JP2011145361A - Signature generating device, signature verifying device, relink key generating device, and program - Google Patents

Signature generating device, signature verifying device, relink key generating device, and program Download PDF

Info

Publication number
JP2011145361A
JP2011145361A JP2010004553A JP2010004553A JP2011145361A JP 2011145361 A JP2011145361 A JP 2011145361A JP 2010004553 A JP2010004553 A JP 2010004553A JP 2010004553 A JP2010004553 A JP 2010004553A JP 2011145361 A JP2011145361 A JP 2011145361A
Authority
JP
Japan
Prior art keywords
cyclic group
integer
signature
message
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010004553A
Other languages
Japanese (ja)
Other versions
JP5325126B2 (en
Inventor
Kotaro Suzuki
幸太郎 鈴木
Tetsutaro Kobayashi
鉄太郎 小林
Fumisato Hoshino
文学 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
NTT Data Group Corp
Original Assignee
NTT Data Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp, Nippon Telegraph and Telephone Corp filed Critical NTT Data Corp
Priority to JP2010004553A priority Critical patent/JP5325126B2/en
Publication of JP2011145361A publication Critical patent/JP2011145361A/en
Application granted granted Critical
Publication of JP5325126B2 publication Critical patent/JP5325126B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent, even when a relink key is abused, the anonymity of a signer corresponding to the relink key from being lost. <P>SOLUTION: The result of applying a non-degenerate bilinear map e to a pair of an element hE*G<SB>1</SB>and a generator g<SB>2</SB>E*G<SB>2</SB>by using a set of hE*G<SB>1</SB>determined to the information containing a message m, a relink key r=h<SP>x(i)</SP>E*G<SB>1</SB>, and a public key y(n)E*G<SB>2</SB>(nE*L), is defined as e<SB>1</SB>. An element a(i)=e<SB>1</SB><SP>t</SP>E*G<SB>T</SB>of a cyclic group G<SB>T</SB>when t is an arbitrary integer is generated, and the result of applying the non-degenerate bilinear map e to a pair of an element z(j)E*G<SB>1</SB>and the generator g<SB>2</SB>E*G<SB>2</SB>is defined as e<SB>2</SB>. The result of applying e to the element hE*G<SB>1</SB>and a public key y(j)E*G<SB>2</SB>is defined as e<SB>3</SB>. Then, a(j)=e<SB>2</SB>×e<SB>3</SB><SP>c(j)</SP>E*G<SB>T</SB>is generated and, by using an integer w determined to the information containing a set a<SB>L</SB>composed of an element a(i)E*G<SB>T</SB>and an element a(j)E*G<SB>T</SB>, and the sum Σc(j) of integers c(j), c(i)=w-Σc(j) is generated, z(i)=h<SP>t</SP>×r<SP>-c(i)</SP>E*G<SB>1</SB>is generated, and a signature σ=(c<SB>L</SB>, z<SB>L</SB>) is generated. Here, E* is a set symbol meaning "belong to". <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、情報セキュリティ技術の応用技術に関し、特に、匿名で署名を生成する匿名署名方式に関する。   The present invention relates to an application technology of information security technology, and more particularly to an anonymous signature method for generating a signature anonymously.

署名者の匿名性を確保することが可能な匿名署名方式として、グループ署名方式やリング署名方式などが存在する。これらの方式では、1以上の構成員からなる匿名署名グループが構成され、匿名署名が生成される。署名検証者は、匿名署名が匿名署名グループの何れかの構成員によって生成されたか否かを検証することはできるが、どの構成員が署名者なのかを知ることはできない。   There are a group signature method, a ring signature method, and the like as an anonymous signature method capable of ensuring the anonymity of the signer. In these methods, an anonymous signature group consisting of one or more members is formed, and an anonymous signature is generated. The signature verifier can verify whether the anonymous signature was generated by any member of the anonymous signature group, but cannot know which member is the signer.

また、非特許文献1には、匿名署名が生成された後に、匿名署名グループの構成員を変更(再リンク)することが可能な方式が開示されている。非特許文献1の方式では、再リンク鍵と呼ばれる鍵を用いて匿名署名グループの構成員を変更でき、これによって署名者の匿名性の強弱を変更できる。すなわち、再リンク鍵を取得した者は、匿名署名グループの構成員の数を増やすことによって署名者の匿名性を強めることもできるし、匿名署名グループの構成員の数を減らすことによって署名者の匿名性を弱めることもできる。   Non-Patent Document 1 discloses a method capable of changing (relinking) members of an anonymous signature group after an anonymous signature is generated. In the method of Non-Patent Document 1, the members of the anonymous signature group can be changed using a key called a relink key, and thereby the strength of the anonymity of the signer can be changed. In other words, the person who acquired the relink key can strengthen the anonymity of the signer by increasing the number of members of the anonymous signature group, and can reduce the number of members of the signer by reducing the number of members of the anonymous signature group. Anonymity can be weakened.

星野文学,鈴木幸太郎,小林鉄太郎,”フレキシブルリング署名”, The Institute of Electronics, Information and Communication Engineers, The 2009 Symposium on Cryptography and Information Security Otsu, Japan, Jan. 20-23, 2009.Hoshino Literature, Kotaro Suzuki, Tetaro Kobayashi, “Flexible Ring Signature”, The Institute of Electronics, Information and Communication Engineers, The 2009 Symposium on Cryptography and Information Security Otsu, Japan, Jan. 20-23, 2009.

しかし、非特許文献1の方式では、真の署名者である構成員の公開鍵1つに対して再リンク鍵1つが対応する。すなわち、再リンク鍵を取得した第三者は、その再リンク鍵を用いることで、当該再リンク鍵に対応する構成員が署名者であるすべての匿名署名について、署名者の匿名性の強弱を変更できる。そのため、再リンク鍵が悪用された場合には、当該再リンク鍵に対応する構成員が署名者であるすべての匿名署名について、署名者の匿名性が失われてしまうという問題があった。   However, in the method of Non-Patent Document 1, one relink key corresponds to one public key of a member who is a true signer. In other words, the third party who acquired the relink key can use the relink key to reduce the strength of the signer's anonymity for all anonymous signatures whose members corresponding to the relink key are signers. Can change. Therefore, when the relink key is abused, there is a problem that the anonymity of the signer is lost for all anonymous signatures whose members corresponding to the relink key are signers.

本発明はこのような点に鑑みてなされたものであり、再リンク鍵が悪用された場合であっても、その再リンク鍵に対応する署名者の匿名性が失われることを抑制することが可能な技術を提供することを目的とする。   The present invention has been made in view of such points, and even when a relink key is misused, it is possible to suppress loss of anonymity of a signer corresponding to the relink key. The aim is to provide possible technology.

本発明では上記課題を解決するために、署名対象のメッセージごとに再リンク鍵が生成される。   In the present invention, in order to solve the above-described problem, a relink key is generated for each message to be signed.

本発明の第1態様では、G1,G2,GTを巡回群とし、eを巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像とし、g2∈G2を巡回群G2の生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを集合Lの各要素とし、集合Lの何れかの要素をi∈Lとし、iを除く集合Lの各要素をj∈L(j≠i)とし、x(n)(n∈L)を要素n∈Lにそれぞれ対応する整数の秘密鍵とし、巡回群G2の元y(n)=g2 x(n)∈G2(n∈L)を要素n∈Lにそれぞれ対応する公開鍵とする。 In the first aspect of the present invention, G 1 , G 2 , and G T are cyclic groups, e is a non-degenerate bilinear map that maps the original set of cyclic groups G 1 and G 2 to the elements of the cyclic group G T , Let g 2 ∈G 2 be the generator of the cyclic group G 2 , L be a set of information corresponding to members of the anonymous signature group, n be each element of the set L, and any element of the set L be i∈ L, each element of set L excluding i is j∈L (j ≠ i), x (n) (n∈L) is an integer secret key corresponding to element n∈L, and cyclic group G 2 Let y (n) = g 2 x (n) ∈ G 2 (n∈L) be a public key corresponding to element n∈L.

第1態様の署名生成では、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1と、当該メッセージmに対応する巡回群G1の元である再リンク鍵r=hx(i)∈G1と、公開鍵y(n)∈G2(n∈L)の集合とを用い、元h∈G1と生成元g2∈G2との組に非退化双線形写像eを作用させた結果をe1とし、tを任意の整数とした場合における、巡回群GTの元a(i)=e1 t∈GTを生成し、巡回群G1の任意の元z(j)∈G1(j∈L(j≠i))と生成元g2∈G2との組に非退化双線形写像eを作用させた結果をe2とし、元h∈G1と公開鍵y(j)∈G2(j∈L(j≠i))とに非退化双線形写像eを作用させた結果をe3とし、c(j)(j∈L(j≠i))を任意の整数とした場合における、巡回群GTの元a(j)=e2・e3 c(j)∈GT(j∈L(j≠i))を生成し、元a(i)∈GTと元a(j)∈GT(j∈L(j≠i))とからなる集合aLを含む情報に対して定まる整数wと、整数c(j)(j∈L(j≠i))の総和Σc(j)とを用い、整数c(i)=w-Σc(j)(j∈L(j≠i))を生成し、元h∈G1と再リンク鍵r∈G1と整数tと整数c(i)とを用い、巡回群G1の元z(i)=ht・r-c(i)∈G1を生成し、整数c(j)(j∈L(j≠i))と整数c(i)とからなる集合cLと、元z(j)∈G1(j∈L(j≠i))と元z(i)∈G1とからなる集合zLとを含む、署名σ=(cL,zL)を出力する。 In the signature generation of the first aspect, the element hεG 1 of the cyclic group G 1 determined for the information including the message m and the relink key r = h x that is the element of the cyclic group G 1 corresponding to the message m. (i) and ∈G 1, using a set of public key y (n) ∈G 2 (n∈L ), non-degenerate bilinear map to the set of original H∈G 1 and a generator g 2 ∈G 2 Generate e ( t ) = e 1 t ∈G T of cyclic group G T , where e 1 is the result of acting on e and t is an arbitrary integer, and any element of cyclic group G 1 Let e 2 be the result of applying the nondegenerate bilinear map e to the pair of z (j) ∈G 1 (j∈L (j ≠ i)) and generator g 2 ∈G 2, and let the element h∈G 1 And the public key y (j) ∈G 2 (j∈L (j ≠ i)) and the non-degenerate bilinear map e as e 3 and c (j) (j∈L (j ≠ i )) Is an arbitrary integer, the element a (j) = e 2・ e 3 c (j) ∈G T (j∈L (j ≠ i)) of the cyclic group G T is generated, and the element a (i) the ∈G T and the original a (j) ∈G T integer determined relative to (j∈L (j ≠ i)) from become set information including a L w Using the sum Σc (j) of integer c (j) (j∈L (j ≠ i)), generate integer c (i) = w−Σc (j) (j∈L (j ≠ i)) Element h∈G 1 , relink key r∈G 1 , integer t and integer c (i), and element z (i) = h t・ r -c (i) ∈ G 1 of cyclic group G 1 And a set c L consisting of an integer c (j) (j∈L (j ≠ i)) and an integer c (i) and an element z (j) ∈G 1 (j∈L (j ≠ i) ) And the set z L consisting of the element z (i) ∈G 1 , the signature σ = (c L , z L ) is output.

第1態様の署名検証では、公開鍵y(n)∈G2(n∈L)の集合と、整数c(n)(n∈L)からなる集合cL及び巡回群G1の元z(n)∈G1(n∈L)からなる集合zLを含む署名σ=(cL,zL)と、メッセージmとを用い、元z(n)∈G1(n∈L)と生成元g2∈G2との組に非退化双線形写像eを作用させた結果をe4とし、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1と公開鍵y(n)∈G2(n∈L)との組に非退化双線形写像eを作用させた結果をe5とした場合における、巡回群GTの元a(n)=e4・e5 c(n)∈GT(n∈L)を生成し、元a(n)(n∈L)からなる集合aLを含む情報に対して定まる整数wと、整数c(n)(n∈L)の総和Σc(n)(n∈L)と、が一致するか否かを判定する。 The signature verification of the first embodiment, the public key y (n) ∈G 2 a set of (n∈L), the integer c (n) consists of (n∈L) set c L and the cyclic group G 1 of the original z ( Using the signature σ = (c L , z L ) containing the set z L consisting of n) ∈G 1 (n∈L) and the message m, generate the element z (n) ∈G 1 (n∈L) original g 2 ∈G 2 and set to the result of the action of non-degenerate bilinear mapping e of the e 4, based H∈G 1 and the public key y of the cyclic group G 1 defined for the information including the message m ( element a (n) = e 4・ e 5 c of cyclic group G T , where e 5 is the result of applying the non-degenerate bilinear map e to the pair with n) ∈ G 2 (n∈L) (n) ∈ G T (n∈L) is generated, and an integer w determined for information including the set a L consisting of elements a (n) (n∈L) and an integer c (n) (n∈L ) And the sum Σc (n) (n∈L) are matched.

本発明の第2態様では、Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを集合Lの各要素とし、集合Lの何れかの要素をi∈Lとし、iを除く集合Lの各要素をj∈L(j≠i)とし、x(n)(n∈L)を要素n∈Lにそれぞれ対応する整数の秘密鍵とし、y(n)=gx(n)∈G(n∈L)を要素n∈Lにそれぞれ対応する公開鍵とする。 In the second aspect of the present invention, G is a cyclic group, g∈G is a generator of the cyclic group G, L is a set of information corresponding to members of the anonymous signature group, and n is an element of the set L. , Any element of set L is i∈L, each element of set L excluding i is j∈L (j ≠ i), and x (n) (n∈L) corresponds to element n∈L And y (n) = g x (n) ∈ G (n∈L) is a public key corresponding to each element n∈L.

第2態様の署名生成では、tを任意の整数とし、Tを巡回群Gの元T=gt∈Gとし、cを元Tとメッセージmとを含む情報に対して定まる整数とし、z=t+x(i)・cとし、メッセージmに対応する再リンク鍵r=(T, z)と、整数cと、公開鍵y(n)∈G(n∈L)の集合とを用い、t(i)を任意の整数とした場合における巡回群Gの元T(i)=gt(i)∈Gを生成し、c(j)(j∈L(j≠i))を任意の整数とし、z(j)(j∈L(j≠i))を任意の整数とした場合における、巡回群Gの元T(j)=gz(j)(T・y(j)c)c(j)∈Gを生成し、元T(i)∈Gと元T(j)(j∈L(j≠i))∈Gとからなる集合TLと元Tとを含む情報に対して定まる整数w'と、整数c(j)(j∈L(j≠i))の総和Σc(j)とを用い、整数c(i)=w'-Σc(j)(j∈L(j≠i))を生成し、整数z(i)=t(i)-z・c(i)を生成し、元T∈Gと、整数c(j)(j∈L(j≠i))と整数c(i)とからなる集合cLと、整数z(j)(j∈L(j≠i))と整数z(i)∈Gとからなる集合zLとを含む、署名σ=(T,cL,zL)を出力する。 In the signature generation of the second aspect, t is an arbitrary integer, T is an element T of the cyclic group G = G t ∈G, c is an integer determined for information including the element T and the message m, z = t + x (i) · c, using a relink key r = (T, z) corresponding to the message m, an integer c, and a set of public keys y (n) ∈G (n∈L), Generate an element T (i) = g t (i) ∈ G of a cyclic group G where t (i) is an arbitrary integer, and c (j) (j∈L (j ≠ i)) an integer, z (j) (j∈L ( j ≠ i)) in the case where the set to any integer, the original T of the cyclic group G (j) = g z ( j) (T · y (j) c) c (j) ∈ G, and for the information including the set T L and the element T consisting of the element T (i) ∈G and the element T (j) (j∈L (j ≠ i)) ∈G And an integer c (j) (j∈L (j ≠ i)) sum Σc (j), and an integer c (i) = w′−Σc (j) (j∈L ( j ≠ i)) to generate an integer z (i) = t (i) -z ・ c (i), and the element T∈G and the integer c (j) (j∈L (j ≠ i) ) i from an integer c (a i) and the set c L consisting integer z (j) (j∈L (j ≠ i)) and the integer z (i) ∈G And a set z L, signature sigma = outputs a (T, c L, z L ).

第2態様の署名生成では、巡回群の元T∈Gと整数c(n)(n∈L)の集合cLと整数z(n)(n∈L)の集合zLとを含む署名σ=(T,cL,zL)と、公開鍵y(n)∈G(n∈L)の集合と、メッセージmとを用い、元Tとメッセージmとを含む情報に対して定まる整数cを生成し、巡回群Gの元T(n)=gz(n)(T・y(n)c)c(n)∈G(n∈L)を生成し、元T(n)∈G(n∈L)の集合TLと元Tとを含む情報に対して定まる整数w'と、整数c(n)(n∈L)の総和Σc(n)とが、一致するか否かを判定する。 In the signature generation second aspect, the signature comprising a set z L of cyclic groups of the original T∈G and integer c (n) (n∈L) set c L and integer z of (n) (n∈L) σ = (T, c L , z L ), a set of public keys y (n) ∈G (n∈L), a message m, and an integer c determined for information including the element T and the message m To generate the element T (n) = g z (n) (T ・ y (n) c ) c (n) ∈ G (n∈L) of the cyclic group G, and the element T (n) ∈G Whether or not the integer w ′ determined for the information including the set T L and the element T of (n∈L) and the sum Σc (n) of the integer c (n) (n∈L) match. judge.

本発明では、署名対象のメッセージごとに再リンク鍵が生成される。そのため、再リンク鍵が悪用された場合であっても、署名者の匿名性が失われる可能性がある範囲を、そのメッセージに対する匿名署名の範囲に限定できる。これにより、再リンク鍵が悪用された場合であっても、その再リンク鍵に対応する署名者の匿名性が失われることを抑制できる。   In the present invention, a relink key is generated for each message to be signed. Therefore, even if the relink key is abused, the range in which the anonymity of the signer may be lost can be limited to the range of the anonymous signature for the message. Thereby, even if it is a case where a relink key is abused, it can suppress that the anonymity of the signer corresponding to the relink key is lost.

第1実施形態の匿名署名システムの全体構成を説明するためのブロック図。The block diagram for demonstrating the whole structure of the anonymous signature system of 1st Embodiment. 第1実施形態の再リンク鍵生成装置の機能構成を説明するための図。The figure for demonstrating the function structure of the relink key generation apparatus of 1st Embodiment. 第1実施形態の署名生成装置の機能構成を説明するための図。The figure for demonstrating the function structure of the signature production | generation apparatus of 1st Embodiment. 第1実施形態の署名検証装置の機能構成を説明するための図。The figure for demonstrating the function structure of the signature verification apparatus of 1st Embodiment. 第1実施形態の再リンク鍵生成処理を説明するためのフローチャート。The flowchart for demonstrating the relink key production | generation process of 1st Embodiment. 第1実施形態の署名生成処理を説明するためのフローチャート。The flowchart for demonstrating the signature production | generation process of 1st Embodiment. 第1実施形態の署名検証処理を説明するためのフローチャート。The flowchart for demonstrating the signature verification process of 1st Embodiment. 第2実施形態の匿名署名システムの全体構成を説明するためのブロック図。The block diagram for demonstrating the whole structure of the anonymous signature system of 2nd Embodiment. 第2実施形態の再リンク鍵生成装置の機能構成を説明するための図。The figure for demonstrating the function structure of the relink key generation apparatus of 2nd Embodiment. 第2実施形態の署名生成装置の機能構成を説明するための図。The figure for demonstrating the function structure of the signature production | generation apparatus of 2nd Embodiment. 第2実施形態の署名検証装置の機能構成を説明するための図。The figure for demonstrating the function structure of the signature verification apparatus of 2nd Embodiment. 第2実施形態の再リンク鍵生成処理を説明するためのフローチャート。The flowchart for demonstrating the relink key production | generation process of 2nd Embodiment. 第2実施形態の署名生成処理を説明するためのフローチャート。The flowchart for demonstrating the signature production | generation process of 2nd Embodiment. 第2実施形態の署名検証処理を説明するためのフローチャート。The flowchart for demonstrating the signature verification process of 2nd Embodiment.

以下、図面を参照して本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

〔記号・用語の定義〕
まず、実施形態で使用する記号・用語を定義する。 [Definition of symbols and terms]
First, symbols and terms used in the embodiment are defined.

E:Eは位数Tの有限体FT上で定義された楕円曲線である。楕円曲線E上の任意の2点に対して楕円加算と呼ばれる二項演算及び楕円曲線E上の任意の1点に対して楕円逆元と呼ばれる単項演算がそれぞれ定義できる。また、この楕円加算に関して群をなすこと、楕円加算を用いて楕円スカラー倍算と呼ばれる演算が定義できることはよく知られている。また、それらの演算をコンピュータ上で効率的に実行する様々なアルゴリズムもよく知られている(例えば、参考文献1“イアン・F・ブラケ、ガディエル・セロッシ、ナイジェル・P・スマート=著、「楕円曲線暗号」、出版=ピアソン・エデュケーション、ISBN4-89471-431-0”等参照)。 E: E is an elliptic curve defined on a finite field F T of order T. A binary operation called elliptic addition can be defined for any two points on the elliptic curve E, and a unary operation called elliptic inverse can be defined for any one point on the elliptic curve E. In addition, it is well known that a group can be defined for this elliptic addition, and an operation called elliptic scalar multiplication can be defined using elliptic addition. Also, various algorithms for efficiently executing these operations on a computer are well known (for example, Reference 1 “Ian F. Braque, Gadiel Selossi, Nigel P. Smart = Author,“ Ellipse ”). "Curve cryptography", publication = Pearson Education, ISBN4-89471-431-0 "etc.).

α∈β:αはβの元であることを示す。
α∈Uβ:βからランダムにαを選ぶことを示す。
α←β:αにβを代入することを示す。
p:pは大きい素数である。 α∈β: α is an element of β.
α∈ U β: Indicates that α is randomly selected from β.
α ← β: Indicates that β is substituted for α.
p: p is a large prime number.

G,G1,G2:G,G1,G2,GTは巡回群である。例えば、G,G1,G2,GTは、位数pの素数位数巡回群である。巡回群G,G1,G2は、互いに同一であってもよいし、それらの少なくとも一部が互いに異なっていてもよい。また、巡回群G,G1,G2,GTにはどのようなものを利用してもよい。巡回群G,G1,G2,GTの例は、楕円曲線E上の有理点のなす群や有限体上の乗法群などである。なお、ε・η∈Gは、巡回群Gの元εとηとに対し、巡回群Gで定義された演算を行うことを意味する。また、εν∈G(ν∈Z)は、巡回群Gの元εに対し、巡回群Gで定義された演算をν回行うこと(ε・ε...ε・ε∈G)を意味する。例えば、巡回群Gが楕円曲線E上の有理点のなす群であった場合、巡回群Gで定義された演算は楕円加算であり、巡回群Gが有限体の乗法群であった場合、巡回群Gで定義された演算は剰余乗算である。これらのことは、その他の巡回群G1,G2,GTについても同様である。 G, G 1 , G 2 : G, G 1 , G 2 , G T are cyclic groups. For example, G, G 1 , G 2 , and G T are prime order cyclic groups of order p. The cyclic groups G, G 1 and G 2 may be the same as each other, or at least some of them may be different from each other. Any cyclic group G, G 1 , G 2 , G T may be used. Examples of the cyclic groups G, G 1 , G 2 , and G T are groups formed by rational points on the elliptic curve E and multiplicative groups on a finite field. Note that ε · ηεG means that an operation defined by the cyclic group G is performed on the elements ε and η of the cyclic group G. Ε ν ∈ G ( ν ∈ Z) means that the operation defined in the cyclic group G is performed ν times on the element ε of the cyclic group G (ε · ε ... ε · ε∈G). To do. For example, if the cyclic group G is a group of rational points on the elliptic curve E, the operation defined by the cyclic group G is elliptic addition, and if the cyclic group G is a multiplicative group of finite fields, The operation defined in group G is a remainder multiplication. The same applies to the other cyclic groups G 1 , G 2 , and G T.

g:gは巡回群Gの生成元である。
g2:g2は巡回群G2の生成元である。
Zp:Zpはpによる剰余類の加群(Z/pZ)である。実装時には、例えば、Zpの代表元からなる加群を用いる。代表元の一例は、0以上p-1以下の整数からなる集合である。
e:eは巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像(bilinear map)である。非退化双線形写像eは、例えば、
e:G1×G2→GT …(1)
として演算が行われていてもよいし、
e:G2×G1→GT …(2)
として演算が行われてもよい。 g: g is a generator of the cyclic group G.
g 2 : g 2 is a generator of the cyclic group G 2 .
Z p : Z p is a module (Z / pZ) of a residue class by p . At the time of mounting, for example, a module consisting of a representative element of Z p is used. An example of a representative element is a set of integers between 0 and p-1.
e: e is a non-degenerate bilinear map that maps the original set of cyclic groups G 1 and G 2 to the elements of cyclic group G T. The non-degenerate bilinear map e is, for example,
e: G 1 × G 2 → G T (1)
The operation may be performed as
e: G 2 × G 1 → G T (2)
The calculation may be performed as follows.

式(1)として演算が行われる非退化双線形写像eは、以下の性質を満たす。
[双線形性]すべてのΓ1∈G1,Γ2∈G2及びν,κ∈Zpについて以下の関係を満たす。
e(ν・Γ1,κ・Γ2)=e(Γ12)ν・κ …(3)
[非退化性]すべてのΓ1∈G1,Γ2∈G2を巡回群GTの単位元に写す関数ではない。
[計算可能性]あらゆるΓ1∈G1,Γ2∈G2についてe(Γ12)を効率的に計算するアルゴリズムが存在する。 The non-degenerate bilinear map e that is operated as Equation (1) satisfies the following properties.
[Bilinearity] For all Γ 1 ∈G 1 , Γ 2 ∈G 2 and ν, κ∈Z p , the following relation is satisfied.
e (ν ・ Γ 1 , κ ・ Γ 2 ) = e (Γ 1 , Γ 2 ) ν ・ κ … (3)
Non degenerative] All gamma 1 ∈G 1, not a function View daylight gamma 2 ∈G 2 to unity of the cyclic group G T.
[Computability] There is an algorithm for efficiently calculating e (Γ 1 , Γ 2 ) for every Γ 1 ∈G 1 and Γ 2 ∈G 2 .

式(2)として演算が行われる非退化双線形写像eは、以下の性質を満たす。
[双線形性]すべてのΓ2∈G2,Γ1∈G1及びν,κ∈Zpについて以下の関係を満たす。
e(ν・Γ2,κ・Γ1)=e(Γ21)ν・κ …(4)
[非退化性]すべてのΓ1∈G1,Γ2∈G2を巡回群GTの単位元に写す関数ではない。
[計算可能性]あらゆるΓ1∈G1,Γ2∈G2についてe(Γ12)を効率的に計算するアルゴリズムが存在する。 The non-degenerate bilinear map e that is operated as Equation (2) satisfies the following properties.
[Bilinearity] For all Γ 2 ∈G 2 , Γ 1 ∈G 1 and ν, κ∈Z p , the following relation is satisfied.
e (ν ・ Γ 2 , κ ・ Γ 1 ) = e (Γ 2 , Γ 1 ) ν ・ κ … (4)
Non degenerative] All gamma 1 ∈G 1, not a function View daylight gamma 2 ∈G 2 to unity of the cyclic group G T.
[Computability] There is an algorithm for efficiently calculating e (Γ 1 , Γ 2 ) for every Γ 1 ∈G 1 and Γ 2 ∈G 2 .

また、G1=G2の場合、すべての非退化双線形写像eの演算が式(1)又は(2)の一方のみで行われてもよいし、一部の非退化双線形写像eの演算が式(1)で行われ、残りの非退化双線形写像eの演算が式(2)で行われてもよい。さらに、G1=G2の場合、すべてのΓ1∈G1,Γ2∈G2について
e(Γ12)=e(Γ21) …(5)
を満たす非退化双線形写像e(非退化対称双線形写像)が用いられてもよいし、
e(Γ12)=e(Γ21)-1 …(6)
を満たす非退化双線形写像e(非退化反対称双線形写像)が用いられてもよい。 Further, when G 1 = G 2 , all the operations of the non-degenerate bilinear map e may be performed by only one of the equations (1) or (2), or some of the non-degenerate bilinear maps e The calculation may be performed by Expression (1), and the remaining non-degenerate bilinear map e may be calculated by Expression (2). Furthermore, for G 1 = G 2 , for all Γ 1 ∈G 1 and Γ 2 ∈G 2
e (Γ 1 , Γ 2 ) = e (Γ 2 , Γ 1 )… (5)
A non-degenerate bilinear map e (non-degenerate symmetric bilinear map) satisfying
e (Γ 1 , Γ 2 ) = e (Γ 2 , Γ 1 ) -1 … (6)
A non-degenerate bilinear map e (non-degenerate antisymmetric bilinear map) satisfying may be used.

また、G1=G2であるか否かにかかわらず、すべての非退化双線形写像eの演算が式(1)又は(2)の一方で行われる場合には、非退化双線形写像eとして式(5)を満たすものが用いられてもよいし、式(6)を満たすものが用いられてもよい。 Also, regardless of whether G 1 = G 2 or not, if the operation of all non-degenerate bilinear maps e is performed in one of the equations (1) or (2), the non-degenerate bilinear map e As the above, one satisfying the formula (5) may be used, or one satisfying the formula (6) may be used.

また、非退化双線形写像eの具体例は、WeilペアリングやTateペアリング(参考文献2「Alfred. J. Menezes,ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS, KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6,pp. 61-81」等参照)や、参考文献3「"IEEE P1636.3TM/D1 Draft Standard for Identity-based Public-key Cryptography Using Pairings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdf], pp.24-25, April 2008」に開示されたe(A1,φ(A2))(非退化反対称双線形写像の例)である。 Specific examples of non-degenerate bilinear maps e include Weil pairing and Tate pairing (reference document 2 “Alfred. J. Menezes, ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS, KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6, pp. 61-81 ”) and Reference 3“ IEEE P1636.3 TM / D1 Draft Standard for Identity-based Public-key Cryptography Using Pairings ”, [URL: http://grouper.ieee.org/groups /1363/IBC/material/P1363.3-D1-200805.pdf], pp.24-25, April 2008 ”e (A 1 , φ (A 2 )) (non-degenerate antisymmetric bilinear mapping Example).

H:Hは任意のビット長のビット列{0,1}*を巡回群G1の元へ移すランダム関数とみなせる関数(擬似的なランダム関数)
H:{0,1}*→G1 …(7)
である。このような擬似的なランダム関数Hは、SHA-1などの公知のハッシュ関数を用いて容易に構成できる。 H: H is a function that can be regarded as a random function that moves a bit string {0,1} * of arbitrary bit length to the element of cyclic group G 1 (pseudo random function)
H: {0,1} * → G 1 … (7)
It is. Such a pseudo random function H can be easily configured using a known hash function such as SHA-1.

H',H'':H'やH''は、任意のビット長のビット列{0,1}*をZpの元へ移す擬似的なランダム関数
H' :{0,1}*→Zp …(8)
H'':{0,1}*→Zp …(9)
である。このような擬似的なランダム関数H',H''は、SHA-1などの公知のハッシュ関数を用いて容易に構成できる。また、擬似的なランダム関数H, H',H''は互いに独立である。 H ', H'':H' and H '' are pseudo-random functions that move a bit string {0,1} * of arbitrary bit length to the element of Z p
H ': {0,1} * → Z p … (8)
H '': {0,1} * → Z p … (9)
It is. Such pseudo random functions H ′ and H ″ can be easily configured using a known hash function such as SHA-1. Moreover, the pseudo random functions H, H ′, H ″ are independent of each other.

L:Lは匿名署名グループの構成員に対応する情報の集合である。例えば、匿名署名グループの各構成員を特定するインデックスの集合である。
n,i,j: nは集合Lの各要素である(∀n∈L)。iは集合Lの何れかの要素である(i∈L)であり、真の署名者である構成員に対応する情報である。また、jはiを除く集合Lの各要素である(j∈L(j≠i))。
x(n): x(n)∈Zp(n∈L)は、要素n∈Lにそれぞれ対応する秘密鍵である。
y(n): y(n)=g2 x(n)∈G2 (n∈L)は、要素n∈Lにそれぞれ対応する公開鍵である。 L: L is a set of information corresponding to members of the anonymous signature group. For example, it is a set of indexes that identify each member of the anonymous signature group.
n, i, j: n is each element of the set L (∀n∈L). i is any element of the set L (i∈L), and is information corresponding to a member who is a true signer. J is each element of the set L excluding i (j∈L (j ≠ i)).
x (n): x (n) ∈Z p (n∈L) is a secret key corresponding to each element n∈L.
y (n): y (n) = g 2 x (n) ∈ G 2 (n∈L) is a public key corresponding to each element n∈L.

〔第1実施形態〕
まず、本発明の第1実施形態を説明する。 [First Embodiment]
First, a first embodiment of the present invention will be described.

<全体構成>
図1は、第1実施形態の匿名署名システム1の全体構成を説明するためのブロック図である。 <Overall configuration>
FIG. 1 is a block diagram for explaining the overall configuration of the anonymous signature system 1 of the first embodiment.

図1に例示するように、匿名署名システム1は、鍵生成装置11と、I(Iは1以上の整数)個の再リンク鍵生成装置12−i(i∈{1,...,I})と、署名生成装置13と、署名検証装置14とを有し、これらはネットワークを通じて通信可能に構成されている。なお、各装置の数は図1に例示するものに限定されず、鍵生成装置11や署名生成装置13や署名検証装置14が2以上存在してもよい。また、図1に例示した複数の装置の機能を1つの装置に持たせた構成であってもよいし、図1に例示した1つの装置の構成を複数の装置に分散処理させる構成であってもよい。   As illustrated in FIG. 1, the anonymous signature system 1 includes a key generation device 11 and I (I is an integer of 1 or more) relink key generation devices 12-i (i∈ {1,..., I }), A signature generation device 13, and a signature verification device 14, which are configured to be communicable through a network. Note that the number of devices is not limited to that illustrated in FIG. 1, and there may be two or more key generation devices 11, signature generation devices 13, and signature verification devices 14. Further, a configuration in which the functions of a plurality of devices illustrated in FIG. 1 are provided in one device may be used, or a configuration in which the configuration of one device illustrated in FIG. 1 is distributed to a plurality of devices. Also good.

<再リンク鍵生成装置12−i>
図2は、第1実施形態の再リンク鍵生成装置12−iの機能構成を説明するための図である。
図2に例示するように、本形態の再リンク鍵生成装置12−iは、記憶部121−iと、制御部122−iと、巡回群演算部123−iと、再リンク鍵生成部124−iと、入力部125−iと、出力部126−iとを有する。 <Relink key generation device 12-i>
FIG. 2 is a diagram for explaining a functional configuration of the relink key generation device 12-i according to the first embodiment.
As illustrated in FIG. 2, the relink key generation device 12-i according to the present embodiment includes a storage unit 121-i, a control unit 122-i, a cyclic group calculation unit 123-i, and a relink key generation unit 124. -I, input part 125-i, and output part 126-i.

再リンク鍵生成装置12−iは、例えば、CPU(central processing unit)、RAM(random-access memory)、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。例えば、記憶部121−iは、例えば、RAMや磁気記録装置やそれらの結合によって構成される記憶領域である。制御部122−iと巡回群演算部123−iと再リンク鍵生成部124−iとは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。入力部125−iは、入力インタフェースや入力ポートや通信装置やそれらの少なくとも一部の結合である。出力部126−iは、出力インタフェースや出力ポートや通信装置やそれらの少なくとも一部の結合である。また、再リンク鍵生成装置12−iは、制御部122−iの制御のもと各処理を実行する。   The relink key generation device 12-i has a predetermined program read into a known computer or a dedicated computer including, for example, a central processing unit (CPU), a random-access memory (RAM), a magnetic recording device, and a communication device. It is composed by being executed. For example, the storage unit 121-i is a storage area configured by, for example, a RAM, a magnetic recording device, or a combination thereof. The control unit 122-i, the cyclic group calculation unit 123-i, and the relink key generation unit 124-i are, for example, processing units configured by reading a predetermined program into the CPU. The input unit 125-i is an input interface, an input port, a communication device, or a combination of at least a part thereof. The output unit 126-i is an output interface, an output port, a communication device, or a combination of at least a part thereof. Further, the relink key generation device 12-i executes each process under the control of the control unit 122-i.

<署名生成装置13>
図3は、第1実施形態の署名生成装置13の機能構成を説明するための図である。
図3に例示するように、本形態の署名生成装置13は、記憶部131と、制御部132aと、任意値出力部132cと、巡回群演算部132b,132d〜132g,132iと、差分情報生成部132hと、入力部133と、出力部134とを有する。 <Signature generation device 13>
FIG. 3 is a diagram for explaining a functional configuration of the signature generation apparatus 13 according to the first embodiment.
As illustrated in FIG. 3, the signature generation device 13 of this embodiment includes a storage unit 131, a control unit 132 a, an arbitrary value output unit 132 c, cyclic group calculation units 132 b, 132 d to 132 g, 132 i, and difference information generation A unit 132h, an input unit 133, and an output unit 134.

署名生成装置13は、例えば、CPU、RAM、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。例えば、記憶部131は、例えば、RAMや磁気記録装置やそれらの結合によって構成される記憶領域である。制御部132aと任意値出力部132cと巡回群演算部132b,132d〜132g,132iと差分情報生成部132hとは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。入力部133は、入力インタフェースや入力ポートや通信装置やそれらの少なくとも一部の結合である。出力部134は、出力インタフェースや出力ポートや通信装置やそれらの少なくとも一部の結合である。また、署名生成装置13は、制御部132aの制御のもと各処理を実行する。   The signature generation device 13 is configured, for example, by reading and executing a predetermined program on a known computer or a dedicated computer including a CPU, a RAM, a magnetic recording device, a communication device, and the like. For example, the storage unit 131 is a storage area configured by, for example, a RAM, a magnetic recording device, or a combination thereof. The control unit 132a, the arbitrary value output unit 132c, the cyclic group calculation units 132b, 132d to 132g, 132i, and the difference information generation unit 132h are, for example, processing units configured by reading a predetermined program into the CPU. The input unit 133 is a combination of an input interface, an input port, a communication device, and at least a part thereof. The output unit 134 is a combination of an output interface, an output port, a communication device, and at least a part thereof. In addition, the signature generation device 13 executes each process under the control of the control unit 132a.

<署名検証装置14>
図4は、第1実施形態の署名検証装置14の機能構成を説明するための図である。
図4に例示するように、本形態の署名検証装置14は、記憶部141と、制御部142と、巡回群演算部143,144と、判定部145と、入力部146とを有する。 <Signature Verification Device 14>
FIG. 4 is a diagram for explaining a functional configuration of the signature verification apparatus 14 according to the first embodiment.
As illustrated in FIG. 4, the signature verification apparatus 14 according to the present exemplary embodiment includes a storage unit 141, a control unit 142, cyclic group calculation units 143 and 144, a determination unit 145, and an input unit 146.

署名検証装置14は、例えば、CPU、RAM、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。例えば、記憶部141は、例えば、RAMや磁気記録装置やそれらの結合によって構成される記憶領域である。制御部142と巡回群演算部143,144と判定部145とは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。入力部133は、入力インタフェースや入力ポートや通信装置やそれらの少なくとも一部の結合である。また、署名検証装置14は、制御部132aの制御のもと各処理を実行する。   The signature verification device 14 is configured by, for example, reading and executing a predetermined program on a known computer or a dedicated computer including a CPU, a RAM, a magnetic recording device, a communication device, and the like. For example, the storage unit 141 is a storage area configured by, for example, a RAM, a magnetic recording device, or a combination thereof. The control unit 142, the cyclic group calculation units 143 and 144, and the determination unit 145 are, for example, processing units configured by reading a predetermined program into the CPU. The input unit 133 is a combination of an input interface, an input port, a communication device, and at least a part thereof. In addition, the signature verification apparatus 14 executes each process under the control of the control unit 132a.

<事前処理>
匿名署名システム1でセキュリティパラメータkが定められ、セキュリティパラメータkに応じたシステムパラメータ
ρ=(p,G1,G2,GT,e,g2,H,H')
が定められる。なお、G1=G2の場合には、G1,G2の何れか一方を省略したシステムパラメータρであってもよい。システムパラメータρは、匿名署名システム1を構成するすべての装置に配布され、各装置で同じシステムパラメータρが利用される。
また、各再リンク鍵生成装置12−i(図2)の記憶部121−iには、その再リンク鍵生成装置12−iに対応する匿名署名グループの構成員に対応する情報iが格納される。 <Pre-processing>
The security parameter k is determined in the anonymous signature system 1, and the system parameter ρ = (p, G 1 , G 2 , G T , e, g 2 , H, H ′) corresponding to the security parameter k
Is determined. Note that when G 1 = G 2 , the system parameter ρ in which one of G 1 and G 2 is omitted may be used. The system parameter ρ is distributed to all devices constituting the anonymous signature system 1, and the same system parameter ρ is used in each device.
In addition, the storage unit 121-i of each relink key generation device 12-i (FIG. 2) stores information i corresponding to members of the anonymous signature group corresponding to the relink key generation device 12-i. The

<鍵生成処理>
鍵生成装置11は、各再リンク鍵生成装置12−i(i∈{1,...,I})に対応する秘密鍵
x(i)∈UZp …(10)
と公開鍵
y(i)←g2 x(i)∈GG2 …(11)
とが生成される。
秘密鍵x(i)は、それぞれに対応する再リンク鍵生成装置12−iに配布される。秘密鍵x(i)は秘密情報であり、それに対応する再リンク鍵生成装置12−i(図2)の記憶部121−iに安全に格納される。一方、公開鍵y(i)は公開情報であり、必要に応じて署名生成装置13や署名検証装置14に配布される。 <Key generation process>
The key generation device 11 has a secret key corresponding to each relink key generation device 12-i (iε {1, ..., I}).
x (i) ∈ U Z p … (10)
And public key
y (i) ← g 2 x (i) ∈G G2 … (11)
And are generated.
The secret key x (i) is distributed to the corresponding relink key generation device 12-i. The secret key x (i) is secret information, and is securely stored in the storage unit 121-i of the corresponding relink key generation device 12-i (FIG. 2). On the other hand, the public key y (i) is public information and is distributed to the signature generation device 13 and the signature verification device 14 as necessary.

<再リンク鍵生成処理>
図5は、第1実施形態の再リンク鍵生成処理を説明するためのフローチャートである。
本形態の再リンク鍵生成処理では、まず、匿名署名グループのいずれかの構成員(真の署名者)が、何れかの再リンク鍵生成装置12−i(図2)の入力部125−iに署名対象のメッセージm∈{0,1}*を入力する。入力部125−iに入力されたメッセージmは、記憶部121−iに格納される(ステップS111)。 <Relink key generation process>
FIG. 5 is a flowchart for explaining the relink key generation processing of the first embodiment.
In the relink key generation processing according to the present embodiment, first, any member (true signer) of the anonymous signature group receives an input unit 125-i of any relink key generation device 12-i (FIG. 2). The message to be signed m∈ {0,1} * is input. The message m input to the input unit 125-i is stored in the storage unit 121-i (step S111).

次に、巡回群演算部123−iにメッセージmが読込まれ、巡回群演算部123−iが、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成する。本形態では、巡回群演算部123−iが、メッセージmに擬似的なランダム関数Hを作用させた
h=H(m)∈G1 …(12)
を生成し、記憶部121−iに格納する(ステップS112)。 Next, message m is read into cyclic group calculation unit 123-i, and cyclic group calculation unit 123-i generates element hεG 1 of cyclic group G 1 determined for information including message m. In this embodiment, the cyclic group calculation unit 123-i applies a pseudo random function H to the message m.
h = H (m) ∈G 1 (12)
Is generated and stored in the storage unit 121-i (step S112).

次に、再リンク鍵生成部124−iに元hが読込まれ、メッセージmに対応する巡回群G1の元である再リンク鍵
r=hx(i)∈G1 …(13)
を生成し、記憶部121−iに格納する(ステップS113)。 Then, re-link key generation unit 124-i based on h is read in, relinking key is the cyclic group G 1 of the original corresponding to the message m
r = h x (i) ∈ G 1 (13)
Is generated and stored in the storage unit 121-i (step S113).

次に、再リンク鍵r=hx(i)∈G1とメッセージmと情報iとが出力部126−iに送られる。出力部126−iは、再リンク鍵r∈G1とメッセージmと情報iとを出力する(ステップS114)。出力された再リンク鍵r∈G1とメッセージmと情報iとは、例えば、ネットワーク経由で、署名生成装置13に送信される。 Next, relink key r = h x (i) ∈G 1 and the message m and the information i is sent to the output unit 126-i. Output unit 126-i outputs the relink keys R∈G 1 and the message m and the information i (step S114). The output relink key rεG 1 , message m, and information i are transmitted to the signature generation device 13 via a network, for example.

<署名生成処理>
図6は、第1実施形態の署名生成処理を説明するためのフローチャートである。
署名生成処理では、まず、何れかの再リンク鍵生成装置12−iから送られた再リンク鍵r=hx(i)∈G1とメッセージmと情報iとが、署名生成装置13(図3)の入力部133に入力(受信)され、記憶部131に格納される。また、選択された匿名署名グループの構成員の集合Lと、∀n∈Lに対応する公開鍵y(n)の集合
yL={y(n)}n∈L …(14)
とが入力部133に入力され、記憶部131に格納される。なお、集合Lは、例えば、署名生成装置13の利用者によって選択され、入力されたものである。また、公開鍵y(n)の集合yLは、前述の鍵生成装置11からネットワーク経由で送信されたものである。 <Signature generation processing>
FIG. 6 is a flowchart for explaining the signature generation processing according to the first embodiment.
In the signature generation process, first, the relink key r = h x (i) εG 1 , the message m, and the information i sent from any of the relink key generation devices 12-i are converted into the signature generation device 13 (FIG. 3) is input (received) to the input unit 133 and stored in the storage unit 131. Also, a set L of members of the selected anonymous signature group and a set of public keys y (n) corresponding to ∀n∈L
y L = {y (n)} n∈L … (14)
Are input to the input unit 133 and stored in the storage unit 131. The set L is selected and input by the user of the signature generation device 13, for example. Also, the set y L of public keys y (n) is transmitted from the key generation device 11 described above via a network.

次に、制御部132aが、記憶部131に格納された情報iと集合Lとが、
i∈L …(15)
を満たすか否かを判定する(ステップS122)。i∈Lを満たさないと判定された場合、制御部132aは署名生成処理を拒絶し(ステップS123)、処理を終了する。一方、i∈Lを満たすと判定された場合、次に、巡回群演算部132bにメッセージmが読込まれ、巡回群演算部132bが、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成する。本形態では、巡回群演算部132bが、メッセージmに擬似的なランダム関数Hを作用させた巡回群G1の元
h=H(m)∈G1 …(16)
を生成して記憶部131に格納する(ステップS124)。 Next, the control unit 132a determines that the information i and the set L stored in the storage unit 131 are
i∈L… (15)
It is determined whether or not the condition is satisfied (step S122). When it is determined that iεL is not satisfied, the control unit 132a rejects the signature generation process (step S123) and ends the process. On the other hand, if it is determined that iεL is satisfied, then the message m is read into the cyclic group calculation unit 132b, and the cyclic group calculation unit 132b determines the element of the cyclic group G 1 determined for the information including the message m. Generate h∈G 1 . In the present embodiment, the cyclic group calculation unit 132b generates an element of the cyclic group G 1 in which a pseudo random function H is applied to the message m.
h = H (m) ∈G 1 (16)
Is stored in the storage unit 131 (step S124).

次に、任意値出力部132cが、任意値
t∈UZp …(17)
を出力し、記憶部131に格納する(ステップS125)。 Next, the arbitrary value output unit 132c receives the arbitrary value.
t∈ U Z p … (17)
Is stored in the storage unit 131 (step S125).

次に、巡回群演算部132dに元hと任意値tとが入力される。巡回群演算部132dは、元h∈G1と生成元g2∈G2との組に非退化双線形写像eを作用させた結果をe1とし、tを任意の整数とした場合における、巡回群GTの元
a(i)=e1 t∈GT …(18)
を生成して記憶部131に格納する。本形態の場合、巡回群演算部132dは、
a(i)←e(h,g2)t∈GT …(19)
の演算によって巡回群GTの元a(i)を生成する(ステップS126)。 Next, the element h and the arbitrary value t are input to the cyclic group calculation unit 132d. The cyclic group operation unit 132d sets e 1 as the result of applying the non-degenerate bilinear mapping e to the set of the element h∈G 1 and the generator g 2 ∈G 2, and t is an arbitrary integer. the original of the cyclic group G T
a (i) = e 1 t ∈G T … (18)
Is generated and stored in the storage unit 131. In the case of this embodiment, the cyclic group calculation unit 132d
a (i) ← e (h, g 2 ) t ∈G T … (19)
Calculated by generating the original a (i) of the cyclic group G T in (step S126).

また、任意値出力部132eが、iを除く集合Lの各要素j∈L(j≠i)にそれぞれ対応する任意値
c(j)∈UZp …(20)
を出力し、記憶部131に格納する(ステップS127)。 Also, the arbitrary value output unit 132e corresponds to each arbitrary value j∈L (j ≠ i) of the set L excluding i.
c (j) ∈ U Z p … (20)
Is stored in the storage unit 131 (step S127).

また、任意値出力部132fが、iを除く集合Lの各要素j∈L(j≠i)にそれぞれ対応する任意の元
z(j)∈UG1 …(21)
を出力し、記憶部131に格納する(ステップS128)。 In addition, the arbitrary value output unit 132f has an arbitrary element corresponding to each element j∈L (j ≠ i) of the set L excluding i.
z (j) ∈ U G 1 (21)
Is stored in the storage unit 131 (step S128).

次に、巡回群演算部132gに、iを除く集合Lの各要素j∈L(j≠i)にそれぞれ対応する、任意値c(j)、任意の元z(j)及び公開鍵y(j)と、巡回群G1の元hとが読込まれる。巡回群演算部132gは、巡回群G1の任意の元z(j)∈G1(j∈L(j≠i))と生成元g2∈G2との組に、非退化双線形写像eを作用させた結果をe2とし、元h∈G1と公開鍵y(j)∈G2(j∈L(j≠i))とに、非退化双線形写像eを作用させた結果をe3とした場合における、巡回群GTの元
a(j)=e2・e3 c(j)∈GT …(22)
をj∈L(j≠i)について生成し、記憶部131に格納する。本形態の場合、巡回群演算部132gは、
a(j)←e(z(j),g2)・e(h,y(j))c(j)∈GT …(23)
の演算によって、巡回群GTの元a(j)をj∈L(j≠i)について生成する(ステップS129)。 Next, an arbitrary value c (j), an arbitrary element z (j), and a public key y (() corresponding to each element j∈L (j ≠ i) of the set L excluding i are sent to the cyclic group calculation unit 132g. j) and the element h of the cyclic group G 1 are read. The cyclic group computing unit 132g applies a non-degenerate bilinear map to a set of an arbitrary element z (j) ∈G 1 (j∈L (j ≠ i)) of the cyclic group G 1 and a generator g 2 ∈G 2. The result of applying e to e 2 and the result of applying the nondegenerate bilinear map e to the element h∈G 1 and the public key y (j) ∈G 2 (j∈L (j ≠ i)) in case of a e 3 to the original cyclic group G T
a (j) = e 2・ e 3 c (j) ∈G T … (22)
Is generated for j∈L (j ≠ i) and stored in the storage unit 131. In the case of this embodiment, the cyclic group calculation unit 132g
a (j) ← e (z (j), g 2 ) ・ e (h, y (j)) c (j) ∈G T … (23)
Calculated by the original a (j) of the cyclic group G T generated for j∈L (j ≠ i) in (step S129).

次に、差分情報生成部132hに、集合Lと、メッセージmと、公開鍵y(n)の集合yLと、元a(i)∈GTと元a(j)∈GT(j∈L(j≠i))とからなる集合aLと、任意値c(j)(j∈L(j≠i))とが読込まれる。差分情報生成部132hは、集合aLを含む情報に対して定まる値wに対応する
c(i)=w-Σc(j) …(24)
をj∈L(j≠i)について生成し、記憶部131に格納する。本形態では、システムパラメータρと集合Lとメッセージmと集合yLと集合aLとのビット結合値に、擬似的なランダム関数H'を作用させた結果
H'(ρ,L,m,yL,aL) …(25)
をwとしてc(i)を生成する。なお、Σc(j)は、iを除く集合Lの要素jに対応するc(j)の総和を意味する(ステップS130)。 Next, the difference information generation unit 132h receives the set L, the message m, the set y L of the public key y (n), the element a (i) ∈G T, and the element a (j) ∈G T (j∈ A set a L composed of L (j ≠ i)) and an arbitrary value c (j) (j∈L (j ≠ i)) are read. Difference information generating unit 132h corresponds to a value w determined for the information containing the set a L
c (i) = w-Σc (j) (24)
Is generated for j∈L (j ≠ i) and stored in the storage unit 131. In this embodiment, a pseudo random function H ′ is applied to the bit combination values of the system parameter ρ, the set L, the message m, the set y L, and the set a L.
H '(ρ, L, m, y L , a L )… (25)
C (i) is generated with w as w. Note that Σc (j) means the sum of c (j) corresponding to the element j of the set L excluding i (step S130).

次に、巡回群演算部132iに、巡回群G1の元hと任意値tと再リンク鍵rとc(i)とが入力される。巡回群演算部132iは、これらを用い、巡回群G1の元
z(i)=ht・r-c(i)∈G1 …(26)
を生成して記憶部131に格納する(ステップS131)。 Next, an element h, an arbitrary value t, a relink key r, and c (i) of the cyclic group G 1 are input to the cyclic group calculation unit 132 i. The cyclic group calculation unit 132i uses these to generate the element of the cyclic group G 1
z (i) = h t・ r -c (i) ∈ G 1 (26)
Is stored in the storage unit 131 (step S131).

次に、出力部134に、整数c(j)(j∈L(j≠i))と整数c(i)とからなる集合cLと、元z(j)∈G1(j∈L(j≠i))と元z(i)∈G1とからなる集合zLと、メッセージmと、集合Lとが入力される。出力部134は、集合cLと集合zLとを含む署名
σ=(cL,zL) …(27)
とメッセージmと集合Lとを出力する(ステップS132)。出力された署名σとメッセージmと集合Lとは、例えば、ネットワーク経由で署名検証装置14に送信される。 Next, the output unit 134 includes a set c L composed of an integer c (j) (j∈L (j ≠ i)) and an integer c (i), and an element z (j) ∈G 1 (j∈L ( A set z L composed of j ≠ i)) and an element z (i) εG 1 , a message m, and a set L are input. The output unit 134 generates a signature including the set c L and the set z L
σ = (c L , z L )… (27)
And message m and set L are output (step S132). The output signature σ, message m, and set L are transmitted to the signature verification device 14 via a network, for example.

<署名検証処理>
図7は、第1実施形態の署名検証処理を説明するためのフローチャートである。
まず、署名検証装置14(図4)の入力部146に、署名σとメッセージmと集合Lとが入力され、記憶部141に格納される。また、鍵生成装置11から配送された公開鍵y(n)の集合yLが入力部146に入力され、記憶部141に格納される(ステップS141)。 <Signature verification processing>
FIG. 7 is a flowchart for explaining the signature verification processing according to the first embodiment.
First, the signature σ, the message m, and the set L are input to the input unit 146 of the signature verification apparatus 14 (FIG. 4) and stored in the storage unit 141. Also, the set y L of public keys y (n) delivered from the key generation device 11 is input to the input unit 146 and stored in the storage unit 141 (step S141).

巡回群演算部143にメッセージmが読込まれ、巡回群演算部143が、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成する。本形態では、巡回群演算部143が、メッセージmに擬似的なランダム関数Hを作用させた巡回群G1の元
h=H(m)∈G1 …(28)
を生成して記憶部141に格納する(ステップS142)。 The message m is read into the cyclic group calculation unit 143, and the cyclic group calculation unit 143 generates an element hεG 1 of the cyclic group G 1 determined for information including the message m. In this embodiment, the cyclic group calculation unit 143 uses the pseudo random function H to act on the message m, and the element of the cyclic group G 1
h = H (m) ∈G 1 (28)
Is stored in the storage unit 141 (step S142).

次に、巡回群演算部144に、集合Lの各要素n∈Lにそれぞれ対応する、任意値c(n)、任意の元z(n)及び公開鍵y(n)と、巡回群G1の元hとが読込まれる。なお、任意値c(n)は署名σ=(cL,zL)が含む集合cLの要素であり、任意の元z(n)は署名σ=(cL,zL)が含む集合zLの要素である。巡回群演算部144は、元z(n)∈G1(n∈L)と生成元g2∈G2との組に非退化双線形写像eを作用させた結果をe4とし、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1と公開鍵y(n)∈G2(n∈L)との組に非退化双線形写像eを作用させた結果をe5とした場合における、巡回群GTの元
a(n)=e4・e5 c(n)∈GT …(29)
を各n∈Lについて生成して記憶部141に格納する。本形態では、巡回群演算部144が、
a(n)←e(z(n),g2)・e(h,y(n))c(n)∈GT …(30)
の演算によって、各n∈Lに対応する巡回群GTの元a(n)を生成する(ステップS143)。 Next, an arbitrary value c (n), an arbitrary element z (n) and a public key y (n) corresponding to each element nεL of the set L, and the cyclic group G 1 The original h is read. Incidentally, the set arbitrary values c (n) is the signature σ = (c L, z L ) is an element of the set c L included in, any of the original z (n) is the signature sigma = where (c L, z L) contains z is an element of L. The cyclic group computing unit 144 sets e 4 as the result of applying the non-degenerate bilinear map e to the set of the element z (n) ∈G 1 (n∈L) and the generator g 2 ∈G 2, and the message m the result of the action of non-degenerate bilinear mapping e in the set of original H∈G 1 cyclic group G 1 which is determined with respect to information and the public key y (n) ∈G 2 (n∈L ) including e 5 in case of the original cyclic group G T
a (n) = e 4・ e 5 c (n) ∈G T … (29)
Is generated for each n∈L and stored in the storage unit 141. In this embodiment, the cyclic group calculation unit 144 is
a (n) ← e (z (n), g 2 ) ・ e (h, y (n)) c (n) ∈G T … (30)
Calculated by, for generating the original a (n) of the cyclic group G T corresponding to each n∈L of (step S143).

次に、判定部145に、集合Lと、メッセージmと、公開鍵y(n)の集合yLと、元a(n)∈GTの集合aLと、任意値c(n)(n∈L)とが読込まれる。判定部145は、元a(n)(n∈L)からなる集合aLを含む情報に対して定まる整数wと、整数c(n)(n∈L)の総和Σc(n)(n∈L)と、が一致するか否かを判定する。本形態では、システムパラメータρと集合Lとメッセージmと集合yLと集合aLとのビット結合値に、擬似的なランダム関数H'を作用させた結果
H'(ρ,L,m,yL,aL) …(31)
をwとし、
H'(ρ,L,m,yL,aL)=Σc(n) …(32)
を満たすか否かを判定する(ステップS144)。ここで、判定部145が一致すると判定された場合、判定部145は署名が合格である旨の情報を出力し(ステップS145)、判定部145が一致しないと判定した場合、判定部145は署名が不合格である旨の情報を出力する(ステップS146)。 Next, the determination unit 145 sends the set L, the message m, the set y L of the public key y (n), the set a L of the element a (n) ∈G T , and the arbitrary value c (n) (n ∈L) is read. Determination unit 145, based on a (n) and an integer w determined for the information containing the set a L consisting of (n∈L), the sum of the integer c (n) (n∈L) Σc (n) (n∈ L) and whether or not coincide with each other. In this embodiment, a pseudo random function H ′ is applied to the bit combination values of the system parameter ρ, the set L, the message m, the set y L, and the set a L.
H '(ρ, L, m, y L , a L )… (31)
And w
H '(ρ, L, m, y L , a L ) = Σc (n) (32)
It is determined whether or not the condition is satisfied (step S144). Here, when it is determined that the determination unit 145 matches, the determination unit 145 outputs information indicating that the signature is acceptable (step S145). When the determination unit 145 determines that they do not match, the determination unit 145 Is output as a failure (step S146).

なお、前述した非退化双線形写像の性質(式(3)-(6))、秘密鍵x(n)と公開鍵y(n)=g2 x(n)∈G2との関係(式(10)(11))、c(i)の求め方(式(24)(25))、及び元z(i)=ht・r-c(i)∈G1の求め方(式(26))から、署名σが正しい場合には、式(32)を満たすことが分かる。一方、署名が正しくない場合、式(32)を満たす可能性は低い。よって、上述のような判定が可能である。 Note that the properties of the non-degenerate bilinear map (formulas (3)-(6)) and the relationship between the secret key x (n) and the public key y (n) = g 2 x (n) ∈G 2 (formula (10) (11)), c (i) Determination of (equation (24) (25)), and the original z (i) = h t · r -c (i) Determination of ∈G 1 (formula ( From (26)), it can be seen that the expression (32) is satisfied when the signature σ is correct. On the other hand, if the signature is not correct, it is unlikely that equation (32) is satisfied. Therefore, the determination as described above is possible.

<第1実施形態の特徴>
以上のように、本形態では、再リンク鍵生成装置12−iが、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成し、巡回群G1の元である再リンク鍵r=hx(i)∈G1を生成した。当該再リンク鍵rはメッセージmごとに対応する。よって、再リンク鍵rが悪用された場合であっても、署名者の匿名性が失われる(iが知られる)可能性がある範囲を、メッセージmに対する署名σの範囲に限定できる。これにより、再リンク鍵rが悪用された場合であっても、その再リンク鍵rに対応する署名者の匿名性が失われることを抑制できる。 <Features of First Embodiment>
As described above, in this embodiment, the relink key generation device 12-i generates the element hεG 1 of the cyclic group G 1 determined for the information including the message m, and is the element of the cyclic group G 1. Relink key r = h x (i) ∈ G 1 is generated. The relink key r corresponds to each message m. Therefore, even if the relink key r is misused, the range in which the anonymity of the signer may be lost (i is known) can be limited to the range of the signature σ for the message m. Thereby, even if the relink key r is abused, it is possible to suppress the loss of the anonymity of the signer corresponding to the relink key r.

また、本形態では、メッセージmを含む情報の擬似的なランダム関数値を元h∈G1としたため(ステップS112等)、高い安全性を確保できる。また、本形態では、このメッセージmを含む情報としてmのみを用いた。しかし、メッセージmを含む情報としてmとその他の情報との組み合わせを用い、mとその他の情報との組み合わせの擬似的なランダム関数値を元h∈G1としてもよい。この場合の「その他の情報」は、要素i∈Lに対応しない情報であることが望ましい。安全性の観点からである。すなわち、メッセージm、又は、要素i∈Lに対応しない情報とメッセージmとからなる情報に対し、擬似的なランダム関数値を作用させた結果を元hとすることが望ましい。 Further, in this embodiment, since the pseudo random function value of the information including the message m is the element hεG 1 (step S112 and the like), high safety can be ensured. In this embodiment, only m is used as information including this message m. However, a combination of m and other information may be used as information including the message m, and a pseudo random function value of a combination of m and other information may be used as the element hεG 1 . The “other information” in this case is preferably information that does not correspond to the element i∈L. This is from the viewpoint of safety. In other words, it is desirable that the result of applying a pseudo random function value to the message m or information consisting of information not corresponding to the element iεL and the message m is the element h.

また、本形態では、「集合aLを含む情報」に対して定まるwとして式(25)のものを例示した。しかし、これは本発明を限定するものではなく、式(25)のwの代わりに以下のwを用いてもよい。ただし、Addは付加情報である。
w=H'(aL) …(33)
w=H'(L,yL,aL) …(34)
w=H'(L,m,yL,aL) …(35)
w=H'(m,aL) …(36)
w=H'(aL,Add) …(37)
w=H'(ρ,L,m,yL,aL,Add) …(38) Further, in this embodiment, the formula (25) is exemplified as w determined for “information including the set a L ”. However, this does not limit the present invention, and the following w may be used instead of w in the formula (25). However, Add is additional information.
w = H '(a L )… (33)
w = H '(L, y L , a L )… (34)
w = H '(L, m, y L , a L )… (35)
w = H '(m, a L )… (36)
w = H '(a L , Add)… (37)
w = H '(ρ, L, m, y L , a L , Add)… (38)

このように、本形態「集合aLを含む情報」は、集合aLのみを含む情報であってもよいし、さらに、集合Lと公開鍵y(n)∈G2(n∈L)の集合yLとを含む情報であってもよいし、メッセージmを含む情報であってもよい。その他、様々な変形が可能である。 Thus, the present embodiment "information containing the set a L" may be information including only set a L, further, set L and the public key y of the (n) ∈G 2 (n∈L) Information including the set y L may be used, or information including the message m may be used. Various other modifications are possible.

また、本形態でZpの元として説明した値が整数であってもよい。すなわち、安全性や効率の観点からはこれらの値はZpの元であることが望ましいが、この値を一般的な整数から選択する構成も可能である。その場合、安全性の観点から、これらの値が0以上p以下であるか、p+k以上の値であることが望ましい。 In addition, the value described as an element of Z p in this embodiment may be an integer. That is, from the viewpoint of safety and efficiency, these values are preferably elements of Z p , but a configuration in which this value is selected from general integers is also possible. In that case, from the viewpoint of safety, it is desirable that these values are 0 or more and p or less, or p + k or more.

また、署名σ=(cL,zL)が集合cLと集合zLと以外の値を含む構成であってもよい。
また、本形態では、ネットワーク経由で、装置間の情報のやり取りを行う例を示したが、本発明はこれに限定されない。例えば、可搬型記録媒体などを介して装置間で情報のやり取りが行われる形態であってもよい。 The signature σ = (c L , z L ) may include a value other than the set c L and the set z L.
In this embodiment, an example in which information is exchanged between apparatuses via a network has been described. However, the present invention is not limited to this. For example, information may be exchanged between apparatuses via a portable recording medium.

〔第2実施形態〕
次に本発明の第2実施形態を説明する。 [Second Embodiment]
Next, a second embodiment of the present invention will be described.

<全体構成>
図8は、第2実施形態の匿名署名システム2の全体構成を説明するためのブロック図である。
図8に例示するように、匿名署名システム2は、鍵生成装置11と、I(Iは1以上の整数)個の再リンク鍵生成装置22−i(i∈{1,...,I})と、署名生成装置23と、署名検証装置24とを有し、これらはネットワークを通じて通信可能に構成されている。なお、鍵生成装置11の構成は第1実施形態と同じである。また、各装置の数は図8に例示するものに限定されず、鍵生成装置11や署名生成装置23や署名検証装置24が2以上存在してもよい。また、図8に例示した複数の装置の機能を1つの装置に持たせた構成であってもよいし、図8に例示した1つの装置の構成を複数の装置に分散処理させる構成であってもよい。 <Overall configuration>
FIG. 8 is a block diagram for explaining the overall configuration of the anonymous signature system 2 of the second embodiment.
As illustrated in FIG. 8, the anonymous signature system 2 includes a key generation device 11 and I (I is an integer of 1 or more) relink key generation devices 22-i (i∈ {1,..., I }), A signature generation device 23, and a signature verification device 24, which are configured to be communicable through a network. The configuration of the key generation device 11 is the same as that in the first embodiment. Further, the number of devices is not limited to that illustrated in FIG. 8, and there may be two or more key generation devices 11, signature generation devices 23, and signature verification devices 24. Further, a configuration in which the functions of a plurality of devices illustrated in FIG. 8 are provided in one device may be used, or a configuration in which the configuration of one device illustrated in FIG. 8 is distributed to a plurality of devices. Also good.

<再リンク鍵生成装置22−i>
図9は、第2実施形態の再リンク鍵生成装置22−iの機能構成を説明するための図である。
図9に例示するように、本形態の再リンク鍵生成装置22−iは、記憶部221−iと、制御部222−iと、任意値出力部223−iと、巡回群演算部224−iと、関数演算部225−iと、演算部226−iと、再リンク鍵生成部227−iと、入力部228−iと、出力部229−iとを有する。 <Relink key generation device 22-i>
FIG. 9 is a diagram for explaining a functional configuration of the relink key generation device 22-i according to the second embodiment.
As illustrated in FIG. 9, the relink key generation device 22-i according to the present embodiment includes a storage unit 221-i, a control unit 222-i, an arbitrary value output unit 223-i, and a cyclic group calculation unit 224-. i, a function calculation unit 225-i, a calculation unit 226-i, a relink key generation unit 227-i, an input unit 228-i, and an output unit 229-i.

再リンク鍵生成装置22−iは、第1実施形態と同様、例えば、CPU、RAM、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。また、再リンク鍵生成装置22−iは、制御部222−iの制御のもと各処理を実行する。   As in the first embodiment, the relink key generation device 22-i is executed by reading a predetermined program into a known computer or a dedicated computer including a CPU, a RAM, a magnetic recording device, a communication device, and the like, for example. Consists of. In addition, the relink key generation device 22-i executes each process under the control of the control unit 222-i.

<署名生成装置23>
図10は、第2実施形態の署名生成装置23の機能構成を説明するための図である。
図10に例示するように、本形態の署名生成装置23は、記憶部231と、制御部232aと、分離部232bと、関数演算部232cと、任意値出力部232dと、巡回群演算部232e〜232gと、差分情報生成部232hと、演算部232iと、入力部233と、出力部234とを有する。署名生成装置23は、第1実施形態と同様、例えば、CPU、RAM、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。また、署名生成装置13は、制御部132aの制御のもと各処理を実行する。 <Signature generation device 23>
FIG. 10 is a diagram for explaining a functional configuration of the signature generation device 23 according to the second embodiment.
As illustrated in FIG. 10, the signature generation device 23 according to the present embodiment includes a storage unit 231, a control unit 232a, a separation unit 232b, a function calculation unit 232c, an arbitrary value output unit 232d, and a cyclic group calculation unit 232e. ˜232g, a difference information generation unit 232h, a calculation unit 232i, an input unit 233, and an output unit 234. As in the first embodiment, the signature generation device 23 is configured by, for example, reading and executing a predetermined program on a known computer or a dedicated computer including a CPU, a RAM, a magnetic recording device, a communication device, and the like. The In addition, the signature generation device 13 executes each process under the control of the control unit 132a.

<署名検証装置24>
図11は、第2実施形態の署名検証装置24の機能構成を説明するための図である。
図11に例示するように、本形態の署名検証装置24は、記憶部241と、制御部242と、分離部243と、関数演算部244と、巡回群演算部245と、判定部246と、入力部247とを有する。 <Signature Verification Device 24>
FIG. 11 is a diagram for explaining a functional configuration of the signature verification apparatus 24 according to the second embodiment.
As illustrated in FIG. 11, the signature verification apparatus 24 of the present embodiment includes a storage unit 241, a control unit 242, a separation unit 243, a function calculation unit 244, a cyclic group calculation unit 245, a determination unit 246, And an input unit 247.

署名検証装置24は、第1実施形態と同様、例えば、CPU、RAM、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。   As in the first embodiment, the signature verification device 24 is configured by, for example, reading and executing a predetermined program on a known computer or a dedicated computer including a CPU, a RAM, a magnetic recording device, a communication device, and the like. The

<事前処理>
匿名署名システム2でセキュリティパラメータkが定められ、セキュリティパラメータkに応じたシステムパラメータ
ρ'=(p,G,g,H',H'')
が定められる。システムパラメータρ'は、匿名署名システム2を構成するすべての装置に配布され、各装置で同じシステムパラメータρ'が利用される。
また、各再リンク鍵生成装置22−i(図9)の記憶部221−iには、その再リンク鍵生成装置22−iに対応する匿名署名グループの構成員に対応する情報iが格納される。 <Pre-processing>
The security parameter k is defined in the anonymous signature system 2, and the system parameter ρ '= (p, G, g, H', H '') corresponding to the security parameter k
Is determined. The system parameter ρ ′ is distributed to all devices constituting the anonymous signature system 2, and the same system parameter ρ ′ is used in each device.
Further, the storage unit 221-i of each relink key generation device 22-i (FIG. 9) stores information i corresponding to members of the anonymous signature group corresponding to the relink key generation device 22-i. The

<鍵生成処理>
第1実施形態と同じである。 <Key generation process>
The same as in the first embodiment.

<再リンク鍵生成処理>
図12は、第2実施形態の再リンク鍵生成処理を説明するためのフローチャートである。 <Relink key generation process>
FIG. 12 is a flowchart for explaining relink key generation processing according to the second embodiment.

本形態の再リンク鍵生成処理では、まず、匿名署名グループのいずれかの構成員(真の署名者)が、何れかの再リンク鍵生成装置22−i(図9)の入力部228−iに署名対象のメッセージm∈{0,1}*を入力する。入力部228−iに入力されたメッセージmは、記憶部221−iに格納される(ステップS211)。 In the relink key generation process of this embodiment, first, any member (true signer) of the anonymous signature group receives an input unit 228-i of any relink key generation device 22-i (FIG. 9). The message to be signed m∈ {0,1} * is input. The message m input to the input unit 228-i is stored in the storage unit 221-i (step S211).

次に、任意値出力部223−iが、任意値
t∈UZp …(39)
を出力し、記憶部221−iに格納する(ステップS212)。 Next, the arbitrary value output unit 223-i
t∈ U Z p … (39)
Is stored in the storage unit 221-i (step S212).

次に、巡回群演算部224−iに任意値tが入力される。巡回群演算部224−iは、巡回群Gの元
T=gt∈G …(40)
を生成し、記憶部221−iに格納する(ステップS213)。 Next, an arbitrary value t is input to the cyclic group calculation unit 224-i. The cyclic group computation unit 224-i
T = g t ∈G (40)
Is stored in the storage unit 221-i (step S213).

次に、関数演算部225−iに、巡回群Gの元Tとメッセージmとが入力される。関数演算部225−iは、元Tとメッセージmとを含む情報に対して定まる値cを生成し、記憶部221−iに格納する。本形態では、関数演算部225−iが、
c←H''(T,m)∈Zp …(41)
の演算によって値cを生成する(ステップS214)。なお、(T,m)はTとmとのビット結合値である。 Next, the element T of the cyclic group G and the message m are input to the function calculation unit 225-i. The function calculation unit 225-i generates a value c determined for information including the element T and the message m, and stores the generated value c in the storage unit 221-i. In this embodiment, the function calculation unit 225-i
c ← H '' (T, m) ∈Z p … (41)
The value c is generated by the calculation of (Step S214). Note that (T, m) is a bit combination value of T and m.

次に、演算部226−iに、記憶部221−iに格納された任意値tと、秘密鍵x(i)と、値cとが読込まれる。演算部226−iは、
z=t+x(i)・c∈Zp …(42)
を生成し、記憶部221−iに格納する(ステップS215)。 Next, the arbitrary value t, the secret key x (i), and the value c stored in the storage unit 221-i are read into the calculation unit 226-i. The calculation unit 226-i
z = t + x (i) · c∈Z p … (42)
Is generated and stored in the storage unit 221-i (step S215).

次に、再リンク鍵r=(T, z)に、元T∈Gとzとが読込まれる。再リンク鍵r=(T, z)は、これらを含む再リンク鍵
r=(T, z)∈G×Zp …(43)
を生成し、記憶部221−iに格納する(ステップS216)。 Next, the elements TεG and z are read into the relink key r = (T, z). The relink key r = (T, z) is the relink key that contains them
r = (T, z) ∈G × Z p … (43)
Is generated and stored in the storage unit 221-i (step S216).

次に、出力部229−iに、再リンク鍵rとメッセージmと情報iとが入力される。出力部229−iは、再リンク鍵rとメッセージmと情報iとを出力する(ステップS217)。これらは、例えば、ネットワーク経由で署名生成装置23に送信される。   Next, the relink key r, the message m, and the information i are input to the output unit 229-i. The output unit 229-i outputs the relink key r, the message m, and the information i (Step S217). These are transmitted to the signature generation apparatus 23 via a network, for example.

<署名生成処理>
図13は、第2実施形態の署名生成処理を説明するためのフローチャートである。
署名生成処理では、まず、何れかの再リンク鍵生成装置22−iから送られた再リンク鍵rとメッセージmと情報iとが、署名生成装置23(図10)の入力部233に入力(受信)され、記憶部231に格納される。また、選択された匿名署名グループの構成員の集合Lと、∀n∈Lに対応する公開鍵y(n)の集合
yL={y(n)}n∈L …(44)
とが入力部233に入力され、記憶部231に格納される。なお、集合Lは、例えば、署名生成装置23の利用者によって選択され、入力されたものである。また、公開鍵y(n)の集合yLは、前述の鍵生成装置11からネットワーク経由で送信されたものである。 <Signature generation processing>
FIG. 13 is a flowchart for explaining a signature generation process according to the second embodiment.
In the signature generation process, first, the relink key r, the message m, and the information i sent from any of the relink key generation devices 22-i are input to the input unit 233 of the signature generation device 23 (FIG. 10) ( Received) and stored in the storage unit 231. Also, a set L of members of the selected anonymous signature group and a set of public keys y (n) corresponding to ∀n∈L
y L = {y (n)} n∈L … (44)
Are input to the input unit 233 and stored in the storage unit 231. The set L is selected and input by the user of the signature generation device 23, for example. Also, the set y L of public keys y (n) is transmitted from the key generation device 11 described above via a network.

次に、制御部132aが、記憶部131に格納された情報iと集合Lとが、
i∈L …(45)
を満たすか否かを判定する(ステップS222)。i∈Lを満たさないと判定された場合、制御部232aは署名生成処理を拒絶し(ステップS223)、処理を終了する。一方、i∈Lを満たすと判定された場合、分離部232bに再リンク鍵rが読込まれる。分離部232bは、再リンク鍵rを分解し、
(T, z)←r∈G×Zp …(46)
を生成する(ステップS224)。 Next, the control unit 132a determines that the information i and the set L stored in the storage unit 131 are
i∈L… (45)
It is determined whether or not the condition is satisfied (step S222). When it is determined that iεL is not satisfied, the control unit 232a rejects the signature generation process (step S223) and ends the process. On the other hand, when it is determined that iεL is satisfied, the relink key r is read into the separation unit 232b. The separation unit 232b decomposes the relink key r,
(T, z) ← r∈G × Z p … (46)
Is generated (step S224).

次に、関数演算部232cに、元T∈Gとメッセージmとが読込まれる。関数演算部232cは、元Tとメッセージmとを含む情報に対して定まる値cを生成し、記憶部231に格納する。本形態では、関数演算部232cが、
c=H''(T,m)∈Zp …(47)
を生成する(ステップS225)。 Next, the element TεG and the message m are read into the function calculation unit 232c. The function calculation unit 232c generates a value c determined for information including the element T and the message m, and stores the generated value c in the storage unit 231. In this embodiment, the function calculation unit 232c
c = H '' (T, m) ∈Z p (47)
Is generated (step S225).

次に、任意値出力部232dが、任意値
t(i)∈UZp …(48)
をi∈Lについて出力し、記憶部231に格納する(ステップS226)。 Next, the arbitrary value output unit 232d
t (i) ∈ U Z p … (48)
Is output for iεL and stored in the storage unit 231 (step S226).

次に、巡回群演算部232eに、任意値t(i)が読込まれる。巡回群演算部232eは、巡回群Gの元
T(i)=gt(i)∈G …(49)
を生成し、記憶部231に格納する(ステップS227)。 Next, the arbitrary value t (i) is read into the cyclic group calculation unit 232e. The cyclic group computation unit 232e is an element of the cyclic group G.
T (i) = g t (i) ∈G… (49)
Is generated and stored in the storage unit 231 (step S227).

また、任意値出力部232fが、任意値
c(j)∈UZp …(50)
z(j)∈UZp …(51)
をj∈L(j≠i)について出力し、記憶部231に格納する(ステップS228)。 Also, the arbitrary value output unit 232f receives an arbitrary value
c (j) ∈ U Z p … (50)
z (j) ∈ U Z p … (51)
Is output for j∈L (j ≠ i) and stored in the storage unit 231 (step S228).

次に、巡回群演算部232gに、任意値c(j),z(j)と、元Tと、公開鍵y(j)(j∈L(j≠i))とが入力される。巡回群演算部232gは、巡回群Gの元
T(j)=gz(j)・(T・y(j)c)c(j)∈G …(52)
をj∈L(j≠i)について生成し、記憶部231に格納する(ステップS229)。 Next, arbitrary values c (j), z (j), element T, and public key y (j) (j∈L (j ≠ i)) are input to the cyclic group calculation unit 232g. The cyclic group calculation unit 232g is a component of the cyclic group G.
T (j) = g z (j)・ (T ・ y (j) c ) c (j) ∈G… (52)
Is generated for j∈L (j ≠ i) and stored in the storage unit 231 (step S229).

次に、差分情報生成部232hに、元T(i)∈Gと元T(j)(j∈L(j≠i))∈Gとからなる集合TLと、元Tと、メッセージmと、公開鍵y(n)の集合yLと、任意値c(j)とが入力される。差分情報生成部232hは、元T(i)∈Gと元T(j)(j∈L(j≠i))∈Gとからなる集合TLと元Tとを含む情報に対して定まる値w'と、任意値c(j)(j∈L(j≠i))の総和Σc(j)とを用い、値
c(i)=w'-Σc(j)(j∈L(j≠i)) …(53)
を生成し、記憶部231に格納する。本形態では、元Tと集合TLとメッセージmと集合yLとのビット結合値に、擬似的なランダム関数H'を作用させた結果
H'(T,TL,m,yL) …(54)
をw'として値c(i)を生成する(ステップS230)。 Next, the difference information generation unit 232h sends the set T L composed of the element T (i) ∈G and the element T (j) (j∈L (j ≠ i)) ∈G, the element T, the message m, , A set y L of public keys y (n) and an arbitrary value c (j) are input. The difference information generation unit 232h is a value determined for information including the set T L and the element T including the element T (i) ∈G and the element T (j) (j∈L (j ≠ i)) ∈G. Using w ′ and the sum Σc (j) of arbitrary values c (j) (j∈L (j ≠ i))
c (i) = w'-Σc (j) (j∈L (j ≠ i))… (53)
Is generated and stored in the storage unit 231. In this embodiment, the result of applying a pseudo random function H ′ to the bit combination values of the element T, the set T L , the message m, and the set y L
H '(T, T L , m, y L )… (54)
Is set to w ′ to generate a value c (i) (step S230).

次に、演算部232iに、任意値t(i)と値zと値c(i)とが入力される。演算部232iは、
z(i)=t(i)-z・c(i)∈Zp …(55)
を生成し、記憶部231に格納する(ステップS231)。 Next, an arbitrary value t (i), a value z, and a value c (i) are input to the calculation unit 232i. The calculation unit 232i
z (i) = t (i) -z ・ c (i) ∈Z p … (55)
Is generated and stored in the storage unit 231 (step S231).

次に、元T∈Gと、整数c(j)(j∈L(j≠i))と整数c(i)とからなる集合cLと、任意数z(j)(j∈L(j≠i))と数z(i)∈Gとからなる集合zLとを含む署名σ=(T,cL,zL)と、メッセージmと、集合Lとが出力部234から出力される(ステップS232)。これらは、例えば、ネットワーク経由で署名検証装置24に送信される。 Next, the element T∈G, a set c L consisting of integer c (j) (j∈L (j ≠ i)) and integer c (i), and an arbitrary number z (j) (j∈L (j ≠ i)) and a set σ = (T, c L , z L ) including a set z L composed of a number z (i) ∈G, a message m, and a set L are output from the output unit 234. (Step S232). These are transmitted to the signature verification apparatus 24 via a network, for example.

<署名検証処理>
図14は、第2実施形態の署名検証処理を説明するためのフローチャートである。
まず、署名検証装置24(図11)の入力部247に、署名σとメッセージmと集合Lとが入力され、記憶部241に格納される。また、鍵生成装置11から配送された公開鍵y(n)の集合yLが入力部247に入力され、記憶部241に格納される(ステップS241)。 <Signature verification processing>
FIG. 14 is a flowchart for explaining a signature verification process according to the second embodiment.
First, the signature σ, the message m, and the set L are input to the input unit 247 of the signature verification device 24 (FIG. 11) and stored in the storage unit 241. Further, the set y L of public keys y (n) delivered from the key generation device 11 is input to the input unit 247 and stored in the storage unit 241 (step S241).

次に、分離部243に署名σが読込まれる。分離部243は、署名σを分離し、
(T, cL, zL)←σ …(56)
を生成し、これらを記憶部241に格納する(ステップS242)。 Next, the signature σ is read into the separation unit 243. The separation unit 243 separates the signature σ,
(T, c L , z L ) ← σ… (56)
Are stored in the storage unit 241 (step S242).

次に、関数演算部244に、元Tとメッセージmとが読込まれる。関数演算部244は、元Tとメッセージmとを含む情報に対して定まる値cを生成し、記憶部241に格納する(ステップS243)。本形態の場合、関数演算部244は、
c←H''(T,m)∈Zp …(57)
の演算によって値cを生成する(ステップS243)。 Next, the element T and the message m are read into the function calculation unit 244. The function calculation unit 244 generates a value c determined for information including the element T and the message m, and stores the value c in the storage unit 241 (step S243). In the case of this embodiment, the function calculation unit 244 is
c ← H '' (T, m) ∈Z p … (57)
The value c is generated by the calculation of (Step S243).

次に、巡回群演算部245に、集合zLの要素であるz(n)と、集合cLの要素であるc(n)と、cと、Tと、集合yLの要素である公開鍵y(n)とが入力される。巡回群演算部245は、これらを用い、巡回群Gの元
T(n)=gz(n)(T・y(n)c)c(n)∈G …(58)
を各n∈Lについて生成し、記憶部241に格納する(ステップS244)。 Next, the cyclic group computing unit 245 discloses z (n) that is an element of the set z L , c (n) that is an element of the set c L , c, T, and an element that is an element of the set y L Key y (n) is input. The cyclic group calculation unit 245 uses these to generate the elements of the cyclic group G
T (n) = g z (n) (T ・ y (n) c ) c (n) ∈G… (58)
Is generated for each n∈L and stored in the storage unit 241 (step S244).

次に、判定部246に、元T(n)∈G(n∈L)の集合TLと、元Tと、メッセージmと、公開鍵y(n)の集合yLと、集合cLの要素であるc(n)とが読込まれる。判定部246は、元T(n)∈G(n∈L)の集合TLと元Tとを含む情報に対して定まる値w'と、値c(n)(n∈L)の総和Σc(n)とが、一致するか否かを判定する。本形態では、元Tと集合TLとメッセージmと集合yLとのビット結合値に、擬似的なランダム関数H'を作用させた結果
H'(T,TL,m,yL) …(59)
をw'とし、
H'(T,TL,m,yL)=Σc(n) …(60)
を満たすか否かを判定する(ステップS245)。ここで、判定部246が一致すると判定された場合、判定部246は署名が合格である旨の情報を出力し(ステップS246)、判定部246が一致しないと判定した場合、判定部246は署名が不合格である旨の情報を出力する(ステップS247)。 Next, the determination unit 246 sends the set T L of the element T (n) ∈G (n∈L), the element T, the message m, the set y L of the public key y (n), and the set c L The element c (n) is read. The determination unit 246 determines the sum Σc of the value w ′ determined for the information including the set T L and the element T of the element T (n) ∈G (n∈L) and the value c (n) (n∈L). It is determined whether or not (n) matches. In this embodiment, the result of applying a pseudo random function H ′ to the bit combination values of the element T, the set T L , the message m, and the set y L
H '(T, T L , m, y L )… (59)
Is w ',
H '(T, T L , m, y L ) = Σc (n)… (60)
It is determined whether or not the condition is satisfied (step S245). If it is determined that the determination unit 246 matches, the determination unit 246 outputs information indicating that the signature is acceptable (step S246). If the determination unit 246 determines that they do not match, the determination unit 246 Is output as a failure (step S247).

なお、前述した秘密鍵x(n)と公開鍵y(n)=g2 x(n)∈G2との関係(式(10)(11))、T(i)の求め方(式(49))、元Tの求め方(式(40))、z(i)の求め方(式(55)から、署名σが正しい場合には、式(60)を満たすことが分かる。一方、署名が正しくない場合、式(60)を満たす可能性は低い。よって、上述のような判定が可能である。 It should be noted that the relationship between the secret key x (n) and the public key y (n) = g 2 x (n) ∈ G 2 (formulas (10) and (11)) and how to obtain T (i) 49)), how to obtain the element T (formula (40)), and how to obtain z (i) (formula (55), it can be seen that the formula (60) is satisfied when the signature σ is correct. If the signature is not correct, it is unlikely that the expression (60) is satisfied, and thus the above-described determination is possible.

<第2実施形態の特徴>
以上のように、本形態では、任意値tを生成し、巡回群Gの元T=gt∈Gを生成し、元Tとメッセージmとを含む情報に対して定まる整数cを生成し、z=t+x(i)・cを生成し、現元T∈Gと整数zとを含む再リンク鍵r=(T, z)を生成した。この再リンク鍵r=(T, z)は、メッセージmごとに対応する。よって、再リンク鍵rが悪用された場合であっても、署名者の匿名性が失われる(iが知られる)可能性がある範囲を、メッセージmに対する署名σの範囲に限定できる。これにより、再リンク鍵rが悪用された場合であっても、その再リンク鍵rに対応する署名者の匿名性が失われることを抑制できる。 <Features of Second Embodiment>
As described above, in the present embodiment, the arbitrary value t is generated, the element T = g t ∈ G of the cyclic group G is generated, and the integer c determined for the information including the element T and the message m is generated, z = t + x (i) · c is generated, and the relink key r = (T, z) including the current element T∈G and the integer z is generated. This relink key r = (T, z) corresponds to each message m. Therefore, even if the relink key r is misused, the range in which the anonymity of the signer may be lost (i is known) can be limited to the range of the signature σ for the message m. Thereby, even if the relink key r is abused, it is possible to suppress the loss of the anonymity of the signer corresponding to the relink key r.

また、本形態では、元Tとメッセージmとを含む情報の擬似的なランダム関数値を値cとしたため(ステップS225等)、高い安全性を確保できる。また、本形態では、この元Tとメッセージmとを含む情報としてTとmとのビット結合値(T,m)を用いた。しかし、元Tとメッセージmとを含む情報としてTとmとその他の情報との組み合わせを用い、Tとmとその他の情報との組み合わせの擬似的なランダム関数値を元h∈G1としてもよい。この場合の「その他の情報」は、要素i∈Lに対応しない情報であることが望ましい。安全性の観点からである。すなわち、元Tとメッセージmとからなる情報、又は、要素i∈Lに対応しない情報と元Tとメッセージmとからなる情報に対し、擬似的なランダム関数値を作用させた結果をcとすることが望ましい。 In the present embodiment, since the pseudo random function value of the information including the element T and the message m is set to the value c (step S225, etc.), high safety can be ensured. In this embodiment, the bit combination value (T, m) of T and m is used as information including the original T and the message m. However, a combination of T, m, and other information is used as information including the element T and the message m, and a pseudo random function value of a combination of T, m, and other information is also set as the element h∈G 1 Good. The “other information” in this case is preferably information that does not correspond to the element i∈L. This is from the viewpoint of safety. That is, let c be the result of applying a pseudo random function value to information consisting of element T and message m, or information not corresponding to element i∈L and information consisting of element T and message m. It is desirable.

また、本形態では、「集合TLと元Tとを含む情報」に対して定まる値w'(ステップS230等)として式(54)のものを例示した。しかし、これは本発明を限定するものではなく、式(54)のw'の代わりに以下のw'を用いてもよい。ただし、Addは付加情報である。
w=H'(T,TL) …(61)
w=H'(T,TL,yL) …(62)
w=H'(T,TL,m) …(63)
w=H'(T,TL,Add) …(64)
w=H'(T,TL,m,yL,Add) …(65) In this embodiment, the value w ′ (step S230 and the like) determined for “information including the set T L and the element T” is exemplified by the equation (54). However, this does not limit the present invention, and the following w ′ may be used instead of w ′ in the formula (54). However, Add is additional information.
w = H '(T, T L )… (61)
w = H '(T, T L , y L )… (62)
w = H '(T, T L , m)… (63)
w = H '(T, T L , Add)… (64)
w = H '(T, T L , m, y L , Add)… (65)

このように、本形態の「集合TLと元Tとを含む情報」は、集合TLと元Tとのみを含む情報であってもよいし、さらに、公開鍵y(n)∈G(n∈L)の集合yLを含む情報であってもよいし、メッセージmを含む情報であってもよい。その他、様々な変形が可能である。 As described above, the “information including the set T L and the element T” in this embodiment may be information including only the set T L and the element T, and further, the public key y (n) ∈G ( The information may include information including a set y L of nεL), or may include information including a message m. Various other modifications are possible.

同様に、本形態の「元Tとメッセージmとを含む情報」(ステップS225等)、元Tとメッセージmとのみを含む情報であってもよいし、さらに他の情報を含むものであってもよい。   Similarly, “information including the source T and the message m” (step S225, etc.), information including only the source T and the message m may be included, and other information may be included. Also good.

また、本形態でZpの元として説明した値が整数であってもよい。すなわち、安全性や効率の観点からはこれらの値はZpの元であることが望ましいが、この値を一般的な整数から選択する構成も可能である。その場合、安全性の観点から、これらの値が0以上p以下であるか、p+k以上の値であることが望ましい。 In addition, the value described as an element of Z p in this embodiment may be an integer. That is, from the viewpoint of safety and efficiency, these values are preferably elements of Z p , but a configuration in which this value is selected from general integers is also possible. In that case, from the viewpoint of safety, it is desirable that these values are 0 or more and p or less, or p + k or more.

また、署名σ=(T,cL,zL)がTと集合cLと集合zLと以外の値を含む構成であってもよい。
また、本形態では、ネットワーク経由で、装置間の情報のやり取りを行う例を示したが、本発明はこれに限定されない。例えば、可搬型記録媒体などを介して装置間で情報のやり取りが行われる形態であってもよい。 The signature σ = (T, c L , z L ) may include a value other than T, the set c L, and the set z L.
In this embodiment, an example in which information is exchanged between apparatuses via a network has been described. However, the present invention is not limited to this. For example, information may be exchanged between apparatuses via a portable recording medium.

〔その他の変形例〕
本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。 [Other variations]
The present invention is not limited to the above-described embodiment. For example, the various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads the program stored in its own recording medium and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、上述の実施形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In the above-described embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

1,2 匿名署名システム
12−i,22−i 再リンク鍵生成装置
13,23 署名生成装置
14,24 署名検証装置 1, 2 Anonymous signature system 12-i, 22-i Relink key generation device 13, 23 Signature generation device 14, 24 Signature verification device

Claims (17)

G1,G2,GTを巡回群とし、eを巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像とし、g2∈G2を巡回群G2の生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、iを除く前記集合Lの各要素をj∈L(j≠i)とし、x(n)(n∈L)を前記要素n∈Lにそれぞれ対応する整数の秘密鍵とし、巡回群G2の元y(n)=g2 x(n)∈G2(n∈L)を前記要素n∈Lにそれぞれ対応する公開鍵とした場合における、
メッセージmを含む情報に対して定まる前記巡回群G1の元h∈G1と、当該メッセージmに対応する巡回群G1の元である再リンク鍵r=hx(i)∈G1と、前記公開鍵y(n)∈G2(n∈L)の集合とを格納する記憶部と、
前記元h∈G1と前記生成元g2∈G2との組に前記非退化双線形写像eを作用させた結果をe1とし、tを任意の整数とした場合における、巡回群GTの元a(i)=e1 t∈GTを生成する第1巡回群演算部と、
巡回群G1の任意の元z(j)∈G1(j∈L(j≠i))と前記生成元g2∈G2との組に前記非退化双線形写像eを作用させた結果をe2とし、前記元h∈G1と公開鍵y(j)∈G2(j∈L(j≠i))とに前記非退化双線形写像eを作用させた結果をe3とし、c(j)(j∈L(j≠i))を任意の整数とした場合における、巡回群GTの元a(j)=e2・e3 c(j)∈GT(j∈L(j≠i))を生成する第2巡回群演算部と、
前記元a(i)∈GTと前記元a(j)∈GT(j∈L(j≠i))とからなる集合aLを含む情報に対して定まる整数wと、前記整数c(j)(j∈L(j≠i))の総和Σc(j)とを用い、整数c(i)=w-Σc(j)(j∈L(j≠i))を生成する差分情報生成部と、
前記元h∈G1と前記再リンク鍵r∈G1と前記整数tと前記整数c(i)とを用い、巡回群G1の元z(i)=ht・r-c(i)∈G1を生成する第3巡回群演算部と、
前記整数c(j)(j∈L(j≠i))と前記整数c(i)とからなる集合cLと、前記元z(j)∈G1(j∈L(j≠i))と前記元z(i)∈G1とからなる集合zLとを含む、署名σ=(cL,zL)を出力する出力部と、
を有する署名生成装置。 G 1 , G 2 , G T are cyclic groups, e is a non-degenerate bilinear map that maps the original set of cyclic groups G 1 , G 2 to the cyclic group G T , and g 2 ∈G 2 is a cyclic group G 2 is a generator, L is a set of information corresponding to members of the anonymous signature group, n is an element of the set L, any element of the set L is i∈L, and i is excluded wherein each element of set L and j∈L (j ≠ i), x (n) and (n∈L) a private key integer corresponding to each of the element N∈L, original y cyclic group G 2 ( n) = g 2 x (n) ∈ G 2 (n∈L) is a public key corresponding to the element n∈L,
The original H∈G 1 cyclic group G 1 that is determined with respect to information including a message m, and relinking key r = h x (i) ∈G 1 which is a cyclic group G 1 of the original corresponding to the message m A storage unit for storing the set of public keys y (n) ∈G 2 (n∈L),
In the case where the result of the allowed to act the nondegenerate bilinear mapping e in the set of original H∈G 1 and the origin g 2 ∈G 2 and e 1, and a t an arbitrary integer, the cyclic group G T A first cyclic group operation unit for generating an element a (i) = e 1 t ∈G T
Result of applying the non-degenerate bilinear map e to a set of an arbitrary element z (j) ∈G 1 (j∈L (j ≠ i)) of the cyclic group G 1 and the generator g 2 ∈G 2 E 2 and e 3 is the result of applying the non-degenerate bilinear map e to the element h∈G 1 and the public key y (j) ∈G 2 (j∈L (j ≠ i)), c (j) (j∈L (j ≠ i)) in the case where an arbitrary integer, based on a (j) of the cyclic group G T = e 2 · e 3 c (j) ∈G T (j∈L a second cyclic group operation unit for generating (j ≠ i)),
An integer w determined for information including the set a L composed of the element a (i) ∈G T and the element a (j) ∈G T (j∈L (j ≠ i)), and the integer c ( j) Difference information generation that generates integer c (i) = w-Σc (j) (j∈L (j ≠ i)) using summation Σc (j) of (j∈L (j ≠ i)) And
Using the element h∈G 1 , the relink key r∈G 1 , the integer t and the integer c (i), the element z (i) = h t · r −c (i) of the cyclic group G 1 A third cyclic group operation unit for generating ∈G 1 ;
A set c L composed of the integer c (j) (j∈L (j ≠ i)) and the integer c (i), and the element z (j) ∈G 1 (j∈L (j ≠ i)) And an output unit that outputs a signature σ = (c L , z L ), and a set z L consisting of the element z (i) ∈G 1
A signature generation device. 請求項1の署名生成装置であって、
前記元h∈G1は、前記メッセージmを含む情報の擬似的なランダム関数値である、
ことを特徴とする署名生成装置。 The signature generation device according to claim 1,
The element hεG 1 is a pseudo random function value of information including the message m.
A signature generation apparatus characterized by the above. 請求項1又は2の署名生成装置であって、
前記メッセージmを含む情報は、前記メッセージmであるか、又は、前記要素i∈Lに対応しない情報と前記メッセージmとからなる情報である、
ことを特徴とする署名生成装置。 The signature generation device according to claim 1 or 2,
The information including the message m is the message m, or information including the information not corresponding to the element i ∈ L and the message m.
A signature generation apparatus characterized by the above. 請求項1から3の何れかの署名生成装置であって、
前記集合aLを含む情報は、さらに、前記集合Lと、前記公開鍵y(n)∈G2(n∈L)の集合と、を含む情報である、
ことを特徴とする署名生成装置。 The signature generation device according to any one of claims 1 to 3,
The information including the set a L is information including the set L and the set of the public key y (n) ∈G 2 (n∈L).
A signature generation apparatus characterized by the above. 請求項1から4の何れかの署名生成装置であって、
前記集合aLを含む情報は、さらに、前記メッセージmを含む情報である、
ことを特徴とする署名生成装置。 The signature generation device according to any one of claims 1 to 4,
The information including the set a L is information including the message m.
A signature generation apparatus characterized by the above. G1,G2,GTを巡回群とし、eを巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像とし、g2∈G2を巡回群G2の生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、y(n)∈G2(n∈L)を前記要素nにそれぞれ対応する公開鍵とした場合における、
前記公開鍵y(n)∈G2(n∈L)の集合と、整数c(n)(n∈L)からなる集合cL及び巡回群G1の元z(n)∈G1(n∈L)からなる集合zLを含む署名σ=(cL,zL)と、メッセージmとを格納する記憶部と、
前記元z(n)∈G1(n∈L)と前記生成元g2∈G2との組に前記非退化双線形写像eを作用させた結果をe4とし、前記メッセージmを含む情報に対して定まる巡回群G1の元h∈G1と前記公開鍵y(n)∈G2(n∈L)との組に前記非退化双線形写像eを作用させた結果をe5とした場合における、巡回群GTの元a(n)=e4・e5 c(n)∈GT(n∈L)を生成する巡回群演算部と、
前記元a(n)(n∈L)からなる集合aLを含む情報に対して定まる整数wと、前記整数c(n)(n∈L)の総和Σc(n)(n∈L)と、が一致するか否かを判定する判定部と、
を有する署名検証装置。 G 1 , G 2 , G T are cyclic groups, e is a non-degenerate bilinear map that maps the original set of cyclic groups G 1 , G 2 to the cyclic group G T , and g 2 ∈G 2 is a cyclic group G 2 is a generator, L is a set of information corresponding to members of the anonymous signature group, n is an element of the set L, and y (n) ∈G 2 (n∈L) is the element n In the case of each corresponding public key,
The public key y (n) ∈G 2 a set of (n∈L), the integer c (n) consists of (n∈L) set c L and the cyclic group G 1 of the original z (n) ∈G 1 (n A storage unit for storing a signature σ = (c L , z L ) including a set z L consisting of ∈L) and a message m;
Information including the message m, where e 4 is the result of applying the non-degenerate bilinear map e to the set of the element z (n) ∈G 1 (n∈L) and the generator g 2 ∈G 2 and e 5 origional H∈G 1 cyclic group G 1 and the public key y (n) ∈G 2 (n∈L ) results the allowed to act nondegenerate bilinear mapping e to the set of the determined relative in the case where the cyclic group arithmetic unit for generating the original a (n) = e 4 · e 5 c (n) ∈G T of the cyclic group G T (n∈L),
An integer w determined for information including the set a L composed of the elements a (n) (n∈L), and a sum Σc (n) (n∈L) of the integers c (n) (n∈L) and , And a determination unit for determining whether or not match,
A signature verification apparatus. Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、x(n)(n∈L)を前記要素i∈Lに対応する整数の秘密鍵とした場合における、
メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成する巡回群演算部と、
メッセージmに対応する巡回群G1の元である再リンク鍵r=hx(i)∈G1を生成する再リンク鍵生成部と、
前記再リンク鍵r=hx(i)∈G1を出力する出力部と、
を有する再リンク鍵生成装置。 L is a set of information corresponding to members of the anonymous signature group, n is each element of the set L, any element of the set L is i∈L, and x (n) (n∈L) is In the case of an integer secret key corresponding to the element i ∈ L,
A cyclic group computing unit that generates an element h∈G 1 of a cyclic group G 1 determined for information including the message m;
And relinked key generation unit for generating a re-link key r = h x (i) ∈G 1 which is a corresponding cyclic group G 1 of the original in the message m,
An output unit for outputting the relink key r = h x (i) ∈ G 1 ;
A relink key generation device having: Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、iを除く前記集合Lの各要素をj∈L(j≠i)とし、x(n)(n∈L)を前記要素n∈Lにそれぞれ対応する整数の秘密鍵とし、y(n)=gx(n)∈G(n∈L)を前記要素n∈Lにそれぞれ対応する公開鍵とし、tを任意の整数とし、Tを巡回群Gの元T=gt∈Gとし、cを前記元Tとメッセージmとを含む情報に対して定まる整数とし、z=t+x(i)・cとした場合における、
前記メッセージmに対応する再リンク鍵r=(T, z)と、前記整数cと、前記公開鍵y(n)∈G(n∈L)の集合とを格納する記憶部と、
t(i)を任意の整数とした場合における、巡回群Gの元T(i)=gt(i)∈Gを生成する第1巡回群演算部と、
c(j)(j∈L(j≠i))を任意の整数とし、z(j)(j∈L(j≠i))を任意の整数とした場合における、巡回群Gの元T(j)=gz(j)・(T・y(j)c)c(j)∈Gを生成する第2巡回群演算部と、
前記元T(i)∈Gと前記元T(j)(j∈L(j≠i))∈Gとからなる集合TLと前記元Tとを含む情報に対して定まる整数w'と、前記整数c(j)(j∈L(j≠i))の総和Σc(j)とを用い、整数c(i)=w'-Σc(j)(j∈L(j≠i))を生成する差分情報生成部と、
整数z(i)=t(i)-z・c(i)を生成する演算部と、
前記元T∈Gと、前記整数c(j)(j∈L(j≠i))と前記整数c(i)とからなる集合cLと、前記整数z(j)(j∈L(j≠i))と前記整数z(i)∈Gとからなる集合zLとを含む、署名σ=(T,cL,zL)を出力する出力部と、
を有する署名生成装置。 G is a cyclic group, g∈G is a generator of cyclic group G, L is a set of information corresponding to members of the anonymous signature group, n is an element of the set L, and any of the sets L I∈L, j∈L (j ≠ i) for each element of the set L excluding i, and x (n) (n∈L) is an integer secret corresponding to the element n∈L. A key, y (n) = g x (n) ∈ G (n ∈ L) is a public key corresponding to the element n ∈ L, t is an arbitrary integer, and T is an element T of the cyclic group G = In the case where g t ∈ G, c is an integer determined for information including the element T and the message m, and z = t + x (i) · c,
A storage unit for storing a relink key r = (T, z) corresponding to the message m, the integer c, and a set of the public keys y (n) εG (nεL);
a first cyclic group operation unit for generating an element T (i) = gt (i) ∈ G of a cyclic group G when t (i) is an arbitrary integer;
c (j) (j∈L (j ≠ i)) is an arbitrary integer and z (j) (j∈L (j ≠ i)) is an arbitrary integer. j) = g z (j) · (T · y (j) c ) c (j) ∈ G generating a second cyclic group operation unit;
An integer w ′ determined for information including a set T L composed of the element T (i) ∈G and the element T (j) (j∈L (j ≠ i)) ∈G and the element T; Using the sum Σc (j) of the integer c (j) (j∈L (j ≠ i)), the integer c (i) = w′−Σc (j) (j∈L (j ≠ i)) A difference information generation unit to generate;
An arithmetic unit for generating an integer z (i) = t (i) −z · c (i);
A set c L composed of the element T∈G, the integer c (j) (j∈L (j ≠ i)) and the integer c (i), and the integer z (j) (j∈L (j ≠ i)) and an output unit that outputs a signature σ = (T, c L , z L ), including the set z L consisting of the integer z (i) ∈ G;
A signature generation device. 請求項8の署名生成装置であって、
前記整数cは、前記元Tとメッセージmとを含む情報の擬似的なランダム関数値である、
ことを特徴とする署名生成装置。 The signature generation device according to claim 8, comprising:
The integer c is a pseudo random function value of information including the element T and the message m.
A signature generation apparatus characterized by the above. 請求項8又は9の署名生成装置であって、
前記元Tとメッセージmとを含む情報は、前記元Tとメッセージmとからなる情報であるか、又は、前記要素i∈Lに対応しない情報と前記元Tとメッセージmとからなる情報である、
ことを特徴とする署名生成装置。 The signature generation device according to claim 8 or 9, wherein
The information including the element T and the message m is information including the element T and the message m, or information including information not corresponding to the element iεL and the element T and the message m. ,
A signature generation apparatus characterized by the above. 請求項8から10の何れかの署名生成装置であって、
前記集合TLと前記元Tとを含む情報は、さらに、前記公開鍵y(n)∈G(n∈L)の集合を含む情報である、
ことを特徴とする署名生成装置。 The signature generation device according to any one of claims 8 to 10,
The information including the set T L and the element T is information including a set of the public key y (n) ∈G (n∈L).
A signature generation apparatus characterized by the above. 請求項8から11の何れかの署名生成装置であって、
前記集合TLと前記元Tとを含む情報は、さらに、前記メッセージmを含む情報である、
ことを特徴とする署名生成装置。 The signature generation device according to any one of claims 8 to 11,
The information including the set T L and the element T is information including the message m.
A signature generation apparatus characterized by the above. Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、y(n)∈G(n∈L)を前記要素n∈Lにそれぞれ対応する公開鍵とした場合における、
巡回群の元T∈Gと整数c(n)(n∈L)の集合cLと整数z(n)(n∈L)の集合zLとを含む署名σ=(T,cL,zL)と、前記公開鍵y(n)∈G(n∈L)の集合と、メッセージmとを格納する記憶部と、
前記元Tと前記メッセージmとを含む情報に対して定まる整数cを生成する演算部と、
巡回群Gの元T(n)=gz(n)(T・y(n)c)c(n)∈G(n∈L)を生成する巡回群演算部と、
前記元T(n)∈G(n∈L)の集合TLと前記元Tとを含む情報に対して定まる整数w'と、前記整数c(n)(n∈L)の総和Σc(n)とが、一致するか否かを判定する判定部と、
を有する署名検証装置。 G is a cyclic group, g∈G is a generator of the cyclic group G, L is a set of information corresponding to members of the anonymous signature group, n is an element of the set L, and y (n) ∈G In the case where (n∈L) is a public key corresponding to the element n∈L,
A signature σ = (T, c L , z) that includes a cyclic group element T∈G, a set c L of integers c (n) (n∈L), and a set z L of integers z (n) (n∈L) L ), a set of the public keys y (n) εG (nεL), and a storage unit that stores the message m,
An arithmetic unit that generates an integer c determined for information including the element T and the message m;
A cyclic group operation unit for generating an element T (n) = g z (n) (Ty (n) c ) c (n) ∈ G (n∈L) of the cyclic group G;
An integer w ′ determined for information including the set T L of the element T (n) ∈G (n∈L) and the element T, and the sum Σc (n of the integer c (n) (n∈L) ) And whether or not match,
A signature verification apparatus. Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、x(i)(i∈L)を前記要素i∈Lに対応する整数の秘密鍵とした場合における、
任意の整数tを出力する任意値出力部と、
巡回群Gの元T=gt∈Gを生成する巡回群演算部と、
前記元Tとメッセージmとを含む情報に対して定まる整数cを生成する第1演算部と、
整数z=t+x(i)・cを生成する第2演算部と、
前記元T∈Gと前記整数zとを含む再リンク鍵r=(T, z)を生成する再リンク鍵生成部と、
を有する再リンク鍵生成装置。 G is a cyclic group, g∈G is a generator of cyclic group G, L is a set of information corresponding to members of the anonymous signature group, n is an element of the set L, and any of the sets L Where i∈L and x (i) (i∈L) is an integer secret key corresponding to the element i∈L,
An arbitrary value output unit that outputs an arbitrary integer t;
A cyclic group operation unit for generating an element T = g t ∈G of the cyclic group G;
A first calculation unit that generates an integer c determined for information including the element T and the message m;
A second arithmetic unit for generating an integer z = t + x (i) · c;
A relink key generation unit for generating a relink key r = (T, z) including the element T∈G and the integer z;
A relink key generation device having: 請求項1から5又は8から12の何れかの署名生成装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the signature generation device according to any one of claims 1 to 5 and 8 to 12. 請求項6又は13の署名検証装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the signature verification apparatus according to claim 6 or 13. 請求項7又は14の再リンク鍵生成装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the relink key generation device according to claim 7 or 14.
JP2010004553A 2010-01-13 2010-01-13 Signature generation device, signature verification device, relink key generation device, and program Active JP5325126B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010004553A JP5325126B2 (en) 2010-01-13 2010-01-13 Signature generation device, signature verification device, relink key generation device, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010004553A JP5325126B2 (en) 2010-01-13 2010-01-13 Signature generation device, signature verification device, relink key generation device, and program

Publications (2)

Publication Number Publication Date
JP2011145361A true JP2011145361A (en) 2011-07-28
JP5325126B2 JP5325126B2 (en) 2013-10-23

Family

ID=44460300

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010004553A Active JP5325126B2 (en) 2010-01-13 2010-01-13 Signature generation device, signature verification device, relink key generation device, and program

Country Status (1)

Country Link
JP (1) JP5325126B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11202767A (en) * 1998-01-16 1999-07-30 Canon Inc Digital signature system, and communication equipment and information communication system using the same
JP2005210638A (en) * 2004-01-26 2005-08-04 Toshiba Corp Digital signature system, digital signature management apparatus and method, and program
JP2008098933A (en) * 2006-10-11 2008-04-24 Nippon Telegr & Teleph Corp <Ntt> Key generator, anonymous signature generator, signature verification device, management device, anonymous signature method and program
JP2008199073A (en) * 2006-03-28 2008-08-28 Eiji Okamoto K-out-of-n signature method having function for confirming precise number of signers having feature for allowing use of various public keys among group members and k-out-of-n signature device
JP2009225356A (en) * 2008-03-18 2009-10-01 Toshiba Corp Digital signature system, apparatus and program
JP2009231987A (en) * 2008-03-19 2009-10-08 Toshiba Corp Group signature system, device, and program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11202767A (en) * 1998-01-16 1999-07-30 Canon Inc Digital signature system, and communication equipment and information communication system using the same
JP2005210638A (en) * 2004-01-26 2005-08-04 Toshiba Corp Digital signature system, digital signature management apparatus and method, and program
JP2008199073A (en) * 2006-03-28 2008-08-28 Eiji Okamoto K-out-of-n signature method having function for confirming precise number of signers having feature for allowing use of various public keys among group members and k-out-of-n signature device
JP2008098933A (en) * 2006-10-11 2008-04-24 Nippon Telegr & Teleph Corp <Ntt> Key generator, anonymous signature generator, signature verification device, management device, anonymous signature method and program
JP2009225356A (en) * 2008-03-18 2009-10-01 Toshiba Corp Digital signature system, apparatus and program
JP2009231987A (en) * 2008-03-19 2009-10-08 Toshiba Corp Group signature system, device, and program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNJ201010031275; 星野 文学: 'フレキシブルリング署名' 2009年 暗号と情報セキュリティシンポジウム SCIS2009 [CD-ROM] , 20090120 *
JPN6013032442; 星野 文学: 'フレキシブルリング署名' 2009年 暗号と情報セキュリティシンポジウム SCIS2009 [CD-ROM] , 20090120 *

Also Published As

Publication number Publication date
JP5325126B2 (en) 2013-10-23

Similar Documents

Publication Publication Date Title
Lara-Nino et al. Elliptic curve lightweight cryptography: A survey
Herranz Deterministic identity-based signatures for partial aggregation
JP6058237B1 (en) Ciphertext conversion apparatus, ciphertext conversion program, and ciphertext conversion method
Campbell Sr Evaluation of post-quantum distributed ledger cryptography
US8745376B2 (en) Verifying implicit certificates and digital signatures
JP2024097995A (en) Method and system for communicating secret
EP2249283A1 (en) Image processing apparatus, electronic signature generation system, electronic signature key generation method, image processing method, and program
US11804960B2 (en) Distributed symmetric encryption
Lin et al. A data integrity verification scheme in mobile cloud computing
EP2525341A1 (en) Representative calculation system, method, request device, program and recording medium
Kuang et al. A new quantum-safe multivariate polynomial public key digital signature algorithm
EP2503729A1 (en) Information processing device, key generating device, signature verifying device, information processing method, signature generating method, and program
Carter et al. For your phone only: custom protocols for efficient secure function evaluation on mobile devices
Bashir et al. Cryptanalysis and improvement of blind signcryption scheme based on elliptic curve
Olufemi Olakanmi et al. MASHED: Security and privacy-aware mutual authentication scheme for heterogeneous and distributed mobile cloud computing services
EP4144042A1 (en) Adaptive attack resistant distributed symmetric encryption
Anada et al. RSA public keys with inside structure: Proofs of key generation and identities for web-of-trust
Bisht et al. Efficient Personal-Health-Records Sharing in Internet of Medical Things Using Searchable Symmetric Encryption, Blockchain and IPFS
Hu et al. Short and provably secure designated verifier proxy signature scheme
JP6053983B2 (en) Cryptographic system, signature system, cryptographic program and signature program
Fanfara et al. Usage of asymmetric encryption algorithms to enhance the security of sensitive data in secure communication
US20150270966A1 (en) Aggregator-oblivious encryption of time-series data
Tahat et al. Hybrid publicly verifiable authenticated encryption scheme based on chaotic maps and factoring problems
Mujeerulla et al. Demerits of Elliptic Curve Cryptosystem with Bitcoin Curves Using Lenstra–Lenstra–Lovasz (LLL) Lattice Basis Reduction
Kanwal et al. Lightweight noncommutative key exchange protocol for IoT environments

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20111121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20111121

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130709

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130719

R150 Certificate of patent or registration of utility model

Ref document number: 5325126

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250