JP2010200065A - 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム - Google Patents
署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム Download PDFInfo
- Publication number
- JP2010200065A JP2010200065A JP2009043453A JP2009043453A JP2010200065A JP 2010200065 A JP2010200065 A JP 2010200065A JP 2009043453 A JP2009043453 A JP 2009043453A JP 2009043453 A JP2009043453 A JP 2009043453A JP 2010200065 A JP2010200065 A JP 2010200065A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- generation
- commitment
- random number
- knowledge proof
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】素数qと、バイリニアペアリングe:G1×G2→GTが存在する位数qの群G1,G2,GTとを公開し、利用者装置は、コミットメント鍵ckを使って情報mに対するコミットメントCを演算し、署名要求メッセージMとして署名生成装置に送信し、署名生成装置は、群G1,G2の生成元g1、g2とZqに属する乱数x、y、rを使って署名要求メッセージMとの演算により複数の要素の組をMに対する署名σとして生成して利用者装置に送信し、利用者装置は署名σの要素に対し、ペアリング等式が成立するか検証し、コミットメントCと署名σに対する非対話ゼロ知識証明をそれぞれ生成し、情報mと共にブラインド署名として検証装置に与え、検証装置は、非対話ゼロ知識証明を検証する。
【選択図】図1
Description
登録装置400は信頼できる第三者等が管理し、公開パラメータvを登録及び公開している。例えば、登録装置400は、図示してない通信部と、記憶部と、制御部を有し、通信部を介して、利用者装置100、署名生成装置200及び検証装置300に公開パラメータvを送信する。また、署名生成装置200から公開鍵pkを受信し、記憶部に登録し、要求に応じて利用者装置100に公開鍵pkを送信する。以下、特に記述しなくとも、これら装置との通信は通信部を介して行われるものとする。通信部は、例えば、LANアダプタ等により構成され、LANやインターネット等からなるネットワークと接続される。但し、利用者装置100、署名生成装置200、検証装置300は必ずしも通信部を有さずともよく、例えば、キーボード等の入力装置から公開パラメータvを入力してもよいし、また、USBメモリ等の可搬媒体に公開パラメータvを記憶し、それを入力してもよい。以下、同様に各装置(利用者装置、署名生成装置及び検証装置)は送信部を有さずともよく、装置間のデータの入出力は、通信以外の方法であってもよい。登録装置400の図示してない記憶部は、公開パラメータv、コミットメント鍵ck、公開鍵pk等を記憶する。なお、上記「登録」とは、記憶部に記憶することを意味してもよい。また、「公開」とは、利用者の求めに応じて、情報(例えば、公開パラメータv、コミットメント鍵ck、公開鍵pk等)を閲覧可能、または、取得可能とすることを意味する。制御部は、各処理を制御する。
図3は、利用者装置100の構成例を示し、図4は、利用者装置100の処理手順S100の一例を示す。利用者装置100は、通信部101と、記憶部102と、制御部103と、コミットメント鍵生成部110と、乱数生成部120と、コミットメント生成部130と、開封情報生成部140と、署名検証部150と、署名変形部160と、ゼロ知識証明生成部170とを含んでいる。
図5は、署名生成装置200の構成例を示す図である。図6は、署名生成装置200の処理手順S200の一例を示す図である。署名生成装置200は、通信部201と、記憶部202と、制御部203と、生成元選択部210と、乱数生成部220と、公開鍵生成部230と、電子署名生成部240を有する。
・The computational Diffie-Hellman problem (CDH)→いわゆるDH問題
・The computational co-Diffie-Hellman problem (co-DH)
G1, G2をそれぞれP1, P2により生成した位数Lの巡回群とする。(G1,G2)上のco-DH問題は(P1; aP1; P2)が与えられaP2を計算することである。
a1=g1 r (1)
a2=Mr (2)
a3=g1 rxMrxy (3)
a4=Mry (4)
a5=g2 ry (5)
を計算し、これら5つの値の組を署名要求メッセージMに対する電子署名σ=(a1, a2, a3, a4, a5)∈G1 5×G2とし、利用者装置100に送信する(S260)。
署名検証部150は署名生成装置200の公開鍵pk=(v, g1, g2, X', Y')を登録装置400から取得し(S160)、署名生成装置200から受信した署名σ=(a1, a2, a3, a4, a5)と署名要求メッセージM(即ちコミットメントC)の組に対する検証を、次の4つのペアリング等式が成立するか検査することにより行う(S170)。
e(M,a5)=e(a2,g2) (7)
e(a2,Y')=e(a4,g2) (8)
e(a3,g2)=e(a1a4,X') (9)
式(6)は式(1)及び(5)を用いて、以下のように表すことができる。
これが成立することにより、バイリニアペアリングの性質から、両辺中の利用者装置100に知らされていない乱数rが同一であることを確認することができる。同様に、式(7)は式(1)及び(2)を用いて、以下のように表すことができる。
式(6)'でrの同一性が確認されたので、式(7)'が成立することにより、送信したM=Cと署名の対象となったMが同一であることを確認することができる。式(8)は式(2)、(4)、Y'=g2 yを用いて、以下のように表すことができる。
式(6)'と(7)'で乱数rの同一性とメッセージMの同一性が確認されたので、式(8)'が成り立つ場合には、乱数yが正しいことが確認できる。式(9)は、式(1)、(3)、(4)、X'=g2 xを用いて、以下のように表すことができる。
式(6)', (7)', (8)'で乱数r、メッセージM、及び乱数yが正しいことが確認できたので、式(9)'が成り立つ場合には、乱数xが正しいことが確認できる。これらの処理により、電子署名σを作成できるのは、秘密鍵sk=(x,y)を知っている署名者のみであることが確認できる。
式(10)は、利用者装置100が検証装置300に対し(C,H)を隠したまま利用者装置100が(C,H)を確かに所有していることを、e(C/gm, h2)e(h1 -1, H)=1が成立することにより証明する非対話ゼロ知識証明を表す。
NIZK{(a'2, a'4): e(a'2, Y')e(a'4, g2 -1)=1} (12)
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1} (13)
式(11), (12), (13)は利用者装置100が検証装置に対しそれぞれ(C, a'2), (a'2, a'4), (a'3, a'4)を隠したまま利用者装置100がこれらを確かに所有していることを、それぞれの等式が成立することにより証明する非対話ゼロ知識証明を表し、これら3つのゼロ知識証明をまとめてPrf(σ')と表すことにする。非対話ゼロ知識証明Prf(C)とPrf(σ')は情報mおよび検証用情報としての要素a'1,a'5と共に検証装置300に送信される(S180)。
図7は検証装置300の構成を示し、図8はその検証処理手順S300の一例を示す。検証装置300は、通信部301と、記憶部302と、制御部303と、ゼロ知識証明検証部310とから構成されている。制御部303は通信部301、記憶部302、ゼロ知識証明検証部310の動作を制御する。検証装置300は、通信部301により利用者装置100及び登録装置400と通信し、登録装置400から公開パラメータv=(q, G1, G2, GT, e)を取得して記憶部302に保存し(S310)、更に登録装置400からコミットメント鍵ck=(v, g, h1, h2)を取得し、記憶部302に保存する(S320)。
e(g1, a'5)=e(a'1,g2) (14)
が成立するか検証し、成立すれば署名装置200が署名生成に使用した乱数rと、利用者装置から受信したa'1=a1 η,a'5=a5 ηに含まれる乱数r(式(1)と(5)を参照)が一致していることを確認できる。
図9は、実施例2による利用者装置100の構成例を示し、図10は、利用者装置100の処理手順S100の一例を示す。利用者装置100は、通信部101と、記憶部102と、制御部103と、コミットメント鍵生成部110と、乱数生成部120と、コミットメント生成部130と、開封情報生成部140と、署名検証部151と、署名変形部161と、ゼロ知識証明生成部171とを含んでいる。図9の利用者装置は、図3の利用者装置における署名検証部150と署名変形部160とゼロ知識証明生成部170が署名検証部151と署名変形部161とゼロ知識証明生成部171に変更されているだけである。また、図10の処理手順は図4の処理手順におけるステップS170, S180,S190がステップS171, S181,S191に変更されているだけである。
図11は、実施例2の署名生成装置200の構成例を示し、図12はその署名生成処理手順S200の一例を示す。署名生成装置200は、通信部201と、記憶部202と、制御部203と、生成元選択部210と、乱数生成部220と、公開鍵生成部230と、電子署名生成部241を有する。図11の署名生成装置は図5の署名生成装置における電子署名生成部240が電子署名生成部241に変更されているだけであり、また図12の処理手順は図6の処理手順におけるステップS260がステップS261に変更されているだけである。
a1=g1 r (15)
a3=g1 rxMrxy (16)
a4=Mry (17)
a5=g2 ry (18)
を計算し、これら4つの値の組を署名要求メッセージMに対する電子署名σ=(a1, a3, a4, a5)∈G1 4×G2とし、利用者装置100に送信する(S261)。
署名検証部151は署名生成装置200の公開鍵pk=(v, g1, g2, X', Y')を登録装置400から取得し(S160)、署名生成装置200から受信した署名σ=(a1, a3, a4, a5)と署名要求メッセージM(即ちコミットメントC)の組に対する検証を、次の3つのペアリング等式が成立するか検査することにより行う(S171)。
e(M,a5)=e(a4,g2) (20)
e(a3,g2)=e(a1a4,X') (21)
式(19)は式(15), (18)及びY'=g2 yを用いて、以下のように表すことができる。
これが成立することにより、バイリニアペアリングの性質から、両辺中の利用者装置100に知らされていない乱数r及びyが同一であることを確認することができる。同様に、式(20)は式(18)及び(17)を用いて、以下のように表すことができる。
式(19)'でr,yの同一性が確認されたので、式(18)'が成立することにより、送信したM=Cと署名の対象となったMが同一であることを確認することができる。式(21)は、式(15)、(18)、(17)、X'=g2 xを用いて、以下のように表すことができる。
式(19)', (20)'で乱数r、y及びメッセージMが正しいことが確認できたので、式(21)'が成り立つ場合には、乱数xが正しいことが確認できる。これらの処理により、電子署名σを作成できるのは、秘密鍵sk=(x, y)を知っている署名者のみであることが確認できる。
式(22)は、利用者装置100が検証装置300に対し(C,H)を隠したまま利用者装置100が(C,H)を確かに所有していることを、等式e(C/gm, h2)e(h1 -1, H)=1が成立することにより証明する非対話ゼロ知識証明を表す。
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1} (24)
式(23), (24)は利用者装置100が検証装置に対しそれぞれ(C, a'4)、(a'3, a'4)を隠したまま利用者装置100がこれらを確かに所有していることを、それぞれの等式が成立することにより証明する非対話ゼロ知識証明を表し、これら2つのゼロ知識証明をまとめてPrf(σ')と表すことにする。非対話ゼロ知識証明Prf(C)とPrf(σ')は情報m及び要素a'1,a'5と共に検証装置300に送信される(S191)。
図13は実施例2の検証装置300の構成を示し、図14はその検証処理手順S300を示す。検証装置300は、通信部301と、記憶部302と、制御部303と、ゼロ知識証明検証部311とから構成されている。図13の検証装置は、図7におけるゼロ知識証明検証部310がゼロ知識証明検証部311に変更されているだけである。また、図14の処理手順は、図8におけるステップS350がステップS351に変更されているだけである。
e(a'1、Y')=e(g1,a'5) (25)
が成立するか検証し、成立すれば署名装置200が署名生成に使用した乱数rと、利用者装置から受信したa'1=a1 η,a'5=a5 ηに含まれる乱数r(式(15)と(18)を参照)が一致していることを確認できる。
図15は、実施例2による利用者装置100の構成例を示し、図16は、利用者装置100の処理手順S100の一例を示す。利用者装置100は、通信部101と、記憶部102と、制御部103と、コミットメント鍵生成部110と、乱数生成部120と、コミットメント生成部130と、開封情報生成部140と、署名検証部152と、署名変形部162と、ゼロ知識証明生成部172とを含んでいる。図15の利用者装置は、図3の利用者装置における署名検証部150と署名変形部160とゼロ知識証明生成部170が署名検証部152と署名変形部162とゼロ知識証明生成部172に変更されているだけである。また、図16の処理手順は、図4の処理手順におけるステップS170, S180,S190がステップS172, S182,S192に変更されているだけである。
図17は、実施例2の署名生成装置200の構成例を示し、図18はその署名生成処理手順S200の一例を示す。署名生成装置200は、通信部201と、記憶部202と、制御部203と、生成元選択部210と、乱数生成部220と、公開鍵生成部232と、電子署名生成部242を有する。図17の署名生成装置は、図5の署名生成装置における公開鍵生成部230と電子署名生成部240が公開鍵生成部232と電子署名生成部242に変更されているだけであり、また図18の処理手順は図6の処理手順におけるステップS250, S260がステップS252, S262に変更されているだけである。
a1=MryYr (26)
a3=YrxMrxy (27)
a5=g2 ry (28)
を計算し、これら3つの値の組を署名要求メッセージMに対する電子署名σ=(a1,a3,a5)∈G1 2×G2とし、利用者装置100に送信する(S262)。
署名検証部152は署名生成装置200の公開鍵pk=(v, g1, g2, X', Y', Y)を登録装置400から取得し(S160)、署名生成装置200から受信した署名σ=(a1,a3,a5)と署名要求メッセージM(即ちコミットメントC)の組に対する検証を、次の2つのペアリング等式が成立するか検査することにより行う(S172)。
e(a3,g2)=e(a1,X') (30)
式(29)は式(26), (28)及びY=g1 yを用いて、以下のように表すことができる。
これが成立することにより、バイリニアペアリングの性質から、両辺中の利用者装置100に知らされていない乱数r及びyが同一であることを確認することができる。式(30)は、式(27)、(26)及びX'=g2 x、Y=g1 yを用いて、以下のように表すことができる。
式(29)で乱数r、yが正しいことが確認できたので、式(30)が成り立つ場合には、メッセージMと乱数xが正しいことが確認できる。これらの処理により、電子署名σを作成できるのは、秘密鍵sk=(x,y)を知っている署名者のみであることが確認できる。
式(31)は、利用者装置100が検証装置300に対し(C,H)を隠したまま利用者装置100が(C,H)を確かに所有していることを、等式e(C/gm, h2)e(h1 -1, H)=1が成立することにより証明する非対話ゼロ知識証明を表す。
NIZK{(a'1, a'3): e(a'3, g2)e(a'1, X'-1)=1} (33)
式(32), (33)は利用者装置100が検証装置に対しそれぞれ(C, a'1)、(a'1, a'3)を隠したまま利用者装置100がこれらを確かに所有していることを、それぞれの等式が成立することにより証明する非対話ゼロ知識証明を表し、これら2つのゼロ知識証明をまとめてPrf(σ')と表すことにする。非対話ゼロ知識証明Prf(C)とPrf(σ')は情報m及び要素a'5と共に検証装置300に送信される(S192)。
図19は実施例2の検証装置300の構成を示し、図20はその検証処理手順S300の一例を示す。検証装置300は、通信部301と、記憶部302と、制御部303と、ゼロ知識証明検証部312とから構成されている。図19の検証装置は、図7におけるゼロ知識証明検証部310がゼロ知識証明検証部312に変更されているだけである。また、図20の処理手順は、図8におけるステップS350がステップS352に変更されているだけである。
図21は、図1に示したこの発明による署名検証システムにおける利用者装置100のハードウェア構成を例示したブロック図である。署名生成装置200、検証装置300及び登録装置400も同様の構成とすることができる。
Claims (21)
- 利用者装置と、署名生成装置と、検証装置とを含み、素数qと、バイリニアペアリングe:G1×G2→GTが存在する位数qの群G1,G2,GTとを公開した署名検証システムであり、
上記利用者装置は、上記G1の元g、h1とG2の元h2とを含むコミットメント鍵ckを使って情報mに対するコミットメントCを演算し、署名要求メッセージMとして上記署名生成装置に送信するコミットメント生成部と、
署名生成装置から受信した署名σの要素に対し、ペアリング等式が成立するか検証する署名検証部と、
検証に成功した場合は、上記コミットメントCに対する非対話ゼロ知識証明と上記署名σに対する非対話ゼロ知識証明をそれぞれ生成し、上記情報mと共にブラインド署名として上記検証装置に与えるゼロ知識証明生成部と、を含み、
上記署名生成装置は、上記群G1,G2の生成元g1、g2とZqに属する乱数x、y、rを使って上記利用者装置から受信した署名要求メッセージMとの演算により群G1,G2,GTのいずれかの元となる複数の要素の組をMに対する署名σとして生成し、上記利用者装置にブラインド署名として送信する電子署名生成部と、を含み、
上記検証装置は、上記公開パラメータと上記コミットメント鍵を使って上記利用者装置から受信したコミットメントに対する非対話ゼロ知識証明と署名に対する非対話ゼロ知識証明とを検証し、検証に成功した場合は上記ブラインド署名を受け入れるゼロ知識証明検証部を含むことを特徴とする署名検証システム。 - 請求項1記載の署名検証システムにおいて、
上記利用者装置は、Zqに属する乱数tとηを生成する第1乱数生成部と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出部と、署名変形部とを含み、上記コミットメント生成部は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証部は上記署名としてσ=(a1,a2,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の4つのペアリング等式
e(g1,a5)=e(a1,g2)
e(M,a5)=e(a2,g2)
e(a2,Y')=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名変形部は上記署名σの各要素ai, i=1,…,5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'2, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成部は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'2): e(C, a'5)e(a'2, g2 -1)=1}
NIZK{(a'2, a'4): e(a'2, Y')e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数η出処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置は、上記乱数r、x、yを生成する第2乱数生成部と、上記群G1、G2から生成元g1、g2を選択する生成元選択部と、X'=g1 x,Y'=g2 yを計算し、g1、g2、X',Y'を含む公開鍵pkを公開する公開鍵生成部とを含み、上記電子署名生成部は、
a1=g1 r
a2=Mr
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算し、上記a1,a2,a3,a4,a5の組を上記署名σとして出力し、
上記検証装置は、上記コミットメント鍵ckと上記乱数ηで処理された要素a'1,a'5を使って上記コミットメントCに対する非対話ゼロ知識証明Prf(C)と上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ')とを検証することを特徴とする署名検証システム。 - 請求項1記載の署名検証システムにおいて、
上記利用者装置は、Zqに属する乱数tとηを生成する第1乱数生成部と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出部と、署名変形部とを含み、上記コミットメント生成部は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証部は上記署名としてσ=(a1,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の3つのペアリング等式
e(a1,Y')=e(g1,a5)
e(M,a5)=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名変形部は上記署名σの各要素ai, i=1, 3, 4, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成部は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'4): e(C, a'5)e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数η出処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置は、上記乱数r、x、yを生成する第2乱数生成部と、上記群G1、G2から生成元g1、g2を選択する生成元選択部と、X'=g1 x,Y'=g2 yを計算し、g1、g2、X',Y'を含む公開鍵pkを公開する公開鍵生成部とを含み、上記電子署名生成部は、
a1=g1 r
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算し、上記a1,a3,a4,a5の組を上記署名σとして出力し、
上記検証装置は、上記コミットメント鍵ckと上記乱数η出処理された要素a'1,a'5を使って上記コミットメントCに対する非対話ゼロ知識証明Prf(C)と上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ')とを検証することを特徴とする署名検証システム。 - 請求項1記載の署名検証システムにおいて、
上記利用者装置は、Zqに属する乱数tとηを生成する第1乱数生成部と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出部と、署名変形部ととを含み、上記コミットメント生成部は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証部は上記署名としてσ=(a1,a3,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y',Yを使って次の2つのペアリング等式
e(a1,g2)=e(Mg1,a5)
e(a3,g2)=e(a1,X')
が成立するか検証し、成立した場合は、上記署名変形部は上記署名σの各要素ai, i=1, 3, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成部は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'1): e(C, a'5 -1)e(a'1, g2)=1}
NIZK{(a'1, a'3): e(a'3, g2)e(a'1, X'-1)=1}
とを生成して上記乱数η出処理された要素a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置は、上記乱数r、x、yを生成する第2乱数生成部と、上記群G1、G2から生成元g1、g2を選択する生成元選択部と、X'=g1 x,Y'=g2 y,Y=g1 yを計算し、g1、g2、X',Y',Yを含む公開鍵pkを公開する公開鍵生成部とを含み、上記電子署名生成部は、
a1=MryYr
a3=YrxMrxy
a5=g2 ry
を演算し、上記a1,a3,a5の組を上記署名σとして出力し、
上記検証装置は、上記コミットメント鍵ckと上記乱数η出処理された要素a'5を使って上記コミットメントCに対する非対話ゼロ知識証明Prf(C)と上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ')とを検証することを特徴とする署名検証システム。 - 請求項1乃至4のいずれかに記載の署名検証システムにおいて、上記コミットメント鍵を予め生成し、要求に応じて上記利用者装置及び上記検証装置に与える登録装置が設けられていることを特徴とする署名検証システム。
- 請求項1乃至4のいずれかに記載の署名検証システムにおいて、登録装置が設けられており、上記利用者装置は、上記コミットメント鍵を生成し、上記登録装置に登録するコミットメント鍵生成部を含んでおり、上記登録装置は要求に応じて上記コミットメント鍵を上記検証装置に与えることを特徴とする署名検証システム。
- 素数qと、バイリニアペアリングe:G1×G2→GTが存在する位数qの群G1,G2,GTとが公開された署名検証システムに使用される、利用者装置と、署名生成装置と、検証装置とによる署名検証方法であり、
上記利用者装置が、上記G1の元g、h1とG2の元h2とを含むコミットメント鍵ckを使って情報mに対するコミットメントCを演算し、署名要求メッセージMとして上記署名生成装置に送信するコミットメント生成段階と、
上記署名生成装置が、上記群G1,G2の生成元g1、g2とZqに属する乱数x、y、rを使って上記利用者装置から受信した署名要求メッセージMとの演算により群G1,G2,GTのいずれかの元となる複数の要素の組をMに対する署名σとして生成し、上記利用者装置に送信する電子署名生成段階と、
上記利用者装置が上記署名生成装置から受信した署名σの要素に対し、ペアリング等式が成立するか検証する署名検証段階と、
検証に成功した場合は、上記利用者装置が上記コミットメントCに対する非対話ゼロ知識証明と上記署名σに対する非対話ゼロ知識証明をそれぞれ生成し、上記情報mと共にブラインド署名として上記検証装置に与えるゼロ知識証明生成段階と、
上記検証装置が、上記公開パラメータと上記コミットメント鍵を使って、上記利用者装置から受信したコミットメントに対する非対話ゼロ知識証明と署名に対する非対話ゼロ知識証明とを検証し、検証に成功したら上記ブラインド署名を受け入れるゼロ知識証明検証段階を含むことを特徴とする署名検証方法。 - 請求項7記載の署名検証方法において、
上記利用者装置が、Zqに属する乱数tとηを生成する第1乱数生成段階と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出段階と、署名を変形する段階とを含み、上記コミットメント生成段階は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証段階は上記署名としてσ=(a1,a2,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の4つのペアリング等式
e(g1,a5)=e(a1,g2)
e(M,a5)=e(a2,g2)
e(a2,Y')=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名を変形する段階は上記署名σの各要素ai, i=1,…,5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'2, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成段階に与え、上記ゼロ知識証明生成段階は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'2): e(C, a'5)e(a'2, g2 -1)=1}
NIZK{(a'2, a'4): e(a'2, Y')e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数η出処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置が、上記乱数r、x、yを生成する第2乱数生成段階と、上記群G1、G2から生成元g1、g2を選択する生成元選択段階と、X'=g1 x,Y'=g2 yを計算し、g1、g2、X',Y'を含む公開鍵pkを公開する公開鍵生成段階とを含み、上記電子署名生成段階は、
a1=g1 r
a2=Mr
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算し、上記a1,a2,a3,a4,a5の組を上記署名σとして出力し、
上記検証装置による上記ゼロ知識証明検証段階は、上記コミットメント鍵ckと上記乱数ηで処理された要素a'1,a'5を使って上記コミットメントCに対する非対話ゼロ知識証明Prf(C)と上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ')とを検証することを特徴とする署名検証方法。 - 請求項7記載の署名検証方法において、
上記利用者装置が、Zqに属する乱数tと乱数ηを生成する第1乱数生成段階と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出段階と、署名変形段階とを含み、上記コミットメント生成段階は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証段階は上記署名としてσ=(a1,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の3つのペアリング等式
e(a1,Y')=e(g1,a5)
e(M,a5)=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名変形段階は上記署名σの各要素ai, i=1, 3, 4, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成段階に与え、上記ゼロ知識証明生成段階は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'4): e(C, a'5)e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置が、上記乱数r、x、yを生成する第2乱数生成段階と、上記群G1、G2から生成元g1、g2を選択する生成元選択段階と、X'=g1 x,Y'=g2 yを計算し、g1、g2、X',Y'を含む公開鍵pkを公開する公開鍵生成段階とを含み、上記電子署名生成段階は、
a1=g1 r
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算し、上記a1,a3,a4,a5の組を上記署名σとして出力し、
上記検証装置による上記ゼロ知識証明検証段階は、上記コミットメント鍵ckと上記乱数ηで処理された要素a'1,a'5を使って上記コミットメントCに対する非対話ゼロ知識証明Prf(C)と上記上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ')とを検証することを特徴とする署名検証方法。 - 請求項7記載の署名検証方法において、
上記利用者装置が、Zqに属する乱数tとηを生成する第1乱数生成段階と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出段階と、署名変形段階とを含み、上記コミットメント生成段階は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証段階は上記署名としてσ=(a1,a3,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y',Yを使って次の2つのペアリング等式
e(a1,g2)=e(Mg1,a5)
e(a3,g2)=e(a1,X')
が成立するか検証し、成立した場合は、上記署名変形段階は上記署名σの各要素ai, i=1, 3, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'5)を生成して上記ゼロ知識証明生成段階に与え、上記ゼロ知識証明生成段階は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'1): e(C, a'5 -1)e(a'1, g2)=1}
NIZK{(a'1, a'3): e(a'3, g2)e(a'1, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置が、上記乱数r、x、yを生成する第2乱数生成段階と、上記群G1、G2から生成元g1、g2を選択する生成元選択段階と、X'=g1 x,Y'=g2 y,Y=g1 yを計算し、g1、g2、X',Y',Yを含む公開鍵pkを公開する公開鍵生成段階とを含み、上記電子署名生成段階は、
a1=MryYr
a3=YrxMrxy
a5=g2 ry
を演算し、上記a1,a3,a5の組を上記署名σとして出力し、
上記検証装置による上記ゼロ知識証明検証段階は、上記コミットメント鍵ckと上記乱数ηで処理された要素a'5を使って上記コミットメントCに対する非対話ゼロ知識証明Prf(C)と上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ')とを検証することを特徴とする署名検証方法。 - 請求項7乃至10のいずれかに記載の署名検証方法において、登録装置が設けられており、上記登録装置が上記コミットメント鍵を予め生成し、要求に応じて上記利用者装置及び上記検証装置に与える段階を含むことを特徴とする署名検証方法。
- 請求項7乃至10のいずれかに記載の署名検証方法において、登録装置が設けられており、上記利用者装置が、上記コミットメント鍵を生成し、上記登録装置に登録するコミットメント鍵生成段階を含んでおり、上記登録装置が、要求に応じて上記コミットメント鍵を上記検証装置に与える段階を含んでいることを特徴とする署名検証方法。
- 素数qと、バイリニアペアリングe:G1×G2→GTが存在する位数qの群G1,G2,GTとが公開された署名検証システムに使用される、利用者装置と、署名生成装置とによるブラインド署名生成方法であり、
上記利用者装置が、上記G1の元g、h1とG2の元h2とを含むコミットメント鍵ckを使って情報mに対するコミットメントCを演算し、署名要求メッセージMとして上記署名生成装置に送信するコミットメント生成段階と、
上記署名生成装置が、上記群G1,G2の生成元g1、g2とZqに属する乱数x、y、rを使って上記利用者装置から受信した署名要求メッセージMとの演算により群G1,G2,GTのいずれかの元となる複数の要素の組をMに対する署名σとして生成し、上記利用者装置に送信する電子署名生成段階と、
上記利用者装置が上記署名生成装置から受信した署名σの要素に対し、ペアリング等式が成立するか検証する署名検証段階と、
検証に成功した場合は、上記利用者装置が上記コミットメントCに対する非対話ゼロ知識証明と上記署名σに対する非対話ゼロ知識証明をそれぞれ生成し、上記情報mと共にブラインド署名として出力するゼロ知識証明生成段階と、を含むことを特徴とするブラインド署名生成方法。 - 請求項13記載のブラインド署名生成方法において、
上記利用者装置が、Zqに属する乱数tとηを生成する第1乱数生成段階と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出段階と、署名を変形する段階とを含み、上記コミットメント生成段階は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証段階は上記署名としてσ=(a1,a2,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の4つのペアリング等式
e(g1,a5)=e(a1,g2)
e(M,a5)=e(a2,g2)
e(a2,Y')=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名を変形する段階は上記署名σの各要素ai, i=1,…,5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'2, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成段階に与え、上記ゼロ知識証明生成段階は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'2): e(C, a'5)e(a'2, g2 -1)=1}
NIZK{(a'2, a'4): e(a'2, Y')e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置が、上記乱数r、x、yを生成する第2乱数生成段階と、上記群G1、G2から生成元g1、g2を選択する生成元選択段階と、X'=g1 x,Y'=g2 yを計算し、g1、g2、X',Y'を含む公開鍵pkを公開する公開鍵生成段階とを含み、上記電子署名生成段階は、
a1=g1 r
a2=Mr
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算し、上記a1,a2,a3,a4,a5の組を上記署名σとして出力することを特徴とするブラインド署名生成方法。 - 請求項13記載のブラインド署名生成方法において、
上記利用者装置が、Zqに属する乱数tと乱数ηを生成する第1乱数生成段階と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出段階と、署名変形段階とを含み、上記コミットメント生成段階は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証段階は上記署名としてσ=(a1,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の3つのペアリング等式
e(a1,Y')=e(g1,a5)
e(M,a5)=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名変形段階は上記署名σの各要素ai, i=1, 3, 4, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成段階に与え、上記ゼロ知識証明生成段階は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'4): e(C, a'5)e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置が、上記乱数r、x、yを生成する第2乱数生成段階と、上記群G1、G2から生成元g1、g2を選択する生成元選択段階と、X'=g1 x,Y'=g2 yを計算し、g1、g2、X',Y'を含む公開鍵pkを公開する公開鍵生成段階とを含み、上記電子署名生成段階は、
a1=g1 r
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算し、上記a1,a3,a4,a5の組を上記署名σとして出力することを特徴とするブラインド署名生成方法。 - 請求項13記載のブラインド署名生成方法において、
上記利用者装置が、Zqに属する乱数tとηを生成する第1乱数生成段階と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出段階と、署名変形段階とを含み、上記コミットメント生成段階は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証段階は上記署名としてσ=(a1,a3,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y',Yを使って次の2つのペアリング等式
e(a1,g2)=e(Mg1,a5)
e(a3,g2)=e(a1,X')
が成立するか検証し、成立した場合は、上記署名変形段階は上記署名σの各要素ai, i=1, 3, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成段階は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'1): e(C, a'5 -1)e(a'1, g2)=1}
NIZK{(a'1, a'3): e(a'3, g2)e(a'1, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力し、
上記署名生成装置が、上記乱数r、x、yを生成する第2乱数生成段階と、上記群G1、G2から生成元g1、g2を選択する生成元選択段階と、X'=g1 x,Y'=g2 y,Y=g1 yを計算し、g1、g2、X',Y',Yを含む公開鍵pkを公開する公開鍵生成段階とを含み、上記電子署名生成段階は、
a1=MryYr
a3=YrxMrxy
a5=g2 ry
を演算し、上記a1,a3,a5の組を上記署名σとして出力することを特徴とするブラインド署名生成方法。 - 素数qと、ペアリングeと、ペアリングe:G1×G2→GTが存在する位数qの群G1,G2,GTとが公開された署名検証システムに使用される利用者装置であり、
上記G1の元g、h1とG2の元h2とを含むコミットメント鍵ckを使って情報mに対するコミットメントCを演算し、署名要求メッセージMとして署名生成装置に送信するコミットメント生成部と、
上記署名生成装置から受信した署名σの要素に対し、ペアリング等式が成立するか検証する署名検証部と、
検証に成功した場合は、上記コミットメントCに対する非対話ゼロ知識証明と上記署名σに対する非対話ゼロ知識証明をそれぞれ生成し、上記情報mと共にブラインド署名として出力するゼロ知識証明生成部と、を含むことを特徴とする利用者装置。 - 請求項17記載の利用者装置は、更に、Zqに属する乱数tとηを生成する第1乱数生成部と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出部と、署名変更部とを含み、
上記コミットメント生成部は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証部は上記署名として上記署名生成装置が
a1=g1 r
a2=Mr
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算して生成した生成した署名σ=(a1,a2,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の4つのペアリング等式
e(g1,a5)=e(a1,g2)
e(M,a5)=e(a2,g2)
e(a2,Y')=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名変形部は上記署名σの各要素ai, i=1,…,5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'2, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成部は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'2): e(C, a'5)e(a'2, g2 -1)=1}
NIZK{(a'2, a'4): e(a'2, Y')e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力することを特徴とする利用者装置。 - 請求項17記載の利用者装置は、更に、Zqに属する乱数tとηを生成する第1乱数生成部と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出部と、署名変形部とを含み、
上記コミットメント生成部は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証部は上記署名として上記署名生成装置が
a1=g1 r
a3=g1 rxMrxy
a4=Mry
a5=g2 ry
を演算して生成した上記署名σ=(a1,a3,a4,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y'を使って次の3つのペアリング等式
e(a1,Y')=e(g1,a5)
e(M,a5)=e(a4,g2)
e(a3,g2)=e(a1a4,X')
が成立するか検証し、成立した場合は、上記署名変形部は上記署名σの各要素ai, i=1,…,5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'2, a'3, a'4, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成部は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'4): e(C, a'5)e(a'4, g2 -1)=1}
NIZK{(a'3, a'4): e(a'3, g2)e(a'1a'4, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'1,a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力することを特徴とする利用者装置。 - 請求項17記載の利用者装置は、更に、Zqに属する乱数tとηを生成する第1乱数生成部と、上記元h2と上記乱数tから開封情報H'=h2 tを計算する開封情報算出部と、署名変形部とを含み、
上記コミットメント生成部は上記コミットメント鍵に含まれる上記元g、h1と上記乱数tとを使って上記情報mに対しコミットメントC=gmh1 tを演算し、上記署名検証部は上記署名として上記署名生成装置が
a1=MryYr
a3=YrxMrxy
a5=g2 ry
を演算して生成した署名σ=(a1,a3,a5)を上記署名生成装置から受信し、上記コミットメントC=Mと、上記署名生成装置が生成した公開鍵に含まれるg1,g2,X',Y',Yを使って次の2つのペアリング等式
e(a1,g2)=e(Mg1,a5)
e(a3,g2)=e(a1,X')
が成立するか検証し、成立した場合は、上記署名変形部は上記署名σの各要素ai, i=1, 3, 5、を上記乱数ηでそれぞれ処理して変形された署名σ'=(a'1, a'3, a'5)を生成して上記ゼロ知識証明生成部に与え、上記ゼロ知識証明生成部は、上記開封情報H'を使って上記コミットメントCに対し非対話ゼロ知識証明Prf(C):
NIZK{(C,H'): e(C/gm, h2)e(h1 -1, H')=1}
と、上記変形された署名σ'に対する非対話ゼロ知識証明Prf(σ'):
NIZK{(C, a'1): e(C, a'5 -1)e(a'1, g2)=1}
NIZK{(a'1, a'3): e(a'3, g2)e(a'1, X'-1)=1}
とを生成して上記乱数ηで処理された要素a'5と共にm、Prf(C)、Prf(σ')を上記ブラインド署名として出力することを特徴とする利用者装置。 - 請求項17乃至20のいずれかに記載のブラインド署名を生成する利用者装置としてコンピュータを機能させるためのブラインド署名生成プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009043453A JP5330858B2 (ja) | 2009-02-26 | 2009-02-26 | 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009043453A JP5330858B2 (ja) | 2009-02-26 | 2009-02-26 | 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010200065A true JP2010200065A (ja) | 2010-09-09 |
JP5330858B2 JP5330858B2 (ja) | 2013-10-30 |
Family
ID=42824304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009043453A Expired - Fee Related JP5330858B2 (ja) | 2009-02-26 | 2009-02-26 | 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5330858B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013198133A (ja) * | 2012-03-23 | 2013-09-30 | Nippon Telegr & Teleph Corp <Ntt> | 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム |
JP2014515125A (ja) * | 2011-04-29 | 2014-06-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データの暗号化のための方法、コンピュータ・プログラム、および装置 |
JP2015216628A (ja) * | 2014-05-09 | 2015-12-03 | 富士通株式会社 | 確認可能なノイズを使用した電気使用データ開示のための信頼できるプライバシィ保護方法およびプログラム |
JPWO2014192086A1 (ja) * | 2013-05-28 | 2017-02-23 | 株式会社日立製作所 | 生体署名システム、署名検証方法、登録端末、署名生成端末および署名検証装置 |
CN115277197A (zh) * | 2022-07-27 | 2022-11-01 | 深圳前海微众银行股份有限公司 | 模型所有权验证方法、电子设备、介质及程序产品 |
-
2009
- 2009-02-26 JP JP2009043453A patent/JP5330858B2/ja not_active Expired - Fee Related
Non-Patent Citations (3)
Title |
---|
JPN6013023748; Marc Fischlin: 'Round-optimal composable blind signatures in the common reference string model' Lecture Notes in Computer Science Vol.4117, 2006, p.60-77 * |
JPN6013023749; Matthew Green and Susan Hohenberger: 'Universally Composable Adaptive Oblivious Transfer' Cryptology ePrint Archive Report 2008/163, 20081028, The Internet * |
JPN6013023750; 大久保美也子,阿部正幸: '大域的合成可能なブラインド署名の安全性に関する再考' 2009年暗号と情報セキュリティシンポジウム講演論文集 , 20090120 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014515125A (ja) * | 2011-04-29 | 2014-06-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データの暗号化のための方法、コンピュータ・プログラム、および装置 |
US9544144B2 (en) | 2011-04-29 | 2017-01-10 | International Business Machines Corporation | Data encryption |
JP2013198133A (ja) * | 2012-03-23 | 2013-09-30 | Nippon Telegr & Teleph Corp <Ntt> | 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム |
JPWO2014192086A1 (ja) * | 2013-05-28 | 2017-02-23 | 株式会社日立製作所 | 生体署名システム、署名検証方法、登録端末、署名生成端末および署名検証装置 |
JP2015216628A (ja) * | 2014-05-09 | 2015-12-03 | 富士通株式会社 | 確認可能なノイズを使用した電気使用データ開示のための信頼できるプライバシィ保護方法およびプログラム |
CN115277197A (zh) * | 2022-07-27 | 2022-11-01 | 深圳前海微众银行股份有限公司 | 模型所有权验证方法、电子设备、介质及程序产品 |
CN115277197B (zh) * | 2022-07-27 | 2024-01-16 | 深圳前海微众银行股份有限公司 | 模型所有权验证方法、电子设备、介质及程序产品 |
Also Published As
Publication number | Publication date |
---|---|
JP5330858B2 (ja) | 2013-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7634085B1 (en) | Identity-based-encryption system with partial attribute matching | |
JP5736816B2 (ja) | 認証装置、認証方法、プログラム、及び署名生成装置 | |
TW201733303A (zh) | 決定用於資訊的安全交換的共同私密,及階層化的決定性加密金鑰 | |
TWI813616B (zh) | 用以獲取數位簽署資料之電腦實行方法及系統 | |
WO2013031533A1 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
Chen et al. | Light-weight and privacy-preserving authentication protocol for mobile payments in the context of IoT | |
WO2013031414A1 (ja) | 署名検証装置、署名検証方法、プログラム、及び記録媒体 | |
Al-Riyami | Cryptographic schemes based on elliptic curve pairings | |
JPWO2010053036A1 (ja) | データ参照システム、データベース提示分散システム、及びデータ参照方法 | |
TW202029693A (zh) | 用以分配數位簽署資料之份額的電腦實施系統及方法 | |
CN114467280A (zh) | 使用冷钱包生成数字签名 | |
JP2004208263A (ja) | バイリニアペアリングを用いた個人識別情報に基づくブラインド署名装置及び方法 | |
WO2013031555A1 (ja) | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム | |
KR20210139344A (ko) | 데이터 기반 활동을 수행하는 방법 및 장치 | |
JP5330858B2 (ja) | 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム | |
TW202318833A (zh) | 臨界簽章方案 | |
WO2013129084A1 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
WO2013129119A1 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
JP5314449B2 (ja) | 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム | |
Liu et al. | An efficient identity-based online/offline signature scheme without key escrow | |
CN117917041A (zh) | 生成共享加密密钥 | |
JP5227764B2 (ja) | 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム | |
US20220345312A1 (en) | Zero-knowledge contingent payments protocol for granting access to encrypted assets | |
WO2023055371A1 (en) | Replicated secret share generation for distributed symmetric cryptography | |
Chen et al. | Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110228 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110715 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130528 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130628 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130716 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130726 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |