JP2000231330A - ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 - Google Patents
ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体Info
- Publication number
- JP2000231330A JP2000231330A JP11033794A JP3379499A JP2000231330A JP 2000231330 A JP2000231330 A JP 2000231330A JP 11033794 A JP11033794 A JP 11033794A JP 3379499 A JP3379499 A JP 3379499A JP 2000231330 A JP2000231330 A JP 2000231330A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- random number
- blind
- document
- unblinder
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 署名要求者が署名者から仮の署名を待つ必要
をなくす。 【解決手段】 署名要求者は乱数rを生成し、rを用い
文書mに対し、ブラインド署名前処理を施してブライン
ドメッセージm′を得、またrを暗号化し、その暗号化
乱数r′とm′を署名者へ送り、署名者はm′に対し署
名を行い仮の署名σ′を生成し、σ′とr′をアンブラ
インダーへ送る、アンブラインダーはr′を復号してr
を得、rによりσ′に対しブラインド署名後処理を施
し、本来の署名σとmを得、mとσを検証者へ送る、検
証者はmとσが検査式に合格するか検査する。
をなくす。 【解決手段】 署名要求者は乱数rを生成し、rを用い
文書mに対し、ブラインド署名前処理を施してブライン
ドメッセージm′を得、またrを暗号化し、その暗号化
乱数r′とm′を署名者へ送り、署名者はm′に対し署
名を行い仮の署名σ′を生成し、σ′とr′をアンブラ
インダーへ送る、アンブラインダーはr′を復号してr
を得、rによりσ′に対しブラインド署名後処理を施
し、本来の署名σとmを得、mとσを検証者へ送る、検
証者はmとσが検査式に合格するか検査する。
Description
【0001】
【発明の属する技術分野】この発明は、電気通信システ
ムで無記名投票を実現する場合や、プライバシを重視し
た追跡不可能型のデジタル署名を実現する場合等で利用
されるブラインド署名の効率的な実現方法及びその装置
に関する。
ムで無記名投票を実現する場合や、プライバシを重視し
た追跡不可能型のデジタル署名を実現する場合等で利用
されるブラインド署名の効率的な実現方法及びその装置
に関する。
【0002】
【従来の技術】デジタル情報が改ざんされていないこと
を保証する技術としてデジタル署名がある。デジタル署
名方式の代表的な例として、RSA暗号(R.L. Rivest,
etal.“A Method for Obtaining Digital Signatures
and Public-Key Cryptosystems”,Communications of
the ACM, Vol. 21, No.2, pp.120-126,(1978))を利用し
た方式がある。RSA暗号は、以下の通りである。
を保証する技術としてデジタル署名がある。デジタル署
名方式の代表的な例として、RSA暗号(R.L. Rivest,
etal.“A Method for Obtaining Digital Signatures
and Public-Key Cryptosystems”,Communications of
the ACM, Vol. 21, No.2, pp.120-126,(1978))を利用し
た方式がある。RSA暗号は、以下の通りである。
【0003】署名者Aは、署名用鍵(d,n)と検査用
鍵(e,n)を、 n=p×q e×d≡1(mod LCM {(p−1),(q−1)}) (1) をみたすように生成し、検査用鍵を公開し、署名用鍵を
秘密に管理する。ここで、LCM{a,b}は整数aと
bの最小公倍数を表して、pとqは異なる2つの大きな
素数とする。また、a≡b(mod L)は、a−bがLの
倍数であることを表す。
鍵(e,n)を、 n=p×q e×d≡1(mod LCM {(p−1),(q−1)}) (1) をみたすように生成し、検査用鍵を公開し、署名用鍵を
秘密に管理する。ここで、LCM{a,b}は整数aと
bの最小公倍数を表して、pとqは異なる2つの大きな
素数とする。また、a≡b(mod L)は、a−bがLの
倍数であることを表す。
【0004】RSA暗号は、nが大きいときnの素因数
分解が困難なことに安全性の根拠を持つ暗号系であり、
公開された検査用鍵(n,e)から秘密の署名用鍵のd
成分を求めることは困難である。検証者Bは、署名者A
の検査用鍵(e,n)を個人識別情報(ID)と組合わ
せて管理する。認証用の鍵を管理するセンタを設けて、
そのセンタが検査用鍵を公開情報管理簿として管理する
ことも多い。
分解が困難なことに安全性の根拠を持つ暗号系であり、
公開された検査用鍵(n,e)から秘密の署名用鍵のd
成分を求めることは困難である。検証者Bは、署名者A
の検査用鍵(e,n)を個人識別情報(ID)と組合わ
せて管理する。認証用の鍵を管理するセンタを設けて、
そのセンタが検査用鍵を公開情報管理簿として管理する
ことも多い。
【0005】署名関数Dと検証関数Eを D(x)=xd mod n (2) E(y)=ye mod n (3) で定義する。0<x<nをみたすと整数xに対して E(D(x))=x が成り立つことが示せる。ここで、amod nは、aをn
で割ったときの余りを表す。
で割ったときの余りを表す。
【0006】RSA暗号を利用したデジタル署名方式は
以下の通りである。署名者Aは、一方向性関数fを用い
て文書mから生成したf(m)に対して、秘密の署名関
数Dを適用してσ=D(f(m))で署名σを生成し、
個人識別情報(ID)と文書mと署名σの組合せ(I
D,m,σ)を署名付通信文として検証者Vに送信す
る。検証者Vは、IDをキーに検査用鍵の登録された公
開情報管理簿を検索して検証関数Eを求めて、署名付通
信文のσ成分からE(σ)を求め、これが、mから求め
たf(m)と一致するか検査する。E(σ)=f(m)
が成り立てば、署名関数Dを知っているのは真の署名者
Aだけであるから、送信者(署名者)が本物のAであ
り、(ID,m,σ)は改ざんされていないと判断す
る。
以下の通りである。署名者Aは、一方向性関数fを用い
て文書mから生成したf(m)に対して、秘密の署名関
数Dを適用してσ=D(f(m))で署名σを生成し、
個人識別情報(ID)と文書mと署名σの組合せ(I
D,m,σ)を署名付通信文として検証者Vに送信す
る。検証者Vは、IDをキーに検査用鍵の登録された公
開情報管理簿を検索して検証関数Eを求めて、署名付通
信文のσ成分からE(σ)を求め、これが、mから求め
たf(m)と一致するか検査する。E(σ)=f(m)
が成り立てば、署名関数Dを知っているのは真の署名者
Aだけであるから、送信者(署名者)が本物のAであ
り、(ID,m,σ)は改ざんされていないと判断す
る。
【0007】ここで、fが一方向性関数とは、xからf
(x)を求める計算は容易であるが、f(x)からxを
求めるのが困難な関数である。fは高速な慣用暗号化装
置、例えばDES暗号(Data, Encryption Standard, F
ederal Information Rrocessing Standards Publicatio
n 46, 1977)を用いて構成できる。ここで、利用者のプ
ライバシを保証できるブラインド署名について説明す
る。ブラインド署名では、署名者に文書の内容を秘密に
したままで署名を付けてもらうことができる。RSA法
に基づいた方式が文献 D.Chaum, “Security withoutId
entification: Transaction Systems to Make Big Brot
her Obsolete ,”Comm. of the ACM, 28, 10, pp.1030
-1044(1985)で、対話証明に基づいたブラインド署名が
文献T.Okamoto etal. “Divertible Zero-Knowledge In
teractive Proofs and Commutative Random Self-Reduc
ible,”The Rroc. of Eurocrypt'89(1989) で示されて
いる。
(x)を求める計算は容易であるが、f(x)からxを
求めるのが困難な関数である。fは高速な慣用暗号化装
置、例えばDES暗号(Data, Encryption Standard, F
ederal Information Rrocessing Standards Publicatio
n 46, 1977)を用いて構成できる。ここで、利用者のプ
ライバシを保証できるブラインド署名について説明す
る。ブラインド署名では、署名者に文書の内容を秘密に
したままで署名を付けてもらうことができる。RSA法
に基づいた方式が文献 D.Chaum, “Security withoutId
entification: Transaction Systems to Make Big Brot
her Obsolete ,”Comm. of the ACM, 28, 10, pp.1030
-1044(1985)で、対話証明に基づいたブラインド署名が
文献T.Okamoto etal. “Divertible Zero-Knowledge In
teractive Proofs and Commutative Random Self-Reduc
ible,”The Rroc. of Eurocrypt'89(1989) で示されて
いる。
【0008】ブラインド署名の考え方は以下のとおりで
ある。署名の要求者Pは、ブラインド署名前処理によっ
て文書(m)を乱数(r)で攪乱してブラインドメッセ
ージ(m′)を生成する。署名者Aは、秘密の署名用鍵
を用いてm′に対応する仮の署名(σ′)を計算する。
このとき、mはrによって攪乱されているので、署名者
は文書(m)を知ることはできない。要求者Pは、ブラ
インド署名後処理によってσ′から乱数(r)の影響を
除去して、本来の文書(m)に対する真の署名(σ)を
求めて、mとσの組を検証者に送信する。検証者は、署
名者の公開鍵を用いてσがmの署名であることを確認す
る。ここで、複数の文書が署名者Aによって署名される
場合、署名者Aと検証者が、たとえ協力したとしてもあ
るσがいずれのσ′に対応つくかを知ることはできな
い。
ある。署名の要求者Pは、ブラインド署名前処理によっ
て文書(m)を乱数(r)で攪乱してブラインドメッセ
ージ(m′)を生成する。署名者Aは、秘密の署名用鍵
を用いてm′に対応する仮の署名(σ′)を計算する。
このとき、mはrによって攪乱されているので、署名者
は文書(m)を知ることはできない。要求者Pは、ブラ
インド署名後処理によってσ′から乱数(r)の影響を
除去して、本来の文書(m)に対する真の署名(σ)を
求めて、mとσの組を検証者に送信する。検証者は、署
名者の公開鍵を用いてσがmの署名であることを確認す
る。ここで、複数の文書が署名者Aによって署名される
場合、署名者Aと検証者が、たとえ協力したとしてもあ
るσがいずれのσ′に対応つくかを知ることはできな
い。
【0009】RSA法を利用したブラインド署名の実現
法は以下の通り。Step1 署名要求者Pは乱数r∈
(Z/nZ)を生成して、文書mから m′=re ×m mod n (4) でm′を生成して、署名者Aに送信する。Step2
Aは秘密の署名用鍵dを用いて、 σ′=m′d mod n (5) でσ′を生成して、Pに送信する。
法は以下の通り。Step1 署名要求者Pは乱数r∈
(Z/nZ)を生成して、文書mから m′=re ×m mod n (4) でm′を生成して、署名者Aに送信する。Step2
Aは秘密の署名用鍵dを用いて、 σ′=m′d mod n (5) でσ′を生成して、Pに送信する。
【0010】Step3 Pは、mに対応したAの真の
ディジタル署名σを σ=σ′/rmod n (6) で算出して、mとσを検証者Vに送信する。Step4
Vは m=σe mod n (7) が成立するかを検査する。
ディジタル署名σを σ=σ′/rmod n (6) で算出して、mとσを検証者Vに送信する。Step4
Vは m=σe mod n (7) が成立するかを検査する。
【0011】ここで、σe ≡(σ′/r)e ≡σ′e /
re ≡m′/re ≡(re ・m)/re ≡m(mod n)
が成り立つので、σはmの署名である。なお、上の例で
0<m<nの場合にはmを検証者Vが復元可能なのでV
にmを送信する必要がないが、mが長い場合にハッシュ
値f(m)を計算してその値を上記のmとみなして処理
する場合もあるので、その場合には検証者がf(m)を
計算するために文書mの送信が必要となることに注意。
re ≡m′/re ≡(re ・m)/re ≡m(mod n)
が成り立つので、σはmの署名である。なお、上の例で
0<m<nの場合にはmを検証者Vが復元可能なのでV
にmを送信する必要がないが、mが長い場合にハッシュ
値f(m)を計算してその値を上記のmとみなして処理
する場合もあるので、その場合には検証者がf(m)を
計算するために文書mの送信が必要となることに注意。
【0012】簡単のため、以下のような記法を用いる。 m′=Ψ(m,r):ブラインド署名前処理関数 σ′=ΣA (m′):署名者Aの署名作成関数 y=Φ(σ′,r):ブラインド署名後処理関数 合格/不合格=VA (m,y):署名者Aの署名検証関
数 上記の例では、m′=Ψ(m,r)=re ×m mod n,
σ′=ΣA (m′)=m′d mod n,σ=Φ(σ′,
r)=σ′/rmod n,VA は「ye ≡m mod nの場
合、かつ、この場合に限って、合格=VA (m,y)」
となっていることに注意。
数 上記の例では、m′=Ψ(m,r)=re ×m mod n,
σ′=ΣA (m′)=m′d mod n,σ=Φ(σ′,
r)=σ′/rmod n,VA は「ye ≡m mod nの場
合、かつ、この場合に限って、合格=VA (m,y)」
となっていることに注意。
【0013】ディジタル署名を用いた電子投票方式は、
例えば、太田和夫:“単一の選挙管理者を用いた電子投
票方式”,昭和63年電子情報通信学会春季全国大会,
A−294(昭63−3)で提案されている。ブライン
ド署名は、電子現金方式において利用者のプライバシを
保証するための基本的な技術として用いられており、例
えば、D.Chaum, A.Fiat and M.Naor, “Untraceable El
ectronic Cash ,”Advances in Cryptology-Crypto'8
8 ,Lecture Notes in Computer Science 403,pp.319-
327,Springer-Verlag, Berlin(1988) やT. Okamoto et
al.“Disposable Zero-Knowledge Authentications and
Their Applications to UntraceableElectronic Cash
,”Advances in Cryptology-Crypto'89,Lecture Not
es in Computer Science 435, pp.481-496, Springer-V
erlag, Berlin(1989)などがある。
例えば、太田和夫:“単一の選挙管理者を用いた電子投
票方式”,昭和63年電子情報通信学会春季全国大会,
A−294(昭63−3)で提案されている。ブライン
ド署名は、電子現金方式において利用者のプライバシを
保証するための基本的な技術として用いられており、例
えば、D.Chaum, A.Fiat and M.Naor, “Untraceable El
ectronic Cash ,”Advances in Cryptology-Crypto'8
8 ,Lecture Notes in Computer Science 403,pp.319-
327,Springer-Verlag, Berlin(1988) やT. Okamoto et
al.“Disposable Zero-Knowledge Authentications and
Their Applications to UntraceableElectronic Cash
,”Advances in Cryptology-Crypto'89,Lecture Not
es in Computer Science 435, pp.481-496, Springer-V
erlag, Berlin(1989)などがある。
【0014】上記の方式では、署名要求者Pは、署名者
から仮の署名σ′が戻されて、Step3を実行するま
で署名の要求処理を完了することができない。例えば、
電子投票にブラインド署名を適用すると、投票者が署名
要求者であり、選挙管理委員会が署名者であり、投票集
計者が署名の検証者となるので、投票者は選挙管理委員
会からの返事を待たなければならない。電子現金にブラ
インド署名を適用すると、利用者が署名要求者であり、
電子現金の発行銀行が署名者であり、小売店が署名の検
証者となるので、利用者は銀行からの返事を待たなけれ
ばならない。待ち時間は、署名者の署名作成時間と署名
要求者と署名者の回線状況等に依存する。
から仮の署名σ′が戻されて、Step3を実行するま
で署名の要求処理を完了することができない。例えば、
電子投票にブラインド署名を適用すると、投票者が署名
要求者であり、選挙管理委員会が署名者であり、投票集
計者が署名の検証者となるので、投票者は選挙管理委員
会からの返事を待たなければならない。電子現金にブラ
インド署名を適用すると、利用者が署名要求者であり、
電子現金の発行銀行が署名者であり、小売店が署名の検
証者となるので、利用者は銀行からの返事を待たなけれ
ばならない。待ち時間は、署名者の署名作成時間と署名
要求者と署名者の回線状況等に依存する。
【0015】
【発明が解決しようする課題】署名要求者である投票者
や電子現金の利用者の待ち時間を短くするには、署名者
である選挙管理委員会や銀行の署名生成処理を高速にす
ることや、回線を常に使用可能とするようにしなければ
ならない。特に、上記の二つの例で明らかなように、署
名者(選挙管理委員会、銀行)に署名生成の処理が集中
するので、即時に仮の署名(σ′)を返すようにするに
は、署名者に高速にかつ高い信頼性を要求するために、
署名生成処理装置のコストが増加する問題がある。
や電子現金の利用者の待ち時間を短くするには、署名者
である選挙管理委員会や銀行の署名生成処理を高速にす
ることや、回線を常に使用可能とするようにしなければ
ならない。特に、上記の二つの例で明らかなように、署
名者(選挙管理委員会、銀行)に署名生成の処理が集中
するので、即時に仮の署名(σ′)を返すようにするに
は、署名者に高速にかつ高い信頼性を要求するために、
署名生成処理装置のコストが増加する問題がある。
【0016】この発明の目的は、投票の無記名性や電子
現金のプライバシーを保証したままで、署名要求者が署
名者からの仮の署名σ′を待つ必要がないブラインド署
名を実現することにある。
現金のプライバシーを保証したままで、署名要求者が署
名者からの仮の署名σ′を待つ必要がないブラインド署
名を実現することにある。
【0017】
【課題を解決するための手段】この発明では、ブライン
ド署名後処理を信頼できる第三者Uに委託する。署名要
求者は、ブラインドメッセージ(m′)に加えて、新た
に暗号化された乱数成分r′(=EU (r))を導入し
て、m′とr′を署名者に送信する。ここで、暗号化さ
れた乱数成分r′は第三者Uが復号化できるように生成
したものであり、Uは復号化した乱数rを用いて、署名
要求者本人に代わってブラインド署名後処理関数を実行
する。署名者は、仮の署名(σ′)を署名の要求者には
返さずに、r′と共に第三者Uに転送する。
ド署名後処理を信頼できる第三者Uに委託する。署名要
求者は、ブラインドメッセージ(m′)に加えて、新た
に暗号化された乱数成分r′(=EU (r))を導入し
て、m′とr′を署名者に送信する。ここで、暗号化さ
れた乱数成分r′は第三者Uが復号化できるように生成
したものであり、Uは復号化した乱数rを用いて、署名
要求者本人に代わってブラインド署名後処理関数を実行
する。署名者は、仮の署名(σ′)を署名の要求者には
返さずに、r′と共に第三者Uに転送する。
【0018】署名要求者は、ブラインドメッセージと暗
号化された乱数成分を送信した時点で処理を完了でき
る。署名者と第三者が結託しない限り、ブラインドメッ
セージm′からもとの文書mが求まることはない。署名
者と第三者の結託の可能性を下げるために、第三者を複
数個設けて、ブラインドメッセージm′を m′=Ψ(…Ψ(Ψ(m,rL ),rL-1 )…,r1 ) (8) で作成し、乱数成分r′を r′=E1 (…EL-1 (EL (m,rL ),rL-1 )…,r1 )(9) で作成する。0<m<nの場合には検証処理でmを復元
できるので、r′の生成式でmを省略しても問題ない。
号化された乱数成分を送信した時点で処理を完了でき
る。署名者と第三者が結託しない限り、ブラインドメッ
セージm′からもとの文書mが求まることはない。署名
者と第三者の結託の可能性を下げるために、第三者を複
数個設けて、ブラインドメッセージm′を m′=Ψ(…Ψ(Ψ(m,rL ),rL-1 )…,r1 ) (8) で作成し、乱数成分r′を r′=E1 (…EL-1 (EL (m,rL ),rL-1 )…,r1 )(9) で作成する。0<m<nの場合には検証処理でmを復元
できるので、r′の生成式でmを省略しても問題ない。
【0019】以下では、ブラインド署名後処理の実行者
をアンブラインダーとよび、L個のアンブラインダーを
仮定して、署名者に近いものから順番にU1 ,U2 ,
…,U L と表すことにする。ここで、Ei は第i番目の
アンブラインダーUi が復号化できるような暗号化関数
である。Ei は、DES等の秘密鍵暗号、RSA等の公
開鍵暗号の、どちらであっても問題ない。
をアンブラインダーとよび、L個のアンブラインダーを
仮定して、署名者に近いものから順番にU1 ,U2 ,
…,U L と表すことにする。ここで、Ei は第i番目の
アンブラインダーUi が復号化できるような暗号化関数
である。Ei は、DES等の秘密鍵暗号、RSA等の公
開鍵暗号の、どちらであっても問題ない。
【0020】複数の利用者からの署名要求を一度に処理
し、各アンブラインダーが各処理結果の順序をランダム
に並べ換えることにより、プライバシーを保つことがで
きる。
し、各アンブラインダーが各処理結果の順序をランダム
に並べ換えることにより、プライバシーを保つことがで
きる。
【0021】
【発明の実施の形態】以下では、この発明の一実施例に
ついて説明する。図1はこの発明の全体構成を示す図で
ある。署名の要求者Pの装置(要求者装置)100は記
名通信路500を介して署名者Aの装置(署名者装置)
200と結合し、署名者装置200はアンブラインダー
Uの装置(アンブラインダー装置)300に通信路60
0を介して結合しているとする。アンブラインダー装置
は複数個300−1〜300−L存在してもよく、それ
らは通信路700を介して順次結合しており、アンブラ
インダー装置300は検証者Vの装置(検証者装置)4
00との間に通信路800がある。
ついて説明する。図1はこの発明の全体構成を示す図で
ある。署名の要求者Pの装置(要求者装置)100は記
名通信路500を介して署名者Aの装置(署名者装置)
200と結合し、署名者装置200はアンブラインダー
Uの装置(アンブラインダー装置)300に通信路60
0を介して結合しているとする。アンブラインダー装置
は複数個300−1〜300−L存在してもよく、それ
らは通信路700を介して順次結合しており、アンブラ
インダー装置300は検証者Vの装置(検証者装置)4
00との間に通信路800がある。
【0022】図2にこの発明の通信シーケンス例を、図
3に署名の要求者装置100の構成例を、図4に署名者
装置200の構成例を、図5にアンブラインダー装置3
00の構成例を、図6に検証者装置400の構成例をそ
れぞれ示す。以下、アンブラインダー装置が1個の場合
のこの発明の手順を示す。Step1 署名の要求者装
置100(図3)は、文書mと、乱数生成器110が生
成した乱数rをブラインド署名前処理関数計算器120
に入力してブラインドメッセージm′を m′=Ψ(m,r) (10) で生成する。
3に署名の要求者装置100の構成例を、図4に署名者
装置200の構成例を、図5にアンブラインダー装置3
00の構成例を、図6に検証者装置400の構成例をそ
れぞれ示す。以下、アンブラインダー装置が1個の場合
のこの発明の手順を示す。Step1 署名の要求者装
置100(図3)は、文書mと、乱数生成器110が生
成した乱数rをブラインド署名前処理関数計算器120
に入力してブラインドメッセージm′を m′=Ψ(m,r) (10) で生成する。
【0023】Step2 要求者装置100は、前記乱
数r及び文書mをアンブラインダーUが復号可能な暗号
器130に入力して暗号化された乱数r′を r′=EU (m,r) (11) で生成する。Step3 要求者装置100は、ブライ
ンドメッセージm′と暗号化された乱数r′を署名者装
置200に送信する。
数r及び文書mをアンブラインダーUが復号可能な暗号
器130に入力して暗号化された乱数r′を r′=EU (m,r) (11) で生成する。Step3 要求者装置100は、ブライ
ンドメッセージm′と暗号化された乱数r′を署名者装
置200に送信する。
【0024】Step4 署名者装置200(図4)
は、受信したブラインドメッセージm′を署名作成関数
計算器210に入力して、 σ′=σA (m′) (12) で仮の署名σ′を生成して、受信した暗号化された乱数
r′と共にアンブラインダー装置300に送信する。
は、受信したブラインドメッセージm′を署名作成関数
計算器210に入力して、 σ′=σA (m′) (12) で仮の署名σ′を生成して、受信した暗号化された乱数
r′と共にアンブラインダー装置300に送信する。
【0025】Step5 アンブラインダー装置300
(図5)は、暗号化された乱数r′を復号器310に入
力して、 (r′,r)=DU (r′) (13) を得る。Step6 アンブラインダー装置300は、
上記rと受信したσ′をブラインド署名後処理関数計算
器320に入力して σ=Φ(σ′,r) (14) を得る。
(図5)は、暗号化された乱数r′を復号器310に入
力して、 (r′,r)=DU (r′) (13) を得る。Step6 アンブラインダー装置300は、
上記rと受信したσ′をブラインド署名後処理関数計算
器320に入力して σ=Φ(σ′,r) (14) を得る。
【0026】Step7 アンブラインダー装置300
は、r′とσを検証者装置400に送信する。Step
8 検証者装置400(図6)は、r′とσを署名検証
関数計算器410に入力して、VA (r′,σ)を計算
して、σがr′の正しい署名になっていることを検査す
る。ここで、すべての処理が正常に実行されると、r=
r、かつr′=mとなっていることに注意。
は、r′とσを検証者装置400に送信する。Step
8 検証者装置400(図6)は、r′とσを署名検証
関数計算器410に入力して、VA (r′,σ)を計算
して、σがr′の正しい署名になっていることを検査す
る。ここで、すべての処理が正常に実行されると、r=
r、かつr′=mとなっていることに注意。
【0027】次に、アンブラインダー装置がL個の場合
のこの発明の手順を示す。ここで、署名者装置と検証者
装置はL=1の場合と同一であるから、Lに依存して異
なる場合について、署名の要求者装置100の構成例を
図8に、第i番目のアンブラインダー装置300−iの
構成例を図7に示す。Step1 署名の要求者装置1
00(図8)は、乱数生成器110でL個の乱数r
i (i=1,2,…,L)を生成し、乱数ri とσ′i
(σ′L =文書m)をブラインド署名前処理関数計算器
120−iに入力してσ′i-1 を生成し、この操作をi
=L,…,1とL回繰り返すことで、ブラインドメッセ
ージσ′(σ′=σ′0 )を σ′=m′=Ψ(…Ψ(Ψ(m,rL ),rL-1 )…,r1 ) (15) で生成する。ただし、σ′L =mとする。
のこの発明の手順を示す。ここで、署名者装置と検証者
装置はL=1の場合と同一であるから、Lに依存して異
なる場合について、署名の要求者装置100の構成例を
図8に、第i番目のアンブラインダー装置300−iの
構成例を図7に示す。Step1 署名の要求者装置1
00(図8)は、乱数生成器110でL個の乱数r
i (i=1,2,…,L)を生成し、乱数ri とσ′i
(σ′L =文書m)をブラインド署名前処理関数計算器
120−iに入力してσ′i-1 を生成し、この操作をi
=L,…,1とL回繰り返すことで、ブラインドメッセ
ージσ′(σ′=σ′0 )を σ′=m′=Ψ(…Ψ(Ψ(m,rL ),rL-1 )…,r1 ) (15) で生成する。ただし、σ′L =mとする。
【0028】Step2 要求者装置100は、前記L
個の乱数ri とr′i をアンブラインダーUi が復号可
能な暗号器130に入力してr′i-1 を生成し、この操
作をi=L,…,2,1とL回繰り返すことで、暗号化
された乱数r′(r′=r′ 0 )を r′=E1 (…EL-1 (EL (m,rL ),rL-1 )…,r1 ) (16) で生成する。ただし、rL =mとする。
個の乱数ri とr′i をアンブラインダーUi が復号可
能な暗号器130に入力してr′i-1 を生成し、この操
作をi=L,…,2,1とL回繰り返すことで、暗号化
された乱数r′(r′=r′ 0 )を r′=E1 (…EL-1 (EL (m,rL ),rL-1 )…,r1 ) (16) で生成する。ただし、rL =mとする。
【0029】Step3 要求者装置100は、ブライ
ンドメッセージm′と暗号化された乱数r′を署名者装
置200に送信する。Step4 署名者装置200
は、受信したブラインドメッセージm′を署名作成関数
計算器210に入力して、 σ′=ΣA (m′) (17) で生成して、受信した暗号化された乱数r′と共にアン
ブラインダー装置300−1に送信する。
ンドメッセージm′と暗号化された乱数r′を署名者装
置200に送信する。Step4 署名者装置200
は、受信したブラインドメッセージm′を署名作成関数
計算器210に入力して、 σ′=ΣA (m′) (17) で生成して、受信した暗号化された乱数r′と共にアン
ブラインダー装置300−1に送信する。
【0030】Step5 L個のアンブラインダー装置
300−iは装置300−1から300−Lまで順番に
L回以下の処理を繰り返す。ここで、r′0 =r′,σ
0 =σ′とおく。Step5-1 アンブラインダー300
−i(図7)は、受信した乱数r′i- 1 を復号器310
−1に入力して、 (r′i ,r′i )=DUi(r′i-1 ) (18) を得る。
300−iは装置300−1から300−Lまで順番に
L回以下の処理を繰り返す。ここで、r′0 =r′,σ
0 =σ′とおく。Step5-1 アンブラインダー300
−i(図7)は、受信した乱数r′i- 1 を復号器310
−1に入力して、 (r′i ,r′i )=DUi(r′i-1 ) (18) を得る。
【0031】Step5-2 アンブラインダー装置300
−iは、上記ri と受信したσi- 1 をブラインド署名後
処理関数計算器320−iに入力して σi =Φ(σi-1 ,ri ) (19) を得る。Step5-3 アンブラインダー装置300−i
は、r′i とσi をアンブラインダー装置300−(i
+1)に送信する。i=Lの場合には検証者装置400
に送信する。
−iは、上記ri と受信したσi- 1 をブラインド署名後
処理関数計算器320−iに入力して σi =Φ(σi-1 ,ri ) (19) を得る。Step5-3 アンブラインダー装置300−i
は、r′i とσi をアンブラインダー装置300−(i
+1)に送信する。i=Lの場合には検証者装置400
に送信する。
【0032】Step6 検証者装置400は、r′L
とσL を署名検証関数計算器410に入力して、V
A (r′L ,σL )を計算して、σL がr′L の正しい
署名になっていることを検査する。ここで、すべての処
理が正常に実行されると、r′L=m,σL =σとなっ
ていることに注意。署名要求者は、rあるいはr′を直
接アンブラインダーUに送信してもよい。この場合には
m′とr′の対応を示すために新たに識別子を付加する
ことになる。
とσL を署名検証関数計算器410に入力して、V
A (r′L ,σL )を計算して、σL がr′L の正しい
署名になっていることを検査する。ここで、すべての処
理が正常に実行されると、r′L=m,σL =σとなっ
ていることに注意。署名要求者は、rあるいはr′を直
接アンブラインダーUに送信してもよい。この場合には
m′とr′の対応を示すために新たに識別子を付加する
ことになる。
【0033】上述においては、署名要求者は1人であっ
たが、複数であってもよい。即ち図9に示すようにk人
の署名要求者P1〜Pkの装置100−1〜100−k
から乱数rj (j=1,2,…,k)を用いて文書mj
対してブラインド署名前処理を施したブラインドメッセ
ージm′j を生成し、かつrj とmj に対し暗号化した
暗号文r′j を作成してm′j とr′j の組をそれぞれ
署名者装置200へ送り、署名者装置200は各m′j
とr′j の組中のm′j に対する署名作成関数値を計算
して仮署名σj を生成して、σj とr′j の組をアンブ
ラインダー装置300−1へ送る。
たが、複数であってもよい。即ち図9に示すようにk人
の署名要求者P1〜Pkの装置100−1〜100−k
から乱数rj (j=1,2,…,k)を用いて文書mj
対してブラインド署名前処理を施したブラインドメッセ
ージm′j を生成し、かつrj とmj に対し暗号化した
暗号文r′j を作成してm′j とr′j の組をそれぞれ
署名者装置200へ送り、署名者装置200は各m′j
とr′j の組中のm′j に対する署名作成関数値を計算
して仮署名σj を生成して、σj とr′j の組をアンブ
ラインダー装置300−1へ送る。
【0034】第i番目のアンブラインダー装置300−
iは図10に示すように受信した乱数r′i-1,j を復号
してr′i,j を得、これにより受信した仮署名σi-1,j
に対し、ブラインド署名後処理を施してσi,j を得る。
各投票要求者よりの仮署名と乱数の組(σi,1 ,r′
i,1 )〜(σi,k ,r′i,k )はメモリ330−iに一
旦格納され、ランダム置換装置340−iでその順序が
ランダムに置き換えられて次のアンブラインダー装置3
00−(i+1)へ送られる。このように各アンブライ
ンダー装置で復号と、ブラインド署名後処理とがなさ
れ、その結果に対し、順序がランダムに並び換えられる
ことにより、プライバシーの保護がなされる。
iは図10に示すように受信した乱数r′i-1,j を復号
してr′i,j を得、これにより受信した仮署名σi-1,j
に対し、ブラインド署名後処理を施してσi,j を得る。
各投票要求者よりの仮署名と乱数の組(σi,1 ,r′
i,1 )〜(σi,k ,r′i,k )はメモリ330−iに一
旦格納され、ランダム置換装置340−iでその順序が
ランダムに置き換えられて次のアンブラインダー装置3
00−(i+1)へ送られる。このように各アンブライ
ンダー装置で復号と、ブラインド署名後処理とがなさ
れ、その結果に対し、順序がランダムに並び換えられる
ことにより、プライバシーの保護がなされる。
【0035】上述においては、乱数を暗号化する際に、
文書mも暗号化し、その暗号文をアンブラインダー装置
へ送ったが、署名者装置における署名として、メッセー
ジ回復形署名方法を用いれば、署名からメッセージを取
出すことができるから、乱数のみを暗号化してアンブラ
インダー装置へ送ればよい。
文書mも暗号化し、その暗号文をアンブラインダー装置
へ送ったが、署名者装置における署名として、メッセー
ジ回復形署名方法を用いれば、署名からメッセージを取
出すことができるから、乱数のみを暗号化してアンブラ
インダー装置へ送ればよい。
【0036】
【発明の効果】この発明では、署名要求者は、ブライン
ドメッセージ(m′)に加えて、新たに暗号化された乱
数成分r′(=EU (r))を導入して、m′とr′を
送信した時点で処理が完了する。ここで、暗号化された
乱数成分r′はアンブラインダーUが復号化できるよう
に生成されたものであり、Uが復号化した乱数rを用い
て、署名者本人に代わってブラインド署名後処理関数を
実行するので、署名者とアンブラインダーが結託しない
限り、ブラインドメッセージからもとの文書mが求まる
ことはない。署名者は、仮の署名(σ′)を署名の要求
者には返さずに、r′と共に第三者Uに転送するだけで
よいので、従来方式とは異なって、署名作成処理の即時
性は要求されない。
ドメッセージ(m′)に加えて、新たに暗号化された乱
数成分r′(=EU (r))を導入して、m′とr′を
送信した時点で処理が完了する。ここで、暗号化された
乱数成分r′はアンブラインダーUが復号化できるよう
に生成されたものであり、Uが復号化した乱数rを用い
て、署名者本人に代わってブラインド署名後処理関数を
実行するので、署名者とアンブラインダーが結託しない
限り、ブラインドメッセージからもとの文書mが求まる
ことはない。署名者は、仮の署名(σ′)を署名の要求
者には返さずに、r′と共に第三者Uに転送するだけで
よいので、従来方式とは異なって、署名作成処理の即時
性は要求されない。
【0037】アンブラインダーを複数個設けることで、
署名者と第三者の結託に対する安全性を更に高めること
もできる。
署名者と第三者の結託に対する安全性を更に高めること
もできる。
【図1】この発明の全体構成を示すブロック図。
【図2】この発明における通信シーケンス例を示す図。
【図3】署名要求者装置100の機能構成を示すブロッ
ク図。
ク図。
【図4】署名者装置200の機能構成を示すブロック
図。
図。
【図5】アンブラインダー装置300の機能構成を示す
ブロック図。
ブロック図。
【図6】検証者装置400の機能構成を示すブロック
図。
図。
【図7】第i番目のアンブラインダー装置300−iの
機能構成例を示すブロック図。
機能構成例を示すブロック図。
【図8】署名の要求者装置100(アンブラインダーが
複数個の場合)の機能構成例を示すブロック図。
複数個の場合)の機能構成例を示すブロック図。
【図9】署名要求者が複数の場合の全体構成を示すブロ
ック図。
ック図。
【図10】署名要求者が複数の場合の第i番目のアンブ
ラインダー装置300−iの機能構成を示すブロック
図。
ラインダー装置300−iの機能構成を示すブロック
図。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 岡本 龍明 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 (72)発明者 藤岡 淳 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 Fターム(参考) 5J104 AA09 LA03 LA08 9A001 EE03 LL03
Claims (14)
- 【請求項1】 文書の内容を隠したままで署名をつける
ことができるブラインド署名を実現する方法において、 署名要求者装置は乱数生成器、ブラインド署名前処理関
数計算器、暗号器を備え、署名者装置は署名作成関数計
算器を備え、アンブラインダー装置は復号器、ブライン
ド署名後処理関数計算器を備え、検証者装置は署名検証
関数計算器を備え、 署名要求者装置は、文書mと、乱数生成器が生成した乱
数rをブラインド署名前処理関数計算器に入力してブラ
インドメッセージm′を生成し、また前記乱数rをアン
ブラインダー装置が復号可能な暗号器に入力して暗号化
された乱数r′を生成し、最後にブラインドメッセージ
m′と暗号化された乱数r′を署名者装置に送信し、 署名者装置は、受信したブラインドメッセージm′を署
名作成関数計算器に入力して、仮の署名σ′を生成し
て、受信した暗号化された乱数r′と共にアンブライン
ダー装置に送信し、 アンブラインダー装置は、暗号化された乱数r′を復号
器に入力してもとの乱数rを得て、上記rと受信した
σ′をブラインド署名後処理関数計算器に入力して文書
mと本来の署名σを得て、文書mと本来の署名σを検証
者装置に送信し、 検証者装置は、文書mと本来の署名σを署名検証関数計
算器に入力して、検査式に合格することを検査すること
を特徴とするブラインド署名方法。 - 【請求項2】 文書の内容を隠したままで署名をつける
ことができるブラインド署名を実現する方法において、 署名要求者装置は乱数生成器、ブラインド署名前処理関
数計算器、暗号器を備え、署名者装置は署名作成関数計
算器を備え、アンブラインダー装置は復号器、ブライン
ド署名後処理関数計算器を備え、検証者装置は署名検証
関数計算器を備え、 署名要求者装置は、文書mと、乱数生成器が生成した乱
数rをブラインド署名前処理関数計算器に入力してブラ
インドメッセージm′を生成し、また前記rおよびmを
アンブラインダー装置が復号可能な暗号器に入力してそ
の出力をr′とし、最後にブラインドメッセージm′と
暗号化された乱数と文書の対r′を署名者装置に送信
し、 署名者装置は、受信したブラインドメッセージm′を署
名作成関数計算器に入力して、仮の署名σ′を生成し
て、受信した暗号化された乱数と文書の対r′と共にア
ンブラインダー装置に送信し、 アンブラインダー装置は、暗号化された乱数と文書の対
r′を復号器に入力してもとの乱数rと文書mを得て、
上記rと受信したσ′をブラインド署名後処理関数計算
器に入力して本来の署名σを得て、文書mと本来の署名
σを検証者装置に送信し、 検証者装置は、文書mと本来の署名σを署名検証関数計
算器に入力して、検査式に合格することを検査すること
を特徴とするブラインド署名方法。 - 【請求項3】 文書の内容を隠したままで署名をつける
ことができるブラインド署名を実現する方法において、 署名要求者装置は乱数生成器、複数(L個)のブライン
ド署名前処理関数計算器、暗号器を備え、署名者装置は
署名作成関数計算器を備え、複数(L個)のアンブライ
ンダー装置はそれぞれ復号器、ブラインド署名後処理関
数計算器を備え、検証者装置は署名検証関数計算器を備
え、 署名要求者装置は、文書mと乱数生成器が生成した複数
の乱数r1 ,…,rLをブラインド署名前処理関数計算
器に入力し、σ′i と第i番目のri とを第i番目のブ
ラインド署名前処理関数計算器に入力してσ′i-1 を生
成してm′=σ′0 とおき(ただし、i=L,L−1,
…,1,かつσ′L =mとする)、ブラインドメッセー
ジm′を生成し、r′L =mとして、r′i とri とを
第i番目のアンブラインダー装置が復号可能な暗号器へ
入力して、その出力をr′i-1 とし、これをi=Lから
i=1まで繰り返し実行し、r′=r′0 とおき、ブラ
インドメッセージm′と暗号文r′を署名者装置に送信
し、 署名者装置は、受信したブラインドメッセージm′を署
名作成関数計算器に入力して、仮の署名σ′を生成し
て、受信した暗号文r′と共に第1番目のアンブライン
ダー装置に送信し、 第i番目のアンブラインダー装置は、暗号文r′i-1 を
復号器に入力してもとの乱数ri と次のアンブラインダ
ー装置に引き継ぐ暗号文r′i を得て、ri と受信した
σi-1 (ただし、σ0 =σ′)をブラインド署名後処理
関数計算器に入力してσi を得て、r′i とσi を第
(i+1)番目のアンブラインダー装置に送信し、 第L番目のアンブラインダー装置は、復号器から文書m
(=r′L )を、ブラインド署名後処理関数計算器から
本来の署名σ(=σL )を得て、文書mと本来の署名σ
を検証者装置に送信し、 検証者装置は、文書mと本来の署名σを署名検証関数計
算器に入力して、検査式に合格することを検査すること
を特徴とするブラインド署名方法。 - 【請求項4】 文書の内容を隠したままで署名をつける
ことができるブラインド署名を実現するシステムにおい
て、 署名要求者装置と、署名者装置と、アンブラインダー装
置と、検証者装置と、これらを順次結合する通信路とよ
りなり、 署名要求者装置は、乱数rを生成する乱数生成器と、文
書mと乱数rを入力してブラインドメッセージm′を生
成するブラインド署名前処理関数計算器と、乱数rを暗
号化した乱数r′を生成する暗号器と、ブラインドメッ
セージm′と暗号化された乱数r′を署名者装置に送信
する手段とを備え、 署名者装置は、受信したブラインドメッセージm′を入
力して仮の署名σ′を生成する署名作成関数計算器と、
仮の署名σ′と受信した暗号化された乱数r′とをアン
ブラインダー装置へ送信する手段とを備え、 アンブラインダー装置は受信した暗号化された乱数r′
を入力してもとの乱数rを得る復号器と、その乱数rと
受信した仮の署名σ′を入力して文書mと本来の署名σ
を得るブラインド署名後処理関数計算器と、文書mと本
来の署名σを検証者装置へ送信する手段とを備え、 検証者装置は受信した文書mと本来の署名σを入力して
検査式に合格することを検査する署名検証関数計算器を
備えることを特徴とするブラインド署名システム。 - 【請求項5】 文書の内容を隠したままで署名をつける
ことができるブラインド署名を実現するシステムにおい
て、 署名要求者装置と、署名者装置と、アンブラインダー装
置と、検証者装置と、これらを順次結合する通信路とよ
りなり、 署名要求者装置は、乱数rを生成する乱数生成器と、文
書mと乱数rを入力してブラインドメッセージm′を生
成するブラインド署名前処理関数計算器と、乱数rと文
書mを暗号化した暗号文r′を生成する暗号器と、ブラ
インドメッセージm′と暗号化された乱数r′を署名者
装置に送信する手段とを備え、 署名者装置は、受信したブラインドメッセージm′を入
力して仮の署名σ′を生成する署名作成関数計算器と、
仮の署名σ′と受信した暗号文r′とをアンブラインダ
ー装置へ送信する手段とを備え、 アンブラインダー装置は受信した暗号文r′を入力して
もとの乱数rおよび文書mを得る復号器と、その乱数r
と受信した仮の署名σ′を入力して本来の署名σを得る
ブラインド署名後処理関数計算器と、文書mと本来の署
名σを検証者装置へ送信する手段とを備え、 検証者装置は受信した文書mと本来の署名σを入力して
検査式に合格することを検査する署名検証関数計算器を
備えることを特徴とするブラインド署名システム。 - 【請求項6】 文書の内容を隠したままで署名をつける
ことができるブラインド署名を実現するシステムにおい
て、 署名要求者装置と、署名者装置と、複数(L個)のアン
ブラインダー装置と、検証者装置と、これらを順次結合
する通信路とよりなり、 署名要求者装置はL個の乱数r1 ,…,rL を生成する
乱数生成器と、σ′iと第i番目の乱数ri を入力して
σ′i-1 を生成する第i番目のブラインド署名前処理関
数計算器と(i=L,L−1,…,1,σ′L =mとす
る)、r′i と第i番目の乱数ri とから暗号文r′
i-1 を生成する第i番目の暗号器と(ただし、r′L =
mとする)、m′=σ′0 としたブラインドメッセージ
m′と、r=r′0 とした暗号化された乱数r′を署名
者装置へ送信する手段とを備え、 署名者装置は受信したブラインドメッセージm′を入力
して仮の署名σ′を生成する署名作成関数計算器と、仮
の署名σ′と受信した暗号化された乱数r′を第1番目
のアンブラインダー装置へ送信する手段とを備え、 第i番目のアンブラインダー装置は受信した暗号化され
た乱数r′i-1 を入力してもとの乱数ri と次のアンブ
ラインダー装置に引き継ぐ暗号文r′i を得る復号器
と、そのri と受信したσi-1 (σ0 =σ′とする)を
入力してσi を得るブラインド署名後処理関数計算器
と、r′i とσi を第i+1番目のアンブラインダー装
置に送信する手段とを備え、 第L番目のアンブラインダー装置は受信したr′L-1 が
入力され、もとの乱数r′L =mを得る復号器と、mと
受信したσL-1 が入力され、本来の署名σ(=σL )を
得るブラインド署名後処理関数計算器と、文書mと、本
来の署名σを検証者装置に送信する手段とを備え、 検証者装置は受信したmとσが入力され、検査式に合格
することを検査する署名検証関数計算器を備えることを
特徴とするブラインド署名システム。 - 【請求項7】 文書の内容を隠したままで署名をつける
ことができるブラインド署名システムにおける署名の要
求者の装置であって、 乱数を発生する乱数生成器と、 上記乱数と署名対象の文書を入力してブラインドメッセ
ージを出力するブラインド署名前処理関数計算器と、 上記乱数を入力して暗号化乱数を出力する暗号器と、 上記ブラインドメッセージ及び暗号化乱数を署名者装置
へ送信する手段と、 を具備することを特徴とする署名要求者装置。 - 【請求項8】 文書の内容を隠したままで署名をつける
ことができるブラインド署名システムにおける署名の要
求者の装置であって、 乱数を発生する乱数生成器と、 上記乱数と署名対象の文書を入力してブラインドメッセ
ージを出力するブラインド署名前処理関数計算器と、 上記乱数と文書を入力して暗号化乱数を出力する暗号器
と、 上記ブラインドメッセージ及び暗号化乱数を署名者装置
へ送信する手段と、 を具備することを特徴とする署名要求者装置。 - 【請求項9】 文書の内容を隠したままで署名をつける
ことができるブラインド署名システムに用いられ、署名
付きブラインドメッセージと暗号化された乱数を入力し
て、復号した乱数及び本来の署名を出力するアンブライ
ンダー装置であって、 上記暗号化された乱数を復号する復号器と、 上記復号された乱数と上記署名付きブラインドメッセー
ジを入力して本来の署名を出力するブラインド署名後処
理計算器と、 を具備することを特徴とするアンブラインダー装置。 - 【請求項10】 文書の内容を隠したままで署名をつけ
ることができるブラインド署名システムに用いられ、署
名付きブラインドメッセージと乱数と文書を暗号化した
暗号文を入力して、復号した乱数と文書及び本来の署名
を出力するアンブラインダー装置であって、 上記暗号化された乱数と文書を復号する復号器と、 上記復号された乱数と上記署名付きブラインドメッセー
ジを入力して本来の署名を出力するブラインド署名後処
理計算器と、 を具備することを特徴とするアンブラインダー装置。 - 【請求項11】 文書の内容を隠したまま署名をつける
ことができるブラインド署名システムにおける署名の要
求者の装置のコンピュータに、 乱数を生成する処理と、 上記乱数と、署名対象の文書を入力し、ブラインド署名
前処理関数を計算してブラインドメッセージを出力する
処理と、 上記乱数を入力し、暗号化した乱数を出力する処理と、 上記ブラインドメッセージ及び暗号化した乱数を署名者
装置へ送信する処理とを実行させるプログラムを記録し
た記録媒体。 - 【請求項12】 文書の内容を隠したまま署名をつける
ことができるブラインド署名システムにおける署名の要
求者の装置のコンピュータに、 乱数を生成する処理と、 上記乱数と、署名対象の文書を入力し、ブラインド署名
前処理関数を計算してブラインドメッセージを出力する
処理と、 上記乱数と文書を入力し、暗号文を出力する処理と、 上記ブラインドメッセージ及び上記暗号文を署名者装置
へ送信する処理とを実行させるプログラムを記録した記
録媒体。 - 【請求項13】 文書の内容を隠したまま署名をつける
ことができるブラインド署名システムに用いられ、署名
付ブラインドメッセージと暗号化された乱数を入力して
復号した乱数及び本来の署名を出力するアンブラインダ
ー装置のコンピュータに、 上記入力された暗号化された乱数を復号する処理と、 上記復号化された乱数と上記署名付ブラインドメッセー
ジを入力し、ブラインド署名後処理関数を計算して本来
の署名を出力する処理と、 を実行させるプログラムを記録した記録媒体。 - 【請求項14】 文書の内容を隠したまま署名をつける
ことができるブラインド署名システムに用いられ、署名
付ブラインドメッセージと乱数と文書を暗号化した暗号
文を入力して復号した乱数と文書及び本来の署名を出力
するアンブラインダー装置のコンピュータに、 上記入力された暗号文を復号する処理と、 上記復号化された乱数と上記署名付ブラインドメッセー
ジを入力し、ブラインド署名後処理関数を計算して本来
の署名を出力する処理と、 を実行させるプログラムを記録した記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP11033794A JP2000231330A (ja) | 1999-02-12 | 1999-02-12 | ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP11033794A JP2000231330A (ja) | 1999-02-12 | 1999-02-12 | ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2000231330A true JP2000231330A (ja) | 2000-08-22 |
Family
ID=12396389
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP11033794A Pending JP2000231330A (ja) | 1999-02-12 | 1999-02-12 | ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2000231330A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030062401A (ko) * | 2003-07-04 | 2003-07-25 | 학교법인 한국정보통신학원 | 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법 |
CN111740833A (zh) * | 2019-04-16 | 2020-10-02 | 北京沃东天骏信息技术有限公司 | 一种区块链网络的签名方法、节点、系统及存储介质 |
CN114389808A (zh) * | 2022-01-26 | 2022-04-22 | 南京邮电大学 | 一种基于SM9盲签名的OpenID协议设计方法 |
-
1999
- 1999-02-12 JP JP11033794A patent/JP2000231330A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030062401A (ko) * | 2003-07-04 | 2003-07-25 | 학교법인 한국정보통신학원 | 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법 |
CN111740833A (zh) * | 2019-04-16 | 2020-10-02 | 北京沃东天骏信息技术有限公司 | 一种区块链网络的签名方法、节点、系统及存储介质 |
CN111740833B (zh) * | 2019-04-16 | 2023-09-05 | 北京沃东天骏信息技术有限公司 | 一种区块链网络的签名方法、节点、系统及存储介质 |
CN114389808A (zh) * | 2022-01-26 | 2022-04-22 | 南京邮电大学 | 一种基于SM9盲签名的OpenID协议设计方法 |
CN114389808B (zh) * | 2022-01-26 | 2023-07-21 | 南京邮电大学 | 一种基于SM9盲签名的OpenID协议设计方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5201136B2 (ja) | 匿名認証システムおよび匿名認証方法 | |
US7730319B2 (en) | Provisional signature schemes | |
US8108678B1 (en) | Identity-based signcryption system | |
EP0786178B1 (en) | Secret-key certificates | |
JP4692284B2 (ja) | グループ署名システム、方法、装置、およびプログラム | |
US8654975B2 (en) | Joint encryption of data | |
CN110545279A (zh) | 兼具隐私和监管功能的区块链交易方法、装置及系统 | |
EP2792098B1 (en) | Group encryption methods and devices | |
US8015398B2 (en) | Set membership proofs in data processing systems | |
US9088419B2 (en) | Keyed PV signatures | |
US20140082361A1 (en) | Data encryption | |
US20040153652A1 (en) | Method, apparatus, system, and program for creating ring signature | |
TW202318833A (zh) | 臨界簽章方案 | |
JP3513324B2 (ja) | ディジタル署名処理方法 | |
JP2000231330A (ja) | ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 | |
JP3331329B2 (ja) | 公開検証可依頼復元ブラインド署名方法、その装置及びプログラム記録媒体 | |
JPH06112935A (ja) | 暗号通信方法 | |
JP3316466B2 (ja) | 電子無記名投票方法、その装置及びプログラム記録媒体 | |
JP3689292B2 (ja) | 匿名電子投票装置および匿名電子投票処理方法 | |
JPH09200198A (ja) | メッセージ認証システム | |
JP3862397B2 (ja) | 情報通信システム | |
Haböck et al. | Breaking and Fixing Anonymous Credentials for the Cloud (Full Version). | |
EP4385169A1 (en) | Generating digital signatures | |
JPH11202767A (ja) | ディジタル署名方式、それを用いた通信装置及び情報通信システム | |
JP2000242171A (ja) | ブラインド署名方法、その装置およびそのプログラム記録媒体 |