JP2004208262A - バイリニアペアリングを用いたidに基づくリング署名装置及び方法 - Google Patents

バイリニアペアリングを用いたidに基づくリング署名装置及び方法 Download PDF

Info

Publication number
JP2004208262A
JP2004208262A JP2003159381A JP2003159381A JP2004208262A JP 2004208262 A JP2004208262 A JP 2004208262A JP 2003159381 A JP2003159381 A JP 2003159381A JP 2003159381 A JP2003159381 A JP 2003159381A JP 2004208262 A JP2004208262 A JP 2004208262A
Authority
JP
Japan
Prior art keywords
user
signer
ring signature
identification information
personal identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003159381A
Other languages
English (en)
Inventor
Fangguo Zhang
張方国
Kwangjo Kim
金光兆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KANKOKU JOHO TSUSHIN GAKUEN
Original Assignee
KANKOKU JOHO TSUSHIN GAKUEN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KANKOKU JOHO TSUSHIN GAKUEN filed Critical KANKOKU JOHO TSUSHIN GAKUEN
Publication of JP2004208262A publication Critical patent/JP2004208262A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Abstract

【課題】本発明は、計算時間及び記憶空間を減少させ、キー管理の手続を単純化させるバイリニアペアリングを用いた個人識別情報に基づくリング署名装置及び方法を提供する。
【解決手段】ユーザー、署名者及び信頼機関を備える暗号化システムでバイリニアペアリングを用いる個人識別情報に基づくリング署名方式は、信頼機関がユーザー及び署名者により共有されるシステムパラメータの集合を生成し、システムパラメータの集合を用いてユーザー及び署名者の公開鍵及び秘密鍵を生成し、生成された公開鍵及び秘密鍵をユーザー及び署名者に安全なチャンネルを通して伝送する。ユーザーはメッセージの内容を隠し、署名者に前記内容が隠されたメッセージに対するリング署名を要請し、署名者により生成されたIDに基づくリング署名の有効性を検証する。署名者は、前記ユーザーの個人識別情報(ID)に基づいて前記リング署名を生成し、前記内容が隠されたメッセージに対するIDに基づくリング署名を生成する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、リング署名に基づく暗号化システムに関し、特に、バイリニアペアリングを用いる個人識別情報に基づくリング署名システムに関する。
【0002】
【従来の技術】
公開鍵暗号システムにおいて、各ユーザーは公開鍵及び秘密鍵の2つのキーを有する。ユーザーの公開鍵及び個人識別情報は、デジタル証明書(Digital Certificate)によりつながる。証明書に基づくシステム(certificate based system)において、ユーザーの公開鍵を用いる前、参加者は、まずユーザーの証明書を検証しなければならない。従って、ユーザーの数が急速に増加するに伴って、証明書に基づくシステムは多量の計算時間及び記憶空間を必要とする。
【0003】
証明書に基づく公開鍵暗号システムにおいて、キー管理の手続を単純化するために、シャミア(Shamir)は1984年に個人識別情報に基づく暗号化技法及び署名技法を提案した(A. Shamir, IDentity-based cryptosystems and signature schemes, Advances in Cryptology-Crypto 84, LNCS 196, pp.47-53, Springer-Verlag, 1984.)。その後、個人識別情報に基づく暗号化技法及び署名技法が数多く提案されてきた。
【0004】
バイリニアペアリング(bilinear pairs)、例えば代数曲線のWeilペアリング及びTateペアリングは、代数幾何学研究において非常に重要な道具である。暗号システムにおいて、バイリニアペアリングの初期応用は、離散対数問題(Discrete Logarithm Problem)を評価するために用いられた。例えば、Weilペアリングを用いたMOV攻撃及びTateペアリングを用いたFR攻撃は、特定楕円曲線や超楕円曲線での離散対数問題を有限体での離散対数問題に縮小させた。近年、バイリニアペアリングが暗号学で多様に応用できることが明らかになった。さらに正確には、バイリニアペアリングは個人識別情報に基づく暗号システムの構築に用いることができる。バイリニアペアリングを用いた様々な個人識別情報に基づく暗号システムが提案された。例えば、Boneh及びFranklinの個人識別情報に基づく暗号システム(D. Boneh and M. Franklin, IDentity-based encryption from the Weil pairing, Advances in Cryptology-Crypto 2001, LNCS 2139, pp.213-229, Springer-Verlag, 2001.)と、Smartの個人識別情報に基づく認証キー合意プロトコル(N.P. Smart, IDentity-based authenticated key agreement protocol based on Weil pairing, Electron. Lett., Vol.38, No.13, pp.630-632,
2002.)と、幾つかの個人識別情報に基づく署名技法とがある。
【0005】
特に、効率的なキー管理及び適度な保安が求められる場合、個人識別情報に基づく公開鍵暗号システムは、証明書に基づく公開鍵暗号システムの代案になれる。公開鍵暗号システムにおいて、証明者の匿名性はブラインド署名により保護され、一方、署名者の匿名性はリングデジタル署名(以下、リング署名と呼ぶ。)またはグループデジタル署名により保護される。
【0006】
リング署名の概念は、Rivest、Shamir及びTauman(R.L. Rivest, A. Shamir and Y. Tauman, How to leak a secret, Advances in Cryptology-Asiacrypt 2001, LNCS 2248, pp.552-565, Springer-Verlag, 2001)により提案された。リング署名は、マネージャ無しに、ユーザーのみで構成された単純化されたグループ署名であるとみなされる。リング署名は、証明者が署名がリングの一構成員によりなされたことを知っているが、署名者が正確に誰なのかは知らないので、署名者の匿名性を保護することができる。また、署名者の匿名性を撤回する方法がない。リング署名は、臨時グループ(ad hoc subset format)を支援することができ、一般に特別な初期化作業を要求しない。Rivest-Shamir-Taumanのリング署名方式は、一般の公開鍵暗号システムに基づく。
【0007】
一般のリング署名システムは、多量の計算時間及び記憶空間を必要とする。バイリニアペアリングを用いた個人識別情報に基づく暗号システムが多数提案されているが、バイリニアペアリングを用いた個人識別情報に基づくリング署名はまだ提案されていない。
【0008】
【発明が解決しようとする課題】
従って、本発明の主目的は、計算時間及び記憶空間を減少させ、キー管理の手続を単純化させるバイリニアペアリングを用いた個人識別情報に基づくリング署名装置及び方法の提供にある。
【0009】
【課題を解決するための手段】
上記の目的を達成するために、本発明の一態様に基づき、ユーザー、署名者及び信頼機関を備える暗号化システムでバイリニアペアリングを用いて個人識別情報に基づくリング署名を生成する方法であって、(a)前記信頼機関が前記ユーザー及び前記署名者により共有されるシステムパラメータの集合を生成し、前記ユーザー及び前記署名者のそれぞれのメモリに記憶するステップと、(b)前記信頼機関が前記システムパラメータの集合を用いて、前記ユーザー及び前記署名者の公開鍵及び秘密鍵を生成し、生成された前記公開鍵及び前記秘密鍵を前記ユーザー及び前記署名者に安全なチャンネルを通して伝送するステップと、(c)前記ユーザーがメッセージの内容を隠し、前記署名者に前記内容が隠されたメッセージに対するリング署名を要請するステップと、(d)前記署名者が前記ユーザーの個人識別情報(ID)に基づいて前記リング署名を生成し、前記内容が隠されたメッセージに対するIDに基づくリング署名を生成するステップと、(e)前記ユーザーが前記IDに基づくリング署名の有効性を検証するステップとを含む。
【0010】
前記目的を達成するために、本発明の別の態様に基づき、バイリニアペアリングを用いて個人識別情報に基づくリング署名を生成する装置であって、信頼機関と、ユーザーと、署名者とを含み、前記信頼機関が前記ユーザー及び前記署名者により共有されるシステムパラメータの集合を生成して、前記ユーザー及び前記署名者のそれぞれのメモリに記憶し、前記信頼機関は前記システムパラメータの集合を用いて前記ユーザー及び前記署名者の公開鍵及び秘密鍵を生成し、生成された前記公開鍵及び前記秘密鍵を前記ユーザー及び前記署名者に安全なチャンネルを通して伝送し、前記ユーザーはメッセージの内容を隠し、前記署名者に前記内容が隠されたメッセージに対するリング署名を要請し、前記署名者は前記ユーザーの個人識別情報(ID)に基づいて前記リング署名を生成し、前記内容が隠されたメッセージに対するIDに基づくリング署名を生成し、前記ユーザーは前記IDに基づくリング署名の有効性を検証する。
【0011】
【発明の実施の形態】
本発明による個人識別情報(ID)に基づくリング署名方式は、リング署名方式及びIDに基づく方式が組合わされたものであると見られる。また、本発明のIDに基づくリング署名方式は、バイリニアペアリングを用いる。
【0012】
本発明のIDに基づくリング署名は、次のような4つの手順で構成される。
【0013】
1.初期化:システムパラメータ(PARAMS)及びマスターキーsを生成する。
【0014】
2.鍵生成:マスターキーs及び署名者の個人識別情報(ID)を取り、署名者の秘密鍵SID及び公開鍵QIDを生成する。
【0015】
3.署名:PARAMS、署名者の秘密鍵、ユーザーの個人識別情報の集合であるリストL及び内容が隠されたメッセージmを取り、mに対するIDに基づくリング署名σ(m)を出力する。
【0016】
4.検証:リストL、内容が隠されたメッセージm及びIDに基づくリング署名σ(m)を取り、IDに基づくリング署名σ(m)の有効性を判断する。
【0017】
上述した本発明によるIDに基づくリング署名方式に基づいた装置及び方法を図1〜図5を参照して詳細に説明する。
【0018】
署名者100、ユーザー200及び信頼機関300は、IDに基づくリング署名方式の参加者として動作する。ここで、各参加者はコンピューターシステムであり、いかなる通信網または他の技術により遠隔で通信することができる。参加者の間に伝送される情報は、多様な種類の記憶媒体に記憶及び/または維持することができる。
【0019】
図1は、本発明によるIDに基づくリング署名の初期化及び鍵生成手順を示す概略図である。
【0020】
信頼機関300は、システムパラメータ(PARAMS)を生成して署名者100及びユーザー200が用いることができるようにし、マスターキーを選ぶ。また、信頼機関300は署名者100及びユーザー200の個人識別情報に基づいて彼等の公開鍵及び秘密鍵を生成した後、安全なチャンネルを通して署名者100及びユーザー200に提供する。信頼機関300は初期化及び鍵生成手順には参加するが、以後の手順には参加しない。
【0021】
図2は、本発明によるIDに基づくリング署名の署名手順を示す概略図である。
【0022】
まず、ユーザー200はメッセージの内容を隠してこの内容が隠されたメッセージを任意の署名者に提供し、メッセージに対するデジタル署名(さらに詳しくは、IDに基づくリング署名)を要請する。
【0023】
署名者100が署名要請及び内容が隠されたメッセージを受信すると、署名者100は内容が隠されたメッセージの内容は知らずに、PARAMSに基づき、自分の秘密鍵を用いて内容が隠されたメッセージに対するリング署名を生成する。
【0024】
図3を参照すれば、ユーザー200はn+1個の署名値、内容が隠されたメッセージ、PARAMS、リストL及び署名者100の公開鍵を用いて、署名者100から提供されたリング署名の有効性を検証する。
【0025】
本発明によるIDに基づくリング署名の方法を図4及び5の流れ図を参照しながら、詳細に説明する。図4及び5において、IDに基づくリング署名に参加するユーザーの数が「n」であり、署名される内容が隠されたメッセージがデジタル形で伝送または記憶されると仮定する。
【0026】
ステップ201において、その位数が各々「q」である2つの巡回群G及びVが生成される。
【0027】
さらに詳しく説明すれば、生成者Pが選択され、巡回群Gを生成し、続いて他の巡回群Vがバイリニアペアリング「e」により生成されるが、巡回群Gは楕円または超楕円曲線ヤコビアン(Jacobian)であり、巡回群Vは通常Zq *に対応する巡回乗法群である。巡回群Gから巡回乗法群Vへのバイリニアペアリング「e」は、次のように与えられる。
【0028】
e: G × G → V
ステップ202において、暗号学的ハッシュ関数H及びH1は、次のように決定される。
【0029】
H: {0,1}* → Zq *及びH1: {0,1}* → G
ステップ203において、マスターキーとしてZq *の一要素である「s」を選び、マスターキーs及び巡回群Gの生成者Pを用いて信頼機関300の公開鍵Ppubを次のように設定する。
【0030】
Ppub = s ・ P
信頼機関300の公開鍵Ppubは、暗号学的ハッシュ関数H及びH1の決定前、或いは決定と同時に設定することもできる。
【0031】
ステップ204において、PARAMSのセット{G, q, P, Ppub, H, H1}が公開され、署名者100及びユーザー200のそれぞれのメモリに記憶される。
【0032】
ステップ205において、署名者100及びユーザー200の公開鍵及び秘密鍵が生成される。若し、例えば、ユーザー200が自分の個人識別情報IDiを有すれば、IDiを有するユーザー200の公開鍵QID i及び秘密鍵SID iは、次のように生成される。
【0033】
QID i = H1(IDi)及びSID i = s ・ QID i
ここで、「i」はユーザーインデックスであり、1〜nの間の整数である。
【0034】
その後、ユーザーの公開鍵QID i及び秘密鍵SID iは、安全なチャンネルを通してIDiを有するユーザー200のメモリに伝送及び記憶される。
【0035】
続いて、署名手順が行われる。
【0036】
ステップ206において、ユーザー200はメッセージの内容を隠して任意の署名者にそのメッセージに対する署名(さらに正確には、IDに基づくリング署名)を要請する。
【0037】
ステップ207において、署名者100はユーザー200から内容が隠されたメッセージ及びこれに対するIDに基づくリング署名の要請を受信した後、IDリストLを取り、巡回群Gから任意の一要素Aを抽出して、次のように初期署名値ck+1を計算する。
【0038】
ck+1 = H(L │m │ e(A, P))
ここで、「m」は署名される内容が隠されたメッセージであり、IDリストLはユーザーの個人識別情報の集合である(即ち、L={IDi})。
【0039】
以後、初期署名値ck+1は、署名者100のメモリに記憶される。
【0040】
ステップ208において、「Ti」が巡回群Gから任意に選ばれ、次のように追加の署名値ci+1が計算される。
【0041】
ci+1 = H(L │m │ e(Ti, P) e(ci H1(IDi), Ppub))
ここで、「i」はk+1、…、n-1、0、1、k-1(即ち、全モジュロ(modulo)n値のうち1つ)に対応する。
【0042】
ステップ209において、リング署名値Tkは次のように計算される。
【0043】
Tk = A - ck SID k
ここで、SID kはステップ205で生成された署名者100の秘密鍵である。
【0044】
リング署名値Tkが署名者100のメモリに記憶される。
【0045】
ステップ210において、追加の署名値の連結値(glue value、即ちn)としてゼロを選んでリングを形成し、n+1個のリング署名値からなる内容が隠されたメッセージmに対するIDに基づくリング署名が次のようなシーケンスで得られる。
【0046】
(c0, T0, T1,・・・, Tn-1)
以後、IDに基づくリング署名は、ユーザー200のメモリに伝送及び記憶される。
【0047】
最後に、検証手順が行われる。
【0048】
ステップ211において、ユーザー200が次の式に基づいてリング署名の有効性を検証する。
【0049】
ci+1 = H(L │m │ e(Ti, P) e(ci H1(IDi), Ppub))
さらに詳しく説明すれば、署名値シーケンス{ci}が次のように得られる。
【0050】
ck+1 = H( L │m │ e(A, P))
ck+2 = H( L │m │ e(Tk+1, P) e(ck+1 H1(IDk+1), Ppub))
……
cn = H( L │m │ e(Tn-1, P) e(cn-1 H1(IDn-1), Ppub))
c1 = H( L │m │ e(T0, P) e(c0 H1(ID0), Ppub))
c2 = H( L │m │ e(T1, P) e(c1 H1(ID1), Ppub))
……
ck = H( L │m │ e(Tk-1, P) e(ck-1 H1(IDk-1), Ppub))
ここで、iは0、1、…、n-1である。
【0051】
このような署名値シーケンス{ci}は、ユーザー200のメモリに記憶される。
【0052】
一方、署名手順での初期署名値ck+1は、次のように計算できる。
【0053】
ck+1
= H( L │m │ e(Tk, P) e(ck H1(IDi), Ppub))
= H( L │m │ e(A - ck SID k, P) e(ck H1(IDi), Ppub))
= H( L │m │ e(A, P) e(-ck SID k, P) e(ck H1(IDi), Ppub))
= H( L │m │ e(A, P) e(-ck H1(IDi) + ck H1(IDi), Ppub))
= H( L │m │ e(A, P))
署名を正当にするためには、検証手順での署名値シーケンス{ci}が署名手順でのものと同じであるので、追加署名値の連結値がゼロでなければならない(即ち、cn=c0)。従って、若しi=0、1、…、n-1であり、cn=c0であれば、ステップ212でリング署名が有効なものとして承認され、そうではなければステップ213で拒否される。
【0054】
結論的に、本発明によるIDに基づくリング署名は、次のような特徴を表す。
【0055】
I.正確性
検証手順での署名値シーケンス{ci}は、署名手順でのものと同一でなければならない。従って、生成されたIDに基づくリング署名が正当であるか否かについて検証することができる。
【0056】
II.保安性
IDに基づくリング署名は、Tkを除いた全てのTiがGから任意に取られるので、無条件で署名者-曖昧性を有する。実際に、AがGから任意に選択されるので、TkもGの全般に亘って均等に分布される。従って、固定されたL及びmに対する|G|n個のソリューション(T0、T1、…、Tn-1)は、全て同じ確率で署名手順で選択することができるので、署名者とは関係なく存在する。
【0057】
また、本発明のIDに基づくリング署名は、次のc0の確率が1/qであるので、非偽造性を有すると見なされる。
【0058】
C0 = H(L │m │ e(Tn-1, P) e(cn-1 H1(IDn-1), Ppub))
III.効率性
本発明によるIDに基づくリング署名方式は、楕円曲線或いは超楕円曲線で行うことができ、バイリニアペアリングを採用する。また、2の因数による圧縮技術を用いて署名の長さを縮小させることができる。
【0059】
IDに基づくリング署名は、任意数より個人識別情報に基づいているので、公開鍵は電子メールアドレスのように、ユーザーを唯一に識別するユーザー情報を有する。いくつかの分野において、署名の長さが縮小できるので、公開鍵及び署名の長さも縮小できる。
【0060】
上記において、本発明の好適な実施の形態について説明したが、本発明の精神及び請求範囲から逸脱することなく、種々の変更及び修正がなされてもよいことは当業者にはご理解いただけるであろう。
【0061】
【発明の効果】
本発明による個人識別情報に基づくリング署名方式は、署名値が任意に取られるので、署名者が正確に誰なのか分からず、検証手順及び署名手順での署名値シーケンスの同一性要否から生成されたIDに基づくリング署名の正当性を判断することができる。また、バイリニアペアリングを用いることで、効率的にデジタル署名を行うことができる。
【図面の簡単な説明】
【図1】本発明の好適な実施の形態によるIDに基づくリング署名方式を説明する概略図である。
【図2】本発明の好適な実施の形態によるIDに基づくリング署名方式を説明する概略図である。
【図3】本発明の好適な実施の形態によるIDに基づくリング署名方式を説明する概略図である。
【図4】本発明の好適な実施の形態によるIDに基づくリング署名手順を説明する流れ図である。
【図5】本発明の好適な実施の形態によるIDに基づくリング署名手順を説明する流れ図である。

Claims (12)

  1. ユーザー、署名者及び信頼機関を備える暗号化システムでバイリニアペアリングを用いて個人識別情報に基づくリング署名を生成する方法であって、
    (a)前記信頼機関が前記ユーザー及び前記署名者により共有されるシステムパラメータの集合を生成し、前記ユーザー及び前記署名者のそれぞれのメモリに記憶するステップと、
    (b)前記信頼機関が前記システムパラメータの集合を用いて、前記ユーザー及び前記署名者の公開鍵及び秘密鍵を生成し、生成された前記公開鍵及び前記秘密鍵を前記ユーザー及び前記署名者に安全なチャンネルを通して伝送するステップと、
    (c)前記ユーザーがメッセージの内容を隠し、前記署名者に前記内容が隠されたメッセージに対するリング署名を要請するステップと、
    (d)前記署名者が前記ユーザーの個人識別情報(ID)に基づいて前記リング署名を生成し、前記内容が隠されたメッセージに対するIDに基づくリング署名を生成するステップと、
    (e)前記ユーザーが前記IDに基づくリング署名の有効性を検証するステップとを含む個人識別情報に基づくリング署名生成方法。
  2. 前記ステップ(a)は、
    (a1)生成者Pにより、位数qを有する巡回群Gを生成し、前記巡回群Gが楕円または超楕円曲線ヤコビアンであるステップと、
    (a2)バイリニアペアリングを用いて前記位数qを有する巡回乗法群Vを生成し、バイリニアペアリングeはe: G × G→Vで表現されるステップと、
    (a3)暗号学的ハッシュ関数H: {0,1}* →Zq *及びH1: {0,1}* →Gを生成し、Zq *がVに対応する巡回乗法群であるステップと、
    (a4)前記信頼機関のマスターキーsを選び、前記マスターキーs及び前記生成者Pを用いて、前記信頼機関の公開鍵Ppub = s ・ Pを生成するステップとを含む請求項1に記載の個人識別情報に基づくリング署名生成方法。
  3. 前記システムパラメータは、G、q、P、Ppub、H及びH1を含む請求項2に記載の個人識別情報に基づくリング署名生成方法。
  4. 前記ユーザーの個人識別情報はIDiであり、「i」は1〜nの範囲にある整数であるユーザーインデックスである時、前記ユーザーの前記公開鍵QID i = H1(IDi)及び前記秘密鍵SID i = s ・ QID iを生成し、前記ユーザーのメモリに記憶する請求項3に記載の個人識別情報に基づくリング署名生成方法。
  5. 前記ステップ(d)は、
    (d1)ユーザーの個人識別情報の集合であるIDリストLを選ぶステップと、
    (d2)前記巡回群Gから任意の要素Aを抽出し、前記IDリストLを用いて初期署名値を計算するステップと、
    (d3)前記巡回群の任意の値を選び、前記IDリストLを用いて追加の署名値を計算するステップと、
    (d4)前記署名者の前記秘密鍵を用いてリング署名値を生成するステップと、
    (d5)前記追加の署名値の連結値(glue value)としてゼロを選び、リング署名値のリングを形成するステップと、
    (d6)n+1個のリング署名値を有する前記IDに基づくリング署名を前記ユーザーのメモリに記憶するステップとを含む請求項4に記載の個人識別情報に基づくリング署名生成方法。
  6. 前記署名者は前記初期署名値ck+1 = H(L │m │e(A, P))を計算し、kは署名者のインデックスであり、mは前記内容が隠されたメッセージである請求項5に記載の個人識別情報に基づくリング署名生成方法。
  7. 全てのモジュロn値(k+1、…、n-1、0、1、k-1)のうち1つに対応する「i」に対して追加の署名値ci+1 = H(L │m │e(Ti, P) e(ci H1(IDi), Ppub))を計算して前記署名者のメモリに記憶し、Tiが前記巡回群Gの前記任意の値である請求項6に記載の個人識別情報に基づくリング署名生成方法。
  8. 前記IDに基づくリング署名値Tk = A - ck SID kを計算して、前記署名者のメモリに記憶する請求項7に記載の個人識別情報に基づくリング署名生成方法。
  9. 前記IDに基づくリング署名がシーケンス(c0, T0, T1,・・・, Tn-1)であり、前記ユーザーのメモリに記憶される請求項8に記載の個人識別情報に基づくリング署名生成方法。
  10. 前記IDに基づくリング署名の前記有効性を次の式で判断し、
    ck+1 = H( L │m │ e(A, P))
    ck+2 = H( L │m │ e(Tk+1, P) e(ck+1 H1(IDk+1), Ppub))
    ……
    cn = H( L │m │ e(Tn-1, P) e(cn-1 H1(IDn-1), Ppub))
    c1 = H( L │m │ e(T0, P) e(c0 H1(ID0), Ppub))
    c2 = H( L │m │ e(T1, P) e(c1 H1(ID1), Ppub))
    …… ・・・
    ck = H( L │m │e(Tk-1, P) e(ck-1 H1(IDk-1), Ppub))
    若し、i=0、1、・・・、n-1であり、cn=c0であれば、前記IDに基づくリング署名が有効であると決定し、そうでなければ拒否する請求項9に記載の個人識別情報に基づくリング署名生成方法。
  11. バイリニアペアリングを用いて個人識別情報に基づくリング署名を生成する装置であって、
    信頼機関と、
    ユーザーと、
    署名者とを含み、
    前記信頼機関は、前記ユーザー及び前記署名者により共有されるシステムパラメータの集合を生成して、前記ユーザー及び前記署名者のそれぞれのメモリに記憶し、
    前記信頼機関は、前記システムパラメータの集合を用いて前記ユーザー及び前記署名者の公開鍵及び秘密鍵を生成し、生成された前記公開鍵及び前記秘密鍵を前記ユーザー及び前記署名者に安全なチャンネルを通して伝送し、
    前記ユーザーは、メッセージの内容を隠し、前記署名者に前記内容が隠されたメッセージに対するリング署名を要請し、
    前記署名者は、前記ユーザーの個人識別情報(ID)に基づいて前記リング署名を生成し、前記内容が隠されたメッセージに対するIDに基づくリング署名を生成し、
    前記ユーザーは、前記IDに基づくリング署名の有効性を検証する個人識別情報に基づくリング署名生成装置。
  12. 前記システムパラメータは、
    巡回群Gと、
    前記巡回群Gの位数qと、
    前記巡回群Gの生成者Pと、
    前記信頼機関の公開鍵Ppubと、
    ハッシュ関数H及びH1とを含み、
    前記信頼機関の公開鍵はマスターキーsを用いて鍵Ppub = s ・ Pで計算され、前記ハッシュ関数はH: {0,1}* → Zq *及びH1: {0,1}* → Gで計算され、前記Zq *は巡回乗法群であり、
    前記バイリニアペアリングをe: G × G →Vに定義し、Vは位数qを有する巡回乗法群としてZq *を用い、
    前記ユーザーの個人識別情報がIDiであり、「i」が1〜nの範囲にあるユーザーインデックスである時、前記ユーザーの前記公開鍵及び前記秘密鍵がそれぞれQID i = H1(IDi)及びSID i = s ・ QID iであり、
    kは署名者インデックス、Lはユーザーの個人識別情報の集合、mはリング署名される内容が隠されたメッセージ、Aは巡回群Gの任意の一要素である場合、前記初期署名値ck+ は、c +1 = H(L │m │ e(A, P))で計算し、Tiが前記巡回群Gの前記任意の値である場合、全てのモジュロn値(k+1、..、n-1、0、1及びk-1)のうち1つに対応する「i」に対して追加の署名値ci+1は、ci+1= H(L │m │e(Ti, P) e(ci H1(IDi), Ppub))で計算し、
    前記IDに基づくリング署名値Tkは、Tk = A - ck SID kで計算し、
    前記IDに基づくリング署名は、シーケンス(c0, T0, T1,・・・, Tn-1)から得られ、
    前記IDに基づくリング署名の前記有効性は次の式から判断され、
    ck+1 = H( L │m │ e(A, P))
    ck+2 = H( L │m │ e(Tk+1, P) e(ck+1 H1(IDk+1), Ppub))
    ……
    cn = H( L │m │ e(Tn-1, P) e(cn-1 H1(IDn-1), Ppub))
    c1 = H( L │m │ e(T0, P) e(c0 H1(ID0), Ppub))
    c2 = H( L │m │ e(T1, P) e(c1 H1(ID1), Ppub))
    ……
    ck = H( L │m │ e(Tk-1, P) e(ck-1 H1(IDk-1), Ppub))
    若しi=0、1、…、n-1であり、cn=c0であれば、前記IDに基づくリング署名が有効なものであると決定し、そうではなければ拒否する請求項11に記載の個人識別情報に基づくリング署名生成装置。
JP2003159381A 2002-12-24 2003-06-04 バイリニアペアリングを用いたidに基づくリング署名装置及び方法 Pending JP2004208262A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020083113A KR20030008183A (ko) 2002-12-24 2002-12-24 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법

Publications (1)

Publication Number Publication Date
JP2004208262A true JP2004208262A (ja) 2004-07-22

Family

ID=27729935

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003159381A Pending JP2004208262A (ja) 2002-12-24 2003-06-04 バイリニアペアリングを用いたidに基づくリング署名装置及び方法

Country Status (3)

Country Link
US (1) US20040123110A1 (ja)
JP (1) JP2004208262A (ja)
KR (1) KR20030008183A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109743181A (zh) * 2019-01-14 2019-05-10 深圳大学 一种邮件隐私保护方法、装置及终端设备

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100581440B1 (ko) * 2003-07-04 2006-05-23 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및방법
KR20030062401A (ko) * 2003-07-04 2003-07-25 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
DE602005010039D1 (de) * 2004-12-23 2008-11-13 Hewlett Packard Development Co Verbesserungen in der Anwendung von bilinearen Abbildungen bei kryptographischen Anwendungen
US7702098B2 (en) * 2005-03-15 2010-04-20 Microsoft Corporation Elliptic curve point octupling for weighted projective coordinates
US7680268B2 (en) 2005-03-15 2010-03-16 Microsoft Corporation Elliptic curve point octupling using single instruction multiple data processing
US7826619B2 (en) * 2005-08-23 2010-11-02 Ntt Docomo, Inc. Key-updating method, encryption processing method, key-insulated cryptosystem and terminal device
US8332649B2 (en) * 2005-11-08 2012-12-11 Panasonic Corporation Authentication system, signature creating device, and signature verifying device
US20070113075A1 (en) * 2005-11-10 2007-05-17 Ntt Docomo, Inc. Secure route optimization for mobile network using multi-key crytographically generated addresses
US8180047B2 (en) * 2006-01-13 2012-05-15 Microsoft Corporation Trapdoor pairings
GB2450869B (en) * 2007-07-09 2012-04-25 Hewlett Packard Development Co Establishing a trust relationship between computing entities
US7890763B1 (en) * 2007-09-14 2011-02-15 The United States Of America As Represented By The Director, National Security Agency Method of identifying invalid digital signatures involving batch verification
DE102010013201A1 (de) * 2010-03-29 2011-09-29 Giesecke & Devrient Gmbh Verfahren zum Zuordnen einer ersten Datenträgereinheit zu einer zweiten Datenträgereinheit
KR101040588B1 (ko) 2010-12-13 2011-06-10 한국기초과학지원연구원 익명성을 제공하는 효율적인 신원기반 환서명 방법과 그 시스템
JP2012195903A (ja) * 2011-03-18 2012-10-11 Toshiba Corp 情報処理装置、プログラム及びアクセス制御システム
US8769301B2 (en) * 2011-07-28 2014-07-01 Qualcomm Incorporated Product authentication based upon a hyperelliptic curve equation and a curve pairing function
US20130124870A1 (en) * 2011-11-16 2013-05-16 Certicom Corp. Cryptographic document processing in a network
JP2013198123A (ja) * 2012-03-22 2013-09-30 Toshiba Corp アクセス制御システム
CN104104506A (zh) * 2013-04-08 2014-10-15 华为技术有限公司 密钥隔离方法及设备
CN103414557B (zh) * 2013-08-29 2016-11-02 青岛大学 新型的密钥隔离签名的方法及系统
WO2016200885A1 (en) * 2015-06-08 2016-12-15 Blockstream Corporation Cryptographically concealing amounts transacted on a ledger while preserving a network's ability to verify the transaction
CN110009349B (zh) * 2019-03-26 2020-05-29 阿里巴巴集团控股有限公司 区块链中生成和验证可链接环签名的方法及装置
WO2020242614A1 (en) 2019-05-30 2020-12-03 Kim Bong Mann Quantum safe cryptography and advanced encryption and key exchange (aeke) method for symmetric key encryption/exchange
CN112241526B (zh) * 2020-10-26 2024-03-19 北京华大信安科技有限公司 一种基于sm9数字签名的批量验证方法和系统
CN114050914B (zh) * 2021-10-21 2022-08-02 广州大学 面向边缘控制器的可撤销轻量级群认证方法、系统和介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6389136B1 (en) * 1997-05-28 2002-05-14 Adam Lucas Young Auto-Recoverable and Auto-certifiable cryptosystems with RSA or factoring based keys
EP1425874B1 (en) * 2001-08-13 2010-04-21 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
CN1633776A (zh) * 2002-04-15 2005-06-29 美国多科摩通讯研究所股份有限公司 利用双线性映射的签名方案

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109743181A (zh) * 2019-01-14 2019-05-10 深圳大学 一种邮件隐私保护方法、装置及终端设备
CN109743181B (zh) * 2019-01-14 2022-04-19 深圳大学 一种邮件隐私保护方法、装置及终端设备

Also Published As

Publication number Publication date
KR20030008183A (ko) 2003-01-24
US20040123110A1 (en) 2004-06-24

Similar Documents

Publication Publication Date Title
JP2004208262A (ja) バイリニアペアリングを用いたidに基づくリング署名装置及び方法
CN104539423B (zh) 一种无双线性对运算的无证书公钥密码体制的实现方法
Brickell et al. A new direct anonymous attestation scheme from bilinear maps
US8225098B2 (en) Direct anonymous attestation using bilinear maps
Zhou et al. ExpSOS: Secure and verifiable outsourcing of exponentiation operations for mobile cloud computing
Chen et al. Pairings in trusted computing
Hölbl et al. An improved two-party identity-based authenticated key agreement protocol using pairings
WO2020103631A1 (zh) 一种基于非对称双线性对的匿签密方法
Al-Riyami Cryptographic schemes based on elliptic curve pairings
JP2004208263A (ja) バイリニアペアリングを用いた個人識別情報に基づくブラインド署名装置及び方法
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
Yin et al. An efficient and secured data storage scheme in cloud computing using ECC-based PKI
Wei et al. Remove key escrow from the BF and Gentry identity-based encryption with non-interactive key generation
Sarier A new biometric identity based encryption scheme secure against DoS attacks
Chou et al. Improvement of Manik et al.¡¦ s remote user authentication scheme
Lai et al. Provably secure online/offline identity-based signature scheme based on SM9
Nathani et al. A Dynamic ID Based Authenticated Group Key Agreement Protocol from Pairing.
Nayak A secure ID-based signcryption scheme based on elliptic curve cryptography
Elkamchouchi et al. An efficient proxy signcryption scheme based on the discrete logarithm problem
Ghoreishi et al. New secure identity-based and certificateless authenticated Key Agreement protocols without pairings
Wahid et al. Implementation of certificateless signcryption based on elliptic curve using Javascript
Xiong et al. Introduction to certificateless cryptography
Dehkordi et al. Certificateless identification protocols from super singular elliptic curve
Antoine Introduction to identity-based cryptography
Nabil et al. New authenticated key agreement protocols