JP2011523093A - メッセージに対する署名を生成する方法及び装置並びにそのような署名を検証する方法及び装置 - Google Patents
メッセージに対する署名を生成する方法及び装置並びにそのような署名を検証する方法及び装置 Download PDFInfo
- Publication number
- JP2011523093A JP2011523093A JP2011512103A JP2011512103A JP2011523093A JP 2011523093 A JP2011523093 A JP 2011523093A JP 2011512103 A JP2011512103 A JP 2011512103A JP 2011512103 A JP2011512103 A JP 2011512103A JP 2011523093 A JP2011523093 A JP 2011523093A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- message
- integer
- public key
- verifying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
メッセージmに対する署名σを生成する方法であり、該方法はオンライン/オフライン署名を可能にする。2つのランダム素数p及びqが生成され、N=pqである;2つのランダム平方剰余g及びxは、Z*Nにおいて選択され、整数zに対してh=g mod Nが計算される。これは、公開キー{g,h,x,n}及び秘密キー{p,q,z}をもたらす。次に、整数t及び素数eが選択される。オフライン署名部分yが次に:bが0よりも大きい整数であり、署名方式においてあらかじめ決定されている、数式(I)として計算されてもよい。メッセージmの署名のオンライン部分kは、次に、k=t+mzとして計算され、メッセ^ジmの署名σは、σ=(k,y,e)として生成され返される。その署名を検証するために、1)eが奇数のlEビット整数であり、2)kがlKビット整数であり、及び3)数式(II)、が確認される。該方法の利点は、ハッシュ法なしで実施されてもよいことである。また、同様に供給されるのは、署名装置、検証装置及びコンピュータプログラムサポートである。
Description
本発明は、一般的に暗号作成法に関し、より具体的には、ランダムオラクルに頼らないオンライン/オフライン署名方式に関する。
この節は、読者に技術の様々な態様を紹介することを目的としており、以下に記載及び/又は請求される本発明の様々な態様に関連する。この考察は、本発明の様々な態様をより良く理解することを容易にするために、読者に背景知識を提供する上で役立つと思われる。従って、これらの供述は、当然のことながらこの観点から読むべきであり、従来技術の自白として読むべきではない。
オンライン/オフライン署名方式は、電子署名の2段階生成を可能にする。最も費用のかかる計算は、署名に対するメッセージが知られる前に実施されてもよい;これがオフライン段階である。そのメッセージが一度知られると、次に比較的速い計算がオンライン段階で実施される。当業者は、この特性は、例えば電子決済又は自動料金所に向けて運転する場合において望ましく、また、計算リソースの方法では十分に足りない費用の低い装置などの時間制限されたアプリケーションに対して望ましいことを理解するであろう。
非特許文献1において、M.Girault、G.Poupard及びJ.Sternは、GPS法として知られるオンライン/オフライン署名方式を提案している。この方式の欠点は、それのセキュリティ証明が、ランダムオラクルモデルにおいて有効であることである。
標準モデルにおけるオンライン/オフライン署名方式(すなわち、ランダムオラクルに頼らない)は、B.Chevallier-Mames及びM.Joyeによって非特許文献2において提示されている。この方式の欠点は、そのパラメータ、公開キー及び秘密キーのサイズに存在し、その結果生じる署名(オンライン及びオフライン段階の両段階において)のサイズにおいても存在する。さらに、増加したサイズは、計算、保存及び送信において効率が失われる。
標準モデルにおけるもう1つのオンライン/オフライン署名方式は、K.Kurosawa及びK.Schmidt-Samoaによって非特許文献3において提示されている。この方式における欠点は、オンライン段階が、整数乗算よりも費用のかかるモジュラー乗算を含むことである。
さらに、オンライン/オフライン署名方式は、Marc Joye及びHung-Mei Linによって非特許文献4において提示されている。これらの方式は、そのオリジナル及び改良形においてTan-Yi-Siew(TYS)署名方式である。
オリジナルなTYS方式は、第1に、公開キー及び秘密キーを生成する。2つのランダム素数p=2p’+1及びq=2q’+1が選択され、p’及びq’は、素数であり、log2p’q’>2l+1である。N=pqである。Z* Nにおける2つの平方剰余g及びxは、gの位数がp’q’であるように選択される。最後に、ランダムのlビット整数zが選択され、h=g-ZmodNが計算される。公開キーは、pk={g,h,x,N}であり、秘密キーは、sk={p,q,z}である。mは、署名されるべきメッセージを示す。l-ビット整数k及びl-ビット素数eは、ランダムに選択され、次の値:y=(xg-k)1/emodN、c=H(pk,y,m)及びt=k+cz、が計算される。メッセージmの署名は、その結果、σ=(t,y,e)である。しかし、著者は、TYS方式が完全に不安定であることを発見し、従って、改良された方式を提供した。
その改良された方式は、4つのセキュリティ・パラメータ、lN、lH、lE及びlKを使用し、それらは、lE≧lH+2及びlK≫lN+lHを満たす。改良された方式は、公開キー及び秘密キーを最初に生成する。2つのランダム素数は、p=2p’+1及びq=2q’+1であると選択され、p’及びq’は、N=pqがlNの長さを持つように、等しい長さの素数である。Z* Nにおける2つの平方剰余g及びxは、ランダムに選択される。最後に、h=g-ZmodNが、ランダム整数z mod p’q’に対して計算される。公開キーは、いまだにpl={g,h,x,N}であり、秘密キーはsk={p.q,z}である。mは、署名されるべきメッセージを示す。lKビット整数t及びlEビット素数eはランダムに選択され、以下の値:y=(xg-t)1/emodN、c=H(pk,m)及びk=t+cz、が計算される。メッセージmの署名は、その結果、σ=(k,y,e)である。後で分かるように、変化したのは、主に、いくつかのパラメータの長さであるが、これは、実際にTYS方式が不足しているセキュリティを提供する。しかし、Camenisch-Lysyanskaya署名方式の変形として見なされる、その改良された方式は、いまだにいくらか大量な計算を必要とし、かなり長い署名を供給する。例えば、典型的なパラメータ長である、lN=1024、lH=160、lE=162及びlK=1344は、1024ビットRSA係数に対して1344+1024+162=2530ビットの署名の長さをもたらす。
M.Girault,G.Poupard,and J.Stern"On the Fly Authentication and Signature Schemes Based On Groups of Unkown Order"Jounal of Cryptography,19(4):463-487,2006
B.Chevallier-Mames and M.Joye"A Practical and Tightly Secure Signature Scheme Without Hash Function" M.Abe(editor),Topics in Cryptography‐CT-RAS 2007,Lecture Notes in Computer Science Vol.4377,pp339-356,Springer-Verlag,2007
M.Yung et al.(editors)"New On-line/Off-line Signature Schemes Without Random Oracles" Public Key Cryptography‐PKC 2006,Lecture Notes in Computer Science Vol.3958,pp330-346,Springer-Verlag,2006
Marc Joye,Hung-Mei Lin"TYS Signature Scheme"
従って、オンライン/オフライン電子署名を供給する改善された解決策に対する必要性があることが分かる。本発明はそのような解決策を提供する。
第1態様において、本発明は、メッセージmに対する署名σを生成する方法に向けられる。y=(xg-k)1/e mod Nを満たす3つの整数y、e及びtが得られ、cは、eに依存し、x、g及びNは、公開キーの要素であり、x及びgは、Z* Nにおける平方剰余であり、NはlNビット整数である;署名σの第1部分kが計算され、kの計算は、m及びlZビット整数zの整数乗算及びtの加算を含み;署名σが出力され、署名σは少なくとも3つの値k、y及びeを含む。k、e、z、N、及びhの長さにおいて、hは公開キーの整数の要素であり、それらの長さは、それぞれlK、lE、lZ、lN、及びlHとして示され、cとeとの間の関係を表わす所定の値bに対して以下の関係を満たす:
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH。
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH。
第1に望ましい実施形態において、eは素数でありcはeの正の整数b乗に等しい。このeのb乗を使用することによって、より短い署名が可能になる。
第2に望ましい実施形態において、Nは少なくとも2つの素数p及びqを含むRSA係数である。p=2p’+1及びq=2q’+1であるのは有利であり、p’及びq’は素数である。
第3に望ましい実施形態において、3つの値、y、e、tが素数e及び整数tを生成し;y=(xg-t)1/cmodNを計算することによって得られる。
第4に望ましい実施形態において、3つの値、y、e、tが、メモリに保存されたクーポンから得られる。
第5に望ましい実施形態において、メッセージmが、3つの値、y、e、tの取得と署名の第1部分kの計算ステップとの間で受け取られる。
第6に望ましい実施形態において、メッセージmは、署名σとともに出力される。
第2態様において、本発明は、メッセージmに対する署名σを証明する方法に向けられ、その署名は、本発明の第1態様による方法によって生成される。ycgkhm≡x(modN)が検証され、cはeに依存し、hは公開キーの要素である。
第7に望ましい実施形態において、eが奇数であることがさらに検証される。
第10に望ましい実施形態において、eはlEビット整数でありkはlKビット整数であることが、さらに検証される。
第3態様において、本発明は、メッセージmに対する署名σを生成する装置に向けられる。該署名装置は、y=(xg-k)1/emodNを満たす3つの整数y、e、tを取得するように適合されたプロセッサを含み、cはeに依存し、x、g及びNは公開キーの要素であり、x及びgは、Z* Nにおける平方剰余であり、NはlNビット整数であり;署名σの第1部分kを計算し、kの計算はm及びlZビット整数zの整数乗算及びtの加算を含む。署名装置は、さらに、署名σを出力するように適合された出力ユニットを含み、署名σは、少なくとも3つの値、k、y及びeを含む。k、e、z、N、及びh(hは公開キーの整数要素である)の長さは、それぞれlK、lE、lZ、lN、及びlHとして示され、cとeとの間の関係を表わす所定の値bに対する以下の関係を満たす:
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH
第4態様において、本発明は、メッセージmに対する署名σを検証するための装置に向けられ、その署名は本発明の第1態様の方法によって生成される。その検証装置は、ycgkhm≡x(modN)であることを検証するように適合され、cはeに依存し、hは公開キーの要素である。
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH
第4態様において、本発明は、メッセージmに対する署名σを検証するための装置に向けられ、その署名は本発明の第1態様の方法によって生成される。その検証装置は、ycgkhm≡x(modN)であることを検証するように適合され、cはeに依存し、hは公開キーの要素である。
第5態様において、本発明は、プロセッサにおいて実行されるとき、本発明の第1態様のメッセージmに署名する方法を実施するコンピュータプログラムサポート保存インストラクションに向けられる。
第6態様において、本発明は、プロセッサにおいて実行されるとき、本発明の第2態様のメッセージmに対する署名を検証する方法を実施するコンピュータプログラムサポート保存インストラクションに向けられる。
本発明の望ましい特徴が、以下、付属の図表を参照して限定しない例によって説明される。
図2及び3において、表わされているブロックは単に機能エンティティであり、それらは物理的に離れているエンティティに必ずしも対応しない。これらの機能エンティティは、ハードウェア、ソフトウェア、又はハードウェアとソフトウェアとの組み合わせとして実施されてもよく;さらに、1つ又はそれ以上の集積回路において実施されてもよい。
上記のように、オンライン/オフライン署名方式は、署名するメッセージの受信の前に実施される(ただし、受信の後にも自然に実施される)オフライン段階及びメッセージmが一度知られると実施されるオンライン段階を有する。メッセージmはより長いメッセージの要約であってもよいことは、当業者にとって当然のことである。
オフライン段階の第1部分はキー生成である。第1に、2つのランダム素数p及びqが生成される;望ましくはp=2p’+1、q=2q’+1であり、p’及びq’は、N=pqがlNの長さを持つという条件を満たすように、等しい長さの素数である。次に、2つのランダム平方剰余g及びxがZ* Nにおいて選択される。最後にランダムlZビット整数に対して、h=g-ZmodNが計算される。
公開キーpkはその結果{g,h,x,N}であり、秘密キーskは{p,q,z}である。
オフライン段階の第2部分は、署名のオフライン部分の計算である。ランダムlKビット整数t及びランダムlEビット素数eが選択される。オフライン署名部分yが、次に、
として計算される。bは、署名方式における所定の0よりも大きい整数である。
ここで、該方式は、署名するためにメッセージmの受信の準備が整う;m∈Mであり、Mはメッセージ空間‐M={0,1}lHを示し、それは範囲[0,2lH−1]における整数のセットとしても見なされる。署名のオンライン部分kは次に
k=t+mz
として計算され、メッセージmの署名σ=(k,y,e)である。
k=t+mz
として計算され、メッセージmの署名σ=(k,y,e)である。
送信前に、署名のオンライン部分kはlKビット整数であることを検証するのが有利である;そうでなければ、他の値に基づいて他の署名を生成することが望ましい。当該方式の利点は、オンライン段階がハッシュ法無しで実施されてもよいことである。
署名σは、次に検証のために返される;必要な場合、公開キーもまた供給され、さらに、メッセージmもまた供給される。メッセージmにおける署名σ=(k,y,e)は、以下の場合及びその場合に限り受け入れられる:
1. eは奇数のlEビット整数であり、
2. kはlKビット整数であり、
である。
1. eは奇数のlEビット整数であり、
2. kはlKビット整数であり、
該方式において、パラメータlK、lE、lZ、lN及びlH(後者は入力メッセージmの最大長をビットで示す)は、以下の関係を所定の値bに対して満たすべきである:
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH
注目すべきは、値bも可変であり、この場合、それは公開キーpkの一部分であり得るか、又は署名σに含まれ得る。
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH
注目すべきは、値bも可変であり、この場合、それは公開キーpkの一部分であり得るか、又は署名σに含まれ得る。
上記の関係は、ランダムで選択されず、当業者の理解できる範囲内での単なる作業の改良形でもない。なぜならば、当業者がこれらの特定の関係を考え出す理由が無いからである。結局は、TYS方式に関して示されているように、署名方式は微妙であり、それらの改良は簡単に取り組むべきではない。これらの関係は、該方式のセキュリティの証明を可能にし、本発明の発明性の重要な部分であると考えてよい。
模範とともに、典型的な値lH=160、lN=1024、lZ=160、lK=380、lE=128、及びb=3であり、1024ビットRSA係数に対して1532ビットのみの署名を与える。
図1は、メッセージmの電子署名を生成する方法及びその電子署名を検証する方法を、本発明の望ましい実施形態に従って説明する。フローチャートは、上記の手順を説明する。ステップ110において、公開キーpk及び秘密キーskが生成される。次に、電子署名のオフライン部分yがステップ120において生成される。一度メッセージmがステップ130において受信されると、ステップ140においてオンライン部分kが計算され、完成した電子署名σを生成するために使用される。その電子署名σ及び公開キーは、ステップ150において送信され、電子署名σはステップ160において検証される。
図2は、本発明の望ましい実施形態に従って少なくとも1つの電子署名を生成するためのユニット210を説明する。電子署名ユニット210は、署名するべきメッセージmを受信するように適合された入力ユニット230及び電子署名σを送信するように適合された出力ユニット240を含む。その出力ユニット240は、署名に対して使用された公開キーpkを送信するのに適合されている。出力ユニット240もまた、メッセージmを対応する電子署名σ(及び場合によっては公開キーpk)と一緒に又はそれとは別に送信するように適合されていてもよい。当然のことながら、入力ユニット230及び出力ユニット240は、入力/出力ユニット(非表示)として組み合わされてもよい。
電子署名ユニット210は、受信されたメッセージmに対する電子署名を生成するための計算を実施するように適合された少なくとも1つのプロセッサ220(以下、「プロセッサ」)をさらに含む。そのデジタル保存ユニットは、また、計算に必要なデータを保存するように適合されたメモリ250も含む。
当然のことながら、当業者、電子署名装置210が多数のいわゆるクーポン(すなわち、あらかじめ計算されたオフライン署名部分)を保存することが可能である。そのようなクーポンは、例えば製造中など、電子署名ユニット210の外部のソースによって供給されてもよく、その場合、入力ユニット230(又は他の適切なユニット;非表示)がそのようなクーポンを受信するように適合されていることがさらに分かるであろう。
当業者は、電子署名ユニット210が署名するメッセージmを生成することも可能であることを理解するであろう。この場合、出力ユニット240は、有利にも、メッセージmを送信するようにさらに適合されている。
図2は、また、上記に記載されたように、プロセッサ220において実行される場合、模範的なCD-ROMなどの、メッセージmを署名する方法を実施するインストラクションを保存するコンピュータプログラムサポート260を説明する。
図3は、本発明の望ましい実施形態に従って、メッセージmの電子署名を検証するためのユニット310を説明する。その検証ユニット310は、電子署名σを受信するように適合された入力330及び必要な場合、その署名に使用される公開キーpkを含む。当然のことながら、検証ユニット310は、電子署名ユニットに対応する多数の公開キーを有してもよい。検証ユニット310は、さらに、電子署名σが正確であるか否かの情報を出力するように適合されている。検証ユニット310は、また、署名されるべきメッセージmを送信するためのユニット(出力ユニット340に含まれてもよい)も含んでよい。入力ユニット330は、また、メッセージmを、対応する電子署名σ(及び場合によっては公開キーpk)とともに又はそれとは別に受信するように適合されていてもよい。
検証ユニット310は、さらに、電子署名σを検証するのに必要な計算を実施するように適合された少なくとも1つのプロセッサ320(以下、「プロセッサ」)、及びメッセージm、特にメッセージm自体を検証するために必要なデータを保存するように適合されたメモリ350を含む。
図3は、また、上記に記載されたように、プロセッサ320において実行される場合、模範的なCD-ROMなどの、メッセージmを署名する方法を実施するインストラクションを保存するコンピュータプログラムサポート360を説明する。
当該記載において開示される各特徴及び(適切な箇所において)請求項及び図表は、独立して又は適切な如何なる組み合わせにおいて提供されてもよい。ハードウェアにおいて実施されるとして記載された特徴は、ソフトウェアにおいても実施されてもよく、またその逆の場合でもよい。接続は、該当する場合、無線接続又は有線接続として実施されてもよく、必ずしも直接又は専用の接続でなくてもよい。
当然のことながら、当該記載及び請求項において、「ランダム」という用語は、「ランダム又は疑似ランダム」として解釈されるべきである。
請求項において見られる参照符号は、説明だけを目的としており、請求項の範囲に対して限定する効果は有していないものとする。
Claims (15)
- メッセージmに対する署名σを生成する方法であり:
y=(xg-t)1/cmodNを満たす3つの整数y、e及びtを取得ステップであり、cはeに依存し、x、g及びNは公開キーの要素であり、x及びgはZ* Nの平方剰余であり、NはlNビット整数である、ステップ;
署名σの第1部分kを計算するステップであり、kの計算は、m及びlZビット整数zの整数乗算及びtの加算を含む、ステップ;及び
前記署名σを出力するステップであり、該署名σは少なくとも3つの値、k、y及びeを有する、ステップ;
を含み、
k、e、z、N及び前記公開キーの整数要素であるhの長さが、それぞれlK、lE、lZ、lN、及びlHとして示された、所定の値bに対する、cとeとの間の関係を示す以下の関係:
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH
を満たす、方法。 - eが素数であり、cはeの正の整数b乗に等しい、請求項1に記載の方法。
- Nは、少なくとも2つの素数p及びqを含むRSA係数である、請求項1又は2に記載の方法。
- p=2p’+1及びq=2q’+1であり、p’及びq’は素数である、請求項3に記載の方法。
- 3つの値y、e及びtを取得するステップは:
素数e及び整数tを生成するステップ;及び
y=(xg-t)1/cmodNを計算するステップ;
を含む請求項1乃至4のいずれか1項に記載の方法。 - 前記3つの値y、e及びtは、メモリに保存されたクーポンから取得される、請求項1に記載の方法。
- 前記取得するステップと前記計算するステップとの間に、前記メッセージmを受信するステップをさらに含む、請求項1乃至6のいずれか1項に記載の方法。
- 前記出力するステップが、前記メッセージmをさらに出力するステップをさらに含む、請求項1乃至7のいずれか1項に記載の方法。
- メッセージmに対する署名σの検証方法であり、該署名は請求項1乃至8のいずれか1項に記載の方法によって生成され:
ycgkhm≡x(modN)を検証するステップであり、cはeに依存し、hは前記公開キーの要素である、ステップ;
を含む、検証方法。 - eが奇数であることを検証するステップをさらに含む、請求項9に記載の方法。
- eがlEビット整数でありkはlKビット整数であることを検証するステップをさらに含む、請求項9又は10に記載の方法。
- メッセージmに対する署名σを生成する装置であり:
プロセッサであり:
cがeに依存し、x、g及びNは公開キーの要素であり、x及びgはZ*Nの平方剰余であり、NはlNビット整数であるy=(xg-t)1/cmodNを満たす3つの整数y、e及びtを取得し;
m及びlZビット整数の整数乗算及びtの加算を含む、署名σの第1部分kの計算をするように適合されたプロセッサ;及び
少なくとも2つの値k、y及びeを含む前記署名σを出力するように適合された出力ユニット;
を含む装置であり、
k、e、z、N及び前記公開キーの整数要素であるhの長さは、それぞれlK、lE、lZ、lN、及びlHとして示された、所定の値bに対する、cとeとの間の関係を示す以下の関係:
lN≧2(lE+2);
b(lE−1)≧lK+1;及び
lN−4≧lK≫lZ+lH
を満たす、装置。 - メッセージmに対する署名σを検証する装置であり、該署名は請求項1乃至8のいずれか1項に記載の方法によって生成され:
cがeに依存し、hは前記公開キーの要素であるycgkhm≡x(modN)を検証する:
ように適合されたプロセッサ、を含む装置。 - プロセッサにおいて実行されるとき、請求項1乃至8のいずれか1項に記載のメッセージmに署名する方法を実施するインストラクションを保存するコンピュータプログラムサポート。
- プロセッサにおいて実行されるとき、請求項1乃至8のいずれか1項に記載のメッセージmに署名を検証するインストラクションを保存するコンピュータプログラムサポート。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08305240.7 | 2008-06-09 | ||
| EP08305240A EP2134027A1 (en) | 2008-06-09 | 2008-06-09 | Method and apparatus for generating a signature for a message and method and apparaturs for verifying such a signature |
| PCT/EP2009/056759 WO2010000552A1 (en) | 2008-06-09 | 2009-06-02 | Method and apparatus for generating a signature for a message and method and apparatus for verifying such a signature |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011523093A true JP2011523093A (ja) | 2011-08-04 |
| JP5421361B2 JP5421361B2 (ja) | 2014-02-19 |
Family
ID=40328927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011512103A Expired - Fee Related JP5421361B2 (ja) | 2008-06-09 | 2009-06-02 | メッセージに対する署名を生成する方法及び装置並びにそのような署名を検証する方法及び装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8223963B2 (ja) |
| EP (2) | EP2134027A1 (ja) |
| JP (1) | JP5421361B2 (ja) |
| CN (1) | CN102057620B (ja) |
| BR (1) | BRPI0913132A2 (ja) |
| IL (1) | IL209269A (ja) |
| WO (1) | WO2010000552A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537293B (zh) * | 2010-08-20 | 2018-01-19 | Nxp股份有限公司 | 认证设备和系统 |
| CN107171788B (zh) * | 2017-04-08 | 2020-06-30 | 西安邮电大学 | 一种基于身份且签名长度恒定的在线离线聚合签名方法 |
| CN107171807B (zh) * | 2017-05-31 | 2020-03-20 | 重庆大学 | 一种基于椭圆曲线的签名认证方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6976169B1 (en) * | 2000-09-05 | 2005-12-13 | Nippon Telegraph And Telephone Corporation | Undeniable digital signature scheme based on quadratic field |
| FR2828780B1 (fr) * | 2001-08-20 | 2004-01-16 | France Telecom | Procede de realisation d'une unite cryptographique pour un systeme de cryptographie asymetrique utilisant une fonction logarithme discret |
-
2008
- 2008-06-09 EP EP08305240A patent/EP2134027A1/en not_active Withdrawn
-
2009
- 2009-06-02 WO PCT/EP2009/056759 patent/WO2010000552A1/en active Application Filing
- 2009-06-02 BR BRPI0913132A patent/BRPI0913132A2/pt not_active IP Right Cessation
- 2009-06-02 JP JP2011512103A patent/JP5421361B2/ja not_active Expired - Fee Related
- 2009-06-02 US US12/737,073 patent/US8223963B2/en not_active Expired - Fee Related
- 2009-06-02 CN CN2009801213888A patent/CN102057620B/zh not_active Expired - Fee Related
- 2009-06-02 EP EP09772252.4A patent/EP2294753B1/en not_active Not-in-force
-
2010
- 2010-11-11 IL IL209269A patent/IL209269A/en not_active IP Right Cessation
Non-Patent Citations (5)
| Title |
|---|
| JPN6013034642; M. Joye et al.: 'On the TYS Signature Scheme' Lecture Notes in Computer Science Vol. 3982, 2006, pp. 338-344, Springer-Verlag * |
| JPN6013034643; C.-H. Tan: 'Signature Scheme in Multi-User Setting' IEICE transactions on fundamentals of electronics, communications and computer sciences Vol. E89-A,No. 5, 20060501, pp. 1339-1345, 電子情報通信学会 * |
| JPN6013034644; A. Naji et al.: 'A Simple Secure Signature Scheme Based on the Strong RSA Assumption without Random Oracle Model' IJCSNS International Journal of Computer Science and Network Security Vol. 7,No. 11, 200711, pp. 159-162 * |
| JPN6013034645; K. Kurosawa et al.: 'New Online/Offline Signature Schemes Without Random Oracles' Proceedings of 9th International Conference on Theory and Practice of Public-Key Cryptography (PKC 2 , 2006, pp. 330-346 * |
| JPN6013034646; X. Chen et al.: 'Efficient Generic On-Line/Off-Line Signatures Without Key Exposure' Lecture Notes in Computer Science Vol. 4521, 2007, pp. 18-30, Springer-Verlag * |
Also Published As
| Publication number | Publication date |
|---|---|
| IL209269A (en) | 2016-07-31 |
| JP5421361B2 (ja) | 2014-02-19 |
| US20110085659A1 (en) | 2011-04-14 |
| CN102057620B (zh) | 2013-10-30 |
| EP2294753A1 (en) | 2011-03-16 |
| EP2294753B1 (en) | 2018-01-24 |
| IL209269A0 (en) | 2011-01-31 |
| WO2010000552A1 (en) | 2010-01-07 |
| BRPI0913132A2 (pt) | 2016-01-05 |
| CN102057620A (zh) | 2011-05-11 |
| EP2134027A1 (en) | 2009-12-16 |
| US8223963B2 (en) | 2012-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326598B2 (en) | Method for generating a message signature from a signature token encrypted by means of a homomorphic encryption function | |
| JP5468157B2 (ja) | 公開鍵を検証可能に生成する方法及び装置 | |
| EP2503728B1 (en) | Incorporating data into public-key reconstruction data of an ecqv implicit certificate | |
| US8745376B2 (en) | Verifying implicit certificates and digital signatures | |
| US8074067B2 (en) | Member certificate acquiring device, member certificate issuing device, group signing device, and group signature verifying device | |
| JP4776906B2 (ja) | 署名生成方法及び情報処理装置 | |
| JP5099003B2 (ja) | グループ署名システムおよび情報処理方法 | |
| EP2846492A1 (en) | Cryptographic group signature methods and devices | |
| JP5421361B2 (ja) | メッセージに対する署名を生成する方法及び装置並びにそのような署名を検証する方法及び装置 | |
| US20080072055A1 (en) | Digital signature scheme based on the division algorithm and the discrete logarithm problem | |
| JP4848957B2 (ja) | 署名および検証方法ならびに署名および検証装置 | |
| JP5314449B2 (ja) | 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム | |
| JP6634171B2 (ja) | 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム | |
| JP2009224997A (ja) | 署名システム、署名方法、証明装置、検証装置、証明方法、検証方法、プログラム | |
| JP3484069B2 (ja) | 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体 | |
| WO2011033642A1 (ja) | 署名生成装置及び署名検証装置 | |
| JP5912281B2 (ja) | 復号結果検証装置、方法、システム及びプログラム | |
| WO2012176408A1 (ja) | 署名検証方法、署名検証システム及び署名検証プログラム | |
| JP2003218858A (ja) | 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体 | |
| Liu et al. | Efficient ID-based signature without trusted PKG | |
| Jianhong et al. | Comment on a digital signature scheme with using self-certified public keys | |
| Xie et al. | Self‐certified proxy convertible authenticated encryption: formal definitions and a provably secure scheme | |
| Kim et al. | An efficient POP protocol based on the signcryption scheme for the WAP PKI | |
| JP2010044262A (ja) | 鍵生成装置及びプログラム | |
| JP2004126514A (ja) | 公開鍵暗号通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101210 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120508 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130716 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131015 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131112 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131121 |
|
| LAPS | Cancellation because of no payment of annual fees |