JP2019213092A - 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム - Google Patents

匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム Download PDF

Info

Publication number
JP2019213092A
JP2019213092A JP2018108834A JP2018108834A JP2019213092A JP 2019213092 A JP2019213092 A JP 2019213092A JP 2018108834 A JP2018108834 A JP 2018108834A JP 2018108834 A JP2018108834 A JP 2018108834A JP 2019213092 A JP2019213092 A JP 2019213092A
Authority
JP
Japan
Prior art keywords
signature
ring
message
signer
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018108834A
Other languages
English (en)
Inventor
星野 文学
Fumisato Hoshino
文学 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018108834A priority Critical patent/JP2019213092A/ja
Priority to PCT/JP2019/017470 priority patent/WO2019235095A1/ja
Publication of JP2019213092A publication Critical patent/JP2019213092A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】匿名化可能署名の匿名性を向上させる。【解決手段】安全パラメタを入力として、エージェント秘密鍵wとシステムパラメタρとを生成するセットアップ手段と、前記システムパラメタρを入力として、署名者の秘密鍵xと公開鍵yとを生成する鍵生成手段と、前記秘密鍵xと、署名が付与される対象のメッセージmとを入力として、前記メッセージmに対する署名rを生成する署名生成手段と、前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名rと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyLと、前記メッセージmとを入力として、前記署名rを匿名化したリング署名σを生成する匿名化手段と、前記リングLと、前記リストyLと、前記メッセージmと、前記リング署名σとを入力として、前記メッセージmの検証結果bを出力する検証手段と、を有することを特徴とする。【選択図】図1

Description

本発明は、匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラムに関する。
署名者の匿名性を守りつつ電子署名を行う方法として匿名署名が知られている(例えば特許文献1)。このような匿名署名の1つとして、リング署名が知られている。リング署名では、署名がグループのメンバにより作成されたことを第三者が検証することができるが、グループのどのメンバにより署名が作成されたかは特定することができず、また、グループ管理者も存在しない。
また、リング署名の拡張として、匿名化可能署名(Anonymizable Signature)が知られている(例えば非特許文献1)。匿名化可能署名では、署名されたメッセージを持つ者は誰でも後からその署名を匿名署名に変換することができる。このため、或るグループ(リング)に属する署名者は、自身の秘密鍵を用いて署名したメッセージを或るエージェント(例えば、署名を預かって、管理する第三者)に渡しておけば、当該署名の匿名化に関与する必要がない。言い換えれば、エージェントのみで当該署名を匿名化することができる。
特許第4875448号公報
F. Hoshino, T. Kobayashi, and K. Suzuki, "Anonymizable signature and its construction from pairings,", Pairing-Based Cryptography - Pairing 2010 - 4th International Conference, Yamanaka Hot Spring, Japan, December 2010. Proceedings, ed. M. Joye, A. Miyaji, and A. Otsuka, Lecture Notes in Computer Science, vol.6487, pp.62-77, Springer, 2010.
しかしながら、従来の匿名化可能署名では、署名者がエージェントに渡す署名は通常の署名であり、例えば、漏洩によって攻撃者がこの署名を入手した場合、当該攻撃者は、エージェント同様に、署名者がこの署名を行ったことを確認できてしまう。
本発明は、上記の点に鑑みてなされたもので、匿名化可能署名の匿名性を向上させることを目的とする。
上記目的を達成するため、本発明の実施の形態は、安全パラメタを入力として、エージェント秘密鍵wとシステムパラメタρとを生成するセットアップ手段と、前記システムパラメタρを入力として、署名者の秘密鍵xと公開鍵yとを生成する鍵生成手段と、前記秘密鍵xと、署名が付与される対象のメッセージmとを入力として、前記メッセージmに対する署名rを生成する署名生成手段と、前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名rと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmとを入力として、前記署名rを匿名化したリング署名σを生成する匿名化手段と、前記リングLと、前記リストyと、前記メッセージmと、前記リング署名σとを入力として、前記メッセージmの検証結果bを出力する検証手段と、を有することを特徴とする。
匿名化可能署名の匿名性を向上させることができる。
本発明の実施の形態における匿名署名システムの全体構成の一例を示す図である。 本発明の実施の形態におけるセットアップ処理の一例を示すフローチャートである。 本発明の実施の形態における鍵生成処理の一例を示すフローチャートである。 本発明の実施の形態における署名処理の一例を示すフローチャートである。 本発明の実施の形態における匿名化処理の一例を示すフローチャートである。 本発明の実施の形態における検証処理の一例を示すフローチャートである。 本発明の実施の形態における署名生成装置、匿名署名生成装置及び署名検証装置のハードウェア構成の一例を示す図である。
以下、本発明の実施の形態について説明する。以降では、匿名化可能署名が漏洩した場合であっても、当該匿名化可能署名を誰が行ったのかを確認することが困難な匿名署名システム1(すなわち、匿名化可能署名の匿名性を向上させた匿名署名システム1)について説明する。
<表記>
本発明の実施の形態では、以下の表記を導入する。
・集合Xから一様ランダムに選択された要素をxとすることを、
Figure 2019213092
と表記する。これを以降では、「x←X」又は「X→x」とも表す。
・確率的多項式時間アルゴリズムAlg()の出力をxとすることを、
Figure 2019213092
と表記する。これを以降では、「x←Alg()」又は「Alg()→x」とも表す。
・yをxで定義する又はyにxを代入することを、y←x又はx→yと表す。ただし、「→」又は「←」は文脈によっては写像(又は関数)を表す。「→」又は「←」が写像を表す場合は、写像(又は関数)であることを明記する。
<従来の匿名化可能署名の概略>
ここで、非特許文献1に記載されている匿名化可能署名(従来の匿名化可能署名)の概略について説明する。k∈N(Nは自然数全体の集合)を安全パラメタとし、M={0,1,・・・}を署名者集合とする。署名者集合の部分集合L⊂Mはリングと呼ばれる。また、署名者の識別子(例えば、署名者ID等)をiとして、識別子iの署名者の秘密鍵をx,公開鍵をyとする。ただし、署名者の識別子iを考えない場合は、単に、秘密鍵をx、公開鍵をyと表す。
更に、以降では、簡単のため、リングLに対して、a=(ai∈Lと定義する。すなわち、例えば、L={L0,L1,・・・}である場合、a=(aL0,aL1,・・・)である。
このとき、従来の匿名化可能署名方式Σは、次の構文を満たす4つの確率的多項式時間アルゴリズム(KeyGen,Sign,Anonymize,Verify)により構成される。
・鍵生成アルゴリズムKeyGen(1)→(x,y):安全パラメタ1を入力として、秘密鍵xと公開鍵yとを出力とする確率的多項式時間アルゴリズム。
・署名アルゴリズムSign(x,m)→r:秘密鍵xとメッセージmとを入力として、署名rを出力とする確率的多項式時間アルゴリズム。なお、メッセージmは、署名rが付与される対象である。
・匿名化アルゴリズムAnonymize(i,r,L,y,m)→σ又は⊥:署名者の識別子iと、リングL⊂Mと、リングLに属する署名者の公開鍵のリストyと、メッセージmとを入力として、リング署名σ又は拒絶⊥を出力とする確率的多項式時間アルゴリズム。リング署名σは匿名署名σとも称される。なお、公開鍵のリストyは、y=(yk∈Lである。
・検証アルゴリズムVerify(L,y,m,σ)→0又は1:リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σとを入力として、単一ビットb∈{0,1}を出力する確率的多項式時間アルゴリズム。なお、例えば、b=0が検証失敗を表し、b=1が検証成功を表す。
・構文:任意の多項式長のメッセージm∈{0,1}と、任意の多項式長のリングL⊂Mと、任意の署名者の識別子i∈Lとに対して、確率
Figure 2019213092
がkに関して無視可能である。
上述したように、署名者の匿名性を担保するため、署名rは、署名者とエージェントとの間で秘密にしなければならない。すなわち、仮に、漏洩によって攻撃者が署名rを入手した場合、当該攻撃者は、エージェント同様に、署名者がこの署名rを行ったことを確認できてしまう。このため、エージェントは、署名者から託された署名を秘密として安全に管理する必要がある。通常、エージェントは、多くの署名者から多くの署名を託される場合が多く、託された署名の数に比例して安全に管理すべき秘密の量も大きくなる。ここで、エージェントとは、例えば、署名を預かって、管理する第三者のことである。
なお、上記の従来の匿名化可能署名に関する具体的な構成については、上記の非特許文献1を参照されたい。非特許文献1には、ペアリングを用いた具体的な構成が記載されている。
<エージェント指定匿名化可能署名>
本発明の実施の形態では、事前に署名者が指定したエージェントのみが匿名化及び検証することが可能な匿名化可能署名(この匿名化可能署名を「エージェント指定匿名化署名」と表す。)を説明する。
エージェント指定匿名化可能署名方式Σは、次の構文を満たす5つの確率的多項式時間アルゴリズム(Setup,KeyGen,Sign,Anonymize,Verify)により構成される。
・エージェント鍵生成アルゴリズムSetup(1)→(w,ρ):安全パラメタ1を入力として、エージェント秘密鍵wとシステムパラメタρとを出力とする確率的多項式時間アルゴリズム。なお、システムパラメタρは、エージェント指定匿名化署名方式Σに参加している参加者(署名者)が知っている共通参照情報であり、エージェント毎に生成及び公開される。また、エージェント秘密鍵wは、エージェントが署名rの匿名化に用いる秘密情報である。
・鍵生成アルゴリズムKeyGen(ρ)→(x,y):システムパラメタρを入力として、秘密鍵xと公開鍵yとを出力とする確率的多項式時間アルゴリズム。すなわち、鍵生成アルゴリズムKeyGen(ρ)は、1以上のエージェントのうち、署名者が指定したエージェントにより公開されているシステムパラメタρを入力として、秘密鍵xと公開鍵yとを出力する。
・署名アルゴリズムSign(x,m)→r:秘密鍵xとメッセージmとを入力として、署名rを出力とする確率的多項式時間アルゴリズム。
・匿名化アルゴリズムAnonymize(i,w,r,L,y,m)→σ又は⊥:署名者の識別子iと、当該署名者の署名rと、リングL⊂Mと、リングLに属する署名者の公開鍵のリストyと、当該署名rに対応するメッセージmと、エージェント秘密鍵wとを入力として、リング署名σ又は拒絶⊥を出力とする確率的多項式時間アルゴリズム。なお、リング署名σは匿名署名とも称される。
・検証アルゴリズムVerify(L,y,m,σ)→0又は1:リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σとを入力として、単一ビットb∈{0,1}を出力する確率的多項式時間アルゴリズム。なお、例えば、b=0である場合はメッセージmが正当でないことを表し、b=1である場合はメッセージmが正当であることを表す。
・構文:任意の多項式長のメッセージm∈{0,1}と、任意の多項式長のリングL⊂Mと、任意の署名者の識別子i∈Lとに対して、確率
Figure 2019213092
がkに関して無視可能である。
上記のエージェント指定匿名化可能署名では、仮に署名rが攻撃者に漏洩したとしても、エージェント秘密鍵wが漏洩していなければ、署名rがどの秘密鍵xによって作成された署名であるのかが計算量的に識別困難となる。すなわち、エージェント指定匿名化可能署名では、署名rの匿名化にエージェント秘密鍵wが必要であるため、署名者が指定したエージェントでのみ匿名化及び検証が可能となる。したがって、エージェント指定匿名化可能署名では、エージェント秘密鍵wが漏洩しなければ、署名rの匿名性が担保される。
上記のエージェント指定匿名化可能署名方式Σを実現するために、以降では、いくつかの概念について説明する。
<Trapdoor DDH>
例えば以下の参考文献1にはペアリングを拡張した特殊なTrapdoor DDH群の具体的構成が記載されている。
[参考文献1]
F. Hoshino, "A Variant of Diffie-Hellman Problem and How to Prove Independency." SCIS 2014 The 31st Symposium on Cryptography and Information Security Kagoshima, Japan, Jan. 21 - 24, 2014.
上記のエージェント指定匿名化署名の具体的構成を与えるために、このTrapdoor DDH群を用いる。Trapdoor DDH群の概略は以下の通りである。
・pを十分大きい素数とする。
・Eを有限体F上の超特異楕円曲線とし、位数が十分大きい素数qで割り切れるものとする。なお、F=Z/pZ(Zは整数環)である。
・αをE(F)[q]の生成元とする。
このとき、G:=GL(n,〈α〉)⊆〈α〉n×n,R:=GL(n,F)⊆F n×nとする。これにより、Gは成分毎の楕円加算を群演算とするアーベル群であり、このアーベル群をTrapdoor DDH群と見做すことができる。また、Rは非可換環であり、Gに関する離散対数と見做すことができる。更に、後述するように、G上で自然なペアリング写像を定義することができる。
<離散対数>
巡回群を〈α〉,位数をq(ただし、qは素数)とする。このとき、
Figure 2019213092
とした場合に、
Figure 2019213092
に対して、
Figure 2019213092
を離散対数と呼ぶ。このとき、hをαとも表す。また、rがn×nの単位行列である場合は、αをIと表す。なお、上述したように、G=GL(n,〈α〉)は離散対数が正則な〈α〉n×nの部分群であり、成分毎の楕円加算を群演算とするアーベル群である。
一例として、n=2の場合に、以下のg,h∈Gの演算を示す。
Figure 2019213092
加法表記した場合は以下となる。
Figure 2019213092
また、乗法表記した場合は以下となる。
Figure 2019213092
<右冪乗・左冪乗>
g,g,g∈Gとして、これらg,g,gの各成分の指数部分により構成される行列をそれぞれx,x,x∈Rとした場合、以下の関係を満たすように左冪乗と右冪乗とが定義されているものとする。
Figure 2019213092
このとき、右冪乗・左冪乗に関してRが非可換環である場合、[G,R]には右冪乗・左冪乗を計算するための以下の確率的多項式時間アルゴリズムが存在する。
・G,Rに関する非退化双準同型写像rpow:G×R→G
・G,Rに関する非退化双準同型写像lpow:R×G→G
なお、rpowは右冪乗を、lpowは左冪乗を計算するための写像である。rpow及びlpowはいずれも結合律を満たす。
一例として、n=2の場合に、以下のx,y∈Rの演算を示す。この演算は離散対数上の行列乗算((α)=αxy,(α=αyx)と考える。
Figure 2019213092
このとき、g,gを乗法表記した場合は以下となる。また、,I についても以下に示す。
Figure 2019213092
なお、エージェント指定匿名化可能署名とは直接は関係ないが、上述したように、x,y∈R、g∈Gに対して(g)=(g)が成立するため、このことから鍵交換を実現することもできる。
<ペアリング>
G上で以下の自然なペアリング写像を定義することができる。
Figure 2019213092
このペアリング写像は離散対数上の行列乗算(e(α,α)=ξxy)と考える。
一例として、n=2の場合に、g,h∈Gを以下とする。
Figure 2019213092
このとき、ペアリング写像e(g,h)は以下で定義できる。
Figure 2019213092
<匿名署名システム1の全体構成>
以降では、上記のエージェント指定匿名化可能署名方式Σを実現する匿名署名システム1について、図1を参照しながら説明する。図1は、本発明の実施の形態における匿名署名システム1の全体構成の一例を示す図である。
図1に示すように、本発明の実施の形態における匿名署名システム1には、複数の署名生成装置10と、1以上の匿名署名生成装置20と、1以上の署名検証装置30とが含まれる。また、署名生成装置10と、匿名署名生成装置20と、署名検証装置30とは、例えばインターネット等の通信ネットワーク40を介して通信可能に接続されている。
署名生成装置10は、署名者が利用するコンピュータ又はコンピュータシステムであり、秘密鍵x及び公開鍵yの生成と、署名rの生成(作成)とを行う。署名生成装置10は、鍵生成部110と、署名生成部120とを有する。
鍵生成部110は、エージェント指定匿名化可能署名方式Σの鍵生成アルゴリズムKeyGen(ρ)を実行する。すなわち、鍵生成部110は、署名者が指定したエージェントが公開しているシステムパラメタρを入力として、秘密鍵xと公開鍵yとを出力する。出力された秘密鍵xは、例えば、署名生成装置10の補助記憶装置等に記憶される。一方で、出力された公開鍵yは任意の方法で公開される。
署名生成部120は、エージェント指定匿名化可能署名方式Σの署名アルゴリズムSign(x,m)を実行する。すなわち、署名生成部120は、秘密鍵xとメッセージmとを入力として、署名rを出力する。出力された署名rは、メッセージmと共に、上記で署名者が指定したエージェントの匿名署名生成装置20に送信される。
なお、鍵生成部110及び署名生成部120は、例えば、署名生成装置10にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
匿名署名生成装置20は、エージェントが利用するコンピュータ又はコンピュータシステムであり、エージェント鍵wの生成と、署名rの匿名化とを行う。匿名署名生成装置20は、セットアップ部210と、匿名化部220とを有する。
セットアップ部210は、エージェント鍵生成アルゴリズムSetup(1)を実行する。すなわち、セットアップ部210は、安全パラメタ1を入力として、エージェント秘密鍵wとシステムパラメタρとを出力する。出力されたエージェント秘密鍵wは、例えば、匿名署名生成装置20の補助記憶装置等に記憶される。一方で、出力されたシステムパラメタρは任意の方法で公開される。
匿名化部220は、匿名化アルゴリズムAnonymize(i,r,L,y,m,w)を実行する。すなわち、匿名化部220は、署名者の識別子iと、当該署名者の署名rと、リングLと、リングLに属する署名者の公開鍵のリストyと、当該署名rに対応するメッセージmと、エージェント秘密鍵wとを入力として、リング署名σ又は拒絶⊥を出力する。
なお、セットアップ部210及び匿名化部220は、例えば、匿名署名生成装置20にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
署名検証装置30は、エージェントやエージェントとは異なる第三者が利用するコンピュータ又はコンピュータシステムであり、リング署名σの検証を行う。署名検証装置30は、検証部310を有する。
検証部310は、検証アルゴリズムVerify(L,y,m,σ)を実行する。すなわち、検証部310は、リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σとを入力として、単一ビットb∈{0,1}を出力する。
なお、検証部310は、署名検証装置30にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
以上により、本発明の実施の形態における匿名署名システム1は、エージェント指定匿名化可能署名方式Σを実現することができる。このエージェント指定匿名化可能署名方式Σは、上記の数4に示した構文を満たすものとする。
なお、図1に示す匿名署名システム1の構成は一例であって、他の構成であっても良い。例えば、匿名署名生成装置20と署名検証装置30とが一体で構成されていても良い。
<匿名署名システム1の処理の詳細>
Gを上記のTrapdoor DDH群、RをGに関する離散対数とし、G=GL(n,〈e(α,α)〉)とする。また、e:G×G→Gを上記のTrapdoor DDH群のペアリング写像とし、写像H:{0,1}→G及び写像H´:{0,1}→Rを互いに独立なランダムオラクルとする。更に、システムパラメタρをρ=(R,G,G,e,g,H,H´)とする。
(セットアップ処理)
まず、セットアップ部210が実行するセットアップ処理について、図2を参照しながら説明する。図2は、本発明の実施の形態におけるセットアップ処理の一例を示すフローチャートである。
ステップS101:まず、セットアップ部210は、安全パラメタ1を入力する。
ステップS102:次に、セットアップ部210は、w←Rとしてエージェント秘密鍵wを生成する。すなわち、セットアップ部210は、Rから一様ランダムに選択された要素をエージェント秘密鍵wとする。
ステップS103:次に、セットアップ部210は、g←I とした後、ρ←(R,G,G,e,g,H,H´)としてシステムパラメタρを生成する。すなわち、セットアップ部210は、(R,G,G,e,g,H,H´)をシステムパラメタρとする。
ステップS104:最後に、セットアップ部210は、エージェント秘密鍵wとシステムパラメタρとを出力する。
これにより、エージェント秘密鍵wとシステムパラメタρとが生成される。なお、エージェント秘密鍵wは、例えば、匿名署名生成装置20の補助記憶装置等に記憶される。一方で、システムパラメタρは、署名者に公開される。
(鍵生成処理)
次に、鍵生成部110が実行する鍵生成処理について、図3を参照しながら説明する。図3は、本発明の実施の形態における鍵生成処理の一例を示すフローチャートである。なお、図3に示す鍵生成処理では、リングLに属する或る署名者の署名生成装置10が秘密鍵xと公開鍵yとを生成する場合について説明する。
ステップS201:まず、鍵生成部110は、システムパラメタρを入力する。このとき、鍵生成部110は、署名者が指定したエージェントが公開しているシステムパラメタρを入力する。
ステップS202:次に、鍵生成部110は、(R,G,G,e,g,H,H´)←ρとシステムパラメタρをパースする。すなわち、鍵生成部110は、システムパラメタρを(R,G,G,e,g,H,H´)とする。
ステップS203:次に、鍵生成部110は、x←Rとした後、y←gとして秘密鍵xと公開鍵yとを生成する。
ステップS204:最後に、鍵生成部110は、秘密鍵xと公開鍵yとを出力する。
これにより、リングLに属する或る署名者の秘密鍵xと公開鍵yとが生成される。なお、秘密鍵xは、例えば、署名生成装置10の補助記憶装置等に記憶される。一方で、公開鍵yは、エージェントに公開される。
(署名処理)
次に、署名生成部120が実行する署名処理について、図4を参照しながら説明する。図4は、本発明の実施の形態における署名処理の一例を示すフローチャートである。なお、図4に示す署名処理では、リングLに属する或る署名者の署名生成装置10が署名を生成(作成)する場合について説明する。
ステップS301:まず、署名生成部120は、秘密鍵xとメッセージmとを入力する。
ステップS302:次に、署名生成部120は、r←H(ρ,m)として署名rを生成する。なお、このρは、上記のステップS201で署名者が指定したエージェントが公開しているシステムパラメタρである。
ステップS303:最後に、署名生成部120は、署名rを出力する。
これにより、署名rが生成される。署名rは、メッセージmと共に、上記のステップS201で署名者が指定したエージェントの匿名署名生成装置20に送信される。
(匿名化処理)
次に、匿名化部220が実行する匿名化処理について、図5を参照しながら説明する。図5は、本発明の実施の形態における匿名化処理の一例を示すフローチャートである。図5に示す匿名化処理では、識別子iの署名者の署名rを匿名化する場合について説明する。
ステップS401:まず、匿名化部220は、署名者の識別子iと、当該署名者の署名rと、リングLと、リングLに属する署名者の公開鍵リストyと、当該署名rに対応するメッセージmと、エージェント秘密鍵wとを入力する。
ステップS402:次に、匿名化部220は、h←H(ρ,m)としてランダムオラクルHの出力値hを生成する。なお、システムパラメタρは自身が生成したもの用いる。
ステップS403:次に、匿名化部220は、以下の等式が成立するか否かを判定する。
Figure 2019213092
ステップS404:上記の数17に示す等式が成立しない場合、匿名化部220は、拒絶⊥を出力する。この場合は、署名rを匿名化することはできない。
ステップS405:上記の数17に示す等式が成立する場合、匿名化部220は、
Figure 2019213092
のゼロ知識証明を以下のステップS405−1〜ステップS405−3により生成する。
ステップS405−1:匿名化部220は、
Figure 2019213092
とする。
ステップS405−2:匿名化部220は、任意のj∈L\{i}に対して、
Figure 2019213092
とする。以上により、T1,L=(T1,kk∈Lと、T2,L=(T2,kk∈Lとが得られる。
ステップS405−3:匿名化部220は、
Figure 2019213092
とする。以上により、z1,L=(z1,kk∈Lと、z2,L=(z2,kk∈Lと、c=(ck∈Lとが得られる。
ステップS406:次に、匿名化部220は、σ←(U,c,z1,L,z2,L)としてリング署名σを生成する。
ステップS407:最後に、匿名化部220は、リング署名σを出力する。これにより、リング署名σが生成される。
以上のように、エージェント指定匿名化可能署名方式Σでは、署名rの匿名化にエージェント秘密鍵wを用いる。このため、署名者が指定したエージェントのみが署名rの匿名を行うことができる。したがって、エージェント指定匿名化可能署名方式Σでは、仮に署名rが漏洩した場合であっても、エージェント秘密鍵wが漏洩しなければ、署名rの匿名性を担保することができる。
(検証処理)
次に、検証部310が実行する検証処理について、図6を参照しながら説明する。図6は、本発明の実施の形態における検証処理の一例を示すフローチャートである。
ステップS501:まず、検証部310は、リングLと、リングLに属する署名者の公開鍵リストyと、メッセージmと、リング署名σとを入力する。
ステップS502:次に、検証部310は、(U,c,z1,L,z2,L)←σとリング署名σをパースする。すなわち、検証部310は、リング署名σを(U,c,z1,L,z2,L)とする。
ステップS503:次に、検証部310は、h←H(ρ,m)としてランダムオラクルHの出力値hを生成する。なお、システムパラメタρはエージェントが生成したものを用いる。
ステップS504:次に、検証部310は、任意のj∈Lに対して、
Figure 2019213092
としてT1,j及びT2,jを生成する。
ステップS505:次に、検証部310は、以下の等式が成立するか否かを判定する。
Figure 2019213092
であるか否かを判定する。
ステップS506:上記の数23に示す等式が成立する場合、検証部310は、検証結果として1を出力する。この場合、メッセージmが正当であることを表す。
ステップS507:上記の数23に示す等式が成立しない場合、検証部310は、検証結果として0を出力する。この場合、メッセージmが正当でないことを表す。
<ハードウェア構成>
最後に、本発明の実施の形態における署名生成装置10、匿名署名生成装置20及び署名検証装置30のハードウェア構成について、図7を参照しながら説明する。図7は、本発明の実施の形態における署名生成装置10、匿名署名生成装置20及び署名検証装置30のハードウェア構成の一例を示す図である。なお、署名生成装置10、匿名署名生成装置20及び署名検証装置30は略同様のハードウェア構成で実現可能であるため、以降では、主に、署名生成装置10のハードウェア構成について説明する。
図7に示すように、本発明の実施の形態における署名生成装置10は、入力装置401と、表示装置402と、RAM(Random Access Memory)403と、ROM(Read Only Memory)404と、プロセッサ405と、外部I/F406と、通信I/F407と、補助記憶装置408とを有する。これら各ハードウェアは、それぞれがバス409を介して通信可能に接続されている。
入力装置401は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置402は、例えばディスプレイ等であり、ユーザに対して処理結果等を表示するのに用いられる。なお、署名生成装置10、匿名署名生成装置20及び署名検証装置30は、入力装置401及び表示装置402のうちの少なくとも一方を有していなくても良い。
RAM403は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM404は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。プロセッサ405は、例えばCPU(Central Processing Unit)等であり、ROM404や補助記憶装置408等からプログラムやデータをRAM403上に読み出して処理を実行する演算装置である。
外部I/F406は、外部装置とのインタフェースである。外部装置には、記録媒体406a等がある、記録媒体406aとしては、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。
通信I/F407は、署名生成装置10を通信ネットワーク40に接続するためのインタフェースである。署名生成装置10は、通信I/F407を介して、他の装置との間でデータ通信を行うことができる。匿名署名生成装置20及び署名検証装置30についても同様である。
補助記憶装置408は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性の記憶装置である。補助記憶装置408には、各種データやプログラム(例えば、鍵生成部110及び署名生成部120を実現する1以上のプログラム)等が記憶されている。なお、匿名署名生成装置20の補助記憶装置408には、例えば、セットアップ部210及び匿名化部220を実現する1以上のプログラム等が記憶されている。同様に、署名検証装置30の補助記憶装置408には、例えば、検証部310を実現する1以上のプログラム等が記憶されている。
本発明の実施の形態における署名生成装置10、匿名署名生成装置20及び署名検証装置30は、図7に示すハードウェア構成を有することにより、上述した各種処理を実現することができる。なお、図7では、署名生成装置10、匿名署名生成装置20及び署名検証装置30が1台の装置(コンピュータ)で実現されている場合について説明したが、これに限られず、署名生成装置10、匿名署名生成装置20及び署名検証装置30のうちの少なくとも1つが複数台の装置(コンピュータ)で実現されていても良い。
本発明は、具体的に開示された上記の各実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更、組み合わせ等が可能である。
1 匿名署名システム
10 署名生成装置
20 匿名署名生成装置
30 署名検証装置
40 通信ネットワーク
110 鍵生成部
120 署名生成部
210 セットアップ部
220 匿名化部
310 検証部

Claims (8)

  1. 安全パラメタを入力として、エージェント秘密鍵wとシステムパラメタρとを生成するセットアップ手段と、
    前記システムパラメタρを入力として、署名者の秘密鍵xと公開鍵yとを生成する鍵生成手段と、
    前記秘密鍵xと、署名が付与される対象のメッセージmとを入力として、前記メッセージmに対する署名rを生成する署名生成手段と、
    前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名rと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmとを入力として、前記署名rを匿名化したリング署名σを生成する匿名化手段と、
    前記リングLと、前記リストyと、前記メッセージmと、前記リング署名σとを入力として、前記メッセージmの検証結果bを出力する検証手段と、
    を有することを特徴とする匿名署名システム。
  2. 前記セットアップ手段は、
    Trapdoor DDH群の離散対数から一様ランダムに選択した要素を前記エージェント秘密鍵wとし、
    前記匿名化手段は、
    前記エージェント秘密鍵wを用いた知識証明を生成することで、前記リング署名σを生成する、
    ことを特徴とする請求項1に記載の匿名署名システム。
  3. 前記匿名化手段は、
    前記エージェント秘密鍵wを用いて前記Trapdoor DDH群に定義されたペアリングを計算した結果と、前記署名rを用いて前記ペアリングを計算した結果とが一致する場合に、前記知識証明を生成する、
    ことを特徴とする請求項2に記載の匿名署名システム。
  4. メッセージmに対する署名rの匿名化を行う匿名署名生成装置とネットワークを介して接続される署名生成装置であって、
    前記匿名署名生成装置で生成されたシステムパラメタρを入力として、署名者の秘密鍵xと公開鍵yとを生成する鍵生成手段と、
    前記秘密鍵xと、前記メッセージmとを入力として、前記メッセージmに対する署名rを生成する署名生成手段と、
    前記メッセージmと前記署名rとを前記匿名署名生成装置に送信する送信手段と、
    を有することを特徴とする署名生成装置。
  5. メッセージmに対する署名rを生成する署名生成装置とネットワークを介して接続される匿名署名生成装置であって、
    安全パラメタを入力として、エージェント秘密鍵wとシステムパラメタρとを生成するセットアップ手段と、
    前記署名生成装置で生成された署名rと、前記署名rに対応するメッセージmと、前記署名rの署名者の識別子iと、前記エージェント秘密鍵wと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyとを入力として、前記署名rを匿名化したリング署名σを生成する匿名化手段と、
    を有することを特徴とする匿名署名生成装置。
  6. メッセージmに対する署名rを匿名化したリング署名σを生成する匿名署名生成装置とネットワークを介して接続される署名生成装置であって、
    前記署名rを署名した署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmと、前記リング署名σとを入力として、前記メッセージmの検証結果bを出力する検証手段、
    を有することを特徴とする検証装置。
  7. 安全パラメタを入力として、エージェント秘密鍵wとシステムパラメタρとを生成するセットアップ手順と、
    前記システムパラメタρを入力として、署名者の秘密鍵xと公開鍵yとを生成する鍵生成手順と、
    前記秘密鍵xと、署名が付与される対象のメッセージmとを入力として、前記メッセージmに対する署名rを生成する署名生成手順と、
    前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名rと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmとを入力として、前記署名rを匿名化したリング署名σを生成する匿名化手順と、
    前記リングLと、前記リストyと、前記メッセージmと、前記リング署名σとを入力として、前記メッセージmの検証結果bを出力する検証手順と、
    をコンピュータが実行することを特徴とする匿名署名方法。
  8. コンピュータを、請求項4に記載の署名生成装置における各手段、請求項5に記載の匿名署名生成装置における各手段又は請求項6に記載の検証装置における各手段として機能させるためのプログラム。
JP2018108834A 2018-06-06 2018-06-06 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム Pending JP2019213092A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018108834A JP2019213092A (ja) 2018-06-06 2018-06-06 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム
PCT/JP2019/017470 WO2019235095A1 (ja) 2018-06-06 2019-04-24 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018108834A JP2019213092A (ja) 2018-06-06 2018-06-06 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2019213092A true JP2019213092A (ja) 2019-12-12

Family

ID=68770007

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018108834A Pending JP2019213092A (ja) 2018-06-06 2018-06-06 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム

Country Status (2)

Country Link
JP (1) JP2019213092A (ja)
WO (1) WO2019235095A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11973884B2 (en) * 2019-05-27 2024-04-30 Nippon Telegraph And Telephone Corporation Anonymous signature system, signature generation apparatus, anonymous signature generation apparatus, verification apparatus, anonymous signature method and program
CN113112268A (zh) * 2021-03-19 2021-07-13 杭州复杂美科技有限公司 匿名多重签名方法、计算机设备和存储介质
JP2022174466A (ja) * 2021-05-11 2022-11-24 株式会社日立製作所 署名システム及び署名方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015105479A1 (en) * 2014-01-07 2015-07-16 Empire Technology Development Llc Anonymous signature scheme

Also Published As

Publication number Publication date
WO2019235095A1 (ja) 2019-12-12

Similar Documents

Publication Publication Date Title
CN110363030B (zh) 用于执行基于格的密码操作的方法和处理设备
WO2020034754A1 (zh) 多方安全计算方法及装置、电子设备
CN110214325B (zh) 数据屏蔽的方法和系统
WO2020034751A1 (zh) 多方安全计算方法及装置、电子设备
JP7238977B2 (ja) 匿名署名システム及び匿名署名方法
JP5419056B2 (ja) Cartier対形成の暗号化適用
US10826694B2 (en) Method for leakage-resilient distributed function evaluation with CPU-enclaves
TWI813616B (zh) 用以獲取數位簽署資料之電腦實行方法及系統
Jayapandian et al. Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption
WO2020212796A1 (en) Computer implemented method and system for encrypting data
US11349668B2 (en) Encryption device and decryption device
WO2019235095A1 (ja) 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム
CN114244517A (zh) 数据加密及签名方法、装置、计算机设备和存储介质
Yarava et al. Efficient and Secure Cloud Storage Auditing Based on the Diffie-Hellman Key Exchange.
US20240187230A1 (en) A low overhead method and architecture for side-channel attack resistance in elliptic curve arithmetic
Kanwal et al. Lightweight noncommutative key exchange protocol for IoT environments
US20220385954A1 (en) Embedding information in elliptic curve base point
Chang A flexible hierarchical access control mechanism enforcing extension policies
JP2021015218A (ja) 匿名認証方法、プログラム、および、匿名認証システム
Wang et al. Secret sharing scheme with dynamic size of shares for distributed storage system
Zhou et al. A novel privacy protection scheme for internet of things based on blockchain and privacy set intersection technique
Odelu et al. DMAMA: Dynamic migration access control mechanism for mobile agents in distributed networks
CN116318647B (zh) 一种具有同态特性的cp-abe外包解密方法和装置
US20230085577A1 (en) Secured performance of an elliptic curve cryptographic process
Shi et al. Protecting encrypted signature functions against intrusions on computing devices by obfuscation