JP2003218858A - 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体 - Google Patents

署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体

Info

Publication number
JP2003218858A
JP2003218858A JP2002017535A JP2002017535A JP2003218858A JP 2003218858 A JP2003218858 A JP 2003218858A JP 2002017535 A JP2002017535 A JP 2002017535A JP 2002017535 A JP2002017535 A JP 2002017535A JP 2003218858 A JP2003218858 A JP 2003218858A
Authority
JP
Japan
Prior art keywords
signature
hash
calculating
program
loop control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002017535A
Other languages
English (en)
Inventor
Masayuki Abe
正幸 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002017535A priority Critical patent/JP2003218858A/ja
Publication of JP2003218858A publication Critical patent/JP2003218858A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 (修正有) 【課題】 暗号関数、復号関数を使用せず、かつ高速な
楕円曲線上の離散対数問題に基づく、署名の長さが短い
1−out−of−n型の署名生成、及び署名検証を可
能とする方法、装置、プログラム、記録媒体を提供す
る。 【解決手段】 ゼロ知識証明におけるチャレンジを一つ
のハッシュ値から連鎖的に生成する。また、ハッシュ関
数によって群の元のインデックスに変換する。そして、
暗号関数、復号関数の代わりにハッシュ関数を利用し
て、署名の生成および検証を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、署名生成方法及び
署名検証方法及び署名生成装置及び署名検証装置及び署
名生成プログラム及び署名検証プログラム及び署名生成
プログラムを格納した記憶媒体及び署名検証プログラム
を格納した記憶媒体に係り、特に、電気通信システム上
のディジタル署名技術において、署名の長さが短い1−
out−of−n離散対数型署名方法における、署名生
成方法及び署名検証方法及び署名生成装置及び署名検証
装置及び署名生成プログラム及び署名検証プログラム及
び署名生成プログラムを格納した記憶媒体及び署名検証
プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】第1の従来の技術として、Cramer等によ
る1−out−of−n離散対数型署名方法("Proofs
of Partial Knowledge and Simplified Design of Witn
ess Hiding Proofs" Crypto'94, LNCS 839, pp.174-187
Springer-Verlag, 1994)について説明する。
【0003】以下の説明では、pi ,qi をそれぞれ大
きな素数とし、qi はpi を割り切るものとする。gi
をpi の位数qi の部分群の生成源とする。xi ∈Zqi
を秘密鍵、yi =gi x mod pi をgi ,qi ,pi と
共に公開鍵とする。
【0004】n個の公開鍵(yj ,gj ,qj ,pj )
j=0,…,n−1のうち、あるyi に関して、対応す
る秘密鍵xi を知る署名者は、以下の手順で文書mに対
する署名を生成する。Lは、n個のqi のうち最も大き
いもののビット数を表すものとし、Hは、Lビットの出
力域を持つハッシュ関数とする。集合αから一つの元β
をランダムに選ぶ行為を、β←αと書くことにする。
【0005】 j=0,…,n−1までのj≠iにつ
いて以下の処理を繰り返す。
【0006】(a) sj ←Zqj (b) cj ←{0,1}L (c) zj :=gj sjyj cj mod pj ri ←Zqi zi :=gi ri mod pi c:=H(z0 ‖z2 ‖…‖zn-1 ‖m) ci =c「+」c0 「+」…「+」ci-1 「+」…
cn si :=ri −ci ・x mod qi (c0 ,s0 ,c1 ,s1 ,…,cn-1 ,sn-1 )
を出力。
【0007】文書mに対する署名(c0 ,s0 ,c1 ,
s1 ,…,cn-1 ,sn-1 )は以下の式が成り立つと
き、正しい署名と認める。
【0008】
【数1】 上記の従来の方法によれば、署名の受信者は、署名者が
どの公開鍵に対応する秘密鍵を保持しているのかを見分
けることはできない。従って、独立に生成された他人の
公開鍵と、署名者自身の公開鍵に基づいて上記の方法で
署名を生成すると、検証者にとっては、誰が生成した署
名なのか判断できないことになり、署名者のプライバシ
ーが守られ、グループの代表者として署名を生成したこ
とになる。
【0009】上記と同様の特性を有する第2の従来技術
として、Rivest, Shamir, TaumanによるRing型署名(How
to Leak a Secret. Asiacrypt 2001, LNCS 2248, pp.5
52-565, Springer-Verlag, 2001 )を説明する。
【0010】{0,1}L の入出力域を持つ落とし戸付
き一方向性置換関数をg0 ,…,gn-1 とする。ここ
で、Lは十分大きい(例えば、1024程度)とする。
Hをハッシュ関数、E,Dをそれぞれ共通鍵暗号の暗号
化関数、復号関数とし、「+」をビット毎排他的論理和
とする。署名者Pi は、gi に対する落とし戸情報(秘
密鍵)を保持しており、gi -1を計算することができる
ものとする。
【0011】文書mに対する署名は、以下の手順で生成
する。
【0012】 K:=H(m) Lビットの乱数z0 を生成する。
【0013】 j=0,…,i−1まで以下を繰り返
す。
【0014】(a) Lビットの乱数rj を生成する。
【0015】(b) yj :=gj (rj ) (c) z’j :=zj 「+」yj (d) zj+1 :=EK (z’j ) z’n-1 :=DK (z0 ) j=n−1,…,i+1まで以下を繰り返す。
【0016】(a) Lビットの乱数rj を生成する。
【0017】(b) yj :=gj (rj ) (c) zj :=z’j 「+」yj (d) z’j-1 :=DK (zj ) yi :=zi 「+」z’i ri :=gi -1(yi ) (z0 ,r0 ,r1 ,…,rn-1 )を出力。
【0018】文書mに対する署名(z0 ,r0 ,r1 ,
…,rn-1 )は以下の手順で検証する。
【0019】 K:=H(m) j=0,…,n−1まで以下を繰り返す。
【0020】(a) yj :=gi (rj ) (b) z’j :=zj 「+」yj (c) zj+1 :=EK (z’j ) zn =z0 ならば合格。
【0021】
【発明が解決しようとする課題】しかしながら、上記第
1の従来の方法では、署名の長さが、
【0022】
【数2】 となる点が問題である。ここで、|qj |は、qj のビ
ット数を表す。署名の長さは直接的に通信、メモリコス
トに影響するため、短いことが望ましい。
【0023】また、上記第2の従来の方法では、落とし
戸付き一方向性置換関数に基づく公開鍵暗号に基づいて
のみ構成可能であり、落とし戸のない離散対数問題には
適用できない。従って、高速な楕円曲線上の離散対数問
題に基づいた公開鍵暗号を利用できないという問題があ
る。
【0024】本発明は、上記の点に鑑みなされたもの
で、離散対数問題に基づく、署名の長さが短い1−ou
t−of−n型の署名生成及び署名検証が可能な署名生
成方法及び署名検証方法及び署名生成装置及び署名検証
装置及び署名生成プログラム及び署名検証プログラム及
び署名生成プログラムを格納した記憶媒体及び署名検証
プログラムを格納した記憶媒体を提供することを目的と
する。
【0025】
【課題を解決するための手段】図1は、本発明の原理を
説明するための図である。
【0026】本発明(請求項1)は、Gj を位数qj の
群とし、Gj (x)はインデックスがx∈Zqjであるよ
うなGj の元を表し、n個の公開鍵(yj ,Gj )j=
0,…,n−1のうち、あるyi に対応する秘密鍵xi
を使用して文書mに対する署名を生成する署名生成方法
において、Lは、n個のqj のうち最も大きいもののビ
ット数を表すものとし、HをLビットの出力域を持つハ
ッシュ関数とし、各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZqjから選ん
で、zj :=Gj (w)を検証者に送り; ・検証者は、ランダムなチャレンジcj をZqjから選ん
で、証明者に送り; ・証明者は、回答sj を回答計算式sj =F(w,xj
,cj ,qj )に沿って計算して検証者に送り; ・検証者は、検証値計算式Rに対して、zj がR(yj
,sj ,cj ,Gj )と等しいか否かを調べ、等しい
ならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、wをZ
qjからランダムに選ぶ第1の乱数生成ステップ(ステッ
プ1)と、zi :=Gi (w)を計算する群要素計算ス
テップ(ステップ2)と、j=i+1,…,n−1,
0,…,i−1まで、以下のステップを繰り返すループ
制御ステップ(ステップ3)と、cj :=H(m‖zj-
1 mod n )を計算する第1のハッシュステップ(ステプ
4)と、sj をZqjからランダムに選ぶ第2の乱数生成
ステップ(ステップ5)と、zj =R(yj ,sj ,c
j ,Gj )を計算する検証値計算ステップ(ステップ
6)と、ループ制御ステップが終了したとき(j=i)
(ステップ7)、ci :=H(m‖zi-1 mod n )を計
算する第2のハッシュステップ(ステップ8)と、si
:=F(w,xi ,ci ,qi )を計算し、署名(c0
,s0 ,s1 ,…,sn-1 )を出力する回答計算ステ
ップ(ステップ9)と、からなる。
【0027】本発明(請求項2)は、ハッシュ関数Hに
mとz’j 以外の任意の情報を入力して計算する。
【0028】本発明(請求項3)は、予め定めた任意の
一つのハッシュ関数の計算時にのみmを入力し、他のハ
ッシュ関数の計算時にはmを入力しない。
【0029】本発明(請求項4)は、請求項1で生成さ
れた文書mに対する署名(c0 ,s0 ,s1 ,…,sn-
1 )を検証する署名検証方法において、署名(c0 ,s
0 ,s1 ,…,sn-1 )が入力されると(ステップ1
0)、j=0,…,n−1まで、以下のステップを繰り
返すループ制御ステップ(ステップ11)と、zj =R
(yj ,sj ,cj ,Gj )を計算する検証値計算ステ
ップ(ステプ12)と、cj+1 =H(m‖zj )を計算
するハッシュステップ(ステップ13)と、ループ制御
ステップが終了したとき(j=n)(ステップ14)、
cn =c0か否かを判断し、成り立つならば、正当な署
名であると見做す比較ステップ(ステップ15)と、か
らなる。
【0030】図2は、本発明の原理構成図である。
【0031】本発明(請求項5)は、Gj を位数qj の
群とし、Gj (x)はインデックスがx∈Zqjであるよ
うなGj の元を表し、n個の公開鍵(yj ,Gj )j=
0,…,n−1のうち、あるyi に対応する秘密鍵xi
を使用して文書mに対する署名を生成する署名生成装置
であって、Lは、n個のqj のうち最も大きいもののビ
ット数を表すものとし、HをLビットの出力域を持つハ
ッシュ関数とし、各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZqjから選ん
で、zj :=Gj (w)を検証者に送り; ・検証者は、ランダムなチャレンジcj をZqjから選ん
で、証明者に送り; ・証明者は、回答sj を回答計算式sj =F(w,xj
,cj ,qj )に沿って計算して検証者に送り; ・検証者は、検証値計算式Rに対して、zj がR(yj
,sj ,cj ,Gj )と等しいか否かを調べ、等しい
ならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、wをZ
qjからランダムに選ぶ第1の乱数生成手段110と、z
i :=Gi (w)を計算する群要素計算手段120と、
cj :=H(m‖zj-1 mod n )を計算する第1のハッ
シュ手段140と、sj をZqjからランダムに選ぶ第2
の乱数生成手段111と、zj =R(yj ,sj ,cj
,Gj )を計算する検証値計算手段170と、j=i
+1,…,n−1,0,…,i−1まで、第1のハッシ
ュ手段140、第2の乱数生成手段111、及び検証値
計算手段170を繰り返すループ制御手段160と、ル
ープ制御手段160が終了したとき(j=i)、ci :
=H(m‖zi-1 mod n )を計算する第2のハッシュ手
段141と、si :=F(w,xi ,ci ,qi )を計
算する回答計算手段180と、署名(c0 ,s0 ,s1
,…,sn-1 )を出力する署名出力手段181と、を
有する。
【0032】本発明(請求項6)は、第1のハッシュ手
段又は第2のハッシュ手段において、ハッシュ関数Hに
mとz’j 以外の任意の情報を入力して計算する手段を
含む。
【0033】本発明(請求項7)は、第1のハッシュ手
段又は第2のハッシュ手段において、予め定めた任意の
一つのハッシュ関数の計算時にのみmを入力し、他のハ
ッシュ関数の計算時にはmを入力しない手段を含む。
【0034】本発明(請求項8)は、請求項5の署名生
成装置で生成された文書mに対する署名(c0 ,s0 ,
s1 ,…,sn-1 )を検証する署名検証装置であって、
署名(c0 ,s0 ,s1 ,…,sn-1 )を入力する入力
手段201と、zj =R(yj ,sj ,cj ,Gj )を
計算する検証値計算手段230と、cj+1 =H(m‖z
j )を計算するハッシュ手段240と、j=0,…,n
−1まで、検証値計算手段230及びハッシュ手段24
0とを繰り返すループ制御手段220と、ループ制御手
段220が終了したとき(j=n)、cn =c0 か否か
を判断し、成り立つならば、正当な署名であると見做す
比較手段260と、を有する。
【0035】本発明(請求項9)は、Gj を位数qj の
群とし、二項演算子「+」j をGjの群演算とし、Gj
(x)はインデックスがx∈ZqjであるようなGj の元
を表し、n個の公開鍵(yj ,Gj )j=0,…,n−
1のうち、あるyi に対応する秘密鍵xi を使用して文
書mに対する署名を生成する署名生成装置で実行される
署名生成プログラムであって、Lは、n個のqj のうち
最も大きいもののビット数を表すものとし、HをLビッ
トの出力域を持つハッシュ関数とし、各群Gj は、公開
鍵yj に対して、 ・証明者は、ランダムなインデックスwをZqjから選ん
で、zj :=Gj (w)を検証者に送り; ・検証者は、ランダムなチャレンジcj をZqjから選ん
で、証明者に送り; ・証明者は、回答sj を回答計算式sj =F(w,xj
,cj ,qj )に沿って計算して検証者に送り; ・検証者は、検証値計算式Rに対して、zj がR(yj
,sj ,cj ,Gj )が等しいか否かを調べ、等しい
ならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、wをZ
qjからランダムに選ぶ第1の乱数生成プロセスと、zi
:=Gi (w)を計算する群要素計算プロセスと、cj
:=H(m‖zj-1 mod n )を計算する第1のハッシ
ュプロセスと、sj をZqjからランダムに選ぶ第2の乱
数生成プロセスと、zj =R(yj ,sj ,cj ,Gj
)を計算する検証値計算プロセスと、j=i+1,
…,n−1,0,…,i−1まで、第1のハッシュプロ
セス、第2の乱数生成プロセス、及び検証値計算プロセ
スを繰り返すループ制御プロセスと、ループ制御プロセ
スが終了したとき(j=i)、ci :=H(m‖zi-1
modn )を計算する第2のハッシュプロセスと、si :
=F(w,xi ,ci ,qi )を計算し、署名(c0 ,
s0 ,s1 ,…,sn-1 )を出力する回答計算プロセス
と、を有する。
【0036】本発明(請求項10)は、第1のハッシュ
プロセス又は前記第2のハッシュプロセスにおいて、ハ
ッシュ関数Hにmとz’j 以外の任意の情報を入力して
計算するプロセスを含む。
【0037】本発明(請求項11)は、第1のハッシュ
プロセス又は前記第2のハッシュプロセスにおいて、予
め定めた任意の一つのハッシュ関数の計算時にのみmを
入力し、他のハッシュ関数の計算時にはmを入力しない
プロセスを含む。
【0038】本発明(請求項12)は、請求項9の署名
生成プログラムで生成された文書mに対する署名(c0
,s0 ,s1 ,…,sn-1 )を検証する署名検証装置
で実行される署名検証プログラムであって、zj =R
(yj ,sj ,cj ,Gj )を計算する検証値計算プロ
セスと、cj+1 =H(m‖zj )を計算するハッシュプ
ロセスと、j=0,…,n−1まで、検証値計算プロセ
ス及びハッシュプロセスとを繰り返すループ制御プロセ
スと、ループ制御プロセスが終了したとき(j=n)、
cn =c0 か否かを判断し、成り立つならば、正当な署
名であると見做す比較プロセスと、を有する。
【0039】本発明(請求項13)は、Gj を位数qj
の群とし、Gj (x)はインデックスがx∈Zqjである
ようなGj の元を表し、n個の公開鍵(yj ,Gj )j
=0,…,n−1のうち、あるyi に対応する秘密鍵x
i を使用して文書mに対する署名を生成する署名生成装
置で実行される署名生成プログラムを格納した記憶媒体
であって、Lは、n個のqj のうち最も大きいもののビ
ット数を表すものとし、HをLビットの出力域を持つハ
ッシュ関数とし、各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZqjから選ん
で、zj :=Gj (w)を検証者に送り; ・検証者は、ランダムなチャレンジcj をZqjから選ん
で、証明者に送り; ・証明者は、回答sj を回答計算式sj =F(w,xj
,cj ,qj )に沿って計算して検証者に送り; ・検証者は、検証値計算式Rに対して、zj がR(yj
,sj ,cj ,Gj )が等しいか否かを調べ、等しい
ならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、wをZ
qjからランダムに選ぶ第1の乱数生成プロセスと、zi
:=Gi (w)を計算する群要素計算プロセスと、cj
:=H(m‖zj-1 mod n )を計算する第1のハッシ
ュプロセスと、sj をZqjからランダムに選ぶ第2の乱
数生成プロセスと、zj =R(yj ,sj ,cj ,Gj
)を計算する検証値計算プロセスと、j=i+1,
…,n−1,0,…,i−1まで、第1のハッシュプロ
セス、第2の乱数生成プロセス、及び検証値計算プロセ
スを繰り返すループ制御プロセスと、ループ制御プロセ
スが終了したとき(j=i)、ci :=H(m‖zi-1
modn )を計算する第2のハッシュプロセスと、si :
=F(w,xi ,ci ,qi )を計算し、署名(c0 ,
s0 ,s1 ,…,sn-1 )を出力する回答計算プロセス
と、を有する。
【0040】本発明(請求項14)は、第1のハッシュ
プロセス又は前記第2のハッシュプロセスにおいて、ハ
ッシュ関数Hにmとz’j 以外の任意の情報を入力して
計算するプロセスを含む。
【0041】本発明(請求項15)は、第1のハッシュ
プロセス又は前記第2のハッシュプロセスにおいて、予
め定めた任意の一つのハッシュ関数の計算時にのみmを
入力し、他のハッシュ関数の計算時にはmを入力しない
プロセスを含む。
【0042】本発明(請求項16)は、請求項13の署
名生成プログラムで生成された文書mに対する署名(c
0 ,s0 ,s1 ,…,sn-1 )を検証する署名検証装置
で実行される署名検証プログラムを格納した記憶媒体で
あって、zj =R(yj ,sj ,cj ,Gj )を計算す
る検証値計算プロセスと、cj+1 =H(m‖zj )を計
算するハッシュプロセスと、j=0,…,n−1まで、
検証値計算プロセス及びハッシュプロセスとを繰り返す
ループ制御プロセスと、ループ制御プロセスが終了した
とき(j=n)、cn =c0 か否かを判断し、成り立つ
ならば、正当な署名であると見做す比較プロセスと、を
有する。
【0043】上記のように、本発明は、ゼロ知識証明に
おけるチャレンジを一つのハッシュ値から連鎖的に生成
しているため、前述の第1の従来の方法のように全ての
チャレンジを署名に含める必要がない。また、前述の第
2の従来の方法のように、暗号化の連鎖を逆にたどる必
要がないため、暗号化関数と復号関数がいずれも不要と
なる。
【0044】さらに、ハッシュ関数によって群の元をイ
ンデックスに変換する構造であるため、落とし戸付き一
方向性置換関数を用いずとも、秘密鍵を知る署名者は、
ハッシュの連鎖をインデックス側でつなぎ合わせてリン
グ状にすることができる。
【0045】
【発明の実施の形態】以下では、Gj を離散対数問題を
構成する群とし、その位数をqi とする。また、Gj
(x)は、インデックスがx∈ZqjであるようなGj の
元を表すものとする。また、Gj (x)からそのような
元を計算する行為を表すものとする。
【0046】yi =Gi (xi )とし、yi を公開鍵、
xi を秘密鍵とする。群Gi に対して、以下に示す、x
i の知識のゼロ知識証明が構成可能となる。
【0047】 証明者は、ランダムなインデックスw
をZqiから選んで、zi :=Gi (w)を検証者に送
る。
【0048】 検証者は、ランダムなチャレンジci
をZqiから選んで、 zi :=Gi (w) を検証者に送る。
【0049】 証明者は、回答si を回答計算式 si =F(w,xi ,ci ,qi ) に沿って計算して検証者に送る。
【0050】 検証者は、検証値計算式Rに対して、 zi =R(yi ,si ,ci ,Gi ) が成り立つか否かを調べ、成り立つならば受理し、そう
でなければ拒否する。
【0051】以下では、上記の3交信ゼロ知識証明に基
づいて署名を作成するものとする。図3は、本発明の一
実施の形態における署名生成装置の構成を示す。
【0052】同図に示す署名生成装置は、乱数生成部1
10、群要素計算部120、ループ変数初期化部13
0、ハッシュ部140、ループ変数更新部150、ルー
プ制御部160、検証値計算部170、回答計算部18
0から構成される。
【0053】上記の構成を署名生成手順に沿って配置す
ると図4のようになる。
【0054】図5は、本発明の一実施の形態における署
名生成のフローチャートである。
【0055】以下の説明では、Gj を離散対数問題を構
成する群とし、その位数をqi とする。Gj (x)は、
インデックスがx∈ZqjであるようなGj の元を表すも
のとする。
【0056】n個の公開鍵yj ∈Gj ,j=0,…,n
−1に対して、そのうち一つのyiに対応するインデッ
クスxi を秘密鍵とし、xi を知る署名者が文書mに対
して署名を生成するには、以下の手順に従う。
【0057】Lは、n個のqj のうち最も大きいものの
ビット数を表すものとし、HをLビットの出力域を持つ
ハッシュ関数とする。
【0058】ステップ101) 乱数生成部110によ
り、wをZqi からランダムに選ぶ(w←Zqi)。
【0059】ステップ102) 群要素計算部120に
より、 zi :=Gi (w) を計算する。
【0060】ステップ103) ループ変数初期化部1
30により、 j=i+1 mod n とループ変数を初期化し、j=i+1,…,n−1,
0,…,i−1まで以下の処理を繰り返す。
【0061】ステップ104) ハッシュ部140によ
り、 cj :=H(m‖zj-1 mod n ) を計算する。
【0062】ステップ105) 乱数生成部110によ
り、sj をZqjからランダムに選ぶ(sj ←Zqj)。
【0063】ステップ106) 検証値計算部170に
より、 zj =R(yj ,sj ,cj ,Gj ) を計算する。
【0064】ステップ107) ループ変数更新部15
0により、j=j+1mod nとする。
【0065】ステップ108) ループ制御部160に
より、j=iになるまで上記のステップ104〜ステッ
プ107の処理を繰り返し、j=iになったらステップ
109に移行する。
【0066】ステップ109) ハッシュ部140によ
り、 ci :=H(m‖zi-1 mod n ) を計算する。
【0067】ステップ110) 回答計算部180によ
り、 si :=F(w,xi ,ci ,qi ) を計算し、文書mに対する署名(c0 ,s0 ,s1 ,
…,sn-1 )を出力する。次に、上記において、署名生
成装置から出力された署名(c0 ,s0 ,s1 ,…,s
n-1 )を検証する場合について説明する。
【0068】図6は、本発明の一実施の形態における署
名検証装置の構成図である。
【0069】同図に示す署名検証装置は、ループ変数初
期化部210、ループ制御部220、検証値計算部23
0、ハッシュ部240、ループ変数更新部250、比較
部260から構成される。上記の構成を署名検証手順に
沿って配置すると図7のようになる。
【0070】図8は、本発明の一実施の形態における署
名検証のフローチャートである。
【0071】ステップ201) ループ変数初期化部2
10によりj=0とし、ループ制御部220により、j
=0,…,n−1まで以下の処理を繰り返す。
【0072】ステップ202) 検証値計算部230に
より、 zj =R(yj ,sj ,cj ,Gj ) を計算する。
【0073】ステップ203) ハッシュ部240によ
り、 cj+1 :=H(m‖zj ) を計算する。
【0074】ステップ204) ループ変数更新部25
0により、jをインクリメント(j=j+1)する。
【0075】ステップ205) ループ制御部220に
より、j=nなるまで上記の処理を繰り返し、j=nに
なったらステップ206に移行する。
【0076】ステップ206) 比較部260により、
cn =c0 かを判断し、成り立つ場合には、正当な署名
とする。
【0077】
【実施例】以下、本発明の実施例を図面と共に説明す
る。
【0078】以下では、構成の説明離散対数を構成する
群として、pi を素数とする乗法群Zpiをとる場合の例
を説明する。
【0079】pi ,qi をそれぞれ大きな素数とし、q
i は、pi を割り切るものとする。gi をpi の位数q
i の部分群の生成源とする。
【0080】xi ∈Zqi を秘密鍵、 yi =gi xi mod pi をgi ,qi ,pi と共に公開鍵とする。
【0081】n個の公開鍵 (yj ,gj ,qj ,pj )j=0,…,n−1 のうち、あるyi に関して、対応する秘密鍵xi を知る
署名者(署名生成装置)は、以下の手順で文書mに対す
る署名を生成する。以下の説明において、Lは、n個の
qj のうち最も大きいもののビット数を表すものとし、
HをLビット出力域を持つハッシュ関数とする。
【0082】まず、本実施例における署名生成装置の構
成を説明する。
【0083】図9は、本発明の一実施例の署名生成装置
の構成を示す。
【0084】同図に示す署名生成装置は、乱数生成部3
10、べき乗剰余演算部320、ループ変数初期化部3
30、ハッシュ部340、ループ変数更新部350、ル
ープ制御部360及び剰余乗減算部380から構成され
る。
【0085】次に、上記の構成における動作を前述の図
5に沿って説明する。
【0086】ステップ101) まず、乱数生成部31
0により、Zqiからランダムにwを選ぶ。
【0087】ステップ103) ループ変数初期化部3
30により、ループ変数jをi+1mod nに初期化し、
ループ制御部60により以下を繰り返す。
【0088】ステップ104) ハッシュ部340によ
り、 cj =H(m‖zj-1 mod n ) を計算する。
【0089】ステップ105) 乱数生成部310によ
り、sj をZqjからランダムに選ぶ。
【0090】ステップ106) べき乗剰余演算部32
0により、 zj =gj sjyj cj mod pj を計算する。
【0091】ステップ107) ループ変数更新部15
0により、j=1+1mod nとする。
【0092】ステップ108) ループ制御部360に
おいて、j=iになるまでステップ104以降の処理を
繰り返し、j=iになったらステップ109に移行す
る。
【0093】ステップ109) ハッシュ部340は、 ci =H(m‖zi-1 mod n ) を計算する。
【0094】ステップ110) 剰余乗減算部180に
より、 si =w−ci x mod qi を計算し、署名(c0 ,s0 ,s1 ,…,sn-1 )を出
力する。
【0095】次に、署名検証について説明する。
【0096】図10は、本発明の一実施例の署名検証装
置の構成を示す。
【0097】同図に示す署名検証装置は、ループ変数初
期化部410、ループ制御部420、べき乗剰余演算部
430、ハッシュ部440、ループ変数更新部450、
及び比較部460から構成される。
【0098】次に、上記の構成における動作を前述の図
8に沿って説明する。
【0099】以下の処理の前に、入力としてn個の公開
鍵(yi ,gj ,qj ,pj )j=0,…,n−1、署
名(c0 ,s0 ,s1 ,…,sn-1 )、及び文書mを得
るものとする。
【0100】ステップ201) ループ変数初期化部4
10により、ループ変数jを0に初期化し、ループ制御
部420により、以下の処理を繰り返す。
【0101】ステップ202) 次に、べき乗剰余演算
部430により、 zj =gj sjyj cj mod pj を計算する。
【0102】ステップ203) ハッシュ部440によ
り、 cj+1 =H(m‖zj ) を計算する。
【0103】ステップ204) ループ変数更新部45
0により、ループ変数j=j+1とする。
【0104】ステップ205) ループ制御部420に
より、j=nとなるまでステップ202以降の処理を繰
り返し、j=nになったらステップ206に移行する。
【0105】ステップ206) 比較部460により、
cn とc0 とを比較し、両者が等しい場合には、署名を
合格とする。そうでなければ不合格とする。
【0106】また、上記の実施の形態及び実施例では、
ハッシュ関数にmとz’j 以外の任意の情報(yj+1 な
ど)を入力してもよい。更には、文書mは、全てのハッ
シュ関数の計算に入力しなくとも、少なくともc0 ある
いは、任意のcj のみ、ハッシュに含めるとしてもよ
い。なお、離散対数問題を構成する群は、楕円曲線上の
加法群をはじめ、その元を容易に標本できるような有限
群であるならば、どのような群であってもよい。
【0107】また、上記の実施の形態及び実施例では、
図3、図6の構成に基づいて説明したが、これらの署名
生成装置及び署名検証装置の動作をプログラムとして構
築し、署名生成装置、署名検証装置として利用されるコ
ンピュータにインストールすることも可能である。
【0108】また、構築されたプログラムを署名生成装
置及び署名検証装置として利用されるコンピュータに接
続されるハードディスク装置や、フレキシブルディスク
やCD−ROM等の可搬記憶媒体に格納しておき、本発
明を実施する際に署名生成装置及び署名検証装置として
利用されるコンピュータにインストールすることによ
り、容易に本発明を実現できる。
【0109】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内において種々変更・応用
が可能である。
【0110】
【発明の効果】上述のように、本発明によれば、署名サ
イズは、
【0111】
【数3】 であり、nが大きいときには、第1の従来の方法の約1
/2で済む。従って、署名サイズが減少することによっ
て、通信コスト及び保存コストを削減させることができ
る。
【0112】また、落とし戸がない、離散対数問題に基
づいて構成可能となったため、楕円曲線を利用した高速
化の効果が期待できる。
【図面の簡単な説明】
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の一実施の形態における署名生成装置の
構成図である。
【図4】本発明の一実施の形態における処理手順に応じ
て配置した署名生成装置の構成図である。
【図5】本発明の一実施の形態における署名生成のフロ
ーチャートである。
【図6】本発明の一実施の形態における署名検証装置の
構成図である。
【図7】本発明の一実施の形態における処理手順に応じ
て配置した署名検証装置の構成図である。
【図8】本発明の一実施の形態における署名検証のフロ
ーチャートである。
【図9】本発明の一実施例の署名生成装置の構成図であ
る。
【図10】本発明の一実施例の署名検証装置の構成図で
ある。
【符号の説明】
100 署名生成装置 110 第1の乱数生成手段、乱数生成部 120 群要素計算手段、群要素計算部 130 ループ変数初期化部 140 第1のハッシュ手段、ハッシュ部 141 第2のハッシュ手段、ハッシュ部 150 ループ変数更新部 160 ループ制御手段、ループ制御部 170 検証値計算手段、検証値計算部 180 回答計算手段、回答計算部 181 署名出力手段 200 署名検証装置 201 入力手段 210 ループ変数初期化部 220 ループ制御手段、ループ制御部 230 検証値計算手段、検証値計算部 240 ハッシュ手段、ハッシュ部 250 ループ変数更新部 260 比較手段、比較部 310 乱数生成部 320 べき乗剰余演算部 330 ループ変数初期化部 340 ハッシュ部 350 ループ変数更新部 360 ループ制御部 380 剰余乗減算部 410 ループ変数初期化部 420 ループ制御部 430 べき乗剰余演算部 440 ハッシュ部 450 ループ変数更新部 460 比較部
───────────────────────────────────────────────────── フロントページの続き (54)【発明の名称】 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び 署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納 した記憶媒体

Claims (16)

    【特許請求の範囲】
  1. 【請求項1】 Gj を位数qj の群とし、Gj (x)は
    インデックスがx∈ZqjであるようなGj の元を表し、
    n個の公開鍵(yj ,Gj )j=0,…,n−1のう
    ち、あるyi に対応する秘密鍵xi を使用して文書mに
    対する署名を生成する署名生成方法において、 Lは、n個のqj のうち最も大きいもののビット数を表
    すものとし、HをLビットの出力域を持つハッシュ関数
    とし、 各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZqjから選ん
    で、zj :=Gj (w)を検証者に送り; ・前記検証者は、ランダムなチャレンジcj をZgjから
    選んで、前記証明者に送り; ・前記証明者は、回答sj を回答計算式sj =F(w,
    xj ,cj ,qj )に沿って計算して前記検証者に送
    り; ・前記検証者は、検証値計算式Rに対して、zj がR
    (yj ,sj ,cj ,Gj )が等しいか否かを調べ、等
    しいならば受理し、そうでなければ拒否する;なる3交
    信ゼロ知識証明が存在する群であって、 wをZqjからランダムに選ぶ第1の乱数生成ステップ
    と、 zi =Gi (w)を計算する群要素計算ステップと、 j=i+1,…,n−1,0,…,i−1まで、以下の
    ステップを繰り返すループ制御ステップと、 cj :=H(m‖zj-1 mod n )を計算する第1のハッ
    シュステップと、 sj をZqjからランダムに選ぶ第2の乱数生成ステップ
    と、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算ステップと、 前記ループ制御ステップが終了したとき(j=i)、c
    i :=H(m‖zi-1mod n )を計算する第2のハッシ
    ュステップと、 si :=F(w,xi ,ci ,qi )を計算し、署名
    (c0 ,s0 ,s1 ,…,sn-1 )を出力する回答計算
    ステップと、からなることを特徴とする署名生成方法。
  2. 【請求項2】 前記ハッシュ関数Hにmとz’j 以外の
    任意の情報を入力して計算する請求項1記載の署名生成
    方法。
  3. 【請求項3】 予め定めた任意の一つのハッシュ関数の
    計算時にのみmを入力し、他のハッシュ関数の計算時に
    はmを入力しない請求項1記載の署名生成方法。
  4. 【請求項4】 前記請求項1で生成された文書mに対す
    る署名(c0 ,s0,s1 ,…,sn-1 )を検証する署
    名検証方法において、 j=0,…,n−1まで、以下のステップを繰り返すル
    ープ制御ステップと、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算ステップと、 cj+1 =H(m‖zj )を計算するハッシュステップ
    と、 前記ループ制御ステップが終了したとき(j=n)、c
    n =c0 か否かを判断し、成り立つならば、正当な署名
    であると見做す比較ステップと、からなるとを特徴とす
    る署名検証方法。
  5. 【請求項5】 Gj を位数qj の群とし、Gj (x)は
    インデックスがx∈ZqjであるようなGj の元を表し、
    n個の公開鍵(yj ,Gj )j=0,…,n−1のう
    ち、あるyi に対応する秘密鍵xi を使用して文書mに
    対する署名を生成する署名生成装置であって、 Lは、n個のqj のうち最も大きいもののビット数を表
    すものとし、HをLビットの出力域を持つハッシュ関数
    とし、 各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZgjから選ん
    で、zj :=Gj (w)を検証者に送り; ・前記検証者は、ランダムなチャレンジcj をZgjから
    選んで、前記証明者に送り; ・前記証明者は、回答sj を回答計算式sj =F(w,
    xj ,cj ,qj )に沿って計算して前記検証者に送
    り; ・前記検証者は、検証値計算式Rに対して、zj がR
    (yj ,sj ,cj ,Gj )と等しいか否かを調べ、等
    しいならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、 wをZqjからランダムに選ぶ第1の乱数生成手段と、 zi :=Gi (w)を計算する群要素計算手段と、 cj :=H(m‖zj-1 mod n )を計算する第1のハッ
    シュ手段と、 sj をZqjからランダムに選ぶ第2の乱数生成手段と、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算手段と、 j=i+1,…,n−1,0,…,i−1まで、前記第
    1のハッシュ手段、前記第2の乱数生成手段、及び前記
    検証値計算手段を繰り返すループ制御手段と、 前記ループ制御手段が終了したとき(j=i)、ci :
    =H(m‖zi-1 modn )を計算する第2のハッシュ手
    段と、 si =F(w,xi ,ci ,qi )を計算する回答計算
    手段と、 署名(c0 ,s0 ,s1 ,…,sn-1 )を出力する署名
    出力手段と、を有することを特徴とする署名生成装置。
  6. 【請求項6】 前記第1のハッシュ手段又は前記第2の
    ハッシュ手段は、 ハッシュ関数Hにmとz’j 以外の任意の情報を入力し
    て計算する手段を含む請求項5記載の署名生成装置。
  7. 【請求項7】 前記第1のハッシュ手段又は前記第2の
    ハッシュ手段は、 予め定めた任意の一つのハッシュ関数の計算時にのみm
    を入力し、他のハッシュ関数の計算時にはmを入力しな
    い手段を含む請求項5記載の署名生成装置。
  8. 【請求項8】 前記請求項5の署名生成装置で生成され
    た文書mに対する署名(c0 ,s0 ,s1 ,…,sn-1
    )を検証する署名検証装置であって、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算手段と、 cj+1 =H(m‖zj )を計算するハッシュ手段と、 j=0,…,n−1まで、前記検証値計算手段及び前記
    ハッシュ手段とを繰り返すループ制御手段と、 前記ループ制御手段が終了したとき(j=n)、cn =
    c0 か否かを判断し、成り立つならば、正当な署名であ
    ると見做す比較手段と、を有することを特徴とする署名
    検証装置。
  9. 【請求項9】 Gj を位数qj の群とし、Gj (x)は
    インデックスがx∈ZqjであるようなGj の元を表し、
    n個の公開鍵(yj ,Gj )j=0,…,n−1のう
    ち、あるyi に対応する秘密鍵xi を使用して文書mに
    対する署名を生成する署名生成装置で実行される署名生
    成プログラムであって、 Lは、n個のqj のうち最も大きいもののビット数を表
    すものとし、HをLビットの出力域を持つハッシュ関数
    とし、 各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZgjから選ん
    で、zj :=Gj (w)を検証者に送り; ・前記検証者は、ランダムなチャレンジcj をZgjから
    選んで、前記証明者に送り; ・前記証明者は、回答sj を回答計算式sj =F(w,
    xj ,cj ,qj )に沿って計算して前記検証者に送
    り; ・前記検証者は、検証値計算式Rに対して、zj がR
    (yj ,sj ,cj ,Gj )と等しいか否かを調べ、等
    しいならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、 wをZqjからランダムに選ぶ第1の乱数生成プロセス
    と、 zi :=Gi (w)を計算する群要素計算プロセスと、 cj :=H(m‖zj-1 mod n )を計算する第1のハッ
    シュプロセスと、 sj をZqjからランダムに選ぶ第2の乱数生成プロセス
    と、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算プロセスと、 j=i+1,…,n−1,0,…,i−1まで、前記第
    1のハッシュプロセス、前記第2の乱数生成プロセス、
    及び前記検証値計算プロセスを繰り返すループ制御プロ
    セスと、 前記ループ制御プロセスが終了したとき(j=i)、c
    i :=H(m‖zi-1mod n )を計算する第2のハッシ
    ュプロセスと、 si =F(w,xi ,ci ,qi )を計算する回答計算
    プロセスと、 署名(c0 ,s0 ,s1 ,…,sn-1 )を出力する署名
    出力プロセスと、を有することを特徴とする署名生成プ
    ログラム。
  10. 【請求項10】 前記第1のハッシュプロセス又は前記
    第2のハッシュプロセスは、 ハッシュ関数Hにmとz’j 以外の任意の情報を入力し
    て計算するプロセスを含む請求項9記載の署名生成プロ
    グラム。
  11. 【請求項11】 前記第1のハッシュプロセス又は前記
    第2のハッシュプロセスは、 予め定めた任意の一つのハッシュ関数の計算時にのみm
    を入力し、他のハッシュ関数の計算時にはmを入力しな
    いプロセスを含む請求項9記載の署名生成プログラム。
  12. 【請求項12】 前記請求項9の署名生成プログラムで
    生成された文書mに対する署名(c0 ,s0 ,s1 ,
    …,sn-1 )を検証する署名検証装置で実行される署名
    検証プログラムであって、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算プロセスと、 cj+1 =H(m‖zj )を計算するハッシュプロセス
    と、 j=0,…,n−1まで、前記検証値計算プロセス及び
    前記ハッシュプロセスとを繰り返すループ制御プロセス
    と、 前記ループ制御プロセスが終了したとき(j=n)、c
    n =c0 か否かを判断し、成り立つならば、正当な署名
    であると見做す比較プロセスと、を有することを特徴と
    する署名検証プログラム。
  13. 【請求項13】 Gj を位数qj の群とし、Gj (x)
    はインデックスがx∈ZqjであるようなGj の元を表
    し、n個の公開鍵(yj ,Gj )j=0,…,n−1の
    うち、あるyi に対応する秘密鍵xi を使用して文書m
    に対する署名を生成する署名生成装置で実行される署名
    生成プログラムを格納した記憶媒体であって、 Lは、n個のqj のうち最も大きいもののビット数を表
    すものとし、HをLビットの出力域を持つハッシュ関数
    とし、 各群Gj は、公開鍵yj に対して、 ・証明者は、ランダムなインデックスwをZgjから選ん
    で、zj :=Gj (w)を検証者に送り; ・前記検証者は、ランダムなチャレンジcj をZgjから
    選んで、前記証明者に送り; ・前記証明者は、回答sj を回答計算式sj =F(w,
    xj ,cj ,qj )に沿って計算して前記検証者に送
    り; ・前記検証者は、検証値計算式Rに対して、zj がR
    (yj ,sj ,cj ,Gj )と等しいか否かを調べ、等
    しいならば受理し、そうでなければ拒否する; なる3交信ゼロ知識証明が存在する群であって、 wをZqjからランダムに選ぶ第1の乱数生成プロセス
    と、 zi :=Gi (w)を計算する群要素計算プロセスと、 cj :=H(m‖zj-1 mod n )を計算する第1のハッ
    シュプロセスと、 sj をZqjからランダムに選ぶ第2の乱数生成プロセス
    と、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算プロセスと、 j=i+1,…,n−1,0,…,i−1まで、前記第
    1のハッシュプロセス、前記第2の乱数生成プロセス、
    及び前記検証値計算プロセスを繰り返すループ制御プロ
    セスと、 前記ループ制御プロセスが終了したとき(j=i)、c
    i :=H(m‖zi-1mod n )を計算する第2のハッシ
    ュプロセスと、 si =F(w,xi ,ci ,qi )を計算する回答計算
    プロセスと、 署名(c0 ,s0 ,s1 ,…,sn-1 )を出力する署名
    出力プロセスと、を有することを特徴とする署名生成プ
    ログラムを格納した記憶媒体。
  14. 【請求項14】 前記第1のハッシュプロセス又は前記
    第2のハッシュプロセスは、 ハッシュ関数Hにmとz’j 以外の任意の情報を入力し
    て計算するプロセスを含む請求項13記載の署名生成プ
    ログラムを格納した記憶媒体。
  15. 【請求項15】 前記第1のハッシュプロセス又は前記
    第2のハッシュプロセスは、 予め定めた任意の一つのハッシュ関数の計算時にのみm
    を入力し、他のハッシュ関数の計算時にはmを入力しな
    いプロセスを含む請求項13記載の署名生成プログラム
    を格納した記憶媒体。
  16. 【請求項16】 前記請求項13の署名生成プログラム
    で生成された文書mに対する署名(c0 ,s0 ,s1 ,
    …,sn-1 )を検証する署名検証装置で実行される署名
    検証プログラムを格納した記憶媒体であって、 zj =R(yj ,sj ,cj ,Gj )を計算する検証値
    計算プロセスと、 cj+1 =H(m‖zj )を計算するハッシュプロセス
    と、 j=0,…,n−1まで、前記検証値計算プロセス及び
    前記ハッシュプロセスとを繰り返すループ制御プロセス
    と、 前記ループ制御プロセスが終了したとき(j=n)、c
    n =c0 か否かを判断し、成り立つならば、正当な署名
    であると見做す比較プロセスと、を有することを特徴と
    する署名検証プログラムを格納した記憶媒体。
JP2002017535A 2002-01-25 2002-01-25 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体 Pending JP2003218858A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002017535A JP2003218858A (ja) 2002-01-25 2002-01-25 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002017535A JP2003218858A (ja) 2002-01-25 2002-01-25 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体

Publications (1)

Publication Number Publication Date
JP2003218858A true JP2003218858A (ja) 2003-07-31

Family

ID=27653200

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002017535A Pending JP2003218858A (ja) 2002-01-25 2002-01-25 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体

Country Status (1)

Country Link
JP (1) JP2003218858A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203826A (ja) * 2005-01-24 2006-08-03 Toshiba Corp デジタル署名システム、装置及びプログラム
JP2006203754A (ja) * 2005-01-24 2006-08-03 Nippon Telegr & Teleph Corp <Ntt> 閾値つき電子署名の方法、その方法を用いた装置およびプログラム
JP2008022212A (ja) * 2006-07-12 2008-01-31 Nippon Telegr & Teleph Corp <Ntt> 知識証明装置、知識検証装置及び知識証明検証システム
WO2010067820A1 (ja) 2008-12-11 2010-06-17 日本電気株式会社 ゼロ知識証明システム、ゼロ知識証明装置、ゼロ知識検証装置、ゼロ知識証明方法およびそのプログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203826A (ja) * 2005-01-24 2006-08-03 Toshiba Corp デジタル署名システム、装置及びプログラム
JP2006203754A (ja) * 2005-01-24 2006-08-03 Nippon Telegr & Teleph Corp <Ntt> 閾値つき電子署名の方法、その方法を用いた装置およびプログラム
JP4738003B2 (ja) * 2005-01-24 2011-08-03 日本電信電話株式会社 署名システム、署名方法
JP2008022212A (ja) * 2006-07-12 2008-01-31 Nippon Telegr & Teleph Corp <Ntt> 知識証明装置、知識検証装置及び知識証明検証システム
WO2010067820A1 (ja) 2008-12-11 2010-06-17 日本電気株式会社 ゼロ知識証明システム、ゼロ知識証明装置、ゼロ知識検証装置、ゼロ知識証明方法およびそのプログラム

Similar Documents

Publication Publication Date Title
US7814326B2 (en) Signature schemes using bilinear mappings
Micciancio et al. Lattice-based cryptography
JP5001176B2 (ja) 署名生成装置、署名生成方法及び署名生成プログラム
CN110637441A (zh) 应用于数据重复数据删除的加密密钥生成
Harkins Dragonfly key exchange
WO2007007836A1 (ja) 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体
JP2008527865A (ja) デジタル署名と公開鍵の促進された検証
TW201320701A (zh) 資訊處理裝置、資訊處理方法及程式
TW201320700A (zh) 署名驗證裝置、署名驗證方法、程式及記錄媒體
JP5099003B2 (ja) グループ署名システムおよび情報処理方法
Jing An efficient homomorphic aggregate signature scheme based on lattice
JP2003218858A (ja) 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体
US11616994B2 (en) Embedding information in elliptic curve base point
Kim et al. An efficient public key functional encryption for inner product evaluations
JP4176537B2 (ja) 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム
JP3881274B2 (ja) 署名生成方法、および署名検証方法
CN115174057B (zh) 一种基于sm2签名的在线离线签名生成方法及系统
Putra et al. Signcryption Techniques For Digital File Security Using the RSA Multi-Factor Algorithm and the ESIGN Algorithm
JP2007151073A (ja) 鍵生成プログラム
US20230085577A1 (en) Secured performance of an elliptic curve cryptographic process
JP2007124612A (ja) 鍵生成プログラム
Harkins RFC 7664: Dragonfly Key Exchange
EP1924022A2 (en) Signature schemes using bilinear mappings
JP2000200038A (ja) 素数生成方法及び装置並びにrsa暗号化方法及び記録媒体
JPH11231777A (ja) 楕円曲線を用いた多重ディジタル署名方法、その装置およびプログラム記録媒体