JP2011145591A - Commitment system, master device, transmitter, receiver, commitment method, program and recording medium - Google Patents

Commitment system, master device, transmitter, receiver, commitment method, program and recording medium Download PDF

Info

Publication number
JP2011145591A
JP2011145591A JP2010007937A JP2010007937A JP2011145591A JP 2011145591 A JP2011145591 A JP 2011145591A JP 2010007937 A JP2010007937 A JP 2010007937A JP 2010007937 A JP2010007937 A JP 2010007937A JP 2011145591 A JP2011145591 A JP 2011145591A
Authority
JP
Japan
Prior art keywords
commitment
key
signature
master
time signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010007937A
Other languages
Japanese (ja)
Other versions
JP5448864B2 (en
Inventor
Ryo Nishimaki
陵 西巻
Eiichiro Fujisaki
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010007937A priority Critical patent/JP5448864B2/en
Publication of JP2011145591A publication Critical patent/JP2011145591A/en
Application granted granted Critical
Publication of JP5448864B2 publication Critical patent/JP5448864B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a stubborn commitment scheme which is non-interactive, capable of reusing common reference information, and of attaining security, on the basis of standard assumption such as RSA assumption or computational DH assumption. <P>SOLUTION: The commitment system is constituted of a transmitter, a receiver and a master device. In the commitment system, a signature system is used wherein the constitution of multi-trapdoor commitments is unforgeable in existence with respect to weak chosen message attacks. A master public key PK corresponds to a verification key of the signature system, a master trapdoor corresponds to a signature key of the signature system, an individual public key corresponds to the message of the signature system, and a trapdoor of the individual public key corresponds to the signature of the signature system, respectively. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、非対話型かつ共通参照情報が再利用可能で、頑強なコミットメントを実現するコミットメントシステム、マスター装置、送信装置、受信装置、コミットメント方法、プログラム、記録媒体に関する。   The present invention relates to a commitment system, a master device, a transmission device, a reception device, a commitment method, a program, and a recording medium that realize a robust commitment in which non-interactive and common reference information can be reused.

代表的な非対話型かつ共通参照情報が再利用可能で頑強なコミットメント方式として、非特許文献1,2,3がある。非特許文献1は、安全性が強RSA仮定という強い仮定に基づいている。非特許文献2は、安全性が強RSA仮定またはDSA仮定という強い仮定に基づいている。非特許文献3は、安全性が強RSAまたはq−強DH仮定という強い仮定に基づいている。   Non-Patent Documents 1, 2 and 3 are representative non-interactive and common commitment information reusable and robust commitment methods. Non-Patent Document 1 is based on a strong assumption that safety is a strong RSA assumption. Non-Patent Document 2 is based on a strong assumption that safety is a strong RSA assumption or a DSA assumption. Non-Patent Document 3 is based on the strong assumption that safety is a strong RSA or q-strong DH assumption.

I. Damgard and J. Groth, “Non-interactive and reusable non-malleable commitment schemes,” In STOC, pp.426-437, ACM, 2003.I. Damgard and J. Groth, “Non-interactive and reusable non-malleable commitment schemes,” In STOC, pp.426-437, ACM, 2003. P.D. MacKenzie and K. Yang, “On Simulation-Sound Trapdoor Commitments,” In EUROCRYPT, volume 3027 of Lecture Notes in Computer Science, pp.382-400, Springer, 2004.P.D.MacKenzie and K. Yang, “On Simulation-Sound Trapdoor Commitments,” In EUROCRYPT, volume 3027 of Lecture Notes in Computer Science, pp.382-400, Springer, 2004. R. Gennaro, “Multi-trapdoor Commitments and Their Applications to Proofs of Knowledge Secure Under Concurrent Man-in-the-Middle Attacks,” In CRYPTO, volume 3152 of Lecture Notes in Computer Science, pp. 220-236, Springer, 2004.R. Gennaro, “Multi-trapdoor Commitments and Their Applications to Proofs of Knowledge Secure Under Concurrent Man-in-the-Middle Attacks,” In CRYPTO, volume 3152 of Lecture Notes in Computer Science, pp. 220-236, Springer, 2004 .

しかしながら、従来技術は全て強い仮定に基づいて安全性を達しているため、仮定が標準的ではなく、安全性の信頼性が低いという課題がある。   However, since all of the conventional techniques achieve safety based on strong assumptions, the assumptions are not standard, and there is a problem that reliability of safety is low.

本発明は、非対話型かつ共通参照情報が再利用可能で、RSA仮定または計算DH仮定という標準的な仮定に基づいて安全性を達成できる頑強なコミットメント方式を提供することを目的とする。   It is an object of the present invention to provide a robust commitment scheme in which non-interactive and common reference information can be reused and security can be achieved based on standard assumptions, RSA assumptions or computational DH assumptions.

本発明のコミットメントシステムは、送信装置、受信装置、マスター装置で構成される。マスター装置は、少なくともマスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsを生成し、送信装置と受信装置に送信する共通参照情報生成部を備える。送信装置は、送信入力部、乱数生成部、ワンタイム署名鍵生成部、コミットメント要素生成部、ワンタイム署名生成部、コミットメント送信部、デコミットメント送信部を備える。送信入力部は、共通参照情報crsと文書mとを受け取る。乱数生成部は、乱数rを生成する。ワンタイム署名鍵生成部は、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成する。コミットメント要素生成部は、H(vk)をマルチトラップドアコミットメントの個別公開鍵pkとし、文書mをコミットするために、マスター公開鍵PK、個別公開鍵pk、文書m、乱数rを用いてコミットメント要素C、デコミットメント要素Dを求める。ワンタイム署名生成部は、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成する。コミットメント送信部は、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、受信装置に送信する。デコミットメント送信部は、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、受信装置に送信する。受信装置は、受信入力部、ワンタイム署名検証部、コミットメント検証部を備える。受信入力部は、共通参照情報crsと、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る。ワンタイム署名検証部は、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証する。コミットメント検証部は、マルチトラップドアコミットメントの検証アルゴリズムによって、コミットメント要素C’とデコミットメント要素D’の正当性を検証する。 The commitment system of the present invention includes a transmission device, a reception device, and a master device. The master device includes a common reference information generation unit that generates common reference information crs including at least the master public key PK and the hash function H, and transmits the common reference information crs to the transmission device and the reception device. The transmission apparatus includes a transmission input unit, a random number generation unit, a one-time signature key generation unit, a commitment element generation unit, a one-time signature generation unit, a commitment transmission unit, and a decommission transmission unit. The transmission input unit receives the common reference information crs and the document m. The random number generation unit generates a random number r. The one-time signature key generation unit generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature. The commitment element generation unit uses H (vk 0 ) as the individual public key pk of the multi-trap door commitment, and uses the master public key PK, the individual public key pk, the document m, and the random number r to commit the document m. Element C and decommitment element D are obtained. The one-time signature generation unit generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 . The commitment transmission unit transmits a commitment com including the commitment element C and the signature verification key vk 0 to the receiving device. The decommitment transmission unit transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the receiving device. The receiving apparatus includes a reception input unit, a one-time signature verification unit, and a commitment verification unit. The reception input unit includes common reference information crs, a commitment com including a commitment element C ′ and a signature verification key vk 0 ′, a decommissioning element D ′, a document m ′, and a decommitment dec including a one-time signature σ 0 ′. Receive. The one-time signature verification unit verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′. The commitment verification unit verifies the validity of the commitment element C ′ and the decommitment element D ′ by using a multi-trap door commitment verification algorithm.

本発明のコミットメントシステムは、マルチトラップドアコミットメントの構成が、弱選択文書攻撃に対して存在的偽造不可能な署名方式を利用している。また、マスター公開鍵PKが署名方式の検証鍵に、マスタートラップドアが署名方式の署名鍵に、個別公開鍵が署名方式の文書に、個別公開鍵のトラップドアが署名方式の署名にそれぞれ対応している。つまり、コミットメントの拘束性を破ることがトラップドアの取得と等価となっている。本発明のコミットメントシステムは、RSA仮定または計算DH仮定が成立しているならば、非対話型かつ共通参照情報が再利用可能で頑強なコミットメント方式である。よって、本発明のコミットメントシステムによれば、非対話型かつ共通参照情報が再利用可能で、RSA仮定または計算DH仮定という標準的な仮定に基づいて安全性を達成できる頑強なコミットメント方式を提供できる。   The commitment system of the present invention uses a signature scheme in which the structure of the multi-trap door commitment cannot exist forgery against weakly selected document attacks. The master public key PK corresponds to the signature method verification key, the master trap door corresponds to the signature method signature key, the individual public key corresponds to the signature method document, and the individual public key trap door corresponds to the signature method signature. ing. In other words, breaking the constraint of commitment is equivalent to acquiring a trapdoor. The commitment system of the present invention is a robust commitment method that is non-interactive and allows the common reference information to be reused if the RSA assumption or the calculation DH assumption holds. Therefore, according to the commitment system of the present invention, it is possible to provide a robust commitment method in which non-interactive and common reference information can be reused and safety can be achieved based on the standard assumption of RSA assumption or calculation DH assumption. .

実施例1のコミットメントシステムの構成例を示す図。1 is a diagram illustrating a configuration example of a commitment system according to a first embodiment. 実施例1のコミットメントシステムの処理フローを示す図。The figure which shows the processing flow of the commitment system of Example 1. FIG. 実施例2のコミットメントシステムの構成例を示す図。FIG. 6 is a diagram illustrating a configuration example of a commitment system according to a second embodiment. 実施例2のコミットメントシステムの処理フローを示す図。The figure which shows the processing flow of the commitment system of Example 2. FIG. 実施例3のコミットメントシステムの構成例を示す図。FIG. 10 is a diagram illustrating a configuration example of a commitment system according to a third embodiment. 実施例3のコミットメントシステムの処理フローを示す図。The figure which shows the processing flow of the commitment system of Example 3. FIG.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

図1に実施例1のコミットメントシステムの構成例を、図2に実施例1のコミットメントシステムの処理フローを示す。本実施例のコミットメントシステムは、送信装置200、受信装置300、マスター装置100で構成され、各装置はネットワーク1000で接続されている。マスター装置100は、少なくともマスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsを生成し、送信装置と受信装置に送信する共通参照情報生成部150、マスター記録部190を備える。送信装置200は、送信入力部210、乱数生成部220、ワンタイム署名鍵生成部230、コミットメント要素生成部240、ワンタイム署名生成部250、コミットメント送信部260、デコミットメント送信部270、送信記録部290を備える。受信装置300は、受信入力部310、ワンタイム署名検証部320、コミットメント検証部330、受信記録部390を備える。   FIG. 1 shows a configuration example of the commitment system of the first embodiment, and FIG. 2 shows a processing flow of the commitment system of the first embodiment. The commitment system according to this embodiment includes a transmission device 200, a reception device 300, and a master device 100, and each device is connected by a network 1000. The master device 100 includes a common reference information generation unit 150 and a master recording unit 190 that generate common reference information crs including at least the master public key PK and the hash function H and transmit the common reference information crs to the transmission device and the reception device. The transmission apparatus 200 includes a transmission input unit 210, a random number generation unit 220, a one-time signature key generation unit 230, a commitment element generation unit 240, a one-time signature generation unit 250, a commitment transmission unit 260, a decommission transmission unit 270, and a transmission recording unit. 290. The reception apparatus 300 includes a reception input unit 310, a one-time signature verification unit 320, a commitment verification unit 330, and a reception recording unit 390.

封フェーズでは、マスター装置100の共通参照情報生成部150が、マスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsを生成し、マスター記録部190に記録し、送信装置200と受信装置300に送信する(S150)。送信装置200の送信入力部210は、共通参照情報crsと文書mとを受け取り、送信記録部290に記録する(S210)。また、受信装置300の受信入力部も、共通参照情報crsを受け取り、受信記録部390に記録する(S311)。   In the sealing phase, the common reference information generation unit 150 of the master device 100 generates common reference information crs including the master public key PK and the hash function H, records the common reference information crs in the master recording unit 190, and transmits the common reference information crs to the transmission device 200 and the reception device 300. Transmit (S150). The transmission input unit 210 of the transmission device 200 receives the common reference information crs and the document m and records them in the transmission recording unit 290 (S210). The reception input unit of the reception device 300 also receives the common reference information crs and records it in the reception recording unit 390 (S311).

送信装置200の乱数生成部220が、乱数rを生成し、送信記録部290に記録する(S220)。ワンタイム署名鍵生成部230が、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成し、送信記録部290に記録する(S230)。コミットメント要素生成部240が、H(vk)をマルチトラップドアコミットメントの個別公開鍵pkとし、文書mをコミットするために、マスター公開鍵PK、個別公開鍵pk、文書m、乱数rを用いてコミットメント要素C、デコミットメント要素Dを求め、送信記録部290に記録する(S240)。ワンタイム署名生成部250は、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成し、送信記録部290に記録する(S250)。コミットメント送信部260は、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、受信装置300に送信する(S260)。そして、受信装置300の受信入力部310が、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomを受信し、受信記録部390に記録する(S312)。 The random number generation unit 220 of the transmission device 200 generates a random number r and records it in the transmission recording unit 290 (S220). The one-time signature key generation unit 230 generates a signature verification key vk 0 and a signature generation key sk 0 for the one-time signature, and records them in the transmission recording unit 290 (S230). The commitment element generation unit 240 uses H (vk 0 ) as the individual public key pk of the multi-trap door commitment and uses the master public key PK, the individual public key pk, the document m, and the random number r to commit the document m. The commitment element C and the decommitment element D are obtained and recorded in the transmission recording unit 290 (S240). The one-time signature generation unit 250 generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 and records it in the transmission recording unit 290 (S250). The commitment transmission unit 260 transmits a commitment com including the commitment element C and the signature verification key vk 0 to the reception device 300 (S260). Then, the reception input unit 310 of the reception device 300 receives the commitment com including the commitment element C ′ and the signature verification key vk 0 ′ and records it in the reception recording unit 390 (S312).

開封フェーズでは、送信装置200のデコミットメント送信部270が、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、受信装置300に送信する(S270)。受信装置300の受信入力部310は、デコミットメント要素D’と文書m’とワンタイム署名σ’を含むデコミットメントdecを受信し、受信記録部390に記録する(S313)。ワンタイム署名検証部320は、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証する(S320)。コミットメント検証部330は、マルチトラップドアコミットメントの検証アルゴリズムによって、コミットメント要素C’とデコミットメント要素D’の正当性を検証する(S330)。なお、ステップS320,S330の検証が失敗した場合には、エラーを出力し、処理を中止すればよい。 In the unsealing phase, the decommitment transmission unit 270 of the transmission device 200 transmits the decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the reception device 300 (S270). The reception input unit 310 of the reception apparatus 300 receives the decommitment dec including the decommitment element D ′, the document m ′, and the one-time signature σ 0 ′, and records it in the reception recording unit 390 (S313). The one-time signature verification unit 320 verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′ (S320). The commitment verification unit 330 verifies the legitimacy of the commitment element C ′ and the decommissioning element D ′ using a multi-trap door commitment verification algorithm (S330). In addition, when verification of step S320, S330 fails, an error should be output and a process should be stopped.

本実施例のコミットメントシステムは、マルチトラップドアコミットメントの構成が、弱選択文書攻撃に対して存在的偽造不可能な署名方式を利用している。また、マスター公開鍵PKが署名方式の検証鍵に、マスタートラップドアが署名方式の署名鍵に、個別公開鍵が署名方式の文書に、個別公開鍵のトラップドアが署名方式の署名にそれぞれ対応している。つまり、コミットメントの拘束性を破ることがトラップドアの取得と等価となっている。本実施例のコミットメントシステムは、RSA仮定または計算DH仮定が成立しているならば、非対話型かつ共通参照情報が再利用可能で頑強なコミットメント方式である。   The commitment system of the present embodiment uses a signature scheme in which the configuration of the multi-trap door commitment does not exist forgery against weakly selected document attacks. The master public key PK corresponds to the signature method verification key, the master trap door corresponds to the signature method signature key, the individual public key corresponds to the signature method document, and the individual public key trap door corresponds to the signature method signature. ing. In other words, breaking the constraint of commitment is equivalent to acquiring a trapdoor. The commitment system according to the present embodiment is a robust commitment method in which non-interactive and common reference information can be reused if the RSA assumption or the calculation DH assumption is established.

図3に実施例2のコミットメントシステムの構成例を、図4に実施例2のコミットメントシステムの処理フローを示す。本実施例のコミットメントシステムは、送信装置500、受信装置600、マスター装置400で構成され、各装置はネットワーク1000で接続されている。マスター装置400は、RSAモジュラス部410、マスター選定部420、関数定義部430、マスター鍵生成部440、共通参照情報生成部450、マスター記録部490を備える。送信装置500は、送信入力部510、乱数生成部220、ワンタイム署名鍵生成部230、コミットメント要素生成部540、ワンタイム署名生成部250、コミットメント送信部260、デコミットメント送信部270、送信記録部590を備える。受信装置600は、受信入力部610、ワンタイム署名検証部320、コミットメント検証部630、受信記録部690を備える。なお、本実施例では、λはセキュリティパラメータ、fは1λに依存する整数、p、qは互いに異なるλビットの奇素数、Fは任意ビットのビット列をfビットのビット列に変換する擬似ランダム関数とする。 FIG. 3 shows a configuration example of the commitment system of the second embodiment, and FIG. 4 shows a processing flow of the commitment system of the second embodiment. The commitment system according to this embodiment includes a transmission device 500, a reception device 600, and a master device 400, and each device is connected by a network 1000. The master device 400 includes an RSA modulus unit 410, a master selection unit 420, a function definition unit 430, a master key generation unit 440, a common reference information generation unit 450, and a master recording unit 490. The transmission apparatus 500 includes a transmission input unit 510, a random number generation unit 220, a one-time signature key generation unit 230, a commitment element generation unit 540, a one-time signature generation unit 250, a commitment transmission unit 260, a decommission transmission unit 270, and a transmission recording unit. 590. The receiving device 600 includes a reception input unit 610, a one-time signature verification unit 320, a commitment verification unit 630, and a reception recording unit 690. In this embodiment, λ is a security parameter, f is an integer depending on 1 λ , p and q are odd prime numbers of λ bits, and F is a pseudo-random function for converting a bit string of arbitrary bits into a bit string of f bits. And

封フェーズでは、マスター装置400のRSAモジュラス部410が、
<φ(N)=(p−1)(q−1)<2f+2
であるRSAモジュラスN=pqを求め、出力するとともに、マスター記録部490に記録する(S410)。マスター選定部420が、1以上N−1以下の任意の整数hと、擬似ランダム関数Fの鍵Kと、fビットのビット列cとをランダムに選び、マスター記録部490に記録する(S420)。関数定義部430が、関数PK,cを、 In the sealing phase, the RSA modulus section 410 of the master device 400 is
2 f <φ (N) = (p−1) (q−1) <2 f + 2
RSA modulus N = pq is calculated and output and recorded in the master recording unit 490 (S410). The master selection unit 420 randomly selects an arbitrary integer h of 1 or more and N−1 or less, the key K of the pseudo random function F, and the bit string c of f bits, and records them in the master recording unit 490 (S420). The function definition unit 430 converts the function P K, c into

Figure 2011145591
Figure 2011145591

のように定義し、マスター記録部490に記録する(S430)。マスター鍵生成部440が、(N,h,c,K)をマスター公開鍵PKとし、(p,q,PK)をマスタートラップドアTKとし、マスター記録部490に記録する(S440)。共通参照情報生成部450が、マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成し、送信装置500と受信装置600に送信する(S450)。送信装置500の送信入力部510は、共通参照情報crsと文書mとを受け取り、送信記録部590に記録する(S510)。また、受信装置600の受信入力部も、共通参照情報crsを受け取り、受信記録部690に記録する(S611)。 And is recorded in the master recording unit 490 (S430). The master key generation unit 440 records (N, h, c, K) as the master public key PK and (p, q, PK) as the master trap door TK, and records them in the master recording unit 490 (S440). The common reference information generation unit 450 generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string, and transmits the common reference information crs to the transmission device 500 and the reception device 600 (S450). The transmission input unit 510 of the transmission device 500 receives the common reference information crs and the document m and records them in the transmission recording unit 590 (S510). The reception input unit of the reception device 600 also receives the common reference information crs and records it in the reception recording unit 690 (S611).

乱数生成部220が、乱数rを生成し、送信記録部590に記録する(S220)。ワンタイム署名鍵生成部230が、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成し、送信記録部590に記録する(S230)。コミットメント要素生成部540が、
(1)H(vk)を個別公開鍵pkとし、
(2)e=PK,c(pk(j))、ただしpk(j)はpkの先頭のjビット
をj=1からj=Jまで計算し、eminをe,…,eのうちで最小の値とし、
(3)m=m mod e
をj=1からj=Jまで計算し、
(4)M mod e=m
がすべてのjに対して成り立つMを0以上 The random number generation unit 220 generates a random number r and records it in the transmission recording unit 590 (S220). The one-time signature key generation unit 230 generates a signature verification key vk 0 and a signature generation key sk 0 for the one-time signature, and records them in the transmission recording unit 590 (S230). The commitment element generation unit 540
(1) Let H (vk 0 ) be an individual public key pk,
(2) e j = P K, c (pk (j) ), where pk (j) calculates the first j bits of pk from j = 1 to j = J, and e min is set to e 1 ,. J is the smallest value,
(3) m j = m mod e j
Is calculated from j = 1 to j = J,
(4) M mod e j = m j
Is greater than or equal to 0 for all j

Figure 2011145591
Figure 2011145591

以下の整数の中から求め、
(5)0以上emin−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、 Find from the following integers,
(5) In order to commit the document m which is an integer of 0 or more and e min −1 or less, the commitment element C and the decommitment element D are

Figure 2011145591
Figure 2011145591

のように求め、送信記録部590に記録する(S540)。ワンタイム署名生成部250が、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成し、送信記録部590に記録する(S250)。コミットメント送信部260が、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、受信装置600に送信する(S260)。そして、受信装置600の受信入力部610が、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomを受信し、受信記録部690に記録する(S612)。 And is recorded in the transmission recording unit 590 (S540). The one-time signature generation unit 250 generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 and records it in the transmission recording unit 590 (S250). The commitment transmission unit 260 transmits a commitment com including the commitment element C and the signature verification key vk 0 to the reception device 600 (S260). Then, the reception input unit 610 of the reception device 600 receives the commitment com including the commitment element C ′ and the signature verification key vk 0 ′ and records it in the reception recording unit 690 (S612).

開封フェーズでは、送信装置500のデコミットメント送信部270が、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、受信装置600に送信する(S270)。受信装置600の受信入力部610は、デコミットメント要素D’=(M’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecを受信し、受信記録部690に記録する(S613)。ワンタイム署名検証部320が、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証する(S320)。コミットメント検証部630が、
(1)H(vk’)を個別公開鍵pk’とし、
(2)e’=PK,c(pk’(j))、ただしpk’(j)はpk’の先頭のjビット
および、
’=M’ mod e
をj=1からj=Jまで計算し、
(3)m’=m’=,…,=m
かつ In the unsealing phase, the decommitment transmission unit 270 of the transmission device 500 transmits the decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the reception device 600 (S270). The reception input unit 610 of the reception apparatus 600 receives the decommitment dec including the decommitment element D ′ = (M ′, r ′), the document m ′, and the one-time signature σ 0 ′, and records it in the reception recording unit 690. (S613). The one-time signature verification unit 320 uses the signature verification key vk 0 ′ to verify the validity of the one-time signature σ 0 ′ for the commitment element C ′ (S320). The commitment verification unit 630
(1) Let H (vk 0 ′) be an individual public key pk ′,
(2) e j ′ = P K, c (pk ′ (j) ), where pk ′ (j) is the first j bits of pk ′ and
m j '= M' mod e j '
Is calculated from j = 1 to j = J,
(3) m 1 '= m 2 ' =, ..., = m J '
And

Figure 2011145591
Figure 2011145591

であることを検証する(S630)。なお、ステップS320,S630の検証が失敗した場合には、エラーを出力し、処理を中止すればよい。 (S630). In addition, when verification of step S320, S630 fails, an error should be output and a process should be stopped.

本実施例のコミットメントシステムでは、送信装置500が、トラップドアtdを   In the commitment system of the present embodiment, the transmission device 500 sets the trap door td.

Figure 2011145591
Figure 2011145591

のように生成できる。また、M
=M mod e
をj=1からj=Jまで計算したときに、
=m =,…,=m
が成り立ち、かつ、M≠Mとし、 Can be generated as follows. Also, let M ~ be m j ~ = M ~ mod e j
Is calculated from j = 1 to j = J,
m 1 ~ = m 2 ~ =, ..., = m J ~
And M ~ ≠ M,

Figure 2011145591
Figure 2011145591

とし、デコミットメント要素をD=(M,r)とすると、 And the de-commitment element is D ~ = (M ~ , r ~ ),

Figure 2011145591
Figure 2011145591

となる。つまり、両開きできる。このように、本実施例のコミットメントシステムは、マルチトラップドアコミットメントの6つのアルゴリズムを有している。 It becomes. In other words, it can be double-opened. Thus, the commitment system of the present embodiment has six algorithms for multi-trap door commitment.

本実施例のコミットメントシステムは、マルチトラップドアコミットメントの構成が、弱選択文書攻撃に対して存在的偽造不可能な署名方式を利用している。また、マスター公開鍵PKが署名方式の検証鍵に、マスタートラップドアが署名方式の署名鍵に、個別公開鍵が署名方式の文書に、個別公開鍵のトラップドアが署名方式の署名にそれぞれ対応している。つまり、コミットメントの拘束性を破ることがトラップドアの取得と等価となっている。本実施例のコミットメントシステムは、RSA仮定が成立しているならば、非対話型かつ共通参照情報が再利用可能で頑強なコミットメント方式である。   The commitment system of the present embodiment uses a signature scheme in which the configuration of the multi-trap door commitment does not exist forgery against weakly selected document attacks. The master public key PK corresponds to the signature method verification key, the master trap door corresponds to the signature method signature key, the individual public key corresponds to the signature method document, and the individual public key trap door corresponds to the signature method signature. ing. In other words, breaking the constraint of commitment is equivalent to acquiring a trapdoor. The commitment system of the present embodiment is a robust commitment method that is non-interactive and allows the common reference information to be reused if the RSA assumption is satisfied.

図5に実施例3のコミットメントシステムの構成例を、図6に実施例3のコミットメントシステムの処理フローを示す。本実施例のコミットメントシステムは、送信装置800、受信装置900、マスター装置700で構成され、各装置はネットワーク1000で接続されている。マスター装置700は、マスター選定部720、マスター鍵生成部740、共通参照情報生成部750、マスター記録部790を備える。送信装置800は、送信入力部810、乱数生成部820、ワンタイム署名鍵生成部230、コミットメント要素生成部840、ワンタイム署名生成部250、コミットメント送信部260、デコミットメント送信部270、送信記録部890を備える。受信装置900は、受信入力部910、ワンタイム署名検証部320、コミットメント検証部930を備える。なお、本実施例では、λはセキュリティパラメータ、GとGは2λより大きい素数位数pの双線型群、Jはあらかじめ定めた正の整数、EはG×Gの元をGの元に変換する双線型写像とする。 FIG. 5 shows a configuration example of the commitment system of the third embodiment, and FIG. 6 shows a processing flow of the commitment system of the third embodiment. The commitment system according to this embodiment includes a transmission device 800, a reception device 900, and a master device 700, and each device is connected by a network 1000. The master device 700 includes a master selection unit 720, a master key generation unit 740, a common reference information generation unit 750, and a master recording unit 790. The transmission apparatus 800 includes a transmission input unit 810, a random number generation unit 820, a one-time signature key generation unit 230, a commitment element generation unit 840, a one-time signature generation unit 250, a commitment transmission unit 260, a decommission transmission unit 270, and a transmission recording unit. 890. The reception device 900 includes a reception input unit 910, a one-time signature verification unit 320, and a commitment verification unit 930. In the present embodiment, lambda is the security parameter, G and G T is 2 lambda greater than bilinear group prime order p, J is a positive predetermined integer, E is the original G × G of G T The bilinear map to be converted to the original is used.

封フェーズでは、マスター装置700のマスター選定部720が、0以上p−1以下の整数aと、群Gの生成元gと群Gの元v,…,vをランダムに選び、マスター記録部790に記録する(S720)。マスター鍵生成部740が、(g,v,…,v,E(g,g))をマスター公開鍵PKとし、aをマスタートラップドアとし、マスター記録部790に記録する(S740)。共通参照情報生成部750が、マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成し、送信装置800と受信装置900に送信する(S750)。送信装置800の送信入力部810は、共通参照情報crsと文書mとを受け取り、送信記録部890に記録する(S810)。また、受信装置900の受信入力部も、共通参照情報crsを受け取り、受信記録部990に記録する(S911)。 The sealing phase, the master selection unit 720 of the master device 700, and zero or more p-1 an integer a, the original v 0 of generator g and the group G of the group G, ..., v J randomly selected, master recording This is recorded in the part 790 (S720). The master key generation unit 740 records (g, v 0 ,..., V J , E (g, g) a ) as the master public key PK, a as the master trap door, and records it in the master recording unit 790 (S740). . The common reference information generation unit 750 generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string, and transmits the common reference information crs to the transmission device 800 and the reception device 900 (S750). The transmission input unit 810 of the transmission device 800 receives the common reference information crs and the document m and records them in the transmission recording unit 890 (S810). The reception input unit of the reception device 900 also receives the common reference information crs and records it in the reception recording unit 990 (S911).

乱数生成部820が、乱数r,rを生成し、送信記録部890に記録する(S820)。ワンタイム署名鍵生成部230が、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成し、送信記録部890に記録する(S230)。コミットメント要素生成部840が、
(1)H(vk)を個別公開鍵pkとし、
(2)群Gの元ρとρをランダムに選定し、
(3)E(ρ,g)をβ、E(ρ,Vpk −1)をβ、E(g,g)をβ
ただし、 The random number generation unit 820 generates the random numbers r 1 and r 2 and records them in the transmission recording unit 890 (S820). The one-time signature key generation unit 230 generates a signature verification key vk 0 and a signature generation key sk 0 for the one-time signature, and records them in the transmission recording unit 890 (S230). The commitment element generation unit 840
(1) Let H (vk 0 ) be an individual public key pk,
(2) randomly selecting elements ρ 1 and ρ 2 of group G;
(3) E (ρ 1 , g) is β 1 , E (ρ 2 , V pk −1 ) is β 2 , E (g, g) a is β
However,

Figure 2011145591
Figure 2011145591

pkはpkのj番目のビット
とし、
(4)0以上p−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、 pk j is the jth bit of pk,
(4) In order to commit the document m which is an integer of 0 or more and p-1 or less, the commitment element C and the decommitment element D are

Figure 2011145591
Figure 2011145591

のように求め、送信記録部890に記録する(S840)。ワンタイム署名生成部250が、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成し、送信記録部890に記録する(S250)。コミットメント送信部260が、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、受信装置900に送信する(S260)。そして、受信装置900の受信入力部910が、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomを受信し、受信記録部990に記録する(S912)。 And is recorded in the transmission recording unit 890 (S840). The one-time signature generation unit 250 generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 and records it in the transmission recording unit 890 (S250). The commitment transmission unit 260 transmits a commitment com including the commitment element C and the signature verification key vk 0 to the reception device 900 (S260). Then, the reception input unit 910 of the reception device 900 receives the commitment com including the commitment element C ′ and the signature verification key vk 0 ′, and records it in the reception recording unit 990 (S912).

開封フェーズでは、送信装置800のデコミットメント送信部270が、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、受信装置900に送信する(S270)。受信装置900の受信入力部910は、デコミットメント要素D’=(m’,r’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受信し、受信記録部990に記録する(S913)。ワンタイム署名検証部320が、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証する(S320)。コミットメント検証部930が、
(1)H(vk’)を個別公開鍵pk’とし、
(2)E(ρ’,g)をβ’、E(ρ’,Vpk −1)をβ’、E(g,g)をβ’とし、
(3) In the unsealing phase, the decommitment transmission unit 270 of the transmission device 800 transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the reception device 900 (S270). The reception input unit 910 of the reception apparatus 900 receives and receives the decommitment element D ′ = (m ′, r 1 ′, r 2 ′), the document m ′, and the decommitment dec including the one-time signature σ 0 ′. Recording is performed in the recording unit 990 (S913). The one-time signature verification unit 320 uses the signature verification key vk 0 ′ to verify the validity of the one-time signature σ 0 ′ for the commitment element C ′ (S320). The commitment verification unit 930
(1) Let H (vk 0 ′) be an individual public key pk ′,
(2) E (ρ 1 ′, g) is β 1 ′, E (ρ 2 ′, V pk −1 ) is β 2 ′, E (g, g) a is β ′,
(3)

Figure 2011145591
Figure 2011145591

であることを検証する(S930)。なお、ステップS320,S630の検証が失敗した場合には、エラーを出力し、処理を中止すればよい。 (S930). In addition, when verification of step S320, S630 fails, an error should be output and a process should be stopped.

本実施例のコミットメントシステムでは、送信装置500が、トラップドアtd=(σ,σ)を生成できる。ここで、σ,σは、 In the commitment system of the present embodiment, the transmission device 500 can generate the trap door td = (σ 1 , σ 2 ). Here, σ 1 and σ 2 are

Figure 2011145591
Figure 2011145591

ただし、pkはpkのj番目のビット、wは0以上p−1以下からランダムに選ばれた整数
である。また、mをm≠m、r とr Here, pk j is the j-th bit of pk, and w is an integer randomly selected from 0 to p−1. Further, m ~ a m ~ ≠ m, r - 2 - 1 and r

Figure 2011145591
Figure 2011145591

を満たす整数、r とr
=r−(m−m)r mod p
=r−(m−m)r mod p
とし、デコミットメント要素をD=(m,r 1,r )とすると、 Integer satisfying, r ~ 1 and r ~ 2 the r ~ 1 = r 1 - ( m ~ -m) r - 1 mod p
r ~ 2 = r 2 - ( m ~ -m) r - 2 mod p
And the de-commitment element is D ~ = (m ~ , r ~ 1 , r ~ 2 ),

Figure 2011145591
Figure 2011145591

となる。つまり、両開きできる。このように、本実施例のコミットメントシステムは、マルチトラップドアコミットメントの6つのアルゴリズムを有している。 It becomes. In other words, it can be double-opened. Thus, the commitment system of the present embodiment has six algorithms for multi-trap door commitment.

本実施例のコミットメントシステムは、マルチトラップドアコミットメントの構成が、弱選択文書攻撃に対して存在的偽造不可能な署名方式を利用している。また、マスター公開鍵PKが署名方式の検証鍵に、マスタートラップドアが署名方式の署名鍵に、個別公開鍵が署名方式の文書に、個別公開鍵のトラップドアが署名方式の署名にそれぞれ対応している。つまり、コミットメントの拘束性を破ることがトラップドアの取得と等価となっている。本実施例のコミットメントシステムは、計算DH仮定が成立しているならば、非対話型かつ共通参照情報が再利用可能で頑強なコミットメント方式である。   The commitment system of the present embodiment uses a signature scheme in which the configuration of the multi-trap door commitment does not exist forgery against weakly selected document attacks. The master public key PK corresponds to the signature method verification key, the master trap door corresponds to the signature method signature key, the individual public key corresponds to the signature method document, and the individual public key trap door corresponds to the signature method signature. ing. In other words, breaking the constraint of commitment is equivalent to acquiring a trapdoor. The commitment system according to the present embodiment is a robust commitment method that is non-interactive and allows the common reference information to be reused if the calculation DH assumption holds.

安全性に関する補足説明
上述の説明の中で使われている用語について以下に説明する。なお、この補足説明の内容は本願の出願日前から既知の内容である。 Supplementary explanation regarding safety Terms used in the above description will be described below. The contents of this supplementary explanation are known from the date before the filing date of the present application.

マルチトラップドアコミットメントについては非特許文献3に詳細に示されている。その一部を紹介すると、マルチトラップコミットメントは6つのアルゴリズム(マスター鍵生成KGen.,選択Sel.,トラップドア生成TGen.,コミットメントCom.,検証Vrfy.,両開きEquiv.)からなる。そして、マルチトラップドアコミットメントは、正当性、情報理論的秘匿性、拘束性の性質を持つ。   The multi-trap door commitment is described in detail in Non-Patent Document 3. To introduce a part of them, multi-trap commitment consists of six algorithms (master key generation KGen., Selection Sel., Trapdoor generation TGen., Commitment Com., Verification Vrfy., Double swing Equiv.). Multi-trap door commitment has legitimacy, information-theoretic secrecy, and binding properties.

署名方式は、3つの確率的多項式時間アルゴリズム(鍵生成アルゴリズムSig.Gen,署名アルゴリズムSig.Sign,検証アルゴリズムSig.Vrfy)からなる。そして、署名方式が弱選択文書攻撃に対して存在的偽造不可能とは、どのような敵(攻撃者)に対しても敵が次のゲームに勝つ確率が無視できることである。   The signature scheme is composed of three probabilistic polynomial time algorithms (key generation algorithm Sig.Gen, signature algorithm Sig.Sign, and verification algorithm Sig.Vrfy). The fact that the signature scheme cannot exist forgery against weakly selected document attacks means that the probability that the enemy wins the next game can be ignored for any enemy (attacker).

(1)質問:敵は最初に文書m,…,mのリストQを送る。 (1) Question: The enemy first sends a list Q of documents m 1 ,..., M k .

(2)答え:検証鍵と署名鍵の対(vk,sk)および、質問された文書に対する署名σ,…,σを敵に送る。 (2) Answer: a pair of verification key and the signature key (vk, sk) and, signature σ 1 to the question document, ..., and sends it to the enemy σ k.

(3)出力:敵は(m,σ)を出力する。もし、mがQに含まれておらず、かつmに対する署名σが正当ならば敵がゲームに勝ったという。 (3) Output: The enemy outputs (m * , σ * ). If, m * is not included in the Q, and that the enemy has won the game if the signature σ * is valid for m *.

λはセキュリティパラメータ、p、qは互いに異なるλビットの奇素数とする。そして、RSAモジュラスN=pq、φ(N)=(p−1)(q−1)と互いに素な正の整数e、1以上N−1以下のランダムな整数yが与えられたときに、x=y mod N なるxを計算することが困難であることをRSA仮定という。つまり、RSA仮定では、どのような敵に対しても、xを計算できる優位性が無視できる。 λ is a security parameter, and p and q are odd prime numbers having different λ bits. When RSA modulus N = pq, φ (N) = (p−1) (q−1) and a relatively prime positive integer e and a random integer y of 1 to N−1 are given, The difficulty in calculating x such that x e = y mod N is called the RSA assumption. In other words, under RSA assumption, the advantage of being able to calculate x for any enemy can be ignored.

GとGは素数位数pの巡回群、EはG×Gの元をGの元に変換する双線型写像であり、双線型性と非退化性を満たすとする。また、gは群Gの生成元、aとbは0以上p−1以下の任意の整数とする。そして、(G,G,p,g,E)と(g,g)が与えられたときに、gabを計算することが困難であることを計算DH(ディッフィー・へルマン)仮定という。つまり、計算DH仮定では、どのような敵に対しても、gabを計算できる優位性が無視できる。 G and G T are prime order cyclic groups of p, E is the bilinear map for converting the original G × G in the original G T, and satisfies the bilinear and non-degenerative. Further, g is a generation source of the group G, and a and b are arbitrary integers of 0 or more and p−1 or less. Then, given (G, G T , p, g, E) and (g a , g b ), it is difficult to calculate g ab DH (Diffie Hellman) assumption That's it. In other words, under the calculation DH assumption, the superiority of calculating g ab for any enemy can be ignored.

プログラム、記録媒体
上述の構成をコンピュータによって実現する場合、マスター装置、送信装置、受信装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。 Program, Recording Medium When the above-described configuration is realized by a computer, processing contents of functions that the master device, the transmission device, and the reception device should have are described by the program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads the program stored in its own recording medium and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、マスター装置、送信装置、受信装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the master device, the transmission device, and the reception device are configured by executing a predetermined program on the computer. However, at least a part of these processing contents is realized by hardware. It is good.

本発明は、電気通信システムでのコミットメント方式に利用することができる。   The present invention can be used in commitment schemes in telecommunications systems.

100、400、700 マスター装置
150、450、750 共通参照情報生成部
190、490、790 マスター記録部
200、500、800 送信装置
210、510、810 送信入力部
220、820 乱数生成部
230 ワンタイム署名鍵生成部
240、540、840 コミットメント要素生成部
250 ワンタイム署名生成部
260 コミットメント送信部
270 デコミットメント送信部
290、590、890 送信記録部
300、600、900 受信装置
310、610、910 受信入力部
320 ワンタイム署名検証部
330、630、930 コミットメント検証部
390、690、990 受信記録部
410 RSAモジュラス部
420、720 マスター選定部
430 関数定義部
440、740 マスター鍵生成部
1000 ネットワーク 100, 400, 700 Master device 150, 450, 750 Common reference information generation unit 190, 490, 790 Master recording unit 200, 500, 800 Transmission device 210, 510, 810 Transmission input unit 220, 820 Random number generation unit 230 One-time signature Key generation unit 240, 540, 840 Commitment element generation unit 250 One-time signature generation unit 260 Commitment transmission unit 270 Decommitment transmission unit 290, 590, 890 Transmission recording unit 300, 600, 900 Reception device 310, 610, 910 Reception input unit 320 One-time signature verification unit 330, 630, 930 Commitment verification unit 390, 690, 990 Reception recording unit 410 RSA modulus unit 420, 720 Master selection unit 430 Function definition unit 440, 740 Master key generation unit 1000 Network

Claims (16)

送信装置、受信装置、マスター装置で構成されるコミットメントシステムであって、
前記マスター装置は、
マスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsを生成し、前記送信装置と前記受信装置に送信する共通参照情報生成部
を備え、
前記送信装置は、
前記共通参照情報crsと文書mとを受け取る送信入力部と、
乱数rを生成する乱数生成部と、
ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成部と、
H(vk)をマルチトラップドアコミットメントの個別公開鍵pkとし、文書mをコミットするために、マスター公開鍵PK、個別公開鍵pk、文書m、乱数rを用いてコミットメント要素C、デコミットメント要素Dを求めるコミットメント要素生成部と、
コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成部と、
コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、前記受信装置に送信するコミットメント送信部と、
デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、前記受信装置に送信するデコミットメント送信部と、
を備え、
前記受信装置は、
前記共通参照情報crsと、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る受信入力部と、
署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証部と、
マルチトラップドアコミットメントの検証アルゴリズムによって、コミットメント要素C’とデコミットメント要素D’の正当性を検証するコミットメント検証部と、
を備える
ことを特徴とするコミットメントシステム。 A commitment system composed of a transmission device, a reception device, and a master device,
The master device is
A common reference information generating unit that generates common reference information crs including a master public key PK and a hash function H, and transmits the common reference information crs to the transmitting device and the receiving device;
The transmitter is
A transmission input unit for receiving the common reference information crs and the document m;
A random number generator for generating a random number r;
A one-time signature key generation unit that generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature;
Let H (vk 0 ) be the individual public key pk of the multi-trap door commitment and use the master public key PK, the individual public key pk, the document m, and the random number r to commit the document m. A commitment element generator for D,
A one-time signature generation unit that generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 ;
A commitment transmitter that transmits a commitment com including a commitment element C and a signature verification key vk 0 to the receiving device;
A decommitment transmission unit that transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the receiving device;
With
The receiving device is:
Receive input for receiving the common reference information crs, a commitment com including a commitment element C ′ and a signature verification key vk 0 ′, a decommissioning element D ′, a document m ′, and a decommissioning dec including a one-time signature σ 0 ′ And
A one-time signature verification unit that verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
A commitment verification unit that verifies the legitimacy of the commitment element C ′ and the decommitment element D ′ by a multi-trap door commitment verification algorithm;
A commitment system characterized by 送信装置、受信装置、マスター装置で構成されるコミットメントシステムであって、
前記マスター装置は、
λはセキュリティパラメータ、fは1λに依存する整数、p、qは互いに異なるλビットの奇素数、Fは任意ビットのビット列をfビットのビット列に変換する擬似ランダム関数とし、
<φ(N)=(p−1)(q−1)<2f+2であるRSAモジュラスN=pqを出力するRSAモジュラス部と、
1以上N−1以下の任意の整数hと、擬似ランダム関数Fの鍵Kと、fビットのビット列cとをランダムに選ぶマスター選定部と、
関数PK,cを、
Figure 2011145591
のように定義する関数定義部と、
(N,h,c,K)をマスター公開鍵PKとし、(p,q,PK)をマスタートラップドアTKとするマスター鍵生成部と、
マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成し、前記送信装置と前記受信装置に送信する共通参照情報生成部
を備え、
前記送信装置は、
前記共通参照情報crsと文書mとを受け取る送信入力部と、
乱数rを生成する乱数生成部と、
ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成部と、
H(vk)を個別公開鍵pkとし、
=PK,c(pk(j))、ただしpk(j)はpkの先頭のjビット
をj=1からj=Jまで計算し、eminをe,…,eのうちで最小の値とし、
=m mod e
をj=1からj=Jまで計算し、
M mod e=m
がすべてのjに対して成り立つMを0以上
Figure 2011145591
以下の整数の中から求め、
0以上emin−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、
Figure 2011145591
のように求めるコミットメント要素生成部と、
コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成部と、
コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、前記受信装置に送信するコミットメント送信部と、
デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、前記受信装置に送信するデコミットメント送信部と、
を備え、
前記受信装置は、
前記共通参照情報crsと、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’=(M’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る受信入力部と、
署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証部と、
H(vk’)を個別公開鍵pk’とし、
’=PK,c(pk’(j))、ただしpk’(j)はpk’の先頭のjビット
および、
’=M’ mod e
をj=1からj=Jまで計算し、
’=m’=,…,=m
かつ
Figure 2011145591
であることを検証するコミットメント検証部と、
を備える
ことを特徴とするコミットメントシステム。 A commitment system composed of a transmission device, a reception device, and a master device,
The master device is
λ is a security parameter, f is an integer that depends on 1 λ , p and q are different λ-bit odd prime numbers, F is a pseudo-random function that converts a bit string of arbitrary bits into a bit string of f bits,
RSA modulus part that outputs RSA modulus N = pq, where 2 f <φ (N) = (p−1) (q−1) <2 f + 2 ,
A master selection unit that randomly selects an arbitrary integer h of 1 or more and N−1 or less, a key K of a pseudo-random function F, and a bit string c of f bits;
Function P K, c
Figure 2011145591
A function definition part defined as
A master key generation unit having (N, h, c, K) as a master public key PK and (p, q, PK) as a master trap door TK;
A common reference information generating unit that generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string, and transmits the common reference information crs to the transmitting device and the receiving device;
The transmitter is
A transmission input unit for receiving the common reference information crs and the document m;
A random number generator for generating a random number r;
A one-time signature key generation unit that generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature;
Let H (vk 0 ) be an individual public key pk,
e j = P K, c (pk (j) ), where pk (j) calculates the first j bits of pk from j = 1 to j = J, and e min is among e 1 ,..., e J To the smallest value,
m j = m mod e j
Is calculated from j = 1 to j = J,
M mod e j = m j
Is greater than or equal to 0 for all j
Figure 2011145591
Find from the following integers,
In order to commit a document m that is an integer greater than or equal to 0 and less than or equal to e min −1, a commitment element C and a decommitment element D are
Figure 2011145591
A commitment element generation unit
A one-time signature generation unit that generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 ;
A commitment transmitter that transmits a commitment com including a commitment element C and a signature verification key vk 0 to the receiving device;
A decommitment transmission unit that transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the receiving device;
With
The receiving device is:
Including the common reference information crs, a commitment com including a commitment element C ′ and a signature verification key vk 0 ′, a decommissioning element D ′ = (M ′, r ′), a document m ′, and a one-time signature σ 0 ′ A receiving input unit for receiving decommitment dec;
A one-time signature verification unit that verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
Let H (vk 0 ') be the individual public key pk',
e j '= P K, c (pk' (j) ), where pk ' (j) is the first j bits of pk' and
m j '= M' mod e j '
Is calculated from j = 1 to j = J,
m 1 '= m 2 ' =, ..., = m J '
And
Figure 2011145591
A commitment verification unit that verifies that
A commitment system characterized by 送信装置、受信装置、マスター装置で構成されるコミットメントシステムであって、
前記マスター装置は、
λはセキュリティパラメータ、GとGは2λより大きい素数位数pの双線型群、Jはあらかじめ定めた正の整数、EはG×Gの元をGの元に変換する双線型写像とし、
0以上p−1以下の整数aと、群Gの生成元gと群Gの元v,…,vをランダムに選ぶマスター選定部と、
(g,v,…,v,E(g,g))を前記マスター公開鍵PKとし、aをマスタートラップドアとするマスター鍵生成部と、
マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成し、前記送信装置と前記受信装置に送信する共通参照情報生成部
を備え、
前記送信装置は、
前記共通参照情報crsと文書mとを受け取る送信入力部と、
乱数r,rを生成する乱数生成部と、
ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成部と、
H(vk)を個別公開鍵pkとし、
群Gの元ρとρをランダムに選定し、
E(ρ,g)をβ、E(ρ,Vpk −1)をβ、E(g,g)をβ
ただし、
Figure 2011145591
pkはpkのj番目のビット
とし、
0以上p−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、
Figure 2011145591
のように求めるコミットメント要素生成部と、
コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成部と、
コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、前記受信装置に送信するコミットメント送信部と、
デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、前記受信装置に送信するデコミットメント送信部と、
を備え、
前記受信装置は、
前記共通参照情報crsと、コミットメント要素C’=(ρ’,ρ’,Β)と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’=(m’,r’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る受信入力部と、
署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証部と、
H(vk’)を個別公開鍵pk’とし、
E(ρ’,g)をβ’、E(ρ’,Vpk −1)をβ’、E(g,g)をβ’とし、
Figure 2011145591
であることを検証するコミットメント検証部と、
を備える
ことを特徴とするコミットメントシステム。 A commitment system composed of a transmission device, a reception device, and a master device,
The master device is
lambda security parameters, G and G T is 2 lambda bilinear group larger prime order p, J is a predetermined positive integer, E is bilinear map for converting the original G × G on the original G T age,
A master selection unit that randomly selects an integer a of 0 or more and p-1 or less, a generator g of the group G, and elements v 0 ,..., V J of the group G;
(G, v 0 ,..., V J , E (g, g) a ) as the master public key PK and a as a master trap door, a master key generator,
A common reference information generating unit that generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string, and transmits the common reference information crs to the transmitting device and the receiving device;
The transmitter is
A transmission input unit for receiving the common reference information crs and the document m;
A random number generator for generating random numbers r 1 and r 2 ;
A one-time signature key generation unit that generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature;
Let H (vk 0 ) be an individual public key pk,
Randomly select elements ρ 1 and ρ 2 of group G;
E (ρ 1 , g) is β 1 , E (ρ 2 , V pk −1 ) is β 2 , E (g, g) a is β
However,
Figure 2011145591
pk j is the jth bit of pk,
In order to commit a document m that is an integer of 0 or more and p-1 or less, a commitment element C and a decommitment element D are
Figure 2011145591
A commitment element generation unit
A one-time signature generation unit that generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 ;
A commitment transmitter that transmits a commitment com including a commitment element C and a signature verification key vk 0 to the receiving device;
A decommitment transmission unit that transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 to the receiving device;
With
The receiving device is:
A commitment com including the common reference information crs, a commitment element C ′ = (ρ 1 ′, ρ 2 ′, Β) and a signature verification key vk 0 ′; and a decommitment element D ′ = (m ′, r 1 ′, a receiving input that receives r 2 ′), a document m ′, and a decommitment dec that includes a one-time signature σ 0 ′;
A one-time signature verification unit that verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
Let H (vk 0 ') be the individual public key pk',
E (ρ 1 ′, g) is β 1 ′, E (ρ 2 ′, V pk −1 ) is β 2 ′, E (g, g) a is β ′,
Figure 2011145591
A commitment verification unit that verifies that
A commitment system characterized by λはセキュリティパラメータ、fは1λに依存する整数、p、qは互いに異なるλビットの奇素数、Fは任意ビットのビット列をfビットのビット列に変換する擬似ランダム関数とし、
<φ(N)=(p−1)(q−1)<2f+2であるRSAモジュラスN=pqを出力するRSAモジュラス部と、
1以上N−1以下の任意の整数hと、擬似ランダム関数Fの鍵Kと、fビットのビット列cとをランダムに選ぶマスター選定部と、
関数PK,cを、
Figure 2011145591
のように定義する関数定義部と、
(N,h,c,K)をマスター公開鍵PKとし、(p,q,PK)をマスタートラップドアTKとするマスター鍵生成部と、
マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成する共通参照情報生成部
を備えるマスター装置。 λ is a security parameter, f is an integer that depends on 1 λ , p and q are different λ-bit odd prime numbers, F is a pseudo-random function that converts a bit string of arbitrary bits into a bit string of f bits,
RSA modulus part that outputs RSA modulus N = pq, where 2 f <φ (N) = (p−1) (q−1) <2 f + 2 ,
A master selection unit that randomly selects an arbitrary integer h of 1 or more and N−1 or less, a key K of a pseudo-random function F, and a bit string c of f bits;
Function P K, c
Figure 2011145591
A function definition part defined as
A master key generation unit having (N, h, c, K) as a master public key PK and (p, q, PK) as a master trap door TK;
A master apparatus comprising a common reference information generation unit that generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string. λはセキュリティパラメータ、GとGは2λより大きい素数位数pの双線型群、Jはあらかじめ定めた正の整数、EはG×Gの元をGの元に変換する双線型写像とし、
0以上p−1以下の整数aと、群Gの生成元gと群Gの元v,…,vをランダムに選ぶマスター選定部と、
(g,v,…,v,E(g,g))を前記マスター公開鍵PKとし、aをマスタートラップドアとするマスター鍵生成部と、
マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成する共通参照情報生成部
を備えるマスター装置。 lambda security parameters, G and G T is 2 lambda bilinear group larger prime order p, J is a predetermined positive integer, E is bilinear map for converting the original G × G on the original G T age,
A master selection unit that randomly selects an integer a of 0 or more and p-1 or less, a generator g of the group G, and elements v 0 ,..., V J of the group G;
(G, v 0 ,..., V J , E (g, g) a ) as the master public key PK and a as a master trap door, a master key generator,
A master apparatus comprising a common reference information generation unit that generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string. マスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsと文書mとを受け取る送信入力部と、
乱数rを生成する乱数生成部と、
ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成部と、
H(vk)をマルチトラップドアコミットメントの個別公開鍵pkとし、文書mをコミットするために、マスター公開鍵PK、個別公開鍵pk、文書m、乱数rを用いてコミットメント要素C、デコミットメント要素Dを求めるコミットメント要素生成部と、
コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成部と、
コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを送信するコミットメント送信部と、
デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを送信するデコミットメント送信部と、
を備える送信装置。 A transmission input unit for receiving the common reference information crs including the master public key PK and the hash function H and the document m;
A random number generator for generating a random number r;
A one-time signature key generation unit that generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature;
Let H (vk 0 ) be the individual public key pk of the multi-trap door commitment and use the master public key PK, the individual public key pk, the document m, and the random number r to commit the document m. A commitment element generator for D,
A one-time signature generation unit that generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 ;
A commitment transmitter that transmits a commitment com including a commitment element C and a signature verification key vk 0 ;
A decommitment transmission unit that transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 ;
A transmission apparatus comprising: λはセキュリティパラメータ、fは1λに依存する整数、p、qは互いに異なるλビットの奇素数、Fは任意ビットのビット列をfビットのビット列に変換する擬似ランダム関数、PK,cを、
Figure 2011145591
のように定義される関数、NはN=pq、hは1以上N−1以下の任意の整数、Kは擬似ランダム関数Fの鍵、cはfビットのビット列とし、
マスター公開鍵PK=(N,h,c,K)とJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsと文書mとを受け取る送信入力部と、
乱数rを生成する乱数生成部と、
ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成部と、
H(vk)を個別公開鍵pkとし、
=PK,c(pk(j))、ただしpk(j)はpkの先頭のjビット
をj=1からj=Jまで計算し、eminをe,…,eのうちで最小の値とし、
=m mod e
をj=1からj=Jまで計算し、
M mod e=m
がすべてのjに対して成り立つMを0以上
Figure 2011145591
以下の整数の中から求め、
0以上emin−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、
Figure 2011145591
のように求めるコミットメント要素生成部と、
コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成部と、
コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを送信するコミットメント送信部と、
デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを送信するデコミットメント送信部と、
を備える送信装置。 λ is a security parameter, f is an integer depending on 1 λ , p and q are different λ-bit odd prime numbers, F is a pseudo-random function for converting an arbitrary bit string into an f-bit bit string, P K, c ,
Figure 2011145591
N is N = pq, h is an arbitrary integer between 1 and N−1, K is a key of the pseudorandom function F, c is a bit string of f bits,
A transmission input unit that receives the common reference information crs including the master public key PK = (N, h, c, K) and the hash function H that outputs a bit string of J bits and the document m;
A random number generator for generating a random number r;
A one-time signature key generation unit that generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature;
Let H (vk 0 ) be an individual public key pk,
e j = P K, c (pk (j) ), where pk (j) calculates the first j bits of pk from j = 1 to j = J, and e min is among e 1 ,..., e J To the smallest value,
m j = m mod e j
Is calculated from j = 1 to j = J,
M mod e j = m j
Is greater than or equal to 0 for all j
Figure 2011145591
Find from the following integers,
In order to commit a document m that is an integer greater than or equal to 0 and less than or equal to e min −1, a commitment element C and a decommitment element D are
Figure 2011145591
A commitment element generation unit
A one-time signature generation unit that generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 ;
A commitment transmitter that transmits a commitment com including a commitment element C and a signature verification key vk 0 ;
A decommitment transmission unit that transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 ;
A transmission apparatus comprising: λはセキュリティパラメータ、GとGは2λより大きい素数位数pの双線型群、Jはあらかじめ定めた正の整数、EはG×Gの元をGの元に変換する双線型写像、aは0以上p−1以下の整数、gは群Gの生成元、v,…,vは群Gの元とし、
マスター公開鍵PK=(g,v,…,v,E(g,g))とJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsと文書mとを受け取る送信入力部と、
乱数r,rを生成する乱数生成部と、
ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成部と、
H(vk)を個別公開鍵pkとし、
群Gの元ρとρをランダムに選定し、
E(ρ,g)をβ、E(ρ,Vpk −1)をβ、E(g,g)をβ
ただし、
Figure 2011145591
pkはpkのj番目のビット
とし、
0以上p−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、
Figure 2011145591
のように求めるコミットメント要素生成部と、
コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成部と、
コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを送信するコミットメント送信部と、
デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを送信するデコミットメント送信部と、
を備える送信装置。 lambda security parameters, G and G T is 2 lambda bilinear group larger prime order p, J is a predetermined positive integer, E is bilinear map for converting the original G × G on the original G T , A is an integer between 0 and p−1, g is a group G generator, v 0 ,..., V J are groups G elements,
A transmission input unit that receives the master reference key PK = (g, v 0 ,..., V J , E (g, g) a ) and the common reference information crs including the hash function H that outputs a bit string of J bits and the document m. When,
A random number generator for generating random numbers r 1 and r 2 ;
A one-time signature key generation unit that generates a signature verification key vk 0 and a signature generation key sk 0 for a one-time signature;
Let H (vk 0 ) be an individual public key pk,
Randomly select elements ρ 1 and ρ 2 of group G;
E (ρ 1 , g) is β 1 , E (ρ 2 , V pk −1 ) is β 2 , E (g, g) a is β
However,
Figure 2011145591
pk j is the jth bit of pk,
In order to commit a document m that is an integer of 0 or more and p-1 or less, a commitment element C and a decommitment element D are
Figure 2011145591
A commitment element generation unit
A one-time signature generation unit that generates a one-time signature σ 0 for the commitment element C using the signature generation key sk 0 ;
A commitment transmitter that transmits a commitment com including a commitment element C and a signature verification key vk 0 ;
A decommitment transmission unit that transmits a decommitment dec including the decommitment element D, the document m, and the one-time signature σ 0 ;
A transmission apparatus comprising: マスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsと、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る受信入力部と、
署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証部と、
マルチトラップドアコミットメントの検証アルゴリズムによって、コミットメント要素C’とデコミットメント要素D’の正当性を検証するコミットメント検証部と
を備える受信装置。 The common reference information crs including the master public key PK and the hash function H, the commitment com including the commitment element C ′ and the signature verification key vk 0 ′, the decommissioning element D ′, the document m ′, and the one-time signature σ 0 ′ A receiving input unit for receiving a decommissioning dec including:
A one-time signature verification unit that verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
A receiving apparatus comprising a commitment verification unit that verifies the validity of a commitment element C ′ and a decommitment element D ′ by a multi-trap door commitment verification algorithm. λはセキュリティパラメータ、fは1λに依存する整数、p、qは互いに異なるλビットの奇素数、Fは任意ビットのビット列をfビットのビット列に変換する擬似ランダム関数、PK,cを、
Figure 2011145591
のように定義される関数、NはN=pq、hは1以上N−1以下の任意の整数、Kは擬似ランダム関数Fの鍵、cはfビットのビット列とし、
マスター公開鍵PK=(N,h,c,K)とJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsと、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’=(M’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る受信入力部と、
署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証部と、
H(vk’)を個別公開鍵pk’とし、
’=PK,c(pk’(j))、ただしpk’(j)はpk’の先頭のjビット
および、
’=M’ mod e
をj=1からj=Jまで計算し、
’=m’=,…,=m
かつ
Figure 2011145591
であることを検証するコミットメント検証部と
を備える受信装置。 λ is a security parameter, f is an integer depending on 1 λ , p and q are different λ-bit odd prime numbers, F is a pseudo-random function for converting an arbitrary bit string into an f-bit bit string, P K, c ,
Figure 2011145591
N is N = pq, h is an arbitrary integer between 1 and N−1, K is a key of the pseudorandom function F, c is a bit string of f bits,
Master reference key PK = (N, h, c, K) and common reference information crs including hash function H that outputs a bit string of J bits, commitment com including commitment element C ′ and signature verification key vk 0 ′, A reception input unit that receives a decommitment element D ′ = (M ′, r ′), a document m ′, and a decommitment dec including a one-time signature σ 0 ′;
A one-time signature verification unit that verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
Let H (vk 0 ') be the individual public key pk',
e j '= P K, c (pk' (j) ), where pk ' (j) is the first j bits of pk' and
m j '= M' mod e j '
Is calculated from j = 1 to j = J,
m 1 '= m 2 ' =, ..., = m J '
And
Figure 2011145591
And a commitment verification unit that verifies that λはセキュリティパラメータ、GとGは2λより大きい素数位数pの双線型群、Jはあらかじめ定めた正の整数、EはG×Gの元をGの元に変換する双線型写像、aは0以上p−1以下の整数、gは群Gの生成元、v,…,vは群Gの元とし、
マスター公開鍵PK=(g,v,…,v,E(g,g))とJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsと、コミットメント要素C’=(ρ’,ρ’,Β)と署名検証鍵vk’を含むコミットメントcomと、デコミットメント要素D’=(m’,r’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る受信入力部と、
署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証部と、
H(vk’)を個別公開鍵pk’とし、
E(ρ’,g)をβ’、E(ρ’,Vpk −1)をβ’、E(g,g)をβ’とし、
Figure 2011145591
であることを検証するコミットメント検証部と、
を備える受信装置。 lambda security parameters, G and G T is 2 lambda bilinear group larger prime order p, J is a predetermined positive integer, E is bilinear map for converting the original G × G on the original G T , A is an integer between 0 and p−1, g is a group G generator, v 0 ,..., V J are groups G elements,
Master public key PK = (g, v 0 ,..., V J , E (g, g) a ) and common reference information crs including a hash function H that outputs a bit string of J bits, and commitment element C ′ = (ρ 1 ′, ρ 2 ′, Β) and the commitment com including the signature verification key vk 0 ′, the decommitment element D ′ = (m ′, r 1 ′, r 2 ′), the document m ′, and the one-time signature σ 0 A receiving input unit that receives a decommitment dec including ';
A one-time signature verification unit that verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
Let H (vk 0 ') be the individual public key pk',
E (ρ 1 ′, g) is β 1 ′, E (ρ 2 ′, V pk −1 ) is β 2 ′, E (g, g) a is β ′,
Figure 2011145591
A commitment verification unit that verifies that
A receiving device. 送信装置、受信装置、マスター装置で構成されるコミットメントシステムを用いたコミットメント方法であって、
封フェーズでは、
前記マスター装置が、マスター公開鍵PKとハッシュ関数Hを含む共通参照情報crsを生成し、前記送信装置と前記受信装置に送信する共通参照情報生成ステップと、
前記送信装置が、前記共通参照情報crsと文書mとを受け取る送信入力ステップと、
前記受信装置が、前記共通参照情報crsを受け取る第1受信入力ステップと、
前記送信装置が、乱数rを生成する乱数生成ステップと、
前記送信装置が、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成ステップと、
前記送信装置が、H(vk)をマルチトラップドアコミットメントの個別公開鍵pkとし、文書mをコミットするために、マスター公開鍵PK、個別公開鍵pk、文書m、乱数rを用いてコミットメント要素C、デコミットメント要素Dを求めるコミットメント要素生成ステップと、
前記送信装置が、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成ステップと、
前記送信装置が、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、前記受信装置に送信するコミットメント送信ステップと、
前記受信装置が、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomを受け取る第2受信入力ステップと
を有し、
開封フェーズでは、
前記送信装置が、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、前記受信装置に送信するデコミットメント送信ステップと、
前記受信装置が、デコミットメント要素D’と文書m’とワンタイム署名σ’を含むデコミットメントdecを受け取る第3受信入力ステップと、
前記受信装置が、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証ステップと、
前記受信装置が、マルチトラップドアコミットメントの検証アルゴリズムによって、コミットメント要素C’とデコミットメント要素D’の正当性を検証するコミットメント検証ステップと
を有する
ことを特徴とするコミットメント方法。 A commitment method using a commitment system composed of a transmission device, a reception device, and a master device,
In the sealing phase,
The master device generates common reference information crs including a master public key PK and a hash function H, and transmits the common reference information crs to the transmitting device and the receiving device;
A transmission input step in which the transmission device receives the common reference information crs and the document m;
A first receiving input step in which the receiving device receives the common reference information crs;
The transmitting device generates a random number r;
A one-time signature key generation step in which the transmitting device generates a signature verification key vk 0 and a signature generation key sk 0 of a one-time signature;
The transmitting device uses H (vk 0 ) as the individual public key pk of the multi-trap door commitment, and uses the master public key PK, the individual public key pk, the document m, and the random number r to commit the document m. C, a commitment element generation step for obtaining a decommitment element D;
A one-time signature generation step in which the transmitting device generates a one-time signature σ 0 for the commitment element C using a signature generation key sk 0 ;
A commitment transmitting step in which the transmitting device transmits a commitment com including a commitment element C and a signature verification key vk 0 to the receiving device;
The receiving device has a second receiving input step of receiving a commitment com including a commitment element C ′ and a signature verification key vk 0 ′;
In the opening phase,
A de-commitment transmission step in which the transmitting device transmits a de-commitment dec including the de-commitment element D, the document m, and the one-time signature σ 0 to the receiving device;
A third receiving input step in which the receiving device receives a decommitment dec including a decommitment element D ′, a document m ′, and a one-time signature σ 0 ′;
A one-time signature verification step in which the receiving device verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
The commitment method, comprising: a commitment verification step of verifying validity of the commitment element C ′ and the decommitment element D ′ by a multi-trap door commitment verification algorithm. 送信装置、受信装置、マスター装置で構成されるコミットメントシステムを用いたコミットメント方法であって、
λはセキュリティパラメータ、fは1λに依存する整数、p、qは互いに異なるλビットの奇素数、Fは任意ビットのビット列をfビットのビット列に変換する擬似ランダム関数とし、
封フェーズでは、
前記マスター装置が、2<φ(N)=(p−1)(q−1)<2f+2であるRSAモジュラスN=pqを出力するRSAモジュラスステップと、
前記マスター装置が、1以上N−1以下の任意の整数hと、擬似ランダム関数Fの鍵Kと、fビットのビット列cとをランダムに選ぶマスター選定ステップと、
前記マスター装置が、関数PK,cを、
Figure 2011145591
のように定義する関数定義ステップと、
前記マスター装置が、(N,h,c,K)をマスター公開鍵PKとし、(p,q,PK)をマスタートラップドアTKとするマスター鍵生成ステップと、
前記マスター装置が、マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成し、前記送信装置と前記受信装置に送信する共通参照情報生成ステップと、
前記送信装置が、前記共通参照情報crsと文書mとを受け取る送信入力ステップと、
前記受信装置が、前記共通参照情報crsを受け取る第1受信入力ステップと、
前記送信装置が、乱数rを生成する乱数生成ステップと、
前記送信装置が、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成ステップと、
前記送信装置が、H(vk)を個別公開鍵pkとし、
=PK,c(pk(j))、ただしpk(j)はpkの先頭のjビット
をj=1からj=Jまで計算し、eminをe,…,eのうちで最小の値とし、
=m mod e
をj=1からj=Jまで計算し、
M mod e=m
がすべてのjに対して成り立つMを0以上
Figure 2011145591
以下の整数の中から求め、
0以上emin−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、
Figure 2011145591
のように求めるコミットメント要素生成ステップと、
前記送信装置が、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成ステップと、
前記送信装置が、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、前記受信装置に送信するコミットメント送信ステップと、
前記受信装置が、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomを受け取る第2受信入力ステップと
を有し、
開封フェーズでは、
前記送信装置が、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、前記受信装置に送信するデコミットメント送信ステップと、
前記受信装置が、デコミットメント要素D’=(M’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecとを受け取る第3受信入力ステップと、
前記受信装置が、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証ステップと、
前記受信装置が、H(vk’)を個別公開鍵pk’とし、
’=PK,c(pk’(j))、ただしpk’(j)はpk’の先頭のjビット
および、
’=M’ mod e
をj=1からj=Jまで計算し、
’=m’=,…,=m
かつ
Figure 2011145591
であることを検証するコミットメント検証ステップと
を有する
ことを特徴とするコミットメント方法。 A commitment method using a commitment system composed of a transmission device, a reception device, and a master device,
λ is a security parameter, f is an integer that depends on 1 λ , p and q are different λ-bit odd prime numbers, F is a pseudo-random function that converts a bit string of arbitrary bits into a bit string of f bits,
In the sealing phase,
An RSA modulus step in which the master device outputs an RSA modulus N = pq where 2 f <φ (N) = (p−1) (q−1) <2 f + 2 ;
A master selection step in which the master device randomly selects an arbitrary integer h of 1 to N−1, a key K of a pseudo-random function F, and a bit string c of f bits;
The master device determines the function P K, c
Figure 2011145591
A function definition step defined as
A master key generating step in which the master device uses (N, h, c, K) as a master public key PK and (p, q, PK) as a master trap door TK;
The master device generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string, and transmits the common reference information crs to the transmitting device and the receiving device;
A transmission input step in which the transmission device receives the common reference information crs and the document m;
A first receiving input step in which the receiving device receives the common reference information crs;
The transmitting device generates a random number r;
A one-time signature key generation step in which the transmitting device generates a signature verification key vk 0 and a signature generation key sk 0 of a one-time signature;
The transmitting device uses H (vk 0 ) as an individual public key pk,
e j = P K, c (pk (j) ), where pk (j) calculates the first j bits of pk from j = 1 to j = J, and e min is among e 1 ,..., e J To the smallest value,
m j = m mod e j
Is calculated from j = 1 to j = J,
M mod e j = m j
Is greater than or equal to 0 for all j
Figure 2011145591
Find from the following integers,
In order to commit a document m that is an integer greater than or equal to 0 and less than or equal to e min −1, a commitment element C and a decommitment element D are
Figure 2011145591
Commitment element generation step
A one-time signature generation step in which the transmitting device generates a one-time signature σ 0 for the commitment element C using a signature generation key sk 0 ;
A commitment transmitting step in which the transmitting device transmits a commitment com including a commitment element C and a signature verification key vk 0 to the receiving device;
The receiving device has a second receiving input step of receiving a commitment com including a commitment element C ′ and a signature verification key vk 0 ′;
In the opening phase,
A de-commitment transmission step in which the transmitting device transmits a de-commitment dec including the de-commitment element D, the document m, and the one-time signature σ 0 to the receiving device;
A third receiving input step in which the receiving device receives a decommitment element D ′ = (M ′, r ′), a document m ′, and a decommitment dec including a one-time signature σ 0 ′;
A one-time signature verification step in which the receiving device verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
The receiving device uses H (vk 0 ′) as an individual public key pk ′,
e j '= P K, c (pk' (j) ), where pk ' (j) is the first j bits of pk' and
m j '= M' mod e j '
Is calculated from j = 1 to j = J,
m 1 '= m 2 ' =, ..., = m J '
And
Figure 2011145591
And a commitment verification step for verifying that the commitment method is included. 送信装置、受信装置、マスター装置で構成されるコミットメントシステムを用いたコミットメント方法であって、
λはセキュリティパラメータ、GとGは2λより大きい素数位数pの双線型群、Jはあらかじめ定めた正の整数、EはG×Gの元をGの元に変換する双線型写像とし、
前記マスター装置が、0以上p−1以下の整数aと、群Gの生成元gと群Gの元v,…,vをランダムに選ぶマスター選定ステップと、
前記マスター装置が、(g,v,…,v,E(g,g))を前記マスター公開鍵PKとし、aをマスタートラップドアとするマスター鍵生成ステップと、
前記マスター装置が、マスター公開鍵PKとJビットのビット列を出力するハッシュ関数Hを含む共通参照情報crsを生成し、前記送信装置と前記受信装置に送信する共通参照情報生成ステップと、
前記送信装置が、前記共通参照情報crsと文書mとを受け取る送信入力ステップと、
前記受信装置が、前記共通参照情報crsを受け取る第1受信入力ステップと、
前記送信装置が、乱数r,rを生成する乱数生成ステップと、
前記送信装置が、ワンタイム署名の署名検証鍵vkと署名生成鍵skとを生成するワンタイム署名鍵生成ステップと、
前記送信装置が、H(vk)を個別公開鍵pkとし、
群Gの元ρとρをランダムに選定し、
E(ρ,g)をβ、E(ρ,Vpk −1)をβ、E(g,g)をβ
ただし、
Figure 2011145591
pkはpkのj番目のビット
とし、
0以上p−1以下の整数である文書mをコミットするために、コミットメント要素C、デコミットメント要素Dを、
Figure 2011145591
のように求めるコミットメント要素生成ステップと、
前記送信装置が、コミットメント要素Cに対するワンタイム署名σを、署名生成鍵skを用いて生成するワンタイム署名生成ステップと、
前記送信装置が、コミットメント要素Cと署名検証鍵vkを含むコミットメントcomを、前記受信装置に送信するコミットメント送信ステップと、
前記受信装置が、コミットメント要素C’と署名検証鍵vk’を含むコミットメントcomを受け取る第2受信入力ステップと
を有し、
開封フェーズでは、
前記送信装置が、デコミットメント要素Dと文書mとワンタイム署名σを含むデコミットメントdecを、前記受信装置に送信するデコミットメント送信ステップと、
前記受信装置が、デコミットメント要素D’=(m’,r’,r’)と文書m’とワンタイム署名σ’を含むデコミットメントdecを受け取る第3受信入力ステップと、
前記受信装置が、署名検証鍵vk’を用いて、コミットメント要素C’に対するワンタイム署名σ’の正当性を検証するワンタイム署名検証ステップと、
前記受信装置が、H(vk’)を個別公開鍵pk’とし、
E(ρ’,g)をβ’、E(ρ’,Vpk −1)をβ’、E(g,g)をβ’とし、
Figure 2011145591
であることを検証するコミットメント検証ステップと、
を有する
ことを特徴とするコミットメント方法。 A commitment method using a commitment system composed of a transmission device, a reception device, and a master device,
lambda security parameters, G and G T is 2 lambda bilinear group larger prime order p, J is a predetermined positive integer, E is bilinear map for converting the original G × G on the original G T age,
A master selection step in which the master device randomly selects an integer a between 0 and p−1, a group G generator g, and a group G element v 0 ,..., V J ;
A master key generating step in which the master device uses (g, v 0 ,..., V J , E (g, g) a ) as the master public key PK and a as a master trap door;
The master device generates common reference information crs including a hash function H that outputs a master public key PK and a J-bit bit string, and transmits the common reference information crs to the transmitting device and the receiving device;
A transmission input step in which the transmission device receives the common reference information crs and the document m;
A first receiving input step in which the receiving device receives the common reference information crs;
A random number generation step in which the transmission device generates random numbers r 1 and r 2 ;
A one-time signature key generation step in which the transmitting device generates a signature verification key vk 0 and a signature generation key sk 0 of a one-time signature;
The transmitting device uses H (vk 0 ) as an individual public key pk,
Randomly select elements ρ 1 and ρ 2 of group G;
E (ρ 1 , g) is β 1 , E (ρ 2 , V pk −1 ) is β 2 , E (g, g) a is β
However,
Figure 2011145591
pk j is the jth bit of pk,
In order to commit a document m that is an integer of 0 or more and p-1 or less, a commitment element C and a decommitment element D are
Figure 2011145591
Commitment element generation step
A one-time signature generation step in which the transmitting device generates a one-time signature σ 0 for the commitment element C using a signature generation key sk 0 ;
A commitment transmitting step in which the transmitting device transmits a commitment com including a commitment element C and a signature verification key vk 0 to the receiving device;
The receiving device has a second receiving input step of receiving a commitment com including a commitment element C ′ and a signature verification key vk 0 ′;
In the opening phase,
A de-commitment transmission step in which the transmitting device transmits a de-commitment dec including the de-commitment element D, the document m, and the one-time signature σ 0 to the receiving device;
A third receiving input step in which the receiving device receives a decommitment dec including a decommitment element D ′ = (m ′, r 1 ′, r 2 ′), a document m ′, and a one-time signature σ 0 ′;
A one-time signature verification step in which the receiving device verifies the validity of the one-time signature σ 0 ′ with respect to the commitment element C ′ using the signature verification key vk 0 ′;
The receiving device uses H (vk 0 ′) as an individual public key pk ′,
E (ρ 1 ′, g) is β 1 ′, E (ρ 2 ′, V pk −1 ) is β 2 ′, E (g, g) a is β ′,
Figure 2011145591
A commitment verification step to verify that
A commitment method characterized by comprising: 請求項4または5記載のマスター装置、請求項6から8のいずれかに記載の送信装置、もしくは請求項9から11のいずれかに記載の受信装置としてコンピュータを機能させるプログラム。   A program that causes a computer to function as the master device according to claim 4 or 5, the transmission device according to any one of claims 6 to 8, or the reception device according to any one of claims 9 to 11. 請求項15記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 15 is recorded.
JP2010007937A 2010-01-18 2010-01-18 Commitment system, master device, transmission device, reception device, commitment method, program, recording medium Expired - Fee Related JP5448864B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010007937A JP5448864B2 (en) 2010-01-18 2010-01-18 Commitment system, master device, transmission device, reception device, commitment method, program, recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010007937A JP5448864B2 (en) 2010-01-18 2010-01-18 Commitment system, master device, transmission device, reception device, commitment method, program, recording medium

Publications (2)

Publication Number Publication Date
JP2011145591A true JP2011145591A (en) 2011-07-28
JP5448864B2 JP5448864B2 (en) 2014-03-19

Family

ID=44460475

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010007937A Expired - Fee Related JP5448864B2 (en) 2010-01-18 2010-01-18 Commitment system, master device, transmission device, reception device, commitment method, program, recording medium

Country Status (1)

Country Link
JP (1) JP5448864B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013243421A (en) * 2012-05-17 2013-12-05 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference information generation device, commitment generation device, commitment receiving device, and commitment method
JP2014150494A (en) * 2013-02-04 2014-08-21 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference string generation apparatus, commitment generation apparatus, commitment reception apparatus, commitment method and program
JP2015011048A (en) * 2013-06-26 2015-01-19 日本電信電話株式会社 Commitment system, common reference information generation device, commit generation device, commit reception device, commitment method and program
JP2016001263A (en) * 2014-06-12 2016-01-07 日本電信電話株式会社 Partial throwaway signature system and method, signature device, verification device, and program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010164876A (en) * 2009-01-19 2010-07-29 Nippon Telegr & Teleph Corp <Ntt> Bit commitment system, bit commitment method, bit commitment transmitting device, bit commitment receiving device, bit commitment transmitting method, bit commitment receiving method, and bit commitment program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010164876A (en) * 2009-01-19 2010-07-29 Nippon Telegr & Teleph Corp <Ntt> Bit commitment system, bit commitment method, bit commitment transmitting device, bit commitment receiving device, bit commitment transmitting method, bit commitment receiving method, and bit commitment program

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
CSNJ201010031008; Ryo Nishimaki, Eiichiro Fujisaki, Keisuke Tanaka: '"Efficient Non-Interactive Universally Composable Commitment Schemes"' 2009年 暗号と情報セキュリティシンポジウム SCIS2009 [CD-ROM] 1B1-3, 20090120, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 *
CSNJ201010083013; 西巻 陵,藤崎 英一郎,田中 圭介: '"標準仮定に基づいた非対話型かつ再利用可能で頑強なコミットメント方式"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 1C1-3, 20100119, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6013047583; Rosario Gennaro: '"Multi-Trapdoor Commitments and their Applications to Non-Malleable Protocols"' Cryptology ePrint Archive: Report 2003/214 Version: 20041126:223434, 20041126, p.1-35, [online] *
JPN6013047585; Ivan Damgard, Jens Groth: '"Non-interactive and Reusable Non-malleable Commitment Schemes"' Proceedings of the thirty-fifth annual ACM symposium on Theory of computing (STOC '03) , 20030609, p.426-437, [online] *
JPN6013047588; Ryo Nishimaki, Eiichiro Fujisaki, Keisuke Tanaka: '"Efficient Non-Interactive Universally Composable Commitment Schemes"' 2009年 暗号と情報セキュリティシンポジウム SCIS2009 [CD-ROM] 1B1-3, 20090120, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6013047590; 西巻 陵,藤崎 英一郎,田中 圭介: '"標準仮定に基づいた非対話型かつ再利用可能で頑強なコミットメント方式"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 1C1-3, 20100119, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 *
JPN6013047594; Yevgeniy Dodis, Victor Shoup, and Shabsi Walfish: '"Efficient Constructions of Composable Commitments and Zero-Knowledge Proofs"' LNCS, Advances in Cryptology - CRYPTO 2008 Vol.5157, 200808, p.515-535 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013243421A (en) * 2012-05-17 2013-12-05 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference information generation device, commitment generation device, commitment receiving device, and commitment method
JP2014150494A (en) * 2013-02-04 2014-08-21 Nippon Telegr & Teleph Corp <Ntt> Commitment system, common reference string generation apparatus, commitment generation apparatus, commitment reception apparatus, commitment method and program
JP2015011048A (en) * 2013-06-26 2015-01-19 日本電信電話株式会社 Commitment system, common reference information generation device, commit generation device, commit reception device, commitment method and program
JP2016001263A (en) * 2014-06-12 2016-01-07 日本電信電話株式会社 Partial throwaway signature system and method, signature device, verification device, and program

Also Published As

Publication number Publication date
JP5448864B2 (en) 2014-03-19

Similar Documents

Publication Publication Date Title
JP7371015B2 (en) Computer-implemented systems and methods for performing atomic swaps using blockchain
US10846372B1 (en) Systems and methods for trustless proof of possession and transmission of secured data
JP6016948B2 (en) Secret calculation system, arithmetic device, secret calculation method, and program
JP5957095B2 (en) Tamper detection device, tamper detection method, and program
JP6950745B2 (en) Key exchange device, key exchange system, key exchange method, and key exchange program
WO2013031414A1 (en) Signature verification device, signature verification method, program, and recording medium
WO2015173434A1 (en) Method for proving retrievability of information
KR20120127607A (en) Device and method for obtaining a cryptographic key
US10873631B2 (en) Method for storing data in a cloud and network for carrying out the method
Damgård et al. Unclonable group identification
Bitansky et al. One-message zero knowledge and non-malleable commitments
WO2019110399A1 (en) Two-party signature device and method
JP5448864B2 (en) Commitment system, master device, transmission device, reception device, commitment method, program, recording medium
Cui et al. Proof of retrievability with public verifiability resilient against related‐key attacks
Bezuidenhout et al. Permissionless blockchain systems as pseudo-random number generators for decentralized consensus
WO2020260151A1 (en) Zero-knowledge contingent payments protocol for granting access to encrypted assets
Chalkias et al. HashWires: Hyperefficient credential-based range proofs
JP5512598B2 (en) Information sharing system, method, apparatus and program
Diop et al. CoRA: A Scalable Collective Remote Attestation Protocol for Sensor Networks.
JP5331028B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
Xu et al. Towards Efficient Provable Data Possession.
JP6059160B2 (en) Share conversion system, share conversion method, program
JP5427156B2 (en) Key exchange device, key exchange system, key exchange method, key exchange program
JP2011138015A (en) Encrypting system, encrypting device, decoding device, encrypting method, program, recording medium
JP2010134048A (en) Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110624

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120307

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131001

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131217

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131224

R150 Certificate of patent or registration of utility model

Ref document number: 5448864

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees