JP2012103655A - 耐量子コンピュータ性をもつディジタル署名方式 - Google Patents

耐量子コンピュータ性をもつディジタル署名方式 Download PDF

Info

Publication number
JP2012103655A
JP2012103655A JP2010268806A JP2010268806A JP2012103655A JP 2012103655 A JP2012103655 A JP 2012103655A JP 2010268806 A JP2010268806 A JP 2010268806A JP 2010268806 A JP2010268806 A JP 2010268806A JP 2012103655 A JP2012103655 A JP 2012103655A
Authority
JP
Japan
Prior art keywords
user
signature
digital signature
je0e1e2e3
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010268806A
Other languages
English (en)
Inventor
Masahiro Yagisawa
正博 八木澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2010268806A priority Critical patent/JP2012103655A/ja
Publication of JP2012103655A publication Critical patent/JP2012103655A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】従来の方式は、耐量子コンピュータ性がなく、量子コンピュータが出現すると多項式時間で解読されてしまうと予想されている。この発明の目的は、安全性をNP完全問題の1つである高次多変数連立代数方程式の解法に依存する方式を採用することにより、耐量子コンピュータ性を持つディジタル署名方式を提案することにある。
【解決手段】有限体Fq上のm個の任意の要素k(i=1,..,m)と、Fq上の四元数環H上の互いに非可換となるm個の要素A(i=1,..,m)を係数とする四元数環上の暗号化関数F(X)を利用者A(署名者)の公開鍵として、利用者A(署名者)が署名作成時毎に作成する補助暗号化関数T(X)と暗号化関数F(X)とメッセージEを用いて、ディジタル署名Sを生成し、利用者B(検証者)にSとEを送信し、利用者B(検証者)は受信したSとEと公開鍵F(X)と公開情報q,d,r,mを用いてSが利用者Aの署名であることを検証する。
【選択図】図1

Description

この発明は電子文書の正当性を確認するディジタル署名方式に関し、特に安全性が高く、耐量子コンピュータ性をもつディジタル署名方式に関するものである。
「ディジタル署名」とは,送られてきたデータの送信元が間違いないか,伝送経路上でデータが改ざんされていないかを確認するための技術である。従来提案されているディジタル署名方式の代表例として岡本方式やFiat−Shamir方式(Fiat,A.and Shamir,A:“How to prove yourself:practical solutions to identification and signature problems”,Proceedings of Crypto86,Santa Barbara,August1986,pp.18−1−18−7)がある。
岡本方式の署名方式は、以下の通りである。署名者Aは素数p,q(qはp−1の因数の1つ)と乱数r(2以上p−1以下)とからrmod pを計算し、1となるqを2つ見つけてg,gとし、これらと乱数s1,s2とからv=g −s1・g −s2mod pを計算し、p,q,g,g,t,v(tは安全性の度合いを示すパラメータ)を公開し、s1,s2を自分の秘密鍵とする。Aは文書Mに対する署名を行うには、乱数r1,r2を発生し、x=g r1・g r2mod pを計算し、ハッシュ関数演算器でe=h(x,M)を計算し、秘密鍵s1,s2を用い、y1=r1+e・s1modq、y2=r2+e・s2mod qを計算し、署名(e,y1,y2)とMを検証者Bへ送る。Bはw=g y1・g y2・vmod pを計算し、w=xかを判定し、成立すれば合格とする。
特許公開平6−59626 ディジタル署名方式 日本電信電話株式会社 岡本 龍明 特許出願平4−215809
Fiat−Shamir方式の安全性は、法の合成数の素因数分解の困難さに依存する。岡本方式の安全性は、法の合成数の素因数分解の困難さに依存すること、及び乗法群上の離散対数問題の計算量上の困難さに依存することであり、量子コンピュータが出現するといずれの問題も多項式時間で解読可能と予想されている。
このように岡本方式やFiat−Shamir方式は、耐量子コンピュータ性がなく、量子コンピュータが出現すると多項式時間で解読されてしまうと予想されている。この発明の目的は、安全性をNP完全問題の1つである高次多変数連立代数方程式の解法に依存する方式を採用することにより、耐量子コンピュータ性を持つディジタル署名方式を提案することにある。
信頼のおける第3者機関であるシステムセンタは3以上の素数qおよび3つの整数d,r,mを選び公開する。利用者A(署名者)は、システム加入時に、秘密鍵[k,A(i=1,..,m)]を選ぶ。ここで、k(i=1,..,m)を有限体Fq上のm個の任意の要素として、A(i=1,..,m)をFq上の四元数環H上の互いに非可換となるm個の要素とする。1つの要素AiはFq上の4つの要素から成り立っている四元数である。利用者Aは公開されている4つのシステムパラメータ[q,d,r,m]と秘密鍵[k,A(i=1,..,m)]から、公開鍵である四元数環上の暗号化関数F(X)を以下のように生成する。
Figure 2012103655
利用者AはF(X)を展開して、展開式の係数fje0e1e2e3を求め、その集合{fje0e1e2e3}を利用者Aの公開鍵として、利用者Aの識別情報IDと対にしてシステムセンタに送る(図2)。fje0e1e2e3は以下のような形をしている。四元数F(X)の要素表現形式を(f,f,f,f)とすると、
Figure 2012103655
ここで、1+r+…+r=sとして、
,e1,,eは非負の整数でe+e+e+e=sを満足する。上記fを与える式の右辺の項数nは、
n=3+s=(s+3)(s+2)(s+1)/6
となる。
利用者Aが利用者Bに署名Sを以下のように送る。
利用者Aは、すべてのA(i=1,..,m)と非可換な四元数環Hの任意の要素Rを選ぶ。
利用者Aは、送信するメッセージE=(E,E,E,E)∈Hから、g=E+E+E+Eを生成する。
利用者Aは自分の秘密鍵[k,A(i=1,..,m)]と選んだ要素Rを用いて、Fq上の四元数環上の補助暗号化関数T(X)を以下のように生成する。
Figure 2012103655
利用者AはT(X)を展開して、展開式の係数tje0e1e2e3を求め、その集合{tje0e1e2e3}を求める。
je0e1e2e3は以下のような形をしている。
四元数T(X)の要素表現形式を(t,t,t,t)とすると
Figure 2012103655
ここで、e,e1,,eは非負の整数でe+e+e+e=sを満足する。上記tを与える式の右辺の項数nは、
n=3+s=(s+3)(s+2)(s+1)/6
となる。
利用者AはメッセージEと署名S=[{tje0e1e2e3},R]を利用者Bに送る(図3の上段)。
利用者Bはシステムセンタの公開鍵管理簿から入手した利用者Aの公開鍵{fje0e1e2e3}と利用者Aから送られてきたメッセージEと署名Sから以下の手順で検証する。
まず、メッセージE=(E,E,E,E)∈Hから、g=E+E+E+Eを生成する。
次に、利用者BはF(RE)≠T(RE)であることを確認する。
利用者Bは{fje0e1e2e3}からF(RE)の要素表現形式(f’,f’,f’,f’)を求める。
E=(b,b,b,b)とおくと、
Figure 2012103655
Figure 2012103655
ここで、e,e1,,eは非負の整数でe+e+e+e=sを満足する。上記f’を与える式の右辺の項数nは、
n=3+s=(s+3)(s+2)(s+1)/6
となる。
同様にして、利用者Bは{tje0e1e2e3}からT(RE)の要素表現形式(t’,t’,t’,t’)を求める。
RE=(c,c,c,c)とおくと
Figure 2012103655
ここで、e,e1,,eは非負の整数でe+e+e+e=sを満足する。上記t’を与える式の右辺の項数nは、
n=3+s=(s+3)(s+2)(s+1)/6
となる。
利用者Bは
T(RE)=(t’,t’,t’,t’)≠(f’,f’,f’,f’)=F(RE)
を確認する。等しければ送られてきたSは利用者Aの署名でないと判定する(図3下段)。
利用者Bは、任意の整数pを選び、以下のように
F(Rg+p)=T(Rp+1
を確認する。
利用者Bは{fje0e1e2e3}からF(Rg+p)の要素表現形式(f’’,f’’,f’’,f’’)を求める。
g+p=(b,b,b,b)とおいて、
Figure 2012103655
Figure 2012103655
ここで、e,e1,,eは非負の整数でe+e+e+e=sを満足する。上記f”を与える式の右辺の項数nは、
n=3+s=(s+3)(s+2)(s+1)/6
となる。
同様にして、利用者BはT(Rp+1)の要素表現形式(t’’,t’’,t’’,t’’)を求める。
p+1=(c,c,c,c)とおくと、
Figure 2012103655
ここで、e,e1,,eは非負の整数でe+e+e+e=sを満足する。上記t”を与える式の右辺の項数nは、
n=3+s=(s+3)(s+2)(s+1)/6
となる。
利用者Bは
F(Rp+g)=(t’’,t’’,t’’,t’’)=(f’’,f’’,f’’,f’’)=T(Rp+1
を確認する。その結果が一致するかどうかを検証し、その検証に合格すればSは利用者Aの正当な署名文書と判定することにより署名文書の正当性を確認する(図4)。
[0010]で公開される集合{fje0e1e2e3}の値から秘密鍵[k,A(i=1,..,m)]を求めることが高次元多変数連立代数方程式の解法に帰結される。この解法問題はNP完全問題の一つである。
ところで、岡本方式の安全性は、法の合成数の素因数分解の困難さや素数を法とする離散対数問題の困難さに依存する。
一方、本発明方式の安全性は、有限体Fq上の高次多変数連立代数方程式の解法の困難さに依存する。次数を大きくし、変数の数を多くすることにより、耐量子コンピュータ性をもつディジタル署名方式である。
岡本方式やFiat−Shamir方式の安全性は、法の合成数の素因数分解の困難さや素数を法とする離散対数問題の困難さに依存するので、量子コンピュータが出現すると、多項式時間で解読可能となる恐れがある。
一方、本発明においては、有限体Fq上の高次多変数連立代数方程式の解法の困難さに依存するディジタル署名方式が、高次多変数連立代数方程式の解法がNP完全問題の1つとなるので、量子コンピュータに耐えうるディジタル署名方式を提供できる。
従ってこの発明によれば安全性を高く保持するものとなる。
なお、本発明は、上記において説明した実施形態に限定されるものではなく、その主旨を逸脱しない範囲において種々変更可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
本発明の一実施の形態による署名方式のブロック図である。 同実施の形態による署名方式における利用者Aの署名処理手順のブロック図である。 同実施の形態による署名方式における利用者Bの検証処理手順1のブロック図である。 同実施の形態による署名方式における利用者Bの検証処理手順2のブロック図である。
100…システムセンタ装置
200…利用者A(署名者)端末
300…利用者B(検証者)端末
400…安全でない通信路
110…システムセンタ公開鍵管理簿
201、202,206、303…乱数発生器
203…記憶装置
204…公開鍵生成装器
205…署名生成器
301,304,305…検証器
302,306…比較器
請求項1の発明の一実施例について説明する。
図1にこの発明の全体構成を示す。ディジタル署名を作成する利用者A(署名者)装置200と、署名を検証する利用者B(検証者)装置300とが安全でない通信路400を介して結合されているとする。
まず、システムに加入した利用者Aは、システム加入時に、システムセンタ100からシステムパラメータq,d,r,mを入手して、署名者装置200にて基本的に一度だけ行う初期情報設定段階において、図2に示す乱数発生器201,202を用いて、秘密鍵[ki,Ai(i=1,..,m)]と、公開鍵生成器204を用いて公開鍵{fje0e1e2e3}を生成し、秘密鍵[ki,Ai(i=1,..,m)]と公開鍵{fje0e1e2e3}を記憶装置203に入力し、公開鍵{fje0e1e2e3}を利用者Aの識別情報IDと対にして、システムセンタ100の公開鍵管理簿110に登録する。
次に、利用者Aが文書Eに対するディジタル署名を作成する手順について説明する。署名作成者である利用者Aは、署名者装置200で署名作成を行う。図3にその処理手順を示す。
利用者Aは乱数発生器206を用いて四元数である乱数Rを生成し、記憶装置203に入力し、当該文書E,当該乱数Rを入力として署名生成器205を用いて{tje0e1e2e3}を計算し、[{tje0e1e2e3},R]を文書Eに対するディジタル署名Sとして、SとEを記憶装置203に入力し、検証者である利用者BにSとEを送信する。
次に、検証者である利用者Bが検証者装置300を用いて、署名作成者である利用者Aの署名者装置200から送信された文書Eと当該文書Eに対するディジタル署名[{tje0e1e2e3},R]を検証する手順について説明する。図3,図4に署名検証手順を示す。
まず、T(RE)≠F(RE)を確認する。検証者である利用者Bは検証器301を用いて、受信した四元数である文書Eから、その4つの要素の和gを計算し、システムセンタの公開鍵管理簿から入手した利用者Aの公開鍵{fje0e1e2e3}と受信したRとEと計算したgからREを計算して、F(RE)=(f’,f’,f’,f’)を生成して、比較器302に入力する。一方、検証器301を用いて、受信したR,EからREを計算し、受信した{tje0e1e2e3}とREからT(RE)=(t’,t’,t’,t’)を生成して、比較器302に入力する。比較器302を用いて、(f’,f’,f’,f’)と(t’,t’,t’,t’)が等しいか異なるかを検証する。利用者Bは等しいときはSは利用者Aの署名ではないと出力する。異なるときは検証器304を用いて、図4に示すように検証する。
検証者である利用者Bは乱数発生器303を用いて、整数である乱数pを生成し、検証器304に入力する。
検証者である利用者Bは検証器304にてRg+pを計算し、Rg+pと公開鍵管理簿から入手した利用者Aの公開鍵{fje0e1e2e3}からF(Rg+p)=(f’’,f’’,f’’,f’’)を計算し比較器306に入力する。
検証者である利用者Bは検証器305にてRp+1を計算し、Rp+1と受信した{tje0e1e2e3}からT(Rp+1)=(t’’,t’’,t’’,t’’)を計算し比較器306に入力する。
検証者である利用者Bは比較器306を用いて、(f’’,f’’,f’’,f’’)と(t’’,t’’,t’’,t’’)が等しいか異なるかを検証する。等しいときはSは利用者Aの署名であると出力する。異なるときはSは利用者Aの署名ではないと出力する。
なお、本発明は、上記において説明した実施形態に限定されるものではなく、その主旨を逸脱しない範囲において種々変更可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
この発明は電子文書の正当性を確認するディジタル署名方式に関し、特に安全性が高く、耐量子コンピュータ性をもつディジタル署名方式を提案するものである。

Claims (1)

  1. 電子的に作成したディジタル文書の正当性及び承認者を確認するためのディジタル署名を実現する方式であって、システム加入時に利用者A(署名者)は、秘密鍵[ki,Ai(i=1,…,m)]を生成し、その秘密鍵より、公開情報である整数q,d,r,mを用いて、公開鍵{fje0e1e2e3}を生成し、上記署名者の識別情報IDと上記公開鍵{fje0e1e2e3}を対としてシステムセンタの公開鍵管理簿に登録し、署名作成処理段階において、文書Eに対して署名を作成したい利用者A(署名者)は、乱数Rを生成し、それと上記q,d,r,mとEより、{tje0e1e2e3}を生成し、上記[{tje0e1e2e3},R]の組を上記文書Eに対する署名Sとして、文書EをSと共に利用者B(検証者)に送信し、上記署名Sと文書Eを受信した利用者B(検証者)は、上記利用者A(署名者)の識別情報IDに基づき上記システムセンタの公開鍵管理簿より上記公開情報q,d,r,m及び上記公開鍵{fje0e1e2e3}を検索し、これらq,d,r,m,{fje0e1e2e3}と上記受信したSとEより、暗号化関数F(X)にREを入力して求めた(f’,f’,f’,f’)と補助暗号化関数T(X)にREを入力して求めた(t’,t’,t’,t’)が等しくないことを検証し、暗号化関数F(X)にRg+pを入力して求めた(f’’,f’’,f’’,f’’)と補助暗号化関数T(X)にRp+1を入力して求めた(t’’,t’’,t’’,t’’)が等しいことを検証し,合格すれば正当な署名文書と判定することにより署名文書の正当性を確認することを特徴とするディジタル署名方式。
JP2010268806A 2010-11-13 2010-11-13 耐量子コンピュータ性をもつディジタル署名方式 Pending JP2012103655A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010268806A JP2012103655A (ja) 2010-11-13 2010-11-13 耐量子コンピュータ性をもつディジタル署名方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010268806A JP2012103655A (ja) 2010-11-13 2010-11-13 耐量子コンピュータ性をもつディジタル署名方式

Publications (1)

Publication Number Publication Date
JP2012103655A true JP2012103655A (ja) 2012-05-31

Family

ID=46394071

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010268806A Pending JP2012103655A (ja) 2010-11-13 2010-11-13 耐量子コンピュータ性をもつディジタル署名方式

Country Status (1)

Country Link
JP (1) JP2012103655A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099671A (zh) * 2015-08-20 2015-11-25 赵运磊 一种身份隐藏且非延展安全的认证密钥协商方法
CN105306212A (zh) * 2015-08-31 2016-02-03 赵运磊 一种身份隐藏且强安全的签密方法
CN110912695A (zh) * 2019-12-05 2020-03-24 成都信息工程大学 一种基于六粒子隐形传态的量子仲裁签名方法及系统
CN112769572A (zh) * 2020-12-25 2021-05-07 杭州海兴电力科技股份有限公司 一种基于hmac算法的电能表加密通讯方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099671A (zh) * 2015-08-20 2015-11-25 赵运磊 一种身份隐藏且非延展安全的认证密钥协商方法
CN105099671B (zh) * 2015-08-20 2019-03-15 赵运磊 一种身份隐藏且非延展安全的认证密钥协商方法
CN105306212A (zh) * 2015-08-31 2016-02-03 赵运磊 一种身份隐藏且强安全的签密方法
CN105306212B (zh) * 2015-08-31 2019-09-10 上海扈民区块链科技有限公司 一种身份隐藏且强安全的签密方法
CN110912695A (zh) * 2019-12-05 2020-03-24 成都信息工程大学 一种基于六粒子隐形传态的量子仲裁签名方法及系统
CN110912695B (zh) * 2019-12-05 2020-08-04 成都信息工程大学 一种基于六粒子隐形传态的量子仲裁签名方法及系统
CN112769572A (zh) * 2020-12-25 2021-05-07 杭州海兴电力科技股份有限公司 一种基于hmac算法的电能表加密通讯方法

Similar Documents

Publication Publication Date Title
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
US7814326B2 (en) Signature schemes using bilinear mappings
CN108667626A (zh) 安全的两方协作sm2签名方法
KR101425552B1 (ko) 제어가능 연결성을 제공하는 그룹서명 시스템 및 방법
US20060083370A1 (en) RSA with personalized secret
CN106936584B (zh) 一种无证书公钥密码系统的构造方法
US20080013721A1 (en) Asymmetric cryptography with discretionary private key
JP2013539295A (ja) メッセージ復元を伴うデジタル署名の認証された暗号化
EP3496331A1 (en) Two-party signature device and method
EP2686978B1 (en) Keyed pv signatures
TW202318833A (zh) 臨界簽章方案
JP2012103655A (ja) 耐量子コンピュータ性をもつディジタル署名方式
Shankar et al. Improved Multisignature Scheme for Authenticity of Digital Document in Digital Forensics Using Edward‐Curve Digital Signature Algorithm
Sahu et al. Identity‐based multi‐proxy multi‐signature scheme provably secure in random oracle model
KR20230002941A (ko) 비밀 공유를 갖는 (ec)dsa 임계값 서명
CN116318726A (zh) 一种条件可追踪环签名方法、系统、电子装置和存储介质
Chiou et al. Design and implementation of a mobile voting system using a novel oblivious and proxy signature
CN118160273A (zh) 生成共享密钥
Lin et al. F2P‐ABS: A Fast and Secure Attribute‐Based Signature for Mobile Platforms
Wu et al. A publicly verifiable PCAE scheme for confidential applications with proxy delegation
WO2009090519A1 (en) Efficient reconstruction of a public key from an implicit certificate
KR100718687B1 (ko) 겹선형 쌍 함수를 이용한 아이디 기반의 문턱 서명 방법
Wang Signer‐admissible strong designated verifier signature from bilinear pairings
Bashir Analysis and Improvement of Some Signcryption Schemes Based on Elliptic Curve
EP1924022A2 (en) Signature schemes using bilinear mappings