WO2008075420A1

WO2008075420A1 - 電子署名プログラム、電子署名装置、および電子署名方法

Info

Publication number: WO2008075420A1
Application number: PCT/JP2006/325380
Authority: WO
Inventors: Masahiko Takenaka; Tetsuya Izu
Original assignee: Fujitsu Limited
Priority date: 2006-12-20
Filing date: 2006-12-20
Publication date: 2008-06-26

Abstract

　パスポートの申請者は、パスポート申請に際し、自身の戸籍謄本、住民票、運転免許証を用意する必要がある。したがって、申請者は、○○市役所に対する住民票の電子申請と、△△市役所に対する戸籍謄本の電子申請と、□県公安委員会に対する運転免許証の電子申請とをおこなう。ここで、各自治体（○○市役所、△△市役所、□県公安委員会）Ｓ１～Ｓ３では、それぞれの担当職員Ｔ１～Ｔ３により、同一の署名アルゴリズムＡ１を用いて署名対象となる電子文書（戸籍謄本、住民票、運転免許証）ｍ1～ｍ3に個別署名σ1～σ3を施す。そして、署名アルゴリズムＡ２を用いることにより、各個別署名σ1～σ3を重畳してアグリゲート署名σAを生成する。このアグリゲート署名σAが付された電子文書（住民票、戸籍謄本、運転免許証）ｍ1～ｍ3を電子的なパスポート申請書（２１０）に添付することにより、旅券事務所（２００）に対しパスポート申請をおこなうことができる。

Description

明細書

電子署名プログラム、電子署名装置、および電子署名方法

技術分野

[0001] 本発明は、ァグリゲート対象となる n個の電子文書 {m , · · ·, m }に関する個別署名

1 n

{ σ , · · ·, σ }の生成、これらのァグリゲート、一部の個別署名の削除、およびシーケ

1 η

ンシャルなァダリゲート、これらの検証をおこなうことができる電子署名プログラム、電子署名装置、および電子署名方法に関する。

背景技術

[0002] 電子署名とは、電子文書の正当性を保証するために付けられる署名データ、その署名データを生成する方式、または、文字、記号、マークなどを電子的に表現して署名をおこなう行為を言い、特に、公開鍵暗号方式を応用して、電子文書の作成者を証明し、かつその電子文書が改竄されて、な、ことを保証する署名方式をデジタル署名という。

[0003] 図 21は、通常の電子署名を示す説明図である。図 21において、複数の電子文書 D 1〜Dnを複数人で署名する場合、通常の電子署名を用いると電子文書 D 1〜Dn の数 n分の署名データ σ 〜σ が必要となる。

1 η

[0004] このような電子署名は、素因数分解問題に基づく電子署名と、離散対数問題に基づく電子署名とに分類される。素因数分解問題とは、 2つの素数を掛け合わせた合成数を素因数に分解する問題である。合成数を 100桁程度の素数によって掛け合わせておくことにより、素因数分解を困難にしている。素因数分解問題に基づく電子署名には、 RSA署名などがある。

[0005] 一方、離散対数問題とは、ある素数を法とする有限体において対数を計算する問題であり、素因数分解問題とは目的を異にする。簡単にいうと、素数 Ρ (たとえば、 Ρ = 83)を法とする有限体では、べき乗するとそのべき乗結果がすべての数（1〜82) を網羅する原始元が存在する。

[0006] たとえば、素数 Ρ = 83の有限体において、原始元 2の 13乗は 8192というべき乗結果となる力べき乗結果が 33となる原始元 2のべき乗数を求めるのが困難である。これが離散対数問題である。離散対数問題をベースとした電子署名には、エルガマル署名や、シュノア署名、岡本—シュノア署名（たとえば、下記特許文献 1を参照。）といつたシュノア系の電子署名などがある。

[0007] また、図 21に示した複数の署名データ σ 〜σ を重畳して 1つの署名データにまるめる技術として、ァグリゲート署名が注目されている。ァグリゲート署名は、電子署名の応用技術の一つで、電子文書流通などで 1または複数の電子文書に対する署名を 1人または複数人の署名者により付与しなければならない場合に、署名を重畳することで署名データ量を削減することができる。

[0008] 図 22は、ァグリゲート署名を示す説明図である。図 22において、複数の電子文書 Dl〜Dnからそれぞれ得られる署名データ σ 〜σ を重畳（ァダリゲーシヨン）することにより、単一の署名データ σ を得ることができ、署名データ量を削減することができる。

[0009] 現在、ァグリゲート署名の構成方法としては、素因数分解問題をベースとした RSA 署名に基づくシーケンシャルァグリゲート署名（下記非特許文献 1を参照。）と、楕円曲線暗号技術の一つであるペアリングに基づくジェネラルァグリゲート署名（下記非特許文献 2を参照。）の 2つの電子署名が知られている。

[0010] 特許文献 1 :特許 2666191号

非特許文献 l :A.Lysyanskaya, et.al, (エー'リスャアンスカャ他） "Sequential Aggreg ateSignatures from Trapdoor Permutations (ン ~~ケンンャル , - ゾリゲ' ~~トング不チャズフロムトラップドアパーミュテーシヨンズ）， "EUROCRYPT 2004, LNCS 3027, pp. 74-90, 2004

非特許文献 2 : D.Bone, et.al" (ディー'ボーン他） "Aggregate and Verifiably Encrypt edSignature from Bilinear Maps," (ァグリゲートアンドベリフイエイブリイェンクリプテッドシグネチヤフロムビリネアマップス） EUROCRYPT 2003, LNCS 2656, pp. 416-432, 2003

発明の開示

発明が解決しょうとする課題

[0011] しかしながら、上述したシーケンシャルァグリゲート署名は、 RSAベースのため既存の PKI証明書が利用可能で、ァグリゲート署名として利用しやす!/、と、う利点がある一方、署名確認を署名がおこなわれた逆順におこなわなければならないこと、途中の署名を削除 Ζ挿入することが不可能であることなど、署名機能の制限が多ぐ署名確認の自由度が低いという問題点があった。

[0012] また、上述したジェネラルァグリゲート署名は、署名確認の順序や途中の署名の削除など、シーケンシャルァグリゲート署名と比較して上述した署名機能に制限がなく署名確認の自由度が高いという利点がある一方、楕円曲線暗号のペアリングをべ一スとしているため、既存の ΡΚΙを利用することができず、独自のインフラを構築しなければならな、と、う問題点があった。

[0013] 本発明は、上述した問題点を解消するため、署名データ量の削減、署名確認の自由度の向上、および既存 ΡΚΙを利用することによる利便性の向上を同時に実現することができる電子署名プログラム、電子署名装置、および電子署名方法を提供することを目的とする。

課題を解決するための手段

[0014] 上述した課題を解決し、目的を達成するために、本発明者らは、ァグリゲート署名には用いられてヽなヽ離散対数問題に基づくシュノア系の電子署名をあえてァグリゲート署名に適用することにより、ァグリゲート署名の本質である複数の署名データすベてのァグリゲーシヨンが可能で、かつ、上述した署名機能の制限がなぐ既存の ΡΚ Iを利用することができるとヽぅシーケンシャルァグリゲート署名とジェネラルァグリゲート署名とのトレードオフを解消するァグリゲート署名を構築することに成功した。

[0015] すなわち、この発明の電子署名プログラム、該プログラムを記録した記録媒体、電子署名装置、および電子署名方法は、ァグリゲート対象となる η個の電子文書 {m ,

1

· ··, m }に関する個別署名 { σ , · ··, σ }の生成をおこなう電子署名プログラム、該プログラムを記録した記録媒体、電子署名装置、および電子署名方法において、署名対象となる i ( 1≤ i≤ η)番目の電子文書 mを取得し、電子文書 mを署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成し、前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の一時的な公開鍵 rを算出し、前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の秘密鍵 aに関する前記一時的な公開鍵に依存しない署名データを算出し、一時的な公開鍵 ^と署名データ sとの組み合わせ (r , s.)を、前記電子文書 mに対する前記 i番目の署名者の個別署名 σとして出力することを特徴とする。

[0016] 7こたし、 r=a mod p、 s =、a Xh(m) +kリ mod q、 qiま素数、 piま q | 、p— 1) 満たす素数、 aは巡回群上の位数を qとする元、 M)はハッシュ関数、 ^は潘目の署名者の秘密鍵で 1≤ a≤ q— 1とする。

[0017] また、上記発明において、前記複数の個別署名 {σ , ···, σ }を取得し、一時的な

1 η

公開鍵 {r , ···, r }を重畳し、署名データ {s , ···, s }を重畳し、重畳済みの一時的な

1 n 1 n

公開鍵 rと重畳済みの署名データ sとの組み合わせ (r , s )を、ァグリゲート署名 σ

A A A A A

として出力することとしてもよい。ただし、 r =(r Xr X〜Xr Xr )mod p、 s = (s

A 1 2 n-1 n A 1

+ s H hs +s )mod qとする。

2 n-1 n

[0018] また、上記発明において、前記 n個の電子文書 {m , ···, m }とァグリゲート署名 σ

1 n A と k(l≤k≤n)番目の個別署名 σ を取得し、 η個の電子文書 {m，…， m }の中から k 1 n 個別署名 σ により署名された電子文書 mを削除し、ァグリゲート署名 σ を構成する k k A

重畳済みの一時的な公開鍵 rから電子文書 mの個別署名 σ を構成する一時的な

A k k

公開鍵 rを削除し、ァグリゲート署名 σ を構成する重畳済みの署名データ s力ゝら電 k A A 子文書 mの個別署名 σ を構成する署名データ sを削除し、残余の電子文書 {m , k k k 1

···, m , m , ···, m }を出力するとともに、削除結果 (r ', s ')を前記個別署名 σ k-1 k+1 n A A k を削除したァグリゲート署名 σ ，として出力することとしてもよい。ただし、 r ' =r /r

A A A k mod p、 s， = s s mod qとする。

A A k

[0019] また、上記発明において、ァグリゲート署名 σ を取得し、第 1の重畳結果 rに基づ

A A

いて、第 1の検証情報 Vを算出し、第 2の重畳結果 sに基づいて、第 2の検証情報 V

1 A

を算出し、第 1の検証情報 Vおよび第 2の検証情報 Vに基づいて、前記ァグリゲー

2 1 2

ト署名 σ の正当性を判断し、判断結果を出力することとしてもよい。

A

[0020] また、上記発明において、 i(l≤i≤n)番目の署名者の署名対象となる電子文書 m と l〜i 1番目の署名者による署名済みの電子文書に関するァグリゲート署名 σ

A

とを取得し、電子文書 mを署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成し、前記電子文書 mに関する前記 i番目の署名者の一時的な公開鍵 rを算出し、ァグリゲート署名 σ ^ΰ— Dを構成する重畳済みの一時的な公開鍵 r(^i_1)と一時的な公

A A

開鍵 rとを重畳し、前記電子文書 mに関する前記 i番目の署名者の一時的な署名データ sを算出し、ァグリゲート署名 σ ^(ί— ^ϋを構成する重畳済みの署名データ s⁽ⁱ— ¹〉と署 i A A 名データ sとを重畳し、重畳結果 (r^G) , s^G) )を、ァグリゲート署名 σ ^(ΰとして出力するこ

i A A A ととしてもよ、。

[0021] ただし、 r = a ^kimod p、 r⁽ⁱ⁾ = (r⁽ⁱ— " X r) mod p、 s = (a X h (m) +k ) mod q、 s⁽ⁱ⁾

i A A i i i i

= (s^(i_1) + s ) mod q、qは素数、 pは q | (p— 1)を満たす素数、 αは巡回群上の位

A A n

数を qとする元、 M)はハッシュ関数、 aは i番目の署名者の秘密鍵で l≤a≤q— 1とする。

発明の効果

[0022] 本発明にかかる電子署名プログラム、該プログラムを記録した記録媒体、電子署名装置、および電子署名方法は、署名データ量の削減、署名確認の自由度の向上、および既存 PKIを利用することによる利便性の向上を同時に実現することができるという効果を奏する。

図面の簡単な説明

[0023] [図 1]図 1は、この発明の実施の形態に力かる電子署名装置のハードウェア構成を示すブロック図である。

[図 2]図 2は、パスポートの電子申請システムによる個別署名およびァグリゲート署名を示す説明図である。

[図 3]図 3は、この発明の実施の形態に力かる個別署名生成装置の機能的構成を示すブロック図である。

[図 4]図 4は、この発明の実施の形態に力かる個別署名生成処理手順 (署名アルゴリズム A1)を示すフローチャートである。

[図 5]図 5は、この発明の実施の形態に力かるァグリゲート署名生成装置の機能的構成 (その 1)を示すブロック図である。

[図 6]図 6は、この発明の実施の形態に力かるァグリゲート署名生成処理手順 (署名ァルゴリズム A2)を示すフローチャートである。

[図 7]図 7は、パスポートの電子申請システムによるァグリゲート署名の削除処理を示す説明図である。

[図 8]図 8は、この発明の実施の形態に力かるァグリゲート署名生成装置の機能的構成 (その 2)を示すブロック図である。

[図 9]図 9は、この発明の実施の形態にカゝかる署名削除処理手順 (署名アルゴリズム A3)を示すフローチャートである。

[図 10]図 10は、パスポートの電子申請システムによるァグリゲート署名の検証処理を示す説明図である。

[図 11]図 11は、この発明の実施の形態に力かるァグリゲート署名検証装置の機能的構成を示すブロック図である。

[図 12]図 12は、この発明の実施の形態にカゝかるァグリゲート署名検証処理手順を示すフローチャートである。

[図 13]図 13は、シーケンシャルァグリゲート署名の概要を示す説明図である。

[図 14]図 14は、この発明の実施の形態に力かるァグリゲート署名生成装置の機能的構成 (その 3)を示すブロック図である。

[図 15]図 15は、この発明の実施の形態に力かるァグリゲート署名生成処理手順 (署名アルゴリズム A5)を示すフローチャートである。

[図 16]図 16は、この発明の実施の形態にカゝかる個別署名生成処理手順を示すフロ一チャートである。

[図 17]図 17は、この発明の実施の形態にカゝかるァグリゲート署名生成処理手順を示すフローチャートである。

[図 18]図 18は、この発明の実施の形態にカゝかる署名削除処理手順 (署名ァルゴリズム A8)を示すフローチャートである。

[図 19]図 19は、この発明の実施の形態にカゝかるァグリゲート署名検証処理手順 (署名アルゴリズム A9)を示すフローチャートである。

[図 20]図 20は、楕円曲線離散対数問題に基づくシーケンシャルなァグリゲート署名生成処理手順 (署名アルゴリズム A10)を示すフローチャートである。

[図 21]図 21は、通常の電子署名を示す説明図である。

[図 22]図 22は、ァグリゲート署名を示す説明図である。符号の説明

300 個別署名生成装置

301 電子文書取得部

302 生成部

303 公開鍵算出部

304 署名データ算出部

305 個別署名出力部

500 ァグリゲート署名生成装置

501 個別署名取得部

502 第 1の重畳部

503 第 2の重畳部

504 ァグリゲート署名出力部

800 ァグリゲート署名生成装置

801 電子文書 ·署名取得部

802 第 1の削除部

803 第 2の削除部

804 第 3の削除部

805 削除結果出力部

1100 ァグリゲート署名検証装置

1101 ァグリゲート署名取得部

1102 第 1の検証情報算出部

1103 第 2の検証情報算出部

1104 判断部

1105 判断結果出力部

1400 ァグリゲート署名生成装置

1401 電子文書 ·ァグリゲート署名取得部

1402 生成部

1403 公開鍵算出部 1404 第 1の重畳部

1405 署名データ算出部

1406 第 2の重畳部

1407 ァグリゲート署名出力部

発明を実施するための最良の形態

[0025] 以下に、本発明に力かる電子署名プログラム、電子署名装置、および電子署名方法は、電子署名（デジタル署名）技術において、既存の PKI (公開鍵インフラストラタチヤ）が利用可能で、署名のァグリゲーシヨン (集合、重畳、畳み込み）が可能で、そのときに署名の機能制限が少ない電子署名の構成方法である。以下、その実施の形態を図面に基づいて詳細に説明する。

[0026] 図 1は、この発明の実施の形態に力かる電子署名装置のハードウェア構成を示すブロック図である。図 1において、電子署名装置は、 CPU101と、 ROM102と、 RA M103と、 HDD (ノヽードディスクドライブ） 104と、 HD (ノヽードディスク） 105と、 FDD ( フレキシブルディスクドライブ） 106と、着脱可能な記録媒体の一例としての FD (フレキシブルディスク） 107と、ディスプレイ 108と、 IZF (インターフェース） 109と、キーボード 110と、マウス 111と、スキャナ 112と、プリンタ 113と、を備えている。また、各構成部はバス 100によってそれぞれ接続されている。

[0027] ここで、 CPU101は、電子署名装置の全体の制御を司る。 ROM102は、ブートプログラムなどのプログラムを記 '慮している。 RAM103は、 CPU101のワークエリアとして使用される。 HDD104は、 CPU101の制御にしたがって HD105に対するデータのリード Zライトを制御する。 HD105は、 HDD104の制御で書き込まれたデータを feす。。

[0028] FDD106は、 CPU101の制御にしたがって FD107に対するデータのリード Zライトを制御する。 FD107は、 FDD106の制御で書き込まれたデータを記憶したり、 FD 107に記憶されたデータを電子署名装置に読み取らせたりする。

[0029] また、着脱可能な記録媒体として、 FD107のほ力、 CD-ROM (CD-R, CD-R W)、 MO、 DVD (Digital Versatile Disk)、メモリーカードなどであってもよい。デイスプレイ 108は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。このディスプレイ 108は、たとえば、 CRT, TFT 液晶ディスプレイ、プラズマディスプレイなどを採用することができる。

[0030] IZF109は、通信回線を通じてインターネットなどのネットワーク 114に接続され、このネットワーク 114を介して他の装置に接続される。そして、 IZF109は、ネットワーク 114と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。 I ZF109には、たとえばモデムや LANアダプタなどを採用することができる。

[0031] キーボード 110は、文字、数字、各種指示などの入力のためのキーを備え、データの入力をおこなう。また、タツチパネル式の入力パッドやテンキーなどであってもよい。マウス 111は、カーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などをおこなう。ポインティングデバイスとして同様に機能を備えるものであれば、トラックボールやジョイスティックなどであってもよい。

[0032] スキャナ 112は、画像を光学的に読み取り、電子署名装置内に画像データを取り込む。なお、スキャナ 112は、 OCR機能を持たせてもよい。また、プリンタ 113は、画像データや文書データを印刷する。プリンタ 113には、たとえば、レーザプリンタゃィンクジェットプリンタを採用することができる。

[0033] <個別署名およびァグリゲート署名 >

(個別署名およびァグリゲート署名の概要）

つぎに、この発明の実施の形態に力かる個別署名およびァグリゲート署名について説明する。個別署名とは、ァグリゲート処理に先立って生成される一または複数の電子文書から得られる複数の電子署名であり、ァグリゲート署名とは、複数の電子文書をァグリゲート（重畳、畳み込み）した電子署名である。

[0034] ここでは、シュノア署名方式を改良し、既存の DS A証明書が利用可能なジェネラルァグリゲート署名アルゴリズムの構築をおこなう。秘密鍵'公開鍵ペアとして、 DSAの秘密鍵 '公開鍵を使用し、 DS Aの PKI証明書をそのまま使用する。

[0035] ここで、ある申請をおこなうために、複数の証明書類を添えて申請をおこなう場合がある。たとえば、パスポートの取得申請では、戸籍謄 (抄)本、住民票、運転免許証などの本人確認書類が必要である。そこで、パスポートの電子申請システムを例に挙げて説明する。図 2は、パスポートの電子申請システムによる個別署名およびァグリゲート署名を示す説明図である。

[0036] ノスポートの申請者は、パスポート申請に際し、自身の戸籍謄本、住民票、運転免許証を用意する必要がある。したがって、申請者は、〇〇市役所に対する住民票の電子申請と、巿役所に対する戸籍謄本の電子申請と、口県公安委員会に対する運転免許証の電子申請とをおこなう。

[0037] ここで、各自治体 (〇〇市役所、巿役所、口県公安委員会) S1〜S3では、それぞれの担当職員 T1〜T3により、同一の署名アルゴリズム A1を用いて署名対象となる電子文書 (戸籍謄本、住民票、運転免許証) m〜mに個別署名 σ 〜 σ を施す

1 3 1 3

[0038] そして、署名アルゴリズム Α2を用いることにより、各個別署名 σ 〜 σ を重畳してァ

1 3

ダリゲート署名 σ を生成する。このァグリゲート署名 σ が付された電子文書 (住民票

A A

、戸籍謄本、運転免許証) m〜mを電子的なパスポート申請書 210に添付すること

1 3

により、旅券事務所 200に対しパスポート申請をおこなうことができる。

[0039] (個別署名生成装置の機能的構成）

つぎに、この発明の実施の形態に力かる個別署名生成装置の機能的構成について説明する。図 3は、この発明の実施の形態に力かる個別署名生成装置の機能的構成を示すブロック図である。図 3に示す個別署名生成装置 300は、署名対象となる電子文書 mに個別署名 σをおこなう電子署名装置である。

[0040] 図 3に示した個別署名生成装置 300は、図 1に示したノヽードウエア構成で、図 2に示した各自治体 S1〜S3に設けられており、各担当職員 Τ1〜Τ3により操作される。図 3において、個別署名生成装置 300は、電子文書取得部 301と、生成部 302と、公開鍵算出部 303と、署名データ算出部 304と、個別署名出力部 305とを備えている。

[0041] まず、電子文書取得部 301は、署名対象となる電子文書 mを取得する。具体的には、個別署名生成装置 300内または個別署名生成装置 300の外部にあるサーバが有するデータベースに同種の電子文書が保存されているとすると、そのデータべ一スから署名対象となる電子文書 mを抽出する。抽出された電子文書は、一時的に電子署名装置内のメモリ（たとえば、図 1に示した RAM103や HD105)に保持される。 [0042] より具体的には、図 2に示した自治体 (〇〇市役所) S Iを例に挙げると、その自治体 S 1が管轄する住民の住民票が電子文書としてデータベースに保存されており、 i (i = 1)番目の署名者である自治体 S Iの担当職員 T1が住民票の申請を受けると、申請者の住民票を電子文書 mとしてデータベース力抽出することとなる。

1

[0043] また、生成部 302は、電子文書取得部 301によって取得された電子文書を署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成する。具体的には、乱数を発生させることにより、 i番目の署名者の一時的な秘密鍵 kを生成する。この秘密鍵 k は、一時的なデータであるため、電子文書 mを取得する都度ランダムに生成される。生成された秘密鍵 kは、上記メモリに保持される。

[0044] また、公開鍵算出部 303は、下記式（1)により、生成部 302によって生成された i番目の署名者の一時的な秘密鍵 kを用いて、 i番目の署名者の一時的な公開鍵 rを算出する。

[0045] Γ = (^Μιηοά ρ ( 1)

[0046] ただし、 ρは q I (p - 1)を満たす素数、 qは素数、 ocは巡回群上の位数を qとする元

、 aは i番目の署名者の秘密鍵で 1≤ a≤ q— 1とする。

[0047] 具体的には、メモリに保持されている一時的な秘密鍵 kを読み出して、上記式（1) に代入することにより、一時的な公開鍵 rを算出する。上記式（1)は、シュノア署名における一時的な公開鍵 rの算出式と同一である。

[0048] また、署名データ算出部 304は、下記式（2)により、生成部 302によって生成された i番目の署名者の一時的な秘密鍵 kを用いて、 i番目の署名者の秘密鍵 aに関する署名データ sを算出する。

[0049] s = (a X h (m ) +k ) mod q - - - (2)

[0050] ただし、 h ()は、ノ、ッシュ関数である。上記式（2)では、署名データ sは、一時的な公開鍵 rに依存しないデータであり、個別署名 σの本体となる。署名データ算出部 3 04では、具体的には、メモリに保持されている一時的な秘密鍵 kを読み出して、上記式 (2)に代入することにより、署名データ sを算出する。算出された署名データ sは、一時的な公開鍵 rに関連付けられてメモリに保持される。

[0051] また、個別署名出力部 305は、公開鍵算出部 303によって算出された一時的な公開鍵と署名データ算出部 304によって算出された署名データとの組み合わせ s.)を、電子文書に対する潘目の署名者の個別署名 σ iとして出力する。

[0052] 具体的には、メモリに保持された一時的な公開鍵 rと署名データ算出部 304によつて算出された署名データ sとの組み合わせ (r , )をメモリから読み出して出力する。出力形式は、後述する署名アルゴリズム A2を実行するコンピュータ装置に送信してもよぐフラッシュメモリなど着脱可能な可搬型メモリに格納することとしてもよい。

[0053] なお、上述した電子文書取得部 301、生成部 302、公開鍵算出部 303、署名データ算出部 304、および個別署名出力部 305は、具体的には、たとえば、図 1に示した ROM102, RAM103, HD105などの記録媒体に記録されているプログラムを、 CP U101に実行させることによって、または I/F109によって、その機能を実現する。

[0054] (個別署名生成処理手順 (署名アルゴリズム A1) )

つぎに、この発明の実施の形態にカゝかる個別署名生成処理手順 (署名ァルゴリズム A1)について説明する。図 4は、この発明の実施の形態に力かる個別署名生成処理手順 (署名アルゴリズム A1)を示すフローチャートである。図 4において、まず、電子文書取得部 301により署名対象となる電子文書 mを取得する (ステップ S401)。

[0055] そして、生成部 302により、取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 k_;をランダムに生成する (ステップ S402)。つぎに、公開鍵算出部 303 により、生成された i番目の署名者の一時的な秘密鍵 kを用いて、 i番目の署名者の一時的な公開鍵 rを算出する (ステップ S403)。

[0056] そして、署名データ算出部 304により、生成された i番目の署名者の一時的な秘密鍵 kを用いて、 i番目の署名者の秘密鍵 aに関する署名データ sを算出する (ステップ S404)。なお、ステップ S404は、ステップ S403よりも先に実行してもよく、また、同時に実行することとしてもよい。つぎに、個別署名出力部 305により、電子文書 mに対する i番目の署名者の個別署名 σとして出力する (ステップ S405)。これにより一連の処理を終了する。

[0057] このようにして得られた各個別署名 { σ , · · ·, σ }は、ァグリゲート処理によってァグ

1 η

リゲートされて、単一のァグリゲート署名 σ となる。以下、ァグリゲート処理をおこなう

A

ァグリゲート署名生成装置の機能的構成にについて説明する。 [0058] (ァダリゲート署名生成装置の機能的構成 (その 1) )

図 5は、この発明の実施の形態に力かるァグリゲート署名生成装置の機能的構成（その 1)を示すブロック図である。図 5に示すァグリゲート署名生成装置 500は、複数の個別署名 {σ , ···, σ }のァグリゲート処理をおこなって単一のァグリゲート署名 σ

1 η

Aを生成する電子署名装置である。

[0059] 図 5に示したァグリゲート署名生成装置 500は、図 1に示したノヽードウエア構成で、図 2に示した各自治体 S 1〜S3や申請者のパーソナル 'コンピュータに設けられており、各担当職員 T1〜T3または申請者により操作される。図 5において、ァグリゲート署名生成装置 500は、個別署名取得部 501と、第 1の重畳部 502と、第 2の重畳部 5 03と、ァグリゲート署名出力部 504とを備えている。

[0060] まず、図 5において、個別署名取得部 501は、複数の個別署名 {σ , ···, σ }を取

1 η 得する。具体的には、たとえば、図 3に示した各個別署名生成装置 300から生成された個別署名 {σ , ···, σ }をネットワーク 114を介して受信したり、可搬型メモリを装着

1 η

することで可搬型メモリに保持された複数の個別署名 {σ , ···, σ }を読み込む。取

1 η

得された複数の個別署名 { σ , ···, σ }は、ァグリゲート署名生成装置 500内のメモ

1 η

リに保持される。

[0061] また、第 1の重畳部 502は、下記式（3)により、個別署名取得部 501によって取得された一時的な公開鍵 {r , ···, r }を重畳する。具体的には、メモリに保持された各個

1 n

別署名 {σ , ···, σ }内の各一時的な公開鍵 {r, ···, r }を読み出してァグリゲート処

1 n 1 n

理をおこなう。重畳済みの（ァダリゲートされた)一時的な公開鍵 rはメモリに保持され

A

る。

[0062] r = (r Xr Χ ··· ΧΓ Xr )mod ρ· · · (3)

A 1 2 n-1 n

[0063] また、第 2の重畳部 503は、下記式 (4)により、個別署名取得部 501によって取得された署名データ {s , ···, s }を重畳する。具体的には、メモリに保持された各個別署

1 n

名 {σ , ···, σ }内の各署名データ {s , ···, s }を読み出してァグリゲート処理をおこ

1 n 1 n

なう。重畳済みの（ァダリゲートされた)署名データ Sは、重畳済みの一時的な公開鍵

A

rに関連付けられてメモリに保持される。

A

[0064] s =(s +s +〜 + s +s )mod q---(4) [0065] また、ァグリゲート署名出力部 504は、第 1の重畳部 502による重畳済みの一時的な公開鍵 rと第 2の重畳部 503による重畳済みの署名データ sとの組み合わせ (r ,

A A A

s )を、ァグリゲート署名 σ として出力する。

A A

[0066] 具体的には、メモリに保持された重畳済みの一時的な公開鍵 rと重畳済みの署名

A

データ sとの組み合わせ (r , s )をメモリから読み出して出力する。出力形式は、後

A A A

述するァグリゲート署名を検証するコンピュータ装置 (たとえば、図 2に示した旅券事務所のコンピュータ装置）に送信してもよぐフラッシュメモリなど着脱可能な可搬型メモリに格納することとしてもょ、。

[0067] なお、上述した個別署名取得部 501、第 1の重畳部 502、第 2の重畳部 503、およびァグリゲート署名出力部 504は、具体的には、たとえば、図 1に示した ROM102, RAM103, HD105などの記録媒体に記録されているプログラムを、 CPU101に実行させることによって、または IZF109によって、その機能を実現する。

[0068] (ァダリゲート署名生成処理手順 (署名アルゴリズム A2) )

つぎに、この発明の実施の形態に力かるァグリゲート署名生成処理手順 (署名アルゴリズム A2)について説明する。図 6は、この発明の実施の形態に力かるァグリゲート署名生成処理手順 (署名アルゴリズム A2)を示すフローチャートである。図 6において、まず、個別署名取得部 501により、 n個の個別署名 { σ , · ··, σ }を取得する (ス

1 η

テツプ S601)。

[0069] つぎに、第 1の重畳部 502により、取得された一時的な公開鍵 {r , · ··, r }を重畳す

1 n ることにより、重畳済みの一時的な公開鍵 rを算出する (ステップ S602)。そして、第

A

2の重畳部 503により、取得された署名データ {s , · ··, s }を重畳することにより、重畳

1 n

済みの署名データ sを算出する（ステップ S603)。ステップ S603は、ステップ S602

A

よりも先に実行してもよぐまた同時であってもよい。

[0070] このあと、ァグリゲート署名出力部 504により、重畳済みの一時的な公開鍵 rと重畳

A

済みの署名データ sとの組み合わせ (r , s )となるァグリゲート署名 σ を出力する（

A A A A

ステップ S604)。これにより一連の処理を終了する。

[0071] このようにして個別署名力ァグリゲート署名までの一連の電子署名によれば、ァグリゲート署名には用いられて!/ヽなヽ離散対数問題に基づくシュノア系の電子署名をあえてァグリゲート署名に適用することで、ァグリゲート署名の本質である複数の署名データすベてのァグリゲーシヨンが可能で、かつ、既存の PKIを利用することができる。また、個別署名の削除など署名機能の自由度の向上を図ることができる。以下、ァダリゲート署名力個別署名削除をおこなうァグリゲート署名生成装置について説明する。

[0072] (個別署名削除の概要）

まず、個別署名の概要について説明する。図 7は、パスポートの電子申請システムによるァグリゲート署名の削除処理を示す説明図である。図 7におけるパスポートの申請に際し、運転免許証が不要ということであれば、電子文書 (運転免許証) mおよ

3 びその個別署名 σ が削除対象となる。したがって、署名アルゴリズム A3の削除処理

3

により、個別署名 σ の削除後のァグリゲート署名 σ 'が生成される。また、その個別

3 A

署名 σ 元の電子文書 (運転免許証) mも削除される。

3 3

[0073] (ァダリゲート署名生成装置の機能的構成 (その 2) )

つぎに、ァグリゲート署名生成装置の機能的構成 (その 2)について説明する。図 8 は、この発明の実施の形態に力かるァグリゲート署名生成装置の機能的構成 (その 2 )を示すブロック図である。図 8に示すァグリゲート署名生成装置 800は、複数の個別署名 { σ , · · ·, σ }のァグリゲート処理をおこなって単一のァグリゲート署名 σ を生

1 n A 成する電子署名装置である。

[0074] 図 8において、ァグリゲート署名生成装置 800は、図 1に示したノヽードウエア構成で、図 2に示した各自治体 S 1〜S3や申請者のパーソナル 'コンピュータに設けられており、各担当職員 T1〜T3または申請者により操作される。図 8において、ァグリゲート署名生成装置 800は、電子文書'署名取得部 801と、第 1の削除部 802と、第 2の削除部 803と、第 3の削除部 804と、削除結果出力部 805と、力も構成されている。

[0075] まず、電子文書'署名取得部 801は、 η個の電子文書 {m , · · ·, m }とそのァグリゲ

1 n

ート署名 σ と k (l≤k≤n)番目の個別署名 σ を取得する。 η個の電子文書 {m ,…

A k 1

, m }は、申請の際に各自治体力も取得される。また、ァグリゲート署名 σ は、上述し n A たァグリゲート署名生成装置 800から得ることができる。また、削除対象となる個別署名 σ は、上述したァグリゲート署名生成装置 800から得ることができる。取得された各データはメモリに保持される。

[0076] また、第 1の削除部 802は、取得された n個の電子文書 {m , · ··, m }の中から個別

1 n

署名 σ により署名された電子文書 mを削除する。具体的には、メモリ〖こ保持された n k k

個の電子文書 {m , · ··, m }のうち電子文書 mをメモリから消去する。

1 n k

[0077] また、第 2の削除部 803は、下記式（5)により、取得されたァグリゲート署名 σ を構

A

成する重畳済みの一時的な公開鍵 rから第 1の削除部 802によって削除された電子

A

文書 mの個別署名 σ を構成する一時的な公開鍵 rを削除する。削除後の重畳済み k k k

の一時的な公開鍵を r 'と表記する。これにより、メモリに保持されているァグリゲート

A

署名 σ を構成する重畳済みの一時的な公開鍵 r力^ 'に書き換えられる。

A k A

[0078] r ⁵ =r /r mod ρ · · · (5)

A A k

[0079] また、第 3の削除部 804は、下記式 (6)により、取得されたァグリゲート署名 σ を構

A

成する重畳済みの署名データ s力第 1の削除部 802によって削除された電子文書

A

mの個別署名 σ を構成する署名データ sを削除する。削除後の重畳済みの署名デ k k k

ータを s 'と表記する。これにより、メモリに保持されているァグリゲート署名 σ を構成

A A

する重畳済みの署名データ Sが S，に書き換えられる。

k A

[0080] s

A，=s -s mod q- - - (6)

A k

[0081] また、削除結果出力部 805は、第 1の削除部 802によって得られた残余の電子文書 {m , · ··, m , m , · ··, m }を出力する。また、第 2の削除部 803および第 3の削

1 k-1 k+1 n

除部 804によって削除された削除結果 (r ' , s ' )を個別署名 σ を削除したァグリゲ

A A k

ート署名 σ 'として出力する。

A

[0082] 具体的には、メモリに保持された重畳済みの一時的な公開鍵 r 'と重畳済みの署名

A

データ s 'との組み合わせ (r ' , s ' )をメモリから読み出して出力する。出力形式は、

A A A

後述するァグリゲート署名を検証するコンピュータ装置 (たとえば、図 2に示した旅券事務所のコンピュータ装置）に送信してもよぐフラッシュメモリなど着脱可能な可搬型メモリに格納することとしてもょ、。

[0083] なお、上述した電子文書'署名取得部 801、第 1の削除部 802、第 2の削除部 803 、第 3の削除部 804、および削除結果出力部 805は、具体的には、たとえば、図 1に示した ROM102, RAM103, HD105などの記録媒体に記録されているプログラムを、 CPU101に実行させることによって、または I/F109によって、その機能を実現する。

[0084] (ァダリゲート署名削除処理手順 (署名アルゴリズム A3) )

つぎに、この発明の実施の形態にカゝかる署名削除処理手順 (署名アルゴリズム A3) について説明する。図 9は、この発明の実施の形態に力かる署名削除処理手順 (署名アルゴリズム A3)を示すフローチャートである。図 9において、まず、電子文書'署名取得部 801により、 n個の電子文書 {m , · ··, m }とそのァグリゲート署名 σ と k(l

1 n A

≤k≤n)番目の個別署名 σ を取得する (ステップ S901)。

k

[0085] つぎに、第 1の削除部 802により、取得された n個の電子文書 {m，…， m }の中か

1 n ら個別署名 σ により署名された電子文書 mを削除する (ステップ S902)。そして、第 k k

2の削除部 803により、上記式（5)を用いて、取得されたァグリゲート署名 σ を構成

A

する重畳済みの一時的な公開鍵 rから第 1の削除部 802によって削除された電子文

A

書 mの個別署名 σ を構成する一時的な公開鍵 rを削除することで、削除後の重畳 k k k

済みの一時的な公開鍵 r 'を算出する (ステップ S903)。

A

[0086] つぎに、第 3の削除部 804により、上記式 (6)を用いて、取得されたァグリゲート署名 σ を構成する重畳済みの署名データ s力も第 1の削除部 802によって削除された

A A

電子文書 m σ

kの個別署名 kを構成する署名データ s

kを削除することで、削除後の重畳済みの署名データ s 'を算出する (ステップ S 904)。

A

[0087] そして、削除結果出力部 805により、第 1の削除部 802によって得られた残余の電子文書 {m , · ··, m , m , · ··, m }を出力するとともに、第 2の削除部 803および第

1 k-1 k+1 n

3の削除部 804によって削除された削除結果 (r ' , s ' )を、個別署名 σ を削除した

A A k

ァグリゲート署名 σ 'として出力する (ステップ S905)。これにより一連の処理を終了

A

する。

[0088] この削除処理によれば、個別署名 { σ , · · ·, σ }がァグリゲートされた後でも、任意

1 η

の個別署名 σ を指定するだけで、その個別署名 σ を除く残余の個別署名 { σ ,…

k k 1

, σ , σ , · ··, σ }によるァグリゲート署名 σ 'を生成することができる。

k-1 k+1 n A

[0089] <ァグリゲート署名検証 >

(ァダリゲート署名検証の概要）つぎに、この発明の実施の形態に力かるァグリゲート署名検証の概要について説明する。図 10は、パスポートの電子申請システムによるァグリゲート署名の検証処理を示す説明図である。

[0090] 図 10において、ァグリゲート検証処理をおこなう場合、パスポート申請に必要な電子文書 (住民票、戸籍謄本、運転免許証) m〜mとそのァグリゲート署名 σ のほか

1 3 A

、各自治体 S1〜S3の担当職員 T1〜T3の公開鍵 y〜yを用いる。そして、署名ァ

1 3

ルゴリズム A4を用いて、ァグリゲート検証処理をおこなう。つぎに、このァグリゲート検証処理をおこなうァグリゲート署名検証装置について説明する。

[0091] (ァダリゲート署名検証装置の機能的構成）

つぎに、この発明の実施の形態に力かるァグリゲート署名検証装置の機能的構成について説明する。図 11は、この発明の実施の形態に力かるァグリゲート署名検証装置の機能的構成を示すブロック図である。図 11に示すァグリゲート署名検証装置 1100は、署名対象となるァグリゲート署名 σ の正当性を検証 (確認)する電子署名

A

装置である。

[0092] 図 11に示したァグリゲート署名検証装置 1100は、図 1に示したノヽードウエア構成で、たとえば図 2に示した旅券事務所 200に設けられており、旅券事務所 200の担当職員（検証者）〖こより操作される。図 11において、ァグリゲート署名検証装置 1100は、ァグリゲート署名取得部 1101と、第 1の検証情報算出部 1102と、第 2の検証情報算出部 1103と、判断部 1104と、判断結果出力部 1105と、を備えている。

[0093] まず、ァグリゲート署名取得部 1101は、 n個の電子文書 {m , · ··, m }の各個別署

1 n

名 { σ , · ··, σ }をァグリゲートしたァグリゲート署名 σ を取得する。ァグリゲート署名

1 n A

σ は申請者のコンピュータ装置力受信してもよぐまた、着脱可能な可搬型メモリ

A

をァグリゲート署名検証装置 1100に装着することで、可搬型メモリに保持されているァグリゲート署名 σ を読み込むこととしてもよい。 η個の電子文書 {m , · ··, m }につ

A 1 n ヽても同様に取得してもよ、。

[0094] また、図 10に示したような署名者の公開鍵 y〜yは、個別署名生成装置 300から

1 n

ネットワーク 114を介して受信することができる。各公開鍵 yは、下記式（7)によってあらわすことができる。これら取得したデータは、ァグリゲート署名生成装置 500のメモリに保持される。

[0095] y = mod p…（7)

[0096] また、第 1の検証情報算出部 1102は、ァグリゲート署名取得部 1101によって取得された第 1の重畳結果 sに基づいて、第 1の検証情報 Vを算出する。具体的には、

A 1

たとえば、第 1の検証情報 Vは下記式 (8)〖こより算出される。算出された第 1の検証

1

情報 Vはメモリ〖こ保持される。

1

[0097] V = a ^sAmod ρ = Πα ^^mod p · · · (8)

1

[0098] また、第 2の検証情報算出部 1103は、ァグリゲート署名取得部 1101によって取得された第 2の重畳結果!：に基づいて、第 2の検証情報 Vを算出する。具体的には、た

A 2

とえば、第 2の検証情報 Vは下記式 (9)により算出される。算出された第 2の検証情

2

報 Vはメモリに保持される。

2

[0099] V =(y^h(ml)X〜Xy^h(mn)) X_r m₀d ρ···(9)

2 1 n A

[0100] 上記式（9)を変形することにより下記式（10)となる。

[0101] V =(y^h(mDXr =((^aiX^h(mi)X((^ki=((^aih(mi)+kimod ρ···(10)

2 i A

[0102] ァグリゲート署名が正しければ、上記式 (8)の第 1の検証情報 Vと上記式（10)の第

1

2の検証情報 Vは同じ値となる。

2

[0103] また、上記式 (8)のかわりに、下記式（11)により第 1の検証情報 Vを算出することと

1

してちよい。

[0104] V =(V(y ^h(ml)x… x_y ^h(mn)) ...(11)

[0105] 第 1の検証情報 Vを式（11)により算出した場合、第 2の検証情報 Vは重畳済みの

1 2

一時的な公開鍵 rとなる。

A

[0106] また、判断部 1104は、第 1の検証情報 Vと第 2の検証情報 Vとを比較して、ァグリ

1 2

ゲート署名 σ の正当性を判断する。具体的には、第 1の検証情報 Vと第 2の検証情

A 1

報 Vとの値が一致すれば、ァグリゲート署名 σ が正しい (検証成功）こととなり、不一

2 A

致であれば、ァグリゲート署名 σ は誤り（検証失敗)であることがわかる。

A

[0107] 判断結果出力部 1105は、この判断結果を出力する。判断結果の出力は、図 1に示したディスプレイ 108への表示やプリンタ 113による印刷出力でもよぐまた、申請者のコンピュータ装置への送信でもよい。 [0108] なお、上述したァグリゲート署名取得部 1101、第 1の検証情報算出部 1102、第 2 の検証情報算出部 1103、判断部 1104、および判断結果出力部 1105は、具体的には、たとえば、図 1に示した ROM102, RAM103, HD105などの記録媒体に記録されているプログラムを、 CPU101に実行させることによって、または I/F109によつて、その機能を実現する。

[0109] (ァダリゲート署名検証処理手順）

つぎに、この発明の実施の形態に力かるァグリゲート署名検証処理手順について説明する。図 12は、この発明の実施の形態に力かるァグリゲート署名検証処理手順を示すフローチャートである。

[0110] 図 12において、まず、ァグリゲート署名取得部 1101により、 n個の電子文書 {m ,

1

· ··, m }の各個別署名 { σ , · ··, σ }をァグリゲートしたァグリゲート署名 σ を取得す η 1 n A る（ステップ S1201)。また、 n個の電子文書 {m , · ··, m }および n人の署名者の公開

1 n

鍵 {y , · ··, y }も取得する。

[0111] そして、第 1の検証情報算出部 1102により、第 1の検証情報 Vを算出し (ステップ S

1

1202)、第 2の検証情報算出部 1103により、第 2の検証情報 Vを算出する (ステップ

2

S1203) _oステップ SI 203 ίま、ステップ SI 202よりも先に実行してもよく、同時であつてもよい。

[0112] つぎに、判断部 1104により、第 1の検証情報 Vと第 2の検証情報 Vとを比較して、

1 2

ァグリゲート署名 σ の正当性を判断する（ステップ S1204)。そして、 V =Vである

A 1 2 場合 (ステップ SI 204 : Yes)、検証結果として検証成功出力をおこない (ステップ SI 205)、 V =Vでない場合 (ステップ SI 204 : No)、検証結果として検証失敗出力を

1 2

おこなう（ステップ S1206)。これにより一連の処理を終了する。

[0113] <シ一ケンシヤノレアグリゲート署名 >

(シーケンシャルァグリゲート署名の概要）

シーケンシャルァグリゲート署名とは、個別署名が生成される都度、直前にァグリゲートされたァグリゲート署名とのァグリゲート処理を順次おこなっていく電子署名方式である。

[0114] たとえば、電子文書を複数部署間で回議するときに、各部署において内容の追加訂正を行って承認して!/ヽき、最終決裁者が最後にその書類を承認すると!ヽぅ場合がある。図 13は、シーケンシャルァグリゲート署名の概要を示す説明図である。

[0115] 図 13において、申請者は電子文書 mを作成し、署名アルゴリズム A1の個別署名

1

σ を施す。申請者による最初の署名は個別署名 σ であるが、便宜上、ァグリゲート

1 1

署名 σ ⁽¹⁾とする。そして、この電子文書 mとァグリゲート署名 σ ⁽¹⁾を回議する。つぎ

A 1 A に、回議を受け取った部署は、電子文書 mとァグリゲート署名 σ ⁽¹⁾と申請者の公開

1 A

鍵 yを用いて、署名アルゴリズム A4により電子文書 mの正当性を検証する。

1 1

[0116] 検証により正当性の確認後、電子文書 mに承認日付や担当者名を追加したり、内

1

容を修正したりしてあらたな電子文書 mを作成し、この電子文書 mとァグリゲート署

2 2

名 σ ⁽¹)を用いて、署名アルゴリズム Α5によりァグリゲート署名 σ (²)を生成する。

A A

[0117] そして次の部署に、電子文書 m , mおよびァグリゲート署名 σ ⁽²⁾を回議する。つぎ

1 2 A

に、回議を受け取った部署は、電子文書 m , m

1 2とァグリゲート署名 σ ⁽²⁾ Aと公開鍵 y ,

1 vを用いて、署名アルゴリズム A4により電子文書 m , mの正当性を検証する。

2 1 2

[0118] 検証により正当性の確認後、電子文書 mに承認日付や担当者名を追加したり、内

2

3 3

名 σ (²)を用いて、署名アルゴリズム Α5によりァグリゲート署名 σ (³)を生成する。

A A

[0119] 最終決裁者は、すべての電子文書 m , m , mとァグリゲート署名 σ ^(¾と公開鍵 y ,

1 2 3 A 1 y， yを用いて、署名アルゴリズム A4によりすベての文書 m， m， mの正当性を検

2 3 1 2 3

証 (確認)し、最終決済をおこなう。このようなシーケンシャルァグリゲート処理をおこなうァグリゲート署名生成装置につ!、て説明する。

[0120] (ァダリゲート署名生成装置の機能的構成 (その 3) )

図 14は、この発明の実施の形態に力かるァグリゲート署名生成装置の機能的構成

(その 3)を示すブロック図である。図 14に示すァグリゲート署名生成装置 1400は、個別署名が生成される都度、直前にァグリゲートされたァグリゲート署名とのァグリゲート処理を順次おこなっていく電子署名装置である。

[0121] 図 14に示したァグリゲート署名生成装置 1400は、図 1に示したノヽードウエア構成で

、図 2に示した申請者や部署のパーソナル 'コンピュータに設けられており、申請者または部署内の職員により操作される。図 14において、ァグリゲート署名生成装置 140 0は、電子文書 'ァダリゲート署名取得部 1401と、生成部 1402と、公開鍵算出部 14 03と、第 1の重畳部 1404と、署名データ算出部 1405と、第 2の重畳部 1406と、ァグリゲート署名出力部 1407と、を備えている。

[0122] まず、電子文書 ·ァグリゲート署名取得部 1401は、 i ( l≤i≤n)番目の署名者の署名対象となる電子文書 mと l〜i 1番目の署名者による署名済みの電子文書 {m ,

i 1

· · · , m }に関するァグリゲート署名 σ ^(ί— Dとを取得する。

i-1 A

[0123] 具体的には、たとえば、 i番目の署名者は、卜 1番目の署名者のァグリゲート署名生成装置 1400からネットワーク 114を介して自身のァグリゲート署名生成装置 1400 に受信することで取得することができる。なお、署名済みの電子文書 {m , · · · , m }

1 i-1 を取得することとしてもよい。取得された各データは、自身のァグリゲート署名生成装置 1400のメモリに保持される。

[0124] また、生成部 1402は、電子文書 'ァダリゲート署名取得部 1401によって取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成する。具体的には、乱数を発生させることにより、 i番目の署名者の一時的な秘密鍵 kを生成する。この秘密鍵 kは、一時的なデータであるため、電子文書 mを取得する都度ランダムに生成される。生成された秘密鍵 kは、上記メモリに保持される。

[0125] また、公開鍵算出部 1403は、下記式（12)により、電子文書 mに関する i番目の署名者の一時的な公開鍵 rを算出する。

[0126] r = a ^kimod p ( 12)

[0127] ただし、 pは q I (p - 1)を満たす素数、 qは素数、 ocは巡回群上の位数を qとする元

、 kは i番目の署名者の秘密鍵で l≤k≤q— 1とする。

[0128] 具体的には、メモリに保持されている一時的な秘密鍵 kを読み出して、上記式（12) に代入することにより、一時的な公開鍵 rを算出する。上記式（12)は、シュノア署名における一時的な公開鍵 rの算出式と同一である。

[0129] また、第 1の重畳部 1404は、下記式（13)により、電子文書'ァグリゲート署名取得部 1401によって取得されたァグリゲート署名 σ ^(ί_1)を構成する重畳済みの一時的な

A

公開鍵 r⁽ⁱ— ^ϋと公開鍵算出部 1403によって算出された一時的な公開鍵!:とを重畳す

A i

る。具体的には、メモリに保持された重畳済みの一時的な公開鍵 r^(i_1)と一時的な公開鍵とを読み出してァグリゲート処理をおこなう。重畳済みの（ァダリゲートされた）一時的な公開鍵 r⁽ⁱ⁾はメモリ〖こ保持される。

A

[0130] r^G) =(r^G— D Xr)mod ρ···(13)

A A i

[0131] また、署名データ算出部 1405は、下記式（14)により、電子文書に関する i番目の署名者の一時的な署名データ sを算出する。

[0132] s = (a Xh(m)+k)mod q--- (14)

[0133] ただし、 h()は、ノ、ッシュ関数である。上記式（14)では、署名データ sは、一時的な公開鍵 rに依存しないデータであり、個別署名 σの本体となる。署名データ算出部 1 405では、具体的には、メモリに保持されている一時的な秘密鍵 kを読み出して、上記式（14)に代入することにより、署名データ sを算出する。算出された署名データ s は、一時的な公開鍵 rに関連付けられてメモリに保持される。

[0134] また、第 2の重畳部 1406は、下記式（15)により、電子文書'ァグリゲート署名取得部 1401によって取得されたァグリゲート署名 σ^(ί_1)を構成する重畳済みの署名デー

A

タ s⁽ⁱ— ^ϋと署名データ算出部 1405によって算出された署名データ sとを重畳する。具

A i

体的には、メモリに保持されたァグリゲート署名 σ^(ί— ¹〉内の署名データ s⁽ⁱ— ¹〉を読み出

A A

して署名データ sとのァグリゲート処理をおこなう。重畳済みの（ァダリゲートされた)署名データ sは、重畳済みの一時的な公開鍵 rに関連付けられてメモリに保持される。

A A

[0135] s^(D =(s^(M) +s)mod q---(15)

A A n

[0136] また、ァグリゲート署名出力部 1407は、第 1の重畳部 1404および第 2の重畳部 14 06によって重畳された重畳結果 (r⁽ⁱ⁾ , s⁽ⁱ⁾ )を、ァグリゲート署名 σ^(ΰとして出力する。

A A A

署名対象となる電子文書 mやこれまでに生成された電子文書 {m, ···, m }も出力

i 1 i-1 することとしてもよい。

[0137] 具体的には、メモリに保持された重畳結果 (r⁽ⁱ⁾ , s⁽ⁱ⁾ )をメモリから読み出して出力す

A A

る。出力形式は、つぎにァグリゲート署名をおこなうァグリゲート署名生成装置 1400 に送信してもよぐフラッシュメモリなど着脱可能な可搬型メモリに格納することとしてもよい。

[0138] なお、上述した電子文書 ·ァグリゲート署名取得部 1401、生成部 1402、公開鍵算出部 1403、署名データ算出部 1405、第 1の重畳部 1404、署名データ算出部 140 5、第 2の重畳部 1406、およびァグリゲート署名出力部 1407は、具体的には、たとえば、図 1に示した ROM102, RAM103, HD105などの記録媒体に記録されているプログラムを、 CPU101に実行させることによって、または IZF109によって、その機能を実現する。

[0139] (ァダリゲート署名生成処理手順 (署名アルゴリズム A5) )

つぎに、この発明の実施の形態に力かるァグリゲート署名生成処理手順 (署名アルゴリズム A5)について説明する。図 15は、この発明の実施の形態に力かるァグリゲート署名生成処理手順 (署名アルゴリズム A5)を示すフローチャートである。

[0140] まず、電子文書 ·ァグリゲート署名取得部 1401により、 i(l≤i≤n)番目の署名者の署名対象となる電子文書 mと l〜i 1番目の署名者による署名済みの電子文書 {m

i 1

, · ··, m }に関するァグリゲート署名 σ ^(ί— とを取得する (ステップ S1501)。

i-1 A

[0141] そして、生成部 1402により、取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 k_;をランダムに生成する (ステップ S 1502)。つぎに、公開鍵算出部 14 03により、電子文書 mに関する i番目の署名者の一時的な公開鍵 rを算出する (ステップ S1503)。そして、第 1の重畳部 1404により、ァグリゲート署名 σ ^{( ϋ}を構成する

A

重畳済みの一時的な公開鍵 r⁽ⁱ— Dと一時的な公開鍵 rとを重畳することにより、 i番目

A i

の署名者までの重畳済みの一時的な公開鍵 r⁽ⁱ⁾を算出する (ステップ S 1504)。

A

[0142] つぎに、署名データ算出部 1405により、電子文書 mに関する i番目の署名者の一時的な署名データ sを算出する (ステップ S 1505)。そして、第 2の重畳部 1406により、ァグリゲート署名 σ ^(ί— ¹〉を構成する重畳済みの署名データ s^(M)と署名データ sとを

A A i 重畳することにより、潘目の署名者による重畳済みの署名データ s⁽ⁱ⁾を算出する (ス

A

テツプ SI 506)。

[0143] つぎに、ァグリゲート署名出力部 1407により、第 1の重畳部 1404および第 2の重畳部 1406によって重畳された重畳結果 (r⁽ⁱ⁾ , s⁽ⁱ⁾ )を、ァグリゲート署名 σ ^(ΰとして出

A A A

力する (ステップ S1507)。これにより一連の処理を終了する。

[0144] これにより、 i番目に回議を受け取った部署は、電子文書 m , · ··, m とァグリゲート

1 i-1

署名 σ ^(ί— ¹〉から署名アルゴリズム A4を使用して電子文書 m , · ··, m の正当性を検証

1 i-1

後、電子文書 m に承認日付や担当者名を追加したり、内容を修正したりして文書 m を作成し、電子文書 mとァグリゲート署名 σ ^(ί— ^ϋ力も署名アルゴリズム Α5を使用して

i A

ァグリゲート署名 _σ ωを生成する。

A

[0145] そして、電子文書 m , · ··, mおよびァグリゲート署名 σ ^(Dを回議する。最終決裁者

1 i A

は、電子文書 {m , · ··, m }とァグリゲート署名 σ (^η)力も上述した署名アルゴリズム Α4

1 n A

を使用してすべての電子文書 {m , · ··, m }の正当性を確認し、最終決済をおこなう

1 n

ことができる。

[0146] <楕円曲線離散問題への応用例 >

つぎに、上述した電子署名装置 (署名アルゴリズム A1〜A5)では、離散対数問題をベースにした例である力楕円曲線離散問題をベースにすることもできる。この場合、 ECDSA証明書を利用すれば、既存 PKI証明書を利用可能なジェネラルァグリゲート署名が構成できる。

[0147] そこで、秘密鍵'公開鍵ペアとして、 ECDS Aの秘密鍵'公開鍵を使用し、 ECDSA の PKI証明書をそのまま使用する。以下、 ECDSA証明書の公開パラメータを挙げる

[0148] E :楕円曲線。楕円曲線を定義するが、ここのアルゴリズムでは直接現れることはない。 # E :楕円曲線の位数。楕円曲線上の点の数、ここのアルゴリズムでは直接現れることはない。

q, a, b :楕円曲線パラメータ。楕円曲線の演算に使用する力ここのアルゴリズムでは直接現れることはない。

r:素数で r I # E

G :ベースポイント。楕円曲線上の点の一つ。位数 rの生成元にあたる。

h():ノ、ッシュ関数

[0149] また、 i (l≤i≤n)番目の署名者の秘密鍵'公開鍵情報としては、以下の情報を用いる。

[0150] s :i番目の署名者の秘密鍵。 l≤s≤r—l

W： i番目の署名者の公開鍵。 W =s -G

[0151] ここで、 G, Wなどの大文字は楕円曲線上の点を、 sなどの小文字はスカラ値 (整数

)をあらわす。また、演算子「·」は楕円曲線上の点のスカラ倍をあらわす。 [0152] また、 i (l≤i≤n)番目の署名者の PKI証明書情報は、以下の通りである。

[0153] (Ε, # E, q, a, b, r, G, s , W)： i番目の署名者の公開鍵証明書

[0154] (個別署名処理手順 (署名アルゴリズム A6) )

まず、楕円曲線離散対数問題に基づく個別署名生成処理手順 (署名アルゴリズム A6)について説明する。図 16は、この発明の実施の形態に力かる個別署名生成処理手順を示すフローチャートである。この個別署名処理手順は、図 4に示した離散対数問題に基づく個別署名生成処理手順 (署名アルゴリズム A1)にかわる処理手順である。

[0155] 図 16において、まず、電子文書取得部 301により署名対象となる電子文書 mを取得する (ステップ S1601)。そして、生成部 302により、取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 uをランダムに生成する (ステップ S1602)。つぎに、公開鍵算出部 303により、生成された i番目の署名者の一時的な秘密鍵 uを用 V、て、 i番目の署名者の一時的な公開鍵 C_; ( =u · G)を算出する (ステップ S 1603)。

[0156] そして、署名データ算出部 304により、生成された i番目の署名者の一時的な秘密鍵 uを用いて、下記式（15)により、 i番目の署名者の秘密鍵 sに関する署名データ d を算出する（ステップ S1604)。なお、ステップ S1604は、ステップ S1603よりも先に実行してもよぐまた、同時に実行することとしてもよい。

[0157] d = (s X h(m) +u) mod Γ· · · (15)

[0158] つぎに、個別署名出力部 305により、 i番目の署名者の一時的な公開鍵 Cと署名データ dの組み合わせ {C , d }を、電子文書 mに対する i番目の署名者の個別署名 σ として出力する (ステップ S1605)。これにより一連の処理を終了する。

[0159] このような個別署名生成処理により、楕円曲線離散対数問題をベースにしても本発明を適用にすることができる。

[0160] (ァダリゲート署名処理手順 (署名アルゴリズム A7) )

つぎに、楕円曲線離散対数問題に基づくァグリゲート署名生成処理手順 (署名ァルゴリズム A7)について説明する。図 17は、この発明の実施の形態にかかるァグリゲート署名生成処理手順を示すフローチャートである。このァグリゲート署名処理手順は、図 6に示した離散対数問題に基づくァグリゲート署名生成処理手順 (署名ァルゴリズム A2)にかわる処理手順である。

[0161] 図 17において、まず、個別署名取得部 501により、 n個の個別署名 { σ , · ··, σ }

1 η を取得する (ステップ SI 701)。つぎに、第 1の重畳部 502により、取得された一時的な公開鍵 {C , · ··, C }を重畳することにより、重畳済みの一時的な公開鍵 Cを算出

1 n A する（ステップ SI 702)。

[0162] そして、第 2の重畳部 503により、取得された署名データ {d , · ··, d }を重畳するこ

1 n

とにより、重畳済みの署名データ dを算出する (ステップ SI 703)。ステップ S1703は

A

、ステップ S1702よりも先に実行してもよぐまた同時であってもよい。

[0163] このあと、ァグリゲート署名出力部 504により、重畳済みの一時的な公開鍵 Cと重

A

畳済みの署名データ dとの組み合わせ (C , d )となるァグリゲート署名 σ を出力す

A A A A

る（ステップ S1704)。これにより一連の処理を終了する。

[0164] このような個別署名力ァグリゲート署名までの一連の電子署名によれば、ァグリゲート署名には用いられていない楕円曲線離散対数問題に基づくシュノア系の電子署名をあえてァグリゲート署名に適用することで、ァグリゲート署名の本質である複数の署名データすベてのァグリゲーシヨンが可能で、かつ、既存の PKIを利用することができる。また、個別署名の削除など署名機能の自由度の向上を図ることができる。以下、ァグリゲート署名カゝら個別署名削除をおこなう処理手順 (署名アルゴリズム A8)について説明する。

[0165] (署名削除処理手順 (署名アルゴリズム A8) )

つぎに、楕円曲線離散対数問題に基づく署名削除処理手順 (署名アルゴリズム A8 )について説明する。図 18は、この発明の実施の形態に力かる署名削除処理手順（署名アルゴリズム A8)を示すフローチャートである。この署名削除処理手順は、図 9 に示した離散対数問題に基づく署名削除処理手順 (署名アルゴリズム A3)にかわる処理手順である。

[0166] 図 18において、まず、電子文書 ·署名取得部 801により、 n個の電子文書 {m , · ··,

1 m }とそのァグリゲート署名 σ と k (l≤k≤n)番目の個別署名 σ を取得する (ステツ n A k

プ S1801)。

[0167] つぎに、第 1の削除部 802により、取得された n個の電子文書 {m，…， m }の中か

1 n ら個別署名 σ により署名された電子文書 mを削除する (ステップ S1802)。そして、 k k

第 2の削除部 803により、下記式（16)を用いて、取得されたァグリゲート署名 σ を構

A

成する重畳済みの一時的な公開鍵 C力第 1の削除部 802によって削除された電

A

子文書 mの個別署名 σ を構成する一時的な公開鍵 Cを削除することで、削除後の k k k

重畳済みの一時的な公開鍵 C 'を算出する (ステップ S1803)。

A

[0168] C，=C C ·(16)

A A k

[0169] つぎに、第 3の削除部 804により、下記式（17)を用いて、取得されたァグリゲート署名 σ を構成する重畳済みの署名データ d力も第 1の削除部 802によって削除され

A A

た電子文書 mの個別署名 σ を構成する署名データ dを削除することで、削除後の k k k

重畳済みの署名データ d，を算出する (ステップ S 1804)

A 。

[0170] d，=d -dmod Γ···(17)

A A k

[0171] そして、削除結果出力部 805により、第 1の削除部 802によって得られた残余の電子文書 {m , ···, m , m , ···, m }を出力するとともに、第 2の削除部 803および第

1 k-1 k+1 n

3の削除部 804によって削除された削除結果 (C ', d ')を、個別署名 σ を削除した

A A k ァグリゲート署名 σ ，として出力する (ステップ S1805)。これにより一連の処理を終

A

了する。

[0172] この削除処理によれば、楕円曲線離散対数問題をベースとした場合であっても、個別署名 {σ , ···, σ }がァグリゲートされた後でも、任意の個別署名 σ を指定するだ

1 n k

けで、その個別署名 σ を除く残余の個別署名 {σ , ···, σ , σ , ···, σ }による k 1 k-1 k+1 n ァグリゲート署名 σ 'を生成することができる。

A

[0173] (ァダリゲート署名検証処理手順 (署名アルゴリズム A9))

つぎに、楕円曲線離散対数問題に基づくァグリゲート署名検証処理手順 (署名ァルゴリズム A9)について説明する。図 19は、この発明の実施の形態にかかるァグリゲート署名検証処理手順 (署名アルゴリズム A9)を示すフローチャートである。このァグリゲート署名検証処理手順は、図 12に示した離散対数問題に基づくァグリゲート署名検証処理手順 (署名アルゴリズム A4)にかわる処理手順である。

[0174] 図 19において、まず、ァグリゲート署名取得部 1101により、 n個の電子文書 {m ,

1

···, m }の各個別署名 {σ , ···, σ }をァグリゲートしたァグリゲート署名 σ を取得す η 1 n A る（ステップ S1901)。また、 n個の電子文書 {m , · ··, m }および n人の署名者の公開

1 n

鍵 {w , ···, W }も取得する。

1 n

[0175] そして、第 1の検証情報算出部 1102により、下記式（18)を用いて、第 1の検証情報 Vを算出し (ステップ S 1902)、第 2の検証情報算出部 1103により、下記式（19)

1

を用いて、第 2の検証情報 Vを算出する (ステップ S1903)。ステップ S1903は、ステ

2

ップ S1902よりも先に実行してもよぐ同時であってもよい。

[0176] V =d -G=∑ (s X h (m) +u) -G=∑ (h (m) -W +u -G) (18)

V = (h (m ) -W H—— hh (m ) -W ) +C

2 1 1 n n A

=∑ (h(m) -W +C

i i A

=∑ (h(m) -W +∑u -G

=∑ (h(m) -W +u -G) (19)

[0177] つぎに、判断部 1104により、第 1の検証情報 Vと第 2の検証情報 Vとを比較して、

1 2

ァグリゲート署名 σ の正当性を判断する（ステップ S1904)。そして、 V =Vである

A 1 2 場合 (ステップ SI 904 : Yes)、検証結果として検証成功出力をおこない (ステップ SI 905)、 V =Vでない場合 (ステップ SI 904 : No)、検証結果として検証失敗出力を

1 2

おこなう（ステップ S1906)。これにより一連の処理を終了する。

[0178] (ァダリゲート署名生成処理手順 (署名アルゴリズム A10) )

つぎに、楕円曲線離散対数問題に基づくシーケンシャルなァグリゲート署名生成処理手順 (署名アルゴリズム A10)について説明する。図 20は、楕円曲線離散対数問題に基づくシーケンシャルなァグリゲート署名生成処理手順 (署名アルゴリズム A10) を示すフローチャートである。このァグリゲート署名生成処理手順は、図 15に示した離散対数問題に基づくァグリゲート署名生成処理手順 (署名アルゴリズム A5)にかわる処理手順である。

[0179] まず、電子文書 ·ァグリゲート署名取得部 1401により、 i(l≤i≤n)番目の署名者の署名対象となる電子文書 mと l〜i 1番目の署名者による署名済みの電子文書 {m i 1

, · ··, m }に関するァグリゲート署名 σ ^(ί— とを取得する (ステップ S2001)。

i-1 A

[0180] そして、生成部 1402により、取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 uをランダムに生成する (ステップ S 2002)。つぎに、公開鍵算出部 14 03により、電子文書に関する i番目の署名者の一時的な公開鍵 C_;を算出する (ステップ S2003)。そして、第 1の重畳部 1404により、ァグリゲート署名 σ ^{( ϋ}を構成する

A

重畳済みの一時的な公開鍵 C⁽ⁱ— と一時的な公開鍵 Cとを重畳することにより、 i番目

A i

の署名者による重畳済みの一時的な公開鍵 C⁽ⁱ⁾を算出する (ステップ S2004)。

A

[0181] つぎに、署名データ算出部 1405により、電子文書 mに関する i番目の署名者の一時的な署名データ dを算出する (ステップ S2005)。そして、第 2の重畳部 1406により、ァグリゲート署名 σ ^{( 1}〉を構成する重畳済みの署名データ d⁽ⁱ— "と署名データ dとを

A A i 重畳することにより、 i番目の署名者までの重畳済みの署名データ d⁽ⁱ⁾を算出する (ス

A

テツプ S2006)。

[0182] つぎに、ァグリゲート署名出力部 1407により、第 1の重畳部 1404および第 2の重畳部 1406によって重畳された重畳結果 (C⁽ⁱ⁾ , d^(D )を、ァグリゲート署名 σ ^(ΰとして

A A A

出力する (ステップ S 2007)。これにより一連の処理を終了する。

[0183] これにより、 i番目に回議を受け取った部署は、電子文書 m , · ··, m とァグリゲート

1 i-1

署名 σ )から署名アルゴリズム A9を使用して電子文書 m , · ··, m の正当性を検証

1 i-1

後、電子文書 m に承認日付や担当者名を追加したり、内容を修正したりして文書 m

i-1 i を作成し、電子文書 mとァグリゲート署名 σ ^(ί— ^ϋカゝら署名アルゴリズム Α10を使用して

i A

ァグリゲート署名 _σ ωを生成する。

A

[0184] そして、電子文書 m , · ··, mおよびァグリゲート署名 σ ^(Dを回議する。最終決裁者

1 i A

は、電子文書 {m , · ··, m }とァグリゲート署名 σ (^η)力も上述した署名アルゴリズム Α9

1 n A

1 n

ことができる。

[0185] このように、上述した実施の形態では、ァグリゲート署名には用いられていない離散対数問題 (または楕円曲線離散対数問題）に基づくシュノア系の電子署名をあえてァダリゲート署名に適用することにより、ァグリゲート署名の本質である複数の署名データすべてのァグリゲーシヨンが可能で、かつ、上述した署名機能の制限がなぐ既存の PKIを利用することができると!/、うシーケンシャルァグリゲート署名とジェネラルァグリゲート署名とのトレードオフを解消することができる。

[0186] これにより、署名データ量の削減、署名確認の自由度の向上、および既存 PKIを利用することによる利便性の向上を同時に実現することができる。

産業上の利用可能性

以上のように、本発明に力かる電子署名プログラム、電子署名装置、および電子署名方法は、各種電子文書の電子申請や電子的な回議に適して、る。

Claims

請求の範囲

[1] ァグリゲート対象となる n個の電子文書 {m , ···, m }に関する個別署名 { σ , ···,

1 n 1 σ }の生成をコンピュータに実行させる電子署名プログラムにおいて、

署名対象となる i ( 1≤ i≤ n)番目の電子文書 mを取得させる電子文書取得工程と、前記電子文書取得工程によって取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成させる生成工程と、

下記式（1)により、前記生成工程によって生成された前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の一時的な公開鍵 rを算出させる公開鍵算出工程と、

下記式（2)により、前記生成工程によって生成された前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の秘密鍵 aに関する前記一時的な公開鍵 r に依存しな、署名データ sを算出させる署名データ算出工程と、

前記公開鍵算出工程によって算出された一時的な公開鍵 rと前記署名データ算出工程によって算出された署名データ sとの組み合わせ (r, s)を、前記電子文書 mに対する前記潘目の署名者の個別署名 σとして出力させる個別署名出力工程と、を前記コンピュータに実行させることを特徴とする電子署名プログラム。

r = a mod p

s = (a Xh(m) +k)mod q--- (2)

ただし、 qは素数、 pは q I (p— 1)を満たす素数、 αは巡回群上の位数を qとする元、 h()はハッシュ関数、は潘目の署名者の秘密鍵で l≤_ai≤q— 1とする。

[2] 前記複数の個別署名 {σ , ···, σ }を取得させる個別署名取得工程と、

1 η

下記式 (3)により、前記個別署名取得工程によって取得された一時的な公開鍵 {r

1

, ···, r }を重畳させる第 1の重畳工程と、

下記式 (4)により、前記個別署名取得工程によって取得された署名データ {s , ···,

1 s }を重畳させる第 2の重畳工程と、

前記第 1の重畳工程による重畳済みの一時的な公開鍵 rと前記第 2の重畳工程に

A

よる重畳済みの署名データ sとの組み合わせ (r , s )を、ァグリゲート署名 σ として

A A A A

出力させるァグリゲート署名出力工程と、を前記コンピュータに実行させることを特徴とする請求項 1に記載の電子署名プログラム。

r = (r Xr Χ ··· ΧΓ Xr )mod ρ· · · (3)

A 1 2 n-1 n

s =(s +s H hs +s )mod q^# · · (4)

A 1 2 n-1 n

[3] 前記 n個の電子文書 {m , ···, m }と前記ァグリゲート署名出力工程によって出力さ

1 n

れたァダリゲート署名 σ と k(l≤k≤n)番目の個別署名 σ を取得させる電子文書 ·

A k

署名取得工程と、

前記電子文書'署名取得工程によって取得された n個の電子文書 {m , ···, m }の

1 n 中から個別署名 σ により署名された電子文書 mを削除させる第 1の削除工程と、 k k

下記式（5)により、前記電子文書 ·署名取得工程によって取得されたァグリゲート署名 σ を構成する重畳済みの一時的な公開鍵 r力前記第 1の削除工程によって削

A A

除された電子文書 mの個別署名 σ を構成する一時的な公開鍵 rを削除させる第 2 k k k

の削除工程と、

下記式 (6)により、前記電子文書 ·署名取得工程によって取得されたァグリゲート署名 σ

Aを構成する重畳済みの署名データ s

Aから前記第 1の削除工程によって削除された電子文書 mの個別署名 σ を構成する署名データ sを削除させる第 3の削除ェ k k k

程と、

前記第 1の削除工程によって得られた残余の電子文書 {m , ···, m , m , ···, m

1 k-1 k+1 を出力させるとともに、前記第 2および第 3の削除工程によって削除された削除結果 (r ', s ')を前記個別署名 σ を削除したァグリゲート署名 σ 'として出力させる削

A A k A

除結果出力工程と、

を前記コンピュータに実行させることを特徴とする請求項 2に記載の電子署名プログラム。

r， =r Z r mod ρ··· (5)

A A k

s，=s — s mod q^e · · (o)

A A k

[4] 前記ァグリゲート署名出力工程によって出力されたァグリゲート署名 σ を取得させ

A

るァグリゲート署名取得工程と、

前記ァグリゲート署名取得工程によって取得された第 1の重畳結果 rに基づいて、第 1の検証情報 VIを算出させる第 1の検証情報算出工程と、前記ァグリゲート署名取得工程によって取得された第 2の重畳結果 sに基づ、て、

A

第 2の検証情報 V2を算出させる第 2の検証情報算出工程と、

前記第 1および第 2の検証情報算出工程によって算出された第 1の検証情報 VIおよび第 2の検証情報 V2に基づいて、前記ァグリゲート署名 σ の正当性を判断する

A

判断工程と、

前記判断工程によって判断された判断結果を出力させる判断結果出力工程と、を前記コンピュータに実行させることを特徴とする請求項 2に記載の電子署名プログラム。

i(l≤i≤n)番目の署名者の署名対象となる電子文書 mと l〜i 1番目の署名者による署名済みの電子文書に関するァグリゲート署名 σ ^(ί_1)とを取得させる電子文書 ·

A

ァグリゲート署名取得工程と、

前記電子文書'ァグリゲート署名取得工程によって取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成させる生成工程と、下記式（7)により、前記電子文書 mに関する前記 i番目の署名者の一時的な公開鍵 rを算出させる公開鍵算出工程と、

下記式 (8)により、前記電子文書'ァグリゲート署名取得工程によって取得されたァダリゲート署名 σ ^ΰ— Dを構成する重畳済みの一時的な公開鍵 r(^i_1)と前記公開鍵算出

A A

工程によって算出された一時的な公開鍵 rとを重畳させる第 1の重畳工程と、下記式（9)により、前記電子文書 mに関する前記 i番目の署名者の一時的な署名データ sを算出させる署名データ算出工程と、

下記式（10)により、前記電子文書'ァグリゲート署名取得工程によって取得されたァグリゲート署名 σ ^(Μ)を構成する重畳済みの署名データ s⁽ⁱ— ^ϋと前記署名データ算

A A

出工程によって算出された署名データ sとを重畳させる第 2の重畳工程と、前記第 1および第 2の重畳工程によって重畳された重畳結果 (r⁽ⁱ⁾ , s⁽ⁱ⁾ )を、ァグリゲ

A A

ート署名 σ (^ΰとして出力させるァグリゲート署名出力工程と、

A

を前記コンピュータに実行させることを特徴とする電子署名プログラム。

r = a mod p (7) r⁽ⁱ⁾ =(r^G— D Xr)mod ρ···(8)

A A i

s = (a Xh(m)+k)mod q--- (9)

s^(l) = (s⁽¹ D +s )mod q^e · · (10)

A A n

[6] 前記電子署名プログラムは、離散対数問題に基づくアルゴリズムであることを特徴とする請求項 1〜5のいずれか一つに記載の電子署名プログラム。

[7] 前記電子署名プログラムは、楕円曲線離散対数問題に基づくアルゴリズムであることを特徴とする請求項 1〜5のいずれか一つに記載の電子署名プログラム。

[8] ァグリゲート対象となる n個の電子文書 {m , ···, m }に関する個別署名 { σ , ···,

1 n 1 σ }を生成する電子署名装置において、

署名対象となる i ( 1≤ i≤ n)番目の電子文書 mを取得する電子文書取得手段と、前記電子文書取得手段によって取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 kをランダムに生成する生成手段と、

下記式（11)により、前記生成手段によって生成された前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の一時的な公開鍵 rを算出する公開鍵算出手段と、

下記式（12)により、前記生成手段によって生成された前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の秘密鍵に関する前記一時的な公開鍵 rに依存しな、署名データ sを算出する署名データ算出手段と、

前記公開鍵算出手段によって算出された一時的な公開鍵 rと前記署名データ算出手段によって算出された署名データ sとの組み合わせ (r, _Si)を、前記電子文書 mに対する前記潘目の署名者の個別署名 σとして出力する個別署名出力手段と、を備えことを特徴とする電子署名装置。

r = a mod p "1)

s = (a Xh(m) +k)mod q--- (12)

ただし、 qは素数、 pは q I (p— 1)を満たす素数、 αは巡回群上の位数を qとする元、 h()はハッシュ関数、は潘目の署名者の秘密鍵で l≤_ai≤q— 1とする。ァグリゲート対象となる n個の電子文書 {m , ···, m }に関する個別署名 { σ , ···,

1 n 1 σ }を生成する電子署名方法において、

署名対象となる i ( 1≤ i≤ n)番目の電子文書 mを取得する電子文書取得工程と、前記電子文書取得工程によって取得された電子文書 mを署名する i番目の署名者の一時的な秘密鍵 k_;をランダムに生成する生成工程と、

下記式（13)により、前記生成工程によって生成された前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の一時的な公開鍵 rを算出する公開鍵算出工程と、

下記式（14)により、前記生成工程によって生成された前記 i番目の署名者の一時的な秘密鍵 kを用いて、前記 i番目の署名者の秘密鍵 aに関する前記一時的な公開鍵 rに依存しな、署名データ sを算出する署名データ算出工程と、

前記公開鍵算出工程によって算出された一時的な公開鍵 rと前記署名データ算出工程によって算出された署名データ sとの組み合わせ (r, s)を、前記電子文書に対する前記潘目の署名者の個別署名 σとして出力する個別署名出力工程と、を含んだことを特徴とする電子署名方法。

r = a mod p (13)

s = (a Xh(m) +k)mod q--- (14)

ただし、 qは素数、 pは q I (p— 1)を満たす素数、 αは巡回群上の位数を qとする元、 h()はハッシュ関数、 a.は潘目の署名者の秘密鍵で l≤a.≤q— 1とする。