WO2011033642A1

WO2011033642A1 - 署名生成装置及び署名検証装置

Info

Publication number: WO2011033642A1
Application number: PCT/JP2009/066302
Authority: WO
Inventors: 雄一駒野; 秋山　浩一郎; 嘉一花谷; 秀享三宅
Original assignee: 株式会社東芝
Priority date: 2009-09-17
Filing date: 2009-09-17
Publication date: 2011-03-24

Abstract

　署名生成装置（１００）は、公開鍵の多項式及び秘密鍵を記憶した記憶部（１０１）と、署名対象文書の入力を受け付ける入力部（１０２）と、一つ以上の乱数を生成する乱数生成部（１０３）と、一つ以上の変換式を生成する変換式生成部（１０４）と、各変換式及び各乱数を秘密鍵に対応付ける各解を計算する第１計算部（１０５）と、各変換式及び各乱数に基づいて公開鍵の多項式を変換して各被変換式を得る変換部（１０６）と、署名対象文書及び各被変換式からハッシュ値を計算する第２計算部（１０７）と、ハッシュ値のビット値に応じて「変換式及び乱数」又は「解」を含む各部分データを作成する第１及び第２作成部（１０８，１０９）と、署名対象文書、各被変換式、各部分データを含むディジタル署名を生成する署名生成部（１１０）と、を備えている。

Description

署名生成装置及び署名検証装置

　本発明は、ディジタル署名に関する。

　通信内容の正当性の保証や、なりすまし防止を目的としてディジタル署名の技術が用いられる。代表的なディジタル署名の技術であるＲＳＡ署名及び楕円曲線署名は、それぞれ素因数分解問題及び離散対数問題の計算困難性を根拠として、安全性が確保されている。

D. Chaum, A. Fiat, and M. Naor. Untraceable Electronic Cash, CRYPTO’88, Springer-Verlag, 1989.

　しかしながら、上述した技術では、素因数分解問題や離散対数問題を効率的に解くことができる量子計算機が出現すると、安全性を確保できない。

　本発明の目的は、量子計算機が出現しても安全性を確保し得る署名生成装置及び署名検証装置を提供することである。

　本発明の一つの局面は、署名生成装置であって、公開鍵の多項式及び前記公開鍵に対応する秘密鍵を記憶した記憶部と、署名対象文書を受け付ける入力部と、一つ以上の乱数を生成する乱数生成部と、一つ以上の変換式を生成する変換式生成部と、前記各変換式及び各乱数を前記秘密鍵に対応付ける各解を計算する第１計算部と、前記各変換式及び各乱数に基づいて前記公開鍵の多項式を変換し、当該変換された各被変換式を得る変換部と、前記署名対象文書及び前記各被変換式に基づいてハッシュ値を計算する第２計算部と、前記ハッシュ値のビット値が第１値のとき、前記各変換式及び各乱数のうちのいずれかの変換式及び乱数を含む第１部分データを作成する第１作成部と、前記ハッシュ値のビット値が第２値のとき、前記各解のうちのいずれかの解を含む第２部分データを作成する第２作成部と、前記署名対象文書、前記各被変換式、及び前記ビット値に応じた前記第１又は第２部分データを含むディジタル署名を生成する署名生成部と、を備えた署名生成装置である。

　本発明によれば、量子計算機が出現しても安全性を確保できる。

図１は第１の実施形態に係る署名生成装置の概略図である。図２は同実施形態における署名検証装置の概略図である。図３は第２の実施形態に係る署名生成装置の概略図である。図４は同実施形態における署名検証装置の概略図である。図５は第５の実施形態に係る署名生成装置の概略図である。

　以下、本発明の各実施形態について図面を参照して説明する。但し、その前に、各実施形態が用いるカット＆チューズ(Cut＆Choose)法の概要について電子現金システムを例に挙げて述べる。カット＆チューズ法は、例えば、電子現金システムなどの応用プロトコルを安全に構成するために用いられる（例えば、非特許文献１参照）。電子現金システムでは、不正行為がない場合、プライバシを保護するために利用者識別情報を秘匿し、不正行為がある場合、利用者を特定するために利用者識別情報を露見させる必要がある。

　係る電子現金システムでは、カット＆チューズ法が証明者と検証者の対話により実行される。ここで、証明者は電子現金の利用者である。検証者は電子現金の受取者である。

　証明者は、利用者識別情報を不正発覚時に復元するための部分情報を作成する。証明者は、部分情報を埋め込んだ複数のデータを計算し、各データを検証者に送信する。検証者は、各データのうちのいくつかのデータをランダムに選択し、部分情報の正当性を証明者との対話により確認する。検証者は、正当性を確認できた場合には残りのデータを電子現金として受理し、他の場合には電子現金の受け取りを拒絶する。

　以上がカット＆チューズ法の概要である。但し、各実施形態では、ハッシュ値を用いた非対話型のカット＆チューズ法を用いる。各実施形態は、カット＆チューズ法の下で、方程式系の求解問題の計算困難性を安全性の根拠としている。第１及び第２の実施形態は、方程式系としてランダム多項式を用いる。第３乃至第５の実施形態は、方程式系の求解問題として代数曲面上の求セクション問題を用いる。また、各実施形態は、図１乃至図４に示すように、装置１００，２００，３００毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体１，２，３から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。続いて、各実施形態の詳細を順次説明する。

　（第１の実施形態）
　図１は本発明の第１の実施形態に係る署名生成装置の概略図であり、図２は同実施形態における署名検証装置の概略図である。

　署名生成装置１００は、記憶部１０１、入力部１０２、乱数生成部１０３、変換式生成部１０４、第１計算部１０５、変換部１０６、第２計算部１０７、第１作成部１０８、第２作成部１０９、署名生成部１１０及び出力部１１１を備えている。

　ここで、記憶部１０１は、各部１０２～１１１から読出／書込可能な記憶装置であり、公開鍵の多項式、公開鍵に対応する秘密鍵、安全性のパラメータk,m,n、およびハッシュ関数Gを計算するための情報が記憶されている。なお、安全性のパラメータk,m,n、およびハッシュ関数Gを計算するための情報は、予め各部１０３～１０９が保持することにより、記憶部１０１から省略してもよい。

　公開鍵は、可換環Ｒ上のｍ本のｎ変数方程式f₁(x₁,...,x_n)＝0,..., f_m(x₁,...,x_n)＝0である。ｍは公開鍵の方程式の本数を表す。ｎは方程式の変数の個数を表す。

　秘密鍵は、公開鍵の方程式系の解s₁,...,s_nである。

　公開鍵と秘密鍵は、外部装置から予め署名生成装置１００に入力されて記憶部１０１に書き込まれてもよく、署名生成装置１００内の鍵生成部（図示せず）で計算されて記憶部１０１に書き込まれてもよい。

　パラメータkと関数Gは、例えば、以下の通りである。

　k：カット＆チューズ法で用いるデータの総数。総数kは、カット＆チューズ法を適正に実行する観点から、例えば１６０以上の値が好ましい。

　G：任意の長さのデータをkビットのデータに変換する耐衝突一方向性ハッシュ関数。

　入力部１０２は、署名対象文書msgの入力を受け付ける機能をもっている。

　乱数生成部１０３は、１つ以上の乱数r_i,1,..., r_i,nを生成する機能をもっている。

　変換式生成部１０４は、１つ以上の変換式g_i(x₁,...,x_n,r_i,1,..., r_i,n)を生成する機能をもっている。

　ここで、変換式g_i(x₁,...,x_n, r_i,1,...,r_i,n)は、2n個のデータあるいは変数(x₁,...,x_n, r_i,1,...,r_i,n)をn個のデータあるいは変数に変換するための式である。具体的には例えば、以下に示すように、データあるいは変数間で減算、加算又は任意の演算を行う多項式が適宜使用可能となっている。

g_i(x₁,...,x_n, r_i,1,...,r_i,n)＝(x₁－r_i,1,...,x_n－r_i,n)、
g_i(x₁,...,x_n, r_i,1,...,r_i,n)＝(x₁＊r_i,1,...,x_n＋r_i,n)又は、
g_i(x₁,...,x_n, r_i,1,...,r_i,n)＝(x₁＾2＋r_i,1,...,2x_n-1＋x_n－r_i,n)
　第１計算部１０５は、生成された各変換式及び各乱数を秘密鍵に対応付ける各解z_i,1,..., z_i,nを計算する機能をもっている。

　変換部１０６は、生成された各変換式及び各乱数に基づいて公開鍵の多項式f_j(x₁,...,x_n)を変換し、当該変換された各被変換式f^～ _j(x₁,...,x_n)を得る機能をもっている。ここで、ｊは方程式番号である（j＝1,...,m）。なお、「被変換式」は「多項式」とも呼ぶ。

　第２計算部１０７は、入力を受け付けた署名対象文書msg及び変換部１０６により得られた各被変換式に基づいてハッシュ値dを計算する機能をもっている。ハッシュ値dはkビットであり、各ビット値d_iを並べて構成される（i＝1,...,k）。

　第１作成部１０８は、ハッシュ値dのビット値d_iが第１値（例、“０”）のとき、生成された各変換式及び各乱数のうちのいずれかの変換式及び乱数を含む第１部分データσ_iを作成する機能をもっている。なお、第１値は“０”に限らず、“１”でもよい。また、「第１部分データ」は、単に「部分データ」とも呼ぶ。

　第２作成部１０９は、ハッシュ値dのビット値d_iが第２値（例、“１”）のとき、各解のうちのいずれかの解を含む第２部分データσ_iを作成する機能をもっている。なお、第２値は、第１値とは異なる値であればよいので、“１”に限らず、“０”でもよい。また、「第２部分データ」は、単に「部分データ」とも呼ぶ。

　署名生成部１１０は、署名対象文書msg、各被変換式、及びビット値d_iに応じた第１又は第２部分データσ_iを含むディジタル署名signを生成する機能をもっている。

　出力部１１１は、生成されたディジタル署名を出力する機能をもっている。

　一方、署名検証装置２００は、記憶部２０１、入力部２０２、計算部２０３、復元部２０４、第１判定部２０５、第２判定部２０６及び出力部２０７を備えている。

　ここで、記憶部２０１は、各部２０２～２０６から読出／書込可能な記憶装置であり、前述した公開鍵、安全性のパラメータk,m,n、およびハッシュ関数Gを計算するための情報が記憶されている。なお、安全性のパラメータk,m,n、およびハッシュ関数Gを計算するための情報は、予め各部２０３～２０６が保持することにより、記憶部２０１から省略してもよい。

　入力部２０２は、ディジタル署名signの入力を受け付ける機能をもっている。

　計算部２０３は、入力を受け付けたディジタル署名sign内の署名対象文書msg及び各被変換式に基づいてハッシュ値dを計算する機能をもっている。

　復元部２０４は、ハッシュ値dのビット値d_iに応じて、ディジタル署名sign内の各部分データσ_iから「変換式及び乱数」又は「解」を復元する機能をもっている。

　第１判定部２０５は、復元部２０４により変換式及び乱数が復元されたとき、当該復元された変換式及び乱数に基づいて公開鍵の多項式を変換し、当該変換結果から得られた被変換式と、ディジタル署名sign内の被変換式とが等しいか否かを判定する機能をもっている。

　第２判定部２０６は、復元部２０４により解が復元されたとき、当該復元された解をディジタル署名sign内の被変換式に代入して得られた値が零に等しいか否かを判定する機能をもっている。

　出力部２０７は、第１及び第２判定部２０５，２０６における全ての判定結果が「等しい」旨を示す場合、ディジタル署名signの受理を出力する機能をもっている。

　続いて、第１の実施形態における可換環Ｒ上で定義される多項式の集合について述べる。なお、各集合Γ_f,Γ_f～，Γgは、記憶部１０１内のパラメータk,m,nに基づいて、変換式生成部１０４等から利用可能となっている。

　公開鍵が存在する公開鍵集合Γ_fを次式で表す。deg_fは次数の上限を表す。

　変換式集合Γ_gとしては、g(x₁,...,x_n, y₁,...,y_n)＝(x₁－y₁, ..., x_n－y_n)や、g(x₁,...,x_n, y₁,...,y_n)＝(2x₁－y₁, ..., 3x_n－2y_n)や、g(x₁,...,x_n, y₁,...,y_n)＝(a_1,1x₁＾2＋a_1,2ｘ＋y₁, ..., a_n,3ｘ₃－a_n,n-1x_n-1＾3＋a_n,nx_n＋b_n,2r₂＋b_n,nr_n)などを含む集合とする。

　変換後の被変換式f^～が存在する被変換式集合Γ_f～を次式で表す。

　Γ_f～＝{f^～(x₁,...,x_n)＝f(g(x₁,...,x_n, r₁,...,r_n))｜
f(x₁,...,x_n)∈Γ_f,g(x₁,...,x_n, y₁,...,y_n)∈Γ_g, r₁,...,r_ｎ∈Ｒ}
　次に、以上のように構成された署名生成装置及び署名検証装置の動作を順次説明する。

　[STEP10] 署名生成装置１００では、入力部１０２が、署名対象文書msgを入力として受け付ける。

　[STEP20] 乱数生成部１０３は、記憶部１０１内のパラメータk,m,nに基づき、i＝1,...,k, j＝1,...,mについて、乱数r_i,j,1,...,r_i,j,n∈Ｒをランダムに生成する。

　[STEP30] 変換式生成部１０４は、記憶部１０１内のパラメータk,m,nに基づき、i＝1,...,k, j＝1,...,mについて、各変換式g_i,j(x₁,...,x_n, y₁,...,y_n)∈Γ_gをランダムに生成する。

　例えば、変換式集合Γ_g＝{g(x₁,...,x_n,y₁,...,y_n)＝(x₁－r₁,...,y_n－y_n)}}の場合には、[STEP20]で生成された乱数r_i,j,1,...,r_i,j,n∈Ｒに対して、変換式g_i,j(x₁,...,x_n, r_i,j,1,...,r_i,j,n)＝(x₁－r_i,j,1,...,x_n－r_i,j,n)などとしてもよい。

　[STEP40] 第１計算部１０５は、記憶部１０１内のパラメータk,m,nと秘密鍵s₁,...,s_nに基づき、i＝1,...,k, j＝1,...,mについて、秘密鍵の集合(s₁,...,s_n)＝g_i,j(z_i,j,1, ..., z_i,j,n, r_i,j,1, ..., r_i,j,n)を満たす解の集合(z_i,j,1, ..., z_i,j,n)を計算する。

　例えば、上述の例では、i＝1,...,k, j＝1,...,m， L＝1,...,nについて、解z_i,j,L＝s_L＋r_i,j,Lとする。

　[STEP50] 変換部１０６は、記憶部１０１内のパラメータk,m,nと公開鍵f_１(x₁,...,x_n)，f_ｍ(x₁,...,x_n)に基づき、i＝1,...,k, j＝1,...,mについて、x₁,...,x_nを変数とするk＊ｍ本の多項式f^～ _i,j＝f_i,j(g_i,j(x₁,...,x_n, r_i,j,1,...,r_i,j,n))∈Γ_f～を計算する。

　ここで、Γ_f～は被変換式集合Γ_f～＝{f(g(x₁,...,x_n,r₁,...,r_n))｜f∈Γ_f，g∈Γ_g，r₁, ..., r_n∈Ｒ}をあらわす。

　[STEP60] 第２計算部１０７は、記憶部１０１内のパラメータk,m,nとハッシュ関数Gに基づき、kビットのハッシュ値d＝G(msg，f^～ _1,1(x₁,...,x_n),...,f^～ _1,m(x₁,...,x_n),f^～ _2,1(x₁,...,x_n),...,f^～ _2,m(x₁,...,x_n),...,f^～ _k,1(x₁,...,x_n),...,f^～ _k,m(x₁,...,x_n))を計算する。ハッシュ値dの各ビットd_iを(d₁．．．d_k)で表す。この各ビットd_iの表記は以下の各実施形態でも同様である。

　第１及び第２作成部１０８，１０９は、記憶部１０１内のパラメータk,m,nに基づき、i＝1,...,k, j＝1,...,mについて、[STEP60]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP70A] ビットd_i＝０のとき、第１作成部１０８は、部分データσ_i,j＝(g_i,j(x₁,...,x_n, y₁,...,y_n), r_i,j,1,...,r_i,j,n)を作成する。

　[STEP70B] ビットd_i＝１のとき、第２作成部１０９は、部分データσ_i,j＝(φ, z_i,j,1,..., z_i,j,n)を作成する。ここで、φは空集合を表し、ビットd_i＝０の場合と、ビットd_i＝１の場合での要素数を揃える目的で用いる。この空集合φの説明は、以下の各実施形態でも同様である。部分データσ_i,jは、k＊ｍ個ある。

　[STEP80] 署名生成部１１０は、ディジタル署名sign＝{msg, f^～ _1,1(x₁,...,x_n), ..., f^～ _1,m(x₁,...,x_n)， f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n), σ_1,1, ..., σ_1,m, σ_2,1, ..., σ_2,m, σ_k,1, ..., σ_k,m}を生成する。生成されたディジタル署名signは出力部１１１から出力される。

　以上が署名生成装置１００の動作である。次に、署名検証装置２００の動作を述べる。

　[STEP110] 署名検証装置２００では、入力部２０２が、ディジタル署名sign＝{msg, f^～ _1,1(x₁,..., x_n), ..., f^～ _1,m(x₁,...,x_n), f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n), σ_1,1, ..., σ_1,m, σ_2,1, ..., σ_2,m, σ_k,1, ..., σ_k,m}を受け付ける。

　[STEP120] 計算部２０３は、記憶部２０１内のパラメータk,m,nとハッシュ関数Gに基づき、ハッシュ値d＝G(msg, f^～ _1,1(x₁,...,x_n), ..., f^～ _1,m(x₁,...,x_n),f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n))を計算する。

　[STEP130] 復元部２０４、第１及び第２判定部２０５，２０６は、記憶部２０１内のパラメータk,m,nに基づき、i＝1,...,k, j＝1,...,mについて、[STEP120]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP130A-1] ビットd_i＝０のとき、復元部２０４は、部分データσ_i,jから(g_i,j(x₁,...,x_n, y₁,...,y_n), r_i,j,1, ..., r_i,j,n)を復元する。

　[STEP130A-2] 第１判定部２０５は、i＝1,...,k, j＝1,...,mについて、f^～ _i,j(x₁,...,x_n)＝f_j(g_i,j(x₁,...,x_n, r_i,j,1,...,r_i,j,n))が成り立つことを確認する。

　[STEP130B-1] ビットd_i＝１のとき、復元部２０４は、部分データσ_i,jから解(φ, z_i,j,1,...,z_i,j,n)を復元する。

　[STEP130B-2] 第２判定部２０６は、i＝1,...,k, j＝1,...,mについて、f^～ _i,j(z_i,j,1,...,z_i,j,n)＝０が成り立つことを確認する。

　[STEP140] 出力部２０７は、i＝1,...,k, j＝1,...,mについて、[STEP130A-2]又は[STEP130A-2]で等式が成り立つ場合には「受理」を出力し、一つでも等式が成り立たない場合には「棄却」を出力する。

　上述したように第１の実施形態によれば、公開鍵の多項式と、秘密鍵とをそれぞれ変換して被変換式f^～ _i,j，解z_i,j,Lを計算し、署名対象文書msgと被変換式からハッシュ値dを計算し、ハッシュ値dのビット値d_iに応じて、公開鍵に関する変換データ（変換式と乱数）又は秘密鍵に関する変換データ（解）を含む部分データσ_iを作成し、署名対象文書、被変換式及び部分データを含むディジタル署名signを生成する。また、ディジタル署名sign内の部分データσ_iを、ハッシュ値dのビット値d_iに応じて別々の等式で検証する。これにより、方程式系の求解問題の計算困難性を安全性の根拠とするディジタル署名を提供できるので、量子計算機が出現しても、安全性を確保できる。

　また、ディジタル署名の検証により、被変換式f^～ _j(x₁,...,x_n)が正しく計算され、部分データσ_iが秘密鍵s₁,...,s_nを用いて計算されたことを確認できる。

　また、カット＆チューズ法の観点から、秘密鍵s₁,...,s_nを用いずに、検証に合格するディジタル署名signを作り出す偽造攻撃が困難であることを説明する。攻撃者は、ハッシュ関数Gの入力である多項式f^～ _i,j(x₁,...,x_n)を出力する必要がある。さらに攻撃者は、ハッシュ値dのビットがd_i＝０のとき、f_i,j(x₁,...,x_n)をf^～ _i,j(x₁,...,x_n)に変換するための情報を部分データσ_1,1,...,σ_1,mとして出力し、d_i＝１のときf^～ _i,j(x₁,...,x_n)の解z_i,j,1,...,z_i,j,nをσ_1,1,...,σ_1,mとして出力しなければならない。秘密鍵s₁,...,s_nを用いない場合には、ハッシュ値のｉ番目のビットが０であることを期待してf_i,j(x₁,...,x_n)をf^～ _i,j(x₁,...,x_n)に変換したり、ハッシュ値のｉ番目のビットが１であることを期待して予め定めた解z_i,j,1,...,z_i,j,nをもつ方程式f^～ _i,j(x₁,...,x_n)を導いたりすることが考えられる。しかしながら、導いたf^～ _i,j(x₁,...,x_n)を入力とするハッシュ関数Gの出力のビット値が期待通りになる確率は無視できるほど小さい(Gがランダムな値を出力する場合には１／２^k程度)。そのため、秘密鍵s₁,...,s_nを用いずに、検証に合格するディジタル署名signを作り出す偽造攻撃は困難である。

　＜第１の実施形態の変形例＞
　第１の実施形態では、ｍ本のｎ変数方程式の解を利用したが、これに限らず、第１の実施形態において、方程式の総数ｍ＝１とし、方程式番号を表す添字ｊを削除するように変形することが可能である。この変形例では、ディジタル署名signが以下のようになるので、第１の実施形態に比べ、処理量やデータ量を削減できる。

sign＝{msg,f^～ ₁(x₁,...,x_n),...,f^～ _k(x₁,...,x_n),σ₁,...,σ_k}、
但し、d_i＝０のときのσ_i＝(g_i(x₁,...,x_n,y₁,...,y_n),r_i,1,...,r_i,n)、
d_i＝１のときのσ_i＝(φ,z_i,1,...,z_i,n)
　（第２の実施形態）
　図３は本発明の第２の実施形態に係る署名生成装置の概略図であり、図４は同実施形態における署名検証装置の概略図であって、図１と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。

　第２の実施形態は、第１の実施形態の変形例であり、ディジタル署名の安全性の向上を図るものであって、署名生成装置１００においては、図１に示した構成に比べ、第２乱数生成部１１２、第３計算部１１３及び第４計算部１１４を更に備えている。

　ここで、第２乱数生成部１１２は、各乱数r_i,1,..., r_i,nとは別の各乱数S_i,jを生成する機能をもっている。

　第３計算部１１３は、別の各乱数に基づき、各乱数ハッシュ値f’_i,j(x₁,...,x_n)＝H₁(S_i,j)を計算する機能をもっている。なお、「乱数ハッシュ値」は、「要素値」とも呼ぶ。

　第４計算部１１４は、各解に基づき、各解ハッシュ値v_i,j＝H₂(f’_i,j(z_i,j,1,...,z_i,j,n))を計算する機能をもっている。なお、「解ハッシュ値」は、単に「ハッシュ値」とも呼ぶ。

　これに伴い、記憶部１０１は、前述した公開鍵、秘密鍵、パラメータk及びハッシュ関数Gの他に、パラメータk₁，k₂及びハッシュ関数H₁，H₂が記憶されている。ここで、パラメータk₁,k₂と関数H₁,H₂は以下の通りである。

　k₁：ハッシュ関数H₁の入力のビット長。ビット長k₁は、H₁の入力を予測困難とするように、例えば１６０以上の値が好ましい。

　k₂：ハッシュ関数H₁の出力のビット長。ビット長k₂は、H₂が耐衝突性を満たすように、例えば１６０以上の値が好ましい。

　H₁：k₁ビットのデータを、被変換式集合Γ_f～内の方程式の一つに対応付ける耐衝突一方向性関数。

　H₂：任意の長さのデータ（複数の方程式の係数）を、k₂ビットのデータに変換する耐衝突一方向性関数。

　また、変換部１０６は、前述した機能において、変換結果に各乱数ハッシュ値のうちのいずれかの乱数ハッシュ値f’_i,j(x₁,...,x_n)を加算して各被変換式を得ている。

　第２計算部１０７は、前述した機能において、乱数ハッシュ値を加算して得られた各被変換式と、各解ハッシュ値ｖ_1,1,...,ｖ_k,mとにも基づいてハッシュ値dを計算する。

　第１作成部１０８は、前述した機能において、別の各乱数のうちのいずれかの乱数S_i,jをも含む第１部分データσ_iを作成する。

　署名生成部１１０は、前述した機能において、各解ハッシュ値ｖ_1,1,...,ｖ_k,mをも含むディジタル署名signを生成する。

　一方、署名検証装置３００は、記憶部３０１、入力部３０２、計算部３０３、復元部３０４、第１判定部３０５、第２判定部３０６及び出力部３０７を備えている。

　記憶部３０１は、各部３０２～３０６から読出／書込可能な記憶装置であり、記憶部２０１が記憶していた公開鍵、パラメータk及びハッシュ関数Gの他に、パラメータk₁，k₂及びハッシュ関数H₁，H₂が記憶されている。ここで、パラメータk₁,k₂と関数H₁,H₂は前述した通りである。また、パラメータk, k₁,k₂,m,n、およびハッシュ関数G, H₁,H₂を計算するための情報は、予め各部３０３～３０６が保持することにより、記憶部３０１から省略してもよい。

　入力部３０２は、ディジタル署名signの入力を受け付ける機能をもっている。

　計算部３０３は、ディジタル署名sign内の署名対象文書msg、各被変換式及び各解ハッシュ値ｖ_1,1,...,ｖ_k,mに基づいてハッシュ値dを計算する機能をもっている。

　復元部３０４は、このハッシュ値dのビット値d_iに応じて、ディジタル署名sign内の各部分データσ_iから「別の乱数、変換式及び乱数」又は「解」を復元する機能をもっている。

　第１判定部３０５は、復元部３０４により別の乱数、変換式及び乱数が復元されたとき、当該別の乱数から乱数ハッシュ値を計算し、当該変換式及び乱数に基づいて公開鍵の多項式を変換し、当該変換結果に当該乱数ハッシュ値を加算して得られた被変換式f_i,j(g_i,j(x₁,...,x_n, r_i,j,1,...,r_i,j,n))＋f’_i,j(x₁,...,x_n)と、ディジタル署名sign内の被変換式f^～ _i,j(x₁,...,x_n)とが等しいか否かを判定する機能をもっている。

　第２判定部３０６は、復元部３０４により解が復元されたとき、当該復元された解をディジタル署名sign内の被変換式に代入して得られた値から計算した解ハッシュ値H₂(f^～ _i,j(z_i,j,1, ..., z_i,j,n))と、ディジタル署名sign内の解ハッシュ値v_i,jとが等しいか否かを判定する機能をもっている。

　出力部３０７は、第１及び第２判定部３０５，３０６における全ての判定結果が「等しい」旨を示す場合、ディジタル署名signの受理を出力する機能をもっている。

　また、第２の実施形態においては、第１の実施形態と同様に、可換環Ｒ上で定義される多項式を利用する。公開鍵集合Γ_f，変換式集合Γ_g，被変換式集合Γ_f～を第１の実施形態と同じ意味で用い、説明は省略する。

　次に、以上のように構成された署名生成装置及び署名検証装置の動作を順次説明する。

　[STEP10] 前述同様に、署名対象文書msgの入力が受け付けられる。

　[STEP11] 署名生成装置１００では、第２乱数生成部１１２が、記憶部１０１内のパラメータk，k₁，mに基づき、i＝1,...,k, j＝1,...,mについて、k₁ビットのデータS_i,jをランダムに生成する。

　[STEP12] 第３計算部１１３は、記憶部１０１内のパラメータk，ｍとハッシュ関数H₁に基づき、i＝1,...,k, j＝1,...,mについて、被変換式集合Γ_f～の要素値f’_i,j(x₁,...,x_n)＝H₁(S_i,j)を計算する。

　[STEP20] 前述同様に、各乱数r_i,j,1,...,r_i,j,nが生成される。

　[STEP30] 前述同様に、各変換式g_i,j(x₁,...,x_n,y₁,...,y_n)が生成される。

　[STEP40] 前述同様に、解の集合(z_i,j,1,...,z_i,j,n)が計算される。

　[STEP50’] 変換部１０６は、記憶部１０１内のパラメータk,m,nと公開鍵f_１(x₁,...,x_n),...,f_ｍ(x₁,...,x_n)に基づき、i＝1,...,k, j＝1,...,mについて、x₁,...,x_nを変数とするk＊ｍ本の多項式f^～ _i,j＝f_i,j(g_i,j(x₁,...,x_n, r_i,j,1,...,r_i,j,n))＋f’_i,j(x₁,...,x_n)を計算する。

　[STEP51] 第４計算部１１４は、記憶部１０１内のパラメータk,k₂,m,nとハッシュ関数H₂に基づき、i＝1,…,k_，j＝1,…,mについて、ハッシュ値v_i,j＝H₂(f’_i,j(z_i,j,1,...,z_i,j,n))を計算する。

　[STEP60’] 第２計算部１０７は、記憶部１０１内のパラメータk,m,nとハッシュ関数Gに基づき、ハッシュ値d＝G(msg, f^～ _1,1(x₁,...,x_n), ..., f^～ _1,m(x₁,...,x_n), f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n), ｖ_1,1, ..., ｖ_1,m，ｖ_2,1, ..., ｖ_2,m，ｖ_k,1, ..., ｖ_k,m)を計算する。

　第１及び第２作成部１０８，１０９は、記憶部１０１内のパラメータk,m,nに基づき、i＝1,...,k, j＝1,...,mについて、[STEP60’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP70A’] ビットd_i＝０のとき、第１作成部１０８は、部分データσ_i,j＝(S_i,j, g_i,j(x₁,...,x_n, y₁,...,y_n), r_i,j,1,...,r_i,j,n)を作成する。

　[STEP70B’] ビットd_i＝１のとき、第２作成部１０９は、部分データσ_i,j＝(φ, φ, z_i,j,1,...,z_i,j,n)を作成する。

　[STEP80’] 署名生成部１１０は、ディジタル署名sign＝{msg, f^～ _1,1(x₁,...,x_n), ..., f^～ _1,m(x₁,...,x_n), f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n), σ_1,1, ..., σ_1,m, σ_2,1, ..., σ_2,m, σ_k,1, ..., σ_k,m, ｖ_1,1, ..., ｖ_1,m, ｖ_2,1, ..., ｖ_2,m, ｖ_k,1, ..., ｖ_k,m}を生成する。生成されたディジタル署名signは、出力部１１１から出力される。

　以上が署名生成装置１００の動作である。次に、署名検証装置３００の動作を述べる。

　[STEP110’] 署名検証装置３００では、入力部３０２が、ディジタル署名sign＝{msg, f^～ _1,1(x₁,...,x_n), ..., f^～ _1,m(x₁,...,x_n)， f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n), σ_1,1, ..., σ_1,m, σ_2,1, ..., σ_2,m, σ_k,1, ..., σ_k,m, ｖ_1,1, ..., ｖ_1,m, ｖ_2,1, ..., ｖ_2,m, ｖ_k,1, ..., ｖ_k,m}の入力を受け付ける。

　[STEP120’] 計算部３０３は、記憶部３０１内のパラメータk,m,nとハッシュ関数Gに基づき、ハッシュ値d＝G(msg, f^～ _1,1(x₁,...,x_n), ..., f^～ _1,m(x₁,...,x_n), f^～ _2,1(x₁,...,x_n), ..., f^～ _2,m(x₁,...,x_n), ..., f^～ _k,1(x₁,...,x_n), ..., f^～ _k,m(x₁,...,x_n), ｖ_1,1, ..., ｖ_1,m, ｖ_2,1, ..., ｖ_2,m, ｖ_k,1,...,ｖ_k,m)を計算する。

　[STEP130’] 復元部３０４、第１及び第２判定部３０５，３０６は、記憶部３０１内のパラメータk,m,nとハッシュ関数H₁,H₂に基づき、i＝1,...,k, j＝1,...,mについて、[STEP120’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP130A-1’] ビットd_i＝０のとき、復元部３０４は、部分データσ_i,jから(S_i,j, g_i,j(x₁,...,x_n, y₁,...,y_n), r_i,j,1,...,r_i,j,n)を復元する。次に、第１判定部３０５は、要素値f’_i,j(x₁,...,x_n)＝H₁(S_i,j)を計算する。

　[STEP130A-2’] 第１判定部３０５は、i＝1,...,k, j＝1,...,mについて、被変換式f^～ _i,j(x₁,...,x_n)＝f_i,j(g_i,j(x₁,...,x_n, r_i,j,1,...,r_i,j,n))＋f’_i,j(x₁,...,x_n)が成り立つことを確認する。

　[STEP130B-1’] ビットd_i＝１のとき、復元部３０４は、部分データσ_i,jから解(φ,φ,z_i,j,1,...,z_i,j,n)を復元する。

　[STEP130B-2’] 第２判定部３０６は、i＝1,...,k, j＝1,...,mについて、H₂(f^～ _i,j(z_i,j,1, ..., z_i,j,n))＝v_i,jが成り立つことを確認する。

　[STEP140’] 出力部３０７は、i＝1,...,k, j＝1,...,mについて、[STEP130A-2’]又は[STEP130A-2’]で等式が成り立つ場合には「受理」を出力し、一つでも等式が成り立たない場合には「棄却」を出力する。

　上述したように第２の実施形態によれば、要素値f’_i,j(x₁,...,x_n)を用いた構成により、第１の実施形態の効果に加え、安全性を向上させることができる。

　補足すると、第２の実施形態では、[STEP50’]の被変換式f^～ _i,j(x₁,...,x_n)を計算する処理において、要素値f’_i,j(x₁,...,x_n)を加算する処理を含むことが第１の実施形態と異なる。第１の実施形態では、署名の部分データf^～ _i,j(x₁,...,x_n)が被変換式集合Γ_f～と同じ項をもつ多項式の集合に一様に分布するとは限らない。そのため、被変換式f^～ _i,j(x₁,...,x_n)を計算するときに用いた変換式g_i,j(x₁,...,x_n, y₁,...,y_n)と乱数r_i,j,1,...,r_i,j,nに関する情報が漏洩する可能性がある。

　仮に、変換式g_i,j(x₁,...,x_n, y₁,...,y_n)と乱数r_i,j,1,...,r_i,j,nに関する情報が漏洩した場合、d_i＝１に対応する署名に含まれる解z_i,j,1,...,z_i,j,nに基づき、(s₁,...,s_n)＝g_i,j(z_i,j,1,...,z_i,j,n, r_i,j,1,...,r_i,j,n)の計算により、秘密鍵s₁,...,s_nが漏洩してしまう。

　しかしながら、第２の実施形態によれば、要素値f’_i,j(x₁,...,x_n)を加算する処理により、署名の部分データf^～ _i,j(x₁,...,x_n)がΓ_f～と同じ項をもつ多項式の集合に一様に分布する。従って、上述した漏洩の可能性を回避でき、第１の実施形態に比べて十分な安全性を保証することができる。

　＜第２の実施形態の変形例＞
　第２の実施形態は、第１の実施形態の変形例と同様に、ｍ＝１とし、添字ｊを削除するように変形でき、処理量やデータ量を削減できる。

　（第３の実施形態）
　次に、本発明の第３の実施形態について図１及び図２を参照して説明する。

　第３の実施形態は、第１の実施形態の構成において、代数曲面上の求セクション問題の計算困難性を安全性の根拠としたものである。

　可換環Ｒ上の代数曲面とは、x,y,tの３変数多項式X(x,y,t)∈Ｒ［x,y,t］で表される零点の集合である。X(u_x(t),u_y(t),t)＝０を満たす(u_x(t),u_y(t),t)を代数曲面X(x,y,t)＝０のセクション又はセクション多項式という。補足すると、(x,y,t)＝(u_x(t),u_y(t),t)のように、tでパラメタライズされたX上の代数曲線がセクションと呼ばれる。ここで、u_x(t),u_y(t)はｔを変数とする可換環Ｒ上の多項式である。(u_x(t),u_y(t),t)が与えられたときに、(u_x(t),u_y(t),t)をセクションにもつような代数曲面X(x,y,t)＝０を構成する方法は知られている。しかし、代数曲面X(x,y,t)＝０が与えられたときに、特定のX(x,y,t)を除けば、X(x,y,t)＝０のセクション(u_x(t),u_y(t),t)を求める方法は知られておらず、計算が困難である。これは代数曲面上の求セクション問題の計算困難性と呼ばれる。

　ここで、公開鍵の多項式は、x,y,tを変数とする可換環Ｒ上の代数曲面の定義式X(x,y,t)＝０である。

　秘密鍵は、X(x,y,t)＝０のセクション多項式(u_x(t),u_y(t),t)である。

　パラメータkと関数Gは、第１の実施形態と同様である。

　各乱数は、乱数を係数にもつランダム多項式(r_i,1(t),r_i,2(t),r_i,3(t))である。

　各解は、解多項式(z_i,1(t),z_i,2(t),z_i,3(t))である。

　第３の実施形態では、可換環Ｒ上で定義される多項式を利用する。なお、各集合Γ_X,Γ_X～，Γgは、記憶部１０１内のパラメータkに基づいて、乱数生成部１０３等から利用可能となっている。

　公開鍵が存在する公開鍵集合Γ_Xを次式で表す。deg_Ｘは次数の上限を表す。

　変換式集合Γ_gは、g(x,y,t,w₁,w₂,w₃)＝(x－w₁,y－w₂,t－w₃)や、g(x,y,t,w₁,w₂,w₃)＝(a_1,1ｘ²＋a_1,2ｘ＋ｙ， a_2,1ｘ＋a_3,1t²＋ｂ_2,2w₂， a_3,3ｘ－a_3,2y³＋a_3,3t＋b_3,3w₃)等を含む集合とする。

　続いて、変換後のX^～が存在する被変換式集合Γ_X～を次式で表す。

　Γ_X～＝{X^～(x,y,t)＝X(g(x,y,t,w₁,w₂,w₃))｜ X(x,y,t)∈Γ_X， g(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t))∈Γ_g， r_i,1(t),r_i,2(t),r_i,3(t)∈Γ_T}
　次に、以上のように構成された署名生成装置及び署名検証装置の動作を順次説明する。

　[STEP20’’] 署名生成装置１００では、乱数生成部１０３が、記憶部１０１内のパラメータkに基づき、i＝1,...,kについて、多項式r_i,1(t),r_i,2(t),r_i,3(t)∈Γ_Tをランダムに生成する。

　[STEP30’’] 署名生成装置１００では、変換式生成部１０４が、記憶部１０１内のパラメータkに基づき、i＝1,...,kについて、変換式g_i(x,y,t,w₁,w₂,w₃)∈Γ_g～をランダムに生成する。

　例えば、Γ_X～＝{X(g(x,y,t,r_i,1(t),r_i,2(t),r_i,3(t)))｜Ｘ∈Γ_X， Γ_g＝{g(x,y,t,w₁,w₂,w₃) ＝ (x－r_i,1(t), y－r_i,2(t), t－r_i,3(t))}, r_i,1(t), r_i,2(t), r_i,3(t)∈Γ_T}の場合には、[STEP20’’]でランダムに生成した乱数r_i,1(t), r_i,2(t), r_i,3(t)∈Γ_Tに対して、変換式をg_i(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t))＝(x－r_i,1(t), y－r_i,2(t), t－r_i,3(t))などとしてもよい。

　[STEP40’’] 第１計算部１０５は、記憶部１０１内のパラメータkと秘密鍵u_x(t),u_y(t),tに基づき、i＝1,...,kについて、秘密鍵の集合(u_x(t),u_y(t),t)＝g_i(z_i,1(t), z_i,2(t), z_i,3(t), r_i,1(t), r_i,2(t), r_i,3(t))を満たす解の集合(z_i,1(t), z_i,2(t), z_i,3(t))を計算する。例えば、前述した変換式の例の場合、i＝1,...,kについて、解をz_i,1(t)＝u_x(t)＋r_i,1(t)、z_i,2(t)＝u_y(t)＋r_i,2(t)及びz_i,3(t)＝t＋r_i,3(t)と計算する。

　[STEP50’’] 変換部１０６は、記憶部１０１内のパラメータkと公開鍵X(x,y,t)に基づき、i＝1,...,kについて、x,y,tを変数とするk本の多項式X^～ _i＝X(g_i(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t)))を計算する。

　[STEP60’’] 第２計算部１０７は、記憶部１０１内のパラメータkとハッシュ関数Gに基づき、ハッシュ値d＝G(msg，X^～ ₁(x,y,t),...,X^～ _k(x,y,t))を計算する。

　署名生成装置１００では、第１及び第２作成部１０８，１０９が、記憶部１０１内のパラメータkに基づき、i＝1,...,kについて、[STEP60’’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP70A’’] ビットd_i＝０のとき、第１作成部１０８は、部分データσ_i＝(g_i(x, y, t, w₁, w₂, w₃), r_i,1(t), r_i,2(t), r_i,3(t))を作成する。

　[STEP70B’’] ビットd_i＝１のとき、第２作成部１０９は、部分データσ_i＝(φ, z_i,1(t),z_i,2(t),z_i,3(t))を作成する。

　[STEP80’’] 署名生成部１１０は、ディジタル署名sign＝{msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),σ₁,...,σ_k}を生成する。生成されたディジタル署名signは、出力部１１１から出力される。

　[STEP110’’] 署名検証装置２００では、入力部２０２が、ディジタル署名sign＝{msg, X^～ ₁(x,y,t),...,X^～ _k(x,y,t),σ₁,...,σ_k}の入力を受け付ける。

　[STEP120’’] 計算部２０３は、記憶部２０１内のパラメータkとハッシュ関数Gに基づき、ハッシュ値d＝G(msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t))を計算する。

　[STEP130’’] 復元部２０４、第１及び第２判定部２０５，２０６は、記憶部２０１内のパラメータkに基づき、i＝1,...,kについて、[STEP120’’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP130A-1’’] ビットd_i＝０のとき、復元部２０４は、部分データσ_iから(g_i(x, y, t, w₁, w₂, w₃), r_i,1(t), r_i,2(t), r_i,3(t))を復元する。

　[STEP130A-2’’] 第１判定部２０５は、i＝1,...,kについて、X^～ _i(x,y,t)＝X(g_i(x,y,t, r_i,1(t), r_i,2(t), r_i,3(t)))が成り立つことを確認する。

　[STEP130B-1’’] ビットd_i＝１のとき、復元部２０４は、部分データσ_iから(φ, z_i,1(t), z_i,2(t), z_i,3(t))を復元する。

　[STEP130B-2’’] 第２判定部２０６は、i＝1,...,kについて、X^～ _i(z_i,1(t), z_i,2(t), z_i,3(t))＝０が成り立つことを確認する。

　[STEP140’’] 出力部２０７は、i＝1,...,kについて、[STEP130A-2’’]又は[STEP130B-2’’]で等式が成り立つ場合には「受理」を出力し、一つでも等式が成り立たない場合には「棄却」を出力する。

　上述したように第３の実施形態によれば、代数曲面の求セクション問題の計算困難性に基づくディジタル署名を実現でき、第１の実施形態と同様の効果を得ることができる。

　＜第３の実施形態の変形例＞
　第３の実施形態は、第１の実施形態と同様に、同一のセクションをもつｍ個の代数曲面を利用した構成や、異なるセクションをもつｍ個の代数曲面を利用した構成に変形できる。これらの変形例は、第３の実施形態に第１の実施形態を組み合わせて実現できるので、詳しい説明を省略する。

　また、第３の実施形態において、ランダム多項式r_i,3(t)としてΓ_Tの元を選んだが、セクションの第三パラメータはｔであることは公知であり、パラメータｔに関する変換を行わなくても安全性は損なわれない。そのため、例えばΓ_X～＝{X(g(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t)))｜Ｘ∈Γ_X， Γ_g＝{g(x, y, t, w₁, w₂, w₃)＝(x－r_i,1(t), y－r_i,2(t), t－r_i,3(t))}，r_i,1(t),r_i,2(t),r_i,3(t)∈Γ_T}の場合には、r_i,3(t)＝０としてもよい。

　（第４の実施形態）
　次に、本発明の第４の実施形態について図３及び図４を参照して説明する。

　第４の実施形態は、第２の実施形態の構成において、第３の実施形態における代数曲面上の求セクション問題の計算困難性を安全性の根拠としたものである。例えば、第４の実施形態では、第３の実施形態とは異なり、ある多項式X’(x, y, t)にも基づいて、X^～ _i(x, y, t)＝X(g_i(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t))＋X’(x, y, t)により、被変換式X^～ _i(x, y, t)を計算している。

　これに伴い、第４の実施形態では、第２の実施形態の構成において、以下のように方程式が代数曲面に関する式に限定されている。

　公開鍵の多項式は、x,y,tを変数とする可換環Ｒ上の代数曲面の定義式X(x,y,t)＝０である。秘密鍵は、X(x,y,t)＝０のセクション多項式(u_x(t),u_y(t),t)である。

　パラメータk,k₁,k₂と関数G,H₁,H₂は、第２の実施形態と同様である。但し、関数H₁は、k₁ビットのデータを、被変換式集合Γ_X～内の方程式の一つに対応付ける耐衝突一方向性関数である（被変換式集合Γ_X～を用いる点が第２の実施形態と異なる。）。

　各解は、解多項式(z_i,1(t),z_i,2(t),z_i,3(t))である。

　各解ハッシュ値ｖ_ｉは、解多項式に対するハッシュ値H₂(X’_i(z_i,1(t), z_i,2(t), z_i,3(t)))である。

　各被変換式は、代数曲面の多項式X^～ _i＝X(g_i(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t)))＋X’_i(x,y,t)である。

　各被変換式ハッシュ値dは、この代数曲面の多項式に対するハッシュ値G(msg，X^～ ₁(x,y,t),...,X^～ _k(x,y,t)，ｖ₁,...,ｖ_k})である。

　第４の実施形態も、第３の実施形態と同様に可換環Ｒ上で定義される多項式を利用する。Γ_X，Γ_T，Γ_X～を第３の実施形態と同じ意味で用い、説明は省略する。

　[STEP11’’’] 署名生成装置１００では、第２乱数生成部１１２が、記憶部１０１内のパラメータk，k₁に基づき、i＝1,...,kについて、k_ｉビットのデータS_iをランダムに生成する。

　[STEP12’’’] 第２計算部１１３は、記憶部１０１内のパラメータkとハッシュ関数H₁に基づき、i＝1,...,kについて、Γ_X～の要素X’_i(x,y,t)＝H₁(S_i)を計算する。

　[STEP20’’] 前述同様に、多項式r_i,1(t),r_i,2(t),r_i,3(t)∈Γ_Tが生成される。

　[STEP30’’] 前述同様に、変換式g_i(x,y,t,w₁,w₂,w₃)∈Γ_g～が生成される。

　[STEP40’’] 前述同様に、解の集合(z_i,1(t),z_i,2(t),z_i,3(t))が計算される。

　[STEP50’’’] 変換部１０６は、記憶部１０１内のパラメータkと公開鍵X(x,y,t)に基づき、i＝1,...,kについて、x,y,tを変数とするk本の多項式X^～ _i＝X(g_i(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t)))＋X’_i(x,y,t)を計算する。

　[STEP51’’’] 第４計算部１１４は、記憶部１０１内のパラメータk,k₂とハッシュ関数H₂に基づき、i＝1,...,kについて、ハッシュ値ｖ_ｉ＝H₂(X’_i(z_i,1(t), z_i,2(t), z_i,3(t)))を計算する。

　[STEP60’’’] 第２計算部１０７は、記憶部１０１内のパラメータkとハッシュ関数Gに基づき、ハッシュ値d＝G(msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t)，ｖ₁,...,ｖ_k})を計算する。第１及び第２作成部１０８，１０９は、記憶部１０１内のパラメータkに基づき、i＝1,...,kについて、[STEP60’’’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP70A’’’] ビットd_i＝０のとき、第１作成部１０８は、部分データσ_i＝(S_i, g_i(x,y,t,w₁,w₂,w₃), r_i,1(t), r_i,2(t), r_i,3(t))を作成する。

　[STEP70B’’’] ビットd_i＝１のとき、第２作成部１０９は、部分データσ_i＝(φ,φ,z_i,1(t), z_i,2(t), z_i,3(t))を作成する。

　[STEP80’’’] 署名生成部１１０は、ディジタル署名sign＝{msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),σ₁,...,σ_k,ｖ₁,...,ｖ_k}を生成する。生成されたディジタル署名signは、出力部１１１から出力される。

　[STEP110’’’] 署名検証装置３００では、入力部３０２が、ディジタル署名sign＝{msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),σ₁,...,σ_k,ｖ₁,...,ｖ_k}の入力を受け付ける。

　[STEP120’’’] 計算部３０３は、記憶部３０１内のパラメータkとハッシュ関数Gに基づき、ハッシュ値d＝G(msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),ｖ₁,...,ｖ_k)を計算する。

　[STEP130’’’] 復元部３０４、第１及び第２判定部３０５，３０６は、記憶部３０１内のパラメータkに基づき、i＝1,...,kについて、[STEP120’’’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP130A-1’’’] ビットd_i＝０のとき、復元部３０４は、部分データσ_iから(S_i, g_i(x, y, t, w₁, w₂, w₃), r_i,1(t), r_i,2(t), r_i,3(t))を復元する。次に、第１判定部３０５は、要素値X’_i(x,y,t)＝H₁(S_i)を計算する。

　[STEP130A-2’’’] 第１判定部３０５は、i＝1,...,kについて、X^～ _i(x,y,t)＝X(g_i(x, y, t, r_i,1(t), r_i,2(t), r_i,3(t)))＋X’_i(x,y,t)が成り立つことを確認する。

　[STEP130B-1’’’] ビットd_i＝１のとき、復元部３０４は、部分データσ_iから(φ, φ, z_i,1(t), z_i,2(t), z_i,3(t))を復元する。

　[STEP130B-2’’’] 第２判定部３０６は、i＝1,...,kについて、H₂(X^～ _i(z_i,1(t), z_i,2(t), z_i,3(t)))＝ｖ_iが成り立つことを確認する。

　[STEP140’’’] 出力部３０７は、i＝1,...,kについて、[STEP130A-2’’’]又は[STEP130B-2’’’]で等式が成り立つ場合には「受理」を出力し、一つでも等式が成り立たない場合には「棄却」を出力する。

　上述したように第４の実施形態によれば、第２の実施形態と同様に要素値X’_i(x,y,t)を用いた構成により、第３の実施形態の効果に加え、安全性を向上させることができる。

　＜第４の実施形態の変形例＞
　第４の実施形態は、第３の実施形態の変形例と同様に、同一のセクションをもつｍ個の代数曲面を利用した構成や、異なるセクションをもつｍ個の代数曲面を利用した構成に変形できる。また、第３の実施形態の変形例と同様に、第３パラメータｔに関するランダム多項式r_i,3(t)は、r_i,3(t)＝０としてもよい。

　（第５の実施形態）
　次に、本発明の第５の実施形態について図５及び図４を参照して説明する。図５は本発明の第５の実施形態に係る署名生成装置の概略図であり、前述した図３に比べ、変換式生成部１０４が省略されている。

　第５の実施形態は、第４の実施形態の具体例であり、変換式g_i(x,y,t,w₁,w₂,w₃)∈Γ_g～として、g_i(x, y, t, r_i,x(t), r_i,y(t), t)＝(x－r_i,x(t), y－r_i,y(t), t)を用いている。ここで、多項式r_i,x(t),r_i,y(t)∈Γ_Tは、セクションu_x(t),u_y(t)と同じ形式（u_x(t),u_y(t)の同類項を含む形式）の多項式としている。この多項式r_i,x(t),r_i,y(t)∈Γ_Tは、乱数を係数にもつランダム多項式である。このように、用いる変換式を予め定めたことに伴い、署名生成装置１００は、図５に示したように、変換式生成部１０４が省略されている。なお、前述した各実施形態においても変換式を予め定めることにより、変換式生成部１０４を省略できる。但し、変換式生成部１０４を省略せず、[STEP50’’’’]にて変換式生成部１０４が変換式(x－r_i,x(t), y－r_i,y(t), t)を生成し、この変換式を第１計算部１０５が多項式X^～ _i＝X(x－r_i,x(t), y－r_i,y(t), t)＋X’_i(x,y,t)の計算に用いるようにしてもよい。この場合、署名生成装置１００は、図３に示したように、変換式生成部１０４を備えて構成される。なお、いずれにしても、署名検証装置３００は、図４に示したように構成される。

　[STEP11’’’] 前述同様に、k_ｉビットのデータS_iが生成される。

　[STEP12’’’] 前述同様に、Γ_X～の要素X’_i(x,y,t)＝H₁(S_i)が計算される。

　[STEP20’’’’] 署名生成装置１００では、乱数生成部１０３が、記憶部１０１内のパラメータkに基づき、i＝1,...,kについて、多項式r_i,x(t),r_i,y(t)∈Γ_Tをランダムに生成する。但し、多項式r_i,x(t),r_i,y(t)は、セクションu_x(t),u_y(t)と同じ形式の多項式である。

　[STEP40’’’’] 第１計算部１０５は、記憶部１０１内のパラメータkと秘密鍵u_x(t),u_y(t),tに基づき、i＝1,...,kについて、解をz_i,x(t)＝u_x(t)＋r_i,x(t)、z_i,y(t)＝u_y(t)＋r_i,y(t)を計算する。

　[STEP50’’’’] 変換部１０６は、記憶部１０１内のパラメータkと公開鍵X(x,y,t)に基づき、i＝1,...,kについて、x,y,tを変数とするk本の多項式X^～ _i＝X(x－r_i,x(t), y－r_i,y(t), t)＋X’_i(x,y,t)を計算する。

　[STEP51’’’’] 第４計算部１１４は、記憶部１０１内のパラメータk,k₂とハッシュ関数H₂に基づき、ｉ＝１，…，kについて、ハッシュ値ｖ_ｉ＝H₂(X’_i(z_i,x(t), z_i,y(t), t), z_i,x(t), z_i,y(t))を計算する。

　[STEP60’’’] 前述同様に、ハッシュ値d＝G(msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),ｖ₁,...,ｖ_k)が計算される。第１及び第２作成部１０８，１０９は、記憶部１０１内のパラメータkに基づき、i＝1,...,kについて、[STEP60’’’]で計算したハッシュ値dの各ビットd_iの値に応じて以下を実行する。

　[STEP70A’’’’] ビットd_i＝０のとき、第１作成部１０８は、部分データσ_i＝(S_i, r_i,x(t), r_i,y(t))を作成する。

　[STEP70B’’’’] ビットd_i＝１のとき、第２作成部１０９は、部分データσ_i＝(φ, z_i,x(t), z_i,y(t))を作成する。

　[STEP80’’’] 前述同様に、ディジタル署名sign＝{msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),σ₁,...,σ_k,ｖ₁,...,ｖ_k}が出力される。

　[STEP110’’’] 前述同様に、ディジタル署名sign＝{msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),σ₁,...,σ_k,ｖ₁,...,ｖ_k}を受け付ける。

　[STEP120’’’] 前述同様に、ハッシュ値d＝G(msg,X^～ ₁(x,y,t),...,X^～ _k(x,y,t),ｖ₁,...,ｖ_k)が計算される。

　[STEP130A-1’’’’] ビットd_i＝０のとき、復元部３０４は、部分データσ_iから(S_i, r_i,x(t), r_i,y(t))を復元する。次に、第１判定部３０５は、X’_i(x,y,t)＝H₁(S_i)を計算する。

　[STEP130A-2’’’’] 第１判定部３０５は、i＝1,...,kについて、X^～ _i(x,y,t)＝X(x－r_i,x(t), y－r_i,y(t)), t)＋X’_i(x,y,t)が成り立つことを確認する。

　[STEP130B-1’’’’] ビットd_i＝１のとき、復元部３０４は、部分データσ_iから(φ, z_i,x(t), z_i,y(t))を復元する。

　[STEP130B-2’’’’] 第２判定部３０６は、i＝1,...,kについて、H₂ (X^～ _i(z_i,x(t), z_i,y(t), t), z_i,x(t), z_i,y(t))＝ｖ_iが成り立つことを確認する。

　[STEP140’’’’] 出力部３０７は、i＝1,...,kについて、[STEP130A-2’’’’]又は[STEP130B-2’’’’]で等式が成り立つ場合には「受理」を出力し、一つでも等式が成り立たない場合には「棄却」を出力する。

　上述したように第５の実施形態によれば、第４の実施形態の具体例を実行し、第４の実施形態と同様の効果を得ることができる。

　＜第５の実施形態の変形例＞
　第５の実施形態は、第４の実施形態の変形例と同様に、同一のセクションをもつｍ個の代数曲面を利用した構成や、異なるセクションをもつｍ個の代数曲面を利用した構成に変形できる。

　なお、本願発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。

　量子計算機が出現しても安全性を確保できるディジタル署名を提供できる。

　１００…署名生成装置、１０１，２０１，３０１…記憶部、１０２，２０２，３０２…入力部、１０３…乱数生成部、１０４…変換式生成部、１０５…第１計算部、１０６…変換部、１０７…第２計算部、１０８…第１作成部、１０９…第２作成部、１１０…署名生成部、１１１，２０７，３０７…出力部、１１２…第２乱数生成部、１１３…第３計算部、１１４…第４計算部、２００…署名検証装置、２０３，３０３…計算部、２０４，３０４…復元部、２０５，３０５…第１判定部、２０６，３０６…第２判定部。

Claims

　署名生成装置（１００）であって、
　公開鍵の多項式及び前記公開鍵に対応する秘密鍵を記憶した記憶部（１０１）と、
　署名対象文書を受け付ける入力部（１０２）と、
　一つ以上の乱数を生成する乱数生成部（１０３）と、
　一つ以上の変換式を生成する変換式生成部（１０４）と、
　前記各変換式及び各乱数を前記秘密鍵に対応付ける各解を計算する第１計算部（１０５）と、
　前記各変換式及び各乱数に基づいて前記公開鍵の多項式を変換し、当該変換された各被変換式を得る変換部（１０６）と、
　前記署名対象文書及び前記各被変換式に基づいてハッシュ値を計算する第２計算部（１０７）と、
　前記ハッシュ値のビット値が第１値のとき、前記各変換式及び各乱数のうちのいずれかの変換式及び乱数を含む第１部分データを作成する第１作成部（１０８）と、
　前記ハッシュ値のビット値が第２値のとき、前記各解のうちのいずれかの解を含む第２部分データを作成する第２作成部（１０９）と、
　前記署名対象文書、前記各被変換式、及び前記ビット値に応じた前記第１又は第２部分データを含むディジタル署名を生成する署名生成部（１１０）と、
　を備えたことを特徴とする署名生成装置。
　請求項１に記載の署名生成装置において、
　前記各乱数とは別の各乱数を生成する第２乱数生成部（１１２）と、
　前記別の各乱数に基づき、各乱数ハッシュ値を計算する第３計算部（１１３）と、
　前記各解に基づき、各解ハッシュ値を計算する第４計算部（１１４）と、
　を更に備えており、
　前記変換部（１０６）は、前記変換結果に前記各乱数ハッシュ値のうちのいずれかの乱数ハッシュ値を加算して前記各被変換式を得ており、
　前記第２計算部（１０７）は、前記乱数ハッシュ値を加算して得られた各被変換式と、前記各解ハッシュ値とにも基づいて前記ハッシュ値を計算し、
　前記第１作成部（１０８）は、前記別の各乱数のうちのいずれかの乱数をも含む前記第１部分データを作成し、
　前記署名生成部（１１０）は、前記各解ハッシュ値をも含む前記ディジタル署名を生成することを特徴とする署名生成装置。
　請求項２に記載の署名生成装置において、
　前記公開鍵の多項式は、代数曲面の定義式であり、
　前記秘密鍵は、前記代数曲面のセクション多項式であり、
　前記各乱数は、乱数を係数にもつランダム多項式であって当該ランダム多項式が前記セクション多項式と同じ形式を有しており、
　前記各解は、解多項式であり、
　前記各解ハッシュ値は、前記解多項式に対するハッシュ値であり、
　前記各被変換式は、代数曲面の多項式であり、
　前記各被変換式ハッシュ値は、前記代数曲面の多項式に対するハッシュ値であることを特徴とする署名生成装置。
　請求項１に記載の署名生成装置により生成されたディジタル署名を検証する署名検証装置（２００）であって、
　前記公開鍵を記憶した記憶部（２０１）と、
　前記ディジタル署名の入力を受け付ける入力部（２０２）と、
　前記ディジタル署名内の署名対象文書及び各被変換式に基づいてハッシュ値を計算する計算部（２０３）と、
　前記ハッシュ値のビット値に応じて、前記ディジタル署名内の各部分データから「変換式及び乱数」又は「解」を復元する復元部（２０４）と、
　前記復元部により変換式及び乱数が復元されたとき、当該復元された変換式及び乱数に基づいて前記公開鍵の多項式を変換し、当該変換結果から得られた被変換式と、前記ディジタル署名内の被変換式とが等しいか否かを判定する第１判定部（２０５）と、
　前記復元部により解が復元されたとき、当該復元された解を前記ディジタル署名内の被変換式に代入して得られた値が零に等しいか否かを判定する第２判定部（２０６）と、
　前記第１及び第２判定部における全ての判定結果が「等しい」旨を示す場合、前記ディジタル署名の受理を出力する出力部（２０７）と、
　を備えたことを特徴とする署名検証装置。
　請求項２に記載の署名生成装置により生成されたディジタル署名を検証する署名検証装置（３００）であって、
　前記公開鍵を記憶した記憶部（３０１）と、
　前記ディジタル署名の入力を受け付ける入力部（３０２）と、
　前記ディジタル署名内の署名対象文書、各被変換式及び各解ハッシュ値に基づいてハッシュ値を計算する計算部（３０３）と、
　このハッシュ値のビット値に応じて、前記ディジタル署名内の各部分データから「別の乱数、変換式及び乱数」又は「解」を復元する復元部（３０４）と、
　前記復元部により別の乱数、変換式及び乱数が復元されたとき、当該別の乱数から乱数ハッシュ値を計算し、当該変換式及び乱数に基づいて前記公開鍵の多項式を変換し、当該変換結果に当該乱数ハッシュ値を加算して得られた被変換式と、前記ディジタル署名内の被変換式とが等しいか否かを判定する第１判定部（３０５）と、
　前記復元部により解が復元されたとき、当該復元された解を前記ディジタル署名内の被変換式に代入して得られた値から計算した解ハッシュ値と、前記ディジタル署名内の解ハッシュ値とが等しいか否かを判定する第２判定部（３０６）と、
　前記第１及び第２判定部における全ての判定結果が「等しい」旨を示す場合、前記ディジタル署名の受理を出力する出力部（３０７）と、
　を備えたことを特徴とする署名検証装置。