JP2013172178A - 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法、装置とプログラム - Google Patents
署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法、装置とプログラム Download PDFInfo
- Publication number
- JP2013172178A JP2013172178A JP2012032945A JP2012032945A JP2013172178A JP 2013172178 A JP2013172178 A JP 2013172178A JP 2012032945 A JP2012032945 A JP 2012032945A JP 2012032945 A JP2012032945 A JP 2012032945A JP 2013172178 A JP2013172178 A JP 2013172178A
- Authority
- JP
- Japan
- Prior art keywords
- pke
- key
- enc
- signature
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】標準的な暗号学仮定に基づき且つ検証鍵のサイズがセキュリティパラメータのサイズに依存しない、難読化された署名鍵を用いた暗号化署名技術を提供する。
【解決手段】Waters09署名を利用し、さらに、暗号化方式の加法準同型性を冪乗演算にも活用することによって複雑な署名構造についても難読化できるようにしている。さらに検証可能暗号化署名については、検証可能暗号化署名の内部で利用する暗号化方式と検証可能暗号化署名そのものを暗号化するための暗号方式を別の方式にし、且つ組み合わせることができるような方式を利用している。
【選択図】図2
【解決手段】Waters09署名を利用し、さらに、暗号化方式の加法準同型性を冪乗演算にも活用することによって複雑な署名構造についても難読化できるようにしている。さらに検証可能暗号化署名については、検証可能暗号化署名の内部で利用する暗号化方式と検証可能暗号化署名そのものを暗号化するための暗号方式を別の方式にし、且つ組み合わせることができるような方式を利用している。
【選択図】図2
Description
本発明は、署名の難読化技術と、難読化された署名鍵を用いた暗号化署名技術に関する。
暗号化署名の難読化について、Hadaによる方式が存在する(非特許文献1参照)。これは標準モデルにおいて標準的暗号学仮定に基づき安全性が証明できる方式であるが、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまうという欠点がある。
暗号化検証可能暗号化署名の難読化について、Chengらによる方式が存在する(非特許文献2参照)。これはランダムオラクルモデル(ROM)の下で安全性が証明される非対話ゼロ知識証明を利用しており、モデルが現実的でない。さらに暗号学仮定が非標準的な仮定(exponent 3-weak DH仮定)であり、安全性に信頼がおけない。また検証鍵のサイズもセキュリティパラメータに比例して大きくなるという欠点がある・
なお、安全性が証明可能な難読化技術は非常に困難であり、実現例は数少ない(非特許文献3)。
なお、標準モデルやランダムオラクルモデル、暗号の安全性などについては、例えば非特許文献4が参考になる。
S. Hada. Secure Obfuscation for Encrypted Signatures. In EUROCRYPT, volume 6110 of Lecture Notes in Computer Science, pages 92-112. Springer, 2010.
R. Cheng, B. Zhang, and F. Zhang. Secure Obfuscation of Encrypted Verifiable Encrypted Signatures. In ProvSec, volume 6980 of Lecture Notes in Computer Science, pages 188-203. Springer, 2011.
B. Barak, O. Goldreich, R. Impagliazzo, S. Rudich, A. Sahai, S. Vadhan, and K. Yang. On the (Im)possibility of Obfuscating Programs. In CRYPTO’01, volume 2139 of LNCS, 2001.
森山大輔、西巻陵、岡本龍明共著、「公開鍵暗号の数理−シリーズ応用数理第2巻−」、初版、共立出版株式会社、2011年3月、pp.23-31, pp.94-95. ISBN:978-4-320-01951-5.
前述のように、既存の暗号化署名および暗号化検証可能暗号化署名の難読化についてはいくつか問題がある。
暗号化署名の難読化について:既存方式は、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまう。
暗号化検証可能暗号化署名について:既存方式は、ランダムオラクルモデルという非現実的モデルおよび非標準的な暗号学仮定に依存し、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまう。
暗号化署名の難読化について:既存方式は、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまう。
暗号化検証可能暗号化署名について:既存方式は、ランダムオラクルモデルという非現実的モデルおよび非標準的な暗号学仮定に依存し、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまう。
そこで本発明は、標準的な暗号学仮定に基づき且つ検証鍵のサイズがセキュリティパラメータのサイズに依存しない、署名難読化技術と、難読化された署名鍵を用いた暗号化署名技術を提供することを目的とする。
本発明の暗号化署名技術は、次のとおりである。pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとする。送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する[鍵生成処理]。また、受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする[鍵生成処理]。そして、署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(η,ψ ←U Zp)と表すこととして、
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する[暗号化署名鍵生成処理]。そして、暗号化署名生成装置の暗号化署名生成部が、(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3 ←REnc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3') ←R ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5 ←R Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6 ←R Enc(pke,σ6)
7.σ7:=gr1, Cσ7←R Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8 ←R Enc(pke,σ8)
9.Cσ9 ←R Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する[暗号化署名生成処理]。そして、受信装置の復号部が、暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する[復号処理]。
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する[暗号化署名鍵生成処理]。そして、暗号化署名生成装置の暗号化署名生成部が、(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3 ←REnc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3') ←R ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5 ←R Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6 ←R Enc(pke,σ6)
7.σ7:=gr1, Cσ7←R Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8 ←R Enc(pke,σ8)
9.Cσ9 ←R Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する[暗号化署名生成処理]。そして、受信装置の復号部が、暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する[復号処理]。
あるいは、本発明の暗号化署名技術は、次のとおりである。調停装置の調停者鍵生成部が、Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する[調停者鍵生成処理]。そして、送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する[鍵生成処理]。また、受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする[鍵生成処理]。そして、検証可能暗号化署名鍵難読化装置の暗号化署名鍵生成部は、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(η,ψ ←U Zp)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する[暗号化署名鍵生成処理]。そして、暗号化検証可能暗号化署名生成装置の暗号化検証可能暗号化署名生成部が、(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(c1,1,c1,2,K1)), C1' ←R Enc(pke,K1'), C1^ ←R Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(c2,1,c2,2,K2)), C2' ←R Enc(pke,K2'), C2^ ←R Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3 ←R Enc(pke,σ3), C3' ←R Enc(pke,K3'), C3^ ←R Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3') ←R ReRand (pke,(c4,1,c4,2,K4)), C4' ←R Enc(pke,K4'), C4^ ←R Enc(pke,K4^).
5.K5:=(gb)-z2, C5 ←R Enc(pke,K5)
6.K6:=(gb)r2, C6 ←R Enc(pke,K6)
7.K7:=gr1, C7 ←R Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8 ←R Enc(pke,K8)
9.C9 ←R Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する[暗号化検証可能暗号化署名生成処理]。そして、受信装置の復号部が、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する[復号処理]。
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する[暗号化署名鍵生成処理]。そして、暗号化検証可能暗号化署名生成装置の暗号化検証可能暗号化署名生成部が、(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(c1,1,c1,2,K1)), C1' ←R Enc(pke,K1'), C1^ ←R Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(c2,1,c2,2,K2)), C2' ←R Enc(pke,K2'), C2^ ←R Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3 ←R Enc(pke,σ3), C3' ←R Enc(pke,K3'), C3^ ←R Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3') ←R ReRand (pke,(c4,1,c4,2,K4)), C4' ←R Enc(pke,K4'), C4^ ←R Enc(pke,K4^).
5.K5:=(gb)-z2, C5 ←R Enc(pke,K5)
6.K6:=(gb)r2, C6 ←R Enc(pke,K6)
7.K7:=gr1, C7 ←R Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8 ←R Enc(pke,K8)
9.C9 ←R Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する[暗号化検証可能暗号化署名生成処理]。そして、受信装置の復号部が、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する[復号処理]。
本発明の署名難読化技術は、次のとおりである。pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとする。送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する[鍵生成処理]。また、受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする[鍵生成処理]。そして、署名鍵難読化装置の暗号化署名鍵生成部が、署名鍵SKと公開鍵pke、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(η,ψ ←U Zp)と表すこととして、
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する[暗号化署名鍵生成処理]。
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する[暗号化署名鍵生成処理]。
あるいは、本発明の署名難読化技術は、次のとおりである。調停装置の調停者鍵生成部が、Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する[調停者鍵生成処理]。送信装置の鍵生成部は、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,α選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力し[鍵生成処理]、受信装置の鍵生成部は、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする[鍵生成処理]。そして、検証可能暗号化署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(η,ψ ←U Zp)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する[暗号化署名鍵生成処理]。
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する[暗号化署名鍵生成処理]。
本発明に拠れば、詳細は後述の実施形態に譲るが、安全性が標準的な暗号学的仮定のみに基づており、検証鍵のサイズがセキュリティパラメータのサイズに依存しない、署名難読化技術と、難読化された署名鍵を用いた暗号化署名技術となっている。
本発明の実施形態を説明する前に、いくつかの基本的事項について説明する。
まず、記法について説明する。
或る有限集合Sについて、r ←U S は、集合Sから要素rを一様ランダムに選択することを表す。
或る確率的多項式時間アルゴリズムAについて、a ←R A(x) は、アルゴリズムAはxを入力とし、乱数を用いて動作し、aを出力することを表す。
或る値a,bについて、a:=bは、aにbを代入する、または、aをbで定義することを表す。いずれであるかは文意から明らかであるから特に断らない。
まず、記法について説明する。
或る有限集合Sについて、r ←U S は、集合Sから要素rを一様ランダムに選択することを表す。
或る確率的多項式時間アルゴリズムAについて、a ←R A(x) は、アルゴリズムAはxを入力とし、乱数を用いて動作し、aを出力することを表す。
或る値a,bについて、a:=bは、aにbを代入する、または、aをbで定義することを表す。いずれであるかは文意から明らかであるから特に断らない。
[ペアリング]
双線型性を満たすペアリングと呼ばれる演算は有限体上で定義された楕円曲線上の有理点と無限遠点を元とする群構造として定義される。なお、楕円曲線上の群は通常、加法群であるが、慣習に従い乗法群として記述することにする。詳しくは例えば参考文献1を参照されたい。
(参考文献1)D. Boneh and M. K. Franklin. Identity-Based Encryption from theWeil Pairing. In CRYPTO’01, volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
双線型性を満たすペアリングと呼ばれる演算は有限体上で定義された楕円曲線上の有理点と無限遠点を元とする群構造として定義される。なお、楕円曲線上の群は通常、加法群であるが、慣習に従い乗法群として記述することにする。詳しくは例えば参考文献1を参照されたい。
(参考文献1)D. Boneh and M. K. Franklin. Identity-Based Encryption from theWeil Pairing. In CRYPTO’01, volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
GとGTを位数pの群とする。Zを整数全体を表す集合とする。ここでpは十分に大きい素数である。この二つの群G,GTの間の双線型写像e:G×G→GTは以下の性質を満たす。
双線型性:
任意のg,h∈Gおよび任意のa,b∈Zに対してe(ga,hb)=e(g,h)abが成立する。
非退化性:
e(g,g)≠1を満たすgが存在する。つまり、もしgがGの生成元ならばe(g,g)はGTの生成元である。
計算可能性:
任意のg,h∈Gに対して,e(g,h)は効率的に(つまり多項式時間で)計算可能である。
双線型性:
任意のg,h∈Gおよび任意のa,b∈Zに対してe(ga,hb)=e(g,h)abが成立する。
非退化性:
e(g,g)≠1を満たすgが存在する。つまり、もしgがGの生成元ならばe(g,g)はGTの生成元である。
計算可能性:
任意のg,h∈Gに対して,e(g,h)は効率的に(つまり多項式時間で)計算可能である。
[暗号学的仮定]
素数位数pの巡回群Gを考える。gを群Gの生成元とする。BMSetupを、セキュリティパラメータλを入力として(p,G,GT,e,g)を生成する、双線型写像についての標準的な群生成アルゴリズムとする。
素数位数pの巡回群Gを考える。gを群Gの生成元とする。BMSetupを、セキュリティパラメータλを入力として(p,G,GT,e,g)を生成する、双線型写像についての標準的な群生成アルゴリズムとする。
[判定線形問題]
Zpをpを法とするZの剰余類環として、Arβ DLIN(1λ)を、Γ:=(p,G,GT,e,g) ←R BMsetup(1λ)を生成し、f,h ←U G, x,y ←U Zpを選び、Q0:=gx+y、Q1 ←U Gとして(Γ,f,h,g,fx,hy,Qβ)を出力するアルゴリズムとする。β∈{0,1}である。判定線形問題とは、(Γ,f,h,g,fx,hy,Qβ) ←R Arβ DLIN(1λ)が与えられたときにβ∈{0,1}を予想する問題である。この優位性は式(1)で定義される。
AdvA DLIN(λ)=|Pr[A(I)→1|I←Ar0 DLIN(1λ)]-Pr[A(I)→1|I←Ar1 DLIN(1λ)]| (1)
Zpをpを法とするZの剰余類環として、Arβ DLIN(1λ)を、Γ:=(p,G,GT,e,g) ←R BMsetup(1λ)を生成し、f,h ←U G, x,y ←U Zpを選び、Q0:=gx+y、Q1 ←U Gとして(Γ,f,h,g,fx,hy,Qβ)を出力するアルゴリズムとする。β∈{0,1}である。判定線形問題とは、(Γ,f,h,g,fx,hy,Qβ) ←R Arβ DLIN(1λ)が与えられたときにβ∈{0,1}を予想する問題である。この優位性は式(1)で定義される。
AdvA DLIN(λ)=|Pr[A(I)→1|I←Ar0 DLIN(1λ)]-Pr[A(I)→1|I←Ar1 DLIN(1λ)]| (1)
[判定線形仮定]
判定線形仮定が成立しているとは、判定線形問題が困難である、つまり、どのような攻撃者Aに対しても式(1)で表されるAdvA DLIN(λ)が無視できることをいう。
判定線形仮定が成立しているとは、判定線形問題が困難である、つまり、どのような攻撃者Aに対しても式(1)で表されるAdvA DLIN(λ)が無視できることをいう。
[Waters05署名]
Waters05署名の概要は下記のとおりである(参考文献2)。
鍵生成:
γ:=(q,G,GT,e,g) ←R BMSetup(1λ)、α ←U Zq、 g1:=gα, g2,u', u1, …, un ←U G, U:={ui}i∈[n], pk:=(g1,g2,u',U), sk:=(g2α,u',U)
署名生成:
m:=(m1,…,mn), x ←U Zq, σ:=(σ1,σ2):=(g2α(u'Πi∈Mu2)x,gx)
ただしMはmi=1を満たすiの集合を表す。
検証:
e(σ1,g)=e(g1,g2)e(σ2,u'Πi∈Mui)
(参考文献2)B. Waters. Efficient Identity-Based Encryption Without Random Oracles. In EUROCRYPT’05, volume 3494 of Lecture Notes in Computer Science, pages 114-127. Springer, 2005.
Waters05署名の概要は下記のとおりである(参考文献2)。
鍵生成:
γ:=(q,G,GT,e,g) ←R BMSetup(1λ)、α ←U Zq、 g1:=gα, g2,u', u1, …, un ←U G, U:={ui}i∈[n], pk:=(g1,g2,u',U), sk:=(g2α,u',U)
署名生成:
m:=(m1,…,mn), x ←U Zq, σ:=(σ1,σ2):=(g2α(u'Πi∈Mu2)x,gx)
ただしMはmi=1を満たすiの集合を表す。
検証:
e(σ1,g)=e(g1,g2)e(σ2,u'Πi∈Mui)
(参考文献2)B. Waters. Efficient Identity-Based Encryption Without Random Oracles. In EUROCRYPT’05, volume 3494 of Lecture Notes in Computer Science, pages 114-127. Springer, 2005.
[線型暗号化]
LGen(1λ):
セキュリティパラメータλを入力として、Γ:=(p,G,GT,e,g) ←R BMSetup(1λ)を生成し、a,b ←UZpを選択し、pk:=(f,h):=(ga,gb), dk:=(a,b)を出力する。
LEnc(pk,m):
平文m∈Gと公開鍵pk:=(f,h)を入力として、r,s ←UZp を選択して、暗号文c:=(c1,c2,c3):=(fr,hs,gr+sm)を出力する。
LDec(sk,c):
暗号文c=(c1,c2,c3)と秘密鍵dkを入力として、平文m:=c3/(c11/ac21/b)を出力する。
LGen(1λ):
セキュリティパラメータλを入力として、Γ:=(p,G,GT,e,g) ←R BMSetup(1λ)を生成し、a,b ←UZpを選択し、pk:=(f,h):=(ga,gb), dk:=(a,b)を出力する。
LEnc(pk,m):
平文m∈Gと公開鍵pk:=(f,h)を入力として、r,s ←UZp を選択して、暗号文c:=(c1,c2,c3):=(fr,hs,gr+sm)を出力する。
LDec(sk,c):
暗号文c=(c1,c2,c3)と秘密鍵dkを入力として、平文m:=c3/(c11/ac21/b)を出力する。
次に、本発明が基づくWaters09署名について概説する(参考文献3)。λはセキュリティパラメータを表す。BMSetupは1λを入力とし(p,G,GT,e,g)を出力する標準的なアルゴリズムである。pはλビットの素数、G,GTはそれぞれ素数位数pの巡回乗法群、gは群Gの生成元、eは双線形写像を表す。
(参考文献3)B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions. In CRYPTO’09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer, 2009. full version available from http://eprint.iacr.org/2009/385.
(参考文献3)B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions. In CRYPTO’09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer, 2009. full version available from http://eprint.iacr.org/2009/385.
W.Gen(1λ,Γ):
セキュリティパラメータλを入力とし、Γ:=(p,G,GT,e,g) ←R BMsetup(1λ)を生成し、生成元v,v1,v2,w,u,h ←U Gおよびa1,a2,b,α ←U Zpを選び、τ1:=vv1 a1, τ2:=vv2 a2を計算し、検証鍵VK:=(Γ,gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1 b,τ2 b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する。
セキュリティパラメータλを入力とし、Γ:=(p,G,GT,e,g) ←R BMsetup(1λ)を生成し、生成元v,v1,v2,w,u,h ←U Gおよびa1,a2,b,α ←U Zpを選び、τ1:=vv1 a1, τ2:=vv2 a2を計算し、検証鍵VK:=(Γ,gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1 b,τ2 b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する。
W.Sign(SK,M):
平文M∈Zpと署名鍵SKを入力とし、r1, r2, z1, z2, tagk ←U Zpを選び、r:=r1+r2とし、σ1:=gαa1vr, σ2:=g-αv1rgz1, σ3:=(gb)-z1, σ4:=v2rgz2, σ5:=(gb)-z2, σ6:=(gb)r2, σ7:=gr1, σ8:=(uMwtagkh)r1を計算して、署名sig:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する。
平文M∈Zpと署名鍵SKを入力とし、r1, r2, z1, z2, tagk ←U Zpを選び、r:=r1+r2とし、σ1:=gαa1vr, σ2:=g-αv1rgz1, σ3:=(gb)-z1, σ4:=v2rgz2, σ5:=(gb)-z2, σ6:=(gb)r2, σ7:=gr1, σ8:=(uMwtagkh)r1を計算して、署名sig:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する。
W.Vrfy(VK,sig,M):
検証鍵VK,平文M,署名sigを入力とし、s1,s2,t,tagc ←U Zpを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算する。以下を満たすとき且つそのときに限り検証成功を表す情報(例えば1という値)を出力する。ただし、θ:=1/(tagc-tagk)とする。
tagc-tagk≠0およびe(V1,σ1)・e(V2,σ2)・e(V3,σ3)・e(V4,σ4)・e(V5,σ5)=e(V6,σ6)・e(V7,σ7)・(e(E1,σ7)/e(E2,σ8))θ・(e(g,g)αa1b)s2
検証鍵VK,平文M,署名sigを入力とし、s1,s2,t,tagc ←U Zpを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算する。以下を満たすとき且つそのときに限り検証成功を表す情報(例えば1という値)を出力する。ただし、θ:=1/(tagc-tagk)とする。
tagc-tagk≠0およびe(V1,σ1)・e(V2,σ2)・e(V3,σ3)・e(V4,σ4)・e(V5,σ5)=e(V6,σ6)・e(V7,σ7)・(e(E1,σ7)/e(E2,σ8))θ・(e(g,g)αa1b)s2
本発明は、既存技術と異なりWaters09署名を利用する(既存技術はWaters05署名を利用している)。Waters09署名を利用して暗号化署名および暗号化検証可能暗号化署名を実現できるかは自明ではない。なぜならWaters09署名はWaters05署名と比べ、署名鍵、署名の要素が増加し、署名生成方法が大きく異なり、構造が複雑になっているからである。特に、Waters05署名では署名生成において、署名鍵を利用する部分は他の群要素に署名鍵を乗じるだけという単純な構造であったが、Waters09署名では署名鍵を乱数を用いて冪乗し複数の群要素と乗じる必要がある、という点で大きく異なる。本発明は、暗号化方式の加法準同型性を冪乗演算にも活用することによって複雑な構造についても難読化できるようにしている。さらに検証可能暗号化署名については、検証可能暗号化署名の内部で利用する暗号化方式と検証可能暗号化署名そのものを暗号化するための暗号方式を別の方式にし、且つ組み合わせることができるような方式を利用することに特徴がある。従来技術では同じ暗号方式を利用していたため、検証可能性の実現が困難になっていた。具体的には検証可能暗号化署名の実現に線型暗号方式を利用していたことが問題になっていた。また、既存技術は非対話ゼロ知識証明を導入することでこの問題を解決していたが、本発明では非対話ゼロ知識証明が不要である。
《実施形態1》
[暗号化署名システム]
実施形態の暗号化署名システム1は、図1に示すように、システムパラメータ生成装置500、送信装置200、受信装置300、署名鍵難読化装置600、暗号化署名生成装置700を含んで構成される。これらの各装置は、例えばインターネットなどの通信網5を経由して、相互に通信可能とされている。なお、後述のシステムパラメータが予め決まっていれば十分なので、システムパラメータ生成装置500は暗号化署名システム1の必須の構成要素ではなく、図示しない装置によって生成された当該システムパラメータが暗号化署名システム1に提供されていれば足りる。
[暗号化署名システム]
実施形態の暗号化署名システム1は、図1に示すように、システムパラメータ生成装置500、送信装置200、受信装置300、署名鍵難読化装置600、暗号化署名生成装置700を含んで構成される。これらの各装置は、例えばインターネットなどの通信網5を経由して、相互に通信可能とされている。なお、後述のシステムパラメータが予め決まっていれば十分なので、システムパラメータ生成装置500は暗号化署名システム1の必須の構成要素ではなく、図示しない装置によって生成された当該システムパラメータが暗号化署名システム1に提供されていれば足りる。
本発明の暗号化署名システムは、ユーザなどの数に応じて一つまたは複数の送信装置200と一つまたは複数の受信装置300を含みえるが、本発明の理解を容易にするため、後述の実施形態では、暗号化署名システム1は、1個の送信装置200と1個の受信装置300と1個の署名鍵難読化装置600と1個の暗号化署名生成装置700を含むとする。
暗号化署名システム1における処理を、図2を参照しながら叙述する。各装置の機能構成については、図3を参照されたい。
システムパラメータ生成装置500のシステムパラメータ生成部501は、既述の暗号学的仮定の下、セキュリティパラメータλを入力とし、システム全体に共通なシステムパラメータ、つまり双線形写像のパラメータΓ:=(p,G,GT,e,g) ←R BMsetup(1λ)を出力する(ステップS1)。システムパラメータ生成装置500の送信部508は、パラメータΓを各装置200,300,600,700に送信する。
送信装置200の受信部209は、パラメータΓを受信する。パラメータΓは送信装置200の図示しない記憶部に記憶される。
送信装置200の鍵生成部201は、システムパラメータ生成装置500から受信したΓ:=(p,G,GT,e,g)を入力とし、以下のとおりWaters09署名の鍵対を生成する。群の元v,v1,v2,w,u,h ←U Gおよびa1,a2,b,α ←U Zpを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する(ステップS2)。検証鍵VKおよび署名鍵SKも送信装置200の図示しない記憶部に記憶される。
送信装置200の送信部208は、平文Mを暗号化署名生成装置700に送信し、署名鍵SKを署名鍵難読化装置600に送信する。
受信装置300の受信部309はシステムパラメータΓを受信し、システムパラメータΓは受信装置300の図示しない記憶部に記憶される。
受信装置300の鍵生成部301は、システムパラメータΓを入力とし、xe, ye ←UZpを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする(ステップS3)。
受信装置300の送信部308は、公開鍵pkeを署名鍵難読化装置600に送信する。
署名鍵難読化装置600の受信部609は、送信装置200の署名鍵SK、受信装置300の公開鍵pke、システムパラメータΓを受信し、これらは署名鍵難読化装置600の図示しない記憶部に記憶される。
署名鍵難読化装置600の暗号化署名鍵生成部601は、送信装置200の署名鍵SKと受信装置300の公開鍵pke、システムパラメータΓを入力とし、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(η,ψ ←U Zp)と表すこととすると、
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する(ステップS4)。
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する(ステップS4)。
署名鍵難読化装置600の送信部609は、暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を暗号化署名生成装置700に送信する。
暗号化署名生成装置700の受信部709は、平文M、暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)、システムパラメータΓを受信し、これらは暗号化署名生成装置700の図示しない記憶部に記憶される。
ここで(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)と表すこととして、暗号化署名生成装置700の暗号化署名生成部701は、平文Mと難読化された暗号化署名鍵ctsk:=(cα,cαa1,cv,cv1,cv2)を入力として、r1, r2, z1, z2, tagk ←U Zpを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3 ←REnc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3') ←R ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5 ←R Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6 ←R Enc(pke,σ6)
7.σ7:=gr1, Cσ7←R Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8 ←R Enc(pke,σ8)
9.Cσ9 ←R Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する(ステップS5)。
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3 ←REnc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3') ←R ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5 ←R Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6 ←R Enc(pke,σ6)
7.σ7:=gr1, Cσ7←R Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8 ←R Enc(pke,σ8)
9.Cσ9 ←R Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する(ステップS5)。
難読化された暗号化署名鍵についてη,ψ ←U Zpを明示的に表すために(feη,heψ,gη+ψm):=Enc(pke,m;η,ψ)と表すことにすると、Enc(pke,・)の加法準同型性により、(cσ1,1,cσ1,2,cσ1,3)=Enc(pke,gαa1・vr;ηαa1+rηv,ψαa1+rψv), (cσ2,1,cσ2,2,cσ2,3)=Enc(pke,g-α・v1r・gz1;ηα+rηv1,ψα+rψv1), (cσ4,1,cσ4,2,cσ4,3)=Enc(pke,v2r・gz2;rηv2,rψv2)と表すことができる。
暗号化署名生成装置700の送信部708は、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を受信装置300に送信する。
受信装置300の受信部309は、暗号化署名生成装置700から暗号化署名ctσを受信する。
受信装置300の復号部302は、暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を受信したときCi=(ci,1,ci,2,ci,3)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する(ステップS6)。
なお、ステップS7の処理にて復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)は、仮に送信装置200の署名生成部202が生成するとした場合のWaters09署名に一致する。仮に署名生成部202が生成するとした場合のWaters09署名は、次のとおりである。署名生成部202は、署名鍵SKと平文Mを入力として、r1, r2, z1, z2, tagk ←U Zpを選び(ただし、r1, r2, z1, z2, tagkは暗号化署名生成装置700の暗号化署名生成部701が選択したr1, r2, z1, z2, tagkと同じとする)、r:=r1+r2とし、σ1:=gαa1vr, σ2:=g-αv1rgz1, σ3:=(gb)-z1, σ4:=v2rgz2, σ5:=(gb)-z2, σ6:=(gb)r2, σ7:=gr1, σ8:=(uMwtagkh)r1を計算して、Waters09署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する。
《実施形態2》
[暗号化署名システム]
実施形態の暗号化署名システム2は、図4に示すように、システムパラメータ生成装置500、調停装置100、送信装置200、受信装置300、検証可能暗号化署名鍵難読化装置800、暗号化検証可能暗号化署名生成装置900を含んで構成される。これらの各装置は、例えばインターネットなどの通信網5を経由して、相互に通信可能とされている。なお、後述のシステムパラメータが予め決まっていれば十分なので、システムパラメータ生成装置500は暗号化署名システム1の必須の構成要素ではなく、図示しない装置によって生成された当該システムパラメータが暗号化署名システム2に提供されていれば足りる。
[暗号化署名システム]
実施形態の暗号化署名システム2は、図4に示すように、システムパラメータ生成装置500、調停装置100、送信装置200、受信装置300、検証可能暗号化署名鍵難読化装置800、暗号化検証可能暗号化署名生成装置900を含んで構成される。これらの各装置は、例えばインターネットなどの通信網5を経由して、相互に通信可能とされている。なお、後述のシステムパラメータが予め決まっていれば十分なので、システムパラメータ生成装置500は暗号化署名システム1の必須の構成要素ではなく、図示しない装置によって生成された当該システムパラメータが暗号化署名システム2に提供されていれば足りる。
本発明の暗号化署名システムは、ユーザなどの数に応じて一つまたは複数の送信装置200と一つまたは複数の受信装置300を含みえるが、本発明の理解を容易にするため、後述の実施形態では、暗号化署名システム2は、1個の送信装置200と1個の受信装置300と1個の検証可能暗号化署名鍵難読化装置800と1個の暗号化検証可能暗号化署名生成装置900を含むとする。
暗号化署名システム2における処理を、図5を参照しながら叙述する。各装置の機能構成については、図6を参照されたい。
システムパラメータ生成装置500のシステムパラメータ生成部501は、既述の暗号学的仮定の下、セキュリティパラメータλを入力とし、システム全体に共通なシステムパラメータ、つまり双線形写像のパラメータΓ:=(p,G,GT,e,g) ←R BMsetup(1λ)を出力する(ステップS10)。
システムパラメータ生成装置500の送信部508は、パラメータΓを各装置100,200,300,800,900に送信する。
調停装置100の受信部109は、パラメータΓを受信する。パラメータΓは調停装置100の図示しない記憶部に記憶される。調停装置100の調停者鍵生成部101は、調停者公開鍵および調停者復号鍵を以下のように生成する。システムパラメータ生成装置500から受信したΓ:=(p,G,GT,e,g)を入力とし、β ←U Zp *を選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する(ステップS11)。Zp *=Zp-{0}である。調停者公開鍵apkおよび調停者復号鍵askも調停装置100の図示しない記憶部に記憶される。
調停装置100の送信部108は、調停者公開鍵apkを検証可能暗号化署名鍵難読化装置800と受信装置300に送信する。
送信装置200の受信部209は、パラメータΓを受信する。パラメータΓは送信装置200の図示しない記憶部に記憶される。
送信装置200の鍵生成部201は、システムパラメータ生成装置500から受信したΓ:=(p,G,GT,e,g)を入力とし、以下のとおりWaters09署名の鍵対を生成する。群の元v,v1,v2,w,u,h ←U Gおよびa1,a2,b,α ←U Zpを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する(ステップS12)。検証鍵VKおよび署名鍵SKも送信装置200の図示しない記憶部に記憶される。
送信装置200の送信部208は、平文Mを受信装置300と暗号化検証可能暗号化署名生成装置900に、署名鍵SKを検証可能暗号化署名鍵難読化装置800に、検証鍵VKを受信装置300に送信する。なお、必要に応じて、送信装置200の送信部208は、検証鍵VKを調停装置100にも送信する。
受信装置300の受信部309は平文M、検証鍵VK、調停者公開鍵apk、システムパラメータΓを受信し、これらは受信装置300の図示しない記憶部に記憶される。
受信装置300の鍵生成部301は、システムパラメータΓを入力とし、xe, ye ←UZpを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする(ステップS13)。
受信装置300の送信部308は、公開鍵pkeを検証可能暗号化署名鍵難読化装置800に送信する。
検証可能暗号化署名鍵難読化装置800の受信部809は、送信装置200の署名鍵SK、受信装置300の公開鍵pke、調停装置100の調停者公開鍵apk、システムパラメータΓを受信し、これらは検証可能暗号化署名鍵難読化装置800の図示しない記憶部に記憶される。
検証可能暗号化署名鍵難読化装置800の暗号化署名鍵生成部801は、送信装置200の署名鍵SK:=(VK,gα,gαa1,v,v1,v2)、受信装置300の公開鍵pke:=(fe,he)および調停装置100の公開鍵apk:=ζを入力として、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(η,ψ ←U Zp)と表すことにして、ρα,ραa1,ρv,ρv1,ρv2 ←U Zpを選び、
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する(ステップS14)。
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する(ステップS14)。
検証可能暗号化署名鍵難読化装置800の送信部809は、暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を暗号化検証可能暗号化署名生成装置900に送信する。
暗号化検証可能暗号化署名生成装置900の受信部909は平文Mと暗号化署名鍵ctsk:=(cα,cαa1,cv,cv1,cv2)を受信し、これらは暗号化検証可能暗号化署名生成装置900の図示しない記憶部に記憶される。
ここで(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)を表すものとして、暗号化検証可能暗号化署名生成装置900の暗号化検証可能暗号化署名生成部901は、平文Mと暗号化署名鍵ctsk:=(cα,cαa1,cv,cv1,cv2)を入力とし、r1, r2, z1, z2, tagk ←U Zpを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(c1,1,c1,2,K1)), C1' ←R Enc(pke,K1'), C1^ ←R Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(c2,1,c2,2,K2)), C2' ←R Enc(pke,K2'), C2^ ←R Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3 ←R Enc(pke,σ3), C3' ←R Enc(pke,K3'), C3^ ←R Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3') ←R ReRand (pke,(c4,1,c4,2,K4)), C4' ←R Enc(pke,K4'), C4^ ←R Enc(pke,K4^).
5.K5:=(gb)-z2, C5 ←R Enc(pke,K5)
6.K6:=(gb)r2, C6 ←R Enc(pke,K6)
7.K7:=gr1, C7 ←R Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8 ←R Enc(pke,K8)
9.C9 ←R Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する(ステップS15)。
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(c1,1,c1,2,K1)), C1' ←R Enc(pke,K1'), C1^ ←R Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(c2,1,c2,2,K2)), C2' ←R Enc(pke,K2'), C2^ ←R Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3 ←R Enc(pke,σ3), C3' ←R Enc(pke,K3'), C3^ ←R Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3') ←R ReRand (pke,(c4,1,c4,2,K4)), C4' ←R Enc(pke,K4'), C4^ ←R Enc(pke,K4^).
5.K5:=(gb)-z2, C5 ←R Enc(pke,K5)
6.K6:=(gb)r2, C6 ←R Enc(pke,K6)
7.K7:=gr1, C7 ←R Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8 ←R Enc(pke,K8)
9.C9 ←R Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する(ステップS15)。
難読化された署名鍵についてρ1':=ραa1+rρv+ρ1, ρ2':=ρα+rρv1+ρ2, ρ4':=rρv2+ρ4とおくと、(c1,1,c1,2,K1)=Enc(pke,gαa1・vr・ζρ1';ηαa1+rηv,ψαa1+rψv), (K1',K1^)=(gραa1+rρv+ρ1,(gb)ραa1+rρv+ρ1)=(gρ1',(gb)ρ1'), (c2,1,c2,2,K2)=Enc(pke,g-α・v1r・gz1・ζρ2';ηα+rηv1,ψα+rψv1), (K2',K2^)=(gρα+rρv1+ρ2,(gba1)ρα+rρv1+ρ2)=(gρ2',(gba1)ρ2'),
(c4,1,c4,2,K4)=Enc(pke,v2r・gz2・ζρ4';rηv2,rψv2), (K4',K4^)=(grρv2+ρ4,(gba2)rρv2+ρ4)=(gρ4',(gba2)ρ4')と表すことができる。
(c4,1,c4,2,K4)=Enc(pke,v2r・gz2・ζρ4';rηv2,rψv2), (K4',K4^)=(grρv2+ρ4,(gba2)rρv2+ρ4)=(gρ4',(gba2)ρ4')と表すことができる。
暗号化検証可能暗号化署名生成装置900の送信部908は、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を受信装置300に送信する。
受信装置300の受信部309は、暗号化検証可能暗号化署名生成装置900から暗号化署名ctσを受信する。
受信装置300の復号部302は、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を受信したときCi=(ci,1',ci,2',ci,3')と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてもdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する(ステップS16)。
受信装置300による検証処理は次のとおりである。受信装置300の検証部303は、検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)、平文M、検証鍵VKおよび調停者公開鍵apkを入力とし、s1,s2,t,tagc ←U Zpを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算し、tagc-K9≠0を確認し、θ:=1/(tagc-K9)として、e(K1',gb)=e(g,K1^), e(K2',gba1)=e(g,K2^), e(K3',ga1)=e(g,K3^), e(K4',gba2)=e(g,K4^), および(e(V1,K1)/e(ζs,K1^))・(e(V2,K2)/e(ζs1,K2^))・(e(V3,K3)/e(ζs1,K3^))・(e(V4,K4)/e(ζs2,K4^))・e(V5,K5)=e(V6,K6)・e(V7,K7)・(e(E1,K7)/e(E2,K8))θ・(e(g,g)αa1b)s2が成立することを確認したとき且つそのときに限り検証結果resultに検証成功を表す情報(例えば1という値)を代入して検証結果resultを出力する(ステップS17)。検証部303は、どれか一つでも成立しないときは、検証結果resultに検証失敗を表す情報(例えば0という値)を代入して検証結果resultを出力する。
受信装置300は、送信装置200による平文Mに対する署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を必要とする場合、送信部308によって、検証可能暗号化署名ωと平文Mを調停装置100に送信する。
調停装置100の受信部109は、送信装置200からの検証鍵VKと、受信装置300からの検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)および平文Mを受信し、これらは調停装置100の図示しない記憶部に記憶される。
調停装置100は、さらに、検証可能暗号化署名ωの暗号化を解除して通常の署名を復元する復元部102を備えている。復元部102が検証可能暗号化署名の暗号化を解除する処理は次のとおりである。復元部102は、調停者公開鍵apk、調停者復号鍵ask、検証鍵VK、検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)、平文Mを入力とし、まず受信装置300による検証処理と同じ処理を行って検証可能暗号化署名ωが正しい暗号化署名であることを検証し、その検証が正しい場合に、σ1:=K1・(K1')-β, σ2:=K2・(K2')-β, σ3:=K3・(K3')-β, σ4:=K4・(K4')-β, σ5:=K5, σ6:=K6, σ7:=K7, およびσ8:=K8を計算し、乱数z1',z2',r' ←U Zpを選び、σ1':=σ1, σ2':=σ2・gz1', σ3':=σ3・(gb)-z1', σ4':=σ4・gz2', σ5':=σ5・(gb)-z2', σ6':=σ6・(gb)-r', σ7':=σ7・gr', σ8':=σ8・(uMwtagkh)r',およびtagk:=K9を計算し、σ':=(σ1',σ2',σ3',σ4',σ5',σ6',σ7',σ8',tagk)として、σ'を署名として出力する(ステップS18)。復元部102は、検証に失敗した場合はσ'を求めない(なお、調停装置100が受信装置300に対して検証に失敗したことを表す情報を送信するようにしてもよい)。送信部108は、平文Mと復元された署名σ'を受信装置300に送信する。
なお、ステップS18の処理にて復元された署名σ':=(σ1',σ2',σ3',σ4',σ5',σ6',σ7',σ8',tagk)は、仮に送信装置200の署名生成部202が生成するとした場合のWaters09署名に一致する。仮に署名生成部202が生成するとした場合のWaters09署名は、次のとおりである。署名生成部202は、署名鍵SKと平文Mを入力として、r1, r2, z1, z2, tagk ←U Zpを選び(ただし、r1, r2, z1, z2, tagkは暗号化検証可能暗号化署名生成装置900の暗号化検証可能暗号化署名生成部901が選択したr1, r2, z1, z2, tagkと同じとする)、r:=r1+r2とし、σ1:=gαa1vr, σ2:=g-αv1rgz1, σ3:=(gb)-z1, σ4:=v2rgz2, σ5:=(gb)-z2, σ6:=(gb)r2, σ7:=gr1, σ8:=(uMwtagkh)r1を計算して、Waters09署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する。
表1に比較を示す。なおESはencrypted signature、EVESはencrypted verifiably encrypted signatureの略で、それぞれ暗号化署名、暗号化検証可能暗号化署名のことを指す。
<補記>
暗号化署名システムに含まれうるハードウェアエンティティ(システムパラメータ生成装置、調停装置、送信装置、受信装置、署名鍵難読化装置、暗号化署名生成装置、検証可能暗号化署名鍵難読化装置、暗号化検証可能暗号化署名生成装置)は、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit)〔キャッシュメモリやレジスタなどを備えていてもよい。〕、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。
暗号化署名システムに含まれうるハードウェアエンティティ(システムパラメータ生成装置、調停装置、送信装置、受信装置、署名鍵難読化装置、暗号化署名生成装置、検証可能暗号化署名鍵難読化装置、暗号化検証可能暗号化署名生成装置)は、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit)〔キャッシュメモリやレジスタなどを備えていてもよい。〕、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。
ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくなどでもよい。)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。上述の説明では、演算結果やその格納領域のアドレスなどを記憶するRAMやレジスタなどの記憶装置を単に「記憶部」とした。
ハードウェアエンティティでは、外部記憶装置〔あるいはROMなど〕に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行・処理される。その結果、CPUが所定の機能(例えば、システムパラメータ生成部、調停者鍵生成部、鍵生成部、署名生成部、検証部、復元部など)を実現する。
各実施形態で説明したハードウェアエンティティの細部においては、数論における数値計算処理が必要となる場合があるが、数論における数値計算処理自体は、周知技術と同様にして達成されるので、その演算処理方法などの詳細な説明は省略した(この点の技術水準を示す数論における数値計算処理が可能なソフトウェアとしては、例えばPARI/GP、KANT/KASHなどが挙げられる。PARI/GPについては、例えばインターネット〈URL: http://pari.math.u-bordeaux.fr/〉[平成24年1月13日検索]を参照のこと。KANT/KASHについては、例えばインターネット〈http://www.math.tu-berlin.de/~kant/kash.html〉[平成24年1月13日検索]を参照のこと。)。
また、この点に関する文献として、参考文献Aを挙げることができる。
(参考文献A)H. Cohen, "A Course in Computational Algebraic Number Theory", GTM 138, Springer-Verlag, 1993.
また、この点に関する文献として、参考文献Aを挙げることができる。
(参考文献A)H. Cohen, "A Course in Computational Algebraic Number Theory", GTM 138, Springer-Verlag, 1993.
本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
また、上記実施形態において説明したハードウェアエンティティにおける処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
Claims (15)
- 送信装置と受信装置と署名鍵難読化装置と暗号化署名生成装置を含む暗号化署名システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部
を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成部を含み、
上記暗号化署名生成装置は、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3:=Enc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3'):=ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5:=Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6:=Enc(pke,σ6)
7.σ7:=gr1, Cσ7:=Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8:=Enc(pke,σ8)
9.Cσ9:=Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する暗号化署名生成部を含み、
上記受信装置は、さらに、
暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する復号部を含む
難読化された署名鍵を用いた暗号化署名システム。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置と暗号化検証可能暗号化署名生成装置を含む暗号化署名システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置は、
Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成部を含み、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記検証可能暗号化署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成部を含み、
上記暗号化検証可能暗号化署名生成装置は、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(c1,1,c1,2,K1)), C1':=Enc(pke,K1'), C1^:=Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(c2,1,c2,2,K2)), C2':=Enc(pke,K2'), C2^:=Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3:=Enc(pke,σ3), C3':=Enc(pke,K3'), C3^:=Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3'):=ReRand (pke,(c4,1,c4,2,K4)), C4':=Enc(pke,K4'), C4^:=Enc(pke,K4^).
5.K5:=(gb)-z2, C5:=Enc(pke,K5)
6.K6:=(gb)r2, C6:=Enc(pke,K6)
7.K7:=gr1, C7:=Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8:=Enc(pke,K8)
9.C9:=Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する暗号化検証可能暗号化署名生成部を含み、
上記受信装置は、さらに、
暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する復号部を含む
難読化された署名鍵を用いた暗号化署名システム。 - 請求項2に記載の暗号化署名システムであって、
上記受信装置は、さらに、
Zpの元s1,s2,t,tagcを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算し、tagc-K9≠0を確認し、θ:=1/(tagc-K9)として、e(K1',gb)=e(g,K1^), e(K2',gba1)=e(g,K2^), e(K3',ga1)=e(g,K3^), e(K4',gba2)=e(g,K4^), および(e(V1,K1)/e(ζs,K1^))・(e(V2,K2)/e(ζs1,K2^))・(e(V3,K3)/e(ζs1,K3^))・(e(V4,K4)/e(ζs2,K4^))・e(V5,K5)=e(V6,K6)・e(V7,K7)・(e(E1,K7)/e(E2,K8))θ・(e(g,g)αa1b)s2が成立することを確認したとき且つそのときに限り検証成功を表す検証結果を出力する検証部を含む
ことを特徴とする暗号化署名システム。 - 請求項3に記載の暗号化署名システムであって、
上記調停装置は、さらに、
Zpの元s1,s2,t,tagcを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算し、tagc-K9≠0を確認し、θ:=1/(tagc-K9)として、e(K1',gb)=e(g,K1^), e(K2',gba1)=e(g,K2^), e(K3',ga1)=e(g,K3^), e(K4',gba2)=e(g,K4^), および(e(V1,K1)/e(ζs,K1^))・(e(V2,K2)/e(ζs1,K2^))・(e(V3,K3)/e(ζs1,K3^))・(e(V4,K4)/e(ζs2,K4^))・e(V5,K5)=e(V6,K6)・e(V7,K7)・(e(E1,K7)/e(E2,K8))θ・(e(g,g)αa1b)s2が成立することを確認し、この確認ができた場合に、σ1:=K1・(K1')-β, σ2:=K2・(K2')-β, σ3:=K3・(K3')-β, σ4:=K4・(K4')-β, σ5:=K5, σ6:=K6, σ7:=K7, およびσ8:=K8を計算し、Zpの元z1',z2',r'を選び、σ1':=σ1, σ2':=σ2・gz1', σ3':=σ3・(gb)-z1', σ4':=σ4・gz2', σ5':=σ5・(gb)-z2', σ6':=σ6・(gb)-r', σ7':=σ7・gr', σ8':=σ8・(uMwtagkh)r',およびtagk:=K9を計算し、署名σ':=(σ1',σ2',σ3',σ4',σ5',σ6',σ7',σ8',tagk)を出力する復元部を含む
ことを特徴とする暗号化署名システム。 - 送信装置と受信装置と署名鍵難読化装置を含む署名鍵難読化システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記署名鍵難読化装置は、
署名鍵SKと公開鍵pke、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成部を含む
署名鍵難読化システム。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置を含む署名鍵難読化システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置は、
Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成部を含み、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,α選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記検証可能暗号化署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成部を含む
署名鍵難読化システム。 - 送信装置と受信装置と署名鍵難読化装置と暗号化署名生成装置を含む暗号化署名システムにおける暗号化署名方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成ステップと、
上記暗号化署名生成装置の暗号化署名生成部が、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3:=Enc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3'):=ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5:=Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6:=Enc(pke,σ6)
7.σ7:=gr1, Cσ7:=Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8:=Enc(pke,σ8)
9.Cσ9:=Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する暗号化署名生成ステップと、
上記受信装置の復号部が、暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する復号ステップを有する
難読化された署名鍵を用いた暗号化署名方法。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置と暗号化検証可能暗号化署名生成装置を含む暗号化署名システムにおける暗号化署名方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置の調停者鍵生成部が、Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成ステップと、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記検証可能暗号化署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成ステップと、
上記暗号化検証可能暗号化署名生成装置の暗号化検証可能暗号化署名生成部が、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(c1,1,c1,2,K1)), C1':=Enc(pke,K1'), C1^:=Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(c2,1,c2,2,K2)), C2':=Enc(pke,K2'), C2^:=Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3:=Enc(pke,σ3), C3':=Enc(pke,K3'), C3^:=Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3'):=ReRand (pke,(c4,1,c4,2,K4)), C4':=Enc(pke,K4'), C4^:=Enc(pke,K4^).
5.K5:=(gb)-z2, C5:=Enc(pke,K5)
6.K6:=(gb)r2, C6:=Enc(pke,K6)
7.K7:=gr1, C7:=Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8:=Enc(pke,K8)
9.C9:=Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する暗号化検証可能暗号化署名生成ステップと、
上記受信装置の復号部が、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する復号ステップを有する
難読化された署名鍵を用いた暗号化署名方法。 - 送信装置と受信装置と署名鍵難読化装置を含む署名鍵難読化システムにおける署名鍵難読化方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記署名鍵難読化装置の暗号化署名鍵生成部が、署名鍵SKと公開鍵pke、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成ステップを有する
署名鍵難読化方法。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置を含む署名鍵難読化システムにおける署名鍵難読化方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置の調停者鍵生成部が、Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成ステップと、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,α選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記検証可能暗号化署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成ステップを有する
署名鍵難読化方法。 - 請求項1に記載の暗号化署名システムにおいて用いられる上記暗号化署名生成装置。
- 請求項2から請求項4のいずれかに記載の暗号化署名システムにおいて用いられる上記暗号化検証可能暗号化署名生成装置。
- 請求項5に記載の署名鍵難読化システムにおいて用いられる上記暗号化署名鍵難読化装置。
- 請求項6に記載の署名鍵難読化システムにおいて用いられる上記検証可能暗号化署名鍵難読化装置。
- 請求項11に記載の暗号化署名生成装置、請求項12に記載の暗号化検証可能暗号化署名生成装置、請求項13に記載の暗号化署名鍵難読化装置、請求項14に記載の検証可能暗号化署名鍵難読化装置のいずれかとしてコンピュータを機能させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012032945A JP5679344B2 (ja) | 2012-02-17 | 2012-02-17 | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012032945A JP5679344B2 (ja) | 2012-02-17 | 2012-02-17 | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013172178A true JP2013172178A (ja) | 2013-09-02 |
| JP5679344B2 JP5679344B2 (ja) | 2015-03-04 |
Family
ID=49265895
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012032945A Expired - Fee Related JP5679344B2 (ja) | 2012-02-17 | 2012-02-17 | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5679344B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511310A (zh) * | 2020-11-20 | 2021-03-16 | 兰州交通大学 | 一种加密身份盲签名的混淆方法 |
| CN112511311A (zh) * | 2020-11-20 | 2021-03-16 | 兰州交通大学 | 基于混淆技术的加密门限签名方法 |
| CN113365264A (zh) * | 2021-05-31 | 2021-09-07 | 中国工商银行股份有限公司 | 一种区块链无线网络数据传输方法、装置及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007074836A1 (ja) * | 2005-12-28 | 2007-07-05 | Matsushita Electric Industrial Co., Ltd. | 署名生成装置、署名生成方法及び署名生成プログラム |
| JP2010054875A (ja) * | 2008-08-29 | 2010-03-11 | Mitsubishi Electric Corp | 演算装置、復号装置、暗号化装置、情報共有システム、2dnf演算システム、署名生成装置、署名検証装置、署名処理システム、署名検証システム、演算方法及び演算プログラム |
| JP2011097453A (ja) * | 2009-10-30 | 2011-05-12 | Internatl Business Mach Corp <Ibm> | メッセージ送信および受信方法 |
-
2012
- 2012-02-17 JP JP2012032945A patent/JP5679344B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007074836A1 (ja) * | 2005-12-28 | 2007-07-05 | Matsushita Electric Industrial Co., Ltd. | 署名生成装置、署名生成方法及び署名生成プログラム |
| JP2010054875A (ja) * | 2008-08-29 | 2010-03-11 | Mitsubishi Electric Corp | 演算装置、復号装置、暗号化装置、情報共有システム、2dnf演算システム、署名生成装置、署名検証装置、署名処理システム、署名検証システム、演算方法及び演算プログラム |
| JP2011097453A (ja) * | 2009-10-30 | 2011-05-12 | Internatl Business Mach Corp <Ibm> | メッセージ送信および受信方法 |
Non-Patent Citations (3)
| Title |
|---|
| CSNJ201210001099; 西巻陵: '(非対話)ゼロ知識証明を用いない暗号化検証可能暗号化署名の難読化について' 2012年暗号と情報セキュリティシンポジウム(SCIS2012) , 20120130, 3B3-4 * |
| JPN6014041935; 西巻陵: '(非対話)ゼロ知識証明を用いない暗号化検証可能暗号化署名の難読化について' 2012年暗号と情報セキュリティシンポジウム(SCIS2012) , 20120130, 3B3-4 * |
| JPN6014041936; B. Waters: 'Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions' Cryptology ePrint Archive Report 2009/385,Ver. 20090810:215827, 200908, International Association for Cryptologic Research * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511310A (zh) * | 2020-11-20 | 2021-03-16 | 兰州交通大学 | 一种加密身份盲签名的混淆方法 |
| CN112511311A (zh) * | 2020-11-20 | 2021-03-16 | 兰州交通大学 | 基于混淆技术的加密门限签名方法 |
| CN112511310B (zh) * | 2020-11-20 | 2023-07-18 | 兰州交通大学 | 一种加密身份盲签名的混淆方法 |
| CN113365264A (zh) * | 2021-05-31 | 2021-09-07 | 中国工商银行股份有限公司 | 一种区块链无线网络数据传输方法、装置及系统 |
| CN113365264B (zh) * | 2021-05-31 | 2023-01-31 | 中国工商银行股份有限公司 | 一种区块链无线网络数据传输方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5679344B2 (ja) | 2015-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111106936B (zh) | 一种基于sm9的属性加密方法与系统 | |
| US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
| JP6083234B2 (ja) | 暗号処理装置 | |
| JP5291795B2 (ja) | 暗号化装置、復号装置、暗号化方法、復号方法、セキュリティ方法、プログラム及び記録媒体 | |
| US9698984B2 (en) | Re-encrypted data verification program, re-encryption apparatus and re-encryption system | |
| US9037623B2 (en) | Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor | |
| JP6194886B2 (ja) | 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム | |
| KR101516114B1 (ko) | 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템 | |
| US20180278417A1 (en) | Apparatus and method for generating key, and apparatus and method for encryption | |
| JP6059347B2 (ja) | 復号装置、復号能力提供装置、それらの方法、およびプログラム | |
| CN109643504B (zh) | 加密系统、加密方法以及计算机可读的存储介质 | |
| Hodowu et al. | An enhancement of data security in cloud computing with an implementation of a two-level cryptographic technique, using AES and ECC algorithm | |
| JP2013243441A (ja) | 秘密分散システム、データ分散装置、データ復元装置、秘密分散方法、およびプログラム | |
| JP5679344B2 (ja) | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム | |
| KR101533950B1 (ko) | 브로드캐스트 암호화 방법 및 시스템 | |
| JP5730805B2 (ja) | 格子問題に基づく階層型内積暗号システム,格子問題に基づく階層型内積暗号方法,装置 | |
| CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
| CN115883212A (zh) | 信息处理方法、装置、电子设备和存储介质 | |
| JP5683512B2 (ja) | 検証可能暗号化署名システム、検証可能暗号化署名方法、装置、プログラム | |
| JP5912281B2 (ja) | 復号結果検証装置、方法、システム及びプログラム | |
| JP2013105065A (ja) | セキュリティシステム、暗号化装置、復号装置、再暗号化装置、難読化装置、それらの方法、及びプログラム | |
| JP2012154977A (ja) | 関数暗号を用いた時限暗号システム、時限暗号方法、装置、プログラム | |
| WO2012176408A1 (ja) | 署名検証方法、署名検証システム及び署名検証プログラム | |
| JP6000207B2 (ja) | 暗号化システム、システムパラメータ生成装置、暗号化装置、復号装置、及びその方法、プログラム | |
| RU2558621C2 (ru) | Способ шифрования сообщения, представленного в виде битовой строки |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140203 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140918 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141007 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141224 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141225 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5679344 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |