JP2004312512A - 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム - Google Patents

匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム Download PDF

Info

Publication number
JP2004312512A
JP2004312512A JP2003105115A JP2003105115A JP2004312512A JP 2004312512 A JP2004312512 A JP 2004312512A JP 2003105115 A JP2003105115 A JP 2003105115A JP 2003105115 A JP2003105115 A JP 2003105115A JP 2004312512 A JP2004312512 A JP 2004312512A
Authority
JP
Japan
Prior art keywords
signature
function
commitment
polynomial
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003105115A
Other languages
English (en)
Other versions
JP4176537B2 (ja
Inventor
Masayuki Abe
正幸 阿部
Kotaro Suzuki
幸太郎 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003105115A priority Critical patent/JP4176537B2/ja
Publication of JP2004312512A publication Critical patent/JP2004312512A/ja
Application granted granted Critical
Publication of JP4176537B2 publication Critical patent/JP4176537B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保する。
【解決手段】k−out−of−n匿名署名の構成において、少なくとも一部の署名権能者に対応するコミットメント作成関数A(sk,r)として、A(sk,r)=A(pk,r)となる関数を用い、コミットメント回復関数V(pk,s,c)として、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とした場合における、A(pk,F(pk,s)(−)c)を用い、回答作成関数Z(sk,r,c)として、Fの逆置換関数をIとした場合におけるI(sk,c(+)r)を用いる。そして、署名権能者が使用する署名方式に応じ、コミットメント作成関数A(sk,r)、コミットメント回復関数V(pk,s,c)及び回答作成関数Z(sk,r,c)を切替て匿名署名の作成及び検証を行う。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
この発明は、署名者の匿名性を保持しつつ電子署名を行う匿名署名装置、匿名署名方法、匿名署名プログラム、その電子署名を検証する署名検証装置及び署名検証プログラムに関し、特に、署名方式の多様性を向上させた匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラムに関する。
【0002】
【従来の技術】
署名者の匿名性を確保する電子署名方法として、これまで様々な匿名署名方法が提唱されている。以下では、まずこの従来の匿名署名方法について説明する。
k−out−of−n匿名署名:
k−out−of−n匿名署名とは、n名のうち少なくともk名以上が協力した時に初めて発行可能なデジタル署名を生成する方法であり、受理した署名からは、このn名のうち、どのk名による署名なのかを特定することが不可能な署名方法をいう(例えば、非特許文献1参照。)。まず、この従来のk−out−of−n匿名署名方法について説明する。なお、ここでは以下の記法を用いる。
・Zは、0以上a以下の整数の集合{0,…,a}を表す。
・|a|は、整数aの2進表現のビット数を表す。但し、aが集合の場合には、そ
の集合の大きさを表す。
・a←bは、集合bからランダムに元を一つ選び、その元をaと呼ぶことを表す

・Z[X]は、係数がZに属するb次の一変数多項式の全集合を表す。
・[a]は、ビット列aの先頭bビットを表す。
・a‖bは、ビット列aとbのビット結合を表す。
【0003】
まず、このk−out−of−n匿名署名の前提として、pkを公開鍵、skを秘密鍵とするとき、3つのアルゴリズムA,Z,Vが存在し、skに関する3交信正直検証者ゼロ知識証明(3−move Honest Verifier Zero−knowledge Proof of Knowledge)が以下のように構成できるものとする。
▲1▼証明者は、ランダムなrを選び、a=A(sk,r)を検証者へ送る(ステップ101)。
▲2▼検証者は、ランダムにcを選び、証明者へ送る(ステップ102)。
▲3▼証明者は、s=Z(sk,r,c)を検証者へ送る(ステップ103)。
▲4▼検証者は、a’=V(pk,s,c)を計算し、a’=aならば受理する。そうでなければ拒否する(ステップ104)。
ここで、ステップ101で証明者が作るaを「コミットメント」と呼び、このコミットメントの元となるrを選ぶ空間をRとする。また、ステップ102で検証者が選ぶcを「チャレンジ」と呼び、このチャレンジを選ぶ空間をCとする。さらに、sを「回答」と呼び、この回答sが分布する空間をSとする。また、以下では、A(sk,r)をコミットメント作成関数と呼び、Z(sk,r,c)を回答作成関数と呼び、V(pk,s,c)をコミットメント回復関数と呼ぶこととする。
【0004】
また、上記の3交信正直検証者ゼロ知識証明が構成されるためには、この手順が、衝突特性(Collision Property)と呼ばれる特性を備えることが必須である。衝突特性とは、検証者が受理する2つの会話記録(a,c,s)と(a,c’,s’)があり、c≠c’のとき、これらの会話記録から秘密鍵skを導出する効率的な手段が存在するという特性をいう。
この衝突特性を持つ知識の3交信正直検証者ゼロ知識証明が存在する代表的な例として、素数pが作る乗法群上の離散対数問題に基づく公開鍵が挙げられる。すなわち、p,qをそれぞれ大きな素数とし、qはp−1を割り切るものとし、gをpの位数qの部分群の生成源とし、g, q, pを共通パラメータとし、x∈Zを秘密鍵、y=gmod p及びg,p,qの4つ組を公開鍵とした場合である。
この場合、上記の記法に対応する知識の3交信正直検証者ゼロ知識証明は、以下のようになる。
▲1▼証明者は、r←Zを選び、a=gを検証者へ送る。
▲2▼検証者は、c←Zを選び、証明者へ送る。
▲3▼証明者は、s=r−cx mod qを検証者へ送る。
▲4▼検証者は、a’=gmod pを計算し、a’=aならば受理する。そうでなければ拒否する。
この手順によって、検証者は、証明者が秘密鍵xを知っていることを納得する。なお、この例では、C=S=Zである。以下では,このような効率的な3交信正直検証者ゼロ知識証明が存在する公開鍵を「離散対数型」と呼ぶ。
【0005】
次に、上述の3交信正直検証者ゼロ知識証明が構成されることを前提に、従来のk−out−of−n匿名署名手順の説明を行う。
なお、以下では、Lをn人の署名権能者にそれぞれ対応するn個の公開鍵の集合、即ちL=[pk|i=1,...,n]とし、CをL中のi番目の公開鍵pk(i番目の署名権能者の公開鍵)に関するゼロ知識証明で用いられるチャレンジのための空間を意味するものとし、pをどの|C|よりも小さな、最も大きい素数とし、Hを|p|−1ビット出力のハッシュ関数とする。また、添え字のiが、L中のi番目の署名権能者に対応することを意味することは、以下のその他の表記についても同様である。また、署名者は、Lに含まれる公開鍵pkに対応する秘密鍵skのうち、k個の秘密鍵skを知るものとする。すなわち、このk個の秘密鍵skに対応する署名権能者が署名に協力し、それぞれの秘密鍵skを署名者に提供しているものとする。ここで、Q⊆[1,….,n]を、署名者が知っている秘密鍵skに対応する識別子i(署名に協力した署名権能者に対応する識別子i)の集合とし、|Q|=kと定義する。
【0006】
署名者は、以下の手順で文書mに対する署名を生成する。
1.集合Qに属さない識別子iに対応する処理
▲1▼s←S
▲2▼c←C
▲3▼a:=V(pk,s,c
2.集合Qに属する識別子iに対応する処理
▲1▼r←Z
▲2▼a:=A(sk,r
3.上記手順で求めた全てのa[i=1,...,n]を用い、c:=H(L‖k‖a‖…‖a‖m)を求める。
4.上記手順(1.▲2▼及び3)で求めた全てのc(cを含む)に対して、(i,c) を(X,Y)平面上の点と見なし、これら全ての点(i,c#i)を通るn−k次の一変数多項式P(X)∈Z[X]n−kを求める。
5.集合Qに属する識別子iに対し、s=Z(sk,ri,P(i))を実行する。
6.上記手順(1.▲1▼及び5)で求めたsを用いて生成した(P’,k,s,…,s)を、(L,m)に対する署名として出力する。なお、ここでP’は一変数多項式P(X)の全ての係数の並びを表す。
【0007】
検証者は、以下の手順により、この(L,m)に対する署名(P’,k,s,…,s)の正当性を検証する。
7.P’より一変数多項式P(X)∈Z[X]n−kを特定する。
8.P(0)=H(L‖k‖V(pk,s,P(1))‖…‖V(pk,s,P(n))‖m)が成立すれば、正しい署名と認める。
以上説明したように、このk−out−of−n匿名署名の場合、検証者は、署名(P’,k,s,…,s)の内容から、一変数多項式P(X)がn−k次式であることをkの値とともに知ることができる。そのため、この検証者は、署名者がc及びsの値を自由に調整できるのは高々n−k個までであり、それ以外のsを含めた検証が成立するということは、少なくともk個の正当な秘密鍵を用いて署名がなされていることが分かる。一方、署名(P’,k,s,…,s)には、どの識別子iに対応する秘密鍵skが使用されたかについての情報が一切含まれていない。従って、この検証者は、署名者がどの公開鍵pkに対応する秘密鍵skを保持しているのかを見分けることができず、これにより署名の匿名性が確保される。
【0008】
次に、従来の別の匿名署名方法について説明する。
Ring型匿名署名:
Ring型匿名署名は、RSAのような落とし戸付き一方向性関数に基づく鍵を扱う方法である(例えば、非特許文献2参照。)。
なお、以下の説明では、入出力域Cを持つn個の落とし戸付き一方向性置換関数をFpk0,…,Fpk(n−1)とし、Isk0,…,Isk(n−1)をこれらに対応する逆置換関数とし、pk,skを識別子iに対応する署名権能者の公開鍵、秘密鍵とする。ここで、公開鍵pkを知るものは誰でも、入力xに対してFpki(x)を容易に計算でき、落とし戸情報(秘密鍵)skを知る者は誰でも入力yに対してIski(y)を計算することができるが、skを知らない場合にはIski(y)を計算することが困難であるものとする。以下では,このような公開鍵を「落とし戸型」と呼ぶことにする。また、nは十分大きい(例えば、1024程度) ものとし、Hをハッシュ関数、E,Dを、それぞれ共通鍵をKとする共通鍵暗号の暗号化関数、復号関数とし、a(XOR)bをaとbとのビット毎排他的論理和とする。
【0009】
図16は、このRing型署名方法を説明するための概念図である。
ここでは識別子iに対応する署名権能者の秘密鍵skを用いて署名を生成するものとする。以下にこの署名作成手順を説明する。
1.K:=H(m)
2.z←Cを生成する。
3.j=0,…,i−1まで以下を繰り返す。
(a)s←C
(b)y:=Fpki(s
(c)z’:=z(XOR)y
(d)zj+1:=EK(z’j)
すなわち、まず初期値zとFpk0(s)とのビット毎排他的論理和(301a)をとり、その結果z’を暗号化関数Eで暗号化(301b)したものをzとし、次に、このzとFpk1(s)とのビット毎排他的論理和(302a)をとり、その結果z’を暗号化関数Eで暗号化(302b)したものをzとし、さらにそのzとFpk2(s)とのビット毎排他的論理和(303a)をとるといった処理をj=i−1まで、すなわち、暗号化関数Eでの暗号化(310b)まで繰り返し、その出力zを求める。
4.zn−1’:=D(z
5.j=n−1,…,i+1まで以下を繰り返す。
(a)s←C
(b)y:=Fpki(s
(c)z:=z’(XOR)y
(d)zj−1’:=DK(zj)
すなわち、初期値zを復号関数Dで復号したzn−1’とFpk(n−1)(sn−1)とのビット毎排他的論理和をとり、その結果zn−1を復号関数Dで復号したzn−2’とFpk(n−2)(sn−2)とのビット毎排他的論理和をとりといった処理を、j=i+1まで逆方向に繰り返していき、その出力z’を求める。
6.y:=z(XOR)z’
7.s:=Iski(y
なお、このようなsを求めることができるのは、秘密鍵skを知っている識別子iに対応する署名権能者のみである。
8.(z,s,s,…,sn−1)を文書mに対する署名として出力する。
【0010】
検証者は、以下の手順により、この署名(z,s,s,…,sn−1)の正当性を検証する。
9.K:=H(m)
10.j=0,…,n−1まで以下を繰り返す。
▲1▼y:=F(s
▲2▼z’:=z(XOR)y
▲3▼zj+1:=E(z’
すなわち、図16における初期値zに対し、前述したビット毎排他的論理和(301a)、暗号化(301b)、ビット毎排他的論理和(302a)、暗号化(302b)という処理を、暗号化(321b)まで順次繰り返していく。
11.その結果、z=zとなれば署名が正当であると判断する。
つまり、上述のようにビット毎排他的論理和及び暗号化を繰り返していった結果、最終的にもとの初期値zと同値となることは、通常、何れかの署名権能者の秘密鍵skを用い上述した7.の処理が行われた場合に限られる。しかし、検証者はどの秘密鍵skを用いてこの処理が行われたのかは知ることができない。これにより、署名者の匿名性を保持しつつ署名を行うことができる。
【0011】
【非特許文献1】
Ronald Cramer, Ivan Damgard, Berry Schoenmakers, ”Proofs of Partial Knowledge and Simplified Design of Witness Hiding Protocols”, Advances in Cryptology−CRYPTO’94, Lecture Notes in Computer Science 839, pp. 174−187, Spriger−Verlag, 1994
【非特許文献2】
Ronald L.Rivest, Adi Shamir, Yael Tauman, ”How to Leak a Secret”, Advances in Cryptology−ASIACRYPT 2001, Lecture Notes in Computer Science2248, pp.552−565, Spriger−Verlag, 2001
【0012】
【発明が解決しようとする課題】
しかし、従来の匿名署名方法では、署名者が使用できる署名方式が限定されてしまうという問題点がある。
すなわち、従来のk−out−of−n匿名署名の場合、使用できる署名方式は離散対数方の公開鍵を用いた方式のみであり、落とし戸型の公開鍵を用いた署名方式を使用することはできない。同様に、従来のRing型匿名署名の場合、使用できるのは落とし戸型の公開鍵を用いた署名方式のみであり、離散対数方の公開鍵を用いた署名方式を用いることはできない。従って、例えば、離散対数型の署名或いは落とし戸型の署名しか行えない署名権能者が混在する場合、これら双方の署名権能者を当該匿名署名に参加させることはできない。
また、Ring型匿名署名の場合、真に署名に協力でき、それが立証される署名者は1人のみであり、k−out−of−n匿名署名のような閾値的な署名構造を採ることができない。そのため、検証者が署名から知ることができるのは、高々1人の署名権能者が署名に協力したことのみであり、検証者が確認可能な署名協力者数を増やし、この署名に対する信頼性を向上させることはできない。
【0013】
この発明はこのような点に鑑みてなされたものであり、匿名署名に使用可能な署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することが可能な匿名署名装置を提供することを目的とする。
また、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することが可能な署名検証装置を提供することである。
【0014】
さらに、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することが可能な匿名署名方法を提供することである。
また、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することを可能とする機能をコンピュータに実行させるための匿名署名プログラムを提供することである。
さらに、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することを可能とする機能をコンピュータに実行させるための署名検証プログラムを提供することである。
【0015】
【課題を解決するための手段】
この発明では上記課題を解決するために、k−out−of−n匿名署名の構成において、少なくとも一部の署名権能者に対応する、コミットメント作成関数A(sk,r)をA(sk,r)=A(pk,r)となる関数とし、コミットメント回復関数V(pk,s,c)をA(pk,F(pk,s)(−)c)とし、回答作成関数Z(sk,r,c)をI(sk,c(+)r)とする。ここでは、識別子iに対応する落とし戸付き一方向性置換関数をFとし、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とし、Fの逆置換関数をIとしている。
これにより、従来離散対数型の署名方式しか用いることができなかったk−out−of−n匿名署名において、落とし戸型の署名をも用いることが可能となり、匿名署名に使用できる署名方式の多様化を図ることができる。また、k−out−of−n匿名署名の構造をそのまま採ることができるため、閾値的な署名構造を採ることができ、署名に対する信頼性を向上させることも可能である。
【0016】
【発明の実施の形態】
以下、この発明の実施の形態について説明する。なお、上述した従来の技術の説明において示した記法その他の定義は、以下の説明においても有効である。
この形態の匿名署名方式も従来のk−out−of−n匿名署名と同様、pkを公開鍵、skを秘密鍵とするとき、コミットメント作成関数A(sk,r)、コミットメント回復関数V(pk,s,c)及び回答作成関数Z(sk,r,c)が存在し、以下に示す3交信正直検証者ゼロ知識証明が構成されることを前提とする。
▲1▼証明者は、ランダムなrを選び、a=A(sk,r)を検証者へ送る。
▲2▼検証者は、ランダムにcを選び、証明者へ送る。
▲3▼証明者は、s=Z(sk,r,c)を検証者へ送る。
▲4▼検証者は、a’=V(pk,s,c)を計算し、a’=aならば受理する。そうでなければ拒否する。
ただし、この形態では、少なくとも一部の署名権能者に対応するコミットメント作成関数A(sk,r)としてA(sk,r)=A(pk,r)となる関数を採り、コミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)を採り、回答作成関数Z(sk,r,c)としてI(sk,c(+)r)を採る。ここで、Fは識別子iに対応する入出力域Cの落とし戸付き一方向性置換関数であり、IはFの逆置換関数であって、全てのx∈Cに対してI(F(x))=xが成り立つものである。また、公開鍵pkを知るものは誰でも、入力xに対してF(x)を容易に計算でき、落とし戸情報(秘密鍵)skを知る者は誰でも入力yに対してI(y)を計算することができるが、skを知らない場合にはI(y)を計算することが困難であるものとする。また、Cは、i番目の公開鍵pk(i番目の署名権能者の公開鍵)に関するゼロ知識証明で用いられるチャレンジのための空間を意味するアーベル群である。さらに、二項演算a(+)b及びa(−)bは、(a(+)b)(−)b=aを満たす演算である。
【0017】
次に、この形態の概略について説明する。
本形態の匿名署名システムは、匿名署名を生成する匿名署名装置、及び生成された匿名署名を検証する署名検証装置から構成される。
図1は、公知のコンピュータに所定のプログラムを実行させることによって構成される本形態の匿名署名装置1の概略を例示した機能ブロック図である。以下、この図1を用い、匿名署名装置1の概略構成及びその処理の概略について説明する。
〔事前処理〕
まず、匿名署名作成の事前処理として、少なくとも一部の署名権能者に対応する、コミットメント作成関数A(sk,r)としてA(sk,r)=A(pk,r)となる関数が、コミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)が、回答作成関数Z(sk,r,c)としてI(sk,c(+)r)が、それぞれ関数メモリ2に格納される。なお、少なくとも一部の署名権能者に対応するコミットメント作成関数A(sk,r)を、rを出力する関数、すなわち、r=A(sk,r)である関数としてもよい。これにより、署名作成時における演算処理を簡略化することができる。
【0018】
〔署名作成処理〕
まず、各署名権能者の公開鍵pkをn個含む公開鍵リストL=[pk|i=1,...,n]、及び署名権能者のうち実際に署名に協力するk名分の署名者の秘密鍵skを含む秘密鍵リストK=[sk|i⊆Q]がレジスタ3に格納され、その後、各識別子(i=1,…,n)に対し、以下の処理が行われる。なお、Q⊆[i=1,...,n],|Q|=kは実際に署名に協力する署名者(匿名署名装置1に秘密鍵skを提供し、匿名署名装置1が秘密鍵skを知る署名権能者)に対応する識別子iの集合を意味する。
非署名者(署名権能者であるが実際には署名に協力しない者)の識別子iに対応する処理:
第1の任意数生成部4において、非署名者に対応する任意な数sを生成し(s←C)、その任意な数sを擬似コミットメント作成部7及び署名出力部15に送る。また、第2の任意数生成部5において、この非署名者に対応する任意な整数zを生成し(z←Z)、その結果をハッシュ関数演算部6に送る。なお、pは、どの|C|よりも小さな、最大の素数である。
この整数zが送られたハッシュ関数演算部6は、送られた整数zのハッシュ値c’を求め(H(z))、そのハッシュ値c’を擬似コミットメント作成部7及び多項式算出部11に送る。なお、Hは、|p|−1ビット出力のハッシュ関数である。
【0019】
次に擬似コミットメント作成部7は、レジスタ3からこの非署名者の公開鍵pkを抽出し(第1の公開鍵抽出手段に相当)、さらに、関数メモリからコミットメント回復関数V(pk,s,c)を抽出する。なお、ここで抽出されるコミットメント回復関数V(pk,s,c)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のA(pk,F(pk,s)(−)c)がコミットメント回復関数V(pk,s,c)として抽出されることになる。
その後、擬似コミットメント作成部7は、レジスタ3から抽出した公開鍵pk、第1の任意数生成部4によって生成された任意な数s、及び第1のハッシュ関数演算部によって算出されたハッシュ値c’を、コミットメント回復関数V(pk,s,c)に代入し、その演算結果aを第2のハッシュ関数演算部10に送る。
【0020】
署名者(署名権能者であり実際に署名に協力する者)の識別子iに対応する処理:
まず、第3の任意数生成部8において任意な数rを生成し、その任意な数rをコミットメント作成部9及び回復演算部14に送る。次に、コミットメント作成部9において、署名者に対応する秘密鍵skをレジスタ3から抽出し(秘密鍵抽出手段に相当)、関数メモリ2からコミットメント作成関数A(sk,r)を抽出する。なお、ここで抽出されるコミットメント作成関数A(sk,r)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のA(sk,r)=A(pk,r)となる関数がコミットメント作成関数A(sk,r)として抽出されることになる。その後、コミットメント作成部9は、抽出した秘密鍵sk、及び第3の任意数生成部8によって生成された数rを、コミットメント作成関数A(sk,r)に代入し、その演算結果aを第2のハッシュ関数演算部10に送る。
【0021】
全ての識別子(i=1,…,n)に対応する処理:
第2のハッシュ関数演算部10において、少なくとも擬似コミットメント作成部7による演算結果aとコミットメント作成部9における演算結果aとをビット結合し、そのビット結合結果のハッシュ値cを求め、そのハッシュ値cを多項式算出部11に送る。多項式算出部11は、署名権能者の人数をnとし、署名者の人数をkとし、第1のハッシュ関数演算部6において求められた全てのハッシュ値c’に対する(i,c’)及び第2のハッシュ関数演算部10において求められたハッシュ値cに対する(0,c)を(X,Y)平面上の点とした場合における、これらの点全てを通るn−k次の一変数多項式P(X)を算出する。算出された一変数多項式P(X)は第3のハッシュ関数演算部13に送られ、この一変数多項式P(X) を特定するための多項式情報P’は署名出力部15に送られる。一変数多項式P(X)が送られた第3のハッシュ関数演算部13は、カウンタ12において生成され、そこから送られた署名者に対応する識別子iを、この一変数多項式P(X)に代入し、その演算結果P(i)のハッシュ値cを求める。求められたハッシュ値cは回復演算部14に送られ、この回復演算部14は、関数メモリ2から回答作成関数Z(sk,r,c)を抽出する。なお、ここで抽出される回答作成関数Z(sk,r,c)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のI(sk,c(+)r)が回答作成関数Z(sk,r,c)として抽出されることになる。
次に回復演算部14は、抽出した秘密鍵sk、第3の任意数生成部8によって生成された数r、及び第3のハッシュ関数演算部13によって求められたハッシュ値cを、抽出した回答作成関数Z(sk,r,c)に代入し、その演算結果sを署名出力部15に送る。そして、署名出力部15は、少なくとも、多項式算出部11によって算出された一変数多項式P(X)を特定するための多項式情報P’、第1の任意数生成部4によって生成された任意な数s、及び回復演算部による演算結果sを署名σとして出力する。
【0022】
図2は、公知のコンピュータに所定のプログラムを実行させることによって構成される本形態の署名検証装置20の概略を例示した機能ブロック図である。以下、この図2を用い、署名検証装置20の概略構成及びその処理の概略について説明する。
〔事前処理〕
まず、署名検証処理の事前処理として、少なくとも一部の署名権能者に対応するコミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)が関数メモリ23に格納される。なお、少なくとも一部の署名権能者に対応するコミットメント作成関数A(sk,r)を、rを出力する関数とし、コミットメント回復関数V(pk,s,c)をF(pk,s)(−)cとしてもよい。これにより、署名検証時における演算処理を簡略化することができる。
〔署名検証処理〕
まず、署名入力部21において、匿名署名装置1から出力された多項式情報P’、及び署名情報sを有する署名σの入力を受け付け、その多項式情報P’を多項式代入部24に、署名情報sをコミットメント回復部25に送る。また、各署名権能者の公開鍵pkをn個含む公開鍵リストL=[pk|i=1,...,n]がレジスタ22に格納される。なお、この公開鍵リストLは、例えば、署名σとともに匿名署名装置1から出力されたものとする。
【0023】
次に、多項式代入部24においてレジスタ22の公開鍵リストLから識別子[i=1,...,n](各署名権能者に対応する識別子i)を抽出し、それらを順次、多項式情報P’によって特定される一変数多項式P(X)に代入し、その代入結果のハッシュ値c’’=H(P(i))をコミットメント回復部25に送る。また、この一変数多項式P(X)は、多項式代入部24から多項式評価部27に送られる。
コミットメント回復部25では、レジスタ22から署名権能者の公開鍵pkを抽出し(公開鍵抽出手段に相当)、抽出した公開鍵pk、署名入力部21において入力された署名情報s、及び多項式代入部24で求めたハッシュ値c’’を、コミットメント回復関数V(pk,s,c)に代入する。なお、このコミットメント回復関数V(pk,s,c)は関数メモリ23から抽出したものである。そして、この抽出されるコミットメント回復関数V(pk,s,c)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のA(pk,F(pk,s)(−)c)がコミットメント回復関数V(pk,s,c)として抽出されることになる。
次に、ハッシュ関数演算部26において、少なくとも、コミットメント回復部25における代入結果をビット結合し、そのビット結合結果のハッシュ値hを多項式評価部27に送る。このハッシュ値hが送られた多項式評価部27は、このハッシュ値hと、多項式代入部24から送られた一変数多項式P(X)に0を代入した結果とを比較し、これらが等しかった場合に、署名が正しいものと判断し、その検証結果を出力する。
【0024】
次に、この形態の詳細について説明する。
図3は、この形態における匿名署名システム100の全体構成を例示した概念図である。
図3に例示するように、この例の匿名署名システム100は、匿名署名を生成する匿名署名装置110、及び送信された署名を検証する署名検証装置130によって構成され、これらはネットワーク150を介して通信可能なように接続されている。
図4は、この例の匿名署名装置110のハードウェア構成を例示したブロック図である。
図4に例示するように、この例の匿名署名装置110は、CPU(Central Processing Unit)110a、キーボード等の入力装置110b、半導体メモリ等の記憶装置110c、液晶ディスプレイ等の出力装置110d、ネットワーク150との通信を可能にする通信制御装置110e、及びこれらをデータのやり取りが可能なように接続するバス110fを有しており、記憶装置110cに記憶された所定のプログラムをCPU110aで実行することにより、その処理機能を実現する。なお、ここでは説明を省略するが、署名権能者端末装置101〜103、及び署名検証装置130も匿名署名装置110と同様なハードウェア構成を採るものとする。
【0025】
図5は、図4に例示したハードウェアにおいて所定のプログラムを実行させることにより実現される匿名署名装置110の機能構成を例示したブロック図であり、図6は関数メモリ111に記録される関数表230のデータ構成を、図7の(a)は、公開鍵リスト210のデータ構成を、(b)は秘密鍵リスト220のデータ構成を、それぞれ例示した概念図である。また、図8は、図4に例示したものと同等なハードウェアにおいて所定のプログラムを実行させることにより実現される署名検証装置130の機能構成を例示したブロック図であり、図9は、関数メモリ131に記録される関数表240のデータ構成を例示した概念図である。さらに、図10から図15は、この形態における匿名署名の生成から、その検証までの処理を説明するためのフローチャートである。
【0026】
以下、これらの図を用いて、本形態における匿名署名装置110及び署名検証装置130の機能構成及びその処理について説明していく。なお、以下では、離散対数を構成する群としてpを素数とする乗法群Zpiを、また、落とし戸付き一方向性関数としてRSA演算を用いる場合を例にとって説明する。
〔事前処理〕
まず、匿名署名装置110に対する事前処理として、コミットメント作成関数A(sk,r)202、コミットメント回復関数V(pk,s,c)203、及び回答作成関数Z(sk,r,c)204を、署名権能者が使用する公開鍵方式l(i)201に対応付けた関数表200を関数メモリ111に格納する(図6)。
【0027】
この例の場合、関数表200には、公開鍵方式l(i)201として、公開鍵が離散対数型であることを示す記号「D」、及び公開鍵が落とし戸型であることを示す記号「T」が格納されている。そして、この記号「D」に対応するコミットメント作成関数A(sk,r)202としてa=g rimod pが、コミットメント回復関数V(pk,s,c)203としてa=g si cimod pが、回答作成関数Z(sk,r,c)204としてs=r−cmod qが、記号「T」に対応するコミットメント作成関数A(sk,r)202としてrを出力する関数a=r(A(sk,r)=A(pk,r)となる関数に相当)が、コミットメント回復関数V(pk,s,c)203としてa=s ei −1mod N(A(pk,F(pk,s)(−)c)に相当)が、及び回答作成関数Z(sk,r,c)204としてs=(rdimod N(I(sk,c(+)r)に相当)がそれぞれ格納されている。なお、p,qは大きな素数であり、qはp−1を割り切るものとする。また、gはpの位数qの部分群の生成元であり、x∈Zqi,y=g ximod pとする。さらに、Nは2つの大きな素数の積であり、e,dは、3≧e<N、及びe≡1 modφ(N)を満たすものとする(φはオイラー関数)。
また、署名検証装置130に対する事前処理として、コミットメント回復関数V(pk,s,c)242を、署名権能者が使用する公開鍵方式l(i)241に対応付けた関数表240を関数メモリ131に格納する(図9)。
【0028】
この例の場合、関数表240には、公開鍵方式l(i)241として、上述の記号「D」及び記号「T」が格納され、この記号「D」に対応するコミットメント回復関数V(pk,s,c)242としてa=g si cimod pが、記号「T」に対応するコミットメント回復関数V(pk,s,c)242としてa=s ei −1mod N(A(pk,F(pk,s)(−)c)に相当)がそれぞれ格納されている。
〔署名作成処理〕
署名の作成を行う場合、まず、匿名署名装置110の入力部114に、公開鍵リスト(L)210、秘密鍵リスト(K)220及び文書(m)230が入力される(図3、図4、図7)。
図7の(a)に例示するように、この例の公開鍵リスト(L)210は、n名の各署名権能者に対応する識別子(i)211に、各署名権能者が使用する公開鍵方式(l(i))212及び公開鍵(pk)212を対応付けた構成となっており、例えば、識別子1には、公開鍵方式(l(1))=T、及び公開鍵(pk)が、識別子2には、公開鍵方式(l(2))=D、及び公開鍵(pk)が、それぞれ対応付けられている。また、図7の(b)に例示するように、この例の秘密鍵リスト(K)220は、実際に署名に協力するk名の署名者に対応する識別子(i)221に、k個の各署名者の秘密鍵(sk)222を対応付けた構成となっており、例えば、インデックス2,3,5,7,8に対し、秘密鍵sk,sk,sk,sk,skが対応付けられている。
【0029】
なお、この例では、公開鍵方式(l(i))=D(離散対数型)である場合には、公開鍵pk=(y,g,q,p)であり、秘密鍵sk=(x,g,q,p)あり、公開鍵方式(l(i))=T(落とし戸型)である場合には、公開鍵pk=(e,N)であり、秘密鍵sk=(d,N)である。また、このように入力された公開鍵リスト(L)210、秘密鍵リスト(K)220及び文書(m)230はレジスタ113に送られ、そこで格納される。
次に、素数生成部115において、p≧max[size(C),…,size(C)]となる素数pを生成する(ステップS1)。すなわち、Cを公開鍵リストL中のi番目の公開鍵pkに関するゼロ知識証明で用いるチャレンジのための空間とした場合において、どの|C|よりも多きな、最も小さい素数pを生成する。なお、素数pの生成は、例えばRabin法等、非常に高い確率で素数となるような確率的素数生成方法を用いて行ってもよく、生成した素数pは、レジスタ113に送られて記録される他、任意数生成部117にも送られる。
【0030】
次に、制御部128が保持するカウンタ(図示せず)のカウント値をi=1とし(ステップS2)、このiがi∈Qであるか否か判断する(ステップS3)。すなわち、制御部128において、レジスタ113から秘密鍵リスト220を抽出し、この秘密鍵リスト220の識別子221がiを有する(i∈Q)か否か判断する。そして、i∈Qであると判断された場合にはステップS10の処理に進み、i∈Qでないと判断された場合にはステップS4の処理に進む。例えば、この段階ではi=1であり、このiの値「1」は秘密鍵リスト220の識別子221に存在しないため、i∈Qでないと判断され、ステップS4の処理へ進む。
ステップS4では、任意数生成部116において、任意な数s←Cを例えばランダムに選び、その任意な数sを擬似コミットメント作成部119に送る。また、任意数生成部117において、任意な整数z←Zを例えばランダムに選び、選んだ整数zをハッシュ関数演算部118に送る(ステップS5)。この整数zが送られたハッシュ関数演算部118は、この整数zのハッシュ値(c’=H(z))を計算し、そのハッシュ値c’を擬似コミットメント作成部119に送る(ステップS6)。なお、ここで処理を行っている識別子iに対応する公開鍵方式(l(i))がD(離散対数型)であった場合、この例のハッシュ関数Hは|q|−1ビットの出力域を持つハッシュ関数である。具体的には、例えば、このqが161ビット以下の場合、160ビット出力のSHA−1関数を利用し、その出力のLSB側から|q|−1ビットをこのハッシュ値として利用する。一方、現在処理を行っている識別子iに対応する公開鍵方式(l(i))が鍵方式(l(i))=T(落とし戸型)であった場合、この例のハッシュ関数Hは、ZNi\[0]の出力値を持つハッシュ関数である。具体的には、例えば、Nが1024ビットの場合(SHA1(N‖1)‖SHA1(N‖2)‖…‖SHA1(N‖<1024/160>+1)mod N‖1をハッシュ値として出力する。なお、ZNi\[0]とは、ZNiから0を除いた集合、すなわち、1以上N未満の自然数の集合{1,…,N−1}を意味し、<1024/160>は1024/160以上の最小の整数を意味する。
【0031】
次に、擬似コミットメント作成部119において、レジスタ113から公開鍵pkを、関数型選択部112を介して関数メモリ111からコミットメント回復関数V(pk,s,c)を、それぞれ取得し、a=V(pk,s,c)の演算を行う(ステップS7)。以下、図14(a)のフローチャートを用い、この際行われるコミットメント回復関数V(pk,s,c)の取得手順について説明する。
まず、制御部128から関数型選択部112に対し、処理中の識別子iの情報が送られる。この関数型選択部112は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数V(pk,s,c)として離散対数型の関数を選択する機能を有しており、この送られた識別子iの情報をもとにこの関数型の選択を行う。すなわち、関数型選択部112は、まず、レジスタ113から公開鍵リスト(L)210を抽出し、制御部128から送られた識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する(ステップS61)。
【0032】
ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部112は、コミットメント回復関数V(pk,s,c)として離散対数型の関数であるa=g si cimod pを選択し(ステップS62)、公開鍵方式(l(i))が落とし戸型(T)であった場合には、コミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)に相当するa=s ei −1mod Nを選択する(ステップS63)。そして、関数型選択部112は、この選択した関数を関数メモリ111から抽出し、擬似コミットメント作成部119に送る。
このようにコミットメント回復関数V(pk,s,c)が送られた擬似コミットメント作成部119は、上述のように送られたpk,s,cをこの関数に代入する(a=V(pk,s,c))。そして、この演算結果aはハッシュ関数演算部122に送られ、次のステップS8の処理に移る。
【0033】
ステップS8では制御部128のカウント値iをi=i+1とし、次のステップS9においてi>nであるか否かを判断する。なお、このnは、例えば、公開鍵リスト(L)210から取得した情報である。そして、i>nであると判断された場合には、ステップS12に進み、そうでなければステップS3に戻る。
ステップS3においてi∈Qであると判断された場合、任意数生成部120は、任意な数r←Rを例えばランダムに選択し、その任意な数rをコミットメント作成部121及び回復演算部126に送る(ステップS10)。なお、RはL中のi番目の公開鍵pk(i番目の署名権能者の公開鍵)に関するゼロ知識証明で用いられるレスポンスのための空間を意味する。
この任意な数rを受け取ったコミットメント作成部121は、さらにレジスタ113から秘密鍵skを、関数型選択部112を介して関数メモリ111からコミットメント作成関数A(sk,r)を、それぞれ取得し、a=A(sk,r)の演算を行う(ステップS11)。以下、図14(b)のフローチャートを用い、この際行われるコミットメント作成関数A(sk,r)の取得手順について説明する。
【0034】
まず、制御部128から関数型選択部112に対し、処理中の識別子iの情報が送られる。この関数型選択部112は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数A(sk,r)として、A(sk,r)=A(pk,r)となる関数を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数A(sk,r)として、離散対数型の関数を選択する機能を有しており、この送られた識別子iの情報をもとにこの関数型の選択を行う。すなわち、関数型選択部112は、まず、レジスタ113から公開鍵リスト(L)210を抽出し、制御部128から送られた識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する(ステップS71)。
ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部112は、コミットメント作成関数A(sk,r)として離散対数型の関数であるa=g rimod pを選択し(ステップS72)、公開鍵方式(l(i))が落とし戸型(T)であった場合には、コミットメント作成関数A(sk,r)として、A(sk,r)=A(pk,r)となる関数であるa=rを選択する(ステップS73)。そして、関数型選択部112は、この選択した関数を関数メモリ111から抽出し、コミットメント作成部121に送る。
【0035】
このようにコミットメント作成関数A(sk,r)が送られたコミットメント作成部121は、上述のように送られたsk,rをこの関数に代入する(a=A(sk,r))。そして、この演算結果aはハッシュ関数演算部122に送られ、次のステップS8及びステップS9の処理に移る。
その後、同様にステップS3からステップS9の処理を繰り返し、ステップS9の判断においてi≦nとなった場合、次のステップS12の処理に移る。
ステップS12では、ハッシュ関数演算部122において、レジスタ113から公開鍵リストL、秘密鍵の個数k、文書m、及び素数pを取得し、これらと擬似コミットメント作成部119及びコミットメント作成部121から送られたaをビット結合し、そのビット結合結果のハッシュ値(c=H(L‖k‖p‖a‖…‖a‖m)を演算する(ステップS12)。そのハッシュ値cは多項式算出部123に送られ、この多項式算出部123は、ハッシュ関数演算部118において求められた全てのハッシュ値c’に対する(i,c’)及びハッシュ関数演算部122において求められたハッシュ値cに対する(0,c)を(X,Y)平面上の点とした場合における、これらの点全てを通るn−k次の一変数多項式P(X)∈Z[X]n−kを求める。この一変数多項式P(X)の算出は、例えば、Lagrange補完によって、
【数1】
Figure 2004312512
を用いて求めることができる(ステップS13)。ただし、i−jが素数pを割り切る場合にはP(X)は求まらないため、この場合、ステップS1に戻って処理をやり直す。一方、P(X)が求まった場合には、求まった一変数多項式P(X)をハッシュ関数演算部125に送り、さらにこのP(X)を特定するための情報(例えば、P(X)の係数)P’を通信部127に送る。
【0036】
次に、カウンタ124のカウント値iを1とし(ステップS14)、このカウント値iがi∈Qであるか否かを判断する。ここでi∈Qでなかった場合、ステップS19の処理に進む。一方、i∈Qであった場合、ハッシュ関数演算部125において、カウンタ124から供給されたカウント値iを一変数多項式P(X)に代入(z=P(i))し(ステップS16)、この代入結果zのハッシュ値c=H(z)を計算して(ステップS17)、その結果を回復演算部126に送る。
このハッシュ値cを受け取った回復演算部126は、さらにレジスタ113から秘密鍵skを、関数型選択部112を介して関数メモリ111から回答作成関数Z(sk,r,c)を、それぞれ取得しs=Z(sk,r,c)の演算を行う(ステップS18)。以下、図15のフローチャートを用い、この際行われる回答作成関数Z(sk,r,c)の取得手順について説明する。
【0037】
まず、制御部128から関数型選択部112に対し、処理中の識別子iの情報が送られる。この関数型選択部112は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応する回答作成関数Z(sk,r,c)としてI(sk,c(+)r)を、離散対数問題に基づく署名方式を採っている署名権能者に対応する回答作成関数Z(sk,r,c)として離散対数型の関数を選択する機能を有しており、この送られた識別子iの情報をもとにこの関数型の選択を行う。すなわち、関数型選択部112は、まず、レジスタ113から公開鍵リスト(L)210を抽出し、制御部128から送られた識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する(ステップS81)。
ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部112は、回答作成関数Z(sk,r,c)として離散対数型の関数であるs=r−cmod qを選択し(ステップS82)、公開鍵方式(l(i))が落とし戸型(T)であった場合には、I(sk,c(+)r)に相当するs=(rdimod Nを選択する(ステップS83)。そして、関数型選択部112は、この選択した関数を関数メモリ111から抽出し、回復演算部126に送る。
このように回答作成関数Z(sk,r,c)を受け取った回復演算部126は、上述のように受け取ったsk,r,cをこの関数に代入する(s=Z(sk,r,c))。そして、この演算結果sは通信部127に送られる。
【0038】
次に、カウンタ124のカウント値iを1加算し(ステップS19)、制御部128において、i>nであるか否かを判断する。ここで、i>nでなかった場合にはステップS15に戻る。一方、i>nであった場合、通信部127によってレジスタ113から公開鍵リストL、秘密鍵の個数k、文書m、及び素数pを取得し、さらに、任意数生成部116や回復演算部126から送られたs、多項式算出部123から送られたP’を用い、L、k、mの署名σ=(P’,p,s,…,s)を生成する(ステップS21)。このように生成された署名σ=(P’,p,s,…,s)は、L、k、mとともにネットワーク150を介して署名検証装置130に送られる。
〔署名検証処理〕
まず、通信部134において、ネットワーク150を介して匿名署名装置110から送信されたL、k、mとその署名σ=(P’,p,s,…,s)を受信する。そして、受信したLをレジスタ133に送って記憶させ、s,…,sをコミットメント回復部136に送り、P’を多項式代入部135及び多項式検証部140に送り、p、L、k、mをハッシュ関数演算部137に送る。次に、多項式検証部140において、取得したpがp≧max[size(C),…,size(C)]を満たすか否かを確認する。ここでp≧max[size(C),…,size(C)]でなければ、署名を拒否して(ステップS33)処理を終了する。一方、p≧max[size(C),…,size(C)]であれば、多項式検証部140において、受け取ったP’によって特定される一変数多項式P(X)の係数の数がn−k+1個以下であること、及びこの一変数多項式P(X)の全ての係数が0以上p未満であることを確認する(ステップS32)。以下、この多項式検証部140における処理を図13のフローチャートを用いて説明する。
【0039】
まず、一変数多項式P(X)の次数がn−k以下であるか否か、すなわち一変数多項式P(X)の係数の数がn−k+1個以下であるか否かを判断し、この次数がn−k以下であればステップS53に進み、そうでなければ検証失敗として処理を終了する(ステップS52)。次に、多項式検証部140が有する図示しないカウンタのカウント値jを0にリセットし(ステップS53)、一変数多項式P(X)の一つの係数P’が0以上p未満の整数であるか否か判断する(ステップS54)。ここで、係数P’が0以上p未満の整数であればカウント値jに1を加算し(ステップS55)、そうでなければ検証失敗として処理を終了する。カウント値jの加算後(ステップS55)、j>n−kであるか否かを判断し(ステップS56)、j>n−kであった場合には検証成功として処理を終了する(ステップS57)。
この検証が失敗した場合、署名を拒否して(ステップS33)処理を終了し、成功した場合には、制御部141が有する図示していないカウンタのカウント値iを1にする(ステップS34)。
次に、多項式代入部135において通信部からP’を取得し、これによって特定される一変数多項式P(X)に、制御部141から送られるカウント値iを代入し、その代入結果のハッシュ値c’’=H(P(i))をコミットメント回復部136に送る(ステップS35)。
【0040】
また、関数型選択部132は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数V(pk,s,c)として離散対数型の関数を選択する機能を有しており、制御部141から送られたカウント値iを用い、使用する関数型の選択を行う。すなわち、関数型選択部132は、まず、受け取った公開鍵リスト(L)210を検索し、識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する。ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部132は、コミットメント回復関数V(pk,s,c)として離散対数型の関数であるa=g si cimod pを選択し、公開鍵方式(l(i))が落とし戸型(T)であった場合には、コミットメント回復関数V(pk,s,c)としてA(pk,F(pk,s)(−)c)に相当するa=s ei −1mod Nを選択する。そして、関数型選択部132は、この選択した関数を関数メモリ131から抽出し、コミットメント回復部136に送る。
【0041】
このコミットメント回復関数V(pk,s,c)を受け取ったコミットメント回復部136は、これにpk,s,c’’を代入し、その演算結果a’をハッシュ関数演算部137に送る(ステップS36)。その後、制御部141のカウント値iを1加算し(ステップS37)、その結果i>nとなったか否かを判断する(ステップS38)。ここで、i>nとなっていない場合にはステップS35の処理に戻り、i>nとなった場合には、ハッシュ関数演算部137において、L、k、p、a’,…,a’、mをビット結合し、そのビット結合結果のハッシュ値z’=H(L‖k‖p‖a’‖…‖a’‖m)を求める(ステップS39)。求められたハッシュ値z’は多項式評価部138に送られ、多項式評価部138は、多項式代入部135から取得した一変数多項式P(X)に0を代入し(ステップS40)、その代入結果zとハッシュ値z’が等しいか否かを判断する(ステップS41)。ここで等しいと判断された場合、多項式評価部138は、その旨の情報(G)を出力部139に送り、出力部139は署名を受理する旨の検証結果を出力する(ステップS42)。一方、等しくないと判断された場合には、多項式評価部138は、その旨の情報(NG)を出力部139に送り、出力部139は署名を拒否する旨の検証結果を出力する(ステップS43)。
【0042】
このように、本形態では、k−out−of−n匿名署名の構成において、少なくとも一部の署名権能者に対応する、コミットメント作成関数A(sk,r)をA(sk,r)=A(pk,r)となる関数とし、コミットメント回復関数を、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とした場合における、A(pk,F(pk,s)(−)c)とし、回答作成関数Z(sk,r,c)を、Fの逆置換関数をIとした場合におけるI(sk,c(+)r)とすることとした。そのため、従来、離散対数型の署名方式しか用いることができなかったk−out−of−n匿名署名において、落とし戸型の署名をも用いることが可能となり、匿名署名に使用できる署名方式の多様化を図ることが可能となった。また、k−out−of−n匿名署名の構造をそのまま採ることができるため、署名協力者数の多様性も確保できる。
さらに、この例では、関数型選択部112、132において、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数A(sk,r)として、A(sk,r)=A(pk,r)となる関数を選択し、コミットメント回復関数V(pk,s,c)として、A(pk,F(pk,s)(−)c)を選択し、回答作成関数Z(sk,r,c)としてI(sk,c(+)r)を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数A(sk,r)、コミットメント回復関数V(pk,s,c)、及び回答作成関数Z(sk,r,c)として、離散対数型の関数を選択することとした。落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者、及び離散対数問題に基づく署名方式を採っている署名権能者双方を署名者に採りこむことができ、匿名署名の利便性及び信頼性を向上させることが可能となった。
【0043】
また、少なくとも一部の署名権能者に対応するコミットメント作成関数A(sk,r)を、rを出力する関数とすることにより、演算処理を簡略化することが可能となった。
なお、この発明は上述の実施の形態に限定されるものではない。例えば、本形態では、離散対数を構成する群としてpを素数とする乗法群Zpiを、また、落とし戸付き一方向性関数としてRSA演算を用いる場合を例にとって説明したが、離散対数問題を構成する群は、楕円曲線上の加法群をはじめ、その元を容易に標本できるような有限群であるならば、どのような群であってもよい。
また、本形態では、コンピュータ上で所定のプログラムを実行させることにより、匿名署名装置1、130及び署名検証装置20、130を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
また、上述のように、この形態における処理機能は、コンピュータによって実現することができる。この場合、匿名署名装置1、130及び署名検証装置20、130が有すべき機能の処理内容はプログラムによって記述され、このプログラムをコンピュータで実行することにより、上記処理機能をコンピュータ上で実現することができる。
【0044】
また、この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto−Optical disc)等を、半導体メモリとしてEPROM(Erasable and Programmable ROM)等を用いることができる。
【0045】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することしてもよく、さらに、コンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。
【0046】
【発明の効果】
以上説明したようにこの発明では、少なくとも一部の署名権能者に対応する、コミットメント作成関数A(sk,r)を、A(sk,r)=A(pk,r)となる関数とし、コミットメント回復関数V(pk,s,c)を、識別子iに対応する落とし戸付き一方向性置換関数をFとし、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とした場合における、A(pk,F(pk,s)(−)c)とし、回答作成関数Z(sk,r,c)を、Fの逆置換関数をIとした場合におけるI(sk,c(+)r)とした。これにより、離散対数型の署名方式に加え、落とし戸型の署名方式をも匿名署名に組み込むことが可能となり、匿名署名に使用できる署名方式の多様性を向上させることができる。また、従来のk−out−of−n匿名署名に落とし戸型の署名方式を組み込むことができるため、従来のk−out−of−n匿名署名と同様、署名協力者数の自由度を確保することができる。
【図面の簡単な説明】
【図1】匿名署名装置1の概略を例示した機能ブロック図。
【図2】署名検証装置の概略を例示した機能ブロック図。
【図3】匿名署名システムの全体構成を例示した概念図。
【図4】匿名署名装置のハードウェア構成を例示したブロック図。
【図5】匿名署名装置の機能構成を例示したブロック図。
【図6】関数メモリに記録される関数表のデータ構成を例示した概念図。
【図7】公開鍵リスト及び秘密鍵リストのデータ構成を例示した概念図。
【図8】署名検証装置の機能構成を例示したブロック図。
【図9】関数メモリに記録される関数表のデータ構成を例示した概念図。
【図10】匿名署名の生成処理を説明するためのフローチャート。
【図11】匿名署名の生成処理を説明するためのフローチャート。
【図12】署名検証処理を説明するためのフローチャート。
【図13】多項式検証部における処理を説明するためのフローチャート。
【図14】関数型選択部における処理を説明するためのフローチャート。
【図15】関数型選択部における処理を説明するためのフローチャート。
【図16】Ring型署名方法を説明するための概念図。
【符号の説明】
1、110 匿名署名装置
20、130 署名検証装置
112、132 関数型選択部
200 関数表
210 公開鍵リスト

Claims (9)

  1. 署名権能者であるが実際には署名に協力しない非署名者に対応する任意な数sを生成する(iは各署名権能者に対応する識別子。以下同様。)第1の任意数生成手段と、
    上記非署名者に対応する任意な整数zを生成する第2の任意数生成手段と、
    上記第2の任意数生成手段によって生成された上記整数zのハッシュ値c’を求める第1のハッシュ関数演算手段と、
    上記非署名者の公開鍵pkを抽出する公開鍵抽出手段と、
    上記第1の公開鍵抽出手段で抽出された上記公開鍵pk、上記第1の任意数生成手段によって生成された上記任意な数s、及び上記第1のハッシュ関数演算手段によって算出されたハッシュ値c’を、コミットメント回復関数V(pk,s,c)に代入する擬似コミットメント作成手段と、
    署名権能者であり実際に署名に協力する署名者に対応する任意な数rを生成する第3の任意数生成手段と、
    上記署名者に対応する秘密鍵skを抽出する秘密鍵抽出手段と、
    上記秘密鍵抽出手段において抽出された上記秘密鍵sk、及び上記第3の任意数生成手段によって生成された上記任意な数rを、コミットメント作成関数A(sk,r)に代入するコミットメント作成手段と、
    少なくとも上記擬似コミットメント作成手段による演算結果と上記コミットメント作成手段における演算結果とをビット結合し、そのビット結合結果のハッシュ値cを求める第2のハッシュ関数演算手段と、
    上記署名権能者の人数をnとし、上記署名者の人数をkとし、上記第1のハッシュ関数演算手段において求められた全ての上記ハッシュ値c’に対する(i,c’)及び上記第2のハッシュ関数演算手段において求められた上記ハッシュ値cに対する(0,c)を(X,Y)平面上の点とした場合における、これらの点全てを通るn−k次の一変数多項式P(X)を算出する多項式算出手段と、
    上記署名者に対応する上記識別子iを、上記多項式算出手段において算出された上記一変数多項式P(X)に代入し、その演算結果P(i)のハッシュ値cを求める第3のハッシュ関数演算手段と、
    上記秘密鍵抽出手段において抽出された上記秘密鍵sk、上記第3の任意数生成手段によって生成された上記任意な数r、及び上記第3のハッシュ関数演算手段によって求められた上記ハッシュ値cを、回答作成関数Z(sk,r,c)に代入する回復演算手段と、
    少なくとも、上記多項式算出手段によって算出された上記一変数多項式P(X)を特定するための多項式情報P’、上記第1の任意数生成手段によって生成された上記任意な数s、及び上記回復演算手段による演算結果sを出力する署名出力手段と、
    を有し、
    少なくとも一部の上記署名権能者に対応する、上記コミットメント作成関数A(sk,r)は、A(sk,r)=A(pk,r)となる関数であり、上記コミットメント回復関数V(pk,s,c)は、上記識別子iに対応する落とし戸付き一方向性置換関数をFとし、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とした場合における、A(pk,F(pk,s)(−)c)であり、上記回答作成関数Z(sk,r,c)は、上記Fの逆置換関数をIとした場合におけるI(sk,c(+)r)であること、
    を特徴とする匿名署名装置。
  2. 落とし戸付き一方向性置換関数に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント作成関数A(sk,r)として、A(sk,r)=A(pk,r)となる関数を選択し、前記コミットメント回復関数V(pk,s,c)として、A(pk,F(pk,s)(−)c)を選択し、前記回答作成関数Z(sk,r,c)としてI(sk,c(+)r)を選択し、
    離散対数問題に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント作成関数A(sk,r)、前記コミットメント回復関数V(pk,s,c)、及び前記回答作成関数Z(sk,r,c)として、離散対数型の関数を選択する関数型選択手段を、
    さらに有することを特徴とする請求項1記載の匿名署名装置。
  3. 少なくとも一部の上記署名権能者に対応する前記コミットメント作成関数A(sk,r)は、rを出力する関数であることを特徴とする請求項1或いは2の何れかに記載の匿名署名装置。
  4. 匿名署名装置から出力された多項式情報P’、及び署名情報sの入力を受け付ける署名入力手段と、
    上記署名入力部において入力された上記多項式情報P’によって特定される上記一変数多項式P(X)に、各署名権能者に対応する識別子iを代入し、そのハッシュ値c’’を求める多項式代入手段と、
    上記署名権能者の公開鍵pkを抽出する公開鍵抽出手段と、
    上記公開鍵抽出部によって抽出された上記公開鍵pk、上記署名入力部において入力された上記署名情報s、及び上記多項式代入部で求めたハッシュ値c’’を、コミットメント回復関数V(pk,s,c)に代入するコミットメント回復手段と、
    少なくとも上記コミットメント回復手段における代入結果をビット結合し、そのビット結合結果のハッシュ値と、上記一変数多項式P(X)に0を代入した結果とが等しかった場合に、署名が正しいものと判断する多項式評価手段と、
    を有し、
    少なくとも一部の上記署名権能者に対応する、上記コミットメント回復関数V(pk,s,c)は、コミットメント作成関数A(sk,r)をA(sk,r)=A(pk,r)となる関数とし、上記識別子iに対応する落とし戸付き一方向性置換関数をFとし、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とした場合における、A(pk,F(pk,s)(−)c)であること、
    を特長とする署名検証装置。
  5. 落とし戸付き一方向性置換関数に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント回復関数V(pk,s,c)として、A(pk,F(pk,s)(−)c)を選択し、
    離散対数問題に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント回復関数V(pk,s,c)として、離散対数型の関数を選択する関数型選択手段を、
    さらに有することを特長とする請求項4記載の署名検証装置。
  6. 少なくとも一部の上記署名権能者に対応する前記コミットメント作成関数A(sk,r)は、rを出力する関数であることを特徴とする請求項4或いは5の何れかに記載の署名検証装置。
  7. 匿名署名装置によって、
    上記署名権能者であるが実際には署名に協力しない非署名者に対応する任意な数sを生成し(iは各署名権能者に対応する識別子。以下同様。)、
    上記非署名者に対応する任意な整数zを生成し、
    生成された上記整数zのハッシュ値c’を求め、
    上記非署名者の公開鍵pkを抽出し、
    抽出した上記公開鍵pk、生成した上記任意な数s、及び算出した上記ハッシュ値c’を、コミットメント回復関数V(pk,s,c)に代入し、
    署名権能者であり実際に署名に協力する署名者に対応する任意な数rを生成し、
    上記署名者に対応する秘密鍵skを抽出し、
    抽出した上記秘密鍵sk、及び生成した上記任意な数rを、コミットメント作成関数A(sk,r)に代入し、
    少なくとも上記コミットメント回復関数V(pk,s,c)への代入結果と、上記コミットメント作成関数A(sk,r)への代入結果とをビット結合し、そのビット結合結果のハッシュ値cを求め、
    上記署名権能者の人数をnとし、上記署名者の人数をkとし、求められた全ての上記ハッシュ値c’に対する(i,c’)及び上記ハッシュ値cに対する(0,c)を(X,Y)平面上の点とした場合における、これら点すべて(i,c’)を通るn−k次の一変数多項式P(X)を算出し、
    上記署名者に対応する上記識別子iを、算出された上記一変数多項式P(X)に代入し、その演算結果P(i)のハッシュ値cを求め、
    抽出した上記秘密鍵sk、生成した上記任意な数r、及び上記第3のハッシュ関数演算ステップによるハッシュ値cを、回答作成関数Z(sk,r,c)に代入し、
    少なくとも、算出した上記一変数多項式P(X)を特定するための多項式情報P’、生成した上記任意な数s、及び上記回答作成関数Z(sk,r,c)への代入結果sを出力し、
    署名検証装置によって、
    上記匿名署名装置から出力された上記多項式情報P’、上記任意な数s、及び上記代入結果sの入力を受け付け、
    入力された上記多項式情報P’によって特定される上記一変数多項式P(X)に、上記識別子iを代入し、そのハッシュ値c’’を求め、
    上記署名権能者の公開鍵pkを抽出し、
    抽出した上記公開鍵pk、入力された上記任意な数s或いは代入結果s、及び上記一変数多項式P(X)への上記識別子iの代入結果のハッシュ値c’’を、上記コミットメント回復関数V(pk,s,c)に代入し、
    少なくともこのコミットメント回復関数V(pk,s,c)への代入結果をビット結合し、そのビット結合結果のハッシュ値と、上記一変数多項式P(X)に0を代入した結果とが等しかった場合に、署名が正しいものと判断し、
    少なくとも一部の上記署名権能者に対応する、上記コミットメント作成関数A(sk,r)は、A(sk,r)=A(pk,r)となる関数であり、上記コミットメント回復関数V(pk,s,c)は、上記識別子iに対応する落とし戸付き一方向性置換関数をFとし、二項演算a(+)b及びa(−)bを(a(+)b)(−)b=aを満たす演算とした場合における、A(pk,F(pk,s)(−)c)であり、上記回答作成関数Z(sk,r,c)は、上記Fの逆置換関数をIとした場合におけるI(sk,c(+)r)であること、
    を特長とする匿名署名方法。
  8. 請求項1から3の何れかに記載された匿名署名装置としてコンピュータを機能させるための匿名署名プログラム。
  9. 請求項4から6の何れかに記載された署名検証装置としてコンピュータを機能させるための署名検証プログラム。
JP2003105115A 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム Expired - Fee Related JP4176537B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003105115A JP4176537B2 (ja) 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003105115A JP4176537B2 (ja) 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム

Publications (2)

Publication Number Publication Date
JP2004312512A true JP2004312512A (ja) 2004-11-04
JP4176537B2 JP4176537B2 (ja) 2008-11-05

Family

ID=33467722

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003105115A Expired - Fee Related JP4176537B2 (ja) 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム

Country Status (1)

Country Link
JP (1) JP4176537B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203754A (ja) * 2005-01-24 2006-08-03 Nippon Telegr & Teleph Corp <Ntt> 閾値つき電子署名の方法、その方法を用いた装置およびプログラム
US8868910B2 (en) 2012-02-09 2014-10-21 Hewlett-Packard Development Company, L.P. Elliptic curve cryptographic signature
CN112613882A (zh) * 2020-12-29 2021-04-06 成都知道创宇信息技术有限公司 一种分布式签名系统及管理方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203754A (ja) * 2005-01-24 2006-08-03 Nippon Telegr & Teleph Corp <Ntt> 閾値つき電子署名の方法、その方法を用いた装置およびプログラム
JP4738003B2 (ja) * 2005-01-24 2011-08-03 日本電信電話株式会社 署名システム、署名方法
US8868910B2 (en) 2012-02-09 2014-10-21 Hewlett-Packard Development Company, L.P. Elliptic curve cryptographic signature
CN112613882A (zh) * 2020-12-29 2021-04-06 成都知道创宇信息技术有限公司 一种分布式签名系统及管理方法

Also Published As

Publication number Publication date
JP4176537B2 (ja) 2008-11-05

Similar Documents

Publication Publication Date Title
JP5079024B2 (ja) 検証装置及び暗号文復号装置及び署名検証装置及び認証装置及び暗号システム及びコンピュータプログラム
JP5419056B2 (ja) Cartier対形成の暗号化適用
US7308097B2 (en) Digital signature and authentication method and apparatus
RU2376651C2 (ru) Использование изогений для разработки криптосистем
JP6069852B2 (ja) 情報処理装置、情報処理方法、及びプログラム
WO2013031414A1 (ja) 署名検証装置、署名検証方法、プログラム、及び記録媒体
JP5099003B2 (ja) グループ署名システムおよび情報処理方法
TW202318833A (zh) 臨界簽章方案
Peng et al. Batch zero-knowledge proof and verification and its applications
JP2021072593A (ja) 暗号処理システム及び暗号処理方法
CN116346336B (zh) 一种基于多层密钥生成中心的密钥分发方法及相关系统
Parsovs Homomorphic tallying for the estonian internet voting system
JP4176537B2 (ja) 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム
Damgård et al. Efficient protocols based on probabilistic encryption using composite degree residue classes
CN110266478A (zh) 一种信息处理方法、电子设备
KR20240045231A (ko) 디지털 서명 셰어의 생성
JP4533636B2 (ja) デジタル署名システム、デジタル署名管理装置、デジタル署名管理方法及びプログラム
JP3540718B2 (ja) 検証可能匿名通信路システム、それを実施する方法及びその方法を記録した記録媒体
Wang et al. A quantum concurrent signature scheme based on the quantum finite automata signature scheme
CN111711524A (zh) 一种基于证书的轻量级外包数据审计方法
JP6087849B2 (ja) 代理署名装置、署名検証装置、鍵生成装置、代理署名システム、およびプログラム
CN115174057B (zh) 一种基于sm2签名的在线离线签名生成方法及系统
JP2003218858A (ja) 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体
Ting et al. A secure threshold Paillier proxy signature scheme
KR20240046201A (ko) 디지털 서명들의 생성

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050725

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080820

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110829

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120829

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130829

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees