JP2002108207A - 認証方式 - Google Patents

認証方式

Info

Publication number
JP2002108207A
JP2002108207A JP2000276216A JP2000276216A JP2002108207A JP 2002108207 A JP2002108207 A JP 2002108207A JP 2000276216 A JP2000276216 A JP 2000276216A JP 2000276216 A JP2000276216 A JP 2000276216A JP 2002108207 A JP2002108207 A JP 2002108207A
Authority
JP
Japan
Prior art keywords
signature
message
user
information
signature information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2000276216A
Other languages
English (en)
Inventor
Toru Inoue
井上  徹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ADVANCED MOBILE TELECOMM SECUR, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical ADVANCED MOBILE TELECOMM SECUR
Priority to JP2000276216A priority Critical patent/JP2002108207A/ja
Publication of JP2002108207A publication Critical patent/JP2002108207A/ja
Ceased legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 ヤシャ(Yaksha)システムにおいて、基本プ
ロトコルを変えずに、YASをYGSが安全に認証できるよう
にする。 【解決手段】 公開手段101は、楕円暗号の公開鍵を配
布する。送信者(YAS)102は、第1メッセージ(初期チケ
ット)と第2メッセージ(タイムスタンプ)を生成す
る。検証者を受信者(YGS)に限定し、メッセージに対
する楕円暗号署名情報を作成し、ユーザーを介して受信
者に送信する。受信者(YGS)103は、受信した署名情報か
らメッセージを算出して確認する。受信者(YGS)のみ
が署名検証を実行でき、送信者(YAS)が正しく署名し
た場合のみ、メッセージMを取り出すことができる。YA
SをYGSが簡単な手順で安全に認証できる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、認証方式に関し、
特に、検証者限定型のメッセージ回復型署名を用いて安
全に相互認証できる認証方式に関する。
【0002】
【従来の技術】紙の文書に署名して文書作成者の責任を
明らかにすることと同様に、デジタルデータでは、デジ
タル署名を行なってデジタルデータの作成者を明らかに
している。また、紙の文書における稟議書に複数の承認
者の決済印を押すように、デジタルデータに複数の署名
を行なう巡回署名がある。デジタル署名のうち、メッセ
ージ復元型署名は、署名を検証すると元のメッセージが
復元される署名である。
【0003】図3と図4を参照して、第1の従来例のNy
berg-Rueppelメッセージ復元型署名を説明する。図3
は、第1の従来例のNyberg-Rueppelメッセージ復元型署
名方式の機能ブロック図である。図3において、公開手
段301は、署名の作成と確認に必要な公開鍵を配布する
手段である。署名者302は、メッセージに署名を付して
送信する手段である。受信者303は、署名を受信してメ
ッセージの作成者を確認する手段である。メッセージ生
成手段304は、送信するメッセージを生成する手段であ
る。署名情報作成手段305は、メッセージに対する署名
情報を作成する手段である。送信手段306は、署名情報
を受信者に送信する手段である。受信手段307は、署名
情報を署名者から受信する手段である。メッセージ算出
手段308は、署名情報からメッセージを算出して確認す
る手段である。
【0004】図4は、第1の従来例のNyberg-Rueppelメ
ッセージ復元型署名方式の動作手順を示す流れ図であ
る。図4において、ステップ1は、公開手段が公開鍵を
公開する手順である。ステップ2は、署名者が署名を作
成して受信者に送る手順である。ステップ3は、受信者
が署名を検証する手順である。
【0005】上記のように構成された第1の従来例のNy
berg-Rueppelメッセージ復元型署名方式の動作を説明す
る。ステップ1において、公開手段は、公開鍵(p,q,
g,y)を公開する。pを十分大きな素数とする。qを
(p−1)の大きな素因数とする。gを整数環Zp *にお
ける位数qの元とする。署名者の秘密鍵をx(整数環Zp
*の元)とし、公開鍵をyとする。秘密鍵xは署名者のも
とで安全に管理され、公開鍵yとpとqとgは、公開手
段により公開される。すなわち、 Zp *={1,2,・・・,p−1} g^q modp=1 g^q' modp≠1(0<q'<q) y=g^x modp である。
【0006】ステップ2において、署名者は、メッセー
ジmに対して乱数kを決め、署名(r,s)を作成し
て、受信者に送る。すなわち、署名情報 r=m×gk modp s=k+m×gk×x modq を作成して受信者に送る。
【0007】ステップ3において、メッセージmに対す
るデジタル署名(r,s)を受け取った受信者は、署名
者の公開鍵yを用いて、メッセージmを計算する。すな
わち、 r×g^(−s)×y^r modp =(m×gk)×g^(−k−r×x)×g^(x×r) modp =m×g^(k−k−r×x+x×r) modp =m のように、署名者が正しい場合のみ、メッセージmが復
元できる。
【0008】図5と図6を参照して、第2の従来例の、
署名を検証する人を判別する情報を付加して署名検証者
を制限したデジタル署名を説明する。
【0009】図5は、第2の従来例のNyberg-Rueppelメ
ッセージ復元型署名方式の機能ブロック図である。図5
において、公開手段501は、署名の作成と確認に必要な
公開鍵を配布する手段である。署名者502は、メッセー
ジに署名を付して送信する手段である。受信者503は、
署名を受信する手段である。検証者504は、メッセージ
の作成者を確認する手段である。第1メッセージ生成手
段505は、送信する第1メッセージを生成する手段であ
る。第2メッセージ生成手段506は、送信する第2メッ
セージを生成する手段である。署名情報作成手段507
は、メッセージに対する署名情報を作成する手段であ
る。送信手段508は、署名情報を受信者に送信する手段
である。受信手段509は、署名情報を署名者から受信す
る手段である。送信手段510は、署名情報を検証者に送
信する手段である。受信手段511は、署名情報を受信者
から受信する手段である。署名検証手段512は、署名情
報からメッセージを算出して確認する手段である。
【0010】図6は、第2の従来例のNyberg-Rueppelメ
ッセージ復元型署名方式の動作を示す流れ図である。図
6において、ステップ1は、公開手段が公開鍵を公開す
る手順である。ステップ2は、署名者が署名を作成して
受信者に送る手順である。ステップ3は、受信者が署名
を検証者に送る手順である。ステップ4は、検証者が署
名を検証する手順である。
【0011】上記のように構成された第2の従来例のNy
berg-Rueppelメッセージ復元型署名方式の動作を説明す
る。ステップ1において、公開手段は、公開鍵(p,q,
g,y A,yB,yC)を公開する。pを十分大きな素数とす
る。qを(p−1)の大きな素因数とする。gを整数環
p *における位数qの元とする。送信者(署名者)の秘
密鍵をxA(整数環Zp *の元)とし、公開鍵をyAとする。
受信者の秘密鍵をxB(整数環Zp *の元)とし、公開鍵を
Bとする。署名検証者として指定する第3者(確認
者)の秘密鍵をxC(整数環Zp *の元)とし、公開鍵をyC
とする。秘密鍵xAは署名者のもとで安全に管理され、
秘密鍵xBは受信者のもとで安全に管理され、秘密鍵xC
は確認者のもとで安全に管理される。公開鍵yA,yB,y
Cとpとqとgは公開される。すなわち、 Zp *={1,2,・・・,p−1} g^q modp=1 g^q' modp≠1(0<q'<q) yA=g^xA modp yB=g^xB modp yC=g^xC modp である。
【0012】ステップ2において、署名者は、署名検証
者を誰にするかという署名タイプを記述したメッセージ
mを作成する。mで示した署名タイプで署名されるメッ
セージをMとする。送信者は、乱数kを選び、誰を署名
検証者とするかを決めてメッセージmに書き込み、a
(yAまたはyBまたはyC)を選び、kとメッセージM,
mを用いて、署名(m,r,s)を生成し、受信者に送る。
否認不可署名にする時は、aに送信者の公開鍵yAを代
入して署名を生成する。署名検証者を受信者に限定する
検証者制限署名の時は、aにyBを代入して署名を生成
する。署名検証者を第3者にする検証者指定署名の時
は、aにyCを代入して署名を生成する。すなわち、 r=M×a^k modp s=k+r×m×xA modq を送る。
【0013】ステップ3において、受信者は、メッセー
ジmを見て、検証者に署名(m,r,s)を渡す。
【0014】ステップ4において、検証者は、秘密鍵x
(xAまたはxBまたはxC)とメッセージmと署名者の公
開鍵yAを用いて、メッセージMを検証する。すなわ
ち、 r×a^(−s)×yA^(r×m×x) modp =(M×a^k)×a^(−k−r2×m×xA)×yA^(r2×m×x) modp =M×a^(−r2×m×xA)×yA^(r2×m×x) modp =M×g^(−x×r2×m×xA+xA×r2×m×x) modp =M(∵a=g^x modp) となり、署名者が正しい場合のみ、メッセージMを復元
できる。
【0015】図7と図8を参照して、第3の従来例のEl
Gamal協力署名(巡回署名)を説明する。この署名は、
2者(複数名)で1つの署名を作成する方法である。文
献1[宮崎真悟、石本関、新保淳、桜井幸一共著、「ElG
amal型協力署名の構成と鍵管理・鍵寄託システムへの応
用」、情報処理学会論文誌pp.2074-2082,Vol.38,no.10,
Oct.1997]に開示されている。
【0016】図7は、第3の従来例のElGamal協力署名
方式の機能ブロック図である。図7において、公開手段
701は、署名の作成と確認に必要な公開鍵を配布する手
段である。第1署名者702は、第1メッセージに署名を
付して送信する手段である。第2署名者703は、第2メ
ッセージに署名を付して送信する手段である。署名検証
者704は、署名を受信してメッセージの作成者を確認す
る手段である。第1メッセージ生成手段705は、送信す
る第1メッセージを生成する手段である。暗号化メッセ
ージ作成手段706は、第1メッセージを暗号化する手段
である。第1署名情報作成手段707は、第1メッセージ
に対する署名情報を作成する手段である。送信手段708
は、第1署名情報を第2署名者に送信する手段である。
受信手段709は、第1署名情報を第1署名者から受信す
る手段である。第1メッセージ算出手段710は、第1署
名情報から第1メッセージを算出して確認する手段であ
る。第2署名情報作成手段711は、第2メッセージに対
する署名情報を作成する手段である。送信手段712は、
第2署名情報を第1署名者に送信する手段である。受信
手段713は、第2署名情報を第2署名者から受信する手
段である。第2メッセージ算出手段714は、第2署名情
報から第2メッセージを算出して確認する手段である。
第3署名情報作成手段715は、メッセージに対する署名
情報を作成する手段である。送信手段716は、第3署名
情報を署名検証者に送信する手段である。受信手段717
は、第3署名情報を第1署名者から受信する手段であ
る。署名検証手段718は、第3署名情報からメッセージ
を算出して確認する手段である。
【0017】図8は、第3の従来例のElGamal協力署名
方式の動作を示す流れ図である。図8において、ステッ
プ1は、公開手段が公開鍵を公開する手順である。ステ
ップ2は、第1署名者が署名を作成して第2署名者に送
る手順である。ステップ3は、第2署名者が署名を作成
して第1署名者に送る手順である。ステップ4は、第1
署名者が署名を作成して検証者に送る手順である。ステ
ップ5は、検証者が署名を検証する手順である。
【0018】上記のように構成された第3の従来例のEl
Gamal協力署名方式の動作を説明する。ステップ1にお
いて、公開手段は、公開鍵(p,g,y)を公開する。p
を十分大きな素数とする。gを整数環Zp *の原始根とす
る。第1署名者は秘密鍵x1(整数環Zp *の元)を持ち、
第2署名者は秘密鍵x2(整数環Zp *の元)を持つ。秘密
鍵x1は第1署名者のもとで安全に管理され、秘密鍵x2
は第2署名者のもとで安全に管理される。両者共通の公
開鍵はyである。公開鍵yとpとgは公開される。すな
わち、 Zp *={1,2,・・・,p−1} g^(p−1) modp=1 g^q modp≠1(0<q<p−1) y=g^(x1+x2) modp である。
【0019】この従来例では、署名する鍵の選び方によ
り、署名鍵と検証鍵の対応する組合せが3通りできる。
すなわち、秘密鍵x1のみによる署名の確認には、秘密
鍵x2と公開鍵(p,g,y)が必要である。秘密鍵x2
みによる署名の確認には、秘密鍵x1と公開鍵(p,g,
y)が必要である。秘密鍵x1、x2の協力署名の確認に
は、公開鍵(p,g,y)が必要である。これらを各場面
で使い分ける。
【0020】ステップ2において、第1署名者は、署名
を作成して送信する。乱数k1,Kを用意して、 r1=g^(-k1) modp を作成し、乱数Kと、秘密鍵x2に対応する鍵(y×g^
(−x1))とを用いて、メッセージMを暗号化したメッセ
ージ(C1,C2)を、r1とともにS2に送る。すなわち、 C1=g^K modp C2=M×(y×g^(−x1))^K modp を送る。
【0021】ステップ3において、第2署名者は、受信
したメッセージ(C1,C2)から、秘密鍵x2を使ってメッ
セージMを復号する。すなわち、 M=C2/C1^x2 modp を求める。取り出したメッセージMとr1と乱数k2
ら、署名(r12,s2)を作成して第1署名者に送る。す
なわち、 r12=M×r1×g^(−k2) modp s2=k2−x2×r12 mod(p−1) を送る。
【0022】ステップ4において、第1署名者は、受信
した(r12,s2)から、メッセージMを求める。すなわ
ち、 s1=k1−x1×r12 mod(p−1) s12=s1+s2 mod(p−1) を作成し、 g^s12×y^r12×r12 modp =g^(k1−x1×r12+k2−x2×r12) ×g^{(x1+x2)×r12} ×(M×g^(-k1)×g^(−k2)) modp =M としてMを求めて、署名を確認する。さらに、(r12,
12)を、検証を要求する検証者へ送る。
【0023】ステップ5において、(r12,s12)と公
開鍵(p,g,y)によって、誰でも署名を検証すること
ができる。
【0024】図9と図10を参照して、第4の従来例のケ
ルベロス(Kerberos)システムを説明する。ケルベロス
は、サービスに対して、ユーザーの身元を証明する認証
方式である。図9は、従来のケルベロス(Kerberos)シ
ステムの機能ブロック図である。図9において、ユーザ
ー91は、ケルベロスシステムの利用者である。AS92は、
認証サーバーである。TGS93は、チケット発行サーバー
である。サービス機関94は、ユーザーに所定のサービス
を提供するシステムである。
【0025】図10は、従来のケルベロス(Kerberos)シ
ステムの動作を示す流れ図である。図10において、TGS
用チケット要求1001は、ユーザーからASにTGS用チケッ
トの交付を要求する手続きである。TGS用チケット配送1
002は、ASからユーザーにTGS用チケットを配送する手続
きである。サービスチケット要求1003は、ユーザーがTG
Sにサービスチケットの交付を要求する手続きである。
サービスチケット配送1004は、TGSからユーザーにサー
ビスチケットを配送する手続きである。サービスチケッ
ト伝送1005は、ユーザーからサービス機関にサービスチ
ケットを伝送する手続きである。サービス提供1006は、
サービス機関がユーザーにサービスを提供する手続きで
ある。
【0026】上記のように構成された第4の従来例のケ
ルベロス(Kerberos)システムの動作を説明する。認証
は、チケットと呼ばれる暗号化情報を用いて行われる。
図10に示すTGS用チケット要求1001では、ユーザーからA
SにTGS用チケットの交付を要求する。TGS用チケット配
送1002では、ASからユーザーにTGS用チケットを配送す
る。サービスチケット要求1003では、ユーザーがTGSに
サービスチケットの交付を要求する。サービスチケット
配送1004では、TGSからユーザーにサービスチケットを
配送する。サービスチケット伝送1005では、ユーザーか
らサービス機関にサービスチケットを伝送する。サービ
ス提供1006では、サービス機関がユーザーにサービスを
提供する。
【0027】ケルベロスは、ユーザーと種々のサービス
機関間の認証に重きをおいているため、ユーザー間の通
信に用いた場合、暗号文作成者の署名ができないという
欠点があった。つまり、自分に不利な認証は否認できる
という欠点である。また、ユーザーと鍵(配送)サーバ
ーYAS間の秘密鍵が長期にわたって保管されるため、悪
質な攻撃にさらされやすいという欠点もあった。
【0028】図11と図12を参照して、第5の従来例のヤ
シャ(Yaksha)システムを説明する。ヤシャ(Yaksha)
システムは、公開鍵を用いて、暗号文作成者の署名がで
きるようにした認証システムである。文献2[Rabi Gane
san:“The Yaksha SecuritySystem”, Communications
of the ACM, Vol39, No.3,pp.55-60, March,1996]およ
び文献2[Ganesan,R.:“Augmenting Kerberos with Pub
lic Key Cryptography” Proc.ISOC Symp. On Network
and Distributed System Security pp.132-143. (Feb.
1995)]には、Yakshaの詳細な説明がある。
【0029】図11に、ヤシャ(Yaksha)のシステムを示
す。図11において、ユーザー1101は、ヤシャ(Yaksha)
システムの利用者である。YAS1102は、ヤシャ(Yaksh
a)認証サーバーである。YGS1103は、ヤシャ(Yaksha)
チケット発行サーバーである。サービス機関1104は、ユ
ーザーに所定のサービスを提供するシステムである。
【0030】図12は、従来のヤシャ(Yaksha)システム
の動作を示す流れ図である。図12において、初期チケッ
ト(tgt=ticket granting ticket)要求1201は、ユー
ザーからYASに初期チケットの交付を要求する手続きで
ある。初期チケット配送1202は、YASからユーザーに初
期チケットを配送する手続きである。サービスチケット
(s-ticket)要求1203は、ユーザーがYGSにサービスチ
ケットの交付を要求する手続きである。サービスチケッ
ト(s-ticket)配送1204は、YGSからユーザーにサービ
スチケットを配送する手続きである。サービスチケット
伝送1205は、ユーザーからサービス機関にサービスチケ
ットを伝送する手続きである。サービス提供1206は、サ
ービス機関がユーザーにサービスを提供する手続きであ
る。
【0031】上記のように構成された第5の従来例のEl
Gamal署名を用いたヤシャ(Yaksha)システムの動作を
説明する。図12に示す初期チケット要求プロトコル(as
_req)1201では、C1ID,tgs,time-exp,[[TEMP-CERT]^D
c,n]^Dcを送る。C1IDは、ユーザーのIDである。tgs
は、サービスチケットを発行するYGSのIDである。tim
e-expは、チケットの有効期限である。TEMP-CERTは、一
時的な証明書で、C1,E_c-temp,N_c-temp,expiry-timeを
含む。E_c-temp,N_c-tempは、一時的なユーザーの公開
鍵ペアーで、ユーザーの長期の秘密鍵Dcで署名がされて
いる。TEMP-CERTの辞書攻撃をさけるため、乱数nを連
接して、更にユーザーの秘密鍵で巡回署名(JS1処理)
で署名がなされる。辞書攻撃とは、本来、パスワードな
どを、辞書に載っている言葉を片端から当てはめて、パ
スワードを推定することを言うが、ここでは、 [TEMP-CERT]^guess=[TEMP-DERT]^Dc となるかどうかを試みて、Dcの値を推測することを言
う。
【0032】ユーザーから、鍵共有のための鍵要求を受
けたYASは、ユーザーとサービス機関の間で使用する共
通鍵Kを暗号化(署名)して配送する。YASは、YASの秘
密鍵でTEMP-CERTを復号し、内容を確認して、その後、Y
ASの秘密鍵Dcyで巡回署名(JS2処理)する。[[TEMP-CERT]
^Dc]^Dcyが得られる。これを、初期チケット配送(as_r
ep)1202で、ユーザーへ戻す。
【0033】これは誰でも検証できる署名であるので、
RSA署名で署名されておれば、ユーザーも検証できる。E
lGamal署名で署名されておれば、JS2処理が終わった段
階であるので、JS3処理が終了しないと、ユーザーは検
証できない。ユーザーはJS3処理を行ない、検証後、認
証子(r12,s12)を生成してYGSへ送る。ユーザーは、
これをYGSへ、サービスチケット要求(tgs_req)1203で
送る。
【0034】YGSは、受け取った認証子(r12,s12)を
検証して、TEMP-CERTを取り出し、メッセージがユーザ
ーとYASによってすでに認証されていることを確認す
る。したがって、[TEMP-CERT]の巡回署名は、ElGamal署
名でも可能である。
【0035】ところで、プロトコル1(as_req)で、YA
Sサーバーは初期チケット(tgt=ticket granting tick
et)を発行し、プロトコル2(as_rep)で、ユーザーに
返す。この中身にT_c,tgsなるtgtチケットが含まれ、RS
A方式で巡回署名するときは、YASサーバーの巡回署名の
1回目の署名処理(JS1処理)がなされ、[T_c,tgs]^Dcy
で表される。ここで、DcyはYASサーバーの署名用秘密鍵
である。Yakshaのプロトコルでは、そのままユーザーは
プロトコル3でYGSサーバーに転送する。そこで、YGSサ
ーバーは、署名確認(JS2処理)と同時に、第2の署名
をする。第2の署名がなされたあとは、その巡回署名が
RSAでなされておれば、誰でも検証できる署名となって
いるので、ユーザーにプロトコル4で戻ったとき、ユー
ザーが確認することができる。しかし、プロトコル4が
何らかの原因で第3者に漏洩すると、チケットの内容を
誰でもが復元できて危険である。
【0036】ここで、拡張されたRSA署名方式について
説明する。RSA署名方式の公開鍵と秘密鍵の関係は、 d1・d2・e1=1 modφ(n) となる。ただし、d1,d2は秘密鍵であり、(e1,n)は
公開鍵であり、 n=p×q であり、p,qは素数であり、 φ(n)=LCM{(p-1)(q-1)} である。d1,d2は、それぞれクライアントとサーバー
が知っているものとする。公開鍵(e1,n)は、外部のも
のを含む全員が知っているものとする。
【0037】クライアントが単独で行った署名(m^
1)を確認できるのは、d2と(e1,n)の両方を知って
いるサーバーのみである。これは、クライアントによる
一種の暗号ともいえる。これをJS1処理と呼ぶ。
【0038】クライアントが署名した暗号文に、サーバ
ーが更に署名(JS2処理)した場合は、公開鍵(e1,n)
を用いて、誰でも署名m^(d1×d2)の検証ができるこ
とになる。RSAの場合はJS1,JS2の2つの処理で署名が完
成する。
【0039】ところで、Yakshaでは、[TEMP-CERT]をRSA
巡回署名して、ユーザーとYASサーバーを相互認証して
いる。これは、ユーザーが正当なユーザーであることを
YASサーバーに認証してもらって、その検証結果(証
拠)をYGSサーバーに示すのが目的である。
【0040】また、tgtに関してRSA巡回署名を用いて、
YASサーバーとYGSサーバーを相互認証している。これ
は、YASサーバーが、YGSサーバーに対して、偽のYASサ
ーバーでない正統なサーバーが発行した正当なチケット
であることを示すためである。
【0041】ところが、RSA暗号を署名に用いると、一
般に1024ビット規模の演算回路あるいはソフトウェアが
必要で、回路規模や演算時間の点で好ましくない。これ
を160ビット規模程度で実行できる楕円ElGamal暗号を用
いる要求が強い。先の文献1には、ElGamal署名で行な
う提案がある。これを楕円曲線上の演算に対応させれ
ば、楕円ElGamal署名を実現できる。しかし、楕円ElGam
al署名を巡回署名とすると、一巡半(JS1処理からJS3処
理まで)のプロトコルが必要となる。これを、このYaks
haのサーバーに当てはめると、YASサーバーがtgtチケッ
トを発行し、JS1処理をし、ユーザーがYGSサーバーへ転
送し、YGSサーバーがこれを検証後、第2の署名(JS2処
理)をし、ユーザーへ送り返しても、これをYASサーバ
ーへ送り返さなければ、最終検証処理(JS3処理)がで
きず、署名が完成しない。つまり、ユーザーは、YASサ
ーバーとYGSサーバーが認証したことを確認できない。
確認するためには、余計なプロトコル、つまりJS2処理
の終わった署名をYASへ送り、JS3処理をして送り返して
もらい、ユーザーがもっているチケットが確かにYASが
発行したものであることを検証してもらう必要がある。
【0042】ここで、有限体GF(q)上の楕円曲線上の
演算を利用した楕円暗号について説明する。楕円暗号
は、有限体GF(q)上の演算を、楕円曲線上の点の間の
演算へ変換したものである。演算量が同じなら、楕円曲
線上で定義された暗号は、安全性が高い。現時点では、
安全性の根拠となる楕円曲線上の離散対数問題に決定的
な解法(つまり暗号攻撃)がないからである。同程度の
安全性ならば、有限体上の暗号方式より簡単高速にな
る。例えば、演算パラメータサイズが1024ビットのRSA
と160ビットのサイズの楕円暗号が同程度の安全性を持
つと考えられている。
【0043】楕円曲線上のElGamal暗号を説明する。有
限体GF(q)上で定義された楕円曲線Eを選ぶ。ここ
で、qは素数pのr乗である。通常の有限体の単位元1
は、楕円曲線では無限遠点Oに対応する。有限体上の元
の間の乗法は、楕円曲線上の点の間の加法になり、整数
ベキ乗は、楕円曲線では整数乗算となる。楕円曲線E上
の点PとQの加算P+Qは、PとQを通る直線(P=Q
の時はPにおける接線)と楕円曲線Eとの交点をRとし
た時、x軸に対してRと対称な楕円曲線E上の点(−
R)と定義される。図13に、実数体上の楕円曲線上の点
の加算方法を表した模式図を示す。有限体上の楕円曲線
をグラフで示すことは不可能であるが、計算方法は実数
体上の楕円曲線と同様である。この加法により、有限体
上の楕円曲線上の点の集合は、有限アーベル群となる。
【0044】Gを楕円曲線E上の位数の大きい点とす
る。楕円曲線Eと点Gを公開する。ユーザーA、Bは、
秘密情報(整数)xA,xBを持ち、公開鍵YA,YBを、 YA=xA*G YB=xB*G とする。*は、楕円曲線E上の点の整数倍演算を示す。
【0045】ユーザーAからユーザーBへメッセージを
送る場合は、メッセージを楕円曲線E上の点Mに対応さ
せる。ユーザーAは、秘密の乱数k(整数)を選び、ユ
ーザーBの公開鍵YBを使って、暗号文 C1=k*G C2=M+k*YB を生成する。ユーザーAはユーザーBに、暗号文(C1,
C2)を送る。
【0046】暗号文(C1,C2)を受信したユーザーB
は、自分の秘密鍵xBを用い、 C2−xB*C1=M のようにして、Mを復号し、メッセージを得る。
【0047】このように、有限体の元を楕円曲線上の点
に対応させ、有限体の乗法を楕円曲線上の点の加法に対
応させ、べき乗を乗算に置き換えて、有限体の離散対数
問題を楕円曲線上の離散対数問題に変換する。有限体上
の署名方法を、楕円曲線上の署名方法に直に対応させよ
うとすると、楕円曲線上の点と整数との加算や、楕円曲
線上の点同士の乗算が必要になり、そのままでは実現で
きない。これを解決する方法として、特開平5-160828号
公報に開示された「楕円曲線を用いたネットワーク利用
の秘密通信及び署名通信方法」には、楕円曲線から整数
環への適当な写像uを導入して、楕円曲線上の点Rのu
による像u(R)を利用して、有限体上の署名通信方式
を、楕円曲線上の署名通信方式に変換する技術が紹介さ
れている。
【0048】
【発明が解決しようとする課題】しかし、上記従来の署
名方式では、ElGamal署名を、もとのKerberosのプロト
コルを崩さずに、ヤシャ(Yaksha)システムに適用する
ことができないという問題があった。つまり、ElGamal
署名を適用すると処理が複雑になり、JS1処理からJS3処
理までの処理を行なわないと署名と検証が完成しない。
また、第2の従来例のNyberg-Rueppelメッセージ復元型
署名方式では、第2のメッセージを使って署名種別を受
信者に送る必要があるので、第2のメッセージを自由に
利用することができないという問題があった。すなわ
ち、ElGamal署名の1ブロックは160ビットなので漢字で
10文字分しかなく、第2の従来例では、署名種別を告げ
るためのみにほぼ使い切ってしまい、タイムスタンプな
どの情報を入れるのが難しい。何度かに分けて繰り返し
て送信すると時間遅延が増大し、1024ビットを扱うRSA
署名との差異が少なくなり、利点がなくなる。
【0049】本発明は、上記従来の問題を解決して、検
証者限定型のメッセージ回復型Nyberg-Rueppel署名を用
いて、もとのKerberosのプロトコルを崩さず、YASサー
バーをYGSサーバーが安全に認証できるようにすること
を目的とする。
【0050】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、ユーザーと、第1サーバーと、第2
サーバーと、公開鍵公開手段とを有し、ユーザーおよび
端末を認証して暗号通信し情報サービスまたは通信サー
ビスを提供するシステムの認証方式の公開鍵公開手段
に、有限体上の楕円曲線Eと楕円曲線E上の点Gと第1
公開鍵YAと第2公開鍵YBとを公開鍵として公開する手
段を備え、第1サーバーに、第1秘密鍵xAを秘密に保
持する手段と、秘密のチケットを楕円曲線E上の点に対
応させて第1メッセージMとして作成する手段と、第2
メッセージmを作成する手段と、乱数kを生成する手段
と、第1署名情報Rを作成する手段と、第2署名情報s
を作成する手段と、第2メッセージmと第1署名情報R
と第2署名情報sとをユーザーに送る手段とを備え、ユ
ーザーに、第2メッセージmと第1署名情報Rと第2署
名情報sとを受信して第2サーバーに送信する手段を備
え、第2サーバーに、第2秘密鍵xBを秘密に保持する
手段と、第2メッセージmと第1署名情報Rと第2署名
情報sとを受信する手段と、第2メッセージmと第1署
名情報Rと第2署名情報sと第2秘密鍵xBと公開鍵と
から第1メッセージMを復元して署名を検証する手段と
を備えた構成とした。
【0051】このように構成したことにより、Nyberg-R
ueppelメッセージ復元型署名を使って、受信者を署名確
認者に指定することで、2つの鍵サーバーの間で、実質
的に2ステップで署名の認証ができ、メッセージの安全
も確保できる。
【0052】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図1と図2を参照しながら詳細に説明する。
【0053】(実施の形態)本発明の実施の形態は、YA
Sが、署名検証者をYGSに指定して、初期チケットとタイ
ムスタンプに署名をして、ユーザーを介してYGSに送
り、YGSが署名を検証する認証方式である。
【0054】図1は、本発明の実施の形態における認証
方式の機能ブロック図である。図1において、公開手段
101は、署名の作成と確認に必要な公開鍵を配布する手
段である。送信者102は、メッセージに署名を付して送
信する手段である。受信者103は、受信した署名情報か
らメッセージを復元して署名を確認する手段である。
【0055】第1メッセージ生成手段104は、送信する
第1メッセージを生成する手段である。第2メッセージ
生成手段105は、送信する第2メッセージを生成する手
段である。署名情報作成手段106は、メッセージに対す
る署名情報を作成する手段である。送信手段107は、署
名情報を、ユーザーを介して受信者に送信する手段であ
る。受信手段108は、署名情報を受信する手段である。
署名検証手段109は、署名情報からメッセージを算出し
て確認する手段である。
【0056】図2は、本発明の実施の形態における認証
方式の動作を示す流れ図である。図2において、ステッ
プ1は、公開手段による公開鍵の公開手順である。ステ
ップ2は、送信者による署名情報の生成手順である。ス
テップ3は、受信者による署名検証手順である。
【0057】上記のように構成された本発明の実施の形
態における認証方式の動作を説明する。この例は、2つ
のメッセージを持つNyberg-Rueppelメッセージ復元型署
名を使用し、さらに検証者を受信者(YGS)に限定し、Y
GSだけが検証確認できるようにしてセキュリティを高め
たものである。
【0058】ステップ1において、公開手段101は、G
F(p)上で定義された楕円曲線Eを選ぶ。pは素数であ
る。楕円曲線E上の点で位数の大きな点Gを選ぶ。点G
の位数をnとする。すなわち、n*G=O(無限遠点)
である。送信者YASは、秘密鍵(整数)xA(0<xA
n)を生成し、秘密に保持する。受信者YGSは、秘密鍵
(整数)xB(0<xB<n)を生成し、秘密に保持する。
送信者YASと受信者YGSは、それぞれ公開情報YA,YBA=xA*G YB=xB*G を生成して公開手段101に送る。公開手段101は、楕円曲
線Eと点Gと送信者公開鍵YAと受信者公開鍵YBを、公
開鍵(E,G,YA,YB)として送信者と受信者に送り公
開する。
【0059】署名される第1メッセージを、初期チケッ
ト(tgt)とする。YASからYGSへの第2メッセージをm
とする。第2メッセージmには、例えば署名した時刻情
報を記述する。その他、第2メッセージmは、システム
の利便性や安全性を高めるためなどの目的に応じて自由
に利用することができる。すなわち、第2メッセージm
(160ビット)は、第2の従来例では署名種別告知でほ
ぼ使い切ってしまい、タイムスタンプなどの情報を入れ
るのが難しく、何度かに分けて繰り返して送信すると時
間遅延が増大し、1024ビットを扱うRSA署名との差異が
少なくなって利点がなくなるが、本実施の形態の第2メ
ッセージmは、すべて自由に活用できる。
【0060】ステップ2において、送信者は、第1メッ
セージを楕円曲線E上の点Mに対応させる。乱数(整
数)kを生成して、Mと第2メッセージm(整数)と受
信者公開鍵YBと乱数kと送信者秘密鍵xAを用いて、署
名情報(m,R,s)を作る。すなわち、 R=M+k*YB s=k+rx×xA×m modn を計算する。ここで、 R=(rx,ry) とする。すなわち、rx,ryは、それぞれRのx成分と
y成分であるので、GF(p)の元であり、0≦rx,ry
<pの整数である。sは整数演算のみで求まる。送信者
は、署名情報(m,R,s)を、ユーザーを介して受信者
に送る。
【0061】ステップ3において、受信者(確認者)
は、署名情報(m,R,s)を受信すると、署名情報
(m,R,s)と公開鍵(E,G,YA,YB)と受信者秘密
鍵xBを用いて、署名を検証する。すなわち、 R+(−s)*YB+(rx×m×xB)*YA =(M+k*YB)+((−k−rx×xA×m)×xB)*G +(rx×m×xB×xA)*G =M のように計算してMが求まり、第1メッセージが得られ
る。このように、受信者YGSのみが署名検証を実行で
き、送信者YASが正しく署名した場合のみ、第1メッセ
ージを取り出すことができる。
【0062】なお、初期チケット(tgt)に署名を付し
て送信する場合のみを説明したが、サービスチケットの
認証にも、同様に適用できることは明らかである。その
場合は、YGSをサービス機関が認証することとなる。
【0063】上記のように、本発明の実施の形態では、
認証方式を、YASが、署名検証者をYGSに指定して、初期
チケットとタイムスタンプに署名をして、ユーザーを介
してYGSに送り、YGSが署名を検証する構成としたので、
YASをYGSが簡単な手順で安全に認証できる。
【0064】
【発明の効果】以上の説明から明らかなように、本発明
では、ユーザーと、第1サーバーと、第2サーバーと、
公開鍵公開手段とを有し、ユーザーおよび端末を認証し
て暗号通信し情報サービスまたは通信サービスを提供す
るシステムの認証方式の公開鍵公開手段に、有限体GF
(p)上の楕円曲線Eと楕円曲線E上の点Gと第1公開鍵
Aと第2公開鍵YBとを公開鍵として公開する手段を備
え、第1サーバーに、第1秘密鍵xAを秘密に保持する
手段と、秘密のチケットを楕円曲線E上の点に対応させ
て第1メッセージMとして作成する手段と、第2メッセ
ージmを作成する手段と、乱数kを生成する手段と、第
1署名情報Rを作成する手段と、第2署名情報sを作成
する手段と、第2メッセージmと第1署名情報Rと第2
署名情報sとをユーザーに送る手段とを備え、ユーザー
に、第2メッセージmと第1署名情報Rと第2署名情報
sとを受信して第2サーバーに送信する手段を備え、第
2サーバーに、第2秘密鍵xBを秘密に保持する手段
と、第2メッセージmと第1署名情報Rと第2署名情報
sとを受信する手段と、第2メッセージmと第1署名情
報Rと第2署名情報sと第2秘密鍵xBと公開鍵とから
第1メッセージMを復元して署名を検証する手段とを備
えた構成とした。
【0065】このように構成したことにより、Yakshaシ
ステムにNyberg-Rueppelメッセージ復元型署名を使っ
て、2つの鍵サーバーの間で実質的に2ステップでtgt
チケット署名などの認証ができるという効果が得られ
る。さらに、受信者を署名確認者に指定することで、認
証子の情報が漏洩しても、確認して欲しい相手以外復号
ができず、認証機構の安全性を高めることができるとい
う効果が得られる。
【0066】また、第2メッセージを時刻情報としたの
で、正しい時刻情報でないと署名が検証できず、認証の
精度が高まるという効果が得られる。なお、第2メッセ
ージは、時刻情報以外にも、目的に応じて自由に利用で
きるので、システムの安全性や利便性を高めることがで
きる。すなわち、第2の従来例では、漢字10文字分の第
2メッセージを署名種別告知にほぼ使い切ってしまい、
タイムスタンプなどの情報を入れるのが難しい。他の情
報を含めた第2メッセージを何度かに分けて繰り返して
送信すると時間遅延が増大し、1024ビットを扱うRSA署
名との差異が少なくなって利点がなくなる。それに対し
て本発明では、第2メッセージを自由に活用でき、時間
遅延なく安全性や利便性を高めることができるという効
果が得られる。
【図面の簡単な説明】
【図1】本発明の実施の形態における認証方式の機能ブ
ロック図、
【図2】本発明の実施の形態における認証方式の動作を
示す流れ図、
【図3】従来のNyberg-Rueppelメッセージ復元型署名方
式の機能ブロック図、
【図4】従来のNyberg-Rueppelメッセージ復元型署名方
式の動作を示す流れ図、
【図5】従来の署名検証者を制限したNyberg-Rueppelメ
ッセージ復元型署名方式の機能ブロック図、
【図6】従来の署名検証者を制限したNyberg-Rueppelメ
ッセージ復元型署名方式の動作を示す流れ図、
【図7】従来のElGamal協力署名(巡回署名)方式の機
能ブロック図、
【図8】従来のElGamal協力署名(巡回署名)方式の動
作を示す流れ図、
【図9】従来のケルベロス(Kerberos)システムの機能
ブロック図、
【図10】従来のケルベロス(Kerberos)システムの動
作を示す流れ図、
【図11】従来のヤシャ(Yaksha)システムの機能ブロ
ック図、
【図12】従来のヤシャ(Yaksha)システムの動作を示
す流れ図、
【図13】従来の楕円曲線上の点の加法を示す図であ
る。
【符号の説明】
101 公開手段 102 送信者 103 受信者 104 第1メッセージ生成手段 105 第2メッセージ生成手段 106 署名情報作成手段 107 送信手段 108 受信手段 109 署名検証手段 301 公開手段 302 署名者 303 受信者 304 メッセージ生成手段 305 署名情報作成手段 306 送信手段 307 受信手段 308 メッセージ算出手段 501 公開手段 502 署名者 503 受信者 504 検証者 505 第1メッセージ生成手段 506 第2メッセージ生成手段 507 署名情報作成手段 508 送信手段 509 受信手段 510 送信手段 511 受信手段 512 署名検証手段 701 公開手段 702 第1署名者 703 第2署名者 704 署名検証者 705 第1メッセージ生成手段 706 暗号化メッセージ作成手段 707 第1署名情報作成手段 708 送信手段 709 受信手段 710 第1メッセージ算出手段 711 第2署名情報作成手段 712 送信手段 713 受信手段 714 第2メッセージ算出手段 715 第3署名情報作成手段 716 送信手段 717 受信手段 718 署名検証手段 91 ユーザー 92 AS 93 TGS 94 サービス機関 1001 TGS用チケット要求 1002 TGS用チケット配送 1003 サービスチケット要求 1004 サービスチケット配送 1005 サービスチケット伝送 1006 サービス提供 1101 ユーザー 1102 認証サーバー 1103 チケット発行サーバー 1104 サービス機関 1201 初期チケット要求 1202 初期チケット配送 1203 サービスチケット要求 1204 サービスチケット配送 1205 サービスチケット伝送 1206 サービス提供

Claims (2)

    【特許請求の範囲】
  1. 【請求項1】 ユーザーと、第1サーバーと、第2サー
    バーと、公開鍵公開手段とを有し、ユーザーおよび端末
    を認証して暗号通信し情報サービスまたは通信サービス
    を提供するシステムの認証方式において、前記公開鍵公
    開手段は、有限体GF(p)(pは素数)上の楕円曲線E
    と楕円曲線E上の点G(位数n)と第1公開鍵YA(=
    A*G、*はE上の点の整数倍演算)と第2公開鍵YB
    (=xB*G)とを公開鍵(E,G,YA,YB)として公開す
    る手段を備え、前記第1サーバーは、第1秘密鍵(整
    数)xAを秘密に保持する手段と、秘密のチケットを前
    記楕円曲線E上の点に対応させて第1メッセージMとし
    て作成する手段と、第2メッセージm(整数)を作成す
    る手段と、乱数k(整数)を生成する手段と、第1署名
    情報R(=M+k*YB)を作成する手段と、第2署名情
    報s(=k+rx×xA×m modn、rxはRのx成分)を
    作成する手段と、前記第2メッセージmと前記第1署名
    情報Rと前記第2署名情報sとを前記ユーザーに送る手
    段とを備え、前記ユーザーは、前記第2メッセージmと
    前記第1署名情報Rと前記第2署名情報sとを受信して
    前記第2サーバーに送信する手段を備え、前記第2サー
    バーは、第2秘密鍵(整数)xBを秘密に保持する手段
    と、前記第2メッセージmと前記第1署名情報Rと前記
    第2署名情報sとを受信する手段と、前記第2メッセー
    ジmと前記第1署名情報Rと前記第2署名情報sと前記
    第2秘密鍵xBと前記公開鍵とから前記第1メッセージ
    Mを復元して署名を検証する手段とを備えたことを特徴
    とする認証方式。
  2. 【請求項2】 前記第2メッセージを時刻情報としたこ
    とを特徴とする請求項1記載の認証方式。
JP2000276216A 2000-09-12 2000-09-12 認証方式 Ceased JP2002108207A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000276216A JP2002108207A (ja) 2000-09-12 2000-09-12 認証方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000276216A JP2002108207A (ja) 2000-09-12 2000-09-12 認証方式

Publications (1)

Publication Number Publication Date
JP2002108207A true JP2002108207A (ja) 2002-04-10

Family

ID=18761721

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000276216A Ceased JP2002108207A (ja) 2000-09-12 2000-09-12 認証方式

Country Status (1)

Country Link
JP (1) JP2002108207A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101173825B1 (ko) 2011-12-29 2012-08-16 경일대학교산학협력단 타원곡선암호화기법을 이용한 vsat 위성 통신 시스템의 키 동의 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101173825B1 (ko) 2011-12-29 2012-08-16 경일대학교산학협력단 타원곡선암호화기법을 이용한 vsat 위성 통신 시스템의 키 동의 방법

Similar Documents

Publication Publication Date Title
US9634843B2 (en) Apparatus and methods for the secure transfer of electronic data
US8108678B1 (en) Identity-based signcryption system
US8589693B2 (en) Method for two step digital signature
US5796833A (en) Public key sterilization
US7765582B2 (en) Identity-based-encryption messaging system with public parameter host servers
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
KR100568233B1 (ko) 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기
WO2002051049A1 (en) One time password entry to access multiple network sites
EP2792098B1 (en) Group encryption methods and devices
US7660987B2 (en) Method of establishing a secure e-mail transmission link
US20040073790A1 (en) Intermediated delivery scheme for asymmetric fair exchange of electronic items
CN111953479A (zh) 数据处理的方法及装置
Tsai et al. An ECC-based blind signcryption scheme for multiple digital documents
KR20010013155A (ko) 자동 복구가능하고 자동 증명가능한 암호체계들
JP2023505629A (ja) 証明書なし認証の暗号化(clae)を用いる検証可能idベース暗号化(vibe)の方法及びシステム
Shao et al. Some common attacks against certified email protocols and the countermeasures
CN110572257B (zh) 基于身份的数据来源鉴别方法和系统
KR100654933B1 (ko) 사용자의 패스워드 입력에 따라서 동적 생성되는 인증서를인증하는 인증시스템 및 인증방법
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
Boneh et al. Instanteneous revocation of security capabilities
KR100718687B1 (ko) 겹선형 쌍 함수를 이용한 아이디 기반의 문턱 서명 방법
JP5193924B2 (ja) 暗号通信システム、管理者装置、およびプログラム
JP2002108207A (ja) 認証方式
KR100466827B1 (ko) 키 복구를 지원하는 신원 위탁 방법
JP2002208924A (ja) 認証方式

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20041005

A045 Written measure of dismissal of application [lapsed due to lack of payment]

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20050222