JP2010097236A

JP2010097236A - 内在的証明書方式

Info

Publication number: JP2010097236A
Application number: JP2010023602A
Authority: JP
Inventors: Minghua Qu; クゥミンファ; Scott A Vanstone; エイ．ヴァンストーンスコット
Original assignee: Certicom Corp
Current assignee: Certicom Corp
Priority date: 1998-03-23
Filing date: 2010-02-04
Publication date: 2010-04-30
Anticipated expiration: 2019-03-23
Also published as: IL138660A0; DE69918818D1; DE69918818T2; JP2002508529A; JP5702813B2; JP2013102549A; US20090041238A1; US8712042B2; EP1066699B1; US20050114651A1; US20140229730A1; US7653201B2; US20120303950A1; AU2823599A; JP5247740B2; CA2235359C; JP4588874B2; US8705735B2; US20120300924A1; US8270601B2

Abstract

【課題】少なくとも１つの信頼できるエンティティＣＡおよび加入者エンティティＡを有する保護されたディジタル通信システム内で公開鍵を生成する方法を提供する。
【解決手段】各エンティティＡについて、ＣＡがエンティティＡを区別する一意のアイデンティティＩ_Aを選択することと、信頼できる当事者ＣＡのジェネレータをエンティティＡの私的な値と数学的に組み合わせることによって、対（Ｉ_A、γ_A）がＡの内在的証明書として働くように、エンティティＡの公開鍵再構成公開データγ_Aを生成することと、数学関数Ｆ（γ_A、Ｉ_A）に従って内在的証明書情報（Ｉ_A、γ_A）を組み合わせてエンティティ情報ｆを導出することと、エンティティ情報ｆに署名することによってエンティティＡの秘密鍵（ａ）を生成することと、秘密鍵（ａ）をエンティティＡに送信することを含む、方法。
【選択図】図１

Description

（発明の分野）
本発明は、暗号化鍵の転送および認証のための鍵配送方式に関する。

（発明の背景）
Ｄｉｆｆｉｅ−Ｈｅｌｌｍａｎ鍵共有（Diffie-Hellman key agreement）は、暗号システムでの鍵配送問題（Key distribution problem）に対する最初の実用的な解決策をもたらした。この鍵共有プロトコルでは、事前に会ったことも共有（分散）鍵材料（sharedkey material）を有したこともない２つの当事者が、オープンな（保護されない）チャネルを介してメッセージ（文書）を交換することによって、共有される秘密（sharedsecret）を確立することができる。セキュリティは、Ｄｉｆｆｉｅ−Ｈｅｌｌｍａｎ問題の扱い難さと、関連する離散対数の計算問題にかかっている。

インターネットおよび類似物の出現に伴って、公開鍵（Public key；パブリック・キー）および公開鍵証明書（Public key certificate）の大規模な配送の必要が、ますます重要になりつつある。公開鍵証明書は、それによって、検出不能な改ざんの危険性（dangerof undetectable manipulation）なしに、保護されない媒体（unsecured media）を介して公開鍵を格納、配送、または転送することのできる媒介物（vehicle）である。その目的は、一方の当事者の公開鍵を他方の当事者が入手できるようにし、その認証性（authenticity）および有効性（validity）を検証可能に（verfiable）することである。

公開鍵証明書は、データ部分および署名部分からなるデータ構造を有する。データ部分には、最低限として公開鍵およびそれに関連する当事者を識別する文字列を含む平文データが含まれる。署名部分は、データ部分に対する認証機関（certification authority、ＣＡ）のディジタル署名からなり、これによって、エンティティのアイデンティティ（identity;個人情報）が、指定された公開鍵と結びつけられる。ＣＡは信頼できる第三者であり、証明書のＣＡの署名は対象のエンティティに結びつけられた公開鍵の認証性（Authenticity）を保証する。

アイデンティティに基づくシステム（ＩＤに基づくシステム）は、通常の公開鍵システムに類似し、秘密変換（private transformation）と公開変換(public transformation)を用いるが、当事者は、以前のように明示的な公開鍵を有しない。その代わりに、公開鍵は、効果的に、一般に入手可能な当事者のアイデンティティ情報（たとえば氏名またはネットワーク・アドレス）に置換される。当事者を一意に識別し、その当事者に否定不能な形で（undeniably）関連付けることができる、一般に入手可能な情報であれば、どのような情報でもアイデンティティ情報として使用可能である。

公開鍵配送の代替手法では、内在的に証明される公開鍵（Implicitly certified public keys）が使用される。この場合、明示的なユーザー公開鍵が存在するが、その鍵は、証明書に基づくシステムのように公開鍵証明書（public-keycertificate）によって運ばれるのではなく、再構成（reconstruct）されなければならない。したがって、内在的に証明される公開鍵は、公開鍵（たとえばＤｉｆｆｉｅ−Ｈｅｌｌｍａｎ鍵）を配送するための代替手段として使用することができる。

内在的に証明される公開鍵機能の１例が、Ｇｕｎｔｈｅｒの内在的に証明される（ＩＤに基づく）公開鍵方法である。この方法では、
１．信頼できるサーバＴ（trusted server）が、適当な固定された公開の素数ｐ、およびＺ_p ^*のジェネレータαを選択する。Ｔは、１≦ｔ≦ｐ−２かつｇｃｄ（ｔ，ｐ−１）＝１であるランダムな整数ｔをその秘密鍵（privatekey）として選択し、公開鍵ｕ＝α^t ｍｏｄｐをαおよびｐと共に公開する。

２．Ｔは、各当事者Ａに、一意の名前または識別する文字列Ｉ_Aおよび、ｇｃｄ（ｋ_A、ｐ−１）＝１であるランダムな整数ｋ_A、を割り当てる。Ｔは、その後、

を計算する。Ｐ_Aは、Ａの鍵再構成公開データであり、これを用いて、他の当事者が、以下で示すように（Ｐ_A）^aを計算することができるようになる。

３．適当なハッシュ関数ｈを使用して、Ｔは、ａについて下の式を解く。
Ｈ（Ｉ_A）≡ｔ．Ｐ_A＋ｋ_Aａ（ｍｏｄｐ−１）
４．Ｔは、Ｉ_Aに対するＴのＥｌＧａｍａｌ署名である対（ｒ，ｓ）＝（Ｐ_A，ａ）を、保護された形でＡに送信する（ａは、Ｄｉｆｆｉｅ−Ｈｅｌｌｍａｎ鍵共有のためのＡの秘密鍵である）。

５．他の当事者は、次式を計算することによって、一般に入手可能な情報（α、Ｉ_A、ｕ、Ｐ_A、ｐ）だけから、ＡのＤｉｆｆｉｅ−Ｈｅｌｌｍａｎ公開鍵Ｐ_A ^αを再構成することができる。

したがって、離散対数問題の場合、証明書への署名は１回の累乗（exponentiation）演算を必要とするが、ＩＤに基づく内在的に証明される公開鍵の再構成は、２回の累乗が必要である。群（group）Ｚ_p ^*での累乗およびＥ（Ｆｑ）内の点のアナログ・スカラ乗算は、計算量的に強烈（computationallyintensive）であることが既知である。たとえば、ＲＳＡ方式は、楕円曲線システムと比較して極端に低速である。しかし、ＲＳＡタイプのシステムに対するＥＣシステムの明確な効率にもかかわらず、これは、特に「スマート・カード」、ポケット・ベル、および類似物などの限られた計算能力を有するコンピューティング装置にとって、まだ問題である。

（発明の概要）
本発明は、既存の方式に対して改良された計算速度をもたらす、効率的なＩＤに基づく内在的証明書方式の提供を試みる。便宜上、本明細書ではＺ_pに対する方式を説明するが、これらの方式は、楕円曲線暗号システムでも同等に実施可能である。

本発明によれば、少なくとも１つの信頼できるエンティティＣＡおよび加入者エンティティＡを有する保護されたディジタル通信システム内でアイデンティティに基づく公開鍵を生成する方法であって、
（ａ）各エンティティＡについて、ＣＡが、エンティティＡを区別する一意のアイデンティティＩ_Aを選択するステップと、
（ｂ）信頼できる当事者ＣＡのジェネレータをエンティティＡの私的な値（private value）と数学的に組み合わせ、対（Ｉ_A、γ_A）がＡの内在的証明書として働くようにすることによって、エンティティＡの公開鍵再構成公開データγ_Aを生成するステップと、
（ｃ）エンティティ情報ｆを導出するために、数学関数Ｆ（γ_A、Ｉ_A）に従って内在的証明書情報（Ｉ_A、γ_A）を組み合わせるステップと、
（ｄ）エンティティ情報ｆに署名することによってエンティティＡの秘密鍵を生成するステップと、
秘密鍵をエンティティＡに送信するステップとを含み、
これによって、エンティティＡの公開鍵を、公開情報、ジェネレータγ_A、およびアイデンティティＩ_Aから比較的効率的に再構成できるようにする方法が提供される。

本発明のもう１つの態様によれば、異なるビット強度（bit strengths）を有する複数の公開鍵を含み、公開鍵の１つが内在的に証明される公開鍵になることを特徴とする、公開鍵証明書が提供される。
例えば、本発明は以下を提供する。
（項目１）少なくとも１つの信頼できるエンティティＣＡおよび加入者エンティティＡを有する保護されたディジタル通信システムで公開鍵を生成する方法であって、
（ａ）各エンティティＡについて、前記ＣＡが、前記エンティティＡを区別する一意のアイデンティティＩ _A を選択するステップと、
（ｂ）前記信頼できる当事者ＣＡのジェネレータを前記エンティティＡの私的な値（private value）と数学的に組み合わせてエンティティＡの公開鍵再構成公開データγ _A を生成するステップであって、前記対（Ｉ _A 、γ _A ）がＡの内在的証明書（implicitcertificate）として働くように前記γ _A を生成するステップと、
（ｃ）数学関数Ｆ（γ _A 、Ｉ _A ）に従って前記内在的証明書情報（Ｉ _A 、γ _A ）を組み合わせてエンティティ情報ｆを導出するステップと、
（ｄ）前記エンティティ情報ｆに署名することによって前記エンティティＡの秘密鍵（private key）を生成するステップと
前記秘密鍵を前記エンティティＡに送信するステップとを備え、
これによって、前記エンティティＡの公開鍵は、前記公開情報、前記ジェネレータγ _A 、および前記アイデンティティＩ _A から比較的効率的に再構成されることできることを特徴とする公開鍵の生成する方法。
（項目２）ディジタル通信システムにおける公開鍵証明書を生成する方法であって、
（ａ）公開鍵暗号アルゴリズムに従って、公開鍵証明書を生成するステップと、
（ｂ）複数の公開鍵であって、前記公開鍵の少なくとも１つが、内在的に署名される公開鍵（implicitly signed public key）である前記複数の公開鍵を公開鍵証明書内に埋め込むステップと、
（ｃ）前記証明書を公開するステップと
を含むとを特徴とする公開鍵証明書の生成方法。
（項目３）信頼できるエンティティＣＡによって加入者エンティティＡの公開鍵証明書を生成する方法であって、
ａ）前記加入者エンティティＡの一意のアイデンティティ情報Ｉ _A を選択するステップと、
ｂ）前記加入者エンティティＡの私的な値ｃ _A を生成するステップと、
ｃ）前記私的な値（private value）ｃ _A から前記エンティティＡの公開値γ _A を生成するステップと、
ｄ）値ｆを生成するために、暗号関数内で前記公開値γ _A および前記アイデンティティ情報Ｉ _A を使用するステップと、
ｅ）署名ａを作るために前記値ｆに署名するステップと、
ｆ）前記署名ａ、公開値γ _A 、および前記アイデンティティ情報Ｉ _A を前記加入者エンティティに送信するステップと
を含むとを特徴とする公開鍵証明書の生成方法。

本発明の実施形態に従って構成された第１のシステムの概略図である。本発明の実施形態に従って構成された第２のシステムの概略図である。

（好ましい実施形態の詳細な説明）
図１を参照すると、内在的に証明される公開鍵（Implicitly certified public key）を有するシステムが、全般的に符号１０によって示されている。このシステム１０には、信頼できる第三者のＣＡおよび、少なくとも第１通信者Ａおよび第２通信者Ｂの対が含まれる。通信者ＡおよびＢは、通信チャネルを介して情報を交換し、通信者ＡおよびＢのそれぞれには、認定／検証（finding/verification）および暗号化／非暗号化（解読）（encryption/decryption）を実行する暗号装置（cryptographicunit）が含まれる。

図１を参照すると、信頼できる当事者ＣＡは、大きい素数ｑについてｐ＝ｔｑ＋１である適当な素数ｐと、オーダー（order）ｑのジェネレータαを選択する。ＣＡは、その秘密鍵として１≦ｃ≦ｑ−１のランダムな整数ｃを選択し、公開鍵β＝α^cを計算し、（β、α、ｐ、ｑ）を公開する。

方式１：
１．各当事者Ａについて、ＣＡは、一意の区別される名前またはアイデンティティＩ_A（たとえば、氏名、住所、電話番号）および、１≦ｃ_A≦ｑ−１のランダムな整数ｃ_Aを選択する。次に、ＣＡは、

を計算する（γ_Aは、当事者Ａの公開鍵再構成公開データである。対（Ｉ_A、γ_A）は、Ａの内在的証明書として働く）。

２．ＣＡは、関数ｆ＝Ｆ（Ｉ_A、γ_A）を選択する。たとえば、Ｆ（γ_A、Ｉ_A）＝γ_A＋ｈ（Ｉ_A）またはＦ（γ_A、Ｉ_A）＝ｈ（γ_A＋Ｉ_A）である。ここで、ｈは、安全なハッシュ関数であり、当事者Ａの秘密鍵であるａについて次式を解く。ａ＝０の場合には、ＣＡは、別のｃ_Aを選択し、もう一度次式を解く。
１＝ｃｆ＋ｃ_Aａ（ｍｏｄｑ）
３．ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信する。この３つ組は、Ｉ_Aに対するＣＡの署名である。ここで、
αは、Ａの秘密鍵であり、
γ_Aは、Ａのジェネレータであり、

は、Ａの公開鍵である。
Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算し、したがって公開鍵を導出することによって、公開ドメインから当事者Ａの（ＩＤに基づく）内在的に検証可能な公開鍵を得ることができる。
γ_A ^a＝αβ^-f（ｍｏｄｐ）
このように上述の式から公開鍵を引き出すことは、ただ１つの累乗演算（exponentiation operation）を必要とする。

誰でも公開データから当事者Ａの公開鍵を再構成することができるが、これは、再構成された公開鍵γ_A ^aが証明されたことを意味しない。この方式は、当事者Ａが対応する秘密鍵の完全な知識を有することを示すアプリケーション・プロトコルと組み合わされたときに、より効果的になる。たとえば、ＭＱＶ鍵共有方式またはなんらかの署名方式、特にＫＣＤＳＡ（Korean Certificate based Digital Signature Algorithm）と組み合わされたときである。一般に、この内在的証明書方式は、証明書を検証することを必要とするどの方式とも、共に使用することができる。これは、ＤＳＡ（DigitalSignature Algorithm）署名方式に言及することによって実証することができる。

アリスが、公開鍵α、ジェネレータγ_Aを有し、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開すると仮定する。次に、アリスは、ＤＳＡを使用してメッセージＭに署名しようとする。
アリスは、下記を実行する。
１．ランダムにｋを選択し、ｒ＝γ_A ^k（ｍｏｄｐ）を計算する。
２．ｅ＝ｓｈａ−１（Ｍ）を計算する。
３．ｓ＝ｋ^-1（ｅ＋ａｒ）（ｍｏｄｐ）を計算する。
４．Ｍに対する署名は、（ｒ、ｓ）になる。

検証者は、下記を実行する。
１．アリスの公開データ（α、Ｉ_A、β、γ_A、ｐ、ｑ）を取得し、公開鍵を再構成する。
δ_A＝γ_A ^a＝αβ^-1（ｍｏｄｐ）
２．ｅ＝ｓｈａ−１（Ｍ）を計算する。
３．ｕ₁＝ｅｓ^-1（ｍｏｄｑ）およびｕ₂＝ｒｓ^-1（ｍｏｄｑ）を計算する。
４．

を計算する。
５．ｒ＝ｒ’の場合には、署名が検証される。それと同時に、アリスの（ＩＤに基づく）公開鍵が、内在的に検証される。

対（Ｉ_A、γ_A）は、アリスの証明書として働く。公開鍵の再構成は、アプリケーション・プロトコルが有効な検証をもたらすときに、内在的検証として働く。公開鍵を取得するために、１回の累乗演算だけが必要であることを想起されたい。

代替実施形態では、署名方程式を適当に変更することによって、この方式をほとんどのＥｌＧａｍａｌ署名方式に一般化することができる。以下の節で、いくつかの例を示す。

方式２：
ＣＡは、署名方程式ｌ＝ｃａ＋ｃ_Aｆ（ｍｏｄｑ）を使用する。ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信し、その後、ａがＡの秘密鍵、βがＡのジェネレータ、β^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
β^a＝αγ_A ^-f（ｍｏｄｐ）
この方式では、各ユーザーが、同一のジェネレータβを有し、このβは、ＣＡの公開鍵である。

方式３：
ＣＡは、署名方程式ａ＝ｃｆ＋ｃ_A（ｍｏｄｑ）を使用する。ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信し、その後、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
この方式では、ＣＡを含む各ユーザーが、同一のジェネレータαを有する。

方式４：
ＣＡは、署名方程式ａ≡ｃ_Aｆ＋ｃ（ｍｏｄｑ）を使用する。ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信し、その後、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝γ_A ^fβ（ｍｏｄｐ）
この方式では、ＣＡを含む各ユーザーが、同一のジェネレータαを有する。

上の方式では、ユーザーまたは当事者Ａは、それ自体の秘密鍵を選択する権利を有しない。図２に示された以下の方式は、ＣＡおよびユーザーの両方が、ユーザーの秘密鍵を制御するが、ユーザーだけがその秘密鍵を知っている。

方式５’：
Ａは、まず、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。ＣＡは、

を計算し、ｋ_Aについて以下の署名方程式を解く。
１＝ｃｆ＋ｃ_Aｋ_A（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。Ａは、ａ＝ｋ_Aｋ^-1（ｍｏｄｑ）およびγ_A＝（γ_A ¹）^k（ｍｏｄｐ）を計算する。その後、ａがＡの秘密鍵、γ_AがＡのジェネレータ、γ_A ^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
γ_A ^a＝αβ^-f（ｍｏｄｐ）
方式６：
１．Ａは、まず、整数ｋをランダムに選択し、β^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
１＝ｃｋ_A＋ｃ_Aｆ（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
注：（γ_A ¹、ｋ_A、Ｉ_A）は、公開チャネルによって送信することができる。
３．Ａは、

、ｆ＝Ｆ（γ_A、Ｉ_A）、およびａ＝ｋ_A−ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、β^a＝αγ_A ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、βがＡのジェネレータ、β^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。

β^a＝αγ_A ^-f（ｍｏｄｐ）
方式７：
Ａは、まず、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。ここでＣＡは、

を計算し、ｋ_Aについて署名方程式を解く。
ｋ_A≡ｃｆ＋ｃ_A（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。Ａは、

を計算する。その後、ａ＝ｋ_A＋ｋ（ｍｏｄｑ）がＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
方式８：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A）を計算し、ｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃ_Aｆ＋ｃ（ｍｏｄｑ）
その後、ＣＡは、

、ｆ＝Ｆ（γ_A、Ｉ_A）およびａ＝ｋ_A＋ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、α^a＝γ_A ^fβであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝γ_A ^fβ（ｍｏｄｐ）
上の方式５〜８では、ｋ_Aが公開チャネルによって送信されるので、誰もが、ユーザーＡの秘密鍵αの部分的な情報を得ることができる。この情報を隠し、上の方式の計算を高速化するために、ＤＥＳ暗号化を導入して、方式５〜８を変更することによって、以下の方式９〜１２を得た。方式９〜１２の長所は、βが固定されているので、ユーザーが簡単にＫを計算できることである。

方式９：
１．Ａは、まず、整数ｋをランダムに選択し、α_kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、β、Ｉ_A）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
１＝ｃｆ＋ｃ_Aｋ_A（ｍｏｄｑ）
次に、ＣＡは、Ｋ＝（ａ^k）^c（ｍｏｄｐ）および

を計算し、３つ組

をＡに送信する。
３．Ａは、Ｋ＝β^k（ｍｏｄｐ）、

、およびａ＝ｋ_Aｋ^-1（ｍｏｄｑ）を計算する（ａ＝１の場合には、ステップ１に戻る）。その後、γ_A ^a＝αβ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、γ_AがＡのジェネレータ、γ_A ^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
γ_A ^a＝αβ^-f（ｍｏｄｐ）
方式１０：
１．Ａは、まず、整数ｋをランダムに選択し、β^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、β、Ｉ_A）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
１＝ｃｋ_A＋ｃ_Aｆ（ｍｏｄｑ）
次に、ＣＡは、

を計算し、３つ組

をＡに送信する。
注：

は、公開チャネルによって送信することができる。
３．Ａは、

を計算し、ａ＝ｋ_A−ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、β^a＝αγ_A ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、βがＡのジェネレータ、β^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
β^a＝αγ_A ^-f（ｍｏｄｐ）
方式１１：
１．Ａは、まず、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、β、Ｉ_A）を計算し、ｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A＝ｃｆ＋ｃ_A（ｍｏｄｑ）
次に、ＣＡは、Ｋ＝（α^k）^c（ｍｏｄｐ）および

を計算し、３つ組

をＡに送信する。
注：

は、公開チャネルによって送信することができる。
３．Ａは、Ｋ＝β^k（ｍｏｄｐ）、

、およびａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、α^a＝β^fγ_Aであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、α^a＝γ_A ^f（ｍｏｄｐ）を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。

方式１２：
１．Ａは、まず、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、β、Ｉ_A）を計算し、ｋ_A（ｋ_A＝０の場合には、別のｃ_Aを選択する）ｋ_A＝ｃ_Aｆ＋ｃ（ｍｏｄｑ）を計算する。
次に、ＣＡは、Ｋ＝（α^k）^c（ｍｏｄｐ）および

を計算し、３つ組

をＡに送信する。
注：

、ｆ＝Ｆ（γ_A、β、Ｉ_A）、およびａ＝ｋ_A＋ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、α^a＝γ_A ^fβであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝γ_A ^fβ（ｍｏｄｐ）
方式９〜１２の長所は、βが固定されているのでユーザーＡがＫを簡単に計算できることと、ｋ_Aが暗号化され、他人がそれを知ることができなくなっていることである。

方式５〜１２の場合、関数Ｆ（γ_A、β、Ｉ_A）にオプション・パラメータＯＰを追加すること（すなわち、ｆ＝Ｆ（γ_A、β、Ｉ_A、ＯＰ）によって、これらの方式がより役立つものになる。たとえば、

である。ここでａ_Eは、ユーザーＡの秘密暗号化鍵であり、

は、Ａの公開暗号化鍵である。下の方式１５は、方式７の変形形態である。方式５〜１２を、同一の形で変更することができる。方式１〜４も、同一の形で変更することができる。

方式１３：
１．Ａは、まず、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃｆ＋ｃ_A（ｍｏｄｑ）
次に、ＣＡは、Ｋ＝Ｈ（（α^k）^c）および

を計算し、３つ組

をＡに送信する。
３．Ａは、Ｋ＝Ｈ（β^k）、

、およびａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、γ_A＝α^aβ^-f（ｍｏｄｐ）を計算し、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）であるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
さらに、方式１４に従うことによって、帯域幅（bandwidth）を減らすことができる。

方式１４：
１．Ａは、まず、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

を計算し、

をγ_Aの最初の８０個の最下位ビットとしてセットする。その後、

およびｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃｆ＋ｃ_A（ｍｏｄｑ）
次に、ＣＡは、Ｋ＝（α^k）^c（ｍｏｄｐ）および

を計算し、３つ組

をＡに送信する。
注：

、およびａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、

、γ_A＝α^aβ^-f（ｍｏｄｐ）を計算し、γ_Aの最初の８０個の最下位ビットが

であるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
方式５．ｃのセキュリティ・レベルは、前に述べた他の方式ほどではない。方式５．ｃは、８０ビットのセキュリティだけを有する。しかし、現在の実用的なアプリケーションにはこれでよい。最初の８０個の最下位ビットを、γ_Aの半分の下位ビットに拡張することができる。

内在的証明書は、情報にオプション・パラメータＯＰを含めることによって、他の有用な情報を証明するのに使用することができる。たとえば、

である。ここで、ａ_Eは、Ａのもう１つの秘密鍵であり、

は、対応する公開鍵である。下の方式１５は、方式７の変形形態である。他の方式も、同一の形で変更することができる。

方式１５：
１．整数ａ_Eをランダムに選択し、

を計算する。
２．Ａは、整数ｋをランダムに選択し、α^kを計算し、α^kおよび

をＣＡに送信する。
３．ＣＡは、整数ｃ_Aをランダムに選択し、

および

（たとえば

）を計算し、ｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A＝ｃｆ＋ｃ_A（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
注：（γ_A ¹、ｋ_A、Ｉ_A）は、公開チャネルによって送信することができる。
４．Ａは、ａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算し（ａ＝０、１の場合には、ステップ１に戻る）、

を計算する。その後、α^a＝β^fγ_Aであるかどうかを検査する。ここで、ａがＡの秘密署名鍵であり、αがＡのジェネレータ、α^aがＡの公開署名鍵であり、ａ_EがＡの秘密暗号化鍵、

がＡの公開暗号化鍵である。Ａは、公開ドメインで

を公開する。
５．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
注：（方式１３〜１５について）
１．アイデンティティＩ_Aは、ＣＡまたはエンティティＡのいずれかによって選択することができる。
２．ＣＡは、エンティティＡを認証しなければならない。これは、方式１１の注２に記載の方法によって行うことができる。
３．

または

または（γ_A ¹、ｋ_A、Ｉ_A）を、公開チャネルによって送信することができる。
本発明の方式では、（α、γ_A）は、ＡのＩＤ、Ｉ_Aに対するＣＡの署名であり、これは公衆によって知られると思われた。しかし、現在は、ユーザーＡだけがａを知る。したがって、本発明の方式を使用するときには、アプリケーション・プロトコルで、ユーザーＡが自分自身の秘密鍵を知るようにしなければならない。言い換えると、アプリケーション・プロトコルは、Ａが計算に自分の秘密鍵を使用することを保証しなければならない。

新方式のセキュリティは、署名方程式に依存する。たとえば、方式１では、署名方程式は次式である。
１＝ｃｆ＋ｃ_Aａ（ｍｏｄｑ）（１）
以下で、１方向関数Ｆ（γ_A、Ｉ_A）の選択について、新しい方式１がＤＳＡと同等であることを示す。

ＣＡが、ＡのアイデンティティＩ_Aに署名するのにＤＳＡ署名方程式を使用すると仮定する。まず、ＣＡは、ｃ_Aをランダムに選択し、

を計算し、次に、ＣＡは、安全なハッシュ関数ｈを使用してｈ（Ｉ_A）を計算し、最後に、ＣＡは、ｓについて次式を解く。
ｈ（Ｉ_A）≡ｃγ_A＋ｃ_Aｓ（ｍｏｄｑ）（２）
ここで、（γ_A、ｓ）は、Ｉ_Aに対するＣＡの署名である。
式（２）にｈ（Ｉ_A）^-1を乗ずることによって、次式が得られる。
１≡ｃγ_Aｈ（Ｉ_A）^-1＋ｃ_Aｓｈ（Ｉ_A）^-1（ｍｏｄｑ）
Ｆ（γ_A、Ｉ_A）＝γ_Aｈ（Ｉ_A）^-1であると仮定し、上の式のｓｈ（Ｉ_A）^-1をａで置換することによって、式（１）が得られる。明らかに、式（２）は、Ｆ（γ_A、Ｉ_A）＝γ_Aｈ（Ｉ_A）^-1の場合に、式（１）と同等である。これは、誰かが署名方程式（１）を使用してこの方式を破ることができる場合に、その人物が、ＤＳＡ方式である署名方程式（２）を使用してこの方式を破ることができることを意味する。

ヒューリスティックな（heuristic）議論から、Ｆ（γ_A、Ｉ_A）＝γ_Aｈ（Ｉ_A）またはＦ（γ_A、Ｉ_A）＝ｈ（γ_A、Ｉ_A）である場合に、本発明の新方式が、Ｆ（γ_A、Ｉ_A）の適当な選択について安全であることが暗示される。Ｆ（γ_A、Ｉ_A）は、なんらかの他の形にすることができ、たとえば、Ｉ_Aが小さく、たとえば２０ビットであるが、ｑが１８０ビットを超えるときに、Ｆ（γ_A、Ｉ_A）＝γ_A＋Ｉ_Aを使用することができる。新方式の短所は、すべてのユーザーおよびＣＡが同一のフィールド・サイズを使用することである。しかし、これは、たとえばＧｉｒａｕｌｔのＲＳＡに基づくＤｉｆｆｉｅ−Ｈｅｌｌｍａｎ公開鍵共有方式など、すべてのＩＤに基づく内在的に証明される公開鍵方式が動作する方法である。

もう１組の方式も、次のように説明することができる。

システム・セットアップ：信頼できる当事者ＣＡは、大きい素数ｑについてｐ＝ｔｑ＋１である適当な素数ｐと、オーダー（位数）ｑのジェネレータαを選択する。ＣＡは、その秘密鍵として１＜ｃ＜ｑ−１のランダムな整数ｃを選択し、公開鍵β＝α^c ｍｏｄｐを計算し、（β、α、ｐ、ｑ）を公開する。その後、ＣＡは、特殊な暗号関数ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）（ｆ：｛０、１｝^*→｛１、２、…、（ｑ−１）｝）を選択し、この関数を用いて、内在的証明書を作るのに使用される署名方式が安全になるようにする。ここで、ＯＰは、ユーザーが関係することのできるなんらかのオプション・パラメータ（日付、またはＣＡの公開鍵β）を表す。たとえば、ｈが安全なハッシュ関数であるものとすると、ｆは、以下の形式のいずれかにすることができる。
１．Ｆ（γ_A、Ｉ_A、ＯＰ）＝γ_A＋β＋ｈ（Ｉ_A）
２．Ｆ（γ_A、Ｉ_A、ＯＰ）＝ｈ（γ_A‖β‖Ｉ_A）
３．Ｆ（γ_A、Ｉ_A、ＯＰ）＝γ_A＋β＋Ｉ_A、ここで、Ｉ_Aは、なんらかのパターン（または、Ｉ_Aが小さく、たとえば２０ビットであり、ｑが１８０ビットを超えるとき）を有する。
４．Ｆ（γ_A、Ｉ_A、ＯＰ）＝γ_A＋ｈ（Ｉ_A）
５．Ｆ（γ_A、Ｉ_A、ＯＰ）＝ｈ（γ_A‖Ｉ_A）
６．Ｆ（γ_A、Ｉ_A、ＯＰ）＝γ_A＋Ｉ_A、ここで、Ｉ_Aは、なんらかのパターン（または、Ｉ_Aが小さく、たとえば２０ビットであり、ｑが１８０ビットを超えるとき）を有する。
７．パラメータを少し変更して、所与の安全な署名方式から安全な署名方式を得ることは非常に簡単である。したがって、Ｆ（γ_A、Ｉ_A、ＯＰ）は、内在的証明書を作るのに使用された署名方式が安全であることを保障する他の形式とすることができる。Ｆ（γ_A、Ｉ_A、ＯＰ）を適当に選択することによって、これまでに知られているＥｌｇａｍａｌ様署名方式が、変更の後に内在的証明書方式として使用される場合の本明細書で提案される４系列の方式の１つと同等になることに留意されたい。しかし、本明細書で提案される方式は、より高い効率を有する。

注：上記のシステム・セットアップが、以下の方式で仮定される。

方式１．ａ：
１．各エンティティＡについて、ＣＡは、一意の区別される名前またはアイデンティティＩ_A（たとえば、氏名、住所、電話番号）および、１＜ｃ_A＜ｑのランダムな整数ｃ_Aを選択する。次に、ＣＡは、

を計算する。（γ_Aは、Ａの公開鍵再構成公開データである。（Ｉ_A、γ_A）は、Ａの内在的証明書として働く）。
２．ＣＡは、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ａについて次式を解く（ａ＝０、１、ｃ、ｃ_A ^-1ｃの場合には、別のｃ_Aを選択し、式をもう一度解く）。
１＝ｃｆ＋ｃ_Aａ（ｍｏｄｑ）
３．ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信する。この３つ組は、Ｉ_Aに対するＣＡの署名である。その後、ａがＡの秘密鍵、γ_AがＡのジェネレータ、

がＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。
γ_A ^a＝αβ^-f（ｍｏｄｐ）
注：
１．ステップ１では、アイデンティティＩ_AをエンティティＡが選択することができる。
２．ステップ２では、ａ＝０、１を排除した。というのは、この場合に、誰もがＡの秘密鍵を簡単に知ることができるからである。特にａ＝０，ｃ_A ^-1ｃのときには、１＝ｃｆ（ｍｏｄｑ）からＣＡの秘密鍵ｃを誰でも簡単に計算することができる。
３．この方式では、各ユーザーが異なるシステム・ジェネレータγ_Aを有する。

方式１．ｂ：
１．各エンティティＡについて、ＣＡは、一意の区別される名前またはアイデンティティＩ_A（たとえば、氏名、住所、電話番号）および、１＜ｃ_A＜ｑのランダムな整数ｃ_Aを選択する。次に、ＣＡは、

を計算する（γ_Aは、Ａの公開鍵再構成公開データである。（Ｉ_A、γ_A）は、Ａの内在的証明書として働く）。
２．ＣＡは、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ａについて次式を解く（ａ＝０、１、ｃの場合には、別のｃ_Aを選択し、式をもう一度解く）。
１≡ｃａ＋ｃ_Aｆ（ｍｏｄｑ）
３．ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信する。この３つ組は、Ｉ_Aに対するＣＡの署名である。その後、ａがＡの秘密鍵、βがＡのジェネレータ、β^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。
β^a＝αγ_A ^-f（ｍｏｄｐ）
注：
１．ステップ１では、アイデンティティＩ_AをエンティティＡが選択することができる。
２．ステップ２では、ａ＝０、１を排除した。というのは、この場合に、誰もがＡの秘密鍵を簡単に知ることができるからであり、ａ＝０のときには、証明書は、ＣＡに関係しない。
３．この方式では、各ユーザーが同一のシステム・ジェネレータβを有する。

方式１．ｃ：
１．各エンティティＡについて、ＣＡは、一意の区別される名前またはアイデンティティＩ_A（たとえば、氏名、住所、電話番号）および、１＜ｃ_A＜ｑのランダムな整数ｃ_Aを選択する。次に、ＣＡは、

を計算する（γ_Aは、Ａの公開鍵再構成公開データである。（Ｉ_A、γ_A）は、Ａの内在的証明書として働く）。
２．ＣＡは、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ａについて次式を解く（ａ＝０、１、またはｃの場合には、別のｃ_Aを選択し、式をもう一度解く）。
ａ≡ｃｆ＋ｃ_A（ｍｏｄｑ）
３．ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信する。この３つ組は、Ｉ_Aに対するＣＡの署名である。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
注：
１．ステップ１では、アイデンティティＩ_AをエンティティＡが選択することができる。
２．ステップ２では、ａ＝０、１を排除した。というのは、この場合に、誰もがＡの秘密鍵を簡単に知ることができるからである。
３．この方式では、各ユーザーが同一のシステム・ジェネレータαを有する。

方式１．ｄ：
１．各エンティティＡについて、ＣＡは、一意の区別される名前またはアイデンティティＩ_A（たとえば、氏名、住所、電話番号）および、１＜ｃ_A＜ｑのランダムな整数ｃ_Aを選択する。次に、ＣＡは、

を計算する（γ_Aは、Ａの公開鍵再構成公開データである。（Ｉ_A、γ_A）は、Ａの内在的証明書として働く）。
２．ＣＡは、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ａについて次式を解く（ａ＝０、１、またはｃの場合には、別のｃ_Aを選択し、式をもう一度解く）。

ａ≡ｃ_Aｆ＋ｃ（ｍｏｄｑ）
３．ＣＡは、３つ組（γ_A、ａ、Ｉ_A）を保護された形でＡに送信する。この３つ組は、Ｉ_Aに対するＣＡの署名である。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。
α^a＝γ_A ^fβ（ｍｏｄｐ）
注：
１．ステップ１では、アイデンティティＩ_AをエンティティＡが選択することができる。
２．ステップ２では、ａ＝０、１を排除した。というのは、この場合に、誰もがＡの秘密鍵を簡単に知ることができるからである。
３．この方式では、各ユーザーが同一のシステム・ジェネレータαを有する。

誰でも公開データからユーザーＡの公開鍵を再構成することができるが、これは、再構成された公開鍵が証明されたことを意味しない。証明書を明示的に検証するためには、ａを知る必要がある。ａを知ったならば、検証プロセスは、Ｉ_Aに対するＣＡの署名を検証することになる。たとえば、方式１．ａでは、検証者がαβ^-fを計算し、ユーザーＡがａを使用してγ_A ^aを計算する場合に、検証者およびユーザーが、一緒に証明書を検証することができる。しかし、検証者は、ユーザーＡが実際にａを知っていることを確認しなければならない。したがって、公開鍵の再構成は、ユーザーＡが対応する秘密鍵の完全な知識を有することを示すアプリケーション・プロトコルと組み合わされる場合に限って、内在的検証として働く。一般に、内在的証明書方式は、対象のエンティティおよび公開鍵の認証を必要とするすべての公開鍵方式と共に使用することができる。

内在的に証明される公開鍵システムとしてＤＳＡ署名方式を使用し、内在的証明書方式として方式１．ａを使用して、これを実証する。

アリスが、秘密鍵ａ、ジェネレータγ_Aを有し、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開すると仮定する。次に、アリスは、ＤＳＡを使用してメッセージＭに署名しようとする。
アリスは、下記を実行する。
１．ランダムにｋを選択し、ｒ＝γ_A ^k（ｍｏｄｐ）を計算する。
２．ｅ＝ｓｈａ−１（Ｍ）を計算する。
３．ｓ＝ｘ^-1（ｅ＋ａｒ）（ｍｏｄｑ）を計算する。
４．Ｍに対する署名は、（ｒ、ｓ）になる。
検証者は、下記を実行する。
１．アリスの公開データ（α、Ｉ_A、β、γ_A、ｐ、ｑ）を取得し、ｆを計算し、公開鍵を再構成する。
β_A＝γ_A ^a＝αβ^-f（ｍｏｄｐ）
２．ｅ＝ｓｈａ−１（Ｍ）を計算する。
３．ｕ₁＝ｅｓ^-1（ｍｏｄｑ）およびｕ₂＝ｒｓ^-1（ｍｏｄｑ）を計算する。
４．

を計算する。
５．ｒ＝ｒ’の場合には、署名が検証される。それと同時に、アリスの（ＩＤに基づく）公開鍵が、内在的に検証される。
対（Ｉ_A、γ_A）は、アリスの証明書として働く。ＤＳＡの場合、ａを知らずにアリスの署名を偽造することが非常に困難であることがわかっている。公開鍵の再構成は、アプリケーション・プロトコルが最後に有効になるときに、内在的検証として働く。公開鍵を取得するために、１回の累乗演算だけが必要であることを想起されたい。この理由から、本発明人は、内在的証明書の検証が、１回の累乗演算を必要とすると主張する。

以下の内在的証明書方式は、ＣＡおよびエンティティの両方が、エンティティの秘密鍵を制御するが、対象のエンティティだけがその秘密鍵を知るように、上の方式を変更することによって導出することができる。

この節では、もう１つのシステム・パラメータＨ（＊）が必要であり、このＨ（＊）は、安全なハッシュ関数または１方向関数またはアイデンティティ・マップとすることができる暗号関数である。

方式２．ａ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０またはｃの場合には、別のｃ_Aを選択する）。
１＝ｃｆ＋ｃ_Aｋ_A（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
３．Ａは、ａ＝ｋ_Aｋ^-1（ｍｏｄｑ）を計算し（ａ＝１の場合には、ステップ１に戻る）、γ_A＝（γ_A ¹）^k（ｍｏｄｐ）を計算する。その後、γ_A ^a＝αβ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、γ_AがＡのジェネレータ、γ_A ^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
γ_A ^a＝αβ^-f（ｍｏｄｐ）
方式２．ｂ：
５．Ａは、整数ｋをランダムに選択し、β^kを計算し、これをＣＡに送信する。
６．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
１＝ｃｋ_A＋ｃ_Aｆ（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
７．Ａは、

、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）、およびａ＝ｋ_A−ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、β^a＝αγ_A ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、βがＡのジェネレータ、β^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
８．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
β^a＝αγ_A ^-f（ｍｏｄｐ）
方式２．ｃ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aを計算する（ｋ_A＝ｃの場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃｆ＋ｃ_A（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
３．Ａは、ａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算し（ａ＝０、１の場合には、ステップ１に戻る）、

を計算する。その後、α^a＝β^fγ_Aであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
方式２．ｄ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aを計算する（ｋ_A＝ｃ_Aの場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃ_Aｆ＋ｃ（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
３．Ａは、

、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）、およびａ＝ｋ_A＋ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、α^a＝γ_A ^fβであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝γ_A ^fβ（ｍｏｄｐ）
注：（方式２．ａ、２．ｂ、２．ｃ、２．ｄについて）
１．アイデンティティＩ_Aは、ＣＡまたはエンティティＡのいずれかによって選択することができる。
２．ＣＡは、エンティティＡを認証しなければならない。これは、ＣＡの面前での存在または保護されたチャネルまたは音声（たとえば電話での）または次の方法のいずれかによって行うことができる。
ステップ２で、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する代わりに、ＣＡが、まずγ_A ¹をＡに送信する。Ａは、γ_Aを計算し、Ｋ＝Ｈ（γ_A）にセットし、ＤＥＳ（または他の対称鍵システム）によってＡの認証情報Ａ_AI（ＶＩＳＡ情報など）を暗号化し、ＤＥＳ_K（Ａ_AI）をＣＡに送信する。ＣＡは、ＤＥＳ_K（Ａ_AI）を非暗号化してＡ_AIを得る。Ａ_AIの有効性を検査した後に、ＣＡは（ｋ_A、Ｉ_A）をＡに送信する。
３．（γ_A ¹、ｋ_A、Ｉ_A）は、公開チャネルによって送信することができる。

上の方式２．ａ〜２．ｄでは、内在的証明書方式が、対象のエンティティおよびＣＡによって完了される。各方式は、本質的に２つの部分すなわち鍵交換部分および署名部分に分割される。鍵交換部分の機能の１つが、公開チャネルによってＣＡからＡに内在的証明書情報を送信することである（詳細な説明は節６で行う）。上の方式の計算を高速化するために、鍵交換部分を変更することができる。以下の方式３．ａ〜３．ｄは、方式２．ａ〜２．ｄを変更することによって得られた。方式３．ａ〜３．ｄの長所は、βが固定されているので、ユーザーＡが、ＣＡから応答を得る前にＫを計算できることである。この特性は、特にオンラインの場合に好ましい。

方式３．ａ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
１＝ｃｆ＋ｃ_Aｋ_A（ｍｏｄｑ）
次に、ＣＡは、Ｋ＝Ｈ（（α^k）^c）および

を計算し、３つ組

をＡに送信する。
３．Ａは、Ｋ＝Ｈ（β^k）、

、およびａ＝ｋ_Aｋ^-1（ｍｏｄｑ）を計算する（ａ＝１の場合には、ステップ１に戻る）。その後、γ_A ^a＝αβ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、γ_AがＡのジェネレータ、γ_A ^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
γ_A ^a＝αβ^-f（ｍｏｄｐ）
方式３．ｂ：
１．Ａは、整数ｋをランダムに選択し、β^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aについて署名方程式を解く（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
１＝ｃｋ_A＋ｃ_Aｆ（ｍｏｄｑ）
次に、ＣＡは、

およびｋ￣_A＝ＤＥＳ_k（Ｋ_A）を計算し、３つ組

をＡに送信する。
３．Ａは、

を計算し、ａ＝ｋ_A−ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、β^a＝αγ_A ^-fであるかどうかを検査する。ここで、ａがＡの秘密鍵、βがＡのジェネレータ、β^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
β^a＝αγ_A ^-f（ｍｏｄｐ）
注：（方式３．ｂについて）
１．アイデンティティＩ_Aは、ＣＡまたはエンティティＡのいずれかによって選択することができる。
２．ＣＡは、エンティティＡを認証しなければならない。これは、ＣＡの面前での存在または保護されたチャネルまたは音声（たとえば電話での）または次の方法のいずれかによって行うことができる。
ステップ２で、３つ組

をＡに送信する代わりに、ＣＡが、まずγ_AをＡに送信する。Ａは、

を計算し、ＤＥＳ（または他の対称鍵システム）によってＡの認証情報Ａ_AI（ＶＩＳＡ情報など）を暗号化し、ＤＥＳ_K（Ａ_AI）をＣＡに送信する。ＣＡは、ＤＥＳ_K（Ａ_AI）を非暗号化してＡ_AIを得る。Ａ_AIの有効性を検査した後に、ＣＡは

をＡに送信する。
３．

は、公開チャネルによって送信することができる。

方式３．ｃ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

を計算し、３つ組

をＡに送信する。
３．Ａは、Ｋ＝Ｈ（β^k）、

、およびａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、α^a＝β^fγ_Aであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
方式３．ｄ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

およびｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を計算し、ｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃ_Aｆ＋ｃ（ｍｏｄｑ）
次に、ＣＡは、Ｋ＝Ｈ（（α^k）^c）および

を計算し、３つ組

をＡに送信する。
３．Ａは、Ｋ＝Ｈ（β^k）、

、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）、およびａ＝ｋ_A＋ｋｆ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、α^a＝γ_A ^fβであるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝γ_A ^fβ（ｍｏｄｐ）
注：（方式３．ａ、３．ｃ、３．ｄについて）
１．アイデンティティＩ_Aは、ＣＡまたはエンティティＡのいずれかによって選択することができる。
２．ＣＡは、エンティティＡを認証しなければならない。これは、ＣＡの面前での存在または保護されたチャネルまたは音声（たとえば電話での）または次の方法のいずれかによって行うことができる。
ステップ１で、Ａは、α^kおよびＫ＝Ｈ（β^k）を計算し、α^kおよびＤＥＳ_K（Ａ_AI）をＣＡに送信する。ＣＡは、Ｋ＝Ｈ（（α^k）^c）を計算し、ＤＥＳ_K（Ａ_AI）を非暗号化してＡ_AIを得る。Ａ_AIの有効性を検査した後に、ＣＡはステップ２を継続する。
３．（γ_A、ｋ_A、Ｉ_A）は、公開チャネルによって送信することができる。

方式３．ａ、３．ｃ、および３．ｄの長所は、βが固定されているのでユーザーＡがＫを簡単に計算できることと、ｋ_Aが暗号化され、他人がそれを知ることができなくなっていることである。実際に、ｋ_Aが知れわたることが、証明書方式のセキュリティを低下させない。ｋ_Aを暗号化する目的は、エンティティが確実にｋを知るようにするためである。したがって、方式３．ａ〜３．ｄについて、証明書方式で注２で説明した方法を使用するならば、ＤＥＳ暗号化部分を除去することができ、

をｋ_Aで置換することができる。

上の方式の送信帯域幅を節約するために、γ_Aの代わりにｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）を送信することによって上の方式を変更することができる（一般に、γ_Aのサイズは１６０ビットより大きく、ｆはちょうど１６０ビットであることに留意されたい）。下の方式４．ｃは、方式３．ｃの変形形態である。

方式４．ｃ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

を計算し、３つ組

をＡに送信する。
３．Ａは、Ｋ＝Ｈ（β^k）、

、およびａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算する（ａ＝０、１の場合には、ステップ１に戻る）。その後、γ_A＝α^aβ^-f（ｍｏｄｐ）を計算し、ｆ＝Ｆ（γ_A、Ｉ_A、ＯＰ）であるかどうかを検査する。ここで、ａがＡの秘密鍵、αがＡのジェネレータ、α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
４．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
さらに、方式５．ｃに従うことによって、帯域幅を減らすことができる。

方式５．ｃ：
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡに送信する。
２．ＣＡは、整数ｃ_Aをランダムに選択し、

を計算し、

を計算し、３つ組

をＡに送信する。

注：

である。ここで、α_Eは、Ａのもう１つの秘密鍵であり、

は、対応する公開鍵である。下の方式６．ｃは、方式２．ｃの変形形態である。他の方式を、同一の形で変更することができる。

方式６．ｃ：
１．Ａは、整数ａ_Eをランダムに選択し、

をＣＡに送信する。

３．ＣＡは、整数ｃ_Aをランダムに選択し、

を計算し（たとえば

）、ｋ_Aを計算する（ｋ_A＝０の場合には、別のｃ_Aを選択する）。
ｋ_A≡ｃｆ＋ｃ_A（ｍｏｄｑ）
その後、ＣＡは、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。
４．Ａは、ａ＝ｋ_A＋ｋ（ｍｏｄｑ）を計算し（ａ＝０、１の場合には、ステップ１に戻る）、

を計算する。その後、α^a＝β^fγ_Aであるかどうかを検査する。ここで、ａがＡの秘密署名鍵であり、αがＡのジェネレータ、α^aがＡの公開署名鍵である。ａ_EがＡの秘密暗号化鍵、

がＡの公開暗号化鍵である。Ａは、公開ドメインで

を公開する。
５．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に証明される公開鍵を得ることができる。
α^a＝β^fγ_A（ｍｏｄｐ）
注：（方式４．ｃ、５．ｃ、６．ｃについて）
１．アイデンティティＩ_Aは、ＣＡまたはエンティティＡのいずれかによって選択することができる。
２．ＣＡは、エンティティＡを認証しなければならない。これは、方式３．ｃの注２に記載の方法によって行うことができる。

または

または（γ_A ¹、ｋ_A、Ｉ_A）を、公開チャネルによって送信することができる。

ＣＡ連鎖（ＣＡｃｈａｉｎｉｎｇ）方式
ＣＡ連鎖構造を実施するために、すなわち、ＣＡ１がＣＡ２を認証し、ＣＡ２がＣＡ３を認証し、ＣＡ３がユーザーＡを認証する。この節では、ＣＡ連鎖内に３つのＣＡがある例を提示する。基本方式３’を使用して、この例を実証する。

システム・セットアップ：
最上位の信頼できる当事者ＣＡ１は、大きい素数ｑについてｐ＝ｔｑ＋１である適当な素数ｐと、オーダー（位数）ｑのジェネレータαを選択する。ＣＡ１は、その秘密鍵として１≦ｃ₁≦ｑ−１のランダムな整数ｃ₁を選択し、公開鍵

を計算し、（β₁、α、ｐ、ｑ）を公開する。
フェーズ１ＣＡ２が、ＣＡ１からの内在的に証明される公開鍵を問い合わせる。
１．ＣＡ２は、整数ｋ₂をランダムに選択し、

を計算し、これをＣＡ１に送信する。

２．ＣＡ１は、一意の区別される名前またはアイデンティティＩ_CA2および、１≦ｃ_CA2≦ｑ−１のランダムな整数ｃ_CA2を選択する。次に、ＣＡ１は、

を計算する（γ_CA2は、ＣＡ２の公開鍵再構成公開データである）。
３．ＣＡ１は、関数ｆ₁＝Ｆ（γ_CA2、Ｉ_CA2）を選択し、ｋ_CA2を計算する（ｋ_CA2＝０の場合には、ステップ２で別のｃ_CA2を選択し、ｋ_CA2を再計算する）。

ｋ_CA2＝ｃ₁ｆ₁＋ｃ_CA2（ｍｏｄｑ）
４．ＣＡ１が、

を計算し、３つ組（γ_CA2 ¹、ｋ_CA2、Ｉ_CA2）をＣＡ２に送信する。
５．ＣＡ２が、

を計算する。その後、ｃ₂＝ｋ_CA2＋ｋ₂（ｍｏｄｑ）がＣＡ２の秘密鍵、αがＣＡ２のジェネレータ、

がＣＡ２の公開鍵になる。ＣＡ２は、公開ドメインで（α、Ｉ_CA2、β₁、β₂、γ_CA2、ｐ、ｑ）を公開する。
注：ユーザーがＣＡ２を信頼するときには、β₂を直接に使用することができる。
６．誰もが、次式を計算することによって、公開ドメインからＣＡ２の（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。

フェーズ２ＣＡ３が、ＣＡ２からの内在的に証明される公開鍵を問い合わせる。
１．ＣＡ３は、整数ｋ₃をランダムに選択し、

を計算し、これをＣＡ２に送信する。

２．ＣＡ２は、一意の区別される名前またはアイデンティティＩ_CA3および、１≦ｃ_CA3≦ｑ−１のランダムな整数ｃ_CA3を選択する。ＣＡ２が、

を計算する（γ_CA3は、ＣＡ３の公開鍵再構成公開データである）。
３．ＣＡ２は、関数ｆ₂＝Ｆ（γ_CA3、Ｉ_CA3）を選択し、ｋ_CA3を計算する（ｋ_CA3＝０の場合には、ステップ２で別のｃ_CA3を選択し、ｋ_CA3を再計算する）。

ｋ_CA3≡ｃ₂ｆ₂＋ｃ_CA3（ｍｏｄｑ）
４．ＣＡ２が、

を計算し、３つ組（γ_CA3 ¹、ｋ_CA3、Ｉ_CA3）をＣＡ３に送信する。
５．ＣＡ３が、

を計算する。その後、ｃ₃＝ｋ_CA3＋ｋ₃（ｍｏｄｑ）がＣＡ３の秘密鍵、αがＣＡ３のジェネレータ、

がＣＡ３の公開鍵になる。ＣＡ３は、公開ドメインで（α、Ｉ_CA3、β₂、β₃、γ_CA3、ｐ、ｑ）を公開する。

注：エンティティがＣＡ３を信頼するときには、β₃を直接に使用することができる。
６．誰もが、次式を計算することによって、公開ドメインからＣＡ３の（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。

フェーズ３ユーザーＡが、ＣＡ３からの内在的に証明される公開鍵を問い合わせる。
１．Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡ３に送信する。
２．ＣＡ３は、一意の区別される名前またはアイデンティティＩ_Aおよび、１≦ｃ_A≦ｑ−１のランダムな整数ｃ_Aを選択する。ＣＡ３が、

を計算する（γ_Aは、Ａの公開鍵再構成公開データである）。
３．ＣＡ３は、注意深く選択された関数ｆ₃＝Ｆ（γ_A、Ｉ_A）を選択し、ｋ_Aを計算する（ｋ_A＝０の場合には、ステップ２で別のｃ_Aを選択し、ｋ_Aを再計算する）。

ｋ_A≡ｃ₃ｆ₃＋ｃ_A（ｍｏｄｑ）
４．ＣＡ３は、

を計算し、３つ組（γ_A ¹、ｋ_A、Ｉ_A）をＡに送信する。

５．Ａが、

を計算する。その後、ａ＝ｋ_A＋ｋ（ｍｏｄｑ）がＡの秘密鍵、αがＡのジェネレータ、β_A＝α^aがＡの公開鍵になる。Ａは、公開ドメインで（α、Ｉ_A、β₃、β_A、γ_A、ｐ、ｑ）を公開する。
注：ユーザーがＡを信頼するときには、β_Aを直接に使用することができる。

６．誰もが、次式を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に検証された公開鍵を得ることができる。

フェーズ４ユーザーＡの署名および検証
メッセージＭに署名するために、ユーザーＡは下記を実行する。
１．ランダムにｘを選択し、ｒ＝α^x（ｍｏｄｐ）を計算する。
２．ｅ＝ｆ_A＝Ｆ（ｒ，Ｍ）を計算する。ここで、Ｆはなんらかの固定された関数である。
３．ｓ＝ａｅ＋ｘ（ｍｏｄｑ）を計算する。
４．Ｍに対する署名は、（ｒ、ｓ）になる。
検証者は、下記を実行する。
１．ＣＡ１、ＣＡ２、ＣＡ３，およびユーザーＡの公開データを得る。

（α、Ｉ_CA2、Ｉ_CA3、Ｉ_A、β₁、β₂、β₃、β_A、γ_CA2、γ_CA3、γ_A、ｐ、ｑ）
２．ユーザーＡの公開鍵を再構成する。

３．ｅ＝ｆ_A＝Ｆ（ｒ、Ｍ）を計算する。
４．ｒ’＝α^sβ_A ^-e（ｍｏｄｐ）を計算する。
５．ｒ＝ｒ’の場合には、署名が検証される。それと同時に、ＣＡ２、ＣＡ３、およびユーザーＡの（ＩＤに基づく）公開鍵が、内在的に検証される。

ユーザーＡの公開鍵の再構成には、３つの既知の基底累乗演算および３つの乗算演算だけが必要である。署名が有効なときには、ＣＡ２、ＣＡ３、およびユーザーＡの（ＩＤに基づく）公開鍵が、内在的に検証される。

注：
１．検証者がＡを信頼する場合には、Ａの公開鍵はβ_Aになる。
２．検証者がＣＡ３を信頼する場合には、Ａの再構成公開鍵は

になる。

３．検証者がＣＡ２を信頼する場合には、Ａの再構成公開鍵は

になる。

連署（Ｃｏ−ｓｉｇｎｉｎｇ）方式
以下では、複数のＣＡが１つの内在的証明書に署名できるようにする方式を説明する。これは、基本方式３’を使用して３つのＣＡが証明書に連署する場合によって例示される。

システム・セットアップ：
ＣＡ１、ＣＡ２、およびＣＡ３が、次の共通のシステム・パラメータを有すると仮定する。（１）大きい素数ｑに対してｐ＝ｔｑ＋１になる素数ｐ、（２）オーダーｑのジェネレータα、（３）注意深く選択された関数ｆ＝Ｆ（γ，（Ｉ_A1＋Ｉ_A2＋Ｉ_A3））。ＣＡ１は、その秘密鍵として１≦ｃ₁≦ｑ−１のランダムな整数ｃ₁を選択し、公開鍵

を計算し、（β₁、α、ｐ、ｑ）を公開する。ＣＡ２は、その秘密鍵として１≦ｃ₂≦ｑ−１のランダムな整数ｃ₂を選択し、公開鍵

を計算し、（β₂、α、ｐ、ｑ）を公開する。ＣＡ３は、その秘密鍵として１≦ｃ₃≦ｑ−１のランダムな整数ｃ₃を選択し、公開鍵

を計算し、（β₃、α、ｐ、ｑ）を公開する。

ステップ１Ａは、整数ｋをランダムに選択し、α^kを計算し、これをＣＡ１、ＣＡ２、およびＣＡ３に送信する。
ステップ２ＣＡが、情報を交換し、内在的証明書を計算する。

フェーズ１
１．ＣＡ１が、一意の区別される名前またはアイデンティティＩ_A1および、１≦ｃ_A1≦ｑ−１のランダムな整数ｃ_A1を選択し、

を計算し、（

）をＣＡ２およびＣＡ３に送信する。
２．ＣＡ２が、一意の区別される名前またはアイデンティティＩ_A2および、１≦ｃ_A2≦ｑ−１のランダムな整数ｃ_A2を選択し、（

）を計算し、

をＣＡ１およびＣＡ３に送信する。

３．ＣＡ３が、一意の区別される名前またはアイデンティティＩ_A3および、１≦ｃ_A3≦ｑ−１のランダムな整数ｃ_A3を選択し、

を計算し、

をＣＡ１およびＣＡ２に送信する。

フェーズ２
１．ＣＡ１が、

を計算し（γは、Ａの公開鍵再構成公開データである）、ｆ＝Ｆ（γ、（Ｉ_A1＋Ｉ_A2＋Ｉ_A3））を計算し、ｋ_A1を計算する（ｋ_A1＝０の場合、フェーズ１に戻る）。
ｋ_A1≡ｃ₁ｆ＋ｃ_A1（ｍｏｄｑ）
ＣＡ１は、

を計算し、３つ組（γ_A1 ¹、ｋ_A1、Ｉ_A1）をＡに送信する。
２．ＣＡ２が、

を計算し（γは、Ａの公開鍵再構成公開データである）、ｆ＝Ｆ（γ、（Ｉ_A1＋Ｉ_A2＋Ｉ_A3））を計算し、ｋ_A2を計算する（ｋ_A2＝０の場合、フェーズ１に戻る）。
ｋ_A2≡ｃ₂ｆ＋ｃ_A2（ｍｏｄｑ）
ＣＡ２は、

を計算し、３つ組（γ_A2 ¹、ｋ_A2、Ｉ_A2）をＡに送信する。

３．ＣＡ３が、

を計算し（γは、Ａの公開鍵再構成公開データである）、ｆ＝Ｆ（γ、（Ｉ_A1＋Ｉ_A2＋Ｉ_A3））を計算し、ｋ_A3を計算する（ｋ_A3＝０の場合、フェーズ１に戻る）。
ｋ_A3≡ｃ₃ｆ＋ｃ_A3（ｍｏｄｑ）
ＣＡ３は、

を計算し、３つ組（γ_A3 ¹、ｋ_A3、Ｉ_A3）をＡに送信する。
ステップ３Ａが、内在的に連署された秘密鍵および公開鍵再構成情報を計算する。
１．Ａは、ａ＝ｋ_A1＋ｋ_A2＋ｋ_A3＋ｋ（ｍｏｄｑ）を計算する（ａが０または１の場合には、ステップ１に戻る）。
２．Ａが、

およびｆ＝Ｆ（γ、（Ｉ_A1＋Ｉ_A2＋Ｉ_A3））を計算する。その後、α^a＝（β₁β₂β₃）^fγ（ｍｏｄｐ）であるかどうかを検証する。
３．ここで、ａがＡの内在的に連署された秘密鍵、αがＡのジェネレータ、Ｉ_A＝Ｉ_A1＋Ｉ_A2＋Ｉ_A3がＡの共通ＩＤ、（β₁β₂β₃）^fγがＡの内在的に共同証明される公開鍵である。
４．Ａは、公開ドメインで（α、Ｉ_A1、Ｉ_A2、Ｉ_A3、β₁、β₂、β₃、γ、ｐ、ｑ）を公開する。

５．誰もが、（β₁β₂β₃）^fγ（ｍｏｄｐ）を計算することによって、公開ドメインからＡの（ＩＤに基づく）内在的に共同証明された公開鍵を得ることができる。

応用例
以下の例は、ＣＡの署名方程式として方式３（または方式７’）に関して示される。というのは、この方式では全員が同一のジェネレータを共用するからである。各ユーザーは、ＣＡがシステム・パラメータ（ｐ、ｑ、ｄ）を使用し、各ユーザーが同一のジェネレータを有する限り、異なるＣＡを有することができる。

セット・アップ：
ＣＡ１：システム・パラメータ（α、β₁、ｐ、ｑ、ｄ）
アリスが、秘密鍵ａ、ジェネレータαを有し、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
ＣＡ２：システム・パラメータ（α、β₂、ｐ、ｑ）
ボブが、秘密鍵ｂ、ジェネレータαを有し、公開ドメインで（α、Ｉ_A、β、γ_A、ｐ、ｑ）を公開する。
ＭＴＩ／Ｃ０鍵共有プロトコルを使用して、本発明の新方式を使用する方法の実例を示す。アリスとボブが鍵交換を実行したいと思っていると仮定する。

ＭＴＩ／Ｃ０プロトコル
１．アリスは、ボブの公開鍵

を再構成し、整数ｘをランダムに選択し、（α^b）^xを計算し、ボブに送信する。

２．ボブは、アリスのの公開鍵

を再構成し、整数ｙをランダムに選択し、（α^a）^yを計算し、アリスに送信する。

３．アリスは、共有鍵（shared key）

を計算する。

４．ボブは、共有鍵（shared key）

を計算する。

これは２パス・プロトコルである。本発明の内在的証明書方式を用いると、各当事者は、３つの累乗演算を実行するだけで共有鍵（shared key）を得ると同時に、認証鍵共有および内在的公開鍵検証を実行する。

以下は、サインクリプション（signcryption）方式の例である。ＣＡの署名方程式として方式３（または方式７）を使用する。というのは、この方式では、全員が同一のジェネレータを共用するからである。その後の方式では、ＣＡの署名方程式として方式１３を使用する。この節のすべての方式について、各ユーザーは、ＣＡが同一のシステム・パラメータ（ｐ、ｑ、α）を使用し、各ユーザーが同一のジェネレータを使用する限り、異なるＣＡを有することができる。

セット・アップ：
ＣＡ１：システム・パラメータ（α、β₁、ｐ、ｑ）
アリス：秘密鍵ａ、ジェネレータα、および公開ドメインの（α、Ｉ_A、β₁、γ_A、ｐ、ｑ）。
ＣＡ２：システム・パラメータ（α、β₂、ｐ、ｑ）
ボブ：秘密鍵ｂ、ジェネレータα、および公開ドメインの（α、Ｉ_B、β₂、γ_B、ｐ、ｑ）。
ボブは、署名され暗号化されたメッセージＭをアリスに送信したいと思っている。

サインクリプション・プロトコル１：
ボブが、署名され暗号化されたメッセージＭをアリスに送信したいと思っていると仮定する。
ボブは、下記を実行する。
１．アリスの公開鍵

を再構成する。
２．整数ｘをランダムに選択し、鍵ｒ＝（α^a）^x（ｍｏｄｐ）を計算する。

３．Ｃ＝ＤＥＳ_r（Ｍ）を計算する。
４．ｅ＝ｈａｓｈ（ＣＩ_A）を計算する。
５．ｓ＝ｂｅ＋ｘ（ｍｏｄｑ）を計算する。
６．対（Ｃ、ｓ）をアリスに送信し、したがって、Ｃは、暗号化されたメッセージであり、ｓは、署名である。

メッセージを復元するために、アリスは下記を実行する。
１．ｅ＝ｈａｓｈ（ＣＩ_A）を計算する。
２．ボブの公開鍵

を再構成する。
３．α^as（α^b）^-ac（ｍｏｄｐ）を計算する。これはｒである。
４．メッセージＭ＝ＤＥＳ_r（Ｃ）を非暗号化する。
５．冗長性に関する検査を行う。
したがって、ボブは、２回の累乗演算だけを行い、アリスは、３回の累乗演算を行う。しかし、アリスとボブの両方が、お互いの認証を確信している。この方式の場合、メッセージＭが、なんらかの冗長性またはパターンを有しなければならないことに留意されたい。

サインクリプション・プロトコル２（一般的な場合）：
セット・アップ：
ＣＡ１：システム・パラメータ（α、β₁、ｐ、ｑ）
アリス：秘密鍵ａ、ジェネレータα、および公開ドメインの（α、Ｉ_A、β₁、γ_A、ｐ、ｑ）。
ＣＡ２：システム・パラメータ（α、β₂、ｐ、ｑ）
ボブ：秘密鍵ｂ、ジェネレータα、および公開ドメインの（α、Ｉ_B、β₂、γ_B、ｐ、ｑ）。

注：このセット・アップは、内在的証明書用である。通常の証明書方式システムの場合、アリスとボブが同一のジェネレータを有することだけが必要である。

アリスへのメッセージをサインクリプト(signcrypt)するために、ボブは下記を実行する。

１．アリスの公開鍵α^aを得る（内在的証明書方式の場合、アリスの公開鍵

を再構成する）。
２．整数ｘをランダムに選択し、ｒ＝（α^a）^x（ｍｏｄｐ）を計算する。
３．Ｃ＝ＤＥＳ_r（Ｍ）を計算する。
４．ｅ＝ｈａｓｈ（Ｃ‖α^a）を計算する。
５．ｓ＝ｂｅ＋ｘ（ｍｏｄｑ）を計算する。
６．（Ｃ、ｓ）をアリスに送信する。Ｃは、暗号化されたメッセージであり、ｓは、署名である。
メッセージを復元するために、アリスは下記を実行する。
１．ｅ＝ｈａｓｈ（Ｃ‖α^a）を計算する。
２．ボブの公開鍵α^bを得る（内在的証明書方式の場合、ボブの公開鍵

を再構成する）。
３．α^as（α^b）^-ae（ｍｏｄｐ）を計算する。これはｒである。
４．メッセージＭ＝ＤＥＳ_r（Ｃ）を非暗号化する。

注：
１．証明書方式が、本明細書に記載の内在的証明書でない場合には、アリスおよびボブの公開鍵を検証しなければならない。
２．メッセージＭが、なんらかの冗長性またはパターンを有しなければならない。

３．１つの値ｒを知っているアリスは、値α^abが露出されるので、ボブからアリスへのすべてのメッセージを非暗号化することができる。
４．一般に、ハッシュｅにオプション・パラメータを含めなければならない、すなわち、ｅ＝ｈａｓｈ（Ｃ‖α^a‖ＯＰ）。たとえば、ＯＰ＝α^bまたはＯＰ＝α^b‖β₁‖β₂。

上のサインクリプション方式は、署名者が自分の秘密署名鍵を失った場合に、その署名者がサインクリプトしたすべてのメッセージが公衆に露出されるという短所を有する。事後暗号化の保護のために、新しいサインクリプション方式を提案する。新方式では、各ユーザーが、２対の鍵を有し、１対は署名鍵用、もう１対は暗号化鍵である。新方式は、あらゆる証明書方式と共に使用することができる。しかし、本発明の内在的証明書方式と共に使用される場合に、新方式は最も効果的になる。

サインクリプション・プロトコル３（一般的な場合）：
セット・アップ：
アリス：秘密署名鍵ａ、秘密暗号化鍵ａ_E、ジェネレータα、および公開ドメインの

。

ＣＡ２：システム・パラメータ（α、β₂、ｐ、ｑ）
ボブ：秘密署名鍵ｂ、秘密暗号化鍵ｂ_E、ジェネレータα、および公開ドメインの

。
注：このセット・アップは、方式６．ｃを使用する内在的証明書用である。通常の証明書方式システムの場合、アリスとボブが同一のジェネレータを有することだけが必要である。

アリスへのメッセージをサインクリプトするために、ボブは下記を実行する。

１アリスの公開署名鍵α^aおよび公開暗号化鍵

を得る（内在的証明書方式の場合、アリスの公開署名鍵

を再構成する）。
２整数ｘをランダムに選択し、

を計算する。
３Ｃ＝ＤＥＳ_r（Ｍ）を計算する。
４

を計算する。
５ｓ＝ｂｅ＋ｘ＋ｂ_E（ｍｏｄｑ）を計算する。
６（Ｃ、ｓ）をアリスに送信する。Ｃは、暗号化されたメッセージであり、ｓは、署名である。
メッセージを復元するために、アリスは下記を実行する。

１．

を計算する。
２．ボブの公開署名鍵α^bおよび公開暗号化鍵

を得る（内在的証明書方式の場合、ボブの公開署名鍵

を再構成する）。
３．

を計算する。これはｒである。
４．メッセージＭ＝ＤＥＳ_r（Ｃ）を非暗号化する。

注：
１．受信者アリスの秘密鍵がａ＋ａ_Eであると考えることができる。これは、受信者が、２つの秘密鍵ではなく１つの秘密鍵だけを必要とすることを意味する。しかし、送信者ボブは、２つの秘密鍵を必要とする。通常の証明書の場合、受信者は、１つの秘密鍵だけを必要とする。
２．証明書方式が、本明細書に記載の内在的証明書でない場合には、アリスおよびボブの公開鍵を検証しなければならない。
３．メッセージＭが、なんらかの冗長性またはパターンを有しなければならない。
４．

の中のパラメータＯＰは、空またはＯＰ＝β₁‖β₂とすることができる。
５．１つのｒの値を知っても、ポスト・メッセージの情報は明らかにならない。
６．内在的証明書方式を用いると、ボブは、２回の累乗演算だけを実行し、アリスは、４回の累乗演算を実行する。しかし、双方が認証部分（authentification part）であることを、アリスとボブの双方は秘密にしている（are confidential）。
７．誰かがアリスの秘密鍵ａ＋ａ_Eを知るか、ボブが両方の秘密鍵を失った場合、事後暗号化されたメッセージを保護することはできない。

通常の署名の場合、１つの問題は、署名者が、自分がその署名を署名したことを否定することである。これを否認（repudiation）と呼ぶ。上のプロトコル１および２は、ジャッジ(judge)を信頼するならば、否認拒否機能（non-repudiationfeature）を有する。すなわち、署名者は、自分がサインクリプトされた(signcrypted)メッセージに署名したことを拒否することができない。プロトコル３は、ジャッジが信頼されないときであっても否認拒否機能を有する。次のプロトコルで、ボブが署名を拒否したい場合にジャッジがどのように判断するかを示す。

否認拒否プロトコル：
１．アリスが（Ｃ、ｓ）をジャッジに送信する。
２．ジャッジは、

を計算する（注：アリスおよびボブの２対の公開鍵を検証しなければならない。内在的証明書方式の場合、再構成公開データから公開鍵を計算しなければならない）。
３．ジャッジは、２つの整数ｒ₁およびｒ₂をランダムに選択し、

を計算し、Ｌをアリスに送信する。
４．アリスは、

を計算し、ジャッジに送り返す。
５．ジャッジは、

を計算し、Ｍ＝ＤＥＳ_r（Ｃ）によってメッセージを復元する。
６．Ｍが正しいフォーマットを有する場合、（Ｃ、ｓ）はボブによってサインクリプトされたものに違いない。
７．ジャッジは、判断を行った後に、値

をアリスおよびボブに送信して、自分の判断を確認する。

他の２つのサインクリプション・プロトコルの場合、否認拒否（non-repudiation）プロトコルは、ジャッジが完全に信頼されるならば類似したものになる。

結論として、本発明の方式は、ユーザーの秘密鍵を計算に直接に使用しなければならないアプリケーション・プロトコルと組み合わされたときに、内在的に証明される、ＩＤに基づくユーザーの公開鍵を提供する。これらの方式は、鍵認証センタ（Key Authentication Center、ＫＡＣ）が、内在的に証明される公開鍵をユーザーに配送するのに使用することもできる。

内在的に証明される公開鍵のもう１つの応用例は、認証機関のビット強度が、証明されるユーザーまたはエンティティの公開鍵と同一であることである。ビット強度によって、相対的な鍵サイズおよび関係するエンティティの処理能力が暗示される。

この問題に対処する手法の１つが、Ｘ．５０９証明書で指定されるものなどの従来の証明書構造に、内在的に証明される公開鍵を埋め込むことである。この場合、証明書に対する署名は、内在的に証明される公開鍵より高いビット強度になる。したがって、ＣＡは、２つの異なるセキュリティ・レベルでユーザー公開鍵を証明している。公開鍵を取り出す他のエンティティは、受け入れたいセキュリティ・レベルについて決定することができる。一部の応用分野では、必要な性能をもたらすために、内在的な値（implicit value）によって提供される、より低いレベルだけが必要になる可能性がある。

本発明の特定の実施形態および特定の用途に関して本発明を説明してきたが、請求項に記載された本発明の趣旨から逸脱せずに、当業者は本発明のさまざまな変更形態を思い浮かべるであろう。たとえば、好ましい実施形態の上の説明では、乗法表現（multiplicative notation）を利用したが、本発明の方法は、加法表現（additive notation）を使用しても同様に良好に説明することができる。たとえば、ＥＣＤＳＡで実施された楕円曲線アルゴリズムがＤＳＡと同等であることは周知であり、そして、楕円曲線は離散対数アルゴリズムに類似することは、モジュロ素数の整数（integersmoduro a prime）の乗法群Ｆ_p ^*の設定（setting）で通常記述される。群Ｆ_p ^*および楕円曲線群Ｅ（Ｆ_q）の要素および演算の間には対応関係がある。さらに、この署名技法は、Ｆ_pおよびＦ_2”上で定義されるフィールド（field）の中で実行される関数にも同様に良好に適用可能である。また、上で説明したＤＳＡ署名方式は、当技術分野で既知の一般化されたＥｌＧａｍａｌ署名方式の特定の実例（specificinstance）であり、したがって、本発明の技法がこれに適用可能であることに留意されたい。

Claims

公開鍵を生成する方法であって、本願明細書に記載の方法。