JP2002534701A - 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム - Google Patents

寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム

Info

Publication number
JP2002534701A
JP2002534701A JP2000590337A JP2000590337A JP2002534701A JP 2002534701 A JP2002534701 A JP 2002534701A JP 2000590337 A JP2000590337 A JP 2000590337A JP 2000590337 A JP2000590337 A JP 2000590337A JP 2002534701 A JP2002534701 A JP 2002534701A
Authority
JP
Japan
Prior art keywords
registered
key
public key
signature
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2000590337A
Other languages
English (en)
Inventor
ルーカス ヤング,アダム
モードチェイ ユング,マーセル
Original Assignee
ルーカス ヤング,アダム
モードチェイ ユング,マーセル
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ルーカス ヤング,アダム, モードチェイ ユング,マーセル filed Critical ルーカス ヤング,アダム
Publication of JP2002534701A publication Critical patent/JP2002534701A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 電子署名を検証する為のみに有効で,法執行エンティテイにより回復不可能な方法で情報を暗号化するのに有効でない公開キー(1005)を提供する電子署名インフラに係る方法が提供される。この方法は,ソフトウェアで実装することが出来,それ故暗号改ざん防止ハードウェアの必要性を回避できる。本方法は秘密署名キー(1010)が寄託されないという特性を有する,つまり対応公開キーを犯罪通信に対して有効に使用することが出来ない故に。その結果,誰も当のユーザを装うことが出来ず,代ってユーザが自ら本人であることを証明することが出来る。さらに,システムはシャドウ公開キーに対する抵抗性を有す。シャドウ公開キーとは,寄託されず,傍受不能な通信に対して使用することの出来る公開キーのことである。それ故,ここに提供する方法は,寄託されない公開キーを発行することに使用できない。認証局により表示される総ての情報,およびユーザの電子署名でさえシャドウ公開キーに対する抵抗性を有す。本発明は,メッセージが検証可能に本物であることを必要とするどの様な応用例に対しても有用で,拡張性が高いのでとりわけ一国の公開キーインフラでの使用に応用可能である。本発明は,自働寄託可能な自働証明システムと組み合わすことが出来,寄託キーシステムとの関連で暗号化(機密性)および署名(認証)に対する完璧なソルーションを提供する。

Description

【発明の詳細な説明】
【0001】
【発明の背景技術】
本発明の技術分野は暗号技術である。本発明は,デジタル署名方式(スキーム)
に関し,とりわけどの様な寄託システムとも親和性のある方式に関する。この方
式は,公開キー/秘密キーシステム,即ち公開キーが自働証明可能であってデジ
タル署名検証キーとしてのみ有効で,データを寄託せずに暗号化するのに有効で
ないシステムに導入する。更にそのシステムに於ける秘密署名キーは寄託されな
い。公開キーがこれまでデータを暗号化するのに使用されてきたならば,そのデ
ータは信用のある機関によって自働回復可能である。本発明はソフトウェアに実
装される暗号システムに関するがハードウェアに実装される暗号システムにも適
用可能である。とりわけ本発明は,寄託暗号スキームとの関連で署名および認証
部として採用することが出来る。
【0002】
【従来技術の説明】
公開キー暗号(以下、適宜PKCと称する)は、会ったこともない当事者同志
の間の機密通信を可能にする。PKCの概念は文献「W.Diffie,M.H
ellman,“New directions in cryptograp
hy”,IEEE Transactions on Information
Theory,22,頁644−654,1976」に公表された。安全でな
い通信路上でこの様な機密通信が行なわれ得る。PKCに於いて各ユーザは公開
キー(public key)Eと秘密キー(private key)Dを所
有し、公開キーEは、登録機関がユーザの正当性(身元等)を証明した後、鍵配
付センター(認証機関CAとも呼ばれる)から公に入手できる様になっている。
尚、登録機関は認証機関の一部である。秘密キーDはユーザによって秘密に保持
され、公開キーEはメッセージを暗号化するのに使用され、秘密キーDのみがメ
ッセージを復号するのに使用され、公開キーEから秘密キーDを導くことは計算
量的に不可能である。PKC方式を使用する為に、当事者Aは鍵配付センターか
ら当事者Bの公開キーEを入手する。当事者Aはメッセージを公開キーEで暗号
化して、その結果生成物を当事者Bに送信する。他方、当事者Bは秘密キーを用
いて復号することによってメッセージを復元する。鍵配付センターは、当事者双
方から信用されており、求めに応じて正しい公開キーを提供している。Diff
ieとHellmanの同論文では、デジタル署名方式の概念が提案されている
。デジタル署名方式とは、ユーザが、自分のみ知られる秘密キーを用いてデジタ
ル的にメッセージに“署名”することにより、メッセージが当該ユーザからのも
のであることを証明するのを可能にする。メッセージMに署名するために、ユー
ザは、秘密キーDを用いて署名を計算する。そして、その署名は公開キーEを用
いて検証され得る。離散対数の計算の困難性に基づくPKC及びデジタル署名は
文献「T.ElGamal,“A Public−Key Cryptosys
tem and a Signature Scheme Based on
Discrete Logarithms”,CRYPTO’84,頁10−1
8, Springer−Verlag,1985」に発表されている。
【0003】 本発明は、離散対数の計算量的困難性にもとづくデジタル署名アルゴリズムを
基礎とする公開キーシステムを生成し、発行し、使用するための方法を開示する
ものであるので、離散対数に基づき署名方式を扱う関連先行技術を取上げること
にする。最初の、離散対数に基づきスペース効率的デジタル署名方式は、デジタ
ル署名アルゴリズム(Digital Signature Algorith
m.以下でDSAと称す。)(米国特許第5,231,668号)である。DS
Aは、素数pを法とする離散対数の計算量的困難性からその安全性を得る。尚、
pは、少なくとも512ビット長である。また、DSAは、オーダqの循環的サ
ブグループに於ける離散対数の計算量的困難性からも、その安全性を得る。尚、
qは、p−1の160ビットの除数である。DSAは、それが出力する署名が3
20ビットの長さである点で新しい。NybergとRueppelは、メッセ
ージ回復に供するElGamalに基づく一組の変更例を開示している「K.
Nyberg,R.Rueppel,“Message Recovery f
or Signature Schemes Based on the Di
screte Logarithm Problem”,Eurocrypt‘
94,頁182−193,1994」。そのメッセージ回復の特徴は、メッセー
ジが署名自体から回復されるのを可能にし、これにより、メッセージが署名とと
もに送られるのを必要としない。デジタル署名方式の他の重要な特徴には、不覚
性(blindability)がある(「D.Chaum,“Blind S
ignatures for Untraceable Payments”,
CRYPTO‘82,頁199−203」)。もし、ボブが何に対して署名して
いるのか、その生成署名がどのようなものであるかについて、ボブが気付かない
ままであるように、アリスが恣意的にメッセージ上のボブの署名を得ることが可
能ならば、デジタル署名は不覚性であり得る。文献「D.Chaum, T.P
edersen,“Wallet Databases with Obser
vers”,CRYPTO‘92,頁89−105」に、秘密を可能とするEl
Gamalに基づく方式が開示されている。デジタル署名セキュリティについて
の優れた概論が、文献「S.Goldwasser,S.Micali,R.R
ivest,“A digital Signature Scheme Se
cure Against Adaptive Chosen Message
Attacks”,SIAM J.Comput.,vol.17,n.2,
頁281−308,1988」に開示されている。
【0004】 (YoungおよびYungによる)米国特許“自動寄託可能および自動証明
暗号システム”に、公開キー暗号システムが開示されており、これは以下のよう
な特性をもっている。システムのユーザは、公開/秘密キー・ペアーと回復可能
性証明書とを生成することができる。この回復可能性証明書は、寄託機関による
秘密キーの回復と、秘密キーが回復可能であることを検証するために両方に用い
られる。本発明はその考え方の多くの部分を自動寄託可能および自動証明可能キ
ー寄託策から引き継いでいるが、ここでは、公開検証キーを用いた暗号化が自動
的に回復可能である特性をもつ署名キーに注目する。キーの寄託行為のための他
の方法としては、Micali(1994)の米国特許第5,276,737号
および米国特許第5,315,658号がある。これらの特許で、Micali
は、P.Feldmanの研究(28th annual Focs)に基づく
、公平な公開キー暗号システム(以下でFPKCと称す)を開示している。FP
KCによる解決策は、自動寄託可能および自動認証可能な暗号システムほで使用
に関して、それほど効率的ではない。さらに、RSAに適用されたFPKCは、
シャドウ公開キー暗号システムがそれの中に組み込まれ得るので、法執行の機関
ある要求を満足するものではないことが示されている「J.Kilian,F.
Leighton,“Fair Cryptosystems Revisit
ed”,CRYPTO‘95,頁208−221,Springer−Verl
ag,1995」。これは、シャドウ公開キーシステムとは、陰謀を企てるユー
ザが傍受不能な通信を実行するのを許すシステムのことである。寄託システムに
組み込むことができ、KikianとLeightonは、フェイルセーフ寄託
システムを開示している。このシステムは、公開/秘密キーの組を生成するのに
、ユーザがマルチラウンドプロトコルに係わることを必要とするという欠点をも
っている。同様の非効率性を有する他のキー寄託システムとしては、De Sa
ntis et al.のもの、WalkerとWinstonのもの(TIS
)およびIBMの“Secure Way”がある。ElGamalに基づく“
鍵寄託案に代る詐欺探知可能方策”が、文献「E.Verheul,H.van
Tilborg,“Binding ElGamal:A Fraud−De
tectable Alternative to Key−Escrow P
roposals”,Eurocrypt‘97,頁119−133,Spri
nger−Verlag,1997」に記されている。この方策は、セッション
レベルでのキー回復可能性に供し、ユーザに対して、ElGamal連係方策を
使う前にメッセージを暗号化させないための措置を行ってい。従って、その方策
は、陰謀を企てる犯罪者が傍受不能な通信を実行するのを許してしまう。連係E
lGamal策と、自動寄託可能及び自動証明を可能暗号システムとの両方は、
ともに非対話型のゼロ証明の使用を採用している。特に、採用されているFia
t Shamirの方法は、文献「A.Fiat, A.Shamir,“Ho
w to Prove Yourself: Practical Solut
ions to Identification and Signature
Problems”,CRYPTO‘86,pages 186−194頁,
Springer−Verlag,1987」に開示されている。鍵寄託方式の
全体像は、文献「D.Denning, D.Branstad,“A Tax
onomy for Key Escrow Encryption Syst
ems”,Communications of the ACM,v.39,
N.3,1996」に表されている。文献「N.Jefferies,C.Mi
tchell,M.Walker,“A Proposed Architec
ture for Trusted Third Party Service
s”,Cryptography: Policy and Algorith
ms,LNCS 1029,Springer,1996」と文献「R.And
erson,“The GCHQ Protocol and Its Pro
blems”,Eurocrypt‘97,ページ134−148,Sprin
ger−Verlag,1997」には、関係ユーザの信用できる第三者機関が
各セッション鍵の設定段階に係わっている場合に於ける信用できる第三者機関の
寄託アプローチが記載されるが、別の扱いにくい解決策に寄与する。このような
解決策は、TIS特許(Lipner et al.に対する米国特許第5,5
57,346号、米国特許第5,557,765号および米国特許第5,640
,454号)およびIBM特許(Johnson et al.に対するジョン
ソン他、米国特許第5,796,830号および米国特許第5,815,573
号)に記載されている。キーに対してタイムリミットを与えることが、文献(L
enstra et al.に対する米国特許第5,633,928号)に記載
されている。
【0005】 一国レベルの使用に好適なデジタル署名方式の実装にともなう基本的な問題は
、公開検証キーが公開暗号キーとして、またこれに対応する秘密署名キーが秘密
復号キーとして頻繁に使われ得ることである。従って、法執行の目的のためには
、秘密署名キーを寄託する必要がある。しかし、このことは、法執行機関がユー
ザの署名を偽造する機能を有することになり、又対話的な身元確認プロトコでユ
ーザの振りをすることを含意する。法執行機関がこのような権能を享有する法律
的な根拠はない。従って、必要となるは、デジタル署名には利用可能であるが公
開キーによる暗号化には利用できないような公開/秘密キーシステムである。こ
の課題は、連邦Registerで公表されたRFCの中で非公式に述べられて
いる(「“Announcing Plans to Revise Fede
ral Information Processing Standard
186,Digital Signature Standard”,vol.
62,n.92,Federal Register,頁26293−2629
4,May 13,1997」)。
【0006】 既存のデジタル署名方式がシャドウ公開キーの脆弱性のために、失敗している
理由をここに明確にする。ElGamalデジタル署名アルゴリズムを検討しよ
う(T.ElGamal,“A Public−Key Cryptosyst
em and a Signature Scheme Based on D
iscrete Logarithms”,CRYPTO‘84,頁10−18
, Springer−Verlag,1985)。ElGamalでは、公開
キーはy=gmodで、尚xは個人署名キーである。ここで、gは、公開素数
pを法とする公開ジェネレータである。yは寄託されない公開キーであると想定
する。これは、公開キーは寄託されない暗号には使うことができないことを保証
するものである。しかし、今や寄託機関が署名を偽造できてしまう。ここで、y
は寄託されていないと想定すると、署名は、寄託機関によって偽造されることは
ないが、この段階では、シャドウの公開キーを構成する。同様の状況が、DSA
、Schnorrのデジタル署名アルゴリズムおよび、NybergとRuep
pelのElGamal変更例(K.Nyberg,R.Rueppel,“M
essage Recovery for Signature Scheme
s Based on the Discrete Logarithm Pr
oblem”, Eurocrypt‘94, 頁182−193, 1994
)に発生することに注目。
【0007】 次に、RSAデジタル署名アルゴリズム(Rivest et al.に対す
る米国特許第4,405,829号)について考察する。RSAでは、nが2つ
の大きな素数pとqの積ることを前提にしている。eは、gcd(e,(p−1
)(q−1))=1となるような公開値であり、eとnはユーザの公開検証キー
であり、(p−1)(q−1)を法とするeの逆数は、ユーザの秘密署名キーで
ある。シャドウ公開キーの悪用を防ぐことは、RSAのキー生成を修正すれば足
りるほど簡単なことである。残るは、デジタル署名アルゴリズムの諸相を考慮す
ることである。まず、nは寄託されていると仮定すると、寄託機関は署名を偽造
し得る。次に、nは寄託されていないと仮定すると、寄託機関は偽造できなくな
るが、nはシャドウ公開キーであることが明確になる。このように、RSAは、
離散対数に基づくシステムと同様の矛盾した二面性をもつことになる。また、そ
の様な悪用は、因数分解の困難に基づく他のアルゴリズムにも当て嵌まる。例え
ば、Esignに関する文献(Okamoto et al.に対する米国特許
第4,625,076号)を引用し考察する。Esignでは、n=pqであ
る。このような法(modules)を用いて、RSA流の暗号化と復号化を行
うことが可能である。
【0008】 Fiat−Shamirc et al.の文献(Schamir et a
l.に対する米国特許第4,748,668号)では、nは2つの素数の積であ
り、ユーザの誰もnの因数分解値を知らない。公開キーを生成するために、或る
ユーザは、nを法とするk個の異なる二次剰余v,v,・・・,vを生成
する。このベクトルは、公開キーである。従って、この方式は、以下のようなシ
ャドウ公開キーの攻撃に負かされる。ユーザは、群(group) z に関する基本(base)(望ましくは大きな下位群(subgroup)を生
成する)一つの値である。公開キーに関するvを生成するために、悪意あるユ
ーザは、wを無作為に選び、 v=g2w を定める。従って、vは、二次剰余となり、nを法とするElGamalに対
するシャドウ公開キーとなる。シャドウ公開キーは、2wである。
【0009】 我々の知る限り、満足できるデジタル署名インフラに対するニーズに照らして
見たとき、Okamotoの1992年の論文「T.Okamoto,“Pro
vably Secure and Practicalo Identifi
cation Schemes and Corresponding Sig
nature Schemes”,CRYPTO‘92、頁31−53, Sp
ringer−Verlag,1993」を除いて、全てのデジタル署名アルゴ
リズムは、失格と見なされる。Okamotoの文献によると、公開検証キーは
、 v=g^(−s^(−s)mod p である。記号^は指数を表し、従ってa^bはaのb乗を表す。ここで、g
は、公開素数pを法とする位数qである。g,g及びqの値も公開され
ている。秘密キーは、(s,s)である。sとsは、両者ともに、qを
法として無作為に選び出される。Okamotoは、pを法とする表示問題に基
づいている。
【0010】 Okamotoの文献では、メッセージmに署名するために、qを法として、
2つの値r、rを無作為に選び出す。次に、pとmを法として、 e=H(g^(r^(r)mod p,m) を計算する。尚、Hは、一方向ハッシュ関数である。さらに、qを法として y=r+esmod q と、qを法として y=r+esmod q を計算する。署名は、三重値(triple)(e,y,y)である。署名
を検証するために、eがpとmを法として e=H(g^(y^(yve mod p,m) であることを調べる。
【0011】 一見すると、Okamotoの方法は、寄託PKIと合わせて用いるべき、署
名のための一国レベルのPKIの設置のための有力な候補のように見える。なぜ
なら、vを寄託しないと仮定すると、寄託機関は署名を偽造することはできなく
なる。しかし、ここでは、vがシャドウ公開キーとして利用できないことを保証
しておく必要がある。実際問題として、表示問題に基づくgとgを用いた何
れのキーも公開暗号キーとしては利用することができないことを明らかにする必
要がある。これを理解するには、 g^(y^(yvemod p 量が g^(r^(r)mod p. であることに注目したい。従って、2つの基(base)をもつ法指数演算が、
署名検証の間に表示される。ここでは、2つの基を用いた表示を含む公開キー用
公開キー暗号アルゴリズムが存在するものと仮定している。Okamotoの方
法は、3つあるいは4つの基にまで拡張可能であるため、もし表示が3つの基、
あるいは4つの基等々を用いるならば、おそらく暗号アルゴリズムは存在しえな
いものとなる。
【0012】 しかし、実際には、任意の数の基をもつ表示問題に基づく公開キーを用いた公
開キーアルゴリズムが存在する。Okamotoに於ける如くvを用いてメッセ
ージmを公開キー暗号化するためには、以下の手順に従う。 1.zから無作為にkを選択する。 2. a=g mod p 3. b=vmod p 4. c=g k*m mod p 5. メッセージmの暗号文字列を、(a,b,c)とする。 復号の為に、以下を計算する。 1.g^(−s k)mod pに等しいa=a^(−s)mod p
に等しい 2.g^(−s k)mod pに等しいb’=b/a’mod p 3.m=c/(b’^(−1/s))mod p とする。
【0013】 ElGamal暗号に於けるのと異なり、この暗号文字列は三重値(trip
le)となる。このアルゴリズムは、より多くの基を用いた表示を扱えるように
、容易に拡張することができる。もしvの表示にm個の基を用いるならば、暗号
文字列は(m+1)一三重値となる。このようにOkamotoの方法と、多く
の基を用いたその拡張は、必要とされるシステムの要求に応えることはできない
【0014】
【発明が解決しようとする問題点】
継続米国特許出願である“寄託されていない署名キーを用いた、自動回復可能
かつ自動証明可能な暗号システム”(A.YoungおよびM.Yung、08
/878,189)に於いてこの問題を解決しようとする解決策が提示されてい
る。しかしこの解決策の第一実施例とその変更例には、明言されていない欠点が
ある。この解決策は、3つのキーを用いたシステムを提案している。つまり、関
連キーは、秘密署名キーと、秘密復号キーと、公開キー暗号化と署名検証に適し
た公開キーである。秘密署名キーと公開検証キーは、ElGamal・デジタル
署名方式とその変更例に極めて類似したデジタル署名アルゴリズムで用いられる
。このシステムに伴う問題は、その第一実施例とその変更例において、署名が、
シャドウ公開キーとして用いることの出来る値を発行することに関係している点
にある。例えばその実施例において、値 a=H(m)(g/Y)−tmod 2q は、メッセージm上の署名の最初の部分として計算される。しかし、この値は、
ElGamalに類似の公開キー暗号システムでのシャドウ公開キーとして用い
ることができる。なおtは、寄託されない復号キーである。これを理解するには
、全てのユーザがH(m)にアクセスし、その結果ユーザは2qを法として w=a/H(m)mod 2q として公開キーを計算できるようになる点に注目したい。値(g/Y)−1
、Z2qの基g’’(あるいは、必要ならば生成元)として用いることができる
。従って、キーペアーは、 ((w,g’’,2q),t), となり、それは群Z2qに於けるElgamal公開/秘密キー・ペアーである
。各々悪意のある仲間たちが行う必要のあることは、掲示板に単一の署名を発行
し、寄託されない復号キーを保持することである。このことは、重大な欠点とな
る。つまり、掲示板がシャドウ公開キーのデータベースとして機能する。法的執
行機関によって掲示板を取り下げさせよることは、その予備行為でさえ、悪意の
ある仲間たちによって憲法修正第1号の侵害であるとして法廷で反論され得。本
発明は、この問題を次の方法で解決する。つまり、計算によって求められるデジ
タル署名を介してシャドウ公開キーが表示されることのないデジタル署名アルゴ
リズムを導入することによって。実際に必要とされるものは完全な新しい署名方
式であて、とりわけ寄託PKIとの関連で寄託されない公開キーによる暗号化に
使用され得公開キーを提供することのない署名方式である。
【0015】
【寄託されない署名を用いたキー回復インフラ】
本発明は、デジタル化署名の仕組みを記載するものであり、これは、上記の公知
の方式とは異なり、盗聴不能な無線通信に対し用いられない。従って、本発明は
、寄託されない署名方式と寄託暗号方式の両者に対して同時に供されるものであ
る。自動寄託可能かつ自動証明可能な解決策は、公開キーインフラを実装するの
に効果的な方法を提供し、実装によってユーザのプライバシーを付与する。本発
明は、その解決策の上に築かれ、キー寄託環境に於いて必要とされる認証適格性
の付加機能を提供するものである。従って、本発明のユーザは、メッセージの送
信者が本物であることとその出所を検明することができる。
【0016】
【問題を解決するための手段】
容器の目的を達成するために、本発明は、暗号処理についての新しい考え方を
導入するものである。本発明は、捺印証明の権限者がデータの解読をできないよ
うにして、デジタル署名が本物であることの証明に用いることができるが、該デ
ータの暗号化には用いることができない公開キーを導入する。公開キーは、対応
する秘密キーを公開キーからは引き出しにくいという通常の特徴をもっている。
本発明は、また、捺印証明の権限者と認証局が、システムのユーザの署名を偽造
できる特徴をもっている。
【0017】 本発明は、キー認証処理、署名処理、署名確認処理およびキー(あるいは情報
)回復処理とからなっている。キー認証処理は、キー生成とキー確認の2つの機
能に分割されている。キー生成処理では、公開キーとそれに対応した個人署名キ
ー、およびこれらのキーを適切に生成するための情報が出力される。キー確認処
理では、ユーザはこの情報を、認証権限者(CA)(あるいは、しばしばCAの
一部となる登録権限者)に送る。認証権限者は、この情報を受け取り、これを処
理し、公開キーを発行するか否かを判定するもし、認証情報が、キー生成アルゴ
リズムを用いてキーが適切に生成されたことを示している場合には、認証権限者
は、ユーザに公開キーを発行する。そうでない場合には、ユーザからの認証要求
は棄却され、CAは、このことをユーザに通知するための追加処理を行う。本実
施例では、CAによって適切に認証された公開キーは、デジタル方式によってC
Aにより署名され、この情報を用いてデジタル証明書が作成される。公開キーは
、公開キーを含む文字列上のCAの署名とともに、認証された公開キーを構成す
る。
【0018】 CAによって他のユーザに利用可能とされるものは、公開キーおよび、あるい
はデジタル証明書である。ユーザの署名メッセージと確認メッセージは、通通常
のデジタル署名方式と同様に行われる。回復処理では、ユーザの公開署名認証キ
ーを用いて暗号化された情報が、CAに送られた情報を用いて、キー認証の間に
解読される。公開キーは、デジタル署名確認に使われるものと想定されだけであ
るため、この処理には、特別な許可を必要としない。(もし機密保持が必要な場
合には、これを確保するために他のインフラが用いられる)。CAがキーを証明
し発行する方法は、従来技術の利用可能な数多くの方法のどれを採用するかによ
って、相違する。CAが活動する方法には様々なものがあり、本明細書で採用す
る方法は、単に例示であって、本発明とは実装方法が異なることのない技術者に
とって知られた他の変更例が存在する。
【0019】 本発明は、メッセージが検証可能に本物であることを必要とするいかなる環境
で有用である。このような環境は、国内的および国際的な法執行、ビジネス取引
、安全なファイルシステムなどの分野で生じる。本発明は、回復エージェントを
含め得る。また、本発明は、同一技術分野の精通者に知られた方法によって、対
話的身元特定プロトコルをもちいて行う認証にも直接的に拡張し得る。
【0020】 本発明は、ハードウェアとソフトウェアの両方に実装し得るので、何れの基礎
的技術との関連で頑強性がある。ソフトウェアに実装した場合、所望通り確実に
機能するか、そしてそのユーザのセキュリティを確実に損なうことがないか、簡
単に調べることができる。ソフトウェアによる実装は、ディスク媒体あるいは計
算機通信ネットワークを介してソースコードの形でこれを広めることができるた
め、ソフトウェア実装は、迅速かつ簡単に本発明を広めることができる。本発明
は、典型的な寄託されないPKI(例えば、セッションキーの確立、キー配布、
セキュアメッセージ伝送など)で用いられる通信プロトコルの変更を強いるもの
ではない。従って、本発明は、典型的なPKIと親和性がある。このように、本
発明は、デジタル署名に資する、非常に効率的な方法を提供するものである。
【0021】
【発明の説明】
本発明は、寄託され得る、つまり回復可能な暗号用公開キーの生成と関連して
、もしくは並行して実行され得る機構を記述するものである。例えば、この一例
として、YoungおよびYung(米国特許出願番号08/864839)の
自動回復可能かつ自動証明可能なシステムがある。この先行技術を言及すること
により説明に繰み入れる。その後で、ユーザが送信するメッセージとの関連で、
ユーザを認証するための用いられるシステムの署名部と、ユーザについて説明す
る。署名機能およびその公開キー検証機能は様々な用途および適用例を有し得る
が、このことは同技術分野に精通した者には自明であり、以下にここで説明する
部のこれらの潜在的な用途については特に詳述しない。
【0022】 まず、システムのユーザが則るキー生成アルゴリズムについて説明する。その
過程は図1示される。eを2以上の大きな素数(例えば、e=3、5、7等々)
とする。Mをセキュリティパラメータとする。M/2ビット長の数sおよびs’
を無作為に選択し、そしてM/2ビットの素数p、p、qおよびqを選
択する。phiを、オイラーのTotiet関数を示すものとする。システムが
適切に動作するためには、これらの素数は、以下の数学的な制約に服す。 1.p−1,q−1,p−1およびq−1の各々は、 因数分解に於いて十分大きな素数である。 2.gcd(e,(p−1)(q−1)(p−1)(q−1))=1 3.p= 2* +1が素数で、かつgcd(e,phi(t
))=1 (phiはオイラーのTotiet関数)であるような、Mビット(例えば、
=31)の奇数値tが存在する。 4.q=2* +1 が素数で、かつgcd(e,phi(
))=1 であるような、Mビットの奇数値tが存在する。
【0023】 ここでは、pとqの解を得る際に、キー生成を高速化するため、tとt
導入した。シャドウ公開キーの悪用に対する保護環境を提供する防ぐために、以
下のサブリミナル(しきい値以下)の漏れを減少するが必要とされる。 1.H(s)(あるいは、H(s)+1)は、p*qのビット表示の上
位半分のビット列と同一である。 2.H(s’)(あるいは、H(s’)+1)は、p*qのビット表示
の上位半分のビット列と同一である。
【0024】 ステップ1を達成するために、自明な変更を含むRSAキーに対するセットア
ップアタックに使用されるアルゴリズムが実行される(A.Young、M.Y
ung,“Kleptography:Using Cryptography
Against Cryptography”,Eurocrypt ’97
,section 5,頁62−74,Springer−Verlag,19
97)。従って、借用ビットが用いられることによって、H(s)が上位オー
ダビットとなるか、H(s)+1が上位オーダビットとなるかのいずれかであ
る。ここで、Hは、適切な一方向ハッシュ関数である。このステップは、合成
数p*qに於けるM/2ビットが漏れを回避するためのものである。しかし
、この方法を用いるには、q―1について試し行割算法を実行することが必要
で、その結果得られた値が確実に素数である。p、q、tおよびtの値は、
上記を満足するものであることが判明した。次に、キー生成アルゴリズムは、以
下の計算を行う。 1.g=H(s,s’,s)を、g=H(s,s’,s)を法とす
る生成元、gを法とする生成元とする最小値Sとsを計算する。Sとs
は例えば大きくて16ビット長である。 2.g mod pq を得る為に、g=g modをg=g mod q
で中国人の余剰法を用いる(gは次のオーダlambda(n)にもつ。参照
(Rosen,K.R.,”Elementary Number Theor
y and its Applications”,3rdedition,T
heorem 8.21,page 313,Addison Wesley,
1993) 3. n=pq 4. n2* 5. d=(1/e)mod phi(phi(n)) 6.(p−1)/(2)の因数分解の知識につき非対称型知識証明となる
、Tを計算する。 7..(q−1)/(2)の因数分解の知識につき非対称型知識証明とな
る、Tを計算する。
【0025】 数uを2つの相違する素数に因数分解する知識を証明するため、この数uにつ
きランダム・オラクル・ハッシュ関数に問い合わせることができる。よって、u
を法とする十分な数の乱数を生成し、これらの乱数の少なくとも3/8の平方根
を示す。
【0026】 HとHは、適切な一方向のハッシュ関数であり、Hの範囲はZであり
、Hの範囲はZである。上記の計算(2)は、図1のステップ1000の最
後の部分である。上記の計算(3)は、図1のステップ1005に対応している
。上記の計算(4)と(5)は、図1のステップ1010に対応している。n
=lambda(n)は、nのカーマイケル関数ラムダである。公開検証キーは
(g,e,n)である。ユーザの秘密署名キーは(d,n)である。上記の計
算(6)と(7)は、図1のステップ1020に対応している。TとTは、
対話的に実行されることもオプションとして可能である。公開証検キーをCAに
登録するため、ユーザはCAに、タプル(3重値)(s,s’,p,q,t
,s,s,e,T,T)を送る。gがZを生成し、gがZ
を生成したことをCAが検証する方法がないため、sとsの値も送る必要が
ある。この処理は、図1のステップ1030に対応している。同技術分野に精通
した者にとっては、上記のステップ6および7は、ユーザとCAの間の対話的な
プロトコルによって置き換えることが可能である。
【0027】 図2のステップ2000は、ユーザがキーペアーを生成し、(s,s’,p,
q,t,t,s,s,e,T,T)を形成する。処理ステップ20
10は、ユーザがこの情報ストリングをCAに送信することを表している。図2
のステップ2020は、CAがこの情報ストリングを検証する。以下、この過程
を詳細に説明する。CAは、(s,s’,p,q,t,t,s,s,e
,T,T)を受信する。次にCAは、(p−1)/(2*t)となるv
を計算し、また(q−1)/(2*t)となるVを計算する。さらに、CA
は、vのビット表示の上位半分となるZを設定し、また、をVのビット表示
の上位半分となるZ’を設定する。CAはユーザと同様にg,gを計算する
。CAは、gmod p をgmod qで中国人の余剰法を実行すること
によりgを見つける。また、CAは、n=pqを計算する。a|bは、「aはb
を割り切れる」ことを示すものとする。a^bは、aのbべき乗を示すものとす
る。CAは、以下の全ての事項を検証する。 1.pは素数であり、tは奇数で適当な大きさt|p−1をもち、sはM/
2ビット長であるかなど。 2.pqは、因子分解しにくい(例えば、|p−q|は大きいかなど。) 3.H(s)またはH(s)+1はzに等しいか、また、H(s’)また
はH(s’)+1はz’に等しいか。 4. g^((p−1)/2)!=1,g^((p−1)/t)!=1,
^((p−1)/v)!=1 all mod p and that
^((q−1)/2)!=1,g^((q−1)/t)!=1,g
((q−1)/v)!=1 all mod q (この判定の結果、gがnこの大きなサブグループを生成したことをCAは確
認する。)ここで、a!=bは、aはbに等しくないことを表す。 5.TとTが有効であることを確認する。
【0028】 ステップはCAをして、ユーザが秘密署名キーを知っているものと、確信せし
める。もし、全ての検証が合格すれば、CAはユーザの公開検証キーとして、C
Aは、(g,e,n)を発行する。もし、寄託PKIも使用されている場合には
、(p,q)は、寄託機関に送られ、キー回復を可能にする。いずれにしても、
CAは、ユーザによって受信された全ての情報を将来の目的のために保存し得る
【0029】 法執行機関(あるいは、nの悪用を調べる任にあたる何らかの機関)が、所定
のユーザの法nが、公開キー暗号アルゴリズムを用いてデータを暗号化するのに
用いられたと判断する状況にある時には、nの因子(p,q)は、暗号化情報を
回復するのに用いられる。この過程を、図3に示す。図3のステップ3000で
は、回復エージェント(法執行機関であってよい)が、犯人と疑われる者との暗
号通信を取得する。ステップ3010では、回復エージェントは、CAからnの
因子(p,q)を取得する。ここで、nは、メッセージの受信者の公開キーに対
応した法である。ステップ3020では、回復エージェントは、nの因子(p,
q)を用いて通信を解読する。暗号化された情報は、実際の違法な通信を解読す
るために必要とされるセッションキーであってもよい。できることならば、法執
行機関は、どのアルゴリズムを用いて情報を暗号化したのかを正確に知っておく
ことが望ましい。
【0030】 図4は、デジタル署名に用いられた際の、典型的な公開キー暗号システム(P
KC)を示している。ステップ1では、システムのユーザは、CAのアドレスと
他の情報を読み出す。ステップ2で、ユーザは、公開/秘密キーペアーを生成し
、公開キーをCAに渡す。ステップ3は、通常のシステム動作に対応する部分で
ある。この処理ステップでは、ステップ4に示すように、送信者自身の秘密キー
を用いて、送信者はメッセージに署名する。ステップ5で、送信者は、署名とと
もに、受信者にメッセージを送信する。ステップ6で、受信者は、メッセージと
署名を受け取り、CAからは送信者の公開キーを受け取る。ステップ7で、受信
者は、メッセージと、署名と、送信者の公開キーとを用いて、受信されたメッセ
ージが本物であることを検証する。署名の利用のしかたと、デジタル署名に利用
可能な技術については、様々な変形が可能である。
【0031】 図5は、発明者によるデジタル署名システムを記述するものである。ステップ
1から7は、基本的に図4と変わらない。しかし、本システムでは、もし送信者
の公開キーを用いてデータを暗号化した場合には、受信側エージェントは、その
情報を回復できる。この処理を、処理ステップ8と9に示す。処理ステップ8で
は、回復エージェントは、送信者の公開モジュラスnの因子に対応した回復情報
を、CAから受け取る。処理ステップ9では、回復エージェントは、送信者の公
開キーを用いて暗号化されたものと推察されるメッセージを受け取りこれを解読
する。
【0032】 回復エージェントの処理を記述した従来技術については、悪意のあるユーザによ
ってし使用される特定の暗号アルゴリズムに関する文献に記載されている(例え
ば、米国特許第4,405,829号公報記載のRSA)。
【0033】 署名アルゴリズムを図6に示す。任意のメッセージmに署名するために、図6
の処理ステップ6000に示すように、ユーザは、nを法としてgH(n)を計
算する。この値を計算して求めると、署名処理は、処理ステップ6010に進み
、nを法としてc=(H(m))dを計算する。ここで、Hは、(例えば、一
方向ハッシュ関数によって実装された)ランダムオラクルであり、cは、署名ア
ルゴリズムの出力であり、mの署名となる。
【0034】 図7は、メッセージmにつけられた署名cの本物性を検証するための処理を示
す。他の実施例では、署名cは、メッセージが署名されることに加えて冗長性お
よび/又は不規則性を含む。図7のステップ700では、検証主体は、nを法と
するgH(m)を計算する。ステップ7010では、検証主体は、nを法として
g^(c)を計算する。ステップ7020では、検証主体は、
【0035】 gH(m) mod n = g^(c) mod n であるかを検証する。
【0036】 この等式が成り立つ場合には、1が出力され、cはメッセージm上の有効な署
名であることを示す。そうでない場合には、ゼロが出力され、cはメッセージm
上の有効な署名でないことを示す。例えば、e=3の場合には、署名を検証する
唯一の方法は、以下のように右辺を計算することである。
【0037】 g^(c)mod n = ((g mod n) mod n)
mod n
【0038】 検証主体にとって指数部の法が未知であるために、この計算が必要になるもの
であり、従って、検証主体では、始めにnを法とするcを計算して、次に、
これを用いてgの指数部とすることはできない。もし、eが3以外の値をもつ場
合には、単に法指数関数演算を行って、この判定式の右辺を計算すればよい。従
って、eの値を小さく(nの大きさの対数の多項式の大きさになるように)すべ
きであるという理由は、署名検証を効率化することにある。このシステムは、3
つの領域F、FおよびFを含む、入れ子構造の跳ね上げ戸システムから構
成されている。特に、領域Fは、(phi)(n)を法とした整数であり、
領域Fは、lambda(n)を法とした整数であり、領域Fは、nを法と
した整数である。もし、他の暗号キー(すなわち、署名の受信者の公開暗号キー
)が利用可能な場合には、これを用いて、送信しようとしてるメッセージと署名
を暗号化することができる。
【0039】 以上のように、デジタル署名を可能とする、新しい改良された、非エスクロー
の自動認証付き署名インフラ、ならびにその変形と応用を説明してきた。好適な
実施例は、本発明の原理と考え方の応用例を表す多数の特定の実施例のいくつか
を単に例証するためのものであることは、容易に理解されよう。当該技術分野に
精通した者ならば、本発明の範囲を逸脱することなく、様々な代案構成を容易に
実施することができるのは明白である。
【0040】 上記の方法の第二の実施例では、ユーザあるいは他のシステム構成物が、署名
キーを所有しているようなシステムを得ることができ、もし、CAあるいはキー
回復認証局もしくは法的な執行機関が、ユーザに代わってなりすまそうとした場
合には、ユーザに対して、その偽装を後に証明できる方法も確保されている。
【0041】 もし、エスクローとともに運用するシステムで、過去にさかのぼってセキュリ
ティ確保が求められる場合には、以下の簡単な解決方法を用いることができる。
過去にさかのぼってセキュリティを確保するというのは、通常のシステム運用に
おいて、エスクロー認証局は署名を偽造することはないと、ユーザが想定してい
るが、もし認証局が署名を偽造することがあれば、ユーザはこれを過去にさかの
ぼって確認できる手段をもっているということである。この解決方法では、ユー
ザは2つの公開/秘密キーの組(y,x)と(y,x)を生成し、x
をエスクローとする(一例として、YoungおよびYungによる米国特許出
願番号08/878,189)。もし、xがエスクローであり、yは偽の公
開キーを含んでいないとCAが確信した場合には、CAは数値rをランダムに選
び、v=H(r,y)を計算する。CAは、(y,v)を発行する。ここで
、Hは、一方向ハッシュ関数である。vは、ユーザからは見えないチャネルであ
り、よって、これには偽の公開キーは含まれない。この値は、yの公開契約を
形成する。
【0042】 c=sig(x,m)を、秘密キーxを用いたメッセージm上の署名とする。
メッセージmに署名するために、ユーザは、c=sig(x,m)とc’
=sig(x,m)を計算する。ユーザは、H’(c’)を計算する。H’
の範囲は、例えば、(0,1)64である。署名は、(c,c)である。こ
れに代わり、cは、メッセージmを拡張し、cを計算する際のパラメータと
なる。署名を確認するために、ユーザは、yを用いて、cがメッセージmの
適切な署名となっていることを検証する。もし、ユーザが、エスクロー認証局が
署名を偽造したのではないかと疑義をもった場合には、ユーザは、署名者がユー
ザにyを送信することを要求できる。一度yが得られると、検証処理によっ
てv=H(r,y)であることを検証し、c’を、メッセージmへのyを用
いた署名として、c=H’(c’)であることを検証する。もしこの等式が
成立しない場合には、署名が偽造された証拠となる。エスクロー認証局が署名を
偽造したかどうかを検証するために、これは一部の解決策を提示しているに過ぎ
ず、偽の公開キーy2は検証処理に渡される。また、悪意をもつユーザは、情報
を漏洩させるために、これが検証されないことを願いながらc2を選ぶ可能性も
ある(従って、本発明ではその値を小さくして理由はここにある)。しかし、大
多数の応用では、これで十分である。
【図面の簡単な説明】
【図1】 公開キー、秘密署名キー、およびこれらのキーが適切に生成されたことを示す情
報を、生成する過程の基本ステップのフローチャートである。
【図2】 本発明を用いてキーの証明を行う過程の流れ図である。
【図3】 秘密検証キーを用いて暗号化された情報を回復する過程の流れ図である。
【図4】 一般的なデジタル署名システムとその主要構成部と働きを示す概略図である。
【図5】 本発明を示す概略図である。
【図6】 デジタル署名過程を示す概略図である。
【図7】 デジタル署名検証過程を示す概略図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C U,CZ,DE,DK,EE,ES,FI,GB,GD ,GE,GH,GM,HR,HU,ID,IL,IN, IS,JP,KE,KG,KP,KR,KZ,LC,L K,LR,LS,LT,LU,LV,MD,MG,MK ,MN,MW,MX,NO,NZ,PL,PT,RO, RU,SD,SE,SG,SI,SK,SL,TJ,T M,TR,TT,UA,UG,UZ,VN,YU,ZA ,ZW (72)発明者 ヤング,アダム ルーカス アメリカ合衆国,10025 ニューヨーク州, ニューヨーク,ウェスト 110ス ストリ ート 535,アパートメント 12ジェイ (72)発明者 ユング,マーセル モードチェイ アメリカ合衆国,10025 ニューヨーク州, ニューヨーク,ウェスト 112ス ストリ ート 605,アパートメント 4エッチ Fターム(参考) 5J104 AA09 KA08 LA03 LA06 NA02

Claims (30)

    【特許請求の範囲】
  1. 【請求項1】 (a)署名とメッセージの出所認証のための暗号キーを生成し、(b)検証し、
    (c)使用し、(d)キーを用いて暗号化された情報を回復するための暗号シス
    テムであって、少なくとも4つのエンティティ、つまりエージェント、オーソリ
    テイィ、登録パーティおよび他のパーティが関与する暗号システムを構成する方
    法であって、さらに (1)前記エンティティをして、一組のシステムパラメータの確立させるステッ
    プと、 (2)前記登録パーティをして、特定の公開手続きを用いて、登録パーティ公開
    署名検証キーと登録パーティ秘密署名キーを生成させるステップと、 (3)前記登録パーティをして、前記登録パーティ秘密署名キーが、前記特定の
    公開手続きを用いて生成されたことを保証する有効性証明を生成させるステップ
    と、 (4)前記登録パーティをして、前記登録パーティ署名検証公開キーと前記有効
    性証明を、前記オーソリテイィに送るステップと、 (5)前記オーソリテイィをして、前記有効性証明とともに、前記登録パーティ
    署名検証公開キーの正当性を検証させるステップと、 (6)もし、ステップ(5)での検証が成功した場合に、前記オーソリテイィを
    して、登録パーティ署名検証公開キー発行処理を行わせ、登録パーティを登録済
    み機関とするステップと、 (7)前記発行処理の後、前記他のパーティをして、登録済み機関公開キーを取
    得させ、前記他のパーティに、前記登録済み機関公開キーを利用させるステップ
    を備えた方法。
  2. 【請求項2】 請求項1記載の方法において、ステップ7での前記登録済み機関公開キーの前
    記利用は、すくなくとも (a)メッセージ上の署名の検証、または (b)ユーザとメッセージの信憑性の検証、または (c)身分証明処理の検証 の一つを含むことを特徴とする方法。
  3. 【請求項3】 請求項1記載の方法において、 前記暗号システムは、さらに、少なくとも、前記エージェントと前記オーソリ
    テイィの一つに、前記登録済み署名検証公開キーを用いてクリアテキストデータ
    の回復をさせるイベントを有するステップを含むことを特徴とする方法。
  4. 【請求項4】 請求項1記載の方法において、 前記有効性証明は、少なくとも一つの非対話型のゼロ知証明文字列からなり、
    前記オーソリテイィは、前記非対話型のゼロ知証明文字列の少なくとも一つを検
    証することにより、前記有効性証明を検証することを特徴とする方法。
  5. 【請求項5】 請求項1記載の方法において、 ステップ(6)および(7)の前記有効性証明の生成、送付および検証は、対
    話型の無知証明手続きを行うことを含に、前記登録ユーザは保証者となり、前記
    オーソリテイィは検証者となることを特徴とする方法。
  6. 【請求項6】 請求項1記載の方法において、 前記発行処理は、前記オーソリテイィ秘密キーを用いて、前記登録パーティの
    ために公開キー証明を生成することを含み、前記証明は、前記登録パーティ公開
    キーおよび他の情報の上に前記オーソリテイィのデジタル署名を含み、前記証明
    は、前記オーソリテイィ発行のパラメータの少なくとも一つを用いて検証可能で
    ることを特徴とする方法。
  7. 【請求項7】 請求項1記載の方法において、 前記発行処理は、前記オーソリテイィ秘密キーを用いて、前記登録パーティの
    ために公開キー証明を生成することを含み、前記証明は、修正された前記登録パ
    ーティ公開キーおよび他の情報の上に前記オーソリテイィのデジタル署名を含み
    、前記証明は、前記オーソリテイィ発行のパラメータの少なくとも一つを用いて
    検証可能であることを特徴とする方法。
  8. 【請求項8】 請求項1記載の方法において、 前記発行処理は、前記登録パーティ公開キーを、ファイル中の有効キーとして
    マーク付けすることを含むことを特徴とする方法。
  9. 【請求項9】 請求項1記載の方法において、 前記暗号システムは、さらに、情報の秘密を守るための自動回復可能かつ自動
    証明可能なキー登録処理を用いて、ユーザを登録するステップを含むことを特徴
    とする方法。
  10. 【請求項10】 請求項3記載の方法において、 前記イベントは、政府機関あるいは政府機関のグループ内の部局のために、政
    府職員トに与えられた適切な権限委譲であることを特徴とする方法。
  11. 【請求項11】 請求項3記載の方法において、 クリアテキストデータの回復は、他者のプライバシーを保護する間に、犯罪行
    為とみなされる登録済み機関の通信を監視するために行われることを特徴とする
    方法。
  12. 【請求項12】 請求項9記載の方法は、さらに、 もし政府機関が登録済み機関の通信を監視できない場合には、登録済み期間の
    活動を非合法であるとみなすステップからなることを特徴とする方法。
  13. 【請求項13】 請求項1記載の方法において、 政府機関、登録済み機関およびオーソリテイィの少なくとも一つの機能は、前
    記ステップの少なくとも一つにおいて、ハードウェアで実装されることを特徴と
    する方法。
  14. 【請求項14】 請求項1記載の方法において、 前記登録済み機関公開キーの前記利用は、ファイルの署名のためであることを
    特徴とする方法。
  15. 【請求項15】 請求項1記載の方法において、 前記他のパーティは、前記登録済み機関を含むことを特徴とする方法。
  16. 【請求項16】 請求項3記載の方法において、 前記イベントは、前記登録済み機関の組織内の適切な手続きに従うことによっ
    て生成されることを特徴とする方法。
  17. 【請求項17】 請求項1記載の方法において、 前記有効性証明は、前記登録済み機関の署名検証公開キーは、前記政府職員と
    政府機関の少なくとも一つによって回復不可能であるような方法での信用付与に
    は用いることができないことを保証することを特徴とする方法。
  18. 【請求項18】 請求項3記載の方法において、 前記政府職員は、法的な執行に関わる職員であることを特徴とする方法。
  19. 【請求項19】 請求項3記載の方法において、 前記政府職員は、ひとつの政府機関あるいは政府機関のグループの職員である
    ことを特徴とする方法。
  20. 【請求項20】 請求項3記載の方法において、 前記政府職員の少なくとも一つは、前記登録ユーザの団体の役人であることを
    特徴とする方法。
  21. 【請求項21】 請求項1記載の方法において、 前記オーソリテイィは、前記登録ユーザによって生成された署名の検証は可能
    であるが、有効な署名を偽造することはできないことを特徴とする方法。
  22. 【請求項22】 請求項1記載の方法において、 前記登録済み機関公開キーの前記利用は、前記オーソリテイィによっては解読
    することができない暗号を計算することを含まないことを特徴とする方法。
  23. 【請求項23】 請求項1記載の方法において、 前記システムパラ―メータの組は、少なくとも3つの領域F1、F2、F3を
    含み、F1はF2の指数領域であり、F2はF3の指数領域であることを特徴と
    する方法。
  24. 【請求項24】 請求項1記載の方法において、 前記登録パーティ公開キーは、数nに基づくものであり、前記登録パーティお
    よび前記オーソリテイィのみがnの素数への因数分解を知り得ており、前記登録
    ユーザのみがphi(phi((n))の因数分解を知り得ることを特徴とする
    方法。
  25. 【請求項25】 請求項1記載の方法において、 前記登録パーティのキーは、指数関数であることを特徴とする方法。
  26. 【請求項26】 請求項1記載の方法において、 前記暗号システムの利用は、安全な配達のための電子メールのためであること
    を特徴とする方法。
  27. 【請求項27】 請求項1記載の方法において、 前記登録済み機関公開キーの前記利用は、電子商取引を含むことを特徴とする
    方法。
  28. 【請求項28】 請求項1記載の方法において、 前記オーソリテイィと政府機関の少なくとも一つは、多数の構成要素からなる
    ことを特徴とする方法。
  29. 【請求項29】 請求項28記載の方法および装置において、 前記有効性証明は、前記登録パーティ署名検証公開キーを用いて暗号化された
    前記登録パーティクリアテキストデータが、前記多数の構成要素のサブセットに
    よって回復可能となることを求めることを特徴とする方法および装置。
  30. 【請求項30】 請求項1記載の方法および装置において、 前記オーソリテイィは、証明機関であることを特徴とする方法および装置。
JP2000590337A 1998-12-22 1999-12-20 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム Withdrawn JP2002534701A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/218,219 1998-12-22
US09/218,219 US6473508B1 (en) 1998-12-22 1998-12-22 Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys
PCT/US1999/030611 WO2000038365A1 (en) 1998-12-22 1999-12-20 Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys

Publications (1)

Publication Number Publication Date
JP2002534701A true JP2002534701A (ja) 2002-10-15

Family

ID=22814229

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000590337A Withdrawn JP2002534701A (ja) 1998-12-22 1999-12-20 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム

Country Status (6)

Country Link
US (1) US6473508B1 (ja)
EP (1) EP1142181A4 (ja)
JP (1) JP2002534701A (ja)
AU (1) AU2378700A (ja)
CA (1) CA2356665A1 (ja)
WO (1) WO2000038365A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006523065A (ja) * 2003-04-11 2006-10-05 インテル・コーポレーション 身元を明らかにすることのない信頼の確立

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10061697A1 (de) * 2000-12-12 2002-06-27 Infineon Technologies Ag Verfahren und Vorrichtung zum Ermitteln eines Schlüsselpaars und zum Erzeugen von RSA-Schlüsseln
US6909786B2 (en) * 2001-01-09 2005-06-21 D'crypt Private Limited Cryptographic trap door with timed lock and controlled escrow
EP1417555A2 (en) * 2001-06-18 2004-05-12 Daon Holdings Limited An electronic data vault providing biometrically protected electronic signatures
JP2003087243A (ja) * 2001-06-28 2003-03-20 Hitachi Ltd データ検証方法、データ検証装置およびその処理プログラム製品
GB2380368B (en) * 2001-09-27 2005-06-22 Ibm A method and system for communication via a computer network
US7305556B2 (en) * 2001-12-05 2007-12-04 Canon Kabushiki Kaisha Secure printing with authenticated printer key
US7308576B2 (en) * 2001-12-31 2007-12-11 Intel Corporation Authenticated code module
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7352867B2 (en) * 2002-07-10 2008-04-01 General Instrument Corporation Method of preventing unauthorized distribution and use of electronic keys using a key seed
US7318235B2 (en) * 2002-12-16 2008-01-08 Intel Corporation Attestation using both fixed token and portable token
US7366305B2 (en) * 2003-09-30 2008-04-29 Intel Corporation Platform and method for establishing trust without revealing identity
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7587607B2 (en) * 2003-12-22 2009-09-08 Intel Corporation Attesting to platform configuration
KR100582546B1 (ko) * 2003-12-26 2006-05-22 한국전자통신연구원 암호화/복호화 키를 이용한 메시지 송수신 방법
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US7490070B2 (en) * 2004-06-10 2009-02-10 Intel Corporation Apparatus and method for proving the denial of a direct proof signature
US8924728B2 (en) 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US7809957B2 (en) 2005-09-29 2010-10-05 Intel Corporation Trusted platform module for generating sealed data
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets
US8638926B2 (en) * 2009-02-26 2014-01-28 Red Hat, Inc. Sharing a secret with modular inverses
US8589691B1 (en) * 2009-08-17 2013-11-19 Google Inc. Self-signed certificates for computer application signatures
US9087196B2 (en) 2010-12-24 2015-07-21 Intel Corporation Secure application attestation using dynamic measurement kernels
US9118674B2 (en) 2012-11-26 2015-08-25 Bank Of America Corporation Methods and processes for storing and utilizing state information for service providers
US8949594B2 (en) 2013-03-12 2015-02-03 Silver Spring Networks, Inc. System and method for enabling a scalable public-key infrastructure on a smart grid network
CN117240477B (zh) * 2023-11-13 2024-02-23 泉州信息工程学院 一种基于rsa算法的数字签名方法、系统及存储介质

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4200770A (en) 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US4218582A (en) 1977-10-06 1980-08-19 The Board Of Trustees Of The Leland Stanford Junior University Public key cryptographic apparatus and method
US4405829A (en) 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US4424414A (en) 1978-05-01 1984-01-03 Board Of Trustees Of The Leland Stanford Junior University Exponentiation cryptographic apparatus and method
US4641346A (en) 1983-07-21 1987-02-03 Pitney Bowes Inc. System for the printing and reading of encrypted messages
US4625076A (en) 1984-03-19 1986-11-25 Nippon Telegraph & Telephone Public Corporation Signed document transmission system
FR2596177B1 (fr) 1986-03-19 1992-01-17 Infoscript Procede et dispositif de sauvegarde qualitative de donnees numerisees
US4748668A (en) 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature
US4881264A (en) 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
US4933970A (en) 1988-01-19 1990-06-12 Yeda Research And Development Company Limited Variants of the fiat-shamir identification and signature scheme
US5005200A (en) 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
EP0383985A1 (de) 1989-02-24 1990-08-29 Claus Peter Prof. Dr. Schnorr Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
US5231668A (en) 1991-07-26 1993-07-27 The United States Of America, As Represented By The Secretary Of Commerce Digital signature algorithm
US5315658B1 (en) 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5276737B1 (en) 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5557346A (en) 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for key escrow encryption
US5557765A (en) 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery
JPH10511471A (ja) 1994-08-12 1998-11-04 リートン,フランク、タムスン フェイルセイフキィ捺印システム
US5633928A (en) 1995-03-10 1997-05-27 Bell Communications Research, Inc. Key escrow method with warrant bounds
US5633929A (en) * 1995-09-15 1997-05-27 Rsa Data Security, Inc Cryptographic key escrow system having reduced vulnerability to harvesting attacks
US5815573A (en) 1996-04-10 1998-09-29 International Business Machines Corporation Cryptographic key recovery system
US5796830A (en) 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
EP0997017A2 (en) * 1997-05-28 2000-05-03 Adam Lucas Young Auto-recoverable auto-certifiable cryptosystems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006523065A (ja) * 2003-04-11 2006-10-05 インテル・コーポレーション 身元を明らかにすることのない信頼の確立
JP4673840B2 (ja) * 2003-04-11 2011-04-20 インテル・コーポレーション 身元を明らかにすることのない信頼の確立

Also Published As

Publication number Publication date
EP1142181A1 (en) 2001-10-10
EP1142181A4 (en) 2004-05-19
AU2378700A (en) 2000-07-12
CA2356665A1 (en) 2000-06-29
WO2000038365A1 (en) 2000-06-29
US6473508B1 (en) 2002-10-29

Similar Documents

Publication Publication Date Title
US10530585B2 (en) Digital signing by utilizing multiple distinct signing keys, distributed between two parties
JP2002534701A (ja) 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム
WO2021042685A1 (zh) 一种区块链的交易方法、装置及系统
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
Wang et al. Threshold signature schemes with traceable signers in group communications
US8108678B1 (en) Identity-based signcryption system
US6292897B1 (en) Undeniable certificates for digital signature verification
JP5205398B2 (ja) 鍵認証方式
US6738912B2 (en) Method for securing data relating to users of a public-key infrastructure
US20160248735A1 (en) Method and apparatus for verifiable generation of public keys
KR100718489B1 (ko) 신규의 공정한 은닉 서명을 위한 서명 방법, 컴퓨터 프로그램, 장치 및 서명 시스템
US20050152542A1 (en) Public key encryption for groups
US20100153712A1 (en) Signature schemes using bilinear mappings
US20090217042A1 (en) Provisional signature schemes
US6122742A (en) Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys
US9088419B2 (en) Keyed PV signatures
US6243466B1 (en) Auto-escrowable and auto-certifiable cryptosystems with fast key generation
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
Mu et al. Distributed signcryption
Waheed et al. Novel blind signcryption scheme for E-voting system based on elliptic curves
NZ501273A (en) Auto-recoverable auto-certifiable cryptosystems
JP3862397B2 (ja) 情報通信システム
KR20010017358A (ko) 공정한 은닉 서명 방법
EP1267516A2 (en) Method for securing data relating to users of a public-key infrastructure
Ganley Digital signatures

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20070306