JP2008219708A - Signature generating device and signature verifying device - Google Patents
Signature generating device and signature verifying device Download PDFInfo
- Publication number
- JP2008219708A JP2008219708A JP2007056931A JP2007056931A JP2008219708A JP 2008219708 A JP2008219708 A JP 2008219708A JP 2007056931 A JP2007056931 A JP 2007056931A JP 2007056931 A JP2007056931 A JP 2007056931A JP 2008219708 A JP2008219708 A JP 2008219708A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- data
- points
- signer
- signature data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Abstract
Description
本発明は、電子的な文書に対して署名を行う署名生成装置及び署名検証装置に関する。 The present invention relates to a signature generation apparatus and signature verification apparatus for signing an electronic document.
電子署名の作成法として様々な方法が考案されている。 Various methods have been devised for creating electronic signatures.
近年、公開鍵とそれに対応する秘密鍵の所有者を結び付ける方法の一つとして、所有者の
ID情報から公開鍵を作成する方法が知られている。これを用いる場合は、通常PKI(
PuBlic Key Infrastructure:公開鍵認証基盤)等で用いられる
公開鍵証明書等は不用になり、より簡易なセキュリティシステムの構築が可能になる、と
いう利点がある。
In recent years, a method of creating a public key from ID information of an owner is known as one of methods for associating a public key with an owner of a private key corresponding to the public key. When this is used, it is usually PKI (
There is an advantage that a public key certificate or the like used in a public key infrastructure (Public Key Infrastructure) is not required, and a simpler security system can be constructed.
ところで、暗号・署名技術においては、楕円曲線のペアリングを用いた方式が多数考案さ
れている。これによって、従来は困難であったID情報に基づく暗号・署名技術が実現さ
れた。例えば署名については、特許文献1、特許文献2、非特許文献1の方法がある。
By the way, in the encryption / signature technology, many methods using elliptic curve pairing have been devised. As a result, encryption / signature technology based on ID information, which has been difficult in the past, has been realized. For example, for the signature, there are methods disclosed in Patent Document 1, Patent Document 2, and Non-Patent Document 1.
一方、ペアリングを用いることによって、従来に比べて、より長さの短い署名データも生
成されるようになった。例えば非特許文献2の方法である。
しかし、本発明の発明者によれば、上記した特許文献1、特許文献2、非特許文献1、非
特許文献2、非特許文献3及び非特許文献4に開示されている技術と比べて、ある楕円曲
線上のペアリングによる公開鍵を用いる署名方法については検討の余地がある。具体的に
は、楕円曲線上のペアリングによる公開鍵を用いる署名生成の方式については、上記各種
文献における署名生成の方式では署名の長さを著しく削減することはできない。署名の長
さができる限り短いことは一般に望まれており、このような署名の長さを短くすることの
できる技術が今後有望視されると判断できる。
However, according to the inventors of the present invention, compared to the techniques disclosed in Patent Document 1, Patent Document 2, Non-Patent Document 1, Non-Patent Document 2, Non-Patent Document 3, and Non-Patent Document 4 described above, There is room for study on a signature method using a public key by pairing on an elliptic curve. Specifically, with respect to a signature generation method using a public key by pairing on an elliptic curve, the signature generation method in the above-mentioned various documents cannot significantly reduce the signature length. It is generally desired that the signature length be as short as possible, and it can be determined that such a technique capable of shortening the signature length is promising in the future.
かかる状況において、本発明の目的は、ペアリングを用いたある種の署名方式について、
署名データの長さをより削減できる署名生成装置及び署名検証装置を提供することである。
In such a situation, the object of the present invention is for a certain signature scheme using pairing:
To provide a signature generation device and a signature verification device that can further reduce the length of signature data.
上記の目的を達成するための第1の発明は、文書データMに対する電子署名データを作成
し、この電子署名データに基づいて署名生成を行う署名装置であって、有限体上の楕円曲
線Eと、そのnねじれ点P,Qと、署名者の秘密鍵dと、公開鍵PpuBを作成する工程
と、秘密鍵dと、文書データMを用いて署名データを生成する工程と、前記文書データM
と、署名データと、署名者の公開鍵PpuBを受け取って、署名を検査する工程を持つ署
名装置において、署名データがnねじれ点R,Sのペアであって、Rが<P>に属する点
で、Sが<Q>に属する点である場合に、署名データとして点R,Sのペアの代わりに点
T=R+Sを生成する工程と、点T からnねじれ点R,Sのペアを生成し、署名検証工程で
このデータと、前記文書データMと、署名データと、センターの公開情報Q,PpuB,Q
puBと、署名者の公開鍵Q_IDを受け取って、署名を検査する工程を持つことを特徴
とする。
A first invention for achieving the above object is a signature device that creates electronic signature data for document data M and generates a signature based on the electronic signature data, and includes an elliptic curve E on a finite field and , The n twist points P and Q, the signer's private key d, the public key PpuB, a signature key using the secret key d and the document data M, and the document data M
The signature data and the signer's public key PpuB are received, and the signature data is a pair of n twist points R and S, and R belongs to <P>. When S is a point belonging to <Q>, a step of generating a point T = R + S instead of a pair of points R and S as signature data, and a pair of n twist points R and S from the point T 1 In the signature verification step, this data, the document data M, the signature data, and the public information Q, PpuB, Q of the center
It has a step of receiving the puB and the signer's public key Q_ID and checking the signature.
なお、第1の発明は、「装置」として表現されているが、これに限らず、「システム」、
「方法」、「プログラム」又は「記憶媒体」等として表現してもよいことは言うまでもな
い。
In addition, although 1st invention is expressed as "apparatus", not only this but "system",
Needless to say, it may be expressed as “method”, “program” or “storage medium”.
本発明によれば、ペアリングを用いたある種の署名方式について、署名データの長さをよ
り削減できる。
According to the present invention, the length of signature data can be further reduced for a certain type of signature method using pairing.
本発明の各実施形態について図面を用いて説明する。 Embodiments of the present invention will be described with reference to the drawings.
初めに本発明で用いるペアリング(ベイユペアリング)について説明する。有限体Fq
上の楕円曲線Eについて、楕円曲線のnねじれ点の成す群E[n]の2点P,Qをとる。ペ
アリングe( , )はE[n]からFq又はその拡大体に含まれる位数nの乗法群への写像で
あり、以下の性質がある。点は全て群E[n]内で考える。
First, pairing (Baille pairing) used in the present invention will be described. Finite field Fq
For the upper elliptic curve E, two points P and Q of a group E [n] formed by n twist points of the elliptic curve are taken. The pairing e (,) is a mapping from E [n] to a multiplicative group of order n included in Fq or its extension field, and has the following properties. All points are considered in the group E [n].
(非退化)
ある点Pが任意の点Qに対して、e(P,Q)=0を満たすとき、P=0である。
(Non-degenerate)
When a certain point P satisfies e (P, Q) = 0 with respect to an arbitrary point Q, P = 0.
(反対称)
任意の点P.Qに対して、e(P,Q)=e(Q,P)^(-1)が成立する。
(Anti-symmetric)
For any point P.Q, e (P, Q) = e (Q, P) ^ (-1) holds.
(双線型)
任意の点P.Qに対して、
e(P+Q,R)=e(P,R)e(Q,R)
e(P,Q+R)=e(P,Q)e(P,R)
が成立する。
(Double line type)
For any point P.Q,
e (P + Q, R) = e (P, R) e (Q, R)
e (P, Q + R) = e (P, Q) e (P, R)
Is established.
以下、この性質を基にした実施形態について説明する。 Hereinafter, an embodiment based on this property will be described.
(第1の実施形態)
以下は暗号・署名生成を同時に行う非特許文献3の方法に適用したものである。
(First embodiment)
The following is applied to the method of Non-Patent Document 3 that simultaneously performs encryption and signature generation.
まず準備として、センター101は、図1に示すように、楕円曲線パラメータと公開情
報である基点G,P,PpuB=sP,Q,QpuB=sQ及び秘密情報sを準備し、I番目の
署名者IDiが用いる署名装置I(I:1,2,・・・,n)に対して、公開鍵Q_ID
i=H1(Q_ID){H1は公開のハッシュ関数、秘密鍵D_IDi=sH1(Q_ID)}を計算
し、秘密鍵D_IDiをI番目の署名者に秘密裏に配布しておく(図1参照)。
First, as shown in FIG. 1, the center 101 prepares elliptic curve parameters, base points G, P, PpuB = sP, Q, QpuB = sQ and secret information s, which are public information, and the I-th signer. Public key Q_ID for signature device I (I: 1, 2,..., N) used by IDi
i = H1 (Q_ID) {H1 is a public hash function, secret key D_IDi = sH1 (Q_ID)}, and secret key D_IDi is secretly distributed to the I-th signer (see FIG. 1).
このとき次の工程で暗号と署名を同時に生成する。 At this time, the encryption and signature are generated simultaneously in the next step.
U=xP、r=H2(U||m)、W=xPpuB、V=rS_IDB+W、y=e(W,Q_IDB)、
k=H3(y)、c=k(+)m
非特許文献2ではcが暗号、(U,V)が署名となっているが、本発明を適用してT=U+V
として、Tを署名とする(図3参照)。
U = xP, r = H2 (U || m), W = xPpuB, V = rS_IDB + W, y = e (W, Q_IDB),
k = H3 (y), c = k (+) m
In Non-Patent Document 2, c is a cipher and (U, V) is a signature. However, by applying the present invention, T = U + V
And T is a signature (see FIG. 3).
復号工程では、復号者Bは、秘密鍵D_IDBを用いて復号する(図4参照)。 In the decryption step, decryptor B decrypts using secret key D_IDB (see FIG. 4).
φをE[n]上定義されたフロベニウス写像、λ1、λ2はφの固有値で、λ1、λ2は異なる
ものとするとき、μ=(φ-λ2)/(λ1-λ2)として、
点T より、V=μT, U=T-Vもしくは、U=μT, V=T-Uとする。
When F is the Frobenius map defined on E [n], λ1 and λ2 are eigenvalues of φ and λ1 and λ2 are different, μ = (φ-λ2) / (λ1-λ2)
From the point T, V = μT and U = T−V or U = μT and V = TU.
このとき次の計算によりmが復号される。 At this time, m is decoded by the following calculation.
y=e(D_IDB,U)、k=H_3(y)、m=k(+)c
署名検証工程では、
まずr=H_2(U||m)を求め、
e(P,V)=e(P_puB,Q_IDa)^r e(Q_puB,U)
であるか、又はこれと等価な関係式が成立するかどうかを検査し、成立する場合は、署名
は正当なものと判断し、成立しない場合は、署名は正しくないと判断する(図4参照)。
y = e (D_IDB, U), k = H_3 (y), m = k (+) c
In the signature verification process,
First, find r = H_2 (U || m)
e (P, V) = e (P_puB, Q_IDa) ^ r e (Q_puB, U)
Or if a relational expression equivalent to this is established, if it is established, it is determined that the signature is valid, and if not, it is determined that the signature is not correct (see FIG. 4). ).
(第2の実施形態)
非特許文献2の方法によって生成された短い署名2つについて、本発明を適用して署名を
1つに結合して署名サイズを短くする。
(Second Embodiment)
For the two short signatures generated by the method of Non-Patent Document 2, the present invention is applied to combine the signatures into one to shorten the signature size.
準備として、次のように鍵生成を行う。 As a preparation, key generation is performed as follows.
まず、楕円曲線Eのパラメータ、基点G、P、Qを利用者間で共有する。この場合は必ず
しもセンターからの配布とする必要はない。
First, the parameters of the elliptic curve E, the base points G, P, and Q are shared among users. In this case, distribution from the center is not necessarily required.
F_qの元x_a,x_Bをランダムに選んでそれぞれA,Bの秘密鍵、E[n]の元Pに対し
て、Y_a=x_aP、Y_B=x_BPをそれぞれA,Bの公開鍵とする(図5参照)。
The elements x_a and x_B of F_q are randomly selected, and Y_a = x_aP and Y_B = x_BP are the public keys of A and B, respectively, for the secret keys A and B and the element P of E [n] (FIG. 5). reference).
署名生成工程では、
Hを<P>に値を取るハッシュ関数とする。
In the signature generation process,
Let H be a hash function that takes a value of <P>.
メッセージM1に対するAの署名はSa=xaH(M1)であり、
メッセージM2に対するBの署名はSB=xBH(M2)となる。
A's signature for message M1 is Sa = xaH (M1),
B's signature for message M2 is SB = xBH (M2).
ψをdistorsion mapと呼ばれるE[n]上の自己同型写像として、ψ(P)=Q
とする。このとき、S=Sa+ψ(SB)をメッセージM1,M2の両方に対する署名とする(
図6の「署名生成」参照)。
Let ψ be an automorphism on E [n] called the distortion map, and ψ (P) = Q
And At this time, S = Sa + ψ (SB) is used as a signature for both the messages M1 and M2 (
(See “Signature generation” in FIG. 6).
署名検証工程では、
M1に対するAの署名の検証は、e(S,Q)=e(H(M1), ψ(Y_a))であるか、又はこれ
と等価な関係式が成立するかどうかを検査し、成立する場合は、署名は正当なものと判断
し、成立しない場合は、署名は正しくないと判断する。
In the signature verification process,
The verification of A's signature for M1 is established by checking whether e (S, Q) = e (H (M1), ψ (Y_a)) or an equivalent relational expression is established. In this case, it is determined that the signature is valid. If the signature is not established, it is determined that the signature is not correct.
M2に対するBの署名の検証は、e(P,S)=e(Y_B, ψ(H(M2)))であるか、又はこれ
と等価な関係式が成立するかどうかを検査し、成立する場合は、署名は正当なものと判断
し、成立しない場合は、署名は正しくないと判断する(図6の「署名検証」参照)。
The verification of B's signature for M2 is accomplished by checking whether e (P, S) = e (Y_B, ψ (H (M2))) or an equivalent relational expression is established. In this case, it is determined that the signature is valid. If the signature is not established, it is determined that the signature is not correct (see “signature verification” in FIG. 6).
(第3の実施形態)
非特許文献4とは異なる次のようなproxy署名(代理署名)を構成できる。
(Third embodiment)
The following proxy signature (proxy signature) different from Non-Patent Document 4 can be configured.
準備として、次のように鍵生成を行う。 As a preparation, key generation is performed as follows.
F_qの元x_a,x_Bをランダムに選んでそれぞれA,Bの秘密鍵、E[n]の元Pに対し
て、Y_a=x_aP、Y_B=x_BPをそれぞれA,Bの公開鍵とする(図5参照)。
The elements x_a and x_B of F_q are randomly selected, and Y_a = x_aP and Y_B = x_BP are the public keys of A and B, respectively, for the secret keys A and B and the element P of E [n] (FIG. 5). reference).
proxy署名鍵生成工程では、
署名者Aは、warent wに対するcertをW=00||Y_B||wに対する署名として
次のようにして生成する。
In the proxy signature key generation process,
The signer A generates a cert for the wrent w as a signature for W = 00 || Y_B || w as follows.
S_w=x_aH(W)
Proxy署名鍵skpは、次のようになる(図7参照)。
S_w = x_aH (W)
The proxy signature key skp is as follows (see FIG. 7).
skp=(x_B,Y_a,Y_B||w,S_w)
proxy署名生成工程では、
このskpを用いて署名者Bは、メッセージmに対するproxy署名PS(skp,m)
をM=01||Ya||mに対する署名として次のようにして生成する(図8の「proxy署
名生成」参照)。
skp = (x_B, Y_a, Y_B || w, S_w)
In the proxy signature generation process,
Using this skp, the signer B uses the proxy signature PS (skp, m) for the message m.
Is generated as a signature for M = 01 || Ya || m as follows (refer to “proxy signature generation” in FIG. 8).
S_skp=xBH(M)+ ψ(S_w)
署名検証工程では、
e(Sskp,Q)=e(H(M), ψ(Y_B))、e(P,Sskp)=e(Y_a, ψ(H(M)))であ
るか、又はこれと等価な関係式が成立するかどうかを検査し、成立する場合は、署名は正
当なものと判断し、成立しない場合は、署名は正しくないと判断する(図8の「prox
y署名検証」参照)。
S_skp = xBH (M) + ψ (S_w)
In the signature verification process,
e (Sskp, Q) = e (H (M), ψ (Y_B)), e (P, Sskp) = e (Y_a, ψ (H (M))), or an equivalent relational expression Is established, if it is established, it is determined that the signature is valid. If it is not established, it is determined that the signature is not correct (“prox” in FIG. 8).
y signature verification ”).
101…センター,1,2,3…署名装置 101 ... Center, 1, 2, 3 ... Signature device
Claims (3)
を行う署名装置であって、
有限体上の楕円曲線Eと、そのnねじれ点P,Qと、署名者の秘密鍵dと、公開鍵Ppu
Bを作成する手段と、
秘密鍵dと、文書データMを用いて署名データを生成する手段と、
前記文書データMと、署名データと、署名者の公開鍵PpuBを用いて、前記署名データ
を検査する手段とを備え、
前記署名データがnねじれ点R,Sのペアであって、Rが<P>に属する点で、Sが<Q
>に属する点である場合に、前記署名データとして点R,Sのペアの代わりに点T=R+
Sを使用することを特徴とする署名生成装置。 A signature device that creates electronic signature data for document data M and generates a signature based on the electronic signature data,
Elliptic curve E on a finite field, its n twist points P and Q, the signer's private key d, and the public key Ppu
Means for creating B;
Means for generating signature data using the secret key d and the document data M;
Means for inspecting the signature data using the document data M, the signature data, and the public key PpuB of the signer;
The signature data is a pair of n twist points R and S, where R belongs to <P>, and S is <Q
>, A point T = R + instead of a pair of points R and S is used as the signature data.
A signature generation apparatus using S.
Tであった場合に、点Tからnねじれ点R,Sのペアを生成し、前記署名データを検証す
る手段で前記文書データMと、署名データと、署名者の公開鍵Qを用いて、前記署名デー
タを検査することを特徴とする請求項1記載の署名検証装置。 The means for examining the signature data generates a pair of n twist points R and S from the point T when the signature data generated for the document data M is the point T, and verifies the signature data 2. The signature verification apparatus according to claim 1, wherein the signature data is inspected by means of the document data M, the signature data, and the public key Q of the signer.
像、λ1、λ2はφの固有値で、λ1、λ2は異なるものとするとき、μ=(φ-λ2)/(λ1-λ2
)として、
S=μT,R=T−SもしくはR=μT,S=T−Rとすることによって点R,Sのペア
を生成することを特徴とする請求項2記載の署名検証装置。 When generating a pair of n torsion points R and S from a point T, φ is a Frobenius map defined on E [n], λ 1 and λ 2 are eigenvalues of φ, and λ 1 and λ 2 are different, μ = (φ-λ2) / (λ1-λ2
)
3. The signature verification apparatus according to claim 2, wherein a pair of points R and S is generated by setting S = μT, R = TS, or R = μT, and S = TR.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007056931A JP2008219708A (en) | 2007-03-07 | 2007-03-07 | Signature generating device and signature verifying device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007056931A JP2008219708A (en) | 2007-03-07 | 2007-03-07 | Signature generating device and signature verifying device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008219708A true JP2008219708A (en) | 2008-09-18 |
Family
ID=39839170
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007056931A Withdrawn JP2008219708A (en) | 2007-03-07 | 2007-03-07 | Signature generating device and signature verifying device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008219708A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010278482A (en) * | 2009-04-30 | 2010-12-09 | Sony Corp | Information processing apparatus, electronic signature generation system, electronic signature key generation method, information processing method, and program |
CN106506156A (en) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | A kind of distributed Threshold Signature method based on elliptic curve |
CN113032844A (en) * | 2021-03-31 | 2021-06-25 | 郑州信大捷安信息技术股份有限公司 | Signature method, signature verification method and signature verification device for elliptic curve |
-
2007
- 2007-03-07 JP JP2007056931A patent/JP2008219708A/en not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010278482A (en) * | 2009-04-30 | 2010-12-09 | Sony Corp | Information processing apparatus, electronic signature generation system, electronic signature key generation method, information processing method, and program |
CN106506156A (en) * | 2016-12-15 | 2017-03-15 | 北京三未信安科技发展有限公司 | A kind of distributed Threshold Signature method based on elliptic curve |
CN113032844A (en) * | 2021-03-31 | 2021-06-25 | 郑州信大捷安信息技术股份有限公司 | Signature method, signature verification method and signature verification device for elliptic curve |
CN113032844B (en) * | 2021-03-31 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | Signature method, signature verification method and signature verification device for elliptic curve |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109257184B (en) | Linkable ring signature method based on anonymous broadcast encryption | |
CN104539423B (en) | A kind of implementation method without CertPubKey cipher system of no Bilinear map computing | |
CN102201920B (en) | Method for constructing certificateless public key cryptography | |
JP4899867B2 (en) | Group signature method | |
US9698984B2 (en) | Re-encrypted data verification program, re-encryption apparatus and re-encryption system | |
US20150326392A1 (en) | Matrix-based cryptosystem | |
US20150019868A1 (en) | Public encryption method based on user id | |
CN107425971B (en) | Certificateless data encryption/decryption method and device and terminal | |
JP2014220661A (en) | Certification device, output device, verification device, input device, certification method, verification method and program | |
CN104767612A (en) | Signcryption method from certificateless environment to public key infrastructure environment | |
JP2015226132A (en) | Signature verification system, communication device, verification device, signature generation method and signature verification method | |
Liu et al. | Short and efficient certificate-based signature | |
He et al. | On the Security of a RSA-based Certificateless Signature Scheme. | |
TWI511517B (en) | Information processing apparatus, information processing method, program and recording medium | |
Kwak et al. | Efficient distributed signcryption scheme as group signcryption | |
KR101533950B1 (en) | Broadcast encryption method and system | |
CN109617700A (en) | Unidirectional multi-hop based on no certificate acts on behalf of weight endorsement method | |
JP2008219708A (en) | Signature generating device and signature verifying device | |
WO2010013699A1 (en) | Signature system | |
CN112733176B (en) | Identification password encryption method based on global hash | |
WO2010013571A2 (en) | Group signature system and method | |
Cui et al. | Formal security treatments for IBE-to-signature transformation: Relations among security notions | |
CN105703903A (en) | Multi-factor anti-fake method based on public key cipher and system | |
JP2009224997A (en) | Signature system, signature method, certifying apparatus, verifying apparatus, certifying method, verifying method, and program | |
Yap et al. | On the security of a lightweight authentication and encryption scheme for mobile ad hoc network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100511 |