JP2002543478A - 公開鍵を署名する方法とシステム - Google Patents
公開鍵を署名する方法とシステムInfo
- Publication number
- JP2002543478A JP2002543478A JP2000616162A JP2000616162A JP2002543478A JP 2002543478 A JP2002543478 A JP 2002543478A JP 2000616162 A JP2000616162 A JP 2000616162A JP 2000616162 A JP2000616162 A JP 2000616162A JP 2002543478 A JP2002543478 A JP 2002543478A
- Authority
- JP
- Japan
- Prior art keywords
- vinegar
- variables
- oil
- scheme
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Complex Calculations (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
鍵スキームが開発されて公開されてきた。多くの公開鍵スキームは整数n(ここ
で、nは一般的には512ビットと1024ビットの間にある)を法とした算術
計算を必要とする。
較的遅く、ランダムアクセスメモリー(RAM)や他の計算リソースを大いに消
費するものと考えられている。これらの問題は、スマートカードという応用分野
などの計算リソースが制限されている応用分野では特に緊急の課題である。した
がって、これらの問題を克服するために、nを法とした算術計算をあまり必要と
しない他の公開鍵スキームファミリーが開発されてきた。これらの他のファミリ
ーの中には、公開鍵がk個の多変数の多項式の集合として比較的小さい、例えば
2と264という数学的有限体にわたって与えられるスキームがある。
合においては正確に2という次数の多変数多項式である。
Patarinの「油と酢」スキームの基本形態がある。
録、419〜453ページの「効果的な署名検証とメッセージ暗号化のための公
開二次式」という題名の記事に説明されている。HFEスキームは、Sprin
ger出版社、EUROCRYPT’96の議事録の33〜48ページの「隠蔽
体式(HFE)と多項式(IP)の同形:非対称的アルゴリズムの新しい2つの
ファミリー」という題名の記事に説明されている。Jacque Patari
nの「油と酢」スキームの基本的形態は1997年9月の暗号に関するDags
tuhl Workshopに提出された「油と酢署名スキーム」という題名の
記事に説明されている。
キームと「油と酢」スキームの基本的形態とが双方共見つかってしまい、Spr
inger出版社LNCS n°1462、CRYPTO’98の議事録の25
7〜266ページの「油と酢署名スキームの暗号分析」という題名の記事中に公
開されているという点で安全保障されていないことが分かっている。HFEスキ
ームの構成の弱点は「HFE公開鍵暗号システム」と「隠蔽体式(HFE)の実
際の暗号分析」という題名の2つの記事中に記載されているが現在のところ、H
FEスキームは機密漏洩されているとは考えられてはいないがその理由は、良好
に選択され、いまだ根拠あるパラメータの場合、HFEスキームを解読するため
に必要な計算の回数はそれでも多量なものであるからである。
法、nを合成数としたk個の多項式から成るシステムを解く困難さに基づいたセ
キュリティを持つ新しいタイプのディジタル署名スキームが記載されており; Shamirに対する米国特許第5,375,170号には、小さい鍵を有し
、算術演算をほとんど必要としない新しいクラスの双有理順列に基づいた新規な
ディジタル署名スキームが記載されている。
ある。
体Kにわたって与えるディジタル署名暗号スキームのセキュリティを向上させる
ことを追求する。本発明は、特に、「油と酢」スキームとHFEスキームという
基本的形態のセキュリティを向上させることを追求する。本発明に従ってセキュ
リティを向上させるように修正された「油と酢」スキームは本書では不平衡「油
と酢」(UOV)スキームと呼ばれる。本発明に従ってセキュリティを向上させ
るように修正されたHFEスキームは本書ではHFEVスキームと呼ばれる。
集合S1は、関数P1(x1,...,xn+v、y1,...,yk),..
.,Pk(x1,...,xn+v,y1,...,yk)を含むことが好まし
いが、ここで、k、v及びnは整数であり、x1,...,xn+vは第1のタ
イプのn+v個の変数であり、y1,...,ykは第2のタイプのk個の変数
である。集合S1は秘密鍵演算をk個の多項式関数P’1(a1,...,an +v 、y1,...yk),...P’k(a1,...,an+v,y1,.
..,yk)に対して応用することによって得ることが好ましいが、ここで、a 1 ,...,an+vはn個の「油」変数a1,...,anから成る集合とv
個の「酢」変数an+1,...,an+vから成る集合を含むn+v個の変数
である。秘密鍵演算はn+v個の変数a1,...,an+vに対する秘密アフ
ァイン変換sを含むことがあることが理解されよう。
て応用されてk個の値から成る列b1,...,bkを発生する。このk個の変
数から成る列b1,...,bkをそれぞれ集合S2の変数y1,...,yk の代わりに用いてk個の多項式関数P’’1(a1,...,an+v),..
.,P’’k(a1,...,an+v)から成る集合S3を発生するのが好ま
しい。次に、v個の値a’n+1,...,a’n+vをランダムに又は所定の
選択アルゴリズムに従ってv個の「酢」変数値an+1,...,an+vに対
して選択する。
’1(a1,...,an,a’n+1,...,a’n+v)=0,...,
P’’k(a1,...,an,a’n+1,...,a’n+v)=0の集合
を解いて、a’1,...,a’nの解を得るのが好ましい。次に、秘密鍵演算
を応用してa’1,...,a’n+vをディジタル署名e1,...,en+ v に変換する。
ュータ又はスマートカードを含む検証器によって検証される。ディジタル署名を
検証するために、検証器は、署名e1,...,en+v、メッセージ、ハッシ
ュ関数及び公開鍵を得るのが好ましい。次に、検証器はハッシュ関数をメッセー
ジに対して応用してk個の値の列b1,...,bkを発生する。ひとたびk個
の値b1,...,bkが発生すると、検証器は式P1(e1,...,en+ v ,b1,...,bk)=0,...,Pk(e1,...,en+v,b1 ,...,bk)=0が満足されることを検証することによってディジタル署名
を検証するのが好ましい。
S1を公開鍵として供給するステップであり、前記集合S1は関数P1(x1,
...,xn+v,y1,...,yk),...,Pk(x1,...,xn +v ,y1,...,yk)を含み、ここで、k、v及びnは整数であり、x1 ,...,xn+vは第1のタイプのn+v個の変数であり、y1,...,y k は第2のタイプのk個の変数であり、集合S1は秘密鍵演算をk個の多項式関
数P’1(a1,...,an+v,...,y1,...,yk),...,
P’k(a1,...,an+v,...,yk)から成る集合S2に応用する
ことによって得られるがここで、a1,...,an+vは、n個の「油」変数
a1,...,anの集合とv個の「酢」変数an+1,...,an+vから
成る集合を含むn+v個の変数である、前記ステップと;署名されるメッセージ
を提供するステップと;ハッシュ関数をこのメッセージに対して応用してk個の
値の列b1,...,bkを発生するステップと;集合S2の変数y1,...
,ykを置換してそれぞれk個の値の列b1,...,bkを導入して、k個の
多項式関数P’’1(a1,...,an+v),...,P’’k(a1,.
..,an+v)から成る集合S3を発生するステップと;v個の「酢」変数a n+1 ,...,an+vに対してv個の値a’n+1,...,a’n+vを
選択するステップと;式P’’1(a1,...,an,a’n+1,...,
a’n+v)=0,...,P’’k(a1,...,an,a’n+1,..
.,a’n+v)=0から成る集合を解いてa’1,...,a’nの解法を得
るステップと;秘密鍵演算を応用してa’1,...,a’n+vをディジタル
署名e1,...,en+vに変換するステップと;を含むディジタル署名暗号
方法を提供する。
検証ステップは:署名e1,...,en+v、メッセージ、ハッシュ関数及び
公開鍵を得るステップと;ハッシュ関数をメッセージに対して応用してk個の値
の列b1,...,bkを発生するステップと;式P1(e1,...,en+ v ,b1,...,bk)=0,...,Pk(e1,...,en+v,b1 ,...,bk)=0が満足されることを検証するステップと;を含むのが好ま
しい。
イン変換sのステップを含むのが好ましい。
のが好ましい。このような場合、集合S2は単変量多項式から誘導されたk個の
関数を含む式を含むのが好ましい。単変量多項式は100,000以下の次数の
単変量多項式を含むのが好ましい。
を含む。
うに選択するステップを含むのが好ましい。vは、qvが232より大きくなる
ように選択されるが、ここで、qは有限体Kのエレメントの数である。
k個の多項式関数から成るサブ集合S2’から集合S1を得るステップを含んで
いるが、このサブ集合S2’の特性は、k個の多項式関数P’1(a1,...
,an+v,y1,...,yk),...,P’k(a1,...,an+v ,...,y1,...,yk)中のy1,...,ykという変数のいずれか
を含む成分の係数でもすべてがゼロであり、また、「酢」変数の数vが「油」変
数の数nより大きいことにある。
「酢」変数の数vが、次の条件:すなわち(a)次数の「油と酢」スキーム中の
体Kの2以外の各特性pに対して、vが不等式q(v−n)−1*n4>240 となることと、(b)次数3の「油と酢」スキーム中のp=2に対して、vがn * (1+sqrt(3))であり、n3/6以下であることと、(c)次数3の
「油と酢」スキーム中の2以外の各pに対して、vがnより大きく、n4以下で
あること、の内の1つを満足するように選択されるのが好ましい。「酢」変数の
数vは、次数2の「油と酢」スキーム中の体Kの特性p=2に対して不等式v<
n2、q(v−n)−1*n4>240を満足するように選択されるのが好まし
い。
が、この改善は「油」変数より多い数の「酢」変数を用いるステップを含んでい
る。「酢」変数の数vは、次に条件:すなわち(a)体Kの2以外の各特性pと
次数2の「油と酢」署名方法に対して、vが不等式q(v−n)−1*n4>2 40 を満足することと、(b)p=2と次数3の「油と酢」署名方法に対して、
vがn*(1+sqrt(3))より大きくn3/6以下であるということと、
(c)2以外の各pと次数3の「油と酢」署名方法に対して、vがnより大きく
、また、n4以下であること、の内の一方を満足する用に選択されるのが好まし
い。「酢」変数の数vは、次数2の「油と酢」スキーム中の体Kの特性p=2に
対して不等式v<n2とq(v−1)−1*n4>240を満足するように選択
されるのが好ましい。
ger出版社による出版用に提出されたAviad Kipnis、Jacqu
e Patarin及びLouis Goubinによる、UOVスキームとH
FEVスキームの変量を説明している記事である。
わち本発明のある好ましい実施形態に従って構成され動作するシステム10の好
ましい実現例の略ブロック図である図1をここで参照する。
通信する、汎用コンピュータなどのコンピュータ15を含むのが好ましい。コン
ピュータ15は、通信バス40を介して互いに通信するディジタル署名発生器3
0とディジタル署名検証器35を含むのが好ましい。スマートカード20は、通
信バス55を介して互いに通信するディジタル署名発生器45とディジタル署名
検証器50を含むのが好ましい。
ッセージの受領器とが、公開された公開鍵と用いられるハッシュ関数とに関して
一致することが理解されよう。ハッシュ関数が機密漏洩している場合、署名器と
受領器はハッシュ関数を変更することに同意する。公開鍵の発生器は署名器でも
受領器でもある必要がないことが理解されよう。
生器45の内の一方によって発生される署名を検証するのが好ましい。同様に、
ディジタル署名検証器50は、ディジタル署名発生器30とディジタル署名発生
器45の内の一方によって発生した署名を検証する。
する好ましいディジタル署名暗号方法の略フローチャートの図2Aと、第2のプ
ロセッサ(図示せず)中で図2Aのディジタル署名を検証する好ましいディジタ
ル署名暗号方法の略フローチャートである図2Bをここで参照すると、図2Aと
2Bの方法は、本発明のある好ましい実施形態に従って動作することが分かる。
トウエアを組み合わせて実現され得ることが理解されよう。さらに、第1のプロ
セッサと第2のプロセッサは同一である。代替例として、本方法は、第1のプロ
セッサが例えばコンピュータ15中で機密漏洩しており、第2のプロセッサがス
マートカード20中で機密漏洩している、又はこの逆である図1のシステム10
によって実現されている。
いるAPPENDIX Iに記載されている。図2Aと2Bの方法の応用例は、
「油と酢」スキームとHFEスキームの基本的形態を修正し、これによってそれ
ぞれUOVとHFEVを発生するために採用されたりする。
CRYPT’99の議事録中のSpringer出版社による出版のために提出
されたAviad Kipnis、Jacque Patarink、Loui
s Goubinによる未出版の記事が含まれている。APPENDIX Iに
含まれているこの記事はまた、小さい署名を持つUOVスキームとHFEVスキ
ームの変更例を記載している。
S1は、例えば図1の発生器30や図1の発生器45や外部公開鍵発生器(図示
せず)であったりする公開鍵(図示せず)の発生器によって公開鍵として供給す
るのが好ましい(ステップ100)。
..,Pk(x1,...,xn+v,y1,...,yk)を含むのが好まし
いが、ここで、k、v及びnは整数であり、x1,...,xn+vは第1のタ
イプのn+v個の変数であり、y1,...,ykは第2のタイプのk個の変数
である。集合S1は、秘密鍵演算をk個の多項式関数P’1(a1,...,a n+v ,y1,...,yk),...,P’k(a1,...,an+v,y 1 ,...,yk)から成る集合S2に対して応用することによって得るのが好
ましいが、ここで、a1,...,an+vは、n個の「油」変数a1,...
,anから成る集合とv個の「酢」変数an+1,...,an+vから成る集
合を含むn+v個の変数である。この秘密鍵演算はn+v個の変数a1,...
,an+vに対する秘密アファイン変換sを含むことがあることが理解されよう
。
gstuhl Workshopで提示された「油と酢署名スキーム」という題
名の上記の記事に記載されているJacque Patarinの「油と酢」ス
キームの基本的形態で定義されているような「油と酢」変数のことである。
関数をそのメッセージに応用して、k個の値の列b1,...,bkを発生する
(ステップ110)のが好ましい。署名器は、例えば、図1の発生器30であっ
たり発生器45であったりする。k個の値の列b1,...,bkは、集合S2
のそれぞれの変数y1,...,ykの代わりに導入して、k個の多項式関数P
’’1(a1,...,an+v),...,P’’k(a1,...,an+ v )から成る集合S3を発生する(ステップ115)のが好ましい。したがって
、v個の値の列a’n+1,...,a’n+vはv個の「酢」変数an+1,
...,an+vに対してランダムに選択される(ステップ120)。代替例と
して、v個の値a’n+1,...,a’n+vは所定の選択アルゴリズムに従
って選択される。
’’k(a1,...,an,a’n+1,...,a’n+v)=0から成る
集合を解いて、a’1,...,a’nに対する解を得るのが好ましい(ステッ
プ125)。次に、秘密鍵演算を応用して、a’1,...,a’n+vをディ
ジタル署名e1,...,en+vに変換する(ステップ130)。
35又は検証器50を含むディジタル署名の検証器(図示せず)によって図2B
を参照して説明される方法に従って検証される。ディジタル署名を検証するため
に、検証器は、署名e1,...,en+v、メッセージ、ハッシュ関数及び公
開鍵を得るのが好ましい(ステップ200)。次に、検証器はハッシュ関数をメ
ッセージに応用して、k個の値の列b1,...,bkを発生する(ステップ2
05)。ひとたびk個の値b1,...,bkが発生すると、検証器は式P1(
e1,...,en+v,b1,...,bk)=0,...,Pk(e1,.
..,en+v,b1,...,bk)=0が満足されていることを検証するこ
とによってディジタル署名を検証するのが好ましい(ステップ210)。
Iに記載するUOVのk個の多項式関数の集合Sを含むことを集合S2に対し
て許可することによってUOVに対して用いられることが理解されよう。代替例
として、上記のディジタル署名の一般化と検証操作は、APPENDIX Iに
記載されるHFEVスキームのk個の多項式関数の集合f(a)を含むことを集
合S2に対して許可することによってHFEVに対して用いられる。
に、良く知られているRSAスキームなどの従来の数値理論暗号スキームで得ら
れるディジタル署名より小さいディジタル署名を得ることが可能となる。
多項式関数の集合Sを含んでいる場合、集合S1は、「油」変数の数nより大き
いように選択されている「酢」変数の数vを供給される。vはまた、qvが23 2 (ここで、qは集合S1、S2及びS3が提供される有限体Kのエレメントの
数である)より大きくなるように選択される。
しいが、ここで、S2’は、k個の多項式関数P’1(a1,...,an+v ,y1,...,yk),...,P’k(a1,...,an+v,y1,.
..,yk)中のy1,...,yk変数の内のどの変数を含む成分でもその全
ての係数がゼロであり、また、「酢」変数の数vが「油」変数の数nより大きい
ことを特徴としている。
nに等しくなるように選択される。このようにv個の変数を選択するために、本
発明の発明者であるAviad Kipnisと、Adi ShamirはSp
ringer、LNCS n°1462、CRYPTO’98の議事録の257
〜266ページで、基本的な「油と酢」スキームの安全保障を無効とする基本的
な「油と酢」署名スキームの暗号システムを示している。加えて、Kipnis
とShamirによって記載されたと同じ方法を応用することによって、基本的
な「油と酢」スキームは、「油」変数の数nより低いいかなる数vの「酢」変数
に対しても安全保障が無効とされることが示される。
ームは、「油と酢」スキームを「酢」変数の数vが「油」変数の数nよりも大き
くなるように修正することによって「油と酢」スキームが不平衡とされると、結
果得られる不平衡な「油と酢」(UOV)スキームは安全保障される。
して(ここでpは体Kの特性であり、また、1という付加次数である)、UOV
スキームは、不等式q(v−n)−1*n>240を満足するvの値に対して安
全保障されていると考えられる。UOVの次数が2でありp=2である場合、「
酢」変数の数vは不等式v<n2であり、q(v−1)−1*n4>240を満
足するように選択される。n2/2より大きくn2以下であるvの値に対して、
UOVはまた安全保障されていると考えられ、集合S1を解くことは、k個の式
のランダム集合を解くことを同じほど困難であると考えられることが理解されよ
う。n2より大きいvの値に対しては、UOVは安全保障されていないと考えら
れる。
的にn*(1+sqrt(3))より大きくn3/6以下であるであるvの値に
対して安全保障されていると考えられる。n3/6より大きくn3/2以下であ
るvの値に対しては、UOVはまた安全保障されていると考えられ、また、集合
S1を解くことはk個の式から成るランダム集合を解くことと同じほど困難であ
ることが理解されよう。n3/2より大きいvの値とn*(1+sqrt(3)
)未満であるvの値に対しては、UOVは安全保障されていないと信じられる。
、実質的にnより大きくn4以下であるvの値に対して安全保障されていると考
えられる。n3/6より大きくn4以下であるvの値に対して、UOVはまた安
全保障されていると考えられ、また、集合S1を解くことはk個の式から成るラ
ンダム集合を解くことと同じほど困難であることが理解されよう。n4より大き
いvの値とn未満であるvの値に対して、UOVは安全保障されていないと考え
られる。
でいる場合、集合S2は単変量多項式から誘導されたk個の関数を含む式をフッ
くんでいるのが好ましい。単変量多項式は、K上で次数nの拡大体上で100,
000以下の次数の多項式を含んでいるのが好ましい。
PENDIX Iに示す。
明の様々な特徴もまた、1つの実施形態中に組み合わされて提供されていること
が理解されよう。逆に、簡潔にするため、1つの実施形態という文脈で記載され
ている本発明の様々な特徴もまた、互いに別々に又は適切に組み合わせて提供さ
れている。
は理解されよう。むしろ、本発明の範囲は請求項によって定義されるものである
。
、本発明の好ましい実施形態に従って構成され動作するシステムの好ましい実現
例の略ブロック図である。
法であり、本発明の好ましい実施形態に従って動作する方法の略フローチャート
である。
本発明の好ましい実施形態に従って動作する方法の略フローチャートである。
鍵スキームが開発されて公開されてきた。多くの公開鍵スキームは整数n(昨今
、nは一般的には512ビットと1024ビットの間にある)を法とした算術計
算を必要とする。
較的遅く、ランダムアクセスメモリー(RAM)や他の計算リソースを大いに消
費するものと考えられている。これらの問題は、スマートカードの適用分野など
計算リソースが制限されている適用分野では特に緊急の課題である。したがって
、これらの問題を克服するために、nを法とした算術計算をあまり必要としない
他の公開鍵スキームファミリーが開発されてきた。これらの他のファミリーの中
には、例えば2と264との間の比較的小さい数学的有限体上の、k個の多変数
多項式の集合として、公開鍵が与えられるスキームがある。
場合においてはちょうど2という次数の多変数多項式である。
Patarinの「油と酢」スキームの基本形態がある。
録、419〜453ページの「効率的な署名検証とメッセージ暗号化のための公
開二次多項式組」という題名の記事に説明されている。HFEスキームは、Sp
ringer出版社、EUROCRYPT’96の議事録の33〜48ページの
「隠蔽体式(HFE)と多項式の同形(IP):非対称アルゴリズムの新しい2
つのファミリー」という題名の記事に説明されている。Jacque Pata
rinの「油と酢」スキームの基本的形態は1997年9月の暗号に関するDa
gstuhl Workshopに提出された「油と酢署名スキーム」という題
名の記事に説明されている。
キームと「油と酢」スキームの基本的形態双方の暗号解読が見つかってしまい、
Springer出版社LNCS n°1462、CRYPTO’98の議事録
の257〜266ページの「油と酢署名スキームの暗号解読」という題名の記事
中にAvoid KipnisとAdi shamirによって公開されている
という点で安全でないことが分かっている。HFEスキームの構成の弱点は「H
FE公開鍵暗号システム」と「隠蔽体式(HFE)の実際の暗号解読」という題
名の2つの非公開記事中に記載されているが現在のところ、HFEスキームは暗
号漏洩(compromise)されているとは考えられてはいない。その理由は、良く選択
され、いまだ妥当なパラメータの場合、HFEスキームを解読するために必要な
計算の回数はなおも多すぎるからである。
としたm個の未知数をもつ、k個の多項式から成る系を解く困難さに基づいたセ
キュリティを持つ新しいタイプのディジタル署名スキームが記載されており; Shamirに対する米国特許第5,375,170号には、小さい鍵を有し
、算術演算をほとんど必要としない新しいクラスの双有理順列(birational perm
utation)に基づいた新規なディジタル署名スキームが記載されている。
のである。
公開鍵を与えるディジタル署名暗号スキームのセキュリティを向上させることを
追求する。本発明は、特に、「油と酢」スキームとHFEスキームという基本的
形態のセキュリティを向上させることを追求する。本発明に従ってセキュリティ
を向上させるように修正された「油と酢」スキームは本書では不平衡「油と酢」
(UOV)スキームと呼ばれる。本発明に従ってセキュリティを向上させるよう
に修正されたHFEスキームは本書ではHFEVスキームと呼ばれる。
集合S1は、関数P1(x1,...,xn+v、y1,...,yk),..
.,Pk(x1,...,xn+v,y1,...,yk)を含むことが好まし
い。ここで、k、v及びnは整数であり、x1,...,xn+vは第1のタイ
プのn+v個の変数であり、y1,...,ykは第2のタイプのk個の変数で
ある。集合S1は秘密鍵演算をk個の多項式関数P’1(a1,...,an+ v 、y1,...yk),...P’k(a1,...,an+v,y1,..
.,yk)に対して適用することによって得ることが好ましい。ここで、a1,
...,an+vはn個の「油」変数a1,...,anの集合とv個の「酢」
変数an+1,...,an+vの集合を含むn+v個の変数である。秘密鍵演
算はn+v個の変数a1,...,an+vに対する秘密アフィン変換sを含む
ことがあることが理解されよう。
て適用されてk個の値の列b1,...,bkを発生する。このk個の値の列b 1 ,...,bkをそれぞれ集合S2の変数y1,...,ykに代入してk個
の多項式関数P’’1(a1,...,an+v),...,P’’k(a1,
...,an+v)の集合S3を発生するのが好ましい。次に、v個の値a’n +1 ,...,a’n+vをランダムに又は所定の選択アルゴリズムに従ってv
個の「酢」変数an+1,...,an+vに対して選択する。
’’k(a1,...,an,a’n+1,...,a’n+v)=0の集合を
解いて、a’1,...,a’nの解を得るのが好ましい。次に、秘密鍵演算を
適用してa’1,...,a’n+vをディジタル署名e1,...,en+v に変換する。
ュータ又はスマートカードを含む検証器によって検証される。ディジタル署名を
検証するために、検証器は、署名e1,...,en+v、メッセージ、ハッシ
ュ関数及び公開鍵を得るのが好ましい。次に、検証器はハッシュ関数をメッセー
ジに対して適用してk個の値の列b1,...,bkを発生する。ひとたびk個
の値b1,...,bkが発生すると、検証器は式P1(e1,...,en+ v ,b1,...,bk)=0,...,Pk(e1,...,en+v,b1 ,...,bk)=0が満足されることを検証することによってディジタル署名
を検証するのが好ましい。
S1を公開鍵として供給するステップであり、前記集合S1は関数P1(x1,
...,xn+v,y1,...,yk),...,Pk(x1,...,xn +v ,y1,...,yk)を含み、ここで、k、v及びnは整数であり、x1 ,...,xn+vは第1のタイプのn+v個の変数であり、y1,...,y k は第2のタイプのk個の変数であり、集合S1は秘密鍵演算をk個の多項式関
数P’1(a1,...,an+v,...,y1,...,yk),...,
P’k(a1,...,an+v,...,yk)の集合S2に適用することに
よって得られ、ここで、a1,...,an+vは、n個の「油」変数a1,.
..,anの集合とv個の「酢」変数an+1,...,an+vの集合を含む
n+v個の変数である、前記ステップと;署名されるメッセージを提供するステ
ップと;ハッシュ関数をこのメッセージに対して適用してk個の値の列b1,.
..,bkを発生するステップと;集合S2の変数y1,...,ykにそれぞ
れk個の値の列b1,...,bkを代入してk個の多項式関数P’’1(a1 ,...,an+v),...,P’’k(a1,...,an+v)の集合S
3を発生するステップと;v個の「酢」変数an+1,...,an+vに対し
てv個の値a’n+1,...,a’n+vを選択するステップと;式P’’1 (a1,...,an,a’n+1,...,a’n+v)=0,...,P’
’k(a1,...,an,a’n+1,...,a’n+v)=0の集合を解
いてa’1,...,a’nの解を得るステップと;秘密鍵演算を適用してa’ 1 ,...,a’n+vをディジタル署名e1,...,en+vに変換するス
テップと;を含むディジタル署名暗号方法を提供する。
検証ステップは:署名e1,...,en+v、メッセージ、ハッシュ関数及び
公開鍵を得るステップと;ハッシュ関数をメッセージに対して適用してk個の値
の列b1,...,bkを発生するステップと;式P1(e1,...,en+ v ,b1,...,bk)=0,...,Pk(e1,...,en+v,b1 ,...,bk)=0が満足されることを検証するステップと;を含むのが好ま
しい。
ン変換sのステップを含むのが好ましい。
ましい。このような場合、集合S2は単変量多項式から誘導されたk個の関数を
含む式を含むのが好ましい。単変量多項式は100,000以下の次数の単変量
多項式を含むのが好ましい。
。
うに選択するステップを含むのが好ましい。vは、qvが232より大きくなる
ように選択されるが、ここで、qは有限体Kのエレメントの数である。
k個の多項式関数の部分集合S2’から集合S1を得るステップを含んでいるが
、この部分集合S2’の標数は、k個の多項式関数P’1(a1,...,an +v ,y1,...,yk),...,P’k(a1,...,an+v,y1 ,...,yk)中のy1,...,ykという変数のいずれかを含む構成要素
のすべての係数がゼロであり、また、「酢」変数の数vが「油」変数の数nより
大きいことにある。
変数の数vが、次の条件:すなわち(a)次数2の「油と酢」スキーム中の体K
の2以外の各標数pに対して、vが不等式q(v−n)−1*n4>240とな
ることと、(b)次数3の「油と酢」スキーム中のp=2に対して、vがn*(
1+sqrt(3))より大きく、n3/6以下であることと、(c)次数3の
「油と酢」スキーム中の2以外の各pに対して、vがnより大きく、n4以下で
あること、の内の1つを満足するように選択されるのが好ましい。「酢」変数の
数vは、次数2の「油と酢」スキーム中の体Kの標数p=2に対して不等式v<
n2、q(v−n)−1*n4>240を満足するように選択されるのが好まし
い。
が、この改善は「油」変数より多い数の「酢」変数を用いるステップを含んでい
る。「酢」変数の数vは、次の条件:すなわち(a)体Kの2以外の各標数pと
次数2の「油と酢」署名方法に対して、vが不等式q(v−n)−1*n4>2 40 を満足することと、(b)p=2と次数3の「油と酢」署名方法に対して、
vがn*(1+sqrt(3))より大きくn3/6以下であるということと、
(c)2以外の各pと次数3の「油と酢」署名方法に対して、vがnより大きく
、また、n4以下であること、の内の一を満足する用に選択されるのが好ましい
。「酢」変数の数vは、次数2の「油と酢」スキーム中の体Kの標数p=2に対
して不等式v<n2とq(v−n)−1*n4>240を満足するように選択さ
れるのが好ましい。
よる出版用に提出されたAviad Kipnis、Jacque Patar
in及びLouis Goubinによる、UOVスキームとHFEVスキーム
の変形形態を説明している記事である。
すなわち本発明のある好ましい実施形態に従って構成され動作するシステム10
の好ましい実現例の略ブロック図である図1を参照されたい。
通信する、汎用コンピュータなどのコンピュータ15を含むのが好ましい。コン
ピュータ15は、通信バス40を介して互いに通信するディジタル署名発生器3
0とディジタル署名検証器35を含むのが好ましい。スマートカード20は、通
信バス55を介して互いに通信するディジタル署名発生器45とディジタル署名
検証器50を含むのが好ましい。
ッセージの受領器とが、公開された公開鍵と用いられるハッシュ関数とに関して
一致することが理解されよう。ハッシュ関数が暗号漏洩している場合、署名器と
受領器はハッシュ関数を変更することに同意する。公開鍵の発生器は署名器でも
受領器でもある必要がないことが理解されよう。
生器45の内の一方によって発生される署名を検証するのが好ましい。同様に、
ディジタル署名検証器50は、ディジタル署名発生器30とディジタル署名発生
器45の内の一方によって発生した署名を検証する。
する好ましいディジタル署名暗号方法の略フローチャートの図2Aと、第2のプ
ロセッサ(図示せず)中で図2Aのディジタル署名を検証する好ましいディジタ
ル署名暗号方法の略フローチャートである図2Bをここで参照すると、図2Aと
2Bの方法は、本発明のある好ましい実施形態に従って動作することが分かる。
フトウエアを組み合わせて実現され得ることが理解されよう。さらに、第1のプ
ロセッサと第2のプロセッサは同一であってもよい。代替例としては、本方法は
、第1のプロセッサが例えばコンピュータ15中で暗号漏洩しており、第2のプ
ロセッサがスマートカード20中で暗号漏洩している、又はこの逆である図1の
システム10によって実現されている。
いる付録Iに記載されている。図2Aと2Bの方法の適用例は、「油と酢」スキ
ームとHFEスキームの基本的形態を修正し、これによってそれぞれUOVとH
FEVをもたらすために採用されうる。
9の議事録中のSpringer出版社による出版のために提出されたAvia
d Kipnis、Jacque Patarink、Louis Goubi
nによる未出版の記事が含まれている。付録Iに含まれているこの記事はまた、
小さい署名を持つ、UOVスキームとHFEVスキームの変形形態を記載してい
る。
、例えば図1の発生器30や図1の発生器45や外部公開鍵発生器(図示せず)
であったりする公開鍵(図示せず)の発生器によって公開鍵として供給されるの
が好ましい(ステップ100)。
..,Pk(x1,...,xn+v,y1,...,yk)を含むのが好まし
い。ここで、k、v及びnは整数であり、x1,...,xn+vは第1のタイ
プのn+v個の変数であり、y1,...,ykは第2のタイプのk個の変数で
ある。集合S1は、秘密鍵演算をk個の多項式関数P’1(a1,...,an +v ,y1,...,yk),...,P’k(a1,...,an+v,y1 ,...,yk)の集合S2に対して適用することによって得るのが好ましいが
、ここで、a1,...,an+vは、n個の「油」変数a1,...,anの
集合とv個の「酢」変数an+1,...,an+vの集合を含むn+v個の変
数である。この秘密鍵演算はn+v個の変数a1,...,an+vに対する秘
密アフィン変換sを含むことがあることが理解されよう。
gstuhl Workshopで提示された「油と酢署名スキーム」という題
名の上記の記事に記載されているJacque Patarinの「油と酢」ス
キームの基本的形態で定義されているような「油と酢」変数のことである。
関数をそのメッセージに適用して、k個の値の列b1,...,bkを発生する
(ステップ110)のが好ましい。署名器は、例えば、図1の発生器30であっ
たり発生器45であったりする。k個の値の列b1,...,bkは、集合S2
のそれぞれの変数y1,...,ykに代入して、k個の多項式関数P’’1(
a1,...,an+v),...,P’’k(a1,...,an+v)の集
合S3を発生する(ステップ115)のが好ましい。したがって、v個の値の列
a’n+1,...,a’n+vはv個の「酢」変数an+1,...,an+ v に対してランダムに選択される(ステップ120)。代替例として、v個の値
a’n+1,...,a’n+vは所定の選択アルゴリズムに従って選択される
。
’’k(a1,...,an,a’n+1,...,a’n+v)=0の集合を
解いて、a’1,...,a’nに対する解を得るのが好ましい(ステップ12
5)。次に、秘密鍵演算を適用して、a’1,...,a’n+vをディジタル
署名e1,...,en+vに変換する(ステップ130)。
5又は検証器50を含むことができるディジタル署名の検証器(図示せず)によ
って図2Bを参照して説明される方法に従って検証される。ディジタル署名を検
証するために、検証器は、署名e1,...,en+v、メッセージ、ハッシュ
関数及び公開鍵を得るのが好ましい(ステップ200)。次に、検証器はハッシ
ュ関数をメッセージに適用して、k個の値の列b1,...,bkを発生する(
ステップ205)。ひとたびk個の値b1,...,bkが発生すると、検証器
は式P1(e1,...,en+v,b1,...,bk)=0,...,Pk (e1,...,en+v,b1,...,bk)=0が満足されることを検証
することによってディジタル署名を検証するのが好ましい(ステップ210)。
OVのk個の多項式関数の集合Sを含むことを集合S2に対して許可することに
よってUOVに対して用いられることが理解されよう。代替例として、上記のデ
ィジタル署名の発生と検証操作は、付録Iに記載されるHFEVスキームのk個
の多項式関数の集合f(a)を含むことを集合S2に対して許可することによっ
てHFEVに対して用いられることもできる。
Aスキームなどの従来の数値理論暗号スキームで得られるディジタル署名より、
一般的に小さいディジタル署名を得ることが可能となる。
多項式関数の集合Sを含んでいる場合、集合S1は、「油」変数の数nより大き
いように選択されている「酢」変数の数vを与えられる。vはまた、qvが23 2 (ここで、qは集合S1、S2及びS3が与えられる有限体Kのエレメントの
数である)より大きくなるように選択される。
しいが、ここで、S2’は、k個の多項式関数P’1(a1,...,an+v ,y1,...,yk),...,P’k(a1,...,an+v,y1,.
..,yk)中のy1,...,yk変数の内のどの変数を含む構成要素でも全
ての係数がゼロであり、また、「酢」変数の数vが「油」変数の数nより大きい
ことを特徴としている。
nに等しくなるように選択される。このようにv個の変数を選択するために、本
発明の発明者の一人であるAviad Kipnisと、Adi Shamir
はSpringer、LNCS n°1462、CRYPTO’98の議事録の
257〜266ページで、基本的「油と酢」スキームの安全性を無効とする、暗
号シ解読を示している。加えて、KipnisとShamirによって記載され
たと同じ方法を適用することによって、基本的「油と酢」スキームは、「油」変
数の数nより低いいかなる数vの「酢」変数に対しても安全性が無効とされるこ
とが示される。
酢」スキームを「酢」変数の数vが「油」変数の数nよりも大きくなるように修
正することによって不平衡にされると、結果として得られる不平衡な「油と酢」
(UOV)スキームは安全性があることを発見した。
して(ここでpは体Kの標数であり、また1の付加次数である)、UOVスキー
ムは、不等式q(v−n)−1*n>240を満足するvの値に対して安全であ
ると考えられる。UOVの次数が2でありp=2である場合、「酢」変数の数v
は、不等式v<n2であり、q(v−n)−1*n4>240を満足するように
選択されうる。n2/2より大きくn2以下であるvの値に対して、UOVはま
た安全であると考えられ、集合S1を解くことは、k個の式のランダム集合を解
くことと同じほど困難であると考えられることが理解されよう。n2より大きい
vの値に対しては、UOVは安全でないと考えられる。
的にn*(1+sqrt(3))より大きくn3/6以下であるであるvの値に
対して安全であると考えられる。n3/6より大きくn3/2以下であるvの値
に対しては、UOVはやはり安全であると考えられ、また、集合S1を解くこと
はk個の式のランダム集合を解くことと同じほど困難であることが理解されよう
。n3/2より大きいvの値とn*(1+sqrt(3))未満であるvの値に
対しては、UOVは安全でないと考えられる。
、実質的にnより大きくn4以下であるvの値に対して安全であると考えられる
。n3/6より大きくn4以下であるvの値に対して、UOVはまた安全である
と考えられ、また、集合S1を解くことはk個の式のランダム集合を解くことと
同じほど困難であることが理解されよう。n4より大きいvの値とn未満である
vの値に対して、UOVは安全でないと考えられる。
場合、集合S2は単変量多項式から誘導されたk個の関数を含む式を含くんでい
るのが好ましい。単変量多項式は、K上の次数nの拡大体上で100,000以
下の次数の多項式を含んでいるのが好ましい。
Iに示す。
発明の様々な特徴もまた、1つの実施形態中に組み合わされて提供されているこ
とが理解されよう。逆に、簡潔にするため、1つの実施形態を説明する中で記載
されている本発明の様々な特徴もまた、互いに別々に又は適切に組み合わせて提
供されうる。
には理解されよう。むしろ、本発明の範囲は請求項によって定義されるものであ
る。
、本発明の好ましい実施形態に従って構成され動作するシステムの好ましい実現
例の略ブロック図である。
法であり、本発明の好ましい実施形態に従って動作する方法の略フローチャート
である。
本発明の好ましい実施形態に従って動作する方法の略フローチャートである。
Claims (17)
- 【請求項1】 k個の多項式関数から成る集合S1を公開鍵として供給する
ステップであり、前記集合S1が関数P1(x1,...,xn+v,y1,.
..,yk),...,Pk(x1,...,xn+v,y1,...,yk)
を含み、ここで、k、v及びnは整数であり、x1,...,xn+vは第1の
タイプのn+v個の変数であり、y1,...,ykは第2のタイプのk個の変
数であり、前記集合S1が、k個の多項式関数P’1(a1,...,an+v ,y1,...,yk),...,P’k(a1,...,an+v,y1,.
..,yk)から成る集合S2に対して秘密鍵演算を応用することによって得ら
れ、ここで、a1,...,an+vは、n個の「油」変数a1,...,an から成る集合とv個の「酢」変数an+1,...,an+vから成る集合を含
むn+v個の変数である、前記ステップと; 署名されるメッセージを提供するステップと; 前記メッセージに対してハッシュ関数を応用して、k個の値の列b1,...
,bkを発生するステップと; 前記k個の値の列b1,...,bkを前記集合S2のそれぞれの変数y1,
...,ykの代わりに導入して、k個の多項式関数P’’1(a1,...,
an+v),...,P’’k(a1,...,an+v)から成る集合S3を
発生するステップと; 前記v個の「酢」変数an+1,...,an+vに対してv個の変数a’n +1 ,...,a’n+vを選択するステップと; 式P’’1(a1,...,an,a’n+1,...,a’n+v)=0,
...,P’’k(a1,...,an,a’n+1,...,a’n+v)=
0から成る集合を解いて、a’1,...,a’nの解を得るステップと; 秘密鍵演算を応用して、a’1,...,a’n+vをディジタル署名e1,
...,en+vに変換するステップと; を含むディジタル署名暗号方法 - 【請求項2】 前記ディジタル署名を検証するステップをさらに含む、請求
項1に記載の方法。 - 【請求項3】 前記検証ステップが: 前記署名e1,...,en+v、前記メッセージ、前記ハッシュ関数及び前
記恋迂回鍵を得るステップと; 前記ハッシュ関数を前記メッセージに対して応用して、k個の値の列b1,.
..,bkを発生するステップと; 式P1(e1,...,en+v,b1,...,bk)=0,...,Pk (e1,...,en+v,b1,...,bk)=0が満足されたことを検証
するステップと; を含む、請求項2に記載の方法。 - 【請求項4】 前記集合S2がHFEVスキームのk個の多項式関数から成
る集合f(a)を含む、請求項1に記載の方法。 - 【請求項5】 前記集合S2がUOVスキームのk個の多項式関数から成る
集合Sを含む、請求項1に記載の方法。 - 【請求項6】 前記供給ステップが、「酢」変数の数vを「油」変数の数n
より大きくなるように選択するステップを含む、請求項1に記載の方法。 - 【請求項7】 qvが232より大きくなるようにvが選択され、ここでq
が有限体Kのエレメントの数である、請求項1に記載の方法。 - 【請求項8】 前記供給ステップが、前記集合S2のk個の多項式関数から
成るサブ集合S2’から前記集合S1を得るステップを含み、前記サブ集合S2
’が、前記k個の多項式関数P’1(a1,...,an+v,y1,...y k ),...,Pk(a1,...,an+v,y1,...,yk)中のy1 ,...,yk変数のいずれでも含む成分はその全ての係数がゼロであり、また
、「酢」変数の数vが「油」変数の数nより大きいことを特徴とする、請求項1
に記載の方法。 - 【請求項9】 前記集合S2が、UOVスキームのk個の多項式関数から成
る集合Sを含み、また、「酢」変数の数vが: (a)次数2の「油と酢」スキームにおける体Kの2以外の各特性pに対して、
vが不等式q(v−1)−1*n4>240を満足する条件と; (b)次数3の「油と酢」スキームにおけるp=2に対して、vがn*(1+s
qrt(3))でn3/6以下である条件と; (c)次数3の「油と酢」スキームにおける2以外の各pに対して、vがnより
大きくn4以下である条件と; の内の1つの条件を満足するように選択される、請求項8に記載の方法。 - 【請求項10】 前記集合S2が、UOVスキームのk個の多項式関数から
成る集合Sを含み、また、「酢」変数の数vが、次数2の「油と酢」スキームに
おける体Kの特性p=2に対して不等式v<n2とq(v−1)−1*n4>2 40 を満足するように選択される、請求項8に記載の方法。 - 【請求項11】 前記秘密鍵演算が、n+v個の変数a1,...,an+ v に対する秘密アファイン変換を含む、請求項1に記載の方法。
- 【請求項12】 前記集合S2が単変量多項式から誘導されたk個の関数を
含む式を含む、請求項4に記載の方法。 - 【請求項13】 前記単変量多項式が100,000以下の次数の単変量多
項式を含む、請求項12に記載の方法。 - 【請求項14】 請求項1に記載のディジタル署名を検証する暗号方法にお
いて、前記方法が: 前記署名e1,...,en+v、前記メッセージ、前記ハッシュ関数及び前
記公開鍵を得るステップと; 前記ハッシュ関数を前記メッセージに対して応用して、k個の値の列b1,.
..,bkを発生するステップと; 式P1(e1,...,en+v,b1,...,bk)=0,...,Pk (e1,...,en+v,b1,..,bk)=0が満足されていることを検
証するステップと; を含む方法。 - 【請求項15】 「油と酢」署名方法において、改善が「油」変数より多く
の「酢」変数を用いるステップを含む方法。 - 【請求項16】 「酢」変数の数vが: (a)体Kの各特性pが2以外であり「油と酢」署名方法の次数が2である場合
、vが不等式q(v−1)−1*n4>240を満足する条件と; (b)p=2であり前記「油と酢」署名方法の次数が3である場合、vがn*(
1+sqrt(3))でn3/6以下である条件と; (c)各pが2以外であり、前記「油と酢」署名方法の次数が3である場合、v
がnより大きくn4以下である条件と; の内の1つを満足するように選択される、請求項15に記載の方法。 - 【請求項17】 前記集合S2がUOVスキームのk個の多項式関数から成
る集合Sを含み、また、「酢」変数の数vが、次数2の「油と酢」スキームにお
ける体Kの特性p=2に対して不等式v<n2とq(v−1)−1*n4>24 0 を満足するように選択される、請求項15に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP99401048.6 | 1999-04-29 | ||
EP99401048A EP1049289B1 (en) | 1999-04-29 | 1999-04-29 | Public-key signature methods and systems |
PCT/IB2000/000692 WO2000067423A1 (en) | 1999-04-29 | 2000-04-28 | Public-key signature methods and systems |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005114430A Division JP2005253107A (ja) | 1999-04-29 | 2005-04-12 | 公開鍵を署名する方法とシステム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2002543478A true JP2002543478A (ja) | 2002-12-17 |
JP2002543478A5 JP2002543478A5 (ja) | 2005-12-22 |
JP4183387B2 JP4183387B2 (ja) | 2008-11-19 |
Family
ID=8241961
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000616162A Expired - Lifetime JP4183387B2 (ja) | 1999-04-29 | 2000-04-28 | 公開鍵を署名する方法とシステム |
JP2005114430A Pending JP2005253107A (ja) | 1999-04-29 | 2005-04-12 | 公開鍵を署名する方法とシステム |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005114430A Pending JP2005253107A (ja) | 1999-04-29 | 2005-04-12 | 公開鍵を署名する方法とシステム |
Country Status (12)
Country | Link |
---|---|
US (1) | US7100051B1 (ja) |
EP (1) | EP1049289B1 (ja) |
JP (2) | JP4183387B2 (ja) |
CN (1) | CN1285191C (ja) |
AU (1) | AU774346B2 (ja) |
BR (1) | BRPI0006085B1 (ja) |
DE (1) | DE69920875T2 (ja) |
DK (1) | DK1049289T3 (ja) |
ES (1) | ES2230814T3 (ja) |
HK (1) | HK1039004B (ja) |
IL (1) | IL135647A (ja) |
WO (1) | WO2000067423A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011033642A1 (ja) * | 2009-09-17 | 2011-03-24 | 株式会社 東芝 | 署名生成装置及び署名検証装置 |
JP2021145278A (ja) * | 2020-03-13 | 2021-09-24 | 日本電信電話株式会社 | 鍵生成装置、鍵生成方法及びプログラム |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2810139B1 (fr) * | 2000-06-08 | 2002-08-23 | Bull Cp8 | Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede |
US7502770B2 (en) * | 2001-04-11 | 2009-03-10 | Metaweb Technologies, Inc. | Knowledge web |
US7844610B2 (en) * | 2003-12-12 | 2010-11-30 | Google Inc. | Delegated authority evaluation system |
US20030196094A1 (en) * | 2002-04-10 | 2003-10-16 | Hillis W. Daniel | Method and apparatus for authenticating the content of a distributed database |
US8069175B2 (en) * | 2002-04-10 | 2011-11-29 | Google Inc. | Delegating authority to evaluate content |
US20030195834A1 (en) * | 2002-04-10 | 2003-10-16 | Hillis W. Daniel | Automated online purchasing system |
US7600118B2 (en) * | 2002-09-27 | 2009-10-06 | Intel Corporation | Method and apparatus for augmenting authentication in a cryptographic system |
US8012025B2 (en) * | 2002-12-13 | 2011-09-06 | Applied Minds, Llc | Video game controller hub with control input reduction and combination schemes |
AU2003297193A1 (en) | 2002-12-13 | 2004-07-09 | Applied Minds, Inc. | Meta-web |
US20050131918A1 (en) * | 2003-12-12 | 2005-06-16 | W. Daniel Hillis | Personalized profile for evaluating content |
CN1870499B (zh) * | 2005-01-11 | 2012-01-04 | 丁津泰 | 产生新的多变量公钥密码系统的方法 |
US7961876B2 (en) * | 2005-01-11 | 2011-06-14 | Jintai Ding | Method to produce new multivariate public key cryptosystems |
WO2007057610A1 (fr) * | 2005-11-18 | 2007-05-24 | France Telecom | Systeme et procede cryptographique d'authentification ou de signature |
FR2916317B1 (fr) * | 2007-05-15 | 2009-08-07 | Sagem Defense Securite | Protection d'execution d'un calcul cryptographique |
CN101321059B (zh) * | 2007-06-07 | 2011-02-16 | 管海明 | 一种用于编码和译码数字消息的方法和系统 |
FR2918525A1 (fr) * | 2007-07-06 | 2009-01-09 | France Telecom | Procede asymetrique de chiffrement ou de verification de signature. |
CN101227286B (zh) * | 2008-01-31 | 2010-04-14 | 北京飞天诚信科技有限公司 | 一种生成消息认证码的方法 |
JP2011107528A (ja) | 2009-11-19 | 2011-06-02 | Sony Corp | 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム |
IL205803A0 (en) | 2010-05-16 | 2010-12-30 | Yaron Sella | Collision-based signature scheme |
IL206139A0 (en) | 2010-06-02 | 2010-12-30 | Yaron Sella | Efficient multivariate signature generation |
IL207918A0 (en) | 2010-09-01 | 2011-01-31 | Aviad Kipnis | Attack-resistant multivariate signature scheme |
JP5790287B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム、及び記録媒体 |
RU2016104527A (ru) * | 2013-07-12 | 2017-08-18 | Конинклейке Филипс Н.В. | Электронная система подписи |
CN103457726B (zh) * | 2013-08-26 | 2016-12-28 | 华南理工大学 | 基于矩阵的多变量公钥加密方法 |
CN103780383B (zh) * | 2014-01-13 | 2017-05-31 | 华南理工大学 | 一种基于超球面的多变量公钥签名/验证系统及方法 |
CN104009848B (zh) * | 2014-05-26 | 2017-09-29 | 华南理工大学 | 一种混合型的多变量数字签名系统及方法 |
CN105245343B (zh) * | 2015-09-22 | 2018-09-14 | 华南理工大学 | 一种基于多变量密码技术的在线离线签名系统及方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NZ240019A (en) * | 1991-09-30 | 1996-04-26 | Peter John Smith | Public key encrypted communication with non-multiplicative cipher |
US5375170A (en) | 1992-11-13 | 1994-12-20 | Yeda Research & Development Co., Ltd. | Efficient signature scheme based on birational permutations |
US5263085A (en) | 1992-11-13 | 1993-11-16 | Yeda Research & Development Co. Ltd. | Fast signature scheme based on sequentially linearized equations |
FR2737370B1 (fr) * | 1995-07-27 | 1997-08-22 | Bull Cp8 | Procede de communication cryptographique |
FR2744309B1 (fr) * | 1996-01-26 | 1998-03-06 | Bull Cp8 | Procede de communicatin cryptographique asymetrique, et objet portatif associe |
US6076163A (en) * | 1997-10-20 | 2000-06-13 | Rsa Security Inc. | Secure user identification based on constrained polynomials |
-
1999
- 1999-04-29 ES ES99401048T patent/ES2230814T3/es not_active Expired - Lifetime
- 1999-04-29 EP EP99401048A patent/EP1049289B1/en not_active Expired - Lifetime
- 1999-04-29 DE DE69920875T patent/DE69920875T2/de not_active Expired - Lifetime
- 1999-04-29 DK DK99401048T patent/DK1049289T3/da active
-
2000
- 2000-04-13 IL IL135647A patent/IL135647A/en not_active IP Right Cessation
- 2000-04-19 US US09/552,115 patent/US7100051B1/en not_active Expired - Lifetime
- 2000-04-28 WO PCT/IB2000/000692 patent/WO2000067423A1/en active IP Right Grant
- 2000-04-28 AU AU46028/00A patent/AU774346B2/en not_active Expired
- 2000-04-28 CN CNB008010382A patent/CN1285191C/zh not_active Expired - Lifetime
- 2000-04-28 BR BRPI0006085A patent/BRPI0006085B1/pt active IP Right Grant
- 2000-04-28 JP JP2000616162A patent/JP4183387B2/ja not_active Expired - Lifetime
-
2002
- 2002-01-22 HK HK02100489.6A patent/HK1039004B/zh not_active IP Right Cessation
-
2005
- 2005-04-12 JP JP2005114430A patent/JP2005253107A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011033642A1 (ja) * | 2009-09-17 | 2011-03-24 | 株式会社 東芝 | 署名生成装置及び署名検証装置 |
JP2021145278A (ja) * | 2020-03-13 | 2021-09-24 | 日本電信電話株式会社 | 鍵生成装置、鍵生成方法及びプログラム |
JP7322763B2 (ja) | 2020-03-13 | 2023-08-08 | 日本電信電話株式会社 | 鍵生成装置、鍵生成方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
AU4602800A (en) | 2000-11-17 |
IL135647A (en) | 2010-11-30 |
BR0006085A (pt) | 2001-03-20 |
JP2005253107A (ja) | 2005-09-15 |
IL135647A0 (en) | 2001-05-20 |
AU774346B2 (en) | 2004-06-24 |
DE69920875D1 (de) | 2004-11-11 |
WO2000067423A1 (en) | 2000-11-09 |
DK1049289T3 (da) | 2005-02-14 |
HK1039004A1 (en) | 2002-04-04 |
US7100051B1 (en) | 2006-08-29 |
CN1285191C (zh) | 2006-11-15 |
ES2230814T3 (es) | 2005-05-01 |
BRPI0006085B1 (pt) | 2016-05-10 |
DE69920875T2 (de) | 2005-10-27 |
JP4183387B2 (ja) | 2008-11-19 |
CN1314040A (zh) | 2001-09-19 |
EP1049289B1 (en) | 2004-10-06 |
EP1049289A1 (en) | 2000-11-02 |
HK1039004B (zh) | 2007-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2002543478A (ja) | 公開鍵を署名する方法とシステム | |
Joux | Algorithmic cryptanalysis | |
Hellman | An overview of public key cryptography | |
US7574596B2 (en) | Cryptographic method and apparatus | |
US7912216B2 (en) | Elliptic curve cryptosystem optimization using two phase key generation | |
US7986778B2 (en) | Cryptographic method and apparatus | |
JP2008203548A (ja) | 二次双曲線群を使用する鍵生成方法、復号方法、署名検証方法、鍵ストリーム生成方法および装置。 | |
CN115102688B (zh) | 数据处理方法、多项式计算方法及电子设备 | |
GB2401012A (en) | Identifier-based encryption | |
US20110211697A1 (en) | System and method for the calculation of a polynomial-based hash function and the erindale-plus hashing algorithm | |
JP2001066989A (ja) | 一方向性関数生成方法,一方向性関数値生成装置,証明装置,認証方法および認証装置 | |
US20040086113A1 (en) | Methods for point compression for jacobians of hyperelliptic curves | |
US6111952A (en) | Asymmetrical cryptographic communication method and portable object therefore | |
Andreeva et al. | COBRA: A parallelizable authenticated online cipher without block cipher inverse | |
Heninger | RSA, DH, and DSA in the Wild | |
Berbain et al. | Efficient implementations of multivariate quadratic systems | |
US20110317840A1 (en) | System and method of performing authentication | |
Stallings | Digital signature algorithms | |
US7233662B2 (en) | Numerical array output device, a numerical array output method, an encryption device, and a decryption device | |
Andreevich et al. | On Using Mersenne Primes in Designing Cryptoschemes | |
Zia Ullah Bashir et al. | Cryptanalysis and improvement of a blind multi-document signcryption scheme | |
Ding et al. | Hidden Field Equations | |
Yadav et al. | Hybrid cryptography approach to secure the data in computing environment | |
WO2009090519A1 (en) | Efficient reconstruction of a public key from an implicit certificate | |
Easttom | More approaches to quantum-resistant cryptography |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040518 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20040812 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20040826 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20041104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041105 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041221 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20050412 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050413 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20050525 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20060707 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071004 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071010 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080109 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080422 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080428 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080728 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080902 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110912 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4183387 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120912 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120912 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130912 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |