JP2002543478A - 公開鍵を署名する方法とシステム - Google Patents

公開鍵を署名する方法とシステム

Info

Publication number
JP2002543478A
JP2002543478A JP2000616162A JP2000616162A JP2002543478A JP 2002543478 A JP2002543478 A JP 2002543478A JP 2000616162 A JP2000616162 A JP 2000616162A JP 2000616162 A JP2000616162 A JP 2000616162A JP 2002543478 A JP2002543478 A JP 2002543478A
Authority
JP
Japan
Prior art keywords
vinegar
variables
oil
scheme
digital signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000616162A
Other languages
English (en)
Other versions
JP2002543478A5 (ja
JP4183387B2 (ja
Inventor
パタラン,ジヤツク
キプニス,アビアド
グバン,ルイ
Original Assignee
ブル・セー・ペー・8
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ブル・セー・ペー・8 filed Critical ブル・セー・ペー・8
Publication of JP2002543478A publication Critical patent/JP2002543478A/ja
Publication of JP2002543478A5 publication Critical patent/JP2002543478A5/ja
Application granted granted Critical
Publication of JP4183387B2 publication Critical patent/JP4183387B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Optimization (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Complex Calculations (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 本発明はディジタル署名のための暗号方法を提供する。k個の多項式関数P,...,xn+v,y,...,yから成る集合S1が公開鍵として供給されるが、ここで、k、v及びnは整数であり、x,...,xn+vは第1にタイプのn+v個の変数であり、y,...,yは第2のタイプのk個の変数であり、集合S1は、k個の多項式関数P’,...,an+v,y,...,yから成る所与の集合S2に対して秘密鍵演算を応用することによって得られ、a,...,an+vはn個の「油」変数とv個の「酢」変数から成る集合を含むn+v個の変数を示している。署名されるメッセージが提供され、ハッシュ関数に提供されて、k個の値の列b,...,bを発生する。これらのk個の値は集合S2のk個の変数y,...,yの代わりに導入されて、k個の多項式関数P’’,...,an+vから成る集合S3を発生させ、また、v個の値a’n+1,...,a’n+vがv個の「酢」変数に対して選択される。式P’’,...,an+v=0の集合を解いてa’,...,a’の解法を得て、秘密鍵演算を応用して、この解をディジタル署名に変換する。

Description

【発明の詳細な説明】
【0001】 (技術分野) 本発明は一般的には暗号に関し、より特定的には公開鍵暗号に関する。
【0002】 (背景技術) 最初の公開鍵暗号スキームは1975年に導入された。それ以来、多くの公開
鍵スキームが開発されて公開されてきた。多くの公開鍵スキームは整数n(ここ
で、nは一般的には512ビットと1024ビットの間にある)を法とした算術
計算を必要とする。
【0003】 ビット数nの値が比較的大きいため、このような公開鍵スキームは、動作が比
較的遅く、ランダムアクセスメモリー(RAM)や他の計算リソースを大いに消
費するものと考えられている。これらの問題は、スマートカードという応用分野
などの計算リソースが制限されている応用分野では特に緊急の課題である。した
がって、これらの問題を克服するために、nを法とした算術計算をあまり必要と
しない他の公開鍵スキームファミリーが開発されてきた。これらの他のファミリ
ーの中には、公開鍵がk個の多変数の多項式の集合として比較的小さい、例えば
2と264という数学的有限体にわたって与えられるスキームがある。
【0004】 このk個の多変数多項式の集合は次のように書くことが可能である: y=P(x,...x) y=P(x,...x) . . . y=P(x,...x) ここで、P,...,Pは、小さい総次数、一般的には8以下、多くの場
合においては正確に2という次数の多変数多項式である。
【0005】 このようなスキームの例には、T.MatsumotoとH.ImaiのC スキーム、Jacque PatarinのHFEスキーム及びJacque
Patarinの「油と酢」スキームの基本形態がある。
【0006】 Cスキームは、Springer出版社、EUROCRYPT’88の議事
録、419〜453ページの「効果的な署名検証とメッセージ暗号化のための公
開二次式」という題名の記事に説明されている。HFEスキームは、Sprin
ger出版社、EUROCRYPT’96の議事録の33〜48ページの「隠蔽
体式(HFE)と多項式(IP)の同形:非対称的アルゴリズムの新しい2つの
ファミリー」という題名の記事に説明されている。Jacque Patari
nの「油と酢」スキームの基本的形態は1997年9月の暗号に関するDags
tuhl Workshopに提出された「油と酢署名スキーム」という題名の
記事に説明されている。
【0007】 しかしながら、Cスキームと「油と酢」スキームの基本的形態とは、C
キームと「油と酢」スキームの基本的形態とが双方共見つかってしまい、Spr
inger出版社LNCS n°1462、CRYPTO’98の議事録の25
7〜266ページの「油と酢署名スキームの暗号分析」という題名の記事中に公
開されているという点で安全保障されていないことが分かっている。HFEスキ
ームの構成の弱点は「HFE公開鍵暗号システム」と「隠蔽体式(HFE)の実
際の暗号分析」という題名の2つの記事中に記載されているが現在のところ、H
FEスキームは機密漏洩されているとは考えられてはいないがその理由は、良好
に選択され、いまだ根拠あるパラメータの場合、HFEスキームを解読するため
に必要な計算の回数はそれでも多量なものであるからである。
【0008】 関連技術の一部の態様が次の刊行物に記載されている: Shamirに対する米国特許第5,263,085号に、mを未知数、aを
法、nを合成数としたk個の多項式から成るシステムを解く困難さに基づいたセ
キュリティを持つ新しいタイプのディジタル署名スキームが記載されており; Shamirに対する米国特許第5,375,170号には、小さい鍵を有し
、算術演算をほとんど必要としない新しいクラスの双有理順列に基づいた新規な
ディジタル署名スキームが記載されている。
【0009】 上記の全ての参照文献と本明細書の開示はここに参照して組み込まれるもので
ある。
【0010】 (発明の開示) 本発明は、公開鍵をk個の多変数多項式の集合として、一般的には有限の数学
体Kにわたって与えるディジタル署名暗号スキームのセキュリティを向上させる
ことを追求する。本発明は、特に、「油と酢」スキームとHFEスキームという
基本的形態のセキュリティを向上させることを追求する。本発明に従ってセキュ
リティを向上させるように修正された「油と酢」スキームは本書では不平衡「油
と酢」(UOV)スキームと呼ばれる。本発明に従ってセキュリティを向上させ
るように修正されたHFEスキームは本書ではHFEVスキームと呼ばれる。
【0011】 本発明においては、k個の多項式関数の集合S1は公開鍵として供給される。
集合S1は、関数P(x,...,xn+v、y,...,y),..
.,P(x,...,xn+v,y,...,y)を含むことが好まし
いが、ここで、k、v及びnは整数であり、x,...,xn+vは第1のタ
イプのn+v個の変数であり、y,...,yは第2のタイプのk個の変数
である。集合S1は秘密鍵演算をk個の多項式関数P’(a,...,a +v 、y,...y),...P’(a,...,an+v,y,.
..,y)に対して応用することによって得ることが好ましいが、ここで、a ,...,an+vはn個の「油」変数a,...,aから成る集合とv
個の「酢」変数an+1,...,an+vから成る集合を含むn+v個の変数
である。秘密鍵演算はn+v個の変数a,...,an+vに対する秘密アフ
ァイン変換sを含むことがあることが理解されよう。
【0012】 署名すべきメッセージが提供されると、ハッシュ関数がそのメッセージに対し
て応用されてk個の値から成る列b,...,bを発生する。このk個の変
数から成る列b,...,bをそれぞれ集合S2の変数y,...,y の代わりに用いてk個の多項式関数P’’(a,...,an+v),..
.,P’’(a,...,an+v)から成る集合S3を発生するのが好ま
しい。次に、v個の値a’n+1,...,a’n+vをランダムに又は所定の
選択アルゴリズムに従ってv個の「酢」変数値an+1,...,an+vに対
して選択する。
【0013】 ひとたびv個の変数a’n+1,...,a’n+vが選択されると、式P’
(a,...,a,a’n+1,...,a’n+v)=0,...,
P’’(a,...,a,a’n+1,...,a’n+v)=0の集合
を解いて、a’,...,a’の解を得るのが好ましい。次に、秘密鍵演算
を応用してa’,...,a’n+vをディジタル署名e,...,en+ に変換する。
【0014】 このように発生したディジタル署名e,...,en+vは、例えばコンピ
ュータ又はスマートカードを含む検証器によって検証される。ディジタル署名を
検証するために、検証器は、署名e,...,en+v、メッセージ、ハッシ
ュ関数及び公開鍵を得るのが好ましい。次に、検証器はハッシュ関数をメッセー
ジに対して応用してk個の値の列b,...,bを発生する。ひとたびk個
の値b,...,bが発生すると、検証器は式P(e,...,en+ ,b,...,b)=0,...,P(e,...,en+v,b ,...,b)=0が満足されることを検証することによってディジタル署名
を検証するのが好ましい。
【0015】 このようにして、本発明による好ましい実施形態は、k個の多項式関数の集合
S1を公開鍵として供給するステップであり、前記集合S1は関数P(x
...,xn+v,y,...,y),...,P(x,...,x +v ,y,...,y)を含み、ここで、k、v及びnは整数であり、x ,...,xn+vは第1のタイプのn+v個の変数であり、y,...,y は第2のタイプのk個の変数であり、集合S1は秘密鍵演算をk個の多項式関
数P’(a,...,an+v,...,y,...,y),...,
P’(a,...,an+v,...,y)から成る集合S2に応用する
ことによって得られるがここで、a,...,an+vは、n個の「油」変数
,...,aの集合とv個の「酢」変数an+1,...,an+vから
成る集合を含むn+v個の変数である、前記ステップと;署名されるメッセージ
を提供するステップと;ハッシュ関数をこのメッセージに対して応用してk個の
値の列b,...,bを発生するステップと;集合S2の変数y,...
,yを置換してそれぞれk個の値の列b,...,bを導入して、k個の
多項式関数P’’(a,...,an+v),...,P’’(a,.
..,an+v)から成る集合S3を発生するステップと;v個の「酢」変数a n+1 ,...,an+vに対してv個の値a’n+1,...,a’n+v
選択するステップと;式P’’(a,...,a,a’n+1,...,
a’n+v)=0,...,P’’(a,...,a,a’n+1,..
.,a’n+v)=0から成る集合を解いてa’,...,a’の解法を得
るステップと;秘密鍵演算を応用してa’,...,a’n+vをディジタル
署名e,...,en+vに変換するステップと;を含むディジタル署名暗号
方法を提供する。
【0016】 この方法はまたディジタル署名を検証するステップを含むのが好ましい。この
検証ステップは:署名e,...,en+v、メッセージ、ハッシュ関数及び
公開鍵を得るステップと;ハッシュ関数をメッセージに対して応用してk個の値
の列b,...,bを発生するステップと;式P(e,...,en+ ,b,...,b)=0,...,P(e,...,en+v,b ,...,b)=0が満足されることを検証するステップと;を含むのが好ま
しい。
【0017】 この秘密鍵演算はn+v個の変数a,...,an+vに対する秘密アファ
イン変換sのステップを含むのが好ましい。
【0018】 集合S2はHFEVスキームのk個の多項式関数から成る集合f(a)を含む
のが好ましい。このような場合、集合S2は単変量多項式から誘導されたk個の
関数を含む式を含むのが好ましい。単変量多項式は100,000以下の次数の
単変量多項式を含むのが好ましい。
【0019】 代替例として、集合S2はUOVスキームのk個の多項式関数から成る集合S
を含む。
【0020】 上記の供給ステップはv個の「酢」変数をn個の「油」変数より大きくなるよ
うに選択するステップを含むのが好ましい。vは、qが232より大きくなる
ように選択されるが、ここで、qは有限体Kのエレメントの数である。
【0021】 本発明の好ましい実施形態によれば、上記の供給ステップは、集合S2の内の
k個の多項式関数から成るサブ集合S2’から集合S1を得るステップを含んで
いるが、このサブ集合S2’の特性は、k個の多項式関数P’(a,...
,an+v,y,...,y),...,P’(a,...,an+v ,...,y,...,y)中のy,...,yという変数のいずれか
を含む成分の係数でもすべてがゼロであり、また、「酢」変数の数vが「油」変
数の数nより大きいことにある。
【0022】 集合S2はUOVスキームのk個の多項式関数から成る集合Sを含み、また、
「酢」変数の数vが、次の条件:すなわち(a)次数の「油と酢」スキーム中の
体Kの2以外の各特性pに対して、vが不等式q(v−n)−1*>240 となることと、(b)次数3の「油と酢」スキーム中のp=2に対して、vがn (1+sqrt(3))であり、n/6以下であることと、(c)次数3の
「油と酢」スキーム中の2以外の各pに対して、vがnより大きく、n以下で
あること、の内の1つを満足するように選択されるのが好ましい。「酢」変数の
数vは、次数2の「油と酢」スキーム中の体Kの特性p=2に対して不等式v<
、q(v−n)−1*>240を満足するように選択されるのが好まし
い。
【0023】 また本発明の好ましい実施形態によれば、「油と酢」方法の改善が提供される
が、この改善は「油」変数より多い数の「酢」変数を用いるステップを含んでい
る。「酢」変数の数vは、次に条件:すなわち(a)体Kの2以外の各特性pと
次数2の「油と酢」署名方法に対して、vが不等式q(v−n)−1*>2 40 を満足することと、(b)p=2と次数3の「油と酢」署名方法に対して、
vがn(1+sqrt(3))より大きくn/6以下であるということと、
(c)2以外の各pと次数3の「油と酢」署名方法に対して、vがnより大きく
、また、n以下であること、の内の一方を満足する用に選択されるのが好まし
い。「酢」変数の数vは、次数2の「油と酢」スキーム中の体Kの特性p=2に
対して不等式v<nとq(v−1)−1*>240を満足するように選択
されるのが好ましい。
【0024】 本発明は次の図面と共に以下の詳細な説明を読めばより完全に理解されよう。
【0025】 APPENDIX Iは、EUROVRYPT’99の議事録中のSprin
ger出版社による出版用に提出されたAviad Kipnis、Jacqu
e Patarin及びLouis Goubinによる、UOVスキームとH
FEVスキームの変量を説明している記事である。
【0026】 (発明を実施するための最良の形態) メッセージに対してディジタルを発生してこれを検証するシステム10、すな
わち本発明のある好ましい実施形態に従って構成され動作するシステム10の好
ましい実現例の略ブロック図である図1をここで参照する。
【0027】 システム10は、スマートカードリーダー25を介してスマートカード20と
通信する、汎用コンピュータなどのコンピュータ15を含むのが好ましい。コン
ピュータ15は、通信バス40を介して互いに通信するディジタル署名発生器3
0とディジタル署名検証器35を含むのが好ましい。スマートカード20は、通
信バス55を介して互いに通信するディジタル署名発生器45とディジタル署名
検証器50を含むのが好ましい。
【0028】 一般的な公開鍵署名スキーム応用分野では、メッセージの署名器と署名済みメ
ッセージの受領器とが、公開された公開鍵と用いられるハッシュ関数とに関して
一致することが理解されよう。ハッシュ関数が機密漏洩している場合、署名器と
受領器はハッシュ関数を変更することに同意する。公開鍵の発生器は署名器でも
受領器でもある必要がないことが理解されよう。
【0029】 ディジタル署名検証器35は、ディジタル署名発生器30とディジタル署名発
生器45の内の一方によって発生される署名を検証するのが好ましい。同様に、
ディジタル署名検証器50は、ディジタル署名発生器30とディジタル署名発生
器45の内の一方によって発生した署名を検証する。
【0030】 第1のプロセッサ(図示せず)中でメッセージに対するディジタル署名を発生
する好ましいディジタル署名暗号方法の略フローチャートの図2Aと、第2のプ
ロセッサ(図示せず)中で図2Aのディジタル署名を検証する好ましいディジタ
ル署名暗号方法の略フローチャートである図2Bをここで参照すると、図2Aと
2Bの方法は、本発明のある好ましい実施形態に従って動作することが分かる。
【0031】 図2Aと2Bの方法はハードウエア、ソフトウエアまたはハードウエアとソフ
トウエアを組み合わせて実現され得ることが理解されよう。さらに、第1のプロ
セッサと第2のプロセッサは同一である。代替例として、本方法は、第1のプロ
セッサが例えばコンピュータ15中で機密漏洩しており、第2のプロセッサがス
マートカード20中で機密漏洩している、又はこの逆である図1のシステム10
によって実現されている。
【0032】 図2Aと2Bの方法及び図2Aと2Bの方法の応用例が、本書に組み込まれて
いるAPPENDIX Iに記載されている。図2Aと2Bの方法の応用例は、
「油と酢」スキームとHFEスキームの基本的形態を修正し、これによってそれ
ぞれUOVとHFEVを発生するために採用されたりする。
【0033】 APPENDIX Iに、1999年5月2〜6日に予定されていたEURO
CRYPT’99の議事録中のSpringer出版社による出版のために提出
されたAviad Kipnis、Jacque Patarink、Loui
s Goubinによる未出版の記事が含まれている。APPENDIX Iに
含まれているこの記事はまた、小さい署名を持つUOVスキームとHFEVスキ
ームの変更例を記載している。
【0034】 図2Aのディジタル署名暗号方法においては、k個の多項式関数から成る集合
S1は、例えば図1の発生器30や図1の発生器45や外部公開鍵発生器(図示
せず)であったりする公開鍵(図示せず)の発生器によって公開鍵として供給す
るのが好ましい(ステップ100)。
【0035】 集合S1は、関数P(x,...,xn+v,y,...,y),.
..,P(x,...,xn+v,y,...,y)を含むのが好まし
いが、ここで、k、v及びnは整数であり、x,...,xn+vは第1のタ
イプのn+v個の変数であり、y,...,yは第2のタイプのk個の変数
である。集合S1は、秘密鍵演算をk個の多項式関数P’(a,...,a n+v ,y,...,y),...,P’(a,...,an+v,y ,...,y)から成る集合S2に対して応用することによって得るのが好
ましいが、ここで、a,...,an+vは、n個の「油」変数a,...
,aから成る集合とv個の「酢」変数an+1,...,an+vから成る集
合を含むn+v個の変数である。この秘密鍵演算はn+v個の変数a,...
,an+vに対する秘密アファイン変換sを含むことがあることが理解されよう
【0036】 「油」変数と「酢」変数という用語は、1997年9月の暗号学に関するDa
gstuhl Workshopで提示された「油と酢署名スキーム」という題
名の上記の記事に記載されているJacque Patarinの「油と酢」ス
キームの基本的形態で定義されているような「油と酢」変数のことである。
【0037】 署名されるメッセージが提供される(ステップ105)と、署名器はハッシュ
関数をそのメッセージに応用して、k個の値の列b,...,bを発生する
(ステップ110)のが好ましい。署名器は、例えば、図1の発生器30であっ
たり発生器45であったりする。k個の値の列b,...,bは、集合S2
のそれぞれの変数y,...,yの代わりに導入して、k個の多項式関数P
’’(a,...,an+v),...,P’’(a,...,an+ )から成る集合S3を発生する(ステップ115)のが好ましい。したがって
、v個の値の列a’n+1,...,a’n+vはv個の「酢」変数an+1
...,an+vに対してランダムに選択される(ステップ120)。代替例と
して、v個の値a’n+1,...,a’n+vは所定の選択アルゴリズムに従
って選択される。
【0038】 ひとたびv個の値a’n+1,...,a’n+vが選択されると、式P’’ (a,...,a,a’n+1,...,a’n+v)=0,...,P
’’(a,...,a,a’n+1,...,a’n+v)=0から成る
集合を解いて、a’,...,a’に対する解を得るのが好ましい(ステッ
プ125)。次に、秘密鍵演算を応用して、a’,...,a’n+vをディ
ジタル署名e,...,en+vに変換する(ステップ130)。
【0039】 一般化されたディジタル署名e,...,en+vは、例えば図1の検証器
35又は検証器50を含むディジタル署名の検証器(図示せず)によって図2B
を参照して説明される方法に従って検証される。ディジタル署名を検証するため
に、検証器は、署名e,...,en+v、メッセージ、ハッシュ関数及び公
開鍵を得るのが好ましい(ステップ200)。次に、検証器はハッシュ関数をメ
ッセージに応用して、k個の値の列b,...,bを発生する(ステップ2
05)。ひとたびk個の値b,...,bが発生すると、検証器は式P
,...,en+v,b,...,b)=0,...,P(e,.
..,en+v,b,...,b)=0が満足されていることを検証するこ
とによってディジタル署名を検証するのが好ましい(ステップ210)。
【0040】 上述のようにディジタル署名を一般化して検証する操作は、APPENDIX
Iに記載するUOVのk個の多項式関数の集合Sを含むことを集合S2に対し
て許可することによってUOVに対して用いられることが理解されよう。代替例
として、上記のディジタル署名の一般化と検証操作は、APPENDIX Iに
記載されるHFEVスキームのk個の多項式関数の集合f(a)を含むことを集
合S2に対して許可することによってHFEVに対して用いられる。
【0041】 APPENDIX Iで述べるように、図2Aと2Bの方法によって、一般的
に、良く知られているRSAスキームなどの従来の数値理論暗号スキームで得ら
れるディジタル署名より小さいディジタル署名を得ることが可能となる。
【0042】 本発明のある好ましい実施形態によれば、集合S2がUOVスキームのk個の
多項式関数の集合Sを含んでいる場合、集合S1は、「油」変数の数nより大き
いように選択されている「酢」変数の数vを供給される。vはまた、qが2 (ここで、qは集合S1、S2及びS3が提供される有限体Kのエレメントの
数である)より大きくなるように選択される。
【0043】 S1は集合S2のk個の多項式関数のサブ集合S2’から得るのがさらに好ま
しいが、ここで、S2’は、k個の多項式関数P’(a,...,an+v ,y,...,y),...,P’(a,...,an+v,y,.
..,y)中のy,...,y変数の内のどの変数を含む成分でもその全
ての係数がゼロであり、また、「酢」変数の数vが「油」変数の数nより大きい
ことを特徴としている。
【0044】 基本的「油と酢」スキームにおいては、「酢」変数の数vは、「油」変数の数
nに等しくなるように選択される。このようにv個の変数を選択するために、本
発明の発明者であるAviad Kipnisと、Adi ShamirはSp
ringer、LNCS n°1462、CRYPTO’98の議事録の257
〜266ページで、基本的な「油と酢」スキームの安全保障を無効とする基本的
な「油と酢」署名スキームの暗号システムを示している。加えて、Kipnis
とShamirによって記載されたと同じ方法を応用することによって、基本的
な「油と酢」スキームは、「油」変数の数nより低いいかなる数vの「酢」変数
に対しても安全保障が無効とされることが示される。
【0045】 本発明の発明者は、APPENDIX Iに記載するように、「油と酢」スキ
ームは、「油と酢」スキームを「酢」変数の数vが「油」変数の数nよりも大き
くなるように修正することによって「油と酢」スキームが不平衡とされると、結
果得られる不平衡な「油と酢」(UOV)スキームは安全保障される。
【0046】 具体的には、UOVの次数が2でありpが2以外のあらゆる値である場合に対
して(ここでpは体Kの特性であり、また、1という付加次数である)、UOV
スキームは、不等式q(v−n)−1*n>240を満足するvの値に対して安
全保障されていると考えられる。UOVの次数が2でありp=2である場合、「
酢」変数の数vは不等式v<nであり、q(v−1)−1*>240を満
足するように選択される。n/2より大きくn以下であるvの値に対して、
UOVはまた安全保障されていると考えられ、集合S1を解くことは、k個の式
のランダム集合を解くことを同じほど困難であると考えられることが理解されよ
う。nより大きいvの値に対しては、UOVは安全保障されていないと考えら
れる。
【0047】 さらに、UOVの次数が3でありp=2である場合、UOVスキームは、実質
的にn(1+sqrt(3))より大きくn/6以下であるであるvの値に
対して安全保障されていると考えられる。n/6より大きくn/2以下であ
るvの値に対しては、UOVはまた安全保障されていると考えられ、また、集合
S1を解くことはk個の式から成るランダム集合を解くことと同じほど困難であ
ることが理解されよう。n/2より大きいvの値とn(1+sqrt(3)
)未満であるvの値に対しては、UOVは安全保障されていないと信じられる。
【0048】 加えて、UOVが次数3でありpが2以外の数である場合、UOVスキームは
、実質的にnより大きくn以下であるvの値に対して安全保障されていると考
えられる。n/6より大きくn以下であるvの値に対して、UOVはまた安
全保障されていると考えられ、また、集合S1を解くことはk個の式から成るラ
ンダム集合を解くことと同じほど困難であることが理解されよう。nより大き
いvの値とn未満であるvの値に対して、UOVは安全保障されていないと考え
られる。
【0049】 集合S2がHFEVスキームのk個の多項式関数から成る集合f(a)を含ん
でいる場合、集合S2は単変量多項式から誘導されたk個の関数を含む式をフッ
くんでいるのが好ましい。単変量多項式は、K上で次数nの拡大体上で100,
000以下の次数の多項式を含んでいるのが好ましい。
【0050】 UOVスキームとHFEVスキームに対して選択されるパラメータの例をAP
PENDIX Iに示す。
【0051】 分かりやすいように、互いに別々の実施形態という文脈で記載されている本発
明の様々な特徴もまた、1つの実施形態中に組み合わされて提供されていること
が理解されよう。逆に、簡潔にするため、1つの実施形態という文脈で記載され
ている本発明の様々な特徴もまた、互いに別々に又は適切に組み合わせて提供さ
れている。
【0052】 本発明は特定的に図示し上述したものに制限されることはないことが当業者に
は理解されよう。むしろ、本発明の範囲は請求項によって定義されるものである
【表1】
【図面の簡単な説明】
【図1】 メッセージに対してディジタル署名を発生してこれを検証するシステムであり
、本発明の好ましい実施形態に従って構成され動作するシステムの好ましい実現
例の略ブロック図である。
【図2A】 メッセージに対してディジタル署名を発生する好ましいディジタル署名暗号方
法であり、本発明の好ましい実施形態に従って動作する方法の略フローチャート
である。
【図2B】 図2Aのディジタル署名を検証する好ましいディジタル署名暗号方法であり、
本発明の好ましい実施形態に従って動作する方法の略フローチャートである。
【手続補正書】
【提出日】平成13年1月26日(2001.1.26)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【発明の名称】 公開鍵を署名する方法とシステム
【特許請求の範囲】
【発明の詳細な説明】
【0001】 (技術分野) 本発明は一般的には暗号に関し、より具体的には公開鍵暗号に関する。
【0002】 (背景技術) 最初の公開鍵暗号スキームは1975年に導入された。それ以来、多くの公開
鍵スキームが開発されて公開されてきた。多くの公開鍵スキームは整数n(昨今
、nは一般的には512ビットと1024ビットの間にある)を法とした算術計
算を必要とする。
【0003】 ビット数nの値が比較的大きいため、このような公開鍵スキームは、動作が比
較的遅く、ランダムアクセスメモリー(RAM)や他の計算リソースを大いに消
費するものと考えられている。これらの問題は、スマートカードの適用分野など
計算リソースが制限されている適用分野では特に緊急の課題である。したがって
、これらの問題を克服するために、nを法とした算術計算をあまり必要としない
他の公開鍵スキームファミリーが開発されてきた。これらの他のファミリーの中
には、例えば2と264との間の比較的小さい数学的有限体上の、k個の多変数
多項式の集合として、公開鍵が与えられるスキームがある。
【0004】 このk個の多変数多項式の集合は次のように書くことが可能である: y=P(x,...x) y=P(x,...x) . . . y=P(x,...x) ここで、P,...,Pは、小さい総次数の、一般的には8以下、多くの
場合においてはちょうど2という次数の多変数多項式である。
【0005】 このようなスキームの例には、T.MatsumotoとH.ImaiのC スキーム、Jacque PatarinのHFEスキーム及びJacque
Patarinの「油と酢」スキームの基本形態がある。
【0006】 Cスキームは、Springer出版社、EUROCRYPT’88の議事
録、419〜453ページの「効率的な署名検証とメッセージ暗号化のための公
開二次多項式組」という題名の記事に説明されている。HFEスキームは、Sp
ringer出版社、EUROCRYPT’96の議事録の33〜48ページの
「隠蔽体式(HFE)と多項式の同形(IP):非対称アルゴリズムの新しい2
つのファミリー」という題名の記事に説明されている。Jacque Pata
rinの「油と酢」スキームの基本的形態は1997年9月の暗号に関するDa
gstuhl Workshopに提出された「油と酢署名スキーム」という題
名の記事に説明されている。
【0007】 しかしながら、Cスキームと「油と酢」スキームの基本的形態とは、C
キームと「油と酢」スキームの基本的形態双方の暗号解読が見つかってしまい、
Springer出版社LNCS n°1462、CRYPTO’98の議事録
の257〜266ページの「油と酢署名スキームの暗号解読」という題名の記事
中にAvoid KipnisとAdi shamirによって公開されている
という点で安全でないことが分かっている。HFEスキームの構成の弱点は「H
FE公開鍵暗号システム」と「隠蔽体式(HFE)の実際の暗号解読」という題
名の2つの非公開記事中に記載されているが現在のところ、HFEスキームは暗
号漏洩(compromise)されているとは考えられてはいない。その理由は、良く選択
され、いまだ妥当なパラメータの場合、HFEスキームを解読するために必要な
計算の回数はなおも多すぎるからである。
【0008】 関連技術の1部の態様が次の出版物に記載されている: Shamirに対する米国特許第5,263,085号に、ある合成数nを法
としたm個の未知数をもつ、k個の多項式から成る系を解く困難さに基づいたセ
キュリティを持つ新しいタイプのディジタル署名スキームが記載されており; Shamirに対する米国特許第5,375,170号には、小さい鍵を有し
、算術演算をほとんど必要としない新しいクラスの双有理順列(birational perm
utation)に基づいた新規なディジタル署名スキームが記載されている。
【0009】 上記と本明細書全てにわたる参照文献の開示は参照してここに組み込まれるも
のである。
【0010】 (発明の開示) 本発明は、一般的には数学的有限体K上の、k個の多変数多項式の集合として
公開鍵を与えるディジタル署名暗号スキームのセキュリティを向上させることを
追求する。本発明は、特に、「油と酢」スキームとHFEスキームという基本的
形態のセキュリティを向上させることを追求する。本発明に従ってセキュリティ
を向上させるように修正された「油と酢」スキームは本書では不平衡「油と酢」
(UOV)スキームと呼ばれる。本発明に従ってセキュリティを向上させるよう
に修正されたHFEスキームは本書ではHFEVスキームと呼ばれる。
【0011】 本発明においては、k個の多項式関数の集合S1は公開鍵として供給される。
集合S1は、関数P(x,...,xn+v、y,...,y),..
.,P(x,...,xn+v,y,...,y)を含むことが好まし
い。ここで、k、v及びnは整数であり、x,...,xn+vは第1のタイ
プのn+v個の変数であり、y,...,yは第2のタイプのk個の変数で
ある。集合S1は秘密鍵演算をk個の多項式関数P’(a,...,an+ 、y,...y),...P’(a,...,an+v,y,..
.,y)に対して適用することによって得ることが好ましい。ここで、a
...,an+vはn個の「油」変数a,...,aの集合とv個の「酢」
変数an+1,...,an+vの集合を含むn+v個の変数である。秘密鍵演
算はn+v個の変数a,...,an+vに対する秘密アフィン変換sを含む
ことがあることが理解されよう。
【0012】 署名すべきメッセージが提供されると、ハッシュ関数がそのメッセージに対し
て適用されてk個の値の列b,...,bを発生する。このk個の値の列b ,...,bをそれぞれ集合S2の変数y,...,yに代入してk個
の多項式関数P’’(a,...,an+v),...,P’’(a
...,an+v)の集合S3を発生するのが好ましい。次に、v個の値a’ +1 ,...,a’n+vをランダムに又は所定の選択アルゴリズムに従ってv
個の「酢」変数an+1,...,an+vに対して選択する。
【0013】 ひとたびv個の値a’n+1,...,a’n+vが選択されると、式P’’ (a,...,a,a’n+1,...,a’n+v)=0,...,P
’’(a,...,a,a’n+1,...,a’n+v)=0の集合を
解いて、a’,...,a’の解を得るのが好ましい。次に、秘密鍵演算を
適用してa’,...,a’n+vをディジタル署名e,...,en+v に変換する。
【0014】 このように発生したディジタル署名e,...,en+vは、例えばコンピ
ュータ又はスマートカードを含む検証器によって検証される。ディジタル署名を
検証するために、検証器は、署名e,...,en+v、メッセージ、ハッシ
ュ関数及び公開鍵を得るのが好ましい。次に、検証器はハッシュ関数をメッセー
ジに対して適用してk個の値の列b,...,bを発生する。ひとたびk個
の値b,...,bが発生すると、検証器は式P(e,...,en+ ,b,...,b)=0,...,P(e,...,en+v,b ,...,b)=0が満足されることを検証することによってディジタル署名
を検証するのが好ましい。
【0015】 このようにして、本発明による好ましい実施形態は、k個の多項式関数の集合
S1を公開鍵として供給するステップであり、前記集合S1は関数P(x
...,xn+v,y,...,y),...,P(x,...,x +v ,y,...,y)を含み、ここで、k、v及びnは整数であり、x ,...,xn+vは第1のタイプのn+v個の変数であり、y,...,y は第2のタイプのk個の変数であり、集合S1は秘密鍵演算をk個の多項式関
数P’(a,...,an+v,...,y,...,y),...,
P’(a,...,an+v,...,y)の集合S2に適用することに
よって得られ、ここで、a,...,an+vは、n個の「油」変数a,.
..,aの集合とv個の「酢」変数an+1,...,an+vの集合を含む
n+v個の変数である、前記ステップと;署名されるメッセージを提供するステ
ップと;ハッシュ関数をこのメッセージに対して適用してk個の値の列b,.
..,bを発生するステップと;集合S2の変数y,...,yにそれぞ
れk個の値の列b,...,bを代入してk個の多項式関数P’’(a ,...,an+v),...,P’’(a,...,an+v)の集合S
3を発生するステップと;v個の「酢」変数an+1,...,an+vに対し
てv個の値a’n+1,...,a’n+vを選択するステップと;式P’’ (a,...,a,a’n+1,...,a’n+v)=0,...,P’
(a,...,a,a’n+1,...,a’n+v)=0の集合を解
いてa’,...,a’の解を得るステップと;秘密鍵演算を適用してa’ ,...,a’n+vをディジタル署名e,...,en+vに変換するス
テップと;を含むディジタル署名暗号方法を提供する。
【0016】 この方法はまたディジタル署名を検証するステップを含むのが好ましい。この
検証ステップは:署名e,...,en+v、メッセージ、ハッシュ関数及び
公開鍵を得るステップと;ハッシュ関数をメッセージに対して適用してk個の値
の列b,...,bを発生するステップと;式P(e,...,en+ ,b,...,b)=0,...,P(e,...,en+v,b ,...,b)=0が満足されることを検証するステップと;を含むのが好ま
しい。
【0017】 この秘密鍵演算はn+v個の変数a,...,an+vに対する秘密アフィ
ン変換sのステップを含むのが好ましい。
【0018】 集合S2はHFEVスキームのk個の多項式関数の集合f(a)を含むのが好
ましい。このような場合、集合S2は単変量多項式から誘導されたk個の関数を
含む式を含むのが好ましい。単変量多項式は100,000以下の次数の単変量
多項式を含むのが好ましい。
【0019】 代替例として、集合S2はUOVスキームのk個の多項式関数の集合Sを含む
【0020】 上記の供給ステップは「酢」変数の数vを「油」変数の数nより大きくなるよ
うに選択するステップを含むのが好ましい。vは、qが232より大きくなる
ように選択されるが、ここで、qは有限体Kのエレメントの数である。
【0021】 本発明の好ましい実施形態によれば、上記の供給ステップは、集合S2の内の
k個の多項式関数の部分集合S2’から集合S1を得るステップを含んでいるが
、この部分集合S2’の標数は、k個の多項式関数P’(a,...,a +v ,y,...,y),...,P’(a,...,an+v,y ,...,y)中のy,...,yという変数のいずれかを含む構成要素
のすべての係数がゼロであり、また、「酢」変数の数vが「油」変数の数nより
大きいことにある。
【0022】 集合S2はUOVスキームのk個の多項式関数の集合Sを含み、また、「酢」
変数の数vが、次の条件:すなわち(a)次数2の「油と酢」スキーム中の体K
の2以外の各標数pに対して、vが不等式q(v−n)−1*n>240とな
ることと、(b)次数3の「油と酢」スキーム中のp=2に対して、vがn*(
1+sqrt(3))より大きく、n/6以下であることと、(c)次数3の
「油と酢」スキーム中の2以外の各pに対して、vがnより大きく、n以下で
あること、の内の1つを満足するように選択されるのが好ましい。「酢」変数の
数vは、次数2の「油と酢」スキーム中の体Kの標数p=2に対して不等式v<
、q(v−n)−1*n>240を満足するように選択されるのが好まし
い。
【0023】 また本発明の好ましい実施形態によれば、「油と酢」方法の改善が提供される
が、この改善は「油」変数より多い数の「酢」変数を用いるステップを含んでい
る。「酢」変数の数vは、次の条件:すなわち(a)体Kの2以外の各標数pと
次数2の「油と酢」署名方法に対して、vが不等式q(v−n)−1*n>2 40 を満足することと、(b)p=2と次数3の「油と酢」署名方法に対して、
vがn*(1+sqrt(3))より大きくn/6以下であるということと、
(c)2以外の各pと次数3の「油と酢」署名方法に対して、vがnより大きく
、また、n以下であること、の内の一を満足する用に選択されるのが好ましい
。「酢」変数の数vは、次数2の「油と酢」スキーム中の体Kの標数p=2に対
して不等式v<nとq(v−n)−1*n>240を満足するように選択さ
れるのが好ましい。
【0024】 本発明は次の図面と共に以下の詳細な説明を読めばより完全に理解されよう。
【0025】 付録Iは、EUROVRYPT’99の議事録中のSpringer出版社に
よる出版用に提出されたAviad Kipnis、Jacque Patar
in及びLouis Goubinによる、UOVスキームとHFEVスキーム
の変形形態を説明している記事である。
【0026】 (発明を実施するための最良の形態) メッセージに対してディジタル署名を発生してこれを検証するシステム10、
すなわち本発明のある好ましい実施形態に従って構成され動作するシステム10
の好ましい実現例の略ブロック図である図1を参照されたい。
【0027】 システム10は、スマートカードリーダー25を介してスマートカード20と
通信する、汎用コンピュータなどのコンピュータ15を含むのが好ましい。コン
ピュータ15は、通信バス40を介して互いに通信するディジタル署名発生器3
0とディジタル署名検証器35を含むのが好ましい。スマートカード20は、通
信バス55を介して互いに通信するディジタル署名発生器45とディジタル署名
検証器50を含むのが好ましい。
【0028】 一般的な公開鍵署名スキーム適用分野では、メッセージの署名器と署名済みメ
ッセージの受領器とが、公開された公開鍵と用いられるハッシュ関数とに関して
一致することが理解されよう。ハッシュ関数が暗号漏洩している場合、署名器と
受領器はハッシュ関数を変更することに同意する。公開鍵の発生器は署名器でも
受領器でもある必要がないことが理解されよう。
【0029】 ディジタル署名検証器35は、ディジタル署名発生器30とディジタル署名発
生器45の内の一方によって発生される署名を検証するのが好ましい。同様に、
ディジタル署名検証器50は、ディジタル署名発生器30とディジタル署名発生
器45の内の一方によって発生した署名を検証する。
【0030】 第1のプロセッサ(図示せず)中でメッセージに対するディジタル署名を発生
する好ましいディジタル署名暗号方法の略フローチャートの図2Aと、第2のプ
ロセッサ(図示せず)中で図2Aのディジタル署名を検証する好ましいディジタ
ル署名暗号方法の略フローチャートである図2Bをここで参照すると、図2Aと
2Bの方法は、本発明のある好ましい実施形態に従って動作することが分かる。
【0031】 図2Aと2Bの方法はハードウエア、ソフトウエア、またはハードウエアとソ
フトウエアを組み合わせて実現され得ることが理解されよう。さらに、第1のプ
ロセッサと第2のプロセッサは同一であってもよい。代替例としては、本方法は
、第1のプロセッサが例えばコンピュータ15中で暗号漏洩しており、第2のプ
ロセッサがスマートカード20中で暗号漏洩している、又はこの逆である図1の
システム10によって実現されている。
【0032】 図2Aと2Bの方法及び図2Aと2Bの方法の適用例が、本書に組み込まれて
いる付録Iに記載されている。図2Aと2Bの方法の適用例は、「油と酢」スキ
ームとHFEスキームの基本的形態を修正し、これによってそれぞれUOVとH
FEVをもたらすために採用されうる。
【0033】 付録Iに、1999年5月2〜6日に予定されていたEUROCRYPT’9
9の議事録中のSpringer出版社による出版のために提出されたAvia
d Kipnis、Jacque Patarink、Louis Goubi
nによる未出版の記事が含まれている。付録Iに含まれているこの記事はまた、
小さい署名を持つ、UOVスキームとHFEVスキームの変形形態を記載してい
る。
【0034】 図2Aのディジタル署名暗号方法においては、k個の多項式関数の集合S1は
、例えば図1の発生器30や図1の発生器45や外部公開鍵発生器(図示せず)
であったりする公開鍵(図示せず)の発生器によって公開鍵として供給されるの
が好ましい(ステップ100)。
【0035】 集合S1は、関数P(x,...,xn+v,y,...,y),.
..,P(x,...,xn+v,y,...,y)を含むのが好まし
い。ここで、k、v及びnは整数であり、x,...,xn+vは第1のタイ
プのn+v個の変数であり、y,...,yは第2のタイプのk個の変数で
ある。集合S1は、秘密鍵演算をk個の多項式関数P’(a,...,a +v ,y,...,y),...,P’(a,...,an+v,y ,...,y)の集合S2に対して適用することによって得るのが好ましいが
、ここで、a,...,an+vは、n個の「油」変数a,...,a
集合とv個の「酢」変数an+1,...,an+vの集合を含むn+v個の変
数である。この秘密鍵演算はn+v個の変数a,...,an+vに対する秘
密アフィン変換sを含むことがあることが理解されよう。
【0036】 「油」変数と「酢」変数という用語は、1997年9月の暗号学に関するDa
gstuhl Workshopで提示された「油と酢署名スキーム」という題
名の上記の記事に記載されているJacque Patarinの「油と酢」ス
キームの基本的形態で定義されているような「油と酢」変数のことである。
【0037】 署名されるメッセージが提供される(ステップ105)と、署名器はハッシュ
関数をそのメッセージに適用して、k個の値の列b,...,bを発生する
(ステップ110)のが好ましい。署名器は、例えば、図1の発生器30であっ
たり発生器45であったりする。k個の値の列b,...,bは、集合S2
のそれぞれの変数y,...,yに代入して、k個の多項式関数P’’
,...,an+v),...,P’’(a,...,an+v)の集
合S3を発生する(ステップ115)のが好ましい。したがって、v個の値の列
a’n+1,...,a’n+vはv個の「酢」変数an+1,...,an+ に対してランダムに選択される(ステップ120)。代替例として、v個の値
a’n+1,...,a’n+vは所定の選択アルゴリズムに従って選択される
【0038】 ひとたびv個の値a’n+1,...,a’n+vが選択されると、式P’’ (a,...,a,a’n+1,...,a’n+v)=0,...,P
’’(a,...,a,a’n+1,...,a’n+v)=0の集合を
解いて、a’,...,a’に対する解を得るのが好ましい(ステップ12
5)。次に、秘密鍵演算を適用して、a’,...,a’n+vをディジタル
署名e,...,en+vに変換する(ステップ130)。
【0039】 発生されたディジタル署名e,...,en+vは、例えば図1の検証器3
5又は検証器50を含むことができるディジタル署名の検証器(図示せず)によ
って図2Bを参照して説明される方法に従って検証される。ディジタル署名を検
証するために、検証器は、署名e,...,en+v、メッセージ、ハッシュ
関数及び公開鍵を得るのが好ましい(ステップ200)。次に、検証器はハッシ
ュ関数をメッセージに適用して、k個の値の列b,...,bを発生する(
ステップ205)。ひとたびk個の値b,...,bが発生すると、検証器
は式P(e,...,en+v,b,...,b)=0,...,P (e,...,en+v,b,...,b)=0が満足されることを検証
することによってディジタル署名を検証するのが好ましい(ステップ210)。
【0040】 上述のようにディジタル署名を発生して検証する操作は、付録Iに記載するU
OVのk個の多項式関数の集合Sを含むことを集合S2に対して許可することに
よってUOVに対して用いられることが理解されよう。代替例として、上記のデ
ィジタル署名の発生と検証操作は、付録Iに記載されるHFEVスキームのk個
の多項式関数の集合f(a)を含むことを集合S2に対して許可することによっ
てHFEVに対して用いられることもできる。
【0041】 付録Iで述べるように、図2Aと2Bの方法によって、良く知られているRS
Aスキームなどの従来の数値理論暗号スキームで得られるディジタル署名より、
一般的に小さいディジタル署名を得ることが可能となる。
【0042】 本発明のある好ましい実施形態によれば、集合S2がUOVスキームのk個の
多項式関数の集合Sを含んでいる場合、集合S1は、「油」変数の数nより大き
いように選択されている「酢」変数の数vを与えられる。vはまた、qが2 (ここで、qは集合S1、S2及びS3が与えられる有限体Kのエレメントの
数である)より大きくなるように選択される。
【0043】 S1は集合S2のk個の多項式関数の部分集合S2’から得るのがさらに好ま
しいが、ここで、S2’は、k個の多項式関数P’(a,...,an+v ,y,...,y),...,P’(a,...,an+v,y,.
..,y)中のy,...,y変数の内のどの変数を含む構成要素でも全
ての係数がゼロであり、また、「酢」変数の数vが「油」変数の数nより大きい
ことを特徴としている。
【0044】 基本的「油と酢」スキームにおいては、「酢」変数の数vは、「油」変数の数
nに等しくなるように選択される。このようにv個の変数を選択するために、本
発明の発明者の一人であるAviad Kipnisと、Adi Shamir
はSpringer、LNCS n°1462、CRYPTO’98の議事録の
257〜266ページで、基本的「油と酢」スキームの安全性を無効とする、暗
号シ解読を示している。加えて、KipnisとShamirによって記載され
たと同じ方法を適用することによって、基本的「油と酢」スキームは、「油」変
数の数nより低いいかなる数vの「酢」変数に対しても安全性が無効とされるこ
とが示される。
【0045】 本発明の発明者は、付録Iに記載するように、「油と酢」スキームは、「油と
酢」スキームを「酢」変数の数vが「油」変数の数nよりも大きくなるように修
正することによって不平衡にされると、結果として得られる不平衡な「油と酢」
(UOV)スキームは安全性があることを発見した。
【0046】 具体的には、UOVの次数が2でありpが2以外のあらゆる値である場合に対
して(ここでpは体Kの標数であり、また1の付加次数である)、UOVスキー
ムは、不等式q(v−n)−1*n>240を満足するvの値に対して安全であ
ると考えられる。UOVの次数が2でありp=2である場合、「酢」変数の数v
は、不等式v<nであり、q(v−n)−1*n>240を満足するように
選択されうる。n/2より大きくn以下であるvの値に対して、UOVはま
た安全であると考えられ、集合S1を解くことは、k個の式のランダム集合を解
くことと同じほど困難であると考えられることが理解されよう。nより大きい
vの値に対しては、UOVは安全でないと考えられる。
【0047】 さらに、UOVの次数が3でありp=2である場合、UOVスキームは、実質
的にn*(1+sqrt(3))より大きくn/6以下であるであるvの値に
対して安全であると考えられる。n/6より大きくn/2以下であるvの値
に対しては、UOVはやはり安全であると考えられ、また、集合S1を解くこと
はk個の式のランダム集合を解くことと同じほど困難であることが理解されよう
。n/2より大きいvの値とn*(1+sqrt(3))未満であるvの値に
対しては、UOVは安全でないと考えられる。
【0048】 加えて、UOVが次数3でありpが2以外の数である場合、UOVスキームは
、実質的にnより大きくn以下であるvの値に対して安全であると考えられる
。n/6より大きくn以下であるvの値に対して、UOVはまた安全である
と考えられ、また、集合S1を解くことはk個の式のランダム集合を解くことと
同じほど困難であることが理解されよう。nより大きいvの値とn未満である
vの値に対して、UOVは安全でないと考えられる。
【0049】 集合S2がHFEVスキームのk個の多項式関数の集合f(a)を含んでいる
場合、集合S2は単変量多項式から誘導されたk個の関数を含む式を含くんでい
るのが好ましい。単変量多項式は、K上の次数nの拡大体上で100,000以
下の次数の多項式を含んでいるのが好ましい。
【0050】 UOVスキームとHFEVスキームに対して選択されるパラメータの例を付録
Iに示す。
【0051】 分かりやすいように、互いに別々の実施形態を説明する中で記載されている本
発明の様々な特徴もまた、1つの実施形態中に組み合わされて提供されているこ
とが理解されよう。逆に、簡潔にするため、1つの実施形態を説明する中で記載
されている本発明の様々な特徴もまた、互いに別々に又は適切に組み合わせて提
供されうる。
【0052】 本発明は上で具体的に図示し述べたものに制限されることはないことが当業者
には理解されよう。むしろ、本発明の範囲は請求項によって定義されるものであ
る。
【表1】
【図面の簡単な説明】
【図1】 メッセージに対してディジタル署名を発生してこれを検証するシステムであり
、本発明の好ましい実施形態に従って構成され動作するシステムの好ましい実現
例の略ブロック図である。
【図2A】 メッセージに対してディジタル署名を発生する好ましいディジタル署名暗号方
法であり、本発明の好ましい実施形態に従って動作する方法の略フローチャート
である。
【図2B】 図2Aのディジタル署名を検証する好ましいディジタル署名暗号方法であり、
本発明の好ましい実施形態に従って動作する方法の略フローチャートである。
【手続補正2】
【補正対象書類名】図面
【補正対象項目名】図2A
【補正方法】変更
【補正の内容】
【図2A】
【手続補正3】
【補正対象書類名】図面
【補正対象項目名】図2B
【補正方法】変更
【補正の内容】
【図2B】
───────────────────────────────────────────────────── フロントページの続き (72)発明者 グバン,ルイ フランス国、エフ−75015・パリ、リユ・ ブラウン・セカール、3 Fターム(参考) 5J104 AA09 LA03 LA05 LA06 NA02 【要約の続き】 =0の集合を解いてa’,...,a’の解法を得 て、秘密鍵演算を応用して、この解をディジタル署名に 変換する。

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】 k個の多項式関数から成る集合S1を公開鍵として供給する
    ステップであり、前記集合S1が関数P(x,...,xn+v,y,.
    ..,y),...,P(x,...,xn+v,y,...,y
    を含み、ここで、k、v及びnは整数であり、x,...,xn+vは第1の
    タイプのn+v個の変数であり、y,...,yは第2のタイプのk個の変
    数であり、前記集合S1が、k個の多項式関数P’(a,...,an+v ,y,...,y),...,P’(a,...,an+v,y,.
    ..,y)から成る集合S2に対して秘密鍵演算を応用することによって得ら
    れ、ここで、a,...,an+vは、n個の「油」変数a,...,a から成る集合とv個の「酢」変数an+1,...,an+vから成る集合を含
    むn+v個の変数である、前記ステップと; 署名されるメッセージを提供するステップと; 前記メッセージに対してハッシュ関数を応用して、k個の値の列b,...
    ,bを発生するステップと; 前記k個の値の列b,...,bを前記集合S2のそれぞれの変数y
    ...,yの代わりに導入して、k個の多項式関数P’’(a,...,
    n+v),...,P’’(a,...,an+v)から成る集合S3を
    発生するステップと; 前記v個の「酢」変数an+1,...,an+vに対してv個の変数a’ +1 ,...,a’n+vを選択するステップと; 式P’’(a,...,a,a’n+1,...,a’n+v)=0,
    ...,P’’(a,...,a,a’n+1,...,a’n+v)=
    0から成る集合を解いて、a’,...,a’の解を得るステップと; 秘密鍵演算を応用して、a’,...,a’n+vをディジタル署名e
    ...,en+vに変換するステップと; を含むディジタル署名暗号方法
  2. 【請求項2】 前記ディジタル署名を検証するステップをさらに含む、請求
    項1に記載の方法。
  3. 【請求項3】 前記検証ステップが: 前記署名e,...,en+v、前記メッセージ、前記ハッシュ関数及び前
    記恋迂回鍵を得るステップと; 前記ハッシュ関数を前記メッセージに対して応用して、k個の値の列b,.
    ..,bを発生するステップと; 式P(e,...,en+v,b,...,b)=0,...,P (e,...,en+v,b,...,b)=0が満足されたことを検証
    するステップと; を含む、請求項2に記載の方法。
  4. 【請求項4】 前記集合S2がHFEVスキームのk個の多項式関数から成
    る集合f(a)を含む、請求項1に記載の方法。
  5. 【請求項5】 前記集合S2がUOVスキームのk個の多項式関数から成る
    集合Sを含む、請求項1に記載の方法。
  6. 【請求項6】 前記供給ステップが、「酢」変数の数vを「油」変数の数n
    より大きくなるように選択するステップを含む、請求項1に記載の方法。
  7. 【請求項7】 qが232より大きくなるようにvが選択され、ここでq
    が有限体Kのエレメントの数である、請求項1に記載の方法。
  8. 【請求項8】 前記供給ステップが、前記集合S2のk個の多項式関数から
    成るサブ集合S2’から前記集合S1を得るステップを含み、前記サブ集合S2
    ’が、前記k個の多項式関数P’(a,...,an+v,y,...y ),...,P(a,...,an+v,y,...,y)中のy ,...,y変数のいずれでも含む成分はその全ての係数がゼロであり、また
    、「酢」変数の数vが「油」変数の数nより大きいことを特徴とする、請求項1
    に記載の方法。
  9. 【請求項9】 前記集合S2が、UOVスキームのk個の多項式関数から成
    る集合Sを含み、また、「酢」変数の数vが: (a)次数2の「油と酢」スキームにおける体Kの2以外の各特性pに対して、
    vが不等式q(v−1)−1*>240を満足する条件と; (b)次数3の「油と酢」スキームにおけるp=2に対して、vがn(1+s
    qrt(3))でn/6以下である条件と; (c)次数3の「油と酢」スキームにおける2以外の各pに対して、vがnより
    大きくn以下である条件と; の内の1つの条件を満足するように選択される、請求項8に記載の方法。
  10. 【請求項10】 前記集合S2が、UOVスキームのk個の多項式関数から
    成る集合Sを含み、また、「酢」変数の数vが、次数2の「油と酢」スキームに
    おける体Kの特性p=2に対して不等式v<nとq(v−1)−1*>2 40 を満足するように選択される、請求項8に記載の方法。
  11. 【請求項11】 前記秘密鍵演算が、n+v個の変数a,...,an+ に対する秘密アファイン変換を含む、請求項1に記載の方法。
  12. 【請求項12】 前記集合S2が単変量多項式から誘導されたk個の関数を
    含む式を含む、請求項4に記載の方法。
  13. 【請求項13】 前記単変量多項式が100,000以下の次数の単変量多
    項式を含む、請求項12に記載の方法。
  14. 【請求項14】 請求項1に記載のディジタル署名を検証する暗号方法にお
    いて、前記方法が: 前記署名e,...,en+v、前記メッセージ、前記ハッシュ関数及び前
    記公開鍵を得るステップと; 前記ハッシュ関数を前記メッセージに対して応用して、k個の値の列b,.
    ..,bを発生するステップと; 式P(e,...,en+v,b,...,b)=0,...,P (e,...,en+v,b,..,b)=0が満足されていることを検
    証するステップと; を含む方法。
  15. 【請求項15】 「油と酢」署名方法において、改善が「油」変数より多く
    の「酢」変数を用いるステップを含む方法。
  16. 【請求項16】 「酢」変数の数vが: (a)体Kの各特性pが2以外であり「油と酢」署名方法の次数が2である場合
    、vが不等式q(v−1)−1*>240を満足する条件と; (b)p=2であり前記「油と酢」署名方法の次数が3である場合、vがn
    1+sqrt(3))でn/6以下である条件と; (c)各pが2以外であり、前記「油と酢」署名方法の次数が3である場合、v
    がnより大きくn以下である条件と; の内の1つを満足するように選択される、請求項15に記載の方法。
  17. 【請求項17】 前記集合S2がUOVスキームのk個の多項式関数から成
    る集合Sを含み、また、「酢」変数の数vが、次数2の「油と酢」スキームにお
    ける体Kの特性p=2に対して不等式v<nとq(v−1)−1*>2 を満足するように選択される、請求項15に記載の方法。
JP2000616162A 1999-04-29 2000-04-28 公開鍵を署名する方法とシステム Expired - Lifetime JP4183387B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP99401048A EP1049289B1 (en) 1999-04-29 1999-04-29 Public-key signature methods and systems
EP99401048.6 1999-04-29
PCT/IB2000/000692 WO2000067423A1 (en) 1999-04-29 2000-04-28 Public-key signature methods and systems

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2005114430A Division JP2005253107A (ja) 1999-04-29 2005-04-12 公開鍵を署名する方法とシステム

Publications (3)

Publication Number Publication Date
JP2002543478A true JP2002543478A (ja) 2002-12-17
JP2002543478A5 JP2002543478A5 (ja) 2005-12-22
JP4183387B2 JP4183387B2 (ja) 2008-11-19

Family

ID=8241961

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2000616162A Expired - Lifetime JP4183387B2 (ja) 1999-04-29 2000-04-28 公開鍵を署名する方法とシステム
JP2005114430A Pending JP2005253107A (ja) 1999-04-29 2005-04-12 公開鍵を署名する方法とシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2005114430A Pending JP2005253107A (ja) 1999-04-29 2005-04-12 公開鍵を署名する方法とシステム

Country Status (12)

Country Link
US (1) US7100051B1 (ja)
EP (1) EP1049289B1 (ja)
JP (2) JP4183387B2 (ja)
CN (1) CN1285191C (ja)
AU (1) AU774346B2 (ja)
BR (1) BRPI0006085B1 (ja)
DE (1) DE69920875T2 (ja)
DK (1) DK1049289T3 (ja)
ES (1) ES2230814T3 (ja)
HK (1) HK1039004B (ja)
IL (1) IL135647A (ja)
WO (1) WO2000067423A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011033642A1 (ja) * 2009-09-17 2011-03-24 株式会社 東芝 署名生成装置及び署名検証装置
JP2021145278A (ja) * 2020-03-13 2021-09-24 日本電信電話株式会社 鍵生成装置、鍵生成方法及びプログラム

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2810139B1 (fr) * 2000-06-08 2002-08-23 Bull Cp8 Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede
WO2002084590A1 (en) * 2001-04-11 2002-10-24 Applied Minds, Inc. Knowledge web
US8069175B2 (en) * 2002-04-10 2011-11-29 Google Inc. Delegating authority to evaluate content
US20030195834A1 (en) * 2002-04-10 2003-10-16 Hillis W. Daniel Automated online purchasing system
US20030196094A1 (en) * 2002-04-10 2003-10-16 Hillis W. Daniel Method and apparatus for authenticating the content of a distributed database
US7844610B2 (en) * 2003-12-12 2010-11-30 Google Inc. Delegated authority evaluation system
US7600118B2 (en) * 2002-09-27 2009-10-06 Intel Corporation Method and apparatus for augmenting authentication in a cryptographic system
US8012025B2 (en) * 2002-12-13 2011-09-06 Applied Minds, Llc Video game controller hub with control input reduction and combination schemes
WO2004055647A2 (en) 2002-12-13 2004-07-01 Applied Minds, Inc. Meta-web
US20050131918A1 (en) * 2003-12-12 2005-06-16 W. Daniel Hillis Personalized profile for evaluating content
US7961876B2 (en) * 2005-01-11 2011-06-14 Jintai Ding Method to produce new multivariate public key cryptosystems
CN1870499B (zh) * 2005-01-11 2012-01-04 丁津泰 产生新的多变量公钥密码系统的方法
WO2007057610A1 (fr) * 2005-11-18 2007-05-24 France Telecom Systeme et procede cryptographique d'authentification ou de signature
FR2916317B1 (fr) * 2007-05-15 2009-08-07 Sagem Defense Securite Protection d'execution d'un calcul cryptographique
CN101321059B (zh) * 2007-06-07 2011-02-16 管海明 一种用于编码和译码数字消息的方法和系统
FR2918525A1 (fr) * 2007-07-06 2009-01-09 France Telecom Procede asymetrique de chiffrement ou de verification de signature.
CN101227286B (zh) * 2008-01-31 2010-04-14 北京飞天诚信科技有限公司 一种生成消息认证码的方法
JP2011107528A (ja) * 2009-11-19 2011-06-02 Sony Corp 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム
IL205803A0 (en) 2010-05-16 2010-12-30 Yaron Sella Collision-based signature scheme
IL206139A0 (en) 2010-06-02 2010-12-30 Yaron Sella Efficient multivariate signature generation
IL207918A0 (en) 2010-09-01 2011-01-31 Aviad Kipnis Attack-resistant multivariate signature scheme
JP5790287B2 (ja) * 2011-08-12 2015-10-07 ソニー株式会社 情報処理装置、情報処理方法、プログラム、及び記録媒体
CN105359455A (zh) * 2013-07-12 2016-02-24 皇家飞利浦有限公司 电子签名系统
CN103457726B (zh) * 2013-08-26 2016-12-28 华南理工大学 基于矩阵的多变量公钥加密方法
CN103780383B (zh) * 2014-01-13 2017-05-31 华南理工大学 一种基于超球面的多变量公钥签名/验证系统及方法
CN104009848B (zh) * 2014-05-26 2017-09-29 华南理工大学 一种混合型的多变量数字签名系统及方法
CN105245343B (zh) * 2015-09-22 2018-09-14 华南理工大学 一种基于多变量密码技术的在线离线签名系统及方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ240019A (en) * 1991-09-30 1996-04-26 Peter John Smith Public key encrypted communication with non-multiplicative cipher
US5375170A (en) 1992-11-13 1994-12-20 Yeda Research & Development Co., Ltd. Efficient signature scheme based on birational permutations
US5263085A (en) 1992-11-13 1993-11-16 Yeda Research & Development Co. Ltd. Fast signature scheme based on sequentially linearized equations
FR2737370B1 (fr) * 1995-07-27 1997-08-22 Bull Cp8 Procede de communication cryptographique
FR2744309B1 (fr) * 1996-01-26 1998-03-06 Bull Cp8 Procede de communicatin cryptographique asymetrique, et objet portatif associe
US6076163A (en) * 1997-10-20 2000-06-13 Rsa Security Inc. Secure user identification based on constrained polynomials

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011033642A1 (ja) * 2009-09-17 2011-03-24 株式会社 東芝 署名生成装置及び署名検証装置
JP2021145278A (ja) * 2020-03-13 2021-09-24 日本電信電話株式会社 鍵生成装置、鍵生成方法及びプログラム
JP7322763B2 (ja) 2020-03-13 2023-08-08 日本電信電話株式会社 鍵生成装置、鍵生成方法及びプログラム

Also Published As

Publication number Publication date
EP1049289A1 (en) 2000-11-02
DK1049289T3 (da) 2005-02-14
IL135647A0 (en) 2001-05-20
HK1039004B (zh) 2007-05-04
DE69920875D1 (de) 2004-11-11
CN1314040A (zh) 2001-09-19
EP1049289B1 (en) 2004-10-06
ES2230814T3 (es) 2005-05-01
JP2005253107A (ja) 2005-09-15
IL135647A (en) 2010-11-30
DE69920875T2 (de) 2005-10-27
AU4602800A (en) 2000-11-17
JP4183387B2 (ja) 2008-11-19
BR0006085A (pt) 2001-03-20
HK1039004A1 (en) 2002-04-04
AU774346B2 (en) 2004-06-24
WO2000067423A1 (en) 2000-11-09
BRPI0006085B1 (pt) 2016-05-10
CN1285191C (zh) 2006-11-15
US7100051B1 (en) 2006-08-29

Similar Documents

Publication Publication Date Title
JP2002543478A (ja) 公開鍵を署名する方法とシステム
Joux Algorithmic cryptanalysis
Hellman An overview of public key cryptography
US7574596B2 (en) Cryptographic method and apparatus
US7912216B2 (en) Elliptic curve cryptosystem optimization using two phase key generation
US7986778B2 (en) Cryptographic method and apparatus
JP2008203548A (ja) 二次双曲線群を使用する鍵生成方法、復号方法、署名検証方法、鍵ストリーム生成方法および装置。
CN115102688B (zh) 数据处理方法、多项式计算方法及电子设备
GB2401012A (en) Identifier-based encryption
US20110211697A1 (en) System and method for the calculation of a polynomial-based hash function and the erindale-plus hashing algorithm
JP2001066989A (ja) 一方向性関数生成方法,一方向性関数値生成装置,証明装置,認証方法および認証装置
US20040086113A1 (en) Methods for point compression for jacobians of hyperelliptic curves
US6111952A (en) Asymmetrical cryptographic communication method and portable object therefore
Andreeva et al. COBRA: A parallelizable authenticated online cipher without block cipher inverse
Heninger RSA, DH, and DSA in the Wild
Berbain et al. Efficient implementations of multivariate quadratic systems
US20110317840A1 (en) System and method of performing authentication
Stallings Digital signature algorithms
US7233662B2 (en) Numerical array output device, a numerical array output method, an encryption device, and a decryption device
Andreevich et al. On Using Mersenne Primes in Designing Cryptoschemes
Zia Ullah Bashir et al. Cryptanalysis and improvement of a blind multi-document signcryption scheme
Ding et al. Hidden Field Equations
Yadav et al. Hybrid cryptography approach to secure the data in computing environment
WO2009090519A1 (en) Efficient reconstruction of a public key from an implicit certificate
Easttom More approaches to quantum-resistant cryptography

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040518

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20040812

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20040826

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20041104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041105

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20041221

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20050412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050413

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050525

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20060707

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071004

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071010

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080109

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080422

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080728

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080902

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110912

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4183387

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120912

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120912

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130912

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term