JP2003152709A - Structure of electronic signature, and method and system for verifying information with the signature - Google Patents
Structure of electronic signature, and method and system for verifying information with the signatureInfo
- Publication number
- JP2003152709A JP2003152709A JP2001347998A JP2001347998A JP2003152709A JP 2003152709 A JP2003152709 A JP 2003152709A JP 2001347998 A JP2001347998 A JP 2001347998A JP 2001347998 A JP2001347998 A JP 2001347998A JP 2003152709 A JP2003152709 A JP 2003152709A
- Authority
- JP
- Japan
- Prior art keywords
- user
- random number
- value
- information
- signed information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、電子投票や電子ア
ンケート等において用いることのできる電子署名の構造
に係り、詳しくは、所定のグループに所属する複数のユ
ーザのそれぞれの端末において作成された有限体Fqの
元となるメッセージ情報mに対して付加されるべき電子
署名の構造に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a structure of an electronic signature that can be used in electronic voting, electronic questionnaires, etc., and more specifically, it is a finite number created in each terminal of a plurality of users belonging to a predetermined group. It relates to the structure of the electronic signature to be added to the message information m which is the source of the field Fq.
【0002】また、本発明は、メッセージ情報mに上記
のような電子署名が付加されて作成される署名付き情報
が、所定のグループに所属する複数のユーザのいずれか
にて作成されたものであることの検証を行うための署名
付き情報検証方法及びシステムに関する。Further, according to the present invention, the signed information created by adding the electronic signature as described above to the message information m is created by any of a plurality of users belonging to a predetermined group. The present invention relates to a signed information verification method and system for verifying the existence.
【0003】[0003]
【従来の技術】例えば、あるグループに所属するユーザ
を対象とした電子投票や電子アンケートなどを行うシス
テムでは、確実にそのグループに所属するユーザの投票
や回答であることが保障されることや、投票や回答した
ユーザが特定できないこと、所謂、匿名性が確保される
ことが要求される場合がある。このようなシステムで
は、例えば、あるグループに所属する複数のユーザに対
して共通の秘密情報を付与しておき、各ユーザは、その
共通の秘密情報を用いた署名付きの投票や回答を行う。
そして、各ユーザからの投票や回答に付されている署名
内の秘密情報を確認することにより、各ユーザの匿名性
を確保した状態で、その投票や回答がそのグループに所
属する正規のユーザからなされたものであることを確認
することができる。2. Description of the Related Art For example, in a system that performs electronic voting or electronic questionnaire for users who belong to a certain group, it is guaranteed that the votes and answers of users who belong to the group are guaranteed. There are cases where it is required that the users who have voted or answered cannot be specified, that is, so-called anonymity be ensured. In such a system, for example, common secret information is given to a plurality of users belonging to a certain group, and each user makes a vote or reply with a signature using the common secret information.
Then, by checking the confidential information in the signature attached to the vote or answer from each user, while maintaining the anonymity of each user, the vote or answer can be sent from a legitimate user who belongs to the group. It can be confirmed that it was done.
【0004】[0004]
【発明解決しようとする課題】しかし、上記のようなシ
ステムでは、各ユーザに対して共通の秘密情報を付与す
るために、ユーザがそのグループを脱退するなど、ユー
ザがその秘密情報を使用する必要がなくなった状況が発
生する毎に、不正行為を防止する観点から、その秘密情
報を無効にしなければならない。また、グループに所属
する全てのユーザに対して共通の秘密情報を付与するこ
とから、十分な安全性を確保することが比較的難しい。However, in the system as described above, in order to give common secret information to each user, the user needs to use the secret information, such as leaving the group. Every time the situation disappears, the confidential information must be invalidated in order to prevent fraud. Moreover, since common secret information is given to all users who belong to the group, it is relatively difficult to ensure sufficient security.
【0005】このような問題を解決するため、近年、グ
ループシグニチャーという技術が提案されている。この
ような技術では、例えば、素因数分解や離散対数問題の
計算が計算量的に不可能であるということを前提とした
安全性確保(計算量的に安全)の手法がとられている。
即ち、現在考えられるどんな高性能のコンピュータで
も、現実的な時間内で秘密情報等の解読ができないこと
を保障している。In order to solve such a problem, a technique called group signature has been proposed in recent years. In such a technique, for example, a method of ensuring safety (computationally secure) is taken on the assumption that it is impossible to compute a prime factorization or a discrete logarithm problem in terms of computational complexity.
In other words, it guarantees that any high-performance computer currently conceivable cannot decipher confidential information in a realistic time.
【0006】[0006]
【発明が解決しようとする課題】しかし、現在、計算量
的に安全であることが保障しえていても、今後、コンピ
ュータの性能向上などにより、その安全性を十分保障し
えるものとはならない。However, even if the security of the computational complexity can be guaranteed at present, it will not be possible to sufficiently secure the security in the future by improving the performance of the computer. .
【0007】そこで、本発明の第一の課題は、いかなる
性能のコンピュータを用いても不正を行うことのできな
い、所謂、情報量的安全性を保障しうる電子署名の構造
を提供することである。Therefore, a first object of the present invention is to provide a so-called electronic signature structure capable of ensuring the so-called quantitative security of information, which cannot be fraudulently used by a computer of any performance. .
【0008】また、本発明の第二の課題は、メッセージ
情報にそのような電子署名がなされて作成される署名付
き情報の検証方法及びシステムを提供することである。A second object of the present invention is to provide a method and system for verifying signed information created by applying such an electronic signature to message information.
【0009】[0009]
【課題を解決するための手段】上記第一の課題を解決す
るため、本発明は、請求項1に記載されるように、所定
のグループに所属する複数のユーザのそれぞれUj(j
=1,・・・n)の端末において作成された有限体Fq
の元となるメッセージ情報mに対して付加されるべき電
子署名の構造において、上記各ユーザUjに対応させて
それぞれ異なるように生成された上記有限体Fqの元と
なる乱数rjと、ランダムに生成された上記有限体Fq上
の多項式F1(x)、F2(x)に上記乱数rjを代入し
て得られる値F1(rj)、F2(rj)を用いて演算され
た値{F1(rj)+mF2(rj)}との組を有するよう
に構成される。In order to solve the above-mentioned first problem, according to the present invention, as described in claim 1, each of a plurality of users belonging to a predetermined group Uj (j).
= 1, ... N) the finite field Fq created in the terminal
In the structure of the electronic signature to be added to the message information m which is the source of the random number rj, which is the source of the finite field Fq generated differently corresponding to each user Uj, and randomly generated A value {F1 (rj) calculated using the values F1 (rj) and F2 (rj) obtained by substituting the random numbers rj into the polynomials F1 (x) and F2 (x) on the finite field Fq. + MF2 (rj)}.
【0010】このような電子署名の構造では、値s=
{F1(rj)+mF2(rj)}、メッセージ情報m及び
乱数rjが悪意の第三者に取得されたとしても、その値
sとなる2つの値(F1(rj)、mF2(rj))の組み
合わせは、無数に存在するため、値F1(rj)及びF2
(rj)を特定することができない。従って、悪意の第
三者が上記所定のグループに所属するユーザに成りすま
すことはできない。In such a digital signature structure, the value s =
Even if {F1 (rj) + mF2 (rj)}, the message information m and the random number rj are acquired by a malicious third party, two values (F1 (rj) and mF2 (rj)) that are the value s Since there are innumerable combinations, the values F1 (rj) and F2
(Rj) cannot be specified. Therefore, a malicious third party cannot impersonate a user who belongs to the above predetermined group.
【0011】上記第二の課題を解決するため、本発明
は、請求項2に記載されるように、所定のグループに所
属する複数のユーザのそれぞれUj(j=1,・・・,
n)の端末において作成された署名付き情報が当該所定
のグループに所属するいずれかのユーザにて作成された
ものであるこのことの検証を行うための署名付き情報検
証方法において、所定のセンタにて実行される、有限体
Fq上の多項式F1(x)、F2(x)をランダムに生成
するステップと、所定のグループに所属する複数のユー
ザのそれぞれUj(j=1,…,n)に対応させてそれ
ぞれ異なる上記有限体Fqの元となる乱数rjを生成する
ステップと、上記多項式F1(x)、F2(x)及び上記
乱数rjを用いて、第一の値F1(rj)及び第二の値F2
(rj)を演算するステップと、上記多項式F1(x)、
F2(x)を検証者に発行すると共に、上記乱数rj、第
一の値F1(rj)及び第二の値F2(rj)をユーザUj
に発行するステップとを有し、上記検証者の端末にて実
行される、上記ユーザUjの端末において作成された、
上記有限体Fqの元となるメッセージ情報mに、上記乱
数rjと、上記第一の値F1(rj)及び第二の値F2(r
j)から演算される値{F1(rj)+mF2(rj)}と
の組が付加された署名付き情報
{m、rj、F1(rj)+F2(rj)}
を取得するステップと、上記署名付き情報に含まれるメ
ッセージ情報m及び乱数rjと、上記検証者に発行され
た多項式F1(x)、F2(x)とを用いて、
F1(x)|x=rj+mF2(x)|x=rj
の値を演算するステップと、上記値が上記署名付き情報
に含まれる値
{F1(rj)+mF2(rj)}
に一致するか否かを判定するステップとを有し、その判
定結果を上記署名付き情報が上記所定のグループに属す
るいずれかのユーザにて作成されたものであることの検
証結果とするように構成される。In order to solve the above-mentioned second problem, according to the present invention, as described in claim 2, each of a plurality of users belonging to a predetermined group Uj (j = 1, ...
In the signed information verification method for verifying that the signed information created in the terminal n) is created by any user who belongs to the specified group, And a step of randomly generating polynomials F1 (x) and F2 (x) on a finite field Fq, and Uj (j = 1, ..., N) of each of a plurality of users belonging to a predetermined group. The step of generating a random number rj which is a source of the finite field Fq different from each other correspondingly, and the first value F1 (rj) and the Second value F2
(Rj) calculation step, and the polynomial F1 (x),
F2 (x) is issued to the verifier, and the random number rj, the first value F1 (rj) and the second value F2 (rj) are sent to the user Uj.
Created in the terminal of the user Uj, which is executed on the terminal of the verifier,
In the message information m which is the source of the finite field Fq, the random number rj, the first value F1 (rj) and the second value F2 (r
j) obtaining the signed information {m, rj, F1 (rj) + F2 (rj)} to which a pair of the value {F1 (rj) + mF2 (rj)} calculated from j is added; Using the message information m and the random number rj included in the information and the polynomials F1 (x) and F2 (x) issued to the verifier, F1 (x) | x = rj + mF2 (x) | x = rj There is a step of calculating a value, and a step of determining whether or not the value matches the value {F1 (rj) + mF2 (rj)} included in the signed information, and the determination result is added with the signature. The verification result that the information is created by any user belonging to the above-mentioned predetermined group is configured.
【0012】このような署名付き情報検証方法では、検
証者は、センタから発行された上記多項式F1(x)、
F2(x)と、その署名付き情報に含まれる乱数rj及び
メッセージ情報mとを用いて値{F1(rj)+mF2
(rj)}を作成し、その作成された値と上記署名付き
情報に含まれる値{F1(rj)+mF2(rj)}とが一
致するか否かを判定することにより、上記署名付き情報
が上記所定のグループに所属するいずれかのユーザにて
作成されたものであることの検証を行う。In such a signed information verification method, the verifier uses the polynomial F1 (x) issued by the center,
The value {F1 (rj) + mF2 is obtained by using F2 (x) and the random number rj and the message information m included in the signed information.
(Rj)} is created and it is determined whether the created value and the value {F1 (rj) + mF2 (rj)} included in the signed information match. It is verified that it was created by any user who belongs to the above-mentioned predetermined group.
【0013】ユーザに対してメッセージ情報mの作成否
認を許さないという観点から、本発明は、請求項3に記
載されるように、上記署名付き情報検証方法において、
上記ユーザUjに割り当てられる乱数rjを生成するステ
ップは、他の全てのユーザの乱数ri(i=1,・・
・,n、i≠j)に関し、F1(rj)≠F1(ri)とな
る乱数rjを生成すると共に、上記センタにて実行され
る、上記第一の値F1(rj)と該乱数rjに対応したユ
ーザUjとの対応関係を表す情報を所定の機関に対して
発行するステップを有し、上記所定の機関において実行
される、上記検証者から第一の値F1(rj)が提供され
たときに、上記センタから発行された第一の値F1(r
j)とユーザUjとの関係を表す情報に基づいて、その第
一の値F1(rj)に対応したユーザUjを特定するステ
ップを有するように構成することができる。From the viewpoint of not allowing the user to deny creation of the message information m, the present invention provides the signed information verification method as described in claim 3.
The step of generating the random number rj assigned to the user Uj is the random number r i (i = 1, ...
, N, i ≠ j), a random number rj that satisfies F1 (rj) ≠ F1 (ri) is generated, and at the same time, the first value F1 (rj) and the random number rj are executed in the center. A first value F1 (rj) is provided by the verifier, which has a step of issuing information indicating a correspondence relationship with the corresponding user Uj to a predetermined institution and is executed in the predetermined institution. Sometimes, the first value F1 (r
It can be configured to have a step of identifying the user Uj corresponding to the first value F1 (rj) based on the information indicating the relationship between j) and the user Uj.
【0014】上記のような署名付き情報検証方法では、
検証者が有する情報だけでは、署名付き情報を作成した
のは所定のグループに所属するいずれかのユーザである
ことは検証できるものの、具体的にその作成したユーザ
を特定することができない。そこで、上記センタは、予
め上記第一の値F1(rj)とユーザUjとの関係を表す
情報を所定の機関に発行する。これにより、検証者が上
記値F1(rj)を該所定の機関に提供することにより、
その署名付き情報を作成したユーザUjを特定すること
ができる。即ち、その署名付き情報を作成したユーザU
jを検証者と所定の機関が協力しあうことによって特定
することができる。このように特定されたユーザUj
は、その署名付き情報を作成したことを否認することが
できなくなる。In the signed information verification method as described above,
Although only the information possessed by the verifier can verify that the user who created the signed information is one of the users belonging to the predetermined group, the created user cannot be specifically specified. Therefore, the center issues information representing the relationship between the first value F1 (rj) and the user Uj to a predetermined institution in advance. Thereby, the verifier provides the above-mentioned value F1 (rj) to the predetermined institution,
The user Uj who created the signed information can be specified. That is, the user U who created the signed information
j can be specified by the cooperation of the verifier and the prescribed organization. User Uj identified in this way
Cannot deny having created the signed information.
【0015】上記第一の課題を解決するため、本発明
は、請求項4に記載されるように、所定のグループに所
属する複数のユーザのそれぞれUj(j=1,・・・
n)の端末において作成された有限体Fqの元となるメ
ッセージ情報mに対して付加されるべき電子署名の構造
において、上記各ユーザUjに対応させてそれぞれ異な
るように生成された上記有限体Fqの元となる乱数rj
と、ランダムに生成された上記有限体Fq上の二変数多
項式F1(x,y)、F2(x,y)の一方の変数xに上
記乱数rjを代入して得られる多項式F1(rj,y)、
F2(rj,y)を用いて演算された多項式{F1(rj,
y)+mF2(rj,y)}との組を有するように構成さ
れる。In order to solve the above-mentioned first problem, according to the present invention, as described in claim 4, each of a plurality of users belonging to a predetermined group Uj (j = 1, ...).
In the structure of the electronic signature to be added to the message information m which is the source of the finite field Fq created in the terminal n), the finite field Fq generated differently corresponding to each user Uj. The random number rj that is the source of
And a polynomial F1 (rj, y obtained by substituting the random number rj into one variable x of the two-variable polynomials F1 (x, y) and F2 (x, y) on the finite field Fq generated at random. ),
A polynomial {F1 (rj, y) calculated using F2 (rj, y)
y) + mF2 (rj, y)}.
【0016】このような電子署名の構造では、上述した
ような電子署名の構造と同様に、多項式s(y)={F
1(rj,y)+mF2(rj,y)}、メッセージ情報m
及び乱数rjが悪意の第三者に取得されたとしても、多
項式s(y)を構成する2つの多項式(F1(rj,
y)、mF2(rj,y))の組み合わせは、無数に存在
するため、その多項式F1(rj,y)及びF2(rj,
y)を特定することができない。In such a digital signature structure, the polynomial s (y) = {F, as in the above-described digital signature structure.
1 (rj, y) + mF2 (rj, y)}, message information m
And the random number rj are acquired by a malicious third party, two polynomials (F1 (rj,
y) and mF2 (rj, y)) exist in innumerable combinations, and therefore polynomials F1 (rj, y) and F2 (rj,
y) cannot be specified.
【0017】このような電子署名を用いた署名付き情報
に関し、上記第二の課題を解決するため、本発明は、請
求項5に記載されるように、所定のグループに所属する
複数のユーザのそれぞれUj(j=1,・・・,n)の
端末において作成された署名付き情報が当該所定のグル
ープに所属するいずれかのユーザにて作成されたもので
あるこのことの検証を行うための署名付き情報検証方法
において、所定のセンタにて実行される、有限体Fq上
の二変数多項式F1(x,y)、F2(x,y)をランダ
ムに生成するステップと、検証者を特定する上記有限体
Fqの元となる識別子Vk及び上記二変数多項式F1
(x,y)、F2(x,y)を用いて、多項式F1(x,
Vk)、F2(x,Vk)を演算するステップと、所定の
グループに所属する複数のユーザUj(j=1,…,
n)のそれぞれに対応させてそれぞれ異なる上記有限体
Fqの元となる乱数rjを生成するステップと、上記二変
数多項式F1(x,y)、F2(x,y)及び上記乱数r
jを用いて多項式F1(rj,y)、F2(rj,y)を演
算するステップと、上記多項式F1(x,Vk)、F2
(x,Vk)を検証者Vkに発行すると共に、上記乱数r
j、上記多項式F1(rj、y)、及びF2(rj,y)を
ユーザUjに発行するステップとを有し、上記検証者Vk
の端末にて実行される、上記ユーザUjの端末において
作成された、上記有限体Fqの元となるメッセージ情報
mに、上記乱数rjと、上記多項式F1(rj、y)及び
F2(rj,y)から演算される多項式{F1(rj,y)
+mF2(rj,y)}との組が付加された署名付き情報
{m、rj、F1(rj,y)+F2(rj,y)}
を取得するステップと、上記署名付き情報に含まれる多
項式{F1(rj,y)+mF2(rj,y)}を用いて、
{F1(rj,y)+mF2(rj,y)}|y=Vk
の値と、上記検証者Viに発行された多項式F1(x,V
k)、F2(x,Vk)及び上記署名付き情報に含まれる
メッセージ情報m及び乱数rjを用いて、
F1(x,Vk)|x=rj+mF2(x,Vk)|x=rj
の値とを演算するステップと、上記各値が一致するか否
かを判定するステップとを有し、その判定結果を上記署
名付き情報が上記所定のグループに所属するいずれかの
ユーザにて作成されたものであることの検証結果とする
ように構成される。In order to solve the above-mentioned second problem with regard to the information with a signature using such a digital signature, the present invention sets forth a plurality of users belonging to a predetermined group as described in claim 5. In order to verify this, the signed information created in each terminal of Uj (j = 1, ..., N) is created by any user who belongs to the predetermined group. In the signed information verification method, a step of randomly generating bivariate polynomials F1 (x, y) and F2 (x, y) on a finite field Fq, which is executed at a predetermined center, and a verifier are specified. The identifier Vk that is the source of the finite field Fq and the bivariate polynomial F1
Using (x, y) and F2 (x, y), the polynomial F1 (x, y
Vk), F2 (x, Vk), and a plurality of users Uj (j = 1, ...
n) corresponding to each of the different finite field Fq, which is a source of the random number rj, and the bivariate polynomials F1 (x, y), F2 (x, y) and the random number r.
calculating the polynomials F1 (rj, y) and F2 (rj, y) using j, and the above polynomials F1 (x, Vk) and F2
(X, Vk) is issued to the verifier Vk, and the random number r
j, and the step of issuing the polynomial F1 (rj, y) and F2 (rj, y) to the user Uj.
The message information m, which is the source of the finite field Fq created in the terminal of the user Uj and is executed in the terminal of, the random number rj and the polynomials F1 (rj, y) and F2 (rj, y). ) Polynomial {F1 (rj, y)
+ MF2 (rj, y)} is added to the signed information {m, rj, F1 (rj, y) + F2 (rj, y)}, and the polynomial {included in the signed information. Using F1 (rj, y) + mF2 (rj, y)}, {F1 (rj, y) + mF2 (rj, y)} | y = Vk and the polynomial F1 (i) issued to the verifier Vi. x, V
k), F2 (x, Vk) and the message information m and the random number rj included in the signed information, F1 (x, Vk) | x = rj + mF2 (x, Vk) | x = rj There is a step of calculating and a step of judging whether or not the above respective values match, and the judgment result is one in which the signed information is created by any user who belongs to the predetermined group. It is configured to be the verification result of something.
【0018】このような署名付き情報検証方法では、検
証者Vkの端末において、上記メッセージ情報mに上記
電子署名を付加することによって作成された署名付き情
報
{m、rj、F1(rj,y)+mF2(rj,y)}
が、所定のグループに所属するいずれかのユーザにて作
成されたものであることの検証が可能となる。In such a signed information verification method, signed information {m, rj, F1 (rj, y) created by adding the electronic signature to the message information m at the terminal of the verifier Vk. It is possible to verify that + mF2 (rj, y)} is created by any user who belongs to a predetermined group.
【0019】上記のような検証方法では、検証者を特定
する識別子Vkを用いるようにしているので、検証者Vk
は、複数の検証者のうちのいずれの検証者であってもよ
い。In the verification method as described above, since the identifier Vk for identifying the verifier is used, the verifier Vk is used.
May be any verifier of a plurality of verifiers.
【0020】また、上記のような署名付き情報検証方法
において、ユーザに対してメッセージ情報mの作成否認
を許さないという観点から、本発明は、請求項6に記載
されるように、上記ユーザUjに割り当てられる乱数rj
を生成するステップは、他の全てのユーザの乱数ri
(i=1,・・・,n、i≠j)に関し、F1(rj,
y)≠F1(ri,y)となる乱数rjを生成すると共
に、上記センタにて実行される、上記多項式F1(rj,
y)と該乱数rjに対応したユーザUjとの対応関係を表
す情報を所定の機関に発行するステップを有し、上記所
定の機関にて実行される、上記検証者ViからF1(x,
Vk)|x=rjの演算にて得られた値F1(rj,Vk)が提
供されたときに、上記多項式F1(rj,y)とユーザU
jとの対応関係を表す情報に基づいて、
F1(rj,Vk)=F1(rj,y)|y=Vi
となるような多項式F1(rj、y)に対応したユーザU
jを特定するステップを有するように構成することがで
きる。Further, in the above-described signed information verification method, from the viewpoint of not allowing the user to reject the creation of the message information m, the present invention provides the user Uj as described in claim 6. Random number rj assigned to
To generate a random number r i for all other users.
For (i = 1, ..., N, i ≠ j), F1 (rj,
y) ≠ F1 (ri, y), a random number rj is generated, and the polynomial F1 (rj,
y) and the user Uj corresponding to the random number rj are issued to a predetermined institution, and the verifier Vi to F1 (x,
Vk) | x = rj When the value F1 (rj, Vk) obtained by the calculation is provided, the polynomial F1 (rj, y) and the user U
A user U corresponding to a polynomial F1 (rj, y) such that F1 (rj, Vk) = F1 (rj, y) | y = Vi based on the information indicating the correspondence with j.
It can be configured to have the step of identifying j.
【0021】また、第二の課題を解決するため、本発明
は、請求項7に記載されるように、所定のグループに所
属する複数のユーザのそれぞれUj(j=1,・・・,
n)の端末において作成された署名付き情報が当該所定
のグループに所属するいずれかのユーザにて作成された
ものであるこのことの検証を行う署名付き情報検証シス
テムにおいて、所定のセンタは、有限体Fq上の多項式
F1(x)、F2(x)をランダムに生成する手段と、所
定のグループに所属する複数のユーザのそれぞれUj
(j=1,…,n)に対応させてそれぞれ異なる上記有
限体Fqの元となる乱数rjを生成する手段と、上記多項
式F1(x)、F2(x)及び上記乱数rjを用いて、第
一の値F1(rj)及び第二の値F2(rj)を演算する手
段と、上記多項式F1(x)、F2(x)を検証者に発行
すると共に、上記乱数rj、第一の値F1(rj)及び第
二の値F2(rj)をユーザUjに発行する手段とを有
し、上記検証者の端末は、上記ユーザUjの端末におい
て作成された、上記有限体Fqの元となるメッセージ情
報mに、上記乱数rjと、上記第一の値F1(rj)及び
第二の値F2(rj)から演算される値{F1(rj)+m
F2(rj)}との組が付加された署名付き情報
{m、rj、F1(rj)+F2(rj)}
を取得する手段と、上記署名付き情報に含まれるメッセ
ージ情報m及び乱数rjと、上記検証者に発行された多
項式F1(x)、F2(x)とを用いて、
F1(x)|x=rj+mF2(x)|x=rj
の値を演算する手段と、上記値が上記署名付き情報に含
まれる値
{F1(rj)+mF2(rj)}
に一致するか否かを判定する手段とを有し、その判定結
果を上記署名付き情報が上記所定のグループに属するい
ずれかのユーザにて作成されたものであることの検証結
果とするように構成される。In order to solve the second problem, according to the present invention, as described in claim 7, each of a plurality of users belonging to a predetermined group Uj (j = 1, ...
In the signed information verification system that verifies that the signed information created in the terminal n) is created by any user who belongs to the specified group, the specified center is Means for randomly generating polynomials F1 (x) and F2 (x) on the field Fq, and Uj of each of a plurality of users belonging to a predetermined group
By using means for generating different random numbers rj that are elements of the finite field Fq corresponding to (j = 1, ..., N) and the polynomials F1 (x), F2 (x) and the random numbers rj, Means for calculating the first value F1 (rj) and the second value F2 (rj), and issuing the polynomials F1 (x), F2 (x) to the verifier, and the random number rj, first value F1 (rj) and means for issuing the second value F2 (rj) to the user Uj, and the verifier's terminal is the source of the finite field Fq created in the terminal of the user Uj. In the message information m, a value {F1 (rj) + m calculated from the random number rj and the first value F1 (rj) and the second value F2 (rj).
F2 (rj)}-added signed information {m, rj, F1 (rj) + F2 (rj)}, and message information m and random number rj included in the signed information, A means for calculating the value of F1 (x) | x = rj + mF2 (x) | x = rj using the polynomials F1 (x) and F2 (x) issued to the verifier, and the above value is the signature Means for determining whether or not the value {F1 (rj) + mF2 (rj)} included in the attached information matches, and the result of the determination is any user whose signed information belongs to the predetermined group. It is configured to be the verification result that it was created in.
【0022】更に、同様に第二の課題を解決するため、
本発明は、請求項9に記載されるように、所定のグルー
プに所属する複数のユーザのそれぞれUj(j=1,・
・・,n)の端末において作成された署名付き情報が当
該所定のグループに所属するいずれかのユーザにて作成
されたものであるこのことの検証を行う署名付き情報検
証システムにおいて、所定のセンタは、有限体Fq上の
二変数多項式F1(x,y)、F2(x,y)をランダム
に生成する手段と、検証者を特定する上記有限体Fqの
元となる識別子Vk及び上記二変数多項式F1(x,
y)、F2(x,y)を用いて、多項式F1(x,V
k)、F2(x,Vk)を演算する手段と、所定のグルー
プに所属する複数のユーザUj(j=1,…,n)のそ
れぞれに対応させてそれぞれ異なる上記有限体Fqの元
となる乱数rjを生成する手段と、上記二変数多項式F1
(x,y)、F2(x,y)及び上記乱数rjを用いて多
項式F1(rj,y)、F2(rj,y)を演算する手段
と、上記多項式F1(x,Vk)、F2(x,Vk)を検証
者Vkに発行すると共に、上記乱数rj、上記多項式F1
(rj、y)、及びF2(rj,y)をユーザUjに発行す
る手段とを有し、上記検証者Vkの端末は、上記ユーザ
Ujの端末において作成された、上記有限体Fqの元とな
るメッセージ情報mに、上記乱数rjと、上記多項式F1
(rj、y)及びF2(rj,y)から演算される多項式
{F1(rj,y)+mF2(rj,y)}との組が付加さ
れた署名付き情報
{m、rj、F1(rj,y)+F2(rj,y)}
を取得する手段と、上記署名付き情報に含まれる多項式
{F1(rj,y)+mF2(rj,y)}を用いて、
{F1(rj,y)+mF2(rj,y)}|y=Vk
の値と、上記検証者Viに発行された多項式F1(x,V
k)、F2(x,Vk)及び上記署名付き情報に含まれる
メッセージ情報m及び乱数rjを用いて、
F1(x,Vk)|x=rj+mF2(x,Vk)|x=rj
の値とを演算する手段と、上記各値が一致するか否かを
判定する手段とを有し、その判定結果を上記署名付き情
報が上記所定のグループに所属するいずれかのユーザに
て作成されたものであることの検証結果とするように構
成される。Further, similarly, in order to solve the second problem,
According to the present invention, as described in claim 9, each of a plurality of users belonging to a predetermined group Uj (j = 1, ...
.., n) the signed information created by the terminal is created by any user who belongs to the specified group, and in the signed information verification system that verifies this, a predetermined center Is a means for randomly generating bivariate polynomials F1 (x, y) and F2 (x, y) on a finite field Fq, an identifier Vk which is a source of the finite field Fq for specifying a verifier, and the two variables Polynomial F1 (x,
y) and F2 (x, y), the polynomial F1 (x, V
k), a means for calculating F2 (x, Vk) and a plurality of users Uj (j = 1, ..., N) belonging to a predetermined group, which are different finite fields Fq. Means for generating a random number rj, and the above-mentioned bivariate polynomial F1
(X, y), F2 (x, y) and means for calculating polynomials F1 (rj, y) and F2 (rj, y) using the random numbers rj, and polynomials F1 (x, Vk) and F2 ( x, Vk) is issued to the verifier Vk, and the random number rj and the polynomial F1 are issued.
(Rj, y) and F2 (rj, y) are issued to the user Uj, and the terminal of the verifier Vk is an element of the finite field Fq created in the terminal of the user Uj. In the message information m, the random number rj and the polynomial F1
Signed information {m, rj, F1 (rj, rj, y)} with a pair of polynomial {F1 (rj, y) + mF2 (rj, y)} calculated from (rj, y) and F2 (rj, y) y) + F2 (rj, y)} and a polynomial {F1 (rj, y) + mF2 (rj, y)} included in the signed information, {F1 (rj, y) + mF2 ( rj, y)} | y = Vk and the polynomial F1 (x, V) issued to the verifier Vi.
k), F2 (x, Vk) and the message information m and the random number rj included in the signed information, F1 (x, Vk) | x = rj + mF2 (x, Vk) | x = rj It has a means for calculating and a means for judging whether or not the respective values match, and the result of the judgment is one in which the signed information is created by any user who belongs to the predetermined group. It is configured to be the verification result of something.
【0023】[0023]
【発明の実施の形態】以下、本発明の実施の形態を図面
に基づいて説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings.
【0024】本発明の実施の一形態に係る署名付き情報
検証方法が適用されるシステムは、例えば、図1に示す
ように構成される。A system to which the signed information verification method according to the embodiment of the present invention is applied is configured, for example, as shown in FIG.
【0025】図1において、所定のグループに所属する
ユーザUj(j=1,・・・,n)が使用すべきユーザ
端末101〜10n、検証者V(Verifier)にて管理さ
れる検証者端末20及び信頼できる第三者(Trusted Au
thority)が管理するセンタ100(コンピュータ)が
所定のネットワークNWに接続されている。また、上記
所定のグループ内またはそのグループ以外のユーザで、
例えば、電子投票や電子アンケートの回答を回収する者
にて管理されるユーザ端末10i及び所定の機関となる
エスクローエージェント(Escrow Agent)200(コン
ピュータ)がネットワークNWに接続されている。In FIG. 1, user Uj (j = 1, ..., N) belonging to a predetermined group should be used by user terminals 10 1 to 10 n and a verifier V (Verifier). Person terminal 20 and a trusted third party (Trusted Au)
A center 100 (computer) managed by a network is connected to a predetermined network NW. In addition, in the above predetermined group or users other than that group,
For example, a user terminal 10i that is managed by a person who collects electronic voting and electronic questionnaire responses and an Escrow Agent 200 (computer) that is a predetermined institution are connected to the network NW.
【0026】上記のようなシステムにおいて、例えば、
上記所定のグループに所属する複数のユーザUjが電子
投票を行う場合、図3及び図4に示す手順に従って処理
が行われる。In the above system, for example,
When a plurality of users Uj belonging to the above-mentioned predetermined group make an electronic vote, the process is performed according to the procedure shown in FIGS. 3 and 4.
【0027】図3において、センタ100は、有限体F
q上の多項式F1(x)及びF2(x)をランダムに生成
し(S1)、その多項式F1(x)及びF2(x)を検証
者端末20にネットワークNWを介して送付する(S
2)。検証者端末20は、センタ100から上記多項式
F1(x)及びF2(x)を受信すると(S11)、それ
らの多項式の組を記憶装置に格納する(S12)。In FIG. 3, the center 100 is a finite field F.
The polynomials F1 (x) and F2 (x) on q are randomly generated (S1), and the polynomials F1 (x) and F2 (x) are sent to the verifier terminal 20 via the network NW (S).
2). Upon receiving the polynomials F1 (x) and F2 (x) from the center 100 (S11), the verifier terminal 20 stores the set of polynomials in the storage device (S12).
【0028】上記センタ100は、更に、上記所定のグ
ループに所属する複数のユーザのそれぞれUj(j=
1,・・・,n)に対応させてそれぞれ異なる上記有限
体Fqの元となる乱数rjを生成する(S3)。具体的に
は、まず、上記有限体Fqの元となる1つの乱数r1が選
択される。次に、上記多項式F1(x)を用いて、F1
(r2’)≠F1(r1)を満足するr2’のとり得る値の
全ての集合からランダムにr2が選択される。更に、F1
(r3’)≠F1(r1)かつF1(r3’)≠F1(r2)
を満足するr3’のとり得る値の全ての集合からランダ
ムにr3が選択される。以下、同様にして各ユーザU1〜
Unに対応したn個の乱数r1〜rnが生成される。即
ち、ユーザUjに割り当てられる乱数rjは、他の全ての
利用者の乱数ri(i=1,・・・,n、i≠j)に関
し、F1(r’)≠F1(ri)となるr’のとり得る値
の集合からランダムに選択される。これにより、ユーザ
Ujに対応した乱数rjは、他の全てのユーザに対応した
乱数ri(i=1,・・・,n、i≠j)に関し、F1
(rj)≠F1(ri)となる。The center 100 is further provided with Uj (j = j = n) of each of a plurality of users belonging to the predetermined group.
1, ..., N), and generate different random numbers rj that are the origins of the different finite fields Fq (S3). Specifically, first, one random number r1 that is the source of the finite field Fq is selected. Next, using the above polynomial F1 (x), F1
R2 'is randomly selected from all the sets of possible values of r2' satisfying (r2 ') ≠ F1 (r1). Furthermore, F1
(R3 ') ≠ F1 (r1) and F1 (r3') ≠ F1 (r2)
R3 is randomly selected from all the sets of possible values of r3 'that satisfy Hereinafter, similarly, each user U1 ~
N random numbers r1 to rn corresponding to Un are generated. That is, the random number rj assigned to the user Uj is F1 (r ') ≠ F1 (ri) with respect to the random numbers r i (i = 1, ..., N, i ≠ j) of all other users. 'Is randomly selected from the set of possible values. As a result, the random number rj corresponding to the user Uj is F1 with respect to the random numbers r i (i = 1, ..., N, i ≠ j) corresponding to all the other users.
(Rj) ≠ F1 (ri).
【0029】上記センタ100は、上記のように生成し
た乱数rjを上記多項式F1(x)及びF2(x)のxに
代入して、第一の値F1(rj)及び第二の値F2(rj)
を生成する。そして、センタ100は、上記乱数rjと
共に上記第一の値F1(rj)及び第二の値F2(rj)を
その乱数rjに対応したユーザUjのユーザ端末10jに
送信する(S4)。The center 100 substitutes the random number rj generated as described above into x of the polynomial equations F1 (x) and F2 (x) to generate a first value F1 (rj) and a second value F2 ( rj)
To generate. Then, the center 100 transmits the first value F1 (rj) and the second value F2 (rj) together with the random number rj to the user terminal 10j of the user Uj corresponding to the random number rj (S4).
【0030】ユーザ端末10jは、上記のようにセンタ
100から送信される乱数rjと上記第一の値F1(r
j)及び第二の値F2(rj)を受信する(S31)。ユ
ーザUjが投票内容に関するメッセージをユーザ端末1
0jに入力すると、ユーザ端末10jは、そのメッセージ
を上記有限体Fqの元となるメッセージ情報mに変換
し、そのメッセージ情報mと、上記受信した第一の値F
1(rj)及び第二の値F2(rj)とを用いて、値{F1
(rj)+mF2(rj)}を作成する。そして、ユーザ
端末10jは、更に、上記乱数rjとその値{F1(rj)
+mF2(rj)}との組となる電子署名
{rj、F1(rj)+mF2(rj)}
を作成し、その電子署名を上記メッセージ情報mに付加
した署名付き情報
{m、rj、F1(rj)+mF2(rj)}
を作成する(S32)。The user terminal 10j receives the random number rj transmitted from the center 100 as described above and the first value F1 (r
j) and the second value F2 (rj) are received (S31). User Uj sends a message about the voting content to user terminal 1
When input to 0j, the user terminal 10j converts the message into the message information m which is the source of the finite field Fq, and the message information m and the received first value F
Using 1 (rj) and the second value F2 (rj), the value {F1
(Rj) + mF2 (rj)} is created. Then, the user terminal 10j further uses the random number rj and its value {F1 (rj).
+ MF2 (rj)}, an electronic signature {rj, F1 (rj) + mF2 (rj)} is created, and the electronic signature is added to the message information m. ) + MF2 (rj)} is created (S32).
【0031】ユーザ端末10jは、ネットワークNWを
介して上記のように作成した署名付き情報を投票の回収
を行うユーザが管理するユーザ端末10iに送信する
(S33)。このように署名付き情報が送信されると、
ユーザ端末10jでの投票に関する処理が終了する。The user terminal 10j transmits the signed information created as described above via the network NW to the user terminal 10i managed by the user who collects votes (S33). When the signed information is sent like this,
The process for voting on the user terminal 10j ends.
【0032】上記ユーザ端末10iは、ユーザUjのユー
ザ端末10jから上記署名付き情報を受信すると(S4
1)、その署名付き情報の検証を行う必要があるか否か
を判定する(S42)。この判定基準は、任意に定める
ことができる。例えば、検証を行うべき署名付き情報を
ランダムに決めることもできる。また、全ての署名付き
情報の検証を行うように決めることもできる。When the user terminal 10i receives the signed information from the user terminal 10j of the user Uj (S4).
1) It is determined whether the signed information needs to be verified (S42). This criterion can be set arbitrarily. For example, the signed information to be verified can be randomly determined. It is also possible to decide to verify all signed information.
【0033】上記受信した署名付き情報の検証を行う必
要がないと判定された場合(S42でno)、その署名
付き情報に含まれるメッセージ情報mが投票内容として
当該ユーザ端末10iに蓄積される。一方、上記受信し
た署名付き情報の検証を行う必要があると判定されると
(S42でyes)、ユーザ端末10iは、検証の依頼
と共に上記ユーザ端末10jから受信した署名付き情報
{m、rj、F1(rj)、F2(rj)}
を検証者端末20に送信する(S43)。When it is determined that it is not necessary to verify the received signed information (NO in S42), the message information m included in the signed information is stored in the user terminal 10i as the voting content. On the other hand, if it is determined that the received signed information needs to be verified (Yes in S42), the user terminal 10i requests the verification and the signed information {m, rj, received from the user terminal 10j. F1 (rj), F2 (rj)} is transmitted to the verifier terminal 20 (S43).
【0034】検証者端末20は、ユーザ端末10iから
検証の依頼と共に上記署名付き情報を受信すると(S1
3)、その署名付き情報に含まれた値s1={F1(r
j)+mF2(rj)}を抽出する。そして、更に、検証
者端末20は、上記のようにセンタ100から発行さ
れ、記憶装置に格納した多項式F1(x)及びF2(x)
のxに上記署名付き情報に含まれた乱数rjを代入する
と共に、その署名付き情報に含まれたメッセージ情報m
を用いて、
s2=F1(x)|x=rj+mF2(x)|x=rj
を演算する(S14)
検証者端末20は、上記のようにしてられた2つの値s
1とs2が一致するか否かを判定する(S15)。検証者
端末20は、乱数rjとユーザとの対応関係を表す情報
を保持していないので、上記2つの値s1とs2が一致す
る場合、上記署名付き情報
{m、rj、F1(rj)+mF2(rj)}
を作成したユーザを特定することはできないものの、上
記グループに所属する正規のユーザのうちのいずれかが
作成したものと判断することができる。The verifier terminal 20 receives the request for verification and the signed information from the user terminal 10i (S1).
3), the value s1 = {F1 (r
j) + mF2 (rj)} is extracted. Further, the verifier terminal 20 further issues the polynomials F1 (x) and F2 (x) issued from the center 100 and stored in the storage device as described above.
Substituting the random number rj included in the above-mentioned signed information for x, and the message information m included in the signed information
Is used to calculate s2 = F1 (x) | x = rj + mF2 (x) | x = rj (S14) The verifier terminal 20 uses the two values s obtained as described above.
It is determined whether 1 and s2 match (S15). Since the verifier terminal 20 does not hold the information indicating the correspondence between the random number rj and the user, when the two values s1 and s2 match, the signed information {m, rj, F1 (rj) + mF2 Although it is not possible to specify the user who created (rj)}, it can be determined that it was created by any of the legitimate users belonging to the above group.
【0035】一方、上記署名付きメッセージのうち、メ
ッセージ情報m、乱数rj、及び値{F1(rj)+mF2
(rj)}の少なくとも1つが改ざんされた場合、上記
値s1とs2は一致しなくなる。そのため、当該値s1と
s2が一致しない場合、上記署名付き情報は、なんらか
の改ざんがなされたものと判断することができる。On the other hand, of the signed message, the message information m, the random number rj, and the value {F1 (rj) + mF2
If at least one of (rj)} is tampered with, the values s1 and s2 do not match. Therefore, when the values s1 and s2 do not match, it can be determined that the signed information has been tampered with.
【0036】従って、上記値s1とs2が一致すると判定
された場合(S15でyes)、検証者端末20は、当
該署名付き情報は正当であるとの検証結果を生成し(S
16)、その検証結果を検証の依頼元となるユーザ端末
10iに送信する(S17)。一方、上記値s1とs2が
一致しないと判定された場合(S15でno)、当該署
名付き情報は不当であるとの検証結果を生成し(S1
8)、その検証結果を検証の依頼元となるユーザ端末1
0iに送信する(S19)。Therefore, when it is determined that the values s1 and s2 match (yes in S15), the verifier terminal 20 generates a verification result that the signed information is valid (S).
16), and transmits the verification result to the user terminal 10i, which is the source of the verification request (S17). On the other hand, if it is determined that the values s1 and s2 do not match (no in S15), a verification result that the signed information is invalid is generated (S1).
8), the user terminal 1 that requests the verification result
0i (S19).
【0037】上記のようにして検証の依頼を行った(S
43)ユーザ端末10iは、ネットワークNWを介して
上記検証結果を受信する(S44)。上記署名付き情報
が正当であるとの検証結果を受信した場合、ユーザ端末
10iは、その署名付き情報に含まれるメッセージ情報
mにて表される投票内容を有効票として処理する。一
方、上記署名付き情報が正当でないとの検証結果を受信
した場合、ユーザ端末10iは、その署名付き情報に含
まれるメッセージ情報mにて表される投票内容を無効票
として処理する。A verification request was made as described above (S
43) The user terminal 10i receives the verification result via the network NW (S44). When the verification result that the signed information is valid is received, the user terminal 10i processes the voting content represented by the message information m included in the signed information as a valid vote. On the other hand, when the verification result that the signed information is not valid is received, the user terminal 10i processes the voting content represented by the message information m included in the signed information as an invalid vote.
【0038】上記検証者端末20は、上記署名付き情報
が正当であるとの検証結果を得た場合(S15でye
s、S16)、その検証結果を上記ユーザ端末10iに
送信した後に(S17)、図3に示すステップS20に
おいて、その署名付き情報を作成したユーザを特定すべ
きか否かを判定する。その判定基準は、任意に定めるこ
とができる。例えば、ランダムに決められた検証結果に
対してユーザの特定を行うようにすることもできる。ま
た、全ての検証結果(正当)に対してユーザの特定を行
うようにすることもできる。The verifier terminal 20 obtains a verification result that the signed information is valid (yes at S15).
s, S16), and after transmitting the verification result to the user terminal 10i (S17), in step S20 shown in FIG. 3, it is determined whether the user who created the signed information should be specified. The criterion can be set arbitrarily. For example, the user may be identified with respect to the verification result randomly determined. Further, the user can be specified for all the verification results (valid).
【0039】上記署名付き情報を作成したユーザを特定
すべきであると判定されると(S20でyes)、検証
者端末20は、署名付き情報に含まれる乱数rjと、記
憶装置に格納した多項式F1(x)を用いて演算される
値F1(rj)をエクスクローエージェント200に送信
する(S21)。前述したように、値F1(rj)とユー
ザUjとの対応関係を表す情報をセンタ100から取得
した(S51)エクスクローエージェント200は、図
3に示すステップS52において、検証者端末20から
送信される値F1(rj)を受信する。When it is determined that the user who created the signed information should be specified (Yes in S20), the verifier terminal 20 determines the random number rj included in the signed information and the polynomial stored in the storage device. The value F1 (rj) calculated using F1 (x) is transmitted to the exclusivity agent 200 (S21). As described above, the exclusivity agent 200, which has obtained the information indicating the correspondence between the value F1 (rj) and the user Uj from the center 100 (S51), is transmitted from the verifier terminal 20 in step S52 shown in FIG. Value F1 (rj) is received.
【0040】エクスクローエージェント200は、上記
値F1(rj)とユーザUjとの対応関係を表す情報か
ら、検証者端末20から受信した値F1(rj)に対応す
るユーザUjを検索する(S53)。その検索の結果、
その値F1(rj)に対応するユーザUjが得られると、
エクスクローエージェント200は、そのユーザを特定
する識別子Ujを検証者端末20に送信する(S5
4)。そして、検証者端末20は、エクスクローエージ
ェント200からのユーザを特定する識別子Ujを受信
する(S22)。The exclusivity agent 200 searches the user Uj corresponding to the value F1 (rj) received from the verifier terminal 20 from the information indicating the correspondence between the value F1 (rj) and the user Uj (S53). . As a result of that search,
When the user Uj corresponding to the value F1 (rj) is obtained,
The exclusivity agent 200 transmits the identifier Uj that identifies the user to the verifier terminal 20 (S5).
4). Then, the verifier terminal 20 receives the identifier Uj that identifies the user from the exclusivity agent 200 (S22).
【0041】このように署名付き情報
{m、rj、F1(rj)+mF2(rj)}
を作成したユーザUjの通知を受けた検証者端末20
は、その署名付き情報に含まれるメッセージ情報mとそ
の作成者となるユーザUjとの対応関係を管理する。こ
れにより、何らかの理由によりメッセージ情報mを作成
したユーザを特定する必要が生じた場合に、検証者端末
20にて管理されるメッセージ情報mとその作成者とな
るユーザとの関係を利用することが可能となる。これに
より、ユーザは、自らがメッセージ情報mを作成したこ
との否認ができなくなる。The verifier terminal 20 notified by the user Uj who created the signed information {m, rj, F1 (rj) + mF2 (rj)} in this way.
Manages the correspondence between the message information m included in the signed information and the user Uj who is the creator of the message information m. As a result, when it is necessary to specify the user who created the message information m for some reason, the relationship between the message information m managed by the verifier terminal 20 and the user who creates the message information m can be used. It will be possible. As a result, the user cannot deny that he or she created the message information m.
【0042】上述したようなシステムによれば、検証者
は、署名付き情報を作成した者が所定のグループに所属
するいずれかのユーザであることを検証することができ
る。また、上記のように署名付き情報
{m、rj、F1(rj)+mF(rj)}
がユーザ端末10jからユーザ端末10iに送信される際
に不正に取得され、メッセージ情報m、乱数rj、値
{F1(rj)+mF(rj)}の少なくともいずれかが改
ざんされた場合、検証者は、その改ざんを検出すること
が可能となる。即ち、いかなる計算能力の計算機を用い
ても、正当な署名付き情報をその正当性を保持しつつ改
ざんすることはできない。According to the system as described above, the verifier can verify that the person who created the signed information is any user who belongs to a predetermined group. Further, as described above, the signed information {m, rj, F1 (rj) + mF (rj)} is illegally acquired when the user terminal 10j transmits it to the user terminal 10i, and the message information m, the random number rj, and the value are acquired. When at least one of {F1 (rj) + mF (rj)} is tampered with, the verifier can detect the tampering. That is, it is not possible to tamper with the legitimate signed information while maintaining its legitimacy, using a computer of any computing capacity.
【0043】更に、上記メッセージ情報m、乱数rj及
び値{F1(rj)+mF2(rj)}を不正に取得して
も、値{F1(rj)+mF2(rj)}を定める2つの値
F1(rj)とmF2(rj)の組み合わせは、無限に存在
するので、いかなる計算能力の計算機を用いても、その
各値F1(rj)、F2(rj)を特定することはできず、
不正者が正規のユーザに成りすますことはできない。Furthermore, even if the message information m, the random number rj, and the value {F1 (rj) + mF2 (rj)} are illegally acquired, two values F1 (that determine the value {F1 (rj) + mF2 (rj)} are obtained. Since there are an infinite number of combinations of rj) and mF2 (rj), it is not possible to specify their respective values F1 (rj) and F2 (rj) by using a computer with any computing power.
An illicit person cannot impersonate a legitimate user.
【0044】上記署名付き情報に含まれる情報からだけ
では、どのような計算能力を有する計算機を用いても、
その署名付き情報を作成したユーザを特定することがで
きない。また、検証者端末20でも、単独では、その署
名付き情報を作成したユーザを特定することができな
い。From the information contained in the above-mentioned signed information, no matter what computer capacity is used,
The user who created the signed information cannot be specified. Further, even the verifier terminal 20 cannot individually identify the user who created the signed information.
【0045】更に、検証者端末20とエクスクローエー
ジェント200が協働することにより、上記署名付き情
報を作成したユーザを特定することができる。また、所
定のグループに所属するいかなる正規のユーザも、自身
が作成したことが明らかとならないような正当な署名付
き情報を作成することができない。Further, the verifier terminal 20 and the exclusivity agent 200 cooperate to specify the user who created the above-mentioned signed information. In addition, any legitimate user belonging to a predetermined group cannot create legitimate signed information that does not make it clear that the user has created it.
【0046】図1に示すシステムにおいて、検証者端末
を複数備えることができる。この場合、例えば、図4及
び図5に示す手順に従って処理が行われる。このように
検証者端末が複数存在する場合、署名付き情報の正当性
をどの検証者端末ででも検証することができる。The system shown in FIG. 1 can include a plurality of verifier terminals. In this case, for example, the process is performed according to the procedure shown in FIGS. 4 and 5. When there are a plurality of verifier terminals in this way, the correctness of the signed information can be verified by any verifier terminal.
【0047】図4において、センタ100は、有限体F
q上の二変数多項式F1(x,y)及びF2(x,y)を
ランダムに生成し(S101)、複数の検証者のそれぞ
れを特定する識別子Vkを生成する(S102)。そし
て、センタ100は、上記二変数多項式F1(x,y)
及びF2(x,y)のyに上記検証者の識別子Vkを代入
して得られる多項式F1(x、Vk)及びF2(x,V
k)をネットワークNWを介してその識別子Vkにて特
定される検証者端末20kに送信する(S103)。検
証者端末20kは、センタ100から上記多項式F1
(x,Vk)及びF2(x,Vk)を受信すると(S11
1)、それらの多項式の組を記憶装置に格納する。In FIG. 4, the center 100 is a finite field F.
The bivariate polynomials F1 (x, y) and F2 (x, y) on q are randomly generated (S101), and an identifier Vk that specifies each of the plurality of verifiers is generated (S102). Then, the center 100 uses the bivariate polynomial F1 (x, y).
And polynomials F1 (x, Vk) and F2 (x, V) obtained by substituting the verifier's identifier Vk for y of F2 (x, y).
k) is transmitted to the verifier terminal 20k specified by the identifier Vk via the network NW (S103). The verifier terminal 20k receives the above polynomial F1 from the center 100.
When (x, Vk) and F2 (x, Vk) are received (S11)
1) Store the set of polynomials in a storage device.
【0048】上記センタ100は、更に、所定のグルー
プに所属する複数のユーザのそれぞれUj(j=1,・
・・,n)に対応させてそれぞれ異なる上記有限体Fq
の元となる乱数rjを生成する(S104)。このユー
ザUjに対応する乱数rjは、他の全てのユーザに対応す
る乱数ri(i=1,・・・,n、i≠j)に関し、F1
(rj,y)≠F1(ri,y)となるように定められ
る。The center 100 further includes Uj (j = 1, ...) Of a plurality of users who belong to a predetermined group.
.., n) corresponding to different finite fields Fq
A random number rj that is the source of is generated (S104). The random number rj corresponding to this user Uj is F1 with respect to the random numbers r i (i = 1, ..., N, i ≠ j) corresponding to all other users.
It is determined that (rj, y) ≠ F1 (ri, y).
【0049】上記センタ100は、上記のように生成し
た乱数rjを上記二変数多項式F1(x,y)及びF2
(x,y)のxに代入して、多項式F1(rj,y)及び
F2(rj,y)を生成する。そして、センタ100は、
上記乱数rjと供に上記多項式F1(rj,y)及びF2
(rj,y)をその乱数rjに対応したユーザUjのユー
ザ端末10jに送信する(S105)。The center 100 uses the random number rj generated as described above for the two-variable polynomials F1 (x, y) and F2.
Substituting x in (x, y), polynomials F1 (rj, y) and F2 (rj, y) are generated. And the center 100
Together with the random number rj, the polynomials F1 (rj, y) and F2
(Rj, y) is transmitted to the user terminal 10j of the user Uj corresponding to the random number rj (S105).
【0050】ユーザ端末10jは、上記のようにセンタ
100から送信される乱数rjと上記多項式F1(rj,
y)及びF2(rj,y)を受信する(S131)。前述
した例と同様に、ユーザUjが投票内容に関するメッセ
ージをユーザ端末10jに入力すると、ユーザ端末10j
は、そのメッセージを上記有限体Fqの元となるメッセ
ージ情報mに変換し、そのメッセージ情報mと、上記受
信した多項式F1(rj,y)及びF2(rj,y)とを用
いて、多項式{F1(rj,y)+mF2(rj,y)}を
作成する。そして、ユーザ端末10jは、更に、上記乱
数rjとその多項式{F1(rj,y)+mF2(rj,
y)}との組となる電子署名
{rj,F1(rj,y)+mF2(rj,y)}
を作成し、その電子署名を上記メッセージ情報mに付加
した署名付き情報
{m、rj、F1(rj,y)+mF2(rj,y)}
を作成する(S132)。The user terminal 10j has the random number rj transmitted from the center 100 as described above and the polynomial F1 (rj,
y) and F2 (rj, y) are received (S131). Similarly to the above-described example, when the user Uj inputs a message regarding the voting content into the user terminal 10j, the user terminal 10j
Converts the message into message information m which is the source of the finite field Fq, and uses the message information m and the received polynomials F1 (rj, y) and F2 (rj, y) to generate a polynomial { Create F1 (rj, y) + mF2 (rj, y)}. Then, the user terminal 10j further includes the random number rj and its polynomial {F1 (rj, y) + mF2 (rj,
y)} and a digital signature {rj, F1 (rj, y) + mF2 (rj, y)} which is paired with the signature information {m, rj, F1 (Rj, y) + mF2 (rj, y)} is created (S132).
【0051】ユーザ端末10jは、ネットワークNWを
介して上記のように作成した署名付き情報をユーザ端末
10iに送信する(S133)。このように署名付き情
報が送信されると、ユーザ端末10jでの投票に関する
処理が終了する。The user terminal 10j transmits the signed information created as described above to the user terminal 10i via the network NW (S133). When the signed information is transmitted in this way, the process regarding voting in the user terminal 10j ends.
【0052】上記ユーザ端末10iは、ユーザUjのユー
ザ端末10jから上記署名付き情報を受信すると(S1
41)、その署名付き情報の検証を行う必要があるか否
かを判定する(S142)。ここで、その署名付き情報
の検証を行う必要がないと判定された場合(S142で
no)、その署名付き情報に含まれるメッセージ情報m
が投票内容として当該ユーザ端末10iに蓄積される。
一方、上記受信した署名付き情報の検証を行う必要があ
ると判定されると(S142でyes)、ユーザ端末1
0iは、上述した例と同様に、検証の依頼と供に上記ユ
ーザ端末10jから受信した署名付き情報
{m、rj、F1(rj,y)+mF2(rj,y)}
を複数の検証者端末のいずれか、例えば、検証者端末2
0kに送信する(S143)。When the user terminal 10i receives the signed information from the user terminal 10j of the user Uj (S1).
41), it is determined whether or not the signed information needs to be verified (S142). If it is determined that the signed information does not need to be verified (No in S142), the message information m included in the signed information is m.
Is stored in the user terminal 10i as the voting content.
On the other hand, when it is determined that the received signed information needs to be verified (Yes in S142), the user terminal 1
0i is the same as in the above-mentioned example, the signed information {m, rj, F1 (rj, y) + mF2 (rj, y)} received from the user terminal 10j together with the verification request is transmitted to a plurality of verifier terminals. Of the two, for example, the verifier terminal 2
It is transmitted to 0k (S143).
【0053】検証者端末20kは、ユーザ端末10iから
の検証の依頼と供に上記署名付き情報を受信すると(S
113)、その署名付き情報に含まれる多項式F1(r
j,y)+mF2(rj,y)のyに時端末20kを管理す
る検証者を特定する識別子Vkを代入して値s1を
s1=F1(rj,Vk)+mF2(rj,Vk)
のように算出する。そして、更に、検証者端末20k
は、上記のようにセンタ100から発行され、記憶装置
に格納した多項式F1(x、Vk)及びF2(x,Vk)の
xに上記署名付き情報に含まれた乱数rjを代入すると
供に、その署名付き情報に含まれたメッセージ情報mを
用いて、値s2を
s2=F1(x,Vk)|x=rj+mF2(x,Vk)|x=rj
のように算出する(S114)。The verifier terminal 20k receives the signed information together with the verification request from the user terminal 10i (S
113), the polynomial F1 (r included in the signed information
j, y) + mF2 (rj, y) is substituted with the identifier Vk for identifying the verifier who manages the terminal 20k, and the value s1 is expressed as s1 = F1 (rj, Vk) + mF2 (rj, Vk). calculate. Further, the verifier terminal 20k
Is obtained by substituting the random number rj included in the signed information for x of the polynomials F1 (x, Vk) and F2 (x, Vk) issued from the center 100 as described above and stored in the storage device. Using the message information m included in the signed information, the value s2 is calculated as s2 = F1 (x, Vk) | x = rj + mF2 (x, Vk) | x = rj (S114).
【0054】検証者端末20kは、上記のようにして得
られた2つの値s1とs2が一致するか否かを判定する
(S115)。この場合も、上述した例と同様に、その
2つの値s1とs2が一致する場合(S115でye
s)、検証者端末20kは、当該署名付き情報は正当で
あるとの検証結果を生成し(S116)、その検証結果
を検証の依頼元となるユーザ端末10iに送信する(S
117)。一方、上記値s1とs2が一致しないと判定さ
れた場合(S115でno)、当該署名付き情報は不当
であるとの検証結果を生成し(S118)、その検証結
果を検証の依頼元となるユーザ端末10iに送信する
(S119)。The verifier terminal 20k determines whether or not the two values s1 and s2 obtained as described above match (S115). Also in this case, as in the above example, when the two values s1 and s2 match (yes in S115).
s), the verifier terminal 20k generates a verification result that the signed information is valid (S116), and transmits the verification result to the user terminal 10i which is the requester of the verification (S116).
117). On the other hand, if it is determined that the values s1 and s2 do not match (no in S115), a verification result that the signed information is invalid is generated (S118), and the verification result is the verification request source. It is transmitted to the user terminal 10i (S119).
【0055】上記のようにして検証の依頼を行った(S
143)ユーザ端末10iは、前述した例と同様に、上
記署名付き情報が正当であるとの検証結果を受信した場
合(S144)、その署名付き情報に含まれるメッセー
ジ情報mにて表される投票内容を有効票として処理す
る。一方、上記署名付き情報が正当でないとの検証結果
を受信した場合(S144)、ユーザ端末10iは、そ
の署名付き情報に含まれるメッセージ情報mにて表され
る投票内容を無効票として処理する。A verification request was made as described above (S
143) When the user terminal 10i receives the verification result that the signed information is valid, as in the above-described example (S144), the vote represented by the message information m included in the signed information. Process the content as a valid vote. On the other hand, when the verification result that the signed information is not valid is received (S144), the user terminal 10i processes the voting content represented by the message information m included in the signed information as an invalid vote.
【0056】上記検証者端末20kは、上記署名付き情
報が正当であるとの検証結果を得た場合(S115でy
es、S116)、その検証結果を上記ユーザ端末10
iに送信した後に(S117)、図5に示すステップS
120において、その署名付き情報を作成したユーザを
特定すべきか否かを判定する。ここで、上記署名付き情
報を作成したユーザを特定すべきであると判定されると
(S120でyes)、検証者端末20kは、署名付き
情報に含まれる乱数rjと、記憶装置に格納した多項式
F1(x,Vk)を用いて演算される値F1(rj,Vk)
をエクスローエージェント200に送信する(S12
1)。前述したように、多項式F1(rj,y)とユーザ
Ujとの対応関係を表す情報をセンタ100から取得し
た(S151)エクスクローエージェント200は、図
5に示すステップS152において、検証者端末20k
から送信される値F1(rj、Vk)を受信する。The verifier terminal 20k obtains a verification result that the signed information is valid (Y in S115).
es, S116), and the verification result is the user terminal 10
After sending to i (S117), step S shown in FIG.
At 120, it is determined whether the user who created the signed information should be identified. If it is determined that the user who created the signed information should be specified (Yes in S120), the verifier terminal 20k determines the random number rj included in the signed information and the polynomial stored in the storage device. Value F1 (rj, Vk) calculated using F1 (x, Vk)
Is transmitted to the exraw agent 200 (S12).
1). As described above, the exclusivity agent 200, which has obtained the information indicating the correspondence between the polynomial F1 (rj, y) and the user Uj from the center 100 (S151), in step S152 shown in FIG. 5, the verifier terminal 20k.
The value F1 (rj, Vk) transmitted from is received.
【0057】エクスクローエージェント200は、上記
多項式F1(rj,y)とユーザUjとの対応関係を示す
情報に基づいて、
F1(rj,Vk)=F1(rj,y)|y=Vk
となるような多項式F1(rj,y)に対応したユーザU
jを特定する(S153)。そして、エクスローエージ
ェント200は、そのユーザを特定する識別子Ujを検
証者端末20kに送信する(S154)。そして、検証
者端末20kは、エクスクローエージェント200から
の上記ユーザを特定する識別子Ujを受信する(S12
2)。Based on the information indicating the correspondence between the polynomial F1 (rj, y) and the user Uj, the exclus- tion agent 200 becomes F1 (rj, Vk) = F1 (rj, y) | y = Vk. User U corresponding to the polynomial F1 (rj, y)
j is specified (S153). Then, the exposure agent 200 transmits the identifier Uj that identifies the user to the verifier terminal 20k (S154). Then, the verifier terminal 20k receives the identifier Uj specifying the user from the exclusivity agent 200 (S12).
2).
【0058】このように、署名付き情報
{m、rj、F1(rj,y)+mF2(rj,y)}
を作成したユーザUjの通知を受けた検証者端末20k
は、前述した例と同様に、その署名付き情報に含まれる
メッセージ情報mとその作成者となるユーザUjとの対
応関係を管理する。これにより、何らか理由によりメッ
セージ情報mを作成したユーザを特定する必要が生じた
場合に、検証者端末20kにて管理されるメッセージ情
報mとその作成者となるユーザとの関係を利用すること
が可能となる。In this way, the verifier terminal 20k that has received the notification of the user Uj who has created the signed information {m, rj, F1 (rj, y) + mF2 (rj, y)}.
Manages the correspondence between the message information m included in the signed information and the user Uj who is the creator thereof, as in the above-described example. Thus, when it is necessary to specify the user who created the message information m for some reason, the relationship between the message information m managed by the verifier terminal 20k and the user who is the creator thereof is used. Is possible.
【0059】なお、図4及び図5に示す手順に従って処
理を行うシステムでは、複数の検証者端末を備えるもの
であったが、単一の検証者端末を備えるものであっても
同様の手順にて署名付き情報の検証を行うことができ
る。ただし、複数の検証者端末を備える場合、署名付き
情報の検証を必要とするユーザは、通信コスト、各検証
者端末での処理状況などを考慮していずれの検証者端末
にでもその依頼をすることができるので、利便性が向上
する。Although the system for performing processing in accordance with the procedure shown in FIGS. 4 and 5 has a plurality of verifier terminals, the same procedure can be performed even if a single verifier terminal is provided. It is possible to verify the signed information. However, if multiple verifier terminals are provided, a user who needs to verify the signed information requests the verifier terminal to any verifier terminal in consideration of the communication cost, the processing status of each verifier terminal, and the like. Therefore, the convenience is improved.
【0060】図4及び図5に示す手順に従って処理を行
うシステムでも、情報が正規ユーザにて作成されたこと
の検証、その作成者の非特定性、情報の改ざん防止、不
正者による正規ユーザのなりすまし防止、正規ユーザに
よるメッセージ情報の作成否認などに関し、前述した例
(図2及び図3参照)と同様の効果を得ることができ
る。Even in the system that performs processing according to the procedure shown in FIGS. 4 and 5, verification that information was created by a legitimate user, non-specificity of the creator, information tampering prevention, and fraudulent user With regard to the prevention of spoofing, the denial of creation of message information by a legitimate user, and the like, it is possible to obtain the same effects as the above-described example (see FIGS. 2 and 3).
【0061】上記各例では、センタ100から検証者端
末20(20k)、ユーザ端末10j、エスクローエージ
ェント200に対して各種情報(F1(x)、F2
(x)、F1(rj)、F2(rj)、rj、F1(rj)と
Ujとの関係等)をネットワークNWを介して送信する
ようにしている。上記のような署名付き情報の検証を実
現するためには、それら各種情報は、ファクシミリ、電
話、郵便などの通信手段を用いてセンタ100から検証
者、ユーザ、所定の機関のそれぞれに発行されるように
してもよい。このように発行された各種情報は、検証者
にて検証端末20(20k)に、ユーザにてユーザ端末
10iに、その所定の機関(エスクローエージェント)
においてコンピュータ(200)にそれぞれ入力される
ようにすればよい。In each of the above examples, various information (F1 (x), F2) is sent from the center 100 to the verifier terminal 20 (20k), the user terminal 10j, and the escrow agent 200.
(X), F1 (rj), F2 (rj), rj, and the relationship between F1 (rj) and Uj) are transmitted via the network NW. In order to realize the verification of the signed information as described above, the various kinds of information are issued from the center 100 to the verifier, the user, and a predetermined institution by using communication means such as facsimile, telephone, and mail. You may do it. The various information issued in this way is sent to the verification terminal 20 (20k) by the verifier, to the user terminal 10i by the user, and the predetermined institution (escrow agent).
In the above, they may be input to the computer (200).
【0062】[0062]
【発明の効果】以上、説明したように、請求項1及び4
記載の本願発明によれば、電子署名に含まれる複数の情
報のいずれかでも改ざんされれば、その改ざんしたこと
を検出することができ、また、他人が知りうる情報から
電子署名の構造の要素(F1(rj)とmF2(rj)との
組や、F1(rj,y)とmF2(rj,y)との組)を論
理的に再現し得ない。従って、いかなる性能のコンピュ
ータを用いても不正を行うことのできない、所謂、情報
量的安全性を保障しうる電子署名の構造を実現すること
ができる。As described above, according to the first and fourth aspects.
According to the present invention described, if any of a plurality of pieces of information included in a digital signature is tampered with, it is possible to detect that the tampering has occurred, and the elements of the structure of the digital signature can be obtained from information that can be known to others. (A pair of F1 (rj) and mF2 (rj) and a pair of F1 (rj, y) and mF2 (rj, y)) cannot be logically reproduced. Therefore, it is possible to realize a so-called electronic signature structure capable of guaranteeing the so-called quantitative security of information, which cannot be fraudulently used by a computer of any performance.
【0063】また、請求項2、3、5乃至10記載の本
願発明によれば、メッセージ情報に上記のような電子署
名が付加されることにより作成された署名付き情報の検
証方法及びシステムを実現することができる。According to the present invention as set forth in claims 2, 3, 5 to 10, a method and system for verifying signed information created by adding the above-mentioned electronic signature to message information is realized. can do.
【図1】本発明の実施の一形態に係る署名付き情報検証
方法が適用されるシステムの構成例を示す図である。FIG. 1 is a diagram showing a configuration example of a system to which a signed information verification method according to an embodiment of the present invention is applied.
【図2】図1に示すシステムでの処理の流れの第一の例
を示すシーケンス図である。FIG. 2 is a sequence diagram showing a first example of a processing flow in the system shown in FIG.
【図3】図2に示す処理の流れに続く処理の流れを示す
シーケンス図である。FIG. 3 is a sequence diagram showing a flow of processing subsequent to the flow of processing shown in FIG.
【図4】図1に示すシステムでの処理の流れの第二の例
を示すシーケンス図である。FIG. 4 is a sequence diagram showing a second example of a processing flow in the system shown in FIG.
【図5】図4に示す処理の流れに続く処理の流れを示す
シーケンス図である。5 is a sequence diagram showing a flow of processing subsequent to the flow of processing shown in FIG.
10i、10j、101〜10n ユーザ端末 20、20k 検証者端末 100 センタ 200 エクスクローエージェント10i, 10j, 10 1 to 10 n user terminal 20, 20 k verifier terminal 100 center 200 exclo agent
───────────────────────────────────────────────────── フロントページの続き (72)発明者 四方 順司 東京都世田谷区瀬田5丁目11−15ソレイユ 瀬田II2号棟205号 (72)発明者 今井 秀樹 神奈川県横浜市戸塚区品濃町557−44−205 Fターム(参考) 5J104 AA08 EA27 FA00 LA06 NA16 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Junji Shikata 5-11-15 Seta, Setagaya-ku, Tokyo Soleil Seta II Building No. 205 (72) Inventor Hideki Imai Kanagawa Prefecture Yokohama City Totsuka Ward Shinanomachi 557-44-205 F term (reference) 5J104 AA08 EA27 FA00 LA06 NA16
Claims (10)
それぞれUj(j=1,・・・n)の端末において作成
された有限体Fqの元となるメッセージ情報mに対して
付加されるべき電子署名の構造において、 上記各ユーザUjに対応させてそれぞれ異なるように生
成された上記有限体Fqの元となる乱数rjと、 ランダムに生成された上記有限体Fq上の多項式F1
(x)、F2(x)に上記乱数rjを代入して得られる値
F1(rj)、F2(rj)を用いて演算された値{F1
(rj)+mF2(rj)}との組を有する電子署名の構
造。1. It should be added to message information m which is a source of a finite field Fq created at a terminal of each of a plurality of users Uj (j = 1, ... N) belonging to a predetermined group. In the structure of the electronic signature, a random number rj which is a source of the finite field Fq generated differently corresponding to each user Uj, and a randomly generated polynomial F1 on the finite field Fq.
A value {F1 calculated using values F1 (rj) and F2 (rj) obtained by substituting the random number rj into (x) and F2 (x).
A structure of a digital signature having a pair of (rj) + mF2 (rj)}.
それぞれUj(j=1,・・・,n)の端末において作
成された署名付き情報が当該所定のグループに所属する
いずれかのユーザにて作成されたものであるこのことの
検証を行うための署名付き情報検証方法において、 所定のセンタにて実行される、 有限体Fq上の多項式F1(x)、F2(x)をランダム
に生成するステップと、 所定のグループに所属する複数のユーザのそれぞれUj
(j=1,…,n)に対応させてそれぞれ異なる上記有
限体Fqの元となる乱数rjを生成するステップと、 上記多項式F1(x)、F2(x)及び上記乱数rjを用
いて、第一の値F1(rj)及び第二の値F2(rj)を演
算するステップと、 上記多項式F1(x)、F2(x)を検証者に発行すると
共に、上記乱数rj、第一の値F1(rj)及び第二の値
F2(rj)をユーザUjに発行するステップとを有し、 上記検証者の端末にて実行される、 上記ユーザUjの端末において作成された、上記有限体
Fqの元となるメッセージ情報mに、上記乱数rjと、上
記第一の値F1(rj)及び第二の値F2(rj)から演算
される値{F1(rj)+mF2(rj)}との組が付加さ
れた署名付き情報 {m、rj、F1(rj)+F2(rj)} を取得するステップと、 上記署名付き情報に含まれるメッセージ情報m及び乱数
rjと、上記検証者に発行された多項式F1(x)、F2
(x)とを用いて、 F1(x)|x=rj+mF2(x)|x=rj の値を演算するステップと、 上記値が上記署名付き情報に含まれる値 {F1(rj)+mF2(rj)} に一致するか否かを判定するステップとを有し、 その判定結果を上記署名付き情報が上記所定のグループ
に属するいずれかのユーザにて作成されたものであるこ
との検証結果とする署名付き情報検証方法。2. The signed information created at each terminal of Uj (j = 1, ..., N) of a plurality of users belonging to a predetermined group is assigned to any user who belongs to the predetermined group. In the signed information verification method for verifying this, the polynomials F1 (x) and F2 (x) on the finite field Fq are randomly generated in a predetermined center. And the Uj of each of a plurality of users belonging to a predetermined group.
Using the step of generating random numbers rj that are the bases of the different finite fields Fq corresponding to (j = 1, ..., N) and the polynomials F1 (x), F2 (x) and the random numbers rj, Calculating the first value F1 (rj) and the second value F2 (rj), issuing the polynomials F1 (x), F2 (x) to the verifier, and generating the random number rj, the first value F1 (rj) and a second value F2 (rj) are issued to the user Uj, and the finite field Fq created in the terminal of the user Uj is executed by the terminal of the verifier. A set of the random number rj and a value {F1 (rj) + mF2 (rj)} calculated from the first value F1 (rj) and the second value F2 (rj) in the message information m which is the source of The step of obtaining the signed information {m, rj, F1 (rj) + F2 (rj)} to which is added; And message information m and a random number rj included in come information, the issued verifier polynomial F1 (x), F2
(X) and the step of calculating the value of F1 (x) | x = rj + mF2 (x) | x = rj, and the value {F1 (rj) + mF2 (rj) included in the signed information. )} Is determined, and the determination result is a verification result that the signed information is created by any user belonging to the predetermined group. Signed information verification method.
いて、 上記ユーザUjに割り当てられる乱数rjを生成するステ
ップは、他の全てのユーザの乱数ri(i=1,・・
・,n、i≠j)に関し、F1(rj)≠F1(ri)とな
る乱数rjを生成すると共に、 上記センタにて実行される、 上記第一の値F1(rj)と該乱数rjに対応したユーザ
Ujとの対応関係を表す情報を所定の機関に対して発行
するステップを有し、 上記所定の機関において実行される、 上記検証者から第一の値F1(rj)が提供されたとき
に、上記センタから発行された第一の値F1(rj)とユ
ーザUjとの関係を表す情報に基づいて、その第一の値
F1(rj)に対応したユーザUjを特定するステップを
有する署名付き情報検証方法。3. The signed information verification method according to claim 2, wherein the step of generating a random number rj assigned to the user Uj is a random number r i (i = 1, ...
, N, i ≠ j), a random number rj that satisfies F1 (rj) ≠ F1 (ri) is generated, and the first value F1 (rj) and the random number rj are executed in the center. The verifier provided the first value F1 (rj), which has a step of issuing information indicating a correspondence relationship with the corresponding user Uj to a predetermined institution. At the time, there is a step of specifying the user Uj corresponding to the first value F1 (rj) based on the information indicating the relationship between the first value F1 (rj) and the user Uj issued from the center. Signed information verification method.
それぞれUj(j=1,・・・n)の端末において作成
された有限体Fqの元となるメッセージ情報mに対して
付加されるべき電子署名の構造において、 上記各ユーザUjに対応させてそれぞれ異なるように生
成された上記有限体Fqの元となる乱数rjと、 ランダムに生成された上記有限体Fq上の二変数多項式
F1(x,y)、F2(x,y)の一方の変数xに上記乱
数rjを代入して得られる多項式F1(rj,y)、F2
(rj,y)を用いて演算された多項式{F1(rj,
y)+mF2(rj,y)}との組を有する電子署名の構
造。4. The message information m, which is the source of the finite field Fq created at the terminals Uj (j = 1, ... N) of a plurality of users belonging to a predetermined group, should be added. In the structure of the electronic signature, a random number rj, which is a source of the finite field Fq generated differently corresponding to each user Uj, and a randomly generated bivariate polynomial F1 (x) on the finite field Fq. , Y), F2 (x, y), one of the polynomials F1 (rj, y), F2 obtained by substituting the random number rj into one variable x.
A polynomial {F1 (rj, rj calculated by using (rj, y)
y) + mF2 (rj, y)}, the structure of the electronic signature.
それぞれUj(j=1,・・・,n)の端末において作
成された署名付き情報が当該所定のグループに所属する
いずれかのユーザにて作成されたものであるこのことの
検証を行うための署名付き情報検証方法において、 所定のセンタにて実行される、 有限体Fq上の二変数多項式F1(x,y)、F2(x,
y)をランダムに生成するステップと、 検証者を特定する上記有限体Fqの元となる識別子Vk及
び上記二変数多項式F1(x,y)、F2(x,y)を用
いて、多項式F1(x,Vk)、F2(x,Vk)を演算す
るステップと、 所定のグループに所属する複数のユーザUj(j=1,
…,n)のそれぞれに対応させてそれぞれ異なる上記有
限体Fqの元となる乱数rjを生成するステップと、 上記二変数多項式F1(x,y)、F2(x,y)及び上
記乱数rjを用いて多項式F1(rj,y)、F2(rj,
y)を演算するステップと、 上記多項式F1(x,Vk)、F2(x,Vk)を検証者V
kに発行すると共に、上記乱数rj、上記多項式F1(r
j、y)、及びF2(rj,y)をユーザUjに発行するス
テップとを有し、 上記検証者Vkの端末にて実行される、 上記ユーザUjの端末において作成された、上記有限体
Fqの元となるメッセージ情報mに、上記乱数rjと、上
記多項式F1(rj、y)及びF2(rj,y)から演算さ
れる多項式{F1(rj,y)+mF2(rj,y)}との
組が付加された署名付き情報 {m、rj、F1(rj,y)+F2(rj,y)} を取得するステップと、 上記署名付き情報に含まれる多項式{F1(rj,y)+
mF2(rj,y)}を用いて、 {F1(rj,y)+mF2(rj,y)}|y=Vk の値と、 上記検証者Viに発行された多項式F1(x,Vk)、F2
(x,Vk)及び上記署名付き情報に含まれるメッセー
ジ情報m及び乱数rjを用いて、 F1(x,Vk)|x=rj+mF2(x,Vk)|x=rj の値とを演算するステップと、 上記各値が一致するか否かを判定するステップとを有
し、 その判定結果を上記署名付き情報が上記所定のグループ
に所属するいずれかのユーザにて作成されたものである
ことの検証結果とする署名付き情報検証方法。5. The signed information created in each terminal of Uj (j = 1, ..., N) of a plurality of users belonging to a predetermined group is assigned to any user who belongs to the predetermined group. In the signed information verification method for verifying this, the two-variable polynomials F1 (x, y), F2 (x, on the finite field Fq are executed at a predetermined center.
y) at random, and using the identifier Vk that is the element of the finite field Fq that identifies the verifier and the bivariate polynomials F1 (x, y) and F2 (x, y), the polynomial F1 ( x, Vk) and F2 (x, Vk), and a plurality of users Uj (j = 1, 1) belonging to a predetermined group.
, N) corresponding to each of the different finite fields Fq, which is the source of the random numbers rj, and the two-variable polynomials F1 (x, y), F2 (x, y) and the random numbers rj. Using the polynomials F1 (rj, y), F2 (rj,
y), and the polynomial F1 (x, Vk) and F2 (x, Vk) from the verifier V
is issued to k, and the random number rj and the polynomial F1 (r
j, y) and F2 (rj, y) are issued to the user Uj, and the finite field Fq created in the terminal of the user Uj is executed in the terminal of the verifier Vk. In the message information m which is the source of the above, the random number rj and the polynomial {F1 (rj, y) + mF2 (rj, y)} calculated from the above polynomials F1 (rj, y) and F2 (rj, y) Acquiring the signed information {m, rj, F1 (rj, y) + F2 (rj, y)} with the set added, and the polynomial {F1 (rj, y) + included in the signed information.
Using mF2 (rj, y)}, the value of {F1 (rj, y) + mF2 (rj, y)} | y = Vk and the polynomials F1 (x, Vk), F2 issued to the verifier Vi.
(X, Vk) and the message information m and random number rj included in the signed information, F1 (x, Vk) | x = rj + mF2 (x, Vk) | x = rj , Verifying that the signed information is created by one of the users belonging to the predetermined group. The resulting signed information verification method.
いて、 上記ユーザUjに割り当てられる乱数rjを生成するステ
ップは、他の全てのユーザの乱数ri(i=1,・・
・,n、i≠j)に関し、F1(rj,y)≠F1(ri,
y)となる乱数rjを生成すると共に、 上記センタにて実行される、 上記多項式F1(rj,y)と該乱数rjに対応したユー
ザUjとの対応関係を表す情報を所定の機関に発行する
ステップを有し、 上記所定の機関にて実行される、 上記検証者ViからF1(x,Vk)|x=rjの演算にて得ら
れた値F1(rj,Vk)が提供されたときに、上記多項
式F1(rj,y)とユーザUjとの対応関係を表す情報
に基づいて、 F1(rj,Vk)=F1(rj,y)|y=Vk となるような多項式F1(rj、y)に対応したユーザU
jを特定するステップを有するメッセージ検証方法。6. The signed information verification method according to claim 5, wherein the step of generating a random number rj assigned to the user Uj is a random number r i (i = 1, ...
.., n, i ≠ j, F1 (rj, y) ≠ F1 (ri,
y) The random number rj is generated, and at the same time, the information indicating the correspondence between the polynomial F1 (rj, y) and the user Uj corresponding to the random number rj, which is executed in the center, is issued to a predetermined institution. When the value F1 (rj, Vk) obtained by the calculation of F1 (x, Vk) | x = rj is provided from the verifier Vi, which has steps and is executed in the predetermined engine. , Polynomial F1 (rj, y) such that F1 (rj, Vk) = F1 (rj, y) | y = Vk based on the information indicating the correspondence between the polynomial F1 (rj, y) and the user Uj. ) Corresponding to user U
A message verification method comprising the step of identifying j.
それぞれUj(j=1,・・・,n)の端末において作
成された署名付き情報が当該所定のグループに所属する
いずれかのユーザにて作成されたものであるこのことの
検証を行う署名付き情報検証システムにおいて、 所定のセンタは、 有限体Fq上の多項式F1(x)、F2(x)をランダム
に生成する手段と、 所定のグループに所属する複数のユーザのそれぞれUj
(j=1,…,n)に対応させてそれぞれ異なる上記有
限体Fqの元となる乱数rjを生成する手段と、 上記多項式F1(x)、F2(x)及び上記乱数rjを用
いて、第一の値F1(rj)及び第二の値F2(rj)を演
算する手段と、 上記多項式F1(x)、F2(x)を検証者に発行すると
共に、上記乱数rj、第一の値F1(rj)及び第二の値
F2(rj)をユーザUjに発行する手段とを有し、 上記検証者の端末は、 上記ユーザUjの端末において作成された、上記有限体
Fqの元となるメッセージ情報mに、上記乱数rjと、上
記第一の値F1(rj)及び第二の値F2(rj)から演算
される値{F1(rj)+mF2(rj)}との組が付加さ
れた署名付き情報 {m、rj、F1(rj)+F2(rj)} を取得する手段と、 上記署名付き情報に含まれるメッセージ情報m及び乱数
rjと、上記検証者に発行された多項式F1(x)、F2
(x)とを用いて、 F1(x)|x=rj+mF2(x)|x=rj の値を演算する手段と、 上記値が上記署名付き情報に含まれる値 {F1(rj)+mF2(rj)} に一致するか否かを判定する手段とを有し、 その判定結果を上記署名付き情報が上記所定のグループ
に属するいずれかのユーザにて作成されたものであるこ
との検証結果とする署名付き情報検証システム。7. The signed information created at each terminal Uj (j = 1, ..., N) of a plurality of users belonging to a predetermined group is assigned to any user who belongs to the predetermined group. In the signed information verification system for verifying this, the predetermined center has means for randomly generating polynomials F1 (x) and F2 (x) on the finite field Fq, and a predetermined center. Uj for each of multiple users in the group
Using means for generating different random numbers rj that are the elements of the finite field Fq corresponding to (j = 1, ..., N) and the polynomials F1 (x), F2 (x) and the random numbers rj, Means for calculating the first value F1 (rj) and the second value F2 (rj), and issuing the polynomials F1 (x), F2 (x) to the verifier, and the random number rj, first value F1 (rj) and means for issuing the second value F2 (rj) to the user Uj, and the verifier's terminal is the source of the finite field Fq created in the terminal of the user Uj. A pair of the random number rj and a value {F1 (rj) + mF2 (rj)} calculated from the first value F1 (rj) and the second value F2 (rj) is added to the message information m. A means for obtaining the signed information {m, rj, F1 (rj) + F2 (rj)}, and the message included in the signed information Distribution m and a random number rj and polynomials F1 issued to the verifier (x), F2
(X) is used to calculate the value of F1 (x) | x = rj + mF2 (x) | x = rj, and the value {F1 (rj) + mF2 (rj) included in the signed information. )} Is determined, and the determination result is used as a verification result that the signed information is created by any user belonging to the predetermined group. Signed information verification system.
において、 上記ユーザUjに割り当てられる乱数rjを生成する手段
は、他の全てのユーザの乱数ri(i=1,・・・,
n、i≠j)に関し、F1(rj)≠F1(ri)となる乱
数rjを生成するようにすると供に、 上記センタは、更に、 上記第一の値F1(rj)と該乱数rjに対応したユーザ
Ujとの対応関係を表す情報を所定の機関に対して発行
する手段を有し、 上記所定の機関は、 上記検証者から第一の値F1(rj)が提供されたとき
に、上記センタから発行された第一の値F1(rj)とユ
ーザUjとの関係を表す情報に基づいて、その第一の値
F1(rj)に対応したユーザUjを特定する手段を有す
る署名付き情報検証システム。8. The signed information verification system according to claim 7, wherein the means for generating the random number rj assigned to the user Uj is a random number r i (i = 1, ...
In addition to generating a random number rj that satisfies F1 (rj) ≠ F1 (ri) for n, i ≠ j), the center further sets the first value F1 (rj) and the random number rj. It has means for issuing information indicating a correspondence relationship with the corresponding user Uj to a predetermined institution, and the predetermined institution, when the first value F1 (rj) is provided from the verifier, Signed information having means for specifying the user Uj corresponding to the first value F1 (rj) based on the information indicating the relationship between the first value F1 (rj) and the user Uj issued from the center. Verification system.
それぞれUj(j=1,・・・,n)の端末において作
成された署名付き情報が当該所定のグループに所属する
いずれかのユーザにて作成されたものであるこのことの
検証を行う署名付き情報検証システムにおいて、 所定のセンタは、 有限体Fq上の二変数多項式F1(x,y)、F2(x,
y)をランダムに生成する手段と、 検証者を特定する上記有限体Fqの元となる識別子Vk及
び上記二変数多項式F1(x,y)、F2(x,y)を用
いて、多項式F1(x,Vk)、F2(x,Vk)を演算す
る手段と、 所定のグループに所属する複数のユーザUj(j=1,
…,n)のそれぞれに対応させてそれぞれ異なる上記有
限体Fqの元となる乱数rjを生成する手段と、 上記二変数多項式F1(x,y)、F2(x,y)及び上
記乱数rjを用いて多項式F1(rj,y)、F2(rj,
y)を演算する手段と、 上記多項式F1(x,Vk)、F2(x,Vk)を検証者V
kに発行すると共に、上記乱数rj、上記多項式F1(r
j、y)、及びF2(rj,y)をユーザUjに発行する手
段とを有し、 上記検証者Vkの端末は、 上記ユーザUjの端末において作成された、上記有限体
Fqの元となるメッセージ情報mに、上記乱数rjと、上
記多項式F1(rj、y)及びF2(rj,y)から演算さ
れる多項式{F1(rj,y)+mF2(rj,y)}との
組が付加された署名付き情報 {m、rj、F1(rj,y)+F2(rj,y)} を取得する手段と、 上記署名付き情報に含まれる多項式{F1(rj,y)+
mF2(rj,y)}を用いて、 {F1(rj,y)+mF2(rj,y)}|y=Vk の値と、 上記検証者Viに発行された多項式F1(x,Vk)、F2
(x,Vk)及び上記署名付き情報に含まれるメッセー
ジ情報m及び乱数rjを用いて、 F1(x,Vk)|x=rj+mF2(x,Vk)|x=rj の値とを演算する手段と、 上記各値が一致するか否かを判定する手段とを有し、 その判定結果を上記署名付き情報が上記所定のグループ
に所属するいずれかのユーザにて作成されたものである
ことの検証結果とする署名付き情報検証システム。9. The signed information created at each terminal of Uj (j = 1, ..., N) of a plurality of users belonging to a predetermined group is assigned to any user who belongs to the predetermined group. In the signed information verification system that verifies this, the predetermined center is a bivariate polynomial F1 (x, y), F2 (x, on the finite field Fq.
y) at random, and using the identifier Vk that is the element of the finite field Fq that specifies the verifier and the bivariate polynomials F1 (x, y) and F2 (x, y), the polynomial F1 ( x, Vk), F2 (x, Vk), and a plurality of users Uj (j = 1, 1) belonging to a predetermined group.
, N) corresponding to each of the different finite fields Fq to generate random numbers rj, and the two-variable polynomials F1 (x, y), F2 (x, y) and the random numbers rj Using the polynomials F1 (rj, y), F2 (rj,
y) and a polynomial F1 (x, Vk) and F2 (x, Vk) as the verifier V
is issued to k, and the random number rj and the polynomial F1 (r
j, y) and means for issuing F2 (rj, y) to the user Uj, and the terminal of the verifier Vk is an element of the finite field Fq created in the terminal of the user Uj. A set of the random number rj and a polynomial {F1 (rj, y) + mF2 (rj, y)} calculated from the polynomials F1 (rj, y) and F2 (rj, y) is added to the message information m. Means for obtaining the signed information {m, rj, F1 (rj, y) + F2 (rj, y)} and the polynomial {F1 (rj, y) + included in the signed information.
Using mF2 (rj, y)}, the value of {F1 (rj, y) + mF2 (rj, y)} | y = Vk and the polynomials F1 (x, Vk), F2 issued to the verifier Vi.
(X, Vk) and means for calculating F1 (x, Vk) | x = rj + mF2 (x, Vk) | x = rj using the message information m and the random number rj included in the signed information. , Verifying that the signed information has been created by any user who belongs to the predetermined group, and a means for determining whether or not each of the above values match. The resulting signed information verification system.
ムにおいて、 上記ユーザUjに割り当てられる乱数rjを生成する手段
は、他の全てのユーザの乱数ri(i=1,・・・,
n、i≠j)に関し、F1(rj,y)≠F1(ri,y)
となる乱数rjを生成するようにすると共に、 上記センタは、更に、 上記多項式F1(rj,y)と該乱数rjに対応したユー
ザUjとの対応関係を表す情報を所定の機関に発行する
手段を有し、 上記所定の機関は、 上記検証者ViからF1(x,Vk)|x=rjの演算にて得ら
れた値F1(rj,Vk)が提供されたときに、上記多項
式F1(rj,y)とユーザUjとの対応関係を表す情報
に基づいて、 F1(rj,Vkd)=F1(rj,y)|y=Vk となるような多項式F1(rj、y)に対応したユーザU
jを特定する手段を有する署名付き情報検証システム。10. The signed information verification system according to claim 9, wherein the means for generating a random number rj assigned to the user Uj is a random number r i (i = 1, ...
For n, i ≠ j, F1 (rj, y) ≠ F1 (ri, y)
The center further generates a random number rj, and the center further issues information indicating the correspondence between the polynomial F1 (rj, y) and the user Uj corresponding to the random number rj to a predetermined institution. When the value F1 (rj, Vk) obtained by the calculation of F1 (x, Vk) | x = rj is provided from the verifier Vi, the predetermined institution has the polynomial F1 ( rj, y) and a user Uj, based on the information indicating the correspondence, F1 (rj, Vkd) = F1 (rj, y) | y = Vk A user corresponding to the polynomial F1 (rj, y) U
A signed information verification system having means for identifying j.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001347998A JP2003152709A (en) | 2001-11-13 | 2001-11-13 | Structure of electronic signature, and method and system for verifying information with the signature |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001347998A JP2003152709A (en) | 2001-11-13 | 2001-11-13 | Structure of electronic signature, and method and system for verifying information with the signature |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003152709A true JP2003152709A (en) | 2003-05-23 |
Family
ID=19160896
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001347998A Pending JP2003152709A (en) | 2001-11-13 | 2001-11-13 | Structure of electronic signature, and method and system for verifying information with the signature |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003152709A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016529753A (en) * | 2013-08-30 | 2016-09-23 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | Key sharing device and method |
-
2001
- 2001-11-13 JP JP2001347998A patent/JP2003152709A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016529753A (en) * | 2013-08-30 | 2016-09-23 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | Key sharing device and method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110391911B (en) | System and method for anonymously voting block chain | |
| JP4639084B2 (en) | Encryption method and encryption apparatus for secure authentication | |
| CN112487778A (en) | Multi-user online signing system and method | |
| Liaw | A secure electronic voting protocol for general elections | |
| CN111464980A (en) | Electronic evidence obtaining device and method based on block chain in Internet of vehicles environment | |
| CN107749836A (en) | User oriented secret protection and the mobility aware system and its mobile awareness method of data reliability | |
| CN110581768A (en) | Registration login system based on block chain zero-knowledge proof and application | |
| CN103064931A (en) | Verifiable privacy data comparison and ranking query method | |
| CN112000744A (en) | Signature method and related equipment | |
| CN1350669A (en) | Method and device for authenticating a program code | |
| CN112600675B (en) | Electronic voting method and device based on group signature, electronic equipment and storage medium | |
| CN112291062B (en) | Voting method and device based on block chain | |
| EP2827529B1 (en) | Method, device, and system for identity authentication | |
| KR20060127194A (en) | Electronic voting process using fair blind signature | |
| CN113360943A (en) | Block chain private data protection method and device | |
| CN110190970A (en) | Based on publicly-owned chain can anonymity revocation ring signatures and its generation and cancelling method | |
| JP6742558B2 (en) | Certification system and certification program | |
| CN111817855A (en) | Electronic voting method and system based on Ether house block chain | |
| KR960042410A (en) | Authentication exchange method, restoration digital signature method, and additional digital signature method | |
| Fouard et al. | Survey on electronic voting schemes | |
| JP3874127B2 (en) | Registration key duplication prevention device in authentication system | |
| CN110781526A (en) | Digital medal creation method, device, electronic apparatus, and medium | |
| CN103248492A (en) | Verifiable distributed private data comparing and sequencing method | |
| CN106452784B (en) | A kind of mutual card method of anonymity equity of digital asset primitive attribute | |
| JP2003289300A (en) | Response-collecting system, response-collecting method, server, program for operating computer as server, and computer-readable recording medium for recording the program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041004 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070522 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070702 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070904 |