、これ
にメッセージmを掛けてpで割った剰余x(≡mg-r
mod p)を計算する第1段階、xと自分の識別番号
IDを共にハッシュ関数に入力してh(x,ID)を求
めて、これに自分の秘密鍵aを掛けた後xの計算に使用
した任意数rを足してqで割った剰余y(≡r+ah
(x,ID) mod p)を計算してメッセージmに
対する電子署名(x,y)を生成する第2段階、および
検証者が電子署名(x,y)および識別子IDを受信す
ると、電子署名(x,y)のxと署名者の識別番号ID
を共にハッシュ関数に入力してh(x,ID)を求めた
後、gをy乗してこれに署名者の公開鍵のvをh(x,
ID)乗して掛けた値にさらにxを掛けた後pで割った
剰余xgy h(x,ID) mod pを計算して、xに包
含されているメッセージmを復元してこの内容を確認
し、メッセージmについての電子署名の正当性を検証す
る第3段階を包含することを特徴とする。
【0040】また、電子メッセージmに対して電子署名
を生成する付加型電子署名方法において、署名者がメッ
セージmと自分の識別番号IDを共にハッシュ関数に入
力して、h(ID,m)を求めた後に任意数rを選択し
てgを−r乗してg-rを求めた後、これにh(ID,
m)を掛けてpで割った剰余x(≡h(ID,m)g-r
mod p)を計算する第1段階、xとメッセージmを
共にハッシュ関数に入力してh(x,m)を求めて、こ
れに自分の秘密鍵aを掛けた後xの計算に使用した任意
数rを足してqで割った剰余y(≡r+ah(x,m)
mod q)を計算してメッセージmについての電子
署名(x,y)を生成する第2段階、検証者が電子署名
(x,y)およびメッセージmを受信して、xとメッセ
ージmを共にハッシュ関数に入力してh(x,m)を求
めた後、これにgをy乗して署名者の公開鍵vをh
(x,m)乗して掛けた後、さらにxを掛けてpで割っ
た剰余xgy h(x,m) mod pを計算してxに包含
されているメッセージのハッシュ関数値(h(ID,
m))を復元する第3段階、およびメッセージのハッシ
ュ関数値が署名者の識別番号IDとメッセージmを共に
ハッシュ関数に入力して求めた値h(ID,m)と同一
かを確認して、メッセージmについての電子署名の正当
性を検証する第4段階を包含することを特徴とする。
【0041】また、電子署名の鍵交換方法において、使
用者Aが任意数Rとrを生成してgをR乗して、これに
gを−r乗して掛けた後pで割った剰余x(≡gR -r
mod p)を求める第1段階、使用者Aが、使用者
Bの公開鍵vB
【0042】
【外17】
【0043】を求めた後xとkをハッシュ関数に入力し
てh(x,k)を求めて、これに自分の秘密鍵aを掛け
て、任意数rを足してqで割った剰余y(≡r+ah
(x,k) mod q)を求めて使用者Bに送信する
第2段階、使用者Aが、使用者Bの公開鍵のvB
【0044】
【外18】
【0045】を計算してこれを共有鍵に定めて、使用者
Bが、使用者Aの公開鍵vA を自分の秘密鍵の
【0046】
【外19】
【0047】を求める第3段階、および使用者Bが、使
用者Aから受信した(x,y)からgR を計算するため
にgをy乗して、これに使用者Aの公開鍵vA をh
(x,k)乗して
【0048】
【外20】
【0049】を計算して、使用者Bが共有鍵を得るため
にgR を自分の秘密鍵の−b乗してpで割った剰余K
(≡(gR -b mod p)を計算する第4段階を包
含することを特徴とする。
【0050】また、電子メッセージmに対して複数の署
名者が一連の電子署名を生成する復元型公衆電子署名方
法において、複数の署名者中のはじめの署名者が
【0051】
【外21】
【0052】を求める第1段階、xと第1番目の署名者
の識別子ID1 をハッシュ関数に入力してh(x1 ,I
1 )を求めた後、これと自分の秘密鍵のa1 を掛けて
任意数r1 を足してqで割った剰余y1 (≡r1 +a1
h(x1 ,ID1 ) modq)を求めると(x1 ,y
1 )がメッセージmについての署名者の電子署名になる
第2段階、その後i番目(i≧2)の署名者が、メッセ
ージmおよび(xi-1,yi-1 )を受信して任意の数r
i を選択して
【0053】
【外22】
【0054】xi とメッセージmをハッシュ関数に入力
してh(xi ,IDi )を求めた後、これに自分の秘密
鍵ai を掛けて任意の数ri を足してgで割った剰余y
i (≡ri +ai h(xi ,m) mod q)を求め
て、メッセージmについてのi番目の署名(xi
i )を次の署名者に伝送する第3段階、全ての署名者
が電子署名を生成したかを確認して、未署名者があれば
第3段階に復帰して、未署名者がいなければ最終電子署
名として(y1 ,y2 ,y3 ,…,yn-1 ,yn
n )を生成する第4段階、および検証者が、公衆電子
署名(y1 ,y2 ,y3 ,…,yn-1 ,yn ,xn )お
よび
【0055】
【外23】
【0056】を使用して(xn ,yn )からxn-1 を復
元することを開始してはじめの署名者の電子署名
(x1 ,y1 )を復元して、これでメッセージmを復元
して電子署名の正当性を検証する第5段階を包含するこ
とを特徴とする。
【0057】また、電子メッセージmに対して複数の署
名者が一連の電子署名を生成する付加型公衆電子署名方
法において、複数の署名者中のはじめの署名者がメッセ
ージmと自分の識別番号ID1 をハッシュ関数に入力し
てh(ID1 ,m)を求めた後、これとmについての自
分の説明文句、そして現在の時間等を包含する情報I1
(=h(ID1 ,m)、説明文句、現在の時間)を作成
する第1段階、任意数r1 を選択して
【0058】
【外24】
【0059】y1 (≡r1 +a1 h(x1 ,m) mo
d q)を計算して電子署名(x1 ,y1 )を生成する
第2段階、その後、i番目(i≧2)の電子署名
(xi ,yi)およびメッセージmを受信して、署名者
i-1 とメッセージmについてのi番目の署名者の説明
文句と現在の時間を包含する情報Ii (=yi-1 、説明
文句、現在の時間)を作成した後、
【0060】
【外25】
【0061】yi (≡ri +ai h(xi ,m) mo
d q)を計算してi番目の署名者の電子署名(xi
i )を生成する第3段階、全ての署名者が電子署名を
生成したかを確認して、未署名者があれば第3段階に復
帰して、未署名者がいなければ最終の電子署名として
(x1 ,x2 ,x3 ,…,xn-1 ,xn ,yn )を生成
する第4段階、および検証者が、公衆電子署名(x1
2 ,x3 ,…,xn-1 ,xn ,yn )および
【0062】
【外26】
【0063】を使用して(xn ,yn )からyn-1 を復
元することを開始してはじめの署名者の電子署名
(x1 ,y1 )を復元して、(xi ,yi )から復元さ
れたI1 のh(ID1 ,m)が検証者が求めたh(ID
1 ,m)と同値かを検証することにより署名の正当性を
検証する第5段階を包含することを特徴とする。
【0064】また、電子メッセージmに対して電子署名
を生成するブラインド電子署名方法において、システム
係数がg,q,pで
【0065】
【外27】
【0066】を計算して上記署名者にxB を送信する第
1段階、署名者が任意数rA を選択してgを−rA 乗し
て受信したxB と掛けた後
【0067】
【外28】
【0068】を計算して検証者に送信する第2段階、検
証者が署名者から受信したxA とメッセージmをハッシ
ュ関数に入力してh(xA ,m)を求めた後、これに任
意数rB を足してqで割った剰余yB (≡h(xA
m)+rB mod q)を計算して上記署名者に送信
する第3段階、署名者が受信したyB に自分の秘密鍵の
A を掛けて任意数rA を足してqで割った剰余y
A (≡rA +yB A modq)を計算して検証者に
送信すると、検証者がメッセージmについてのブライン
ド署名(blind signature)(xA ,yA )を受信する第
4段階、および生成された電子署名を検証するために、
検証者が第3段階で求めたh(xA ,m)を利用してv
A をh(xA ,m)乗して、これにgをyA 乗して掛け
た後
【0069】
【外29】
【0070】を計算してメッセージmを復元して、その
内容を確認することにより署名者の電子署名(xA ,y
A )の正当性を検証する第5段階を包含することを特徴
とする。
【0071】
【発明の実施の形態】本発明を概略的に説明すると、離
散的対数の計算の困難さに安全性を基礎として多様な応
用性を持つことで、証明交換方法によれば証明者が検証
者に多くの付加的な情報を提供して証明者が検証者に自
分の身元をより確実に証明できる。
【0072】すなわち、証明者(prover)が検証者(verif
ier)に自分の身元を認証するために認証情報に識別番号
(identification number) 、現在の日付と時間、そして
現在使用しているシステム(host computer address) 等
を示す情報を包含させる方法として、他の認証交換方法
と比較して証明者はより多くの付随的な情報を検証者に
提供することにより認証者が証明者の身元を認証するこ
とにおいて、幅広い弁別力を提供できる方法である。
【0073】また、本発明の電子署名方法は、基本的に
署名するメッセージの大きさ(2進ビット数列の大き
さ)により付加型または復元型で電子署名を生成できる
複合型電子署名方法で、鍵交換方法としても活用され
る。メッセージに対して復元型方法で署名する場合にお
いて、電子署名の検証結果として復元される情報に署名
者のメッセージに関する説明文句と電子署名を生成する
時点の日付と時間等を包含させることにより、検証者が
電子署名の検証結果として電子署名が生成された時期と
署名者が署名したメッセージに関する署名者の付随的な
情報を得られるようにする方法である。
【0074】そして、公衆電子署名方法は、階層的構造
を持つ組織内で業務上の同一なメッセージや書類に対し
て複数の署名者が一連の電子署名を生成できる。ブライ
ンド電子署名方法は、署名者がメッセージの内容をわか
らない状態でそのメッセージに対して電子署名を生成す
る際に公証機関や登記所で公証を受けるために提出する
文書の内容を公開することが困難な場合に主に使用され
る。
【0075】以下、添付した図面を参照して本発明によ
る実施の形態を詳細に説明する。
【0076】図1は本発明による認証交換方法のフロー
図である。
【0077】各使用者のシステム係数は(g,q,
p)、上記p,qは大きい素数、gは1とpの間の自然
数としてq乗してpで割った剰余が1の数(ga ≡1
modp)の時、各使用者は1とqの間で自然数a(1
<a<q)を選択して秘密鍵に使用して、公開鍵v(≡
-a mod p)を計算して公開した後、使用者らは
ハッシュ関数(hash function) としてhを共通に使用す
る。
【0078】そして、各使用者らは、本方法の使用の登
録時に鍵管理センタ(key authenticartion center)から
固有な識別番号(ID:identificaion number)を受け
るが、これは一定な長さの2進数列になっている。
【0079】図1のように証明者Aが検証者Bに自分の
身元を証明する認証交換方法では、証明者Aが1とqの
間で任意数r(1<r<q)を選択してgを−r乗して
-rを計算する。その後証明者Aは、自分の識別番号I
A 、現在の日付と時間、そして現在使用する端末の位
置を示すアドレス(host address or node address)等を
包含する情報I(=IDA 、現在の日付と時間、現在使
用される端末の位置)を作成してg-rに掛けてpで割っ
た剰余x(≡Ig-r mod p)を計算して検証者B
に送信する。
【0080】検証者Bは、証明者Aからxを受信する
と、1とqの間で任意数eを選択して証明者Aに送信す
る。証明者Aは検証者Bから受信したeとxをハッシュ
関数に入力してh(x,e)を求めて自分の秘密鍵aを
掛けた後、これにxの計算に使用した任意数rを足して
qで割った剰余y(≡r+ah(x,e) mod
q)を計算して検証者Bに送信する。
【0081】証明者Aからyを受信した検証者Bは、x
とeをハッシュ関数に入力してh(x,e)を求めた
後、gをy乗したものに証明者Aの公開鍵vをh(x,
e)乗して掛ける。そして、この結果にxを掛けた後p
で割った剰余I(≡xgy h(x,e) mod p)を計
算して証明者Aの認証情報Iを復元する。検証者Bは、
復元された認証情報Iの内容を確認して、証明者Aの身
元を認証する。
【0082】また証明者Aは、場合によってxに包含す
る認証情報Iを1としてx(≡g-rmod p)を計算
して、検証者Bから受信したeについてy(≡r+ah
(x,e) mod q)を計算して検証者に送信でき
る。この時、検証者BはI(≡xgy h(x,e) mod
p)を計算してIが1であるかを確認して、証明者A
の身元を認証することもできる。
【0083】図2および図3は本発明による電子署名方
法のフロー図である。
【0084】上記認証交換方法のようにp,qは大きい
素数で、gは1とpの間の自然数でありq乗してpで割
った剰余が1(1≡ga mod p)の数である。従
って、各使用者らはシステム係数に(g,q,p)を共
通に使用して1とqの間で秘密鍵aを選択してv≡g-a
mod pを計算してvを公開鍵として使用する。
【0085】そして、各使用者らが鍵管理センサ(key a
uthentication center) に本方法の使用を登録すると、
鍵管理センタから固有な識別番号IDが付与される。す
ると各使用者の公開係数は(g,q,p,v,ID)に
なり、ハッシュ関数としてhを共通に使用する。
【0086】上記のように、署名者Aが電子化されたメ
ッセージmについて電子署名を生成するメカニズムをメ
ッセージmの大きさ(2進ビット数)により復元型と付
加型で署名する方法を図2および図3を参照して詳細に
説明すると、次の通りである。
【0087】図2は本発明による復元型電子署名方法の
フロー図である。
【0088】署名するメッセージmの2進ビット数が素
数pの2進ビット数より小さい場合、この復元型電子署
名方法がに遂行される。
【0089】図2のように、署名者Aは、1とqの間で
任意数rを選択してgを−r乗してg-rを求めた後、こ
れにメッセージmを掛けてpで割った剰余x(≡mg-r
mod p)を求める。そして、署名者Aはxと自分
の識別番号IDA を共にハッシュ関数に入力してh
(x,IDA )を求めた後、これに自分の秘密鍵aを掛
けた後rを足してqで割った剰余y(≡r+ah(x,
IDA ) mod q)を求める。すると、(x,y)
がメッセージmについての復元型電子署名になる。
【0090】そして、上記メッセージmについての復元
型電子署名(x,y)の正当性の検証はだれでもできな
ければならないもので、検証者は検証の結果として復元
されたメッセージの内容を確認して、署名の正当性を検
証する。この方法を説明すると、次の通りである。
【0091】署名者Aのメッセージmについての復元型
電子署名が(x,y)とすると、検証者Bは、xと署名
者Aの識別番号IDA を共にハッシュ関数に入力してh
(x,IDA )を求める。検証者Bは、gをy乗してこ
れに署名者Aの公開鍵v(≡g-a mod p)を
【0092】
【外30】
【0093】を計算して、メッセージmを復元する。検
証者Bは、電子署名の検証の結果として復元されたメッ
セージmの内容を確認して、電子署名の正当性を検証す
る。
【0094】図3は本発明による付加型電子署名方法の
フロー図である。
【0095】署名するメッセージmの2進ビット数が素
数pの2進ビット数より大きい場合に、この付加型電子
署名方法が遂行される。
【0096】図3のように、署名するメッセージをmと
すると、署名者Aはメッセージmを自分の識別番号ID
A と共にハッシュ関数に入力してI(=h(IDA
m))を求める。署名者Aは、1とqの間で任意数rを
選択してgを−r乗してg-rを求めて、これにIを掛け
た後pで割った剰余x(≡h(IDA ,m)-r mod
p)を求める。署名者Aは、xとメッセージmをハッシ
ュ関数に入力してh(x,m)を求めて、これに自分の
秘密鍵aを掛けた後xの計算に使用した任意数rを足し
てqで割った剰余y(≡r+ah(x,m) mod
q)を求める。
【0097】このようにして計算した(x,y)が、メ
ッセージmについての付加型電子署名としてメッセージ
mと共に(m,x,y)として処理される。
【0098】署名者Aのメッセージmについての付加型
電子署名(m,x,y)の検証方法は、受信したxとメ
ッセージmをハッシュ関数に入力してh(x,m)を求
めた後、gをy乗してこれに署名者の公開鍵vをh
(x,m)乗してgy h(x,m)を求める。その後、gy
h(x,m)にxを掛けてpで割った剰余xgy h(x,m)
mod pを計算してハッシュ関数値Iを復元する。検
証者Bは、メッセージmを署名者の識別番号IDA と共
にハッシュ関数に入力してh(IDA ,m)を求め、I
と同一かを確認して付加型電子署名(m,x,y)の正
当性を検証する。
【0099】そして、署名者は、署名するメッセージに
ついての署名者の説明文句と署名する時点の時間等を示
す情報を包含する電子署名を生成できるが、その方法の
説明は次の通りである。
【0100】署名者は、自分の識別番号IDとメッセー
ジをハッシュ関数に入力してh(ID,m)を求めて、
メッセージmについての説明文句を作成してh(ID,
m)の後に付加する。そして、署名者が使用するコンピ
ュータ端末を通じて、該当メッセージについての説明と
電子署名を生成する時点の時間等を付加して、I(=h
(IDA ,m)、説明文句、署名した時間)を作成した
後、メッセージに対して付加型方法で電子署名を生成す
るとよい。
【0101】この方法は、既存の署名方法がメッセージ
についての署名のみを行えるのと違い、署名するメッセ
ージについての多様な情報を包含させることにより、検
証者が署名検証の結果として署名の正当性確認および署
名したメッセージに関連された情報を共に取得できるよ
うにする方法である。
【0102】一方、同一なメッセージや書類に対して複
数の署名者が一連の電子署名を生成することが階層的構
造を持つ業務上に必要であるが、このように生成された
電子署名を公衆電子署名として、この公衆電子署名を生
成する方法を説明すると、次の通りである。
【0103】まず、生成される電子署名の大きさを小さ
くして通信量を減少できる復元型公衆電子署名方法は、
署名するメッセージをmとし、署名者AとB、そしてC
がそれらの識別子IDA ,IDB およびIDC を各々包
含するメッセージmに対して一連の電子署名を生成する
ために署名者Aは任意数rA を選択して
【0104】
【外31】
【0105】xA とメッセージ署名者Aの識別子IDA
をハッシュ関数に入力してh(xA ,IDA )を求め
て、これと自分の秘密鍵のaA を掛けて任意数rA を足
してqで割った剰余yA (≡rB +aA h(xA ,ID
A ) mod g)を求めると、(xA ,yA )がメッ
セージmについての署名者Aの電子署名になる。
【0106】署名者Bは、任意数rB を選択して
【0107】
【外32】
【0108】その後、xB と署名者Bの識別子IDB
ハッシュ関数に入力してh(xB ,IDB )を求めて、
これと自分の秘密鍵aB を掛けて任意数rB を足してq
で割った剰余yB (≡rB +aB h(xB ,IDB
mod q)を求めると、(xB ,yB )がメッセージ
mについての署名者Bの電子署名になる。
【0109】次に署名者Cは、任意数rC を選択して
【0110】
【外33】
【0111】その後xC と署名者Cの識別子IDC をハ
ッシュ関数に入力してh(xC ,IDC )を求めて、こ
れと自分の秘密鍵aC を掛けて任意数rC を足してqで
割った剰余yC (≡rC +aC h(xC ,m) mod
q)を求めると、(xC ,yC )がメッセージmにつ
いての署名者Cの電子署名になり、メッセージmについ
ての署名者AとB、そしてCの一連の電子署名は
(yA ,yB ,yC ,xC )になる。
【0112】この一連の電子署名の検証方法では、検証
者が、
【0113】
【外34】
【0114】を使用してmについての署名者Bの電子署
名(xB ,yB )でxA を復元して、mについての署名
者Aの電子署名(xA ,yA )からメッセージmを復元
する。そして、この内容を確認して署名者Aの電子署名
の正当性を検証することにより、一連の電子署名
(yA ,yB ,yC ,xC )が正当か否かを検証でき
る。
【0115】このような方法で、n名の署名者がメッセ
ージmについて次のように公衆署名(y1 ,y2
3 ,…,yn-1 ,yn ,xn )を生成できる。
【0116】
【外35】
【0117】(xn ,yn )からxn-1 を復元すること
を開始してはじめの署名者の電子署名(x1 ,y1 )を
復元して、これでメッセージmを復元してこの内容を確
認することにより、全体の公衆電子署名の正当性を検証
できる。
【0118】次に、メッセージに対して各署名者の説明
文句と署名した時間等を包含する付加型公衆電子署名方
法は、署名者Aがメッセージmと自分の識別番号IDA
をハッシュ関数に入力してh(IDA ,m)を求めた後
これとメッセージmについての署名者Aの説明文句と現
在の時間等を包含する情報IA (≡h(IDA ,m)、
説明文句、現在の時間)を作成した後、
【0119】
【外36】
【0120】yA (≡rA +aA h(xA ,m) mo
d q)を計算して電子署名(xA ,yA )を生成す
る。そして、署名者BがyA とメッセージmについての
署名者Bの説明文句と現在の時間を包含する情報I
B (≡yA 、説明文句、現在の時間)を作成した後、
【0121】
【外37】
【0122】yB (≡rB +aB h(xB ,m) mo
d q)を計算して電子署名(xB ,yB )を生成す
る。そして、署名者CはyB とメッセージmについての
署名者Cの説明文句と現在の時間を包含する情報I
C (=yB 、説明文句、現在の時間)を作成した後、
【0123】
【外38】
【0124】yC (≡rC +aC h(xC ,m) mo
d q)を計算して電子署名(xC ,yC )を生成する
と、(xA ,xB ,xC ,yC )がメッセージmについ
ての付加型公衆電子署名になる。
【0125】この電子署名の検証方法は、検証者が
【0126】
【外39】
【0127】を使用して電子署名(xA ,yA )の正当
性を検証して、(xA ,yA )から復元されたIA のh
(IDA ,m)が検証者が計算したh(IDA ,m)と
同値かを検証することにより確認するものである。そし
て、検証者は検証の各段階で、署名者のメッセージにつ
いての説明文句と電子署名を生成した時間を知ることが
できる。
【0128】このような方法で、n名の署名者が公衆署
名(x1 ,x2 ,x3 ,…,xn-1,xn ,yn )を生
成でき、
【0129】
【外40】
【0130】(xn ,yn )からyn-1 の復元を開始し
てはじめの署名者の電子署名(xA ,yA )を復元した
後、(x1 ,y1 )から復元されたIA のh(IDA
m)が検証者が計算したh(ID1 ,m)と同値かを検
証して正当性を検証することにより、全体の公衆電子署
名の正当性を検証できる。
【0131】図4は本発明によるブラインド電子署名(B
lind signature) 方法のフロー図である。
【0132】このブラインド電子署名方法は、署名者が
メッセージの内容をわからない状態でそのメッセージに
対して電子署名を生成する方法である。
【0133】これは、公証機関や登記所で公証を受ける
ために文書を提出する時、文書の内容を公開することが
困難な場合に主に使用される署名方法である。メッセー
ジの内容が署名者Aに公開されない状態で検証者Bが署
名者Aに電子署名を生成するようにすれば、検証者Bは
任意数rB を選択して、
【0134】
【外41】
【0135】を計算して、署名者AにxB を送信する。
【0136】署名者Aは、任意数rA を選択してgを−
A 乗して受信したxB に掛けた後
【0137】
【外42】
【0138】検証者Bに送信すると、検証者Bは署名者
Aから受信したxA とメッセージmをハッシュ関数に入
力してh(xA ,m)を求めた後、これと任意数rB
足してqで割った剰余yB (≡h(xA ,m)+rB
mod q)を求めて署名者Aに送信する。
【0139】署名者Aは、検証者Bから受信したyB
自分の秘密鍵aA を掛けて任意数rA を足してqで割っ
た剰余yA (≡rA +yB A mod q)を計算し
て検証者Bに送信すると、検証者Bは署名者Aからメッ
セージmについてのブラインド署名(blind signature)
(xA ,yA )を受信することになる。そして、検証者
Bが、
【0140】
【外43】
【0141】メッセージmを復元して、この内容を確認
して(xA ,yA )の正当性を検証する。
【0142】鍵交換方法では、二人の使用者AとBがシ
ステム係数に(g,q,p)とハッシュ関数hを共通に
使用する。使用者Aの秘密鍵がa、公開鍵がvA (≡g
-amod p)、そして使用者Bの秘密鍵がb、公開鍵
がvB (≡g-b modp)とする時、使用者AとBが
共通の秘密鍵を生成する方法は次の通りである。
【0143】使用者Aは、任意数Rとrを生成してgを
R乗してこれにgを−r乗して掛けた後pで割った剰余
x(≡gR -r mod p)を求める。そして、使用
者Aは、使用者Bの公開鍵vB
【0144】
【外44】
【0145】を求めた後、xとkをハッシュ関数に入力
してh(x,k)を求めて、これと自分の秘密鍵aを掛
けて任意数rを足してqで割った剰余y(≡r+ah
(x,k) mod q)を求めて使用者Bに送信す
る。
【0146】その後使用者Aは、使用者Bの公開鍵vB
【0147】
【外45】
【0148】を計算して共有鍵に定める。使用者Bは、
使用者Aの公開鍵vA を自分の秘密鍵の
【0149】
【外46】
【0150】使用者Aから受信した(x,y)からgR
を次のように求める。すなわち、gをy乗してこれに使
用者Aの公開鍵vA をh(x,k)乗して
【0151】
【外47】
【0152】を計算して復元する。その後使用者Bは、
R を自分の秘密鍵の−b乗してpで割った剰余K(≡
(gR -b mod p)を計算して共有鍵に定める。
【0153】従って、使用者AとBは秘密鍵としてKを
共有する。本発明の鍵交換方法では、共有鍵を生成する
使用者AでもBでもない第三者は、使用者AとBの公開
鍵のvA とvB からKを計算できないし、使用者Aから
Bに伝達される情報(x,y)から共有鍵生成者gR
復元できないから、第三者は使用者AとBの間の秘密鍵
の共有鍵Kを計算できない。
【0154】
【発明の効果】上記のように本発明の認証交換方法によ
ると、認証情報に現在の時間を包含させているからどの
証明者も検証者に以前に使用したxを再び使用できない
し、また正当な使用者でない偽証者が正当な使用者のよ
うに偽証使用とする時に、すでに計算された(x,y)
を使用できない。
【0155】従って、偽証者はxと検証者が選択した任
意数eについて偽証しようとすると、正当な使用者の識
別番号IDと現在の時間を復元するために十分な時間内
にIを計算できないから、本発明の認証交換方法による
と偽証することが難しいという効果がある。
【0156】また、二人の使用者が、第三者がわからな
いように共通の秘密鍵を交換することにより、システム
の信頼性を向上できる効果がある。
【0157】また、本発明の公衆電子署名方法による
と、階層的構造を持つ業務上で同一なメッセージや書類
に対して、複数の署名者が一連の電子署名を生成できる
効果がある。
【0158】また、本発明のブラインド電子署名方法に
よると、署名者はメッセージの内容を確認できないし、
また検証者は署名者の秘密鍵がわからないから、メッセ
ージmに対して検証者が署名者の電子署名を偽造できな
い効果がある。
【図面の簡単な説明】
【図1】本発明による認証交換方法を説明するためのフ
ロー図である。
【図2】本発明による復元型電子署名方法を説明するた
めのフロー図である。
【図3】本発明による付加型電子署名方法を説明するた
めのフロー図である。
【図4】本発明によるブラインド電子署名方法を説明す
るためのフロー図である。

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 認証交換方法において、 システム係数がg,q,pで公開鍵がv(≡g-a mo
    d p)の時、証明者が任意数rを選択してgを−r乗
    してg-rを求めた後自分の識別番号と現在の時間を包含
    する認証情報Iを作成してg-rと掛けてpで割った剰余
    x(≡Ig-rmod p)を計算して検証者に送信する
    第1段階、 検証者が証明者からxを受信した後任意数eを選択して
    証明者に送信すると、証明者は受信した任意数eとxを
    ハッシュ関数に入力してh(x,e)を求めて、これに
    自分の秘密鍵eを掛けた後xの計算に使用した任意数r
    を足してqで割った剰余y(≡r+ah(x,e) m
    od q)を計算して検証者に送信する第2段階、およ
    び検証者がyを受信すると、xとeを共にハッシュ関数
    に入力してh(x,e)を求めた後gをy乗したものに
    証明者の公開鍵vをh(x,e)乗してさらにxを掛け
    てpで割った剰余xgy h(x,e) mod pを計算し
    てxに包含されている認証情報Iを復元することで認証
    情報Iの内容を確認し、証明者の身元を認証する第3段
    階を包含することを特徴とする認証交換方法。
  2. 【請求項2】 請求項1において、 上記証明者が作成する上記認証情報Iが1であることを
    特徴とする認証交換方法。
  3. 【請求項3】 電子メッセージmに対して電子署名を生
    成する復元型電子署名方法において、 署名者が任意数rを選択してgを−r乗してg-rを求め
    た後、これにメッセージmを掛けてpで割った剰余x
    (≡mg-r mod p)を計算する第1段階、xと自
    分の識別番号IDを共にハッシュ関数に入力してh
    (x,ID)を求めて、これに自分の秘密鍵aを掛けた
    後xの計算に使用した任意数rを足してqで割った剰余
    y(≡r+ah(x,ID) mod p)を計算して
    メッセージmに対する電子署名(x,y)を生成する第
    2段階、および検証者が電子署名(x,y)および識別
    子IDを受信すると、電子署名(x,y)のxと署名者
    の識別番号IDを共にハッシュ関数に入力してh(x,
    ID)を求めた後、gをy乗してこれに署名者の公開鍵
    のvをh(x,ID)乗して掛けた値にさらにxを掛け
    た後pで割った剰余xgy h(x,ID) mod pを計
    算して、xに包含されているメッセージmを復元してこ
    の内容を確認し、メッセージmについての電子署名の正
    当性を検証する第3段階を包含することを特徴とする復
    元型電子署名方法。
  4. 【請求項4】 電子メッセージmに対して電子署名を生
    成する付加型電子署名方法において、 署名者がメッセージmと自分の識別番号IDを共にハッ
    シュ関数に入力して、h(ID,m)を求めた後に任意
    数rを選択してgを−r乗してg-rを求めた後、これに
    h(ID,m)を掛けてpで割った剰余x(≡h(I
    D,m)g-r mod p)を計算する第1段階、 xとメッセージmを共にハッシュ関数に入力してh
    (x,m)を求めて、これに自分の秘密鍵aを掛けた後
    xの計算に使用した任意数rを足してqで割った剰余y
    (≡r+ah(x,m) mod q)を計算してメッ
    セージmについての電子署名(x,y)を生成する第2
    段階、 検証者が電子署名(x,y)およびメッセージmを受信
    して、xとメッセージmを共にハッシュ関数に入力して
    h(x,m)を求めた後、これにgをy乗して署名者の
    公開鍵vをh(x,m)乗して掛けた後、さらにxを掛
    けてpで割った剰余xgy h(x,m) mod pを計算
    してxに包含されているメッセージのハッシュ関数値
    (h(ID,m))を復元する第3段階、およびメッセ
    ージのハッシュ関数値が署名者の識別番号IDとメッセ
    ージmを共にハッシュ関数に入力して求めた値h(I
    D,m)と同一かを確認して、メッセージmについての
    電子署名の正当性を検証する第4段階を包含することを
    特徴とする付加型電子署名方法。
  5. 【請求項5】 請求項4において、上記第1段階は、 h(ID,m)に署名するメッセージmについての説明
    文句と署名時間を包含するI(=h(ID,m)、説明
    文句、署名時間)を得てこれにg-rを掛けてpで割った
    剰余を計算する段階を包含することを特徴とする付加型
    電子署名方法。
  6. 【請求項6】 電子署名の鍵交換方法において、 使用者Aが任意数Rとrを生成してgをR乗して、これ
    にgを−r乗して掛けた後pで割った剰余x(≡gR
    -r mod p)を求める第1段階、 使用者Aが、使用者Bの公開鍵vB を 【外1】 を求めた後xとkをハッシュ関数に入力してh(x,
    k)を求めて、これに自分の秘密鍵aを掛けて、任意数
    rを足してqで割った剰余y(≡r+ah(x,k)
    mod q)を求めて使用者Bに送信する第2段階、 使用者Aが、使用者Bの公開鍵のvB を 【外2】 を計算してこれを共有鍵に定めて、使用者Bが、使用者
    Aの公開鍵vA を自分の秘密鍵の 【外3】 を求める第3段階、および使用者Bが、使用者Aから受
    信した(x,y)からgR を計算するためにgをy乗し
    て、これに使用者Aの公開鍵vA をh(x,k)乗して 【外4】 を計算して、使用者Bが共有鍵を得るためにgR を自分
    の秘密鍵の−b乗してpで割った剰余K(≡(gR -b
    mod p)を計算する第4段階を包含することを特
    徴とする鍵交換方法。
  7. 【請求項7】 電子メッセージmに対して複数の署名者
    が一連の電子署名を生成する復元型公衆電子署名方法に
    おいて、 複数の署名者中のはじめの署名者が 【外5】 を求める第1段階、 xと第1番目の署名者の識別子ID1 をハッシュ関数に
    入力してh(x1 ,ID1 )を求めた後、これと自分の
    秘密鍵のa1 を掛けて任意数r1 を足してqで割った剰
    余y1 (≡r1 +a1 h(x1 ,ID1 ) mod
    q)を求めると(x1 ,y1 )がメッセージmについて
    の署名者の電子署名になる第2段階、 その後i番目(i≧2)の署名者が、メッセージmおよ
    び(xi-1 ,yi-1 )を受信して任意の数ri を選択し
    て 【外6】 i とメッセージmをハッシュ関数に入力してh
    (xi ,IDi )を求めた後、これに自分の秘密鍵ai
    を掛けて任意の数ri を足してgで割った剰余yi (≡
    i +ai h(xi ,m) mod q)を求めて、メ
    ッセージmについてのi番目の署名(xi ,yi )を次
    の署名者に伝送する第3段階、 全ての署名者が電子署名を生成したかを確認して、未署
    名者があれば第3段階に復帰して、未署名者がいなけれ
    ば最終電子署名として(y1 ,y2 ,y3 ,…,
    n-1 ,yn ,xn )を生成する第4段階、および検証
    者が、公衆電子署名(y1 ,y2 ,y3 ,…,yn-1
    n ,xn )および 【外7】 を使用して(xn ,yn )からxn-1 を復元することを
    開始してはじめの署名者の電子署名(x1 ,y1 )を復
    元して、これでメッセージmを復元して電子署名の正当
    性を検証する第5段階を包含することを特徴とする復元
    型公衆電子署名方法。
  8. 【請求項8】 電子メッセージmに対して複数の署名者
    が一連の電子署名を生成する付加型公衆電子署名方法に
    おいて、 複数の署名者中のはじめの署名者がメッセージmと自分
    の識別番号ID1 をハッシュ関数に入力してh(I
    1 ,m)を求めた後、これとmについての自分の説明
    文句、そして現在の時間等を包含する情報I1 (=h
    (ID1 ,m)、説明文句、現在の時間)を作成する第
    1段階、 任意数r1 を選択して 【外8】 1 (≡r1 +a1 h(x1 ,m) mod q)を計
    算して電子署名(x1 ,y1 )を生成する第2段階、 その後、i番目(i≧2)の電子署名(xi ,yi )お
    よびメッセージmを受信して、署名者yi-1 とメッセー
    ジmについてのi番目の署名者の説明文句と現在の時間
    を包含する情報Ii (=yi-1 、説明文句、現在の時
    間)を作成した後、 【外9】 i (≡ri +ai h(xi ,m) mod q)を計
    算してi番目の署名者の電子署名(xi ,yi )を生成
    する第3段階、 全ての署名者が電子署名を生成したかを確認して、未署
    名者があれば第3段階に復帰して、未署名者がいなけれ
    ば最終の電子署名として(x1 ,x2 ,x3 ,…,x
    n-1 ,xn ,yn )を生成する第4段階、および検証者
    が、公衆電子署名(x1 ,x2 ,x3 ,…,xn-1 ,x
    n ,yn )および 【外10】 を使用して(xn ,yn )からyn-1 を復元することを
    開始してはじめの署名者の電子署名(x1 ,y1 )を復
    元して、(xi ,yi )から復元されたI1 のh(ID
    1 ,m)が検証者が求めたh(ID1 ,m)と同値かを
    検証することにより署名の正当性を検証する第5段階を
    包含することを特徴とする付加型公衆電子署名方法。
  9. 【請求項9】 電子メッセージmに対して電子署名を生
    成するブラインド電子署名方法において、 システム係数がg,q,pで 【外11】 を計算して上記署名者にxB を送信する第1段階、 署名者が任意数rA を選択してgを−rA 乗して受信し
    たxB と掛けた後 【外12】 を計算して検証者に送信する第2段階、 検証者が署名者から受信したxA とメッセージmをハッ
    シュ関数に入力してh(xA ,m)を求めた後、これに
    任意数rB を足してqで割った剰余yB (≡h(xA
    m)+rB mod q)を計算して上記署名者に送信
    する第3段階、署名者が受信したyB に自分の秘密鍵の
    A を掛けて任意数rA を足してqで割った剰余y
    A (≡rA +yB A mod q)を計算して検証者
    に送信すると、検証者がメッセージmについてのブライ
    ンド署名(blind signature)(xA,yA )を受信する
    第4段階、および生成された電子署名を検証するため
    に、検証者が第3段階で求めたh(xA ,m)を利用し
    てvA をh(xA ,m)乗して、これにgをyA 乗して
    掛けた後 【外13】 を計算してメッセージmを復元して、その内容を確認す
    ることにより署名者の電子署名(xA ,yA )の正当性
    を検証する第5段階を包含することを特徴とするブライ
    ンド電子署名方法。
JP15496396A 1995-05-26 1996-05-27 認証交換方法および付加型公衆電子署名方法 Expired - Fee Related JP3522447B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1019950013388A KR0146437B1 (ko) 1995-05-26 1995-05-26 인증교환 방법, 복원형 전자서명 방법, 부가형 전자서명 방법, 키교환 방법, 복원형 다중전자서명 방법, 부가형 다중전자서명 방법 및 블라인드 전자서명 방법
KR1995-13388 1995-05-26

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2003419910A Division JP2004129303A (ja) 1995-05-26 2003-12-17 復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法およびブラインド電子署名方法

Publications (2)

Publication Number Publication Date
JPH08328472A true JPH08328472A (ja) 1996-12-13
JP3522447B2 JP3522447B2 (ja) 2004-04-26

Family

ID=19415517

Family Applications (2)

Application Number Title Priority Date Filing Date
JP15496396A Expired - Fee Related JP3522447B2 (ja) 1995-05-26 1996-05-27 認証交換方法および付加型公衆電子署名方法
JP2003419910A Pending JP2004129303A (ja) 1995-05-26 2003-12-17 復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法およびブラインド電子署名方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2003419910A Pending JP2004129303A (ja) 1995-05-26 2003-12-17 復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法およびブラインド電子署名方法

Country Status (4)

Country Link
US (1) US5966445A (ja)
JP (2) JP3522447B2 (ja)
KR (1) KR0146437B1 (ja)
FR (3) FR2735307B1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11252070A (ja) * 1998-03-02 1999-09-17 Kdd Corp 利用者認証方式
JP2002268950A (ja) * 2001-03-07 2002-09-20 Sony Corp 情報管理システム、情報管理方法、および情報処理装置、情報処理方法、並びにプログラム
JP2008508836A (ja) * 2004-05-20 2008-03-21 ドコモ コミュニケーションズ ラボラトリーズ ユー・エス・エー インコーポレーティッド アイデンティティに基づくアグリゲート署名を含むデジタル署名
JP2010509876A (ja) * 2006-11-15 2010-03-25 サーティコム コーポレイション 暗黙の証明書検証

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6212637B1 (en) * 1997-07-04 2001-04-03 Nippon Telegraph And Telephone Corporation Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon
DE19811833A1 (de) * 1998-03-18 1999-09-30 Siemens Ag Schlüsselaustauschprotokoll
US6195698B1 (en) * 1998-04-13 2001-02-27 Compaq Computer Corporation Method for selectively restricting access to computer systems
US7237114B1 (en) 2000-04-26 2007-06-26 Pronvest, Inc. Method and system for signing and authenticating electronic documents
US7373510B2 (en) * 2000-09-12 2008-05-13 International Business Machines Corporation System and method for implementing a robot proof Web site
DE10111756A1 (de) * 2001-03-12 2002-11-14 Infineon Technologies Ag Verfahren zur Authentikation
US20020141586A1 (en) * 2001-03-29 2002-10-03 Aladdin Knowledge Systems Ltd. Authentication employing the bluetooth communication protocol
JP4103340B2 (ja) * 2001-05-08 2008-06-18 株式会社日立製作所 デジタル署名表示装置
FI114062B (fi) * 2001-06-08 2004-07-30 Nokia Corp Menetelmä tiedonsiirron turvallisuuden varmistamiseksi, tiedonsiirtojärjestelmä ja tiedonsiirtolaite
GB0119629D0 (en) * 2001-08-10 2001-10-03 Cryptomathic As Data certification method and apparatus
FR2828780B1 (fr) * 2001-08-20 2004-01-16 France Telecom Procede de realisation d'une unite cryptographique pour un systeme de cryptographie asymetrique utilisant une fonction logarithme discret
US20030050981A1 (en) * 2001-09-13 2003-03-13 International Business Machines Corporation Method, apparatus, and program to forward and verify multiple digital signatures in electronic mail
US20030120923A1 (en) * 2001-12-21 2003-06-26 Avaya Technology Corp. Secure data authentication apparatus
JP4390570B2 (ja) * 2004-01-21 2009-12-24 株式会社エヌ・ティ・ティ・ドコモ 多段署名検証システム、電子署名付与装置、データ追加装置及び電子署名検証装置
CN101002217A (zh) * 2004-05-18 2007-07-18 西尔弗布鲁克研究有限公司 医药产品跟踪
RU2007135358A (ru) * 2005-02-25 2009-03-27 Квэлкомм Инкорпорейтед (US) Небольшие цифровые подписи на основе открытого ключа, используемые для аутентификации
US8412937B2 (en) * 2005-12-14 2013-04-02 Koninklijke Philips Electronics N.V. Method and system for authentication of a low-resource prover
WO2009056048A1 (en) * 2007-10-23 2009-05-07 Yao Andrew C Method and structure for self-sealed joint proof-of-knowledge and diffie-hellman key-exchange protocols
WO2010029752A1 (ja) * 2008-09-12 2010-03-18 日本電気株式会社 メッセージ配信システムおよび配信方法
US9990478B2 (en) * 2012-11-30 2018-06-05 The Nielsen Company (Us), Llc Methods, apparatus, and articles of manufacture to encode auxiliary data into relational database keys and methods, apparatus, and articles of manufacture to obtain encoded data from relational database keys
US10453058B2 (en) 2014-12-17 2019-10-22 Heartland Payment Systems, Inc. E-signature
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
US10158490B2 (en) * 2015-08-17 2018-12-18 The Boeing Company Double authentication system for electronically signed documents
CN111355584B (zh) * 2018-12-21 2023-04-07 北京京东尚科信息技术有限公司 用于生成区块链多重签名的方法和装置
US11621837B2 (en) 2020-09-03 2023-04-04 Theon Technology Llc Secure encryption of data using partial-key cryptography
US11310042B2 (en) 2020-09-11 2022-04-19 Crown Sterling Limited, LLC Methods of storing and distributing large keys
US11528136B2 (en) * 2020-11-24 2022-12-13 Crown Sterling Limited, LLC Decryption of encrypted data missing a private key
US11755772B2 (en) 2021-09-20 2023-09-12 Crown Sterling Limited, LLC Securing data in a blockchain with a one-time pad
US11791988B2 (en) 2021-11-22 2023-10-17 Theon Technology Llc Use of random entropy in cryptography
US11943336B2 (en) 2021-11-22 2024-03-26 Theon Technology Llc Use of gradient decent function in cryptography
US11902420B2 (en) 2021-11-23 2024-02-13 Theon Technology Llc Partial cryptographic key transport using one-time pad encryption
WO2023158673A1 (en) * 2022-02-16 2023-08-24 Cornellcookson, Llc Vertically stacking panel door with cam levers and improved ramps

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5140634A (en) * 1987-09-07 1992-08-18 U.S Philips Corporation Method and apparatus for authenticating accreditations and for authenticating and signing messages
US5396558A (en) * 1992-09-18 1995-03-07 Nippon Telegraph And Telephone Corporation Method and apparatus for settlement of accounts by IC cards
ATE187588T1 (de) * 1993-08-17 1999-12-15 R3 Security Engineering Ag Verfahren zur digitalen unterschrift und verfahren zur schlüsselübereinkunft
US5668878A (en) * 1994-02-28 1997-09-16 Brands; Stefanus Alfonsus Secure cryptographic methods for electronic transfer of information
KR0144086B1 (ko) * 1994-03-31 1998-08-17 조백제 인증교환과 전자서명 방법
US5761305A (en) * 1995-04-21 1998-06-02 Certicom Corporation Key agreement and transport protocol with implicit signatures
US5633929A (en) * 1995-09-15 1997-05-27 Rsa Data Security, Inc Cryptographic key escrow system having reduced vulnerability to harvesting attacks

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11252070A (ja) * 1998-03-02 1999-09-17 Kdd Corp 利用者認証方式
JP2002268950A (ja) * 2001-03-07 2002-09-20 Sony Corp 情報管理システム、情報管理方法、および情報処理装置、情報処理方法、並びにプログラム
JP4582939B2 (ja) * 2001-03-07 2010-11-17 ソニー株式会社 情報管理システム、情報管理方法、および情報処理装置、情報処理方法、並びにプログラム
JP2008508836A (ja) * 2004-05-20 2008-03-21 ドコモ コミュニケーションズ ラボラトリーズ ユー・エス・エー インコーポレーティッド アイデンティティに基づくアグリゲート署名を含むデジタル署名
JP4785851B2 (ja) * 2004-05-20 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ アイデンティティに基づくアグリゲート署名を含むデジタル署名
JP2010509876A (ja) * 2006-11-15 2010-03-25 サーティコム コーポレイション 暗黙の証明書検証
JP2013034251A (ja) * 2006-11-15 2013-02-14 Certicom Corp 暗黙の証明書検証
US8380984B2 (en) 2006-11-15 2013-02-19 Certicom Corp. Implicit certificate verification

Also Published As

Publication number Publication date
US5966445A (en) 1999-10-12
FR2738438B1 (fr) 2001-10-12
KR0146437B1 (ko) 1998-09-15
FR2738437B1 (fr) 2001-10-12
KR960042341A (ko) 1996-12-21
JP3522447B2 (ja) 2004-04-26
FR2735307B1 (fr) 2001-10-12
FR2738438A1 (fr) 1997-03-07
FR2738437A1 (fr) 1997-03-07
JP2004129303A (ja) 2004-04-22
FR2735307A1 (fr) 1996-12-13

Similar Documents

Publication Publication Date Title
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
US9967239B2 (en) Method and apparatus for verifiable generation of public keys
US10944575B2 (en) Implicitly certified digital signatures
Brown et al. Provably secure implicit certificate schemes
US10148422B2 (en) Implicitly certified public keys
US9882890B2 (en) Reissue of cryptographic credentials
JPH10133576A (ja) 公開鍵暗号方法および装置
JP2002534701A (ja) 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム
CN113360943A (zh) 一种区块链隐私数据的保护方法及装置
JP2005520364A (ja) デジタル署名された証明書を更新しかつ拡張するシステムおよび方法
KR0146438B1 (ko) 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법
Tso A new way to generate a ring: Universal ring signature
US20050289349A1 (en) Method for generating and/or validating electronic signatures
JP3540477B2 (ja) 署名方式
WO2023016728A1 (en) Generating digital signatures
Kim et al. New one time proxy signature scheme based on dlp using the warrant
CN114611078A (zh) 一种隐式证书的透明化方法及系统
Lau Proxy signature schemes
JPH07281595A (ja) 認証方式

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20031217

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040204

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080220

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090220

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100220

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100220

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110220

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120220

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130220

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130220

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140220

Year of fee payment: 10

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees