JP2005253083A - 新しいフェア・ブラインド署名プロセス - Google Patents

新しいフェア・ブラインド署名プロセス Download PDF

Info

Publication number
JP2005253083A
JP2005253083A JP2005058204A JP2005058204A JP2005253083A JP 2005253083 A JP2005253083 A JP 2005253083A JP 2005058204 A JP2005058204 A JP 2005058204A JP 2005058204 A JP2005058204 A JP 2005058204A JP 2005253083 A JP2005253083 A JP 2005253083A
Authority
JP
Japan
Prior art keywords
user
signature
signer
parameter
uniformly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005058204A
Other languages
English (en)
Other versions
JP2005253083A5 (ja
JP4932168B2 (ja
Inventor
Sebastien Canard
カナール,セバスチャン
Matthieu Gaud
ゴー,マチュー
Jacques Traore
トラオル,ジャック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of JP2005253083A publication Critical patent/JP2005253083A/ja
Publication of JP2005253083A5 publication Critical patent/JP2005253083A5/ja
Application granted granted Critical
Publication of JP4932168B2 publication Critical patent/JP4932168B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B11/00Hand knives combined with other implements, e.g. with corkscrew, with scissors, with writing implement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B5/00Hand knives with one or more detachable blades
    • B26B5/001Hand knives with one or more detachable blades with blades being slid out of handle immediately prior to use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B1/00Hand knives with adjustable blade; Pocket knives
    • B26B1/08Hand knives with adjustable blade; Pocket knives with sliding blade
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Forests & Forestry (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)
  • Basic Packing Technique (AREA)
  • Toys (AREA)
  • Paper (AREA)

Abstract

【課題】新しいフェア・ブラインド署名プロセスを提供すること。
【解決手段】フェア・ブラインド署名プロセスで、ユーザは、Ae=a0x 1m 2xu 3t 4s 5(mod n)になるように7タプル(A,e,s,t,xu,x,m)を完成するために署名者と対話する。ここで、a0,a1,a2,a3,a4、a5、およびnは、署名者の公開鍵(PUBKS)の要素である。署名発行フェーズ中に、ユーザ(U)は、署名者(S)に、信頼される機関(TA)に既知の鍵(f)に従って暗号化されたデータ要素(a1 x)を供給し、このデータ要素(a1 x)が、署名されたメッセージの送信中に開示される。同様に、署名されたメッセージは、信頼される機関(TA)に既知の鍵(f)に従って暗号化された第2データ要素axu 3を含む第2の暗号化されたデータに関連して送信され、この第2データ要素axu 3が、署名発行フェーズ中に署名者に開示される。
【選択図】 図1

Description

本発明は、電子トランザクションのセキュリティに関し、より詳しくは、デジタル署名の技術分野に関する
デジタル署名方式は、ユーザおよび署名者を伴う公開鍵暗号プロトコルである。署名者は、秘密鍵とそれに対応する公開鍵を所有している。ユーザは、一般にインターネットなどのネットワークに送信するためのメッセージを生成する。署名者は、そのメッセージの有効性または認証性を示すものとして、自分の秘密鍵(シークレット・キーまたはペライベート・キー)を使用してメッセージのデジタル署名を生成する。望めば誰でも、その署名者の公開鍵のみを用いて署名の認証性を検証することができる。
通常のデジタル署名方式では、署名者は、デジタル署名が適用されるメッセージの内容を知っており、署名アルゴリズム(たとえば、周知のRSAアルゴリズム)を使用することによって、偽造が困難または不可能なデジタル署名を生成する。
ブラインド署名(blind signature)方式では、ユーザは、署名者にメッセージの内容に関する情報を与えることなく、自分のメッセージに対するデジタル署名を得ることができる。デヴィッド・チョム博士(David Chaum)によって開発された周知のブラインド署名方式が、特許文献1に記載されている。ブラインド署名方式は、デジタル・キャッシュ・アプリケーションに用いる方式として提案されることがあり、この方式により、個人は、金融機関によってデジタル・キャッシュの次の使用が追跡されることなく、金融機関からデジタル・キャッシュを購入できる。
通常のブラインド署名方式では、署名者は、異なるユーザの多数の文書に署名する場合、自分が署名したある特定の文書を提示されても、その文書にいつ誰のために署名したかを判断することができない。対照的に、フェア・ブラインド署名方式(FBSS:fair blind signature scheme)では、追加の参加者すなわち、1つまたは複数の信頼される機関(または「判定者(judge)」)があり、署名者は、信頼される機関(または、複数の信頼される機関がある場合に、定足数の信頼される機関)の助けによって、所与の署名セッションからどの署名が生成されたかを識別することができる。
署名者は、特定の署名セッションのトランスクリプトを有する場合、信頼される機関の助けを得て、そのセッションから生じた署名/メッセージ対を判定することができる。これを「署名トレーシング(signature tracing)」と言う。逆に、署名者は、特定のメッセージ/署名対を入手できる場合、信頼される機関の助けを借りて、これを生成した署名セッションを判定できる。これを「セッション・トレーシング(session tracing)」と言う。
フェア・ブラインド署名方式では、「ゼロ知識証明(zero-knowledge proof)」技術を使用する。あるエンティティ(「証明者」)が、あるステートメント(または述部)が真であることを別のエンティティ(「検証者」)に証明する必要がある場合がある。証明者および検証者が適当な対話プロトコル(知識の対話証明)を実行できれば、検証者は、そのステートメントが真であることを確信することができる。知識の証明のプロトコルでは、知識の証明に参加した後に、検証者がステートメントが何であるかの知識を有しない(検証者は、それが真または「有効」であることだけを知る)場合を、「ゼロ知識」と称する。後者の場合、検証者は、ステートメントの有効性を他者に証明することができない。
フェア・ブラインド署名方式は、所与のデジタル署名を所与のユーザにリンクすることができるが、ユーザのメッセージは、まだプライベート状態である。フェア・ブラインド署名方式は、主に、電子オークションなど、破棄可能な匿名性が望ましい応用、および組織化された犯罪との戦い(マネー・ロンダリングの防止など)の応用に関して提案されてきた。
セキュアな状態を実現するために、フェア・ブラインド署名方式は、ワンモア・アンフォージャビリティ(one-more unforgeability)、ブラインドネス(blindness)、およびトレーサビリティ(厳格な取消)の特性を有しなければならない。
「ワンモア・アンフォージャビリティ」は、捏造しようとする者が署名者とk回対話した場合であっても、フェア・ブラインド署名方式の下でk+1番目の有効な署名を作ることが計算的に困難であるという事実を示している(これを「(k,k+1)アンフォージャビリティ」と呼ぶことができる)。この特性は、意図する捏造者と署名者の間の対話が適応的でインターリーブする形で実行される場合であっても保持されなければならない。
「ブラインドネス」は、特定の有効なデジタル署名を作った署名セッションを行ったユーザの識別を可能にする情報が生成されることについては、その署名を与えられた誰によっても(信頼される機関以外)計算的に困難である、という特性を示す。同様に、特定の署名セッションで作られた署名を識別することは、そのセッションのトランスクリプトを与えられた誰もによっても(信頼される機関以外)計算的に困難である。
「トレーサビリティ(厳格な取消)」は、フェア・ブラインド署名方式に組み込まれたトレーシング手順を回避することは、誰もによっても(署名者以外)困難であるという特性を示す。具体的にいうと、信頼される機関によってトレースできない有効な署名、または信頼される機関によって対応するユーザにマッチングすることができない有効な署名を作ることは、誰によっても(署名者以外)計算的に困難である。
今まで、様々なフェア・ブラインド署名方式が提案されてきた(例えば、非特許文献1参照)。しかしながら、提案された方式のほとんどが、非効率的であるか、非セキュアであるか、標準的でない仮定が設けられた場合に限ってセキュアと証明されるかのいずれかである。
効率的なフェア・ブラインド署名方式の1つが、阿部および大久保によって提案されている(非特許文献2参照)。この方式のセキュリティ(すなわち、署名のアンフォージャビリティ)は、離散対数問題に頼っている。この方式によれば多項式セキュリティ(polynomial security)が提供される、と主張しているが、実際には、ポリ対数セキュリティ(poly-logarithmic security)だけを提供する(すなわち、ポリ対数個の署名だけがセキュアに発行され、このポリ対数個数は、セキュリティ・パラメータに関して定義される)。
欧州特許出願公開第0139313号明細書 M.スタッドラー(M. Stadler)他著,「フェア・ブラインド署名(Fair Blind Signatures)」,暗号論の進展(Advances in Cryptology)、ユーロクリプト’95(Eurocrypt '95),コンピュータサイエンスの講義ノートの第921巻(volume 921 of Lecture Notes in Computer Science),ベルリン(Berlin),スプリンガー社(Springer-Verlag),pp209−219 阿部,大久保著,「厳格な取消しを伴う証明可能なセキュア・フェア・ブラインド署名(Provably Secure Fair Blind Signatures with Tight Revocation)」,アジアクリプト’01の予稿集(Proceedings of Asiacrypt'01),コンピュータサイエンスの講義ノートの第2248巻(vol.263 of Lecture Notes in Computer Science),ベルリン(Berlin),スプリンガー社(Springer-Verlag),pp583−601
本発明の目的は、効率的であり、多項式個数の署名をセキュアに発行できるフェア・ブラインド署名方式を提供することである。
上述した課題を解決し、目的を達成するために、本発明は、メッセージに対するフェア・ブラインド・デジタル署名を入手するためにユーザが署名発行フェーズで署名者と対話するフェア・ブラインド署名方式であって、前記署名者が、公開鍵を有し、信頼される機関が、前記デジタル署名の匿名性を取り消すことができるフェア・ブラインド署名方式において、前記ユーザが、以下の式(1)を満足するように第1から第7の項目A、e、s、t、xu、x、およびmからなる7タプルを完成するために前記署名者からデータを入手し、
Figure 2005253083
0、a1、a2、a3、a4、a5、およびnが、前記署名者の公開鍵の要素であり、前記署名者によって生成され、mが、署名される前記メッセージであり、eおよびsが、前記署名者によって一様にランダムに選択されるパラメータであり、tおよびxuが、前記ユーザによって一様にランダムに選択されるパラメータであり、xが、前記ユーによって一様にランダムに選択されるパラメータおよび前記署名者によって一様にランダムに選択されるパラメータに基づいて前記ユーザによって計算される中間値であり、Aが、以下の式(2)に従って計算されるパラメータであり、
Figure 2005253083
2が、以下の式(3)に従って前記ユーザによって計算されるパラメータであり、
Figure 2005253083
 IdUが、前記ユーザを識別するために前記ユーザによって計算されるコードであることを特徴とする。
本発明の好ましい実施形態によるフェア・ブラインド署名プロセスの詳細な説明を提供する前に、フェア・ブラインド署名方式のある基本的な原理および数学的表記について想起していただければ以下の説明がより有効なものとなる。
フェア・ブラインド署名方式(FBSS)は当技術分野で周知なので、その形式的定義を示す必要はないと思われる。しかしながら、それについて関心があるならば、そのような定義について上で示した非特許文献2を参照するとよい。
FBSSに、3タイプの参加者すなわち、メッセージに署名されることを望むユーザUと、ブラインド・デジタル署名を作る署名者(S)と、「判定者」と呼ぶこともできる信頼される機関(TA)とが含まれるものと想定する。本発明のフェア・ブラインド署名方式では、3つの異なる種類のプロトコル、すなわち、ユーザが自分の選んだメッセージの署名を得ることを可能にした、ユーザと署名者の間で行われる署名発行プロトコルと、ユーザがメッセージと共に署名をサブミットすることを可能にした、ユーザと誰かの間で行われる署名サブミッション・プロトコルと、どちらもが署名者Sと信頼される機関TAの間で行われる署名トレーシング・プロトコルおよび/またはセッション・トレーシング・プロトコルがあるトレーシング・プロトコルとが使用される。
本発明の好ましい実施形態で使用されるセッション・トレーシング・プロトコルでは、信頼される機関が、特定のメッセージ/署名対の生成につながった署名セッションを行ったユーザの識別をその対から判定できるようにすることに留意されたい。よって、この好ましいプロトコルは、「ユーザ・トレーシング」プロトコルと呼べる。実際には、ユーザのトレーシングは、特定のメッセージ/署名対の生成をもたらした署名セッションを単純に識別することより有用である(一部の方式では、真のセッション・トレーシング・プロトコルによって識別された署名セッションを行ったユーザを判定するために、大きなデータベースを検索する必要がある)。
以下の説明では、次の数学的表記を使用する。
x∈REは、xが、集合Eから一様にランダムに選択されることを意味する。言い換えると、xは、一様分布に従って集合Eからランダムに選択される。
xが整数である場合に、|x|は、xのバイナリ・サイズ(または長さ)を表す。
集合Idは、0からd−1までの整数の集合を意味する。言い換えると、Idは、集合{0,1,2,...,d−1}に対応する。
整数nについて、Z/(n)は、nを法とする剰余環を表し、Z/(n)*は、Z/(n)の可逆元の乗法群を表す。
集合Z/(n)で一様にランダムに選択される要素αについて(言い換えると、α∈RZ/(n)について)、Z/(n)*でのアルファの次数をord(α)と表す。
Z/(n)*で一様にランダムに選択される要素αによって生成される(言い換えると、α∈RZ/(n)*によって生成されるZ/(n)*の部分群を、<α>と表す。
集合QR(n)は、nを法とするすべての平方剰余の集合を表す。
記号‖は、2つの(バイナリ)ストリング(または、整数要素および群要素の2進表現)の連結を表す。
記号Hは、任意の適当なハッシュ関数を表す。
SK(α:f(α,...))(m)は、メッセージmに対する「知識の署名」を表す。知識の署名SKを提供することによって、証明者は、述部fを定義する式を満足する値αを知っていることを第三者(「検証者」)に実証する。
SK(α,β:f(α,...)∧g(β,...))(M)は、fを定義する式およびgを定義する式を満足する値αおよびβを証明者が知っていることを示す、メッセージMに対する「知識の署名」を表す。
「知識の署名」は、周知のファイアット・シャミア法(Fiat-Shamir heuristic)(A.ファイアット,A.シャミア著,「自己証明法:認証および署名の問題の実用的な解決法(How to Prove Yourself: Practical Solutions to Identification and Signature Problems)」,クリプト’86の予稿集(Proceedings of Crypt '86),コンピュータサイエンスの講義ノートの第263巻(vol.263 of Lecture Notes in Computer Science),pp186−194,ベルリン(Berlin),スプリンガー社(Springer-Verlag),1987年を参照されたい)を使用する知識のゼロ知識証明から導出される署名である。基礎になる知識の証明がセキュアである場合に、それから導出される知識の署名が、ランダム・オラクル・モデル(random oracle model)でセキュアであることを示すことができる。
知識の署名で参照される述部f、gなどの性質に応じて、証明者は、知識のゼロ知識証明を確立するために、検証者に異なる情報を送信する必要がある。後述する基本構成要素1の説明以降において、述部と、関連する述部を満足する値の所有を証明するために証明者が送信できる情報とを示す。
本発明の好ましい実施形態によるフェア・ブラインド署名方式を、図1を参照して以下に説明する。このシステムに、デジタル署名を発行する署名者S、各々のメッセージに対する(フェア・ブラインド)デジタル署名を得ることを求めるユーザU、およびデジタル署名の匿名性を取り消すことが可能な1つまたは複数の信頼される機関TAが含まれることを想定する。
図1は、本発明の好ましい実施形態によるフェア・ブラインド署名方式を実施するのに使用される主要なプロセスおよびプロトコルを示す図である。
図1からわかるように、ある方式パラメータの値が決定される、初期セットアップ・フェーズがある。このセットアップ・フェーズ中に、第1および第2のセキュリティ・パラメータlおよびlpの値が、(システム設計者によって)選択される。その後、署名者Sは、それぞれがセキュリティ・パラメータlpと等しいビット数を有するランダムな秘密の素数p’およびq’を選択する。p’およびq’は、値p=2p’+1およびq=2q’+1の両方が素数になるように選択される。署名者は、秘密鍵(シークレット・キーまたはプラベート・キー)としてPRKs=(p’,q’)を使用する。法nには、値n=pqがセットされ、さらなるパラメータNおよびlnが、以下の式(4)に従って決定される。
Figure 2005253083
署名者Sは、他者に関するランダムな生成元のそれぞれの離散対数が未知になるように、QR(n)のランダムな生成元(a0,a1,a2,a3,a4,a5,g,h)も選択する。
セットアップ・フェーズで、信頼される機関は、y∈RNを選択する(言い換えると、TAは、集合{0,1,...,N−1}で一様にランダムに選択することによって、パラメータyの値を選択する)。このパラメータyは、信頼される機関の秘密鍵になる。次に、TAは、f=gy(mod n)として公開鍵fを計算する。
全体的なフェア・ブラインド署名システムの公開鍵は、PUBK=(n,a0,a1,a2,a3,a4,a5,f,g,h)である。署名者の公開鍵は、全体的なシステムの公開鍵と同一であるが、値fがない、すなわち、(n,a0,a1,a2,a3,a4,a5,g,h)と同一である。
下の表1に、セットアップ・フェーズ中に定義される値を有するパラメータの一部を要約する。
Figure 2005253083
セットアップの後に、本発明のフェア・ブラインド署名システムは、使用の準備ができている、すなわち、署名者が、ユーザのメッセージにデジタル署名する準備ができている。
本発明にとって必須ではないが、ユーザがシステムに登録することが有用で有り得る。これによって、システムが、セッション・トレーシングだけではなくユーザ・トレーシングを実行できるようになる。したがって、本発明の好ましい実施形態のFBSSに、図1で破線のボックスによって示される、登録フェーズが含まれる。
登録フェーズでは、ユーザUが、秘密の値xuRNを選択する(言い換えると、Uは、集合{0,1,...,N−1}で一様にランダムに選択することによって、パラメータxuの値を選択する)。次に、Uは、以下の式(5)に示すように、自分自身を識別するコードIdUを計算する。
Figure 2005253083
ユーザは、自分が底a3のIdUの離散対数を知っていることを信頼される機関に証明する。これは、任意の便利な手順を使用して行うことができる(たとえば、G.ポーパード(G. Poupard),J.ステム(J. Stem)著,「オンフライ認証および署名の生成のセキュリティ分析(Security Analysis of a Practical "on the fly" Authentication and Signature Generation)」,ユーロクリプト’98の予稿集(Proceedings of Eurocrypt'98),コンピュータサイエンスの講義ノートの第1403巻(vol.1403 of Lecture Notes in Computer Science),pp422−436,ベルリン(Berlin),スプリンガー社(Springer-Verlag),1998年、または、M.ジャロウ(M. Girault)著,「合成数ごとの離散対数法に基づいた識別式認証方法(An Identity-based Identification Scheme Based on Discrete Logarithms Modulo a Composite Number)」,ユーロクリプト1990の予稿集(Proceedings of Eurocrypt 1990),コンピュータサイエンスの講義ノートの第473巻(vol.473 of Lecture Notes in Computer Science),pp481−486,ベルリン(Berlin),スプリンガー社(Springer-Verlag)を参照されたい)。信頼される機関は、IdUとユーザによって供給された証明の両方を公開し、したがって、署名発行プロトコル(下記を参照されたい)の実行中にユーザを認証できるようにする。これで登録フェーズが完了する。
図1からわかるように、好ましい実施形態のフェア・ブラインド署名方式には、署名発行プロトコル、署名サブミッション・プロトコル、ならびに署名トレーシング・プロトコルおよび/またはセッション・トレーシング・プロトコル(この場合にはユーザ・トレーシング・プロトコル)を含むトレーシング・プロトコルが含まれる。明らかに、署名発行プロトコルは、メッセージの署名に関してユーザが署名者に連絡するたびに使用され、署名サブミッション・プロトコルは、ユーザが第三者に署名付きメッセージを供給するたびに使用されるが、署名トレーシング・プロトコルおよびセッション・トレーシング・プロトコルは、デジタル署名の匿名性を取り消すことが望まれる(たとえば、オンライン・オークションの成功裡の入札者の詳細を取り出すことが望まれるので)場合に限って呼び出される。これらのプロトコルを、これから順番に検討する。
[署名発行プロトコル]
4つの長さパラメータlr、lm、le、およびlsを、以下の式(6)に示す3つの関係を満足するように定義する。
Figure 2005253083
 ここで、lは、第1セキュリティ・パラメータ、lnは、法nのビット長さ、lNは、セットアップ・フェーズの上の説明で述べたパラメータNのビット長さである。署名されるメッセージmは、ビット長さlmのメッセージである、言い換えると、mは、集合{0,1,...,(2lm−1)}に含まれる整数とすることができる。本発明の好ましい実施形態では、これらの長さパラメータの値を決定するのは、署名者であるが、本発明は、この可能性に制限されない。本発明の他の実施形態では、他の当事者、たとえば信頼される機関が、これらの長さパラメータの値をセットすることができる。
ユーザと署名者によって対話的に実行される署名発行プロトコルは、2パートプロトコルと考えることができる。署名発行プロトコルの第1部分では、ユーザと署名者が、対話し、ユーザは、あるパラメータ・データ(特にx^(xの頭上にハット記号:以下同様に表現する)、A、e、およびs)を署名者から入手する。署名発行プロトコルの第2部分では、ユーザが、署名者から入手したパラメータ・データを利用して、所望のデジタル署名を生成する。
署名発行プロトコルの第1部分では、次のステップが実行される。
ユーザは、集合{0,1,...,N−1}から一様にランダムにパラメータx〜(xの頭上にチルダ文字:以下同様に表現する)およびパラメータr〜を選択する。言い換えるとx〜∈RNかつr〜∈RNである。
ユーザは、パラメータC1および2つの知識の署名U0およびU1を以下の式(7)に従って生成する。
Figure 2005253083
次に、ユーザは、C1、ユーザの識別コードIdU、ならびに2つの知識の署名U0およびU1を署名者に送信する。
署名者は、2つの知識の署名U0およびU1を検証する。次に、知識の署名が成功裡に検証された場合に、署名者は、集合{0,1,...,N−1}で一様にランダムに選択することによってパラメータx^の値をセットする。言い換えると、x^∈RNである。このパラメータが、ユーザに送り返される。
次に、ユーザは、署名者から受信したパラメータx^を使用して、さらなるパラメータx=x〜+x^(mod n)を生成する。
次に、ユーザは、集合{0,1,...,N−1}から一様にランダムにパラメータtおよびパラメータrを選択する。言い換えると、t∈RNかつr∈RNである。
次に、ユーザは、3つのさらなるパラメータC2、E1、およびE2ならびに2つのさらなる知識の署名VおよびWを、以下の式(8)のように計算する。
Figure 2005253083
 として計算する。パラメータE1が、信頼される機関の公開鍵fに従って暗号化されたデータa1 xに対応することに留意されたい。ユーザは、この3つのパラメータおよび2つの知識の署名(C2,E1,E2,V,W)を署名者に送信する。
署名者は、2つの知識の署名VおよびWを検証する。この知識の署名の両用が有効である場合には、署名者は、集合{0,1,...,(I2ls−1)}で一様にランダムに第1パラメータsを選択し、2le-1と2leの間の素数からなる集合で一様にランダムに選択することによって第2パラメータeを選択する。言い換えると、以下の式(9)のようになる。
Figure 2005253083
署名者は、次に、以下の式(10)のように、パラメータAを計算する。
Figure 2005253083
署名者は、A、e、およびsをユーザに送信し、ユーザは、次の式(11)に示す関係が真であることを検証する。
Figure 2005253083
 この後者の2つの検証によって、署名発行プロトコルの第1部分が終わる。
署名発行プロトコルの第2部分では、ユーザが、自分のメッセージmの実際のデジタル署名を生成する。これには、次の要素(この好ましいFBSSに従って、集合{0,1,...,(2lm−1)}の整数であるメッセージmの有効なデジタル署名を構成する)を生成することが含まれる。
− 値Isig
− ElGamal暗号文E=(E3,E4
− 知識の署名P。これは、Uがタプル(A,e,s,t,xu,x)を知っており、
・(P1):Isig=(a1 x mod n)かつx∈IN
・(P2):Ag=a0sigm 2t 4g 5xu 3(mod n)かつxuおよびtがINに属し、sがI2lkに属する
・(P3):Eがaxu 3(mod n)の暗号化である
ことを証明する。
ElGamal暗号文の性質は、当業者に周知であり、本明細書では詳細に説明しない。しかし、望むならば、G.R.ブラックレー(G. R. Blackley),D.チャウム(D. Chaum)著,T.エル ガマル(T. El Gamal)編,「離散対数に基づく公開鍵暗号システムおよび署名方法(A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms)」、クリプト’84の予稿集(Proceedings of Crypt '84),コンピュータサイエンスの講義ノートの第196巻(vol.196, Lecture Notes in Computer Science),p10−18,ベルリン(Berlin),スプリンガー社(Springer-Verlag),1985にさらなる情報がある。
mに対する署名SKは、その知識の証明PKが有効である場合に有効である。ユーザは、知識の複数の異なる署名SKを作ることができるが、メッセージmに対するデジタル署名は、値Isigによって一意に決定され、この値は、ユーザと署名者によって協同で計算される。mに対する2つの署名が、めいめいの異なるIsig値を有する場合に、これらの署名は、異なるものと考えられる。mに対する2つの署名が、Isigの同一の値を有する場合に、これらは、各々の知識の署名SKが異なる場合であっても、同一と考えられる。
本発明の好ましい実施形態によれば、適当な知識の署名SKは、次のように構成することができる。
ユーザが、Isig=a1 x(mod n)を計算する。
ユーザが、3つのパラメータw、w1、およびw2を集合{0,1,...,IN−1}で一様にランダムに選択する。言い換えると、w、w1、w2RNである。
ユーザは、ElGamal暗号文E3およびE4ならびに2つの他のパラメータD1およびD2を以下の式(12)のように計算する。
Figure 2005253083
知識の署名SKは、以下の式(13)として計算される。
Figure 2005253083
上の知識の署名は、うわべは複雑な外見を有するが、上の定義のコロンの右側の11個の述部を満足する値α、β、γ、δ、η、ζ、ι、ε、およびμの値をユーザが知っていることを示す知識の署名になることを、当業者はすぐに諒解するであろう。
当業者は、この分野での共通の一般的な知識から、知識の証明SKから特定のタイプの述部を小計するために、検証者にどのデータを送信しなければならないかをすぐに理解するであろう。実際に、異なるタイプの秘密の知識の所有を証明す知識の署名を生成する方法に関する非常に大量の技術文献が、当技術分野に存在しており、たとえば、J.カメニッシュ(J. Camenisch),M.スタッドラー(M. Stadler)著,「大グループに対して効果的なグループ署名(Efficient Group Signature Schemes for Large Groups)」,暗号論の進展(Advances in Cryptology)、ユーロクリプト’97(Eurocrypt '97),コンピュータサイエンスの講義ノートの第1294巻(volume 1294 of Lecture Notes in Computer Science),ベルリン(Berlin),スプリンガー社(Springer-Verlag),pp410−424,1997年を参照されたい。
しかし、秘密の知識がある特定の形をとる時に、証明者が関連する秘密の知識を所有することを証明するのに適当な知識の署名のいくつかをここで想起することが有用である可能性がある(下記を参照されたい)。これらは、本発明の好ましい実施形態で使用される基本構成要素と考えることができる。
[基本構成要素1(ユーザが底gに関するyの離散対数であるxを知っている)]
ユーザが、底gに関する数yの離散対数x(すなわちy=gx)を知っており、gおよびyの両方が群Gに含まれる場合を検討されたい。
ユーザが、値x(底gに関するyの離散対数)を漏らさずにxを知っていることを証明したい場合に、ユーザは、次のようにそれを行うことができる。まず、ユーザは、集合{0,1,...,Ie(lG+k)−1}からパラメータrを一様にランダムに選択し、c=H(g‖y‖gr‖m)およびs=r−cx(剰余環Zにおいて)に従って2つの証拠パラメータcおよびsの値を決定する。証明者が、離散対数値xを真に知っており、証拠パラメータcおよびsを生成する時に適当な値を使用した場合に、データ対(c,s)は、式c=H(g‖y‖ycs‖m)を満足する。ここで、cおよびsは、それぞれ集合Ik×Ie(lG+k)+1の要素である。
したがって、ユーザが、c=H(g‖y‖ycs‖m)を満足するこのデータ対(c,s)の値を含む知識の署名を生成する場合に、これによって、ユーザが、メッセージm∈{0,1}*に対する底gに関する離散対数yを知っていることが証明される。対応する知識の署名は、SK(α:y=gα)(m)と表すことができる。
[基本構成要素2(ユーザが、底gに関するy1の離散対数であり、かつ、底hに関するy2の離散対数であるxを知っている)]
この例では、ユーザは、y1=gxおよびy2=hxを知っている。ユーザは、次のように、xを漏らさずにこの知識の所有を実証することができる。
まず、ユーザは、集合{0,1,...,Ie(lG+k)−1}からパラメータrを一様にランダムに選択し、c=H(g‖h‖y1‖y2‖gr‖hr‖m)およびs=r−cx(剰余環Zにおいて)に従って2つの証拠パラメータcおよびsの値を決定する。証明者が、離散対数値xを真に知っており、底gに関するy1のこの離散対対数が、hに関するy2の離散対数と同一であり、証明者が、証拠パラメータcおよびsを生成する時にxの適当な値を使用した場合に、データ対(c,s)は、式c=H(g‖h‖y1‖y2‖y1 cs‖y2 cs‖m)を満足し、cおよびsは、集合Ik×Ie(lG+k)+1の要素である。
したがって、ユーザが、c=H(g‖h‖y1‖y2‖y1 cs‖y2 cs‖m)を満足するデータ対(c,s)の値を含む知識の署名を生成する場合に、これによって、ユーザが、メッセージm∈{0,1}*に関して、底gに関するy1の離散対数および底hに関するy2の離散対数の両方を知っていることが証明される。対応する知識の署名を、SK(α,β:y1=g1α∧y2=g2β)(m)と表すことができる。
[基本構成要素3(ユーザが、底gおよび底hに関するyの表現であるx1およびx2を知っている)]
この場合に、ユーザは、y=gx1x2であることを知っている。ユーザは、次のように、x1およびx2を漏らさずに、この知識の所有を実証することができる。
まず、ユーザは、集合{0,1,...,Ie(lG+k)−1}から一様にランダムに2つのパラメータr1およびr2を選択し、c=H(g‖h‖y‖gx1x2‖m)、s1=r1−cx1、およびs2=r2−cx2(剰余環Zにおいて)に従って、3つの証拠パラメータc、s1、およびs2の値を決定する。証明者が、底gおよび底hに関するyの表現を真に知っており、証拠パラメータc、s1、およびs2を生成する時に適当な値を使用した場合に、データ・セット(c,s1,s2)は、式c=H(g‖h‖y‖ycs1s2‖m)を満足し、c、s1、およびs2のそれぞれは、集合Ik×Ie(lG+k)+1×Ie(lG+k)+1の要素である。
したがって、ユーザが、c=H(g‖h‖y‖yCs1s2‖m)を満足するデータ・セット(c,s1,s2)の値を含む知識の署名を生成した場合に、これによって、ユーザが、メッセージm∈{0,1}*の、底gおよび底hに関するyの表現を知っていることが証明される。対応する知識の署名を、SK(α,β:y=gαhβ)(m)と表すことができる。
[基本構成要素4(ユーザが、底gに関するyの離散対数と、この離散対数が特定の区間に含まれることを知っている)]
この場合に、ユーザは、y=gxであることと、xが区間]X−2e(l+k),X+2e(l+k)[に含まれることを知っている。ユーザは、次のように、xを漏らさずにこの知識の所有を実証することができる。
まず、ユーザは、集合{0,1,...,Ie(lG+k)−1}から一様にランダムにパラメータrを選択し、c=H(g‖y‖gr‖m)、s=r−c(x−X)(剰余環Zにおいて)に従って2つの証拠パラメータcおよびsの値を決定する。証明者が、底gに関するyの離散対数と、これが含まれる区間を真に知っており、証拠パラメータcおよびsを生成する時に適当な値を使用した場合に、データ対(c,s)は、式c=H(g‖y‖yCs-cX‖m)を満足し、cおよびsは、それぞれ、集合Ik×Ie(lG+k)+1の要素である。
したがって、ユーザが、c=H(g‖y‖yCs-cX‖m)を満足するデータ対(c,s)の値を含む知識の証明を生成する場合に、これによって、ユーザが、メッセージm∈{0,1}*の、底gに関するyの離散対数とそれが含まれる区間を知っていることが証明される。対応する知識の署名を以下の式(14)のように表すことができる。
Figure 2005253083
[署名サブミッション・プロトコル]
フェア・ブラインド署名システムFBSSに戻ると、本発明の好ましい実施形態によれば、ユーザは、署名されたメッセージの生成を完了したならば、そのメッセージを望み通りに他者にサブミットすることができる。署名されたメッセージが供給されるエンティティ(署名者など)は、このFBSSを使用して生成された特定の署名の有効性について確信することを望む場合がある。したがって、そのエンティティは、署名されたメッセージに関連する知識の署名Pの有効性を検証することを望む場合がある。知識の署名Pは、上で述べたすべての基本構成要素の組合せであり、ユーザ(証明者)と検証者(たとえば署名者)を伴う対話型手順を使用して検証することができる。
[トレーシング・プロトコル]
[署名トレーシング・プロトコル]
所与の署名発行セッションから生じた特定の署名のトレースが望まれる時に、署名者は、その署名発行セッション中に観察された対(E1,E2)を信頼される機関に供給することができ、信頼される機関は、この暗号文を暗号化解除してIsigを判定することができる。したがって、信頼される機関は、署名が問題の署名発行セッションから生じたかどうかを識別することができる。
[セッション・トレーシング・プロトコル]
特定の署名の生成をもたらした署名発行セッションのトレースが望まれる時に、署名者は、有効な署名からの対(E3,E4)を信頼される機関に供給することができ、信頼される機関は、この暗号文を暗号解除して、値Iduを判定することができ、この値Iduによって、この署名を入手したユーザが識別される。
[応用例]
本発明のフェア・ブラインド署名方式は、様々な応用で使用することができる。可能な応用例(本発明がこれらの例に制限されないことを理解されたい)としては、電子オークション、不正な金融取引のトレーシング、本願と同時に出願された、「フェア・ブラインド署名を用いた電子投票プロセス(Electronic Voting Process Using Fair Blind Signatures)」と題する本出願人の同時係属の欧州特許出願に記載のものなどのオンライン投票方法などがある。
本発明は、フェア・ブラインド署名方式の実施に使用できる特定のソフトウェアおよびハードウェアに関して特に制限されない。当業者は、当技術分野での共通の一般的知識から、本発明を実施するのに適当なソフトウェア・ルーチンおよびハードウェアを選択する方法をすぐに理解するであろう。
しかし、本発明を、パーソナル・コンピュータ、ウェブ・サーバ、携帯情報端末、ネットワークPC、適当な備えを有する携帯電話機など、協同して動作する、適当にプログラムされた汎用コンピューティング・デバイスの組を使用して実施できることに留意されたい。その代わりに、この署名方式の一部またはすべてを、特殊目的データ処理装置を使用して実施することができる。一般に、(それぞれの)署名者、(それぞれの)信頼される機関、およびそれぞれのユーザについて、1つのデータ処理/計算デバイスがある。しかし、この署名方式に含まれる様々なエンティティが、集中化デバイスではなく、あるサブルーチンまたはプログラム・モジュールが分散されたユニットで実行される分散コンピューティング・システムを利用できることを理解されたい。
本発明を、特定の好ましい実施形態に関して説明したが、請求項で定義される本発明から逸脱せずに、好ましい実施形態の様々な特徴を変更し、適合させ、かつ/または他の特徴によって置換することができることを、当業者はすぐに理解するであろう。
たとえば、本発明によるFBSSの上で説明した好ましい実施形態には、ユーザ登録フェーズが含まれるが、セッション・ログに基づいてターゲット署名の発行時刻を判定できることで十分と思われる場合には、これを省略することができる。言い換えると、「ユーザ・トレーシング」ではなく「セッション・トレーシング」を実行できることで十分である場合には、ユーザ登録フェーズを省略することができる。
さらに、好ましい実施形態を、上では単一の信頼される機関を使用するFBSSに関して説明したが、その代わりに信頼される機関の組を使用することができ、定足数の信頼される機関が協力する時に限って匿名性を取り消すことができることを、当業者はすぐに諒解するであろう(言い換えると、署名トレーシング・プロトコルおよびセッション・トレーシング・プロトコルが、単一の信頼される機関ではなく信頼される機関の組によって実施される)。複数の信頼される機関がある場合への上で説明したFBSSの拡張は、当業者には単純であり、したがって、本明細書では詳細に説明しない。望まれる場合に、複数の信頼される機関がある場合へのこの技法の拡張の方法の1つに関するガイダンスを、A.シャミア(A. Shamir)著,「秘密共有方法(How to Share a Secret)」,ACM通信の予稿集(Proc. of Communications of the ACM),pp.612−613,1979年を検討すれば得ることができる。
さらに、好ましい実施形態を、署名者として単一のエンティティを使用するFBSSに関して上で説明したが、その代わりにエンティティの組を使用して署名者を構成することができ、有効な署名を生成するためにユーザが必要とするデータが、定足数の署名者を構成するエンティティの協力によって得られることを、当業者はすぐに諒解するであろう。言い換えると、本発明は、閾値フェア・ブラインド署名方式(threshold fair blind signature scheme)として実施することができる。署名者がエンティティの組によって構成される場合への上で説明したFBSSの拡張は、当業者には単純であり、したがって、本明細書では詳細に説明しない。望まれる場合に、この拡張を実行する方法に関するガイダンスが、P−A フォーク(P-A Fouque),J.スタン(J. Stern)著,「標準的な仮定における完全分散スレショルドRSA(Fully distributed threshold RSA under standard assumptions)」,アジアクリプト’01の予稿集(Proc. of Asiacrypt '01),コンピュータサイエンスの講義ノートの第2248巻(vol.2248 of Lecture Notes in Computer Science),ベルリン(Berlin),スプリンガー社(Springer-Verlag),pp310−330にある。
さらに、本発明が、署名方式にかかわる様々なエンティティの間でデータが渡される形に関して特に制限されないことを理解されたい。多くの応用で、このデータ伝送がインターネットを介して行われる可能性が高いが、これは、本発明の必要条件ではない。具体的には、他の通信ネットワーク(LAN、WANなどを含む)を使用することができる。
実施形態によるフェア・ブラインド署名方式を説明するためのブロック図である。

Claims (15)

  1. メッセージに対するフェア・ブラインド・デジタル署名を入手するためにユーザが署名発行フェーズで署名者と対話するフェア・ブラインド署名方式であって、
    前記署名者が、公開鍵を有し、信頼される機関が、前記デジタル署名の匿名性を取り消すことができるフェア・ブラインド署名方式において、
    前記ユーザが、以下の式(1)を満足するように第1から第7の項目A、e、s、t、xu、x、およびmからなる7タプルを完成するために前記署名者からデータを入手し、
    Figure 2005253083
    0、a1、a2、a3、a4、a5、およびnが、前記署名者の公開鍵の要素であり、前記署名者によって生成され、
    mが、署名される前記メッセージであり、
    eおよびsが、前記署名者によって一様にランダムに選択されるパラメータであり、
    tおよびxuが、前記ユーザによって一様にランダムに選択されるパラメータであり、
    xが、前記ユーによって一様にランダムに選択されるパラメータおよび前記署名者によって一様にランダムに選択されるパラメータに基づいて前記ユーザによって計算される中間値であり、
    Aが、以下の式(2)に従って計算されるパラメータであり、
    Figure 2005253083
    2が、以下の式(3)に従って前記ユーザによって計算されるパラメータであり、
    Figure 2005253083
     IdUが、前記ユーザを識別するために前記ユーザによって計算されるコードであることを特徴とする、
    フェア・ブラインド署名方式。
  2. 前記ユーザが前記フェア・ブラインド署名方式に従って署名されたメッセージmを第三者にサブミットする署名サブミット・フェーズを含み、前記署名サブミット・フェーズで、前記ユーザが、前記第三者に、
    少なくとも1つの第1データ要素axu 3を暗号化された形で含む暗号化されたデータE3およびE4と、
    Aに対するコミットメントと、以下の式(4)で定義される知識の署名Pと、
    Figure 2005253083
     をサブミットし、
    sigが、Isig=a1 x(mod n)に従って前記ユーザによって計算されるパラメータであり、
    fが、前記信頼される機関の公開鍵であり、
    gおよびhが、前記署名者の公開鍵のさらなる要素であり、
    1が、D1=Ahw1(mod n)に従って定義されるパラメータであり、w1は、ユーザによって一様にランダムに選択されるパラメータであり、
    2が、D2=gw1w2(mod n)に従って定義されるパラメータであり、w2は、ユーザによって一様にランダムに選択されるパラメータであり、
    eが、le≧lr+2に従って定義される長さパラメータであり、lr=max(lm,lN)であり、lmはメッセージmのビット長さであり、lNはパラメータNのビット長さであり、N=[n/4]であり、
    sが、ls≧ln+lr+l+3に従って定義される長さパラメータであり、lnはnのビット長さであり、lはフェア・ブラインド署名方式によって定義されるセキュリティ・パラメータである
    請求項1に記載のフェア・ブラインド署名方式。
  3. 前記署名発行フェーズ中に、前記ユーザが、前記信頼される機関に既知の鍵に従って暗号化された少なくとも1つの第2データ要素を含む第2の暗号化されたデータを前記署名者に提供し、前記第2のデータ要素が、前記署名されたメッセージの伝送中に開示され、これによって、前記信頼される機関が、署名発行セッションのトランスクリプトから、どのデジタル署名がそこから生じたかを判定することができる、請求項1または2に記載のフェア・ブラインド署名方式。
  4. 前記暗号化されたデータE3およびE4が、前記信頼される機関に既知の鍵に従って暗号化された少なくとも1つの第1データ要素axu 3を含み、前記少なくとも1つの第1データ要素axu 3が、前記署名発行フェーズ中に前記署名者に開示され、これによって、前記信頼される機関が、送信された署名から、前記署名がどの前記署名発行セッションに発行されたかを判定することができる、請求項2に記載のフェア・ブラインド署名方式。
  5. その間に前記ユーザが、前記ユーザを識別するように働くパラメータとして前記少なくとも1つの第1データ要素axu 3を前記信頼される機関に提供するユーザ登録フェーズを含む、請求項4に記載のフェア・ブラインド署名方式。
  6. 前記署名者が、複数のエンティティから構成され、前記ユーザに前記7つの組変数を完成するデータを提供するために、前記エンティティの定足数の協力が必要である、請求項1〜5のいずれか一つに記載のフェア・ブラインド署名方式。
  7. 前記信頼される機関が、複数の信頼される機関によって構成され、前記デジタル署名の前記匿名性の取消を、前記複数の信頼される機関のうちの定足数の協力によって得ることができる、請求項1〜6のいずれか一つに記載のフェア・ブラインド署名方式。
  8. 少なくとも1つのユーザ・コンピューティング・デバイス、署名者コンピューティング・デバイス、および信頼される機関コンピューティング・デバイスを含むコンピューティング・システムで使用される時に、前記コンピューティング・システムに請求項1〜7のいずれか一つに記載のフェア・ブラインド署名方式を実施させる命令の組を有するコンピュータ・プログラム。
  9. 使用中に、メッセージに対するフェア・ブラインド・デジタル署名を入手するためにユーザが署名発行フェーズで署名者と対話するフェア・ブラインド署名方式を実施するように適合された署名システムであって、前記署名者が公開鍵を有し、信頼される機関が、前記デジタル署名の匿名性を取り消すことができ、前記署名システムが、
    少なくとも1つのユーザ装置と、
    署名者装置と、
    信頼される機関装置と
    を含み、前記ユーザ装置またはそのそれぞれが、署名発行プロトコルを実行するために前記署名者装置と協力するように適合され、
    前記信頼される機関装置および前記署名者装置が、少なくとも1つのトレーシング・プロトコルを実行するために協力するように適合された署名システムにおいて、
    前記署名発行プロトコルの実行が、以下の式(5)を満足するように第1から第7の項目A、e、s、t、xu、x、およびmからなる7つの組変数を前記ユーザ装置が完成できるようにする前記署名者装置からのデータを前記ユーザ装置に提供し、
    Figure 2005253083
    0、a1、a2、a3、a4、a5、およびnが、前記署名者の公開鍵であり、前記署名者装置で生成され、
    mが、署名される前記メッセージであり、
    eおよびsが、前記署名者装置で一様にランダムに選択されるパラメータであり、
    tおよびxuが、前記ユーザ装置で一様にランダムに選択されるパラメータであり、
    xが、前記ユーザ装置で一様にランダムに選択されるパラメータおよび前記署名者装置で一様にランダムに選択されるパラメータに基づいて前記ユーザ装置で計算される中間値であり、
    Aが、以下の式(6)に従って計算されるパラメータであり、
    Figure 2005253083
    2が、以下の式(7)に従って前記ユーザ装置で計算されるパラメータであり、
    Figure 2005253083
     IdUが、前記ユーザを識別するために前記ユーザ装置で計算されるコードであることを特徴とする、
    署名システム。
  10. 使用中に、メッセージに対するフェア・ブラインド・デジタル署名を入手するためにユーザが署名発行フェーズで署名者と対話するフェア・ブラインド署名方式に参加するように適合されたユーザ装置であって、前記署名者が公開鍵を有し、信頼される機関が、前記デジタル署名の匿名性を取り消すことができ、前記ユーザ装置が、
    メッセージmを提供するメッセージ提供手段と、
    所定の署名発行プロトコルに従って前記メッセージmの署名に関する要求を署名者装置に発する署名要求手段と
    を含み、
    前記ユーザ装置が、前記署名発行プロトコルを実行するために前記署名者装置と協力するように適合されたユーザ装置において、
    前記署名発行プロトコルの実行が、以下の式(8)を満足するように第1から第7の項目A、e、s、t、xu、x、およびmからなる7つの組変数を前記ユーザ装置が完成できるようにする前記署名者装置からのデータを前記ユーザ装置に提供し、
    Figure 2005253083
    0、a1、a2、a3、a4、a5、およびnが、前記署名者の公開鍵であり、前記署名者装置で生成され、
    mが、署名される前記メッセージであり、
    eおよびsが、前記署名者装置で一様にランダムに選択されるパラメータであり、
    tおよびxuが、前記ユーザ装置で一様にランダムに選択されるパラメータであり、
    xが、前記ユーザ装置で一様にランダムに選択されるパラメータおよび前記署名者装置で一様にランダムに選択されるパラメータに基づいて前記ユーザ装置で計算される中間値であり、
    Aが、以下の式(9)に従って計算されるパラメータであり、
    Figure 2005253083
    2が、に従って前記ユーザ装置で計算されるパラメータであり、
    Figure 2005253083
     IdUが、前記ユーザを識別するために前記ユーザ装置で計算されるコードであることを特徴とする、
    ユーザ装置。
  11. コンピュータ装置で使用される時に、請求項10に記載のユーザ装置を構成するために前記コンピュータ装置を適合させる命令の組を有するコンピュータ・プログラム。
  12. 使用中に、メッセージに対するフェア・ブラインド・デジタル署名を入手するためにユーザが署名発行フェーズで署名者と対話するフェア・ブラインド署名方式に参加するように適合された署名者装置であって、前記署名者が公開鍵を有し、信頼される機関が、前記デジタル署名の匿名性を取り消すことができ、前記署名者装置が、
    ユーザ装置からメッセージmの署名に関する要求を受信する要求受信手段と、
    所定の署名発行プロトコルを実行するために前記ユーザ装置と協力する署名プロトコル実施手段と
    を含む署名者装置において、
    前記署名発行プロトコルの実行が、以下の式(11)をを満足するように第1から第7の項目A、e、s、t、xu、x、およびmからなる7つの組変数を前記ユーザ装置が完成できるようにする前記署名者装置からのデータを前記ユーザ装置に提供し、
    Figure 2005253083
    0、a1、a2、a3、a4、a5、およびnが、前記署名者の公開鍵であり、前記署名者装置で生成され、
    mが、署名される前記メッセージであり、
    eおよびsが、前記署名者装置で一様にランダムに選択されるパラメータであり、
    tおよびxuが、前記ユーザ装置で一様にランダムに選択されるパラメータであり、
    xが、前記ユーザ装置で一様にランダムに選択されるパラメータおよび前記署名者装置で一様にランダムに選択されるパラメータに基づいて前記ユーザ装置で計算される中間値であり、
    Aが、以下の式(12)に従って計算されるパラメータであり、
    Figure 2005253083
    2が、以下の式(13)に従って前記ユーザ装置で計算されるパラメータであり、
    Figure 2005253083
     IdUが、前記ユーザを識別するために前記ユーザ装置で計算されるコードであることを特徴とする
    署名者装置。
  13. コンピュータ装置で使用される時に、請求項12に記載の署名者装置を構成するために前記コンピュータ装置を適合させる命令の組を有するコンピュータ・プログラム。
  14. 使用中に、メッセージに対するフェア・ブラインド・デジタル署名を入手するためにユーザが署名発行フェーズで署名者と対話するフェア・ブラインド署名方式に参加するように適合され、前記署名者が公開鍵を有する信頼される機関装置であって、
    前記信頼される機関装置が、署名発行プロトコルに従って発行されるデジタル署名の匿名性を取り消すように適合され、前記署名発行プロトコルの実行が、以下の式(14)を満足するように第1から第7の項目A、e、s、t、xu、x、およびmからなる7つの組変数を前記ユーザが完成できるようにする前記署名者からのデータを前記ユーザに提供し、
    Figure 2005253083
    0、a1、a2、a3、a4、a5、およびnが、前記署名者の公開鍵であり、前記署名者によって生成され、
    mが、署名される前記メッセージであり、
    eおよびsが、前記署名者によって一様にランダムに選択されるパラメータであり、
    tおよびxuが、前記ユーザによって一様にランダムに選択されるパラメータであり、
    xが、前記ユーザによって一様にランダムに選択されるパラメータおよび前記署名者によって一様にランダムに選択されるパラメータに基づいて前記ユーザによって計算される中間値であり、
    Aが、以下の式(15)に従って計算されるパラメータであり、
    Figure 2005253083
    2が、以下の式(16)に従って前記ユーザによって計算されるパラメータであり、
    Figure 2005253083
     IdUが、前記ユーザを識別するために前記ユーザによって計算されるコードであることを特徴とする
    信頼される機関装置。
  15. コンピュータ装置で使用される時に、請求項14に記載の信頼される機関装置を構成するために前記コンピュータ装置を適合させる命令の組を有するコンピュータ・プログラム。
JP2005058204A 2004-03-02 2005-03-02 新しいフェア・ブラインド署名プロセス Expired - Fee Related JP4932168B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04290558A EP1571778B1 (en) 2004-03-02 2004-03-02 Method and apparatuses for generating fair blind signatures
EP04290558.8 2004-03-02

Publications (3)

Publication Number Publication Date
JP2005253083A true JP2005253083A (ja) 2005-09-15
JP2005253083A5 JP2005253083A5 (ja) 2008-04-10
JP4932168B2 JP4932168B2 (ja) 2012-05-16

Family

ID=34746157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005058204A Expired - Fee Related JP4932168B2 (ja) 2004-03-02 2005-03-02 新しいフェア・ブラインド署名プロセス

Country Status (6)

Country Link
US (1) US7584363B2 (ja)
EP (1) EP1571778B1 (ja)
JP (1) JP4932168B2 (ja)
KR (1) KR100718489B1 (ja)
AT (1) ATE362249T1 (ja)
DE (1) DE602004006373T2 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60318073T2 (de) * 2002-07-29 2008-12-11 International Business Machines Corp. Gruppensignaturschema
US7730319B2 (en) * 2004-08-27 2010-06-01 Ntt Docomo, Inc. Provisional signature schemes
JP2007004461A (ja) * 2005-06-23 2007-01-11 Nec Corp サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム
JP4218760B2 (ja) * 2005-07-01 2009-02-04 インターナショナル・ビジネス・マシーンズ・コーポレーション トレーサビリティ検証システム、方法、プログラム
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US7860244B2 (en) * 2006-12-18 2010-12-28 Sap Ag Secure computation of private values
WO2008113951A2 (fr) * 2007-02-28 2008-09-25 France Telecom Procede d'authentification unique d'un utilisateur aupres de fournisseurs de service
RU2452111C1 (ru) * 2010-11-17 2012-05-27 ЗАО Институт инфокоммуникационных технологий Способ пороговой генерации ключей для системы защиты информации на основе идентификационных данных
US10887088B2 (en) * 2018-03-20 2021-01-05 International Business Machines Corporation Virtualizing a key hierarchy using a partially-oblivious pseudorandom function (P-OPRF)
US10887293B2 (en) 2018-03-20 2021-01-05 International Business Machines Corporation Key identifiers in an obliviousness pseudorandom function (OPRF)-based key management service (KMS)
US10841080B2 (en) * 2018-03-20 2020-11-17 International Business Machines Corporation Oblivious pseudorandom function in a key management system
US11115206B2 (en) 2018-08-23 2021-09-07 International Business Machines Corporation Assymetric structured key recovering using oblivious pseudorandom function
US10924267B2 (en) 2018-08-24 2021-02-16 International Business Machines Corporation Validating keys derived from an oblivious pseudorandom function
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0139313A2 (en) * 1983-08-22 1985-05-02 Security Technology Corporation Blind signature systems

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
US4914698A (en) * 1988-03-16 1990-04-03 David Chaum One-show blind signature systems
US4949380A (en) * 1988-10-20 1990-08-14 David Chaum Returned-value blind signature systems
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
US5832089A (en) * 1995-06-07 1998-11-03 Sandia Corporation Off-line compatible electronic cash method and system
KR19990053065A (ko) * 1997-12-23 1999-07-15 정선종 이산대수 문제에 근거한 디지탈 다중서명 방법
KR100309560B1 (ko) * 1998-11-23 2001-12-17 오길록 네트워크시스템에서의내용은닉서명방법
JP2000235341A (ja) 1999-02-16 2000-08-29 Nippon Telegr & Teleph Corp <Ntt> 公開検証可能依頼復元ブラインド署名方法、その装置およびプログラム記録媒体
JP3331329B2 (ja) 1999-02-23 2002-10-07 日本電信電話株式会社 公開検証可依頼復元ブラインド署名方法、その装置及びプログラム記録媒体
KR100349418B1 (ko) * 1999-08-10 2002-08-19 학교법인 한국정보통신학원 은닉서명의 남용 방지방법
KR100377352B1 (ko) * 2000-06-01 2003-03-26 이임영 은닉성의 제어가 가능한 전자 서명 방법
KR20020003059A (ko) * 2000-07-01 2002-01-10 배민관 정수 또는 다항식 행열을 이용한 공개키 암호시스템
KR100466827B1 (ko) * 2002-06-14 2005-01-17 이임영 키 복구를 지원하는 신원 위탁 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0139313A2 (en) * 1983-08-22 1985-05-02 Security Technology Corporation Blind signature systems

Also Published As

Publication number Publication date
US20050278536A1 (en) 2005-12-15
US7584363B2 (en) 2009-09-01
DE602004006373T2 (de) 2008-01-17
JP4932168B2 (ja) 2012-05-16
EP1571778A1 (en) 2005-09-07
KR100718489B1 (ko) 2007-05-16
KR20060043347A (ko) 2006-05-15
ATE362249T1 (de) 2007-06-15
DE602004006373D1 (de) 2007-06-21
EP1571778B1 (en) 2007-05-09

Similar Documents

Publication Publication Date Title
JP4932168B2 (ja) 新しいフェア・ブラインド署名プロセス
Au et al. Malicious KGC attacks in certificateless cryptography
Camenisch et al. An efficient system for non-transferable anonymous credentials with optional anonymity revocation
Wei et al. SecCloud: Bridging secure storage and computation in cloud
US6202150B1 (en) Auto-escrowable and auto-certifiable cryptosystems
US7730319B2 (en) Provisional signature schemes
US20090222668A1 (en) Group Signature Scheme With Improved Efficiency, in Particular in a Join Procedure
Al-Riyami Cryptographic schemes based on elliptic curve pairings
Camenisch et al. An identity escrow scheme with appointed verifiers
Xin et al. Quantum public-key designated verifier signature
Yang et al. Anonymous signature schemes
Kiayias et al. Concurrent blind signatures without random oracles
US20040221158A1 (en) Digital signature and verification system for conversational messages
Lee et al. Self-certified signatures
Lin et al. An efficient strong designated verifier proxy signature scheme for electronic commerce
CN108964906B (zh) 协同ecc的数字签名方法
Hu et al. Identity-preserving public integrity checking with dynamic groups for cloud storage
AU8656498A (en) Auto-recoverable auto-certifiable cryptosystems
CN116318736A (zh) 一种用于分级管理的二级门限签名方法及装置
JP4791828B2 (ja) グループ署名システム、装置、プログラム及び方法
JP4533636B2 (ja) デジタル署名システム、デジタル署名管理装置、デジタル署名管理方法及びプログラム
Kiyomoto et al. Anonymous attribute authentication scheme using self-blindable certificates
JP3302335B2 (ja) 暗号文検証方法、そのプログラム記録媒体、及びその装置
Tang et al. Delegateable signatures based on non-interactive witness indistinguishable and non-interactive witness hiding proofs
Ng et al. ECDSA-compatible privacy preserving signature with designated verifier

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080222

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110629

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110804

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150224

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees