JP2868104B2 - 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 - Google Patents
楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置Info
- Publication number
- JP2868104B2 JP2868104B2 JP4199916A JP19991692A JP2868104B2 JP 2868104 B2 JP2868104 B2 JP 2868104B2 JP 4199916 A JP4199916 A JP 4199916A JP 19991692 A JP19991692 A JP 19991692A JP 2868104 B2 JP2868104 B2 JP 2868104B2
- Authority
- JP
- Japan
- Prior art keywords
- elliptic curve
- random number
- calculating
- modq
- verifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
Description
ん議/決済、電子投票システムなどで電子的に署名/捺
印を付与するデイジタル署名方式、特に有限体上の楕円
曲線に基づく方法及びそれに用いられる署名者装置、及
び検証者装置に関する。
onal Institute ofStandard
s and Technology)は、デイジタル署
名の標準案(DSA:Digital Signatu
re Standard)を提案した(Federal
Register of NIST,“Digita
l Signature Algorithm”Aug
ust 30,1991.)。DSAは署名長が短くな
る点でエルガマル署名法(EIGamal,T.:“A
Public key cryptosystem
and a signature scheme ba
sed on discrete logarithm
s”,IEEE Transaction on In
formation Theory,Vol.IT−3
1,No.4,pp.469−472,1991.)の
改良版である。DSAおよびElGamal署名法は有
限体Fp 上の離散対数計算の困難さに基づいている。し
かしより一層安全な署名方式が望まれている。
の楕円曲線に基づいており、DSAをより一層安全なよ
うにしたものである。まず楕円曲線の概要を説明する。
素数p、パラメータa,bに対して以下の式を満たす点
の集合に無限遠点Οを加えた集合を、楕円曲線Ep と呼
ぶ(Koblitz,N.:A Coursein N
umber Theory and Cryptogr
aphy,Berlin:Springer−Verl
ag,1987.)。ここでは便宜上、アフィン座標系
で表す。
される。 x3 =λ2 −x1 −x2 y3 =λ(x1 −x3 )−y1 λ=(y2 −y1 )/(x2 −x1 ):(P1 ≠P2 ) λ=((3x1 2+a)/2y1 :(P1 =P2 ) ただしPi =(xi ,yi )。
p 上の除算(拡張ユークリッドアルゴリズムによる逆元
の計算)を行なわずに楕円曲線上の加算が定義できる。
点Pのd倍点(d・P)は上記の加算を用いて、バイナ
リ法などにより計算される。この発明の署名方式では、
位数(曲線上の点(x,y)の数)が素数でなく、適当
な大きさの素因数を持つような楕円曲線を用いる。位数
が定まる楕円曲線の例として、a=0,b≠0かつp≡
2(mod3)の場合があり、位数は常にp+1とな
る。)
センタにおいて、有限体Fp 上の楕円曲線Ep (y2≡
x3 +ax+b(modp))のうち群の位数(#
Ep )が素数でないものを選び、その選んだ楕円曲線E
p 上の一点V=(vx ,vy ),({vx ,vy }∈F
p )、及び位数#Ep を割り切る素数qと、qを越えな
い正の整数q′をそれぞれ選び、上記楕円曲線Ep 上で
G=(#Ep /q)・Vを計算し、上記p,a,q,
q′と各署名者iに個有な下記公開鍵Ti とを公開情報
として公開する。
開情報p,a,Gとを用いて楕円曲線Ep 上で前記公開
鍵Ti =zi ・Gを計算し、そのTi をセンタへ送り、
公開する。署名に当っては乱数kを生成し、そのkと公
開情報とを用いて楕円曲線E p 上でR=(rx ,ry )
=k・Gを計算し、またメッセージmを変数に代入して
ハッシュ関数H(m)を計算し、更にs1 =rx mod
q′を計算し、次に自己の秘密鍵zi を用いてs2 =
(k/(H(m)+zi s1 ))modqを計算し、メ
ッセージmと署名(s1 ,s2 )とを検証者へ送る。
公開情報とを用いてu1 =H(m)s 2 modq,u2
=s1 s2 modqを計算し、更に楕円曲線Ep 上で
R′=(rx ′,ry ′)=u1 ・G+u2 ・Ti を計
算し、その後、検査式s1 ≡rx ′(modq′)が成
立するか否かを確認する。
示す。センタ装置11と署名者装置12及び検証者装置
13とがそれぞれ通信路14及び15で接続され、また
署名者装置12及び検証者装置13が通信路16で接続
されている。センタ装置11の構成例を図2に、署名者
装置12の構成例を図3に、検証者装置13の構成例を
図4にそれぞれ示す。
から素数pを生成し、楕円曲線パラメータ生成器18に
おいて、有限体Fp 上の楕円曲線Ep :y2 ≡x3 +a
x+b(modp)のうち群の位数#Ep が素数でない
ものを選び、かつその選んだ楕円曲線上の一点V=(v
x ,vy ),({vx ,vy }∈Fp )を選び、更にそ
の選んだ位数#Ep を割り切る素数qを選び、q′≦q
となる正の整数q′を選びこれらのパラメータa、V、
#Ep 、q、q′を出力する。除算器19で#Ep /q
の計算を行い、その結果とパラメータa,Vとを楕円曲
線乗算器21に入力し、楕円曲線Ep 上でG=(#Ep
/q)・Vを計算する。センタではセンタ装置11で得
られたパラメータp,a,G,q,q′と、署名者iか
ら受信した公開鍵Ti とを公開情報として公開する。
成器23から乱数ziを自己の秘密鍵として生成し、こ
れとセンタからの公開情報p,a,Gとを用いて楕円曲
線乗算器24で、楕円曲線Ep 上でTi =zi ・Gを計
算し、このTiを公開鍵としてセンタへ送る。また秘密
鍵zi を鍵記憶部25に記憶しておく。
ージmをハッシュ関数計算器26に入力してハッシュ値
H(m)を計算して剰余乗除算器27に入力する。また
乱数生成器28から乱数kを生成し、これと公開情報
p,a,Gとを楕円曲線乗算器29に入力して楕円曲線
Ep 上でR=(rx ,ry )=k・Gを計算し、その結
果を剰余乗除算器27に入力する。剰余乗除算器27で
は s1 =rx modq′, s2 =(k/(H(m)+zi ・s1 ))modp を計算する。この(s1 ,s2 )を署名としてメッセー
ジmと共に検証者へ送る。
署名(s1 ,s2 )が同時に受信したメッセージmに対
する正しい署名であるか否かを以下のように検証する。
ハッシュ関数計算器31を用いて受信したメッセージm
を変数に入れてハッシュ値H(m)を計算する。その計
算結果H(m)と受信した署名(s1 ,s2 )と公開情
報qとを剰余乗算器32に入力して、 u1 =H(m)s2 modq, u2 =s1 ・s2 m
odq を計算する。その計算結果u1 ,u2 と公開情報p,
a,G,Ti とを用いて楕円曲線加算/乗算器33で下
記の楕円曲線Ep 上の計算を行う。
に入力して合同式s1≡rx ′(modq′)が成立す
るか否かを確認し、成立する場合はその署名(s1 ,s
2 )はそのメッセージmに対する正しい署名であると出
力し、それ以外は不正の署名であると出力する。
される。ところで、署名とメッセージが正しい場合には
楕円曲線Ep上の検査式は、以下のようになる。 R′=u1 ・G+u2 ・Ti =(H(m)s2 +cq1 )・G+(s1 s2 +c′q1 )・(zi ・G) =((H(m)+s1 zi )s2 )・G =k・G =R ただしq1 ・Gは楕円曲線Ep の零元Oとなる。また、
c,c′は、ある整数である。以上より、 rx ≡rx ′(modp), ry ≡ry ′(mod
p) また、0<rx ,rx ′,ry ,ry ′≦p−1,より rx ≡rx ′(modq′), ry ≡ry ′(mod
q′) が成り立つ。署名確認には、法q′でのx座標の一致を
調べる。
イズは(|q|+|q′|)ビットとなる。ただし|q
|はqのビット長とする。法qのサイズはハッシュ関数
の中間一致攻撃に対する安全性を考慮して決められる。
また素数pのサイズはEp 上の離散対数計算の困難さを
考慮して決められる。
pの大きさを同じにした場合にDSAに比べてより安全
である。なぜならば、この発明の方式の安全性は楕円曲
線Ep上の離散対数計算の困難さに基づいており、楕円
曲線Ep 上の離散対数問題は一般に有限体Ep 上の離散
対数問題より難しいからである。またs 1 =r x mod
q′を計算することにより点Rのx座標r x を0から
q′−1の間の整数値に写像し、r x を送るよりもs 1
を送ることにより転送情報量が少なくて済む利点があ
る。
図。
を示すブロック図。
を示すブロック図。
Claims (3)
- 【請求項1】 センタ装置において、素数生成器から素
数pを生成し、楕円曲線パラメータ生成器により有限体
Fp 上の楕円曲線Ep (y2 ≡x3 +ax+b(mod
p)のうち群の位数(#Ep )が素数でないものを発生
し、更にその楕円曲線Ep 上の一点V=(vx ,
vy ),({vx ,vy }∈Fp )、及び位数#Ep を
割り切る素数qと、qを越えない正の整数q′をそれぞ
れ発生し、除算器により#E p /qを計算し、楕円曲線
乗算器により上記楕円曲線Ep 上でG=(#Ep /q)
・Vを計算し、上記p,a,q,q′,Gと下記公開鍵
Ti とを公開情報として公開し、 署名者iの装置は乱数生成器から自己の秘密鍵(乱数)
zi を生成し、楕円曲線乗算器により、秘密鍵z i を用
いて上記楕円曲線Ep 上でTi =zi ・Gを計算し、こ
のTi を上記公開鍵Ti として上記センタ装置へ送って
おき、その後、乱数生成器から乱数kを生成し、楕円曲
線乗算器により上記楕円曲線Ep 上でR=(rx ,
ry )=k・Gを計算し、剰余除算器により更にs1 =
rx modq′を計算し、また自己の秘密鍵zi とハッ
シュ関数H(・)を用い、メッセージmに対してs2 =
(k/(H(m)+zi s1 ))modqを計算し、署
名(s1 ,s2 )をメッセージmと共に検証者の装置へ
送信し、 その検証者の装置は受信した(s1 ,s2 )、m及び上
記公開情報を用いて、剰余乗算器によりu1 =H(m)
s2 modq,u2 =s1 s2 modqを計算、更に楕
円曲線加算/乗算器により、上記楕円曲線Ep 上でR′
=(rx ′,ry ′)=u1 ・G+u2 ・Ti を計算
し、比較器により検査式s1 ≡rx ′(modq′)を
満すか否かを確認することを特徴とする楕円曲線に基づ
くデイジタル署名方法。 - 【請求項2】 秘密鍵として乱数zi を発生する第1乱
数生成手段と、 公開情報p,a,Gと上記zi とを用いて楕円曲線Ep
上で公開鍵Ti =zi・Gを計算する第1楕円曲線乗算
手段と、 上記秘密鍵zi を記憶する手段と、 メッセージmを変数とするハッシュ関数H(m)を計算
するハッシュ関数計算手段と、 乱数kを発生する第2乱数生成手段と、 そのkと上記p,a,Gとを用い上記楕円曲線Ep 上で
R=(rx ,ry )=k・Gを計算する第2楕円曲線乗
算手段と、 上記zi 、上記H(m)、上記R、上記k、及び公開情
報q′を用いてs1 =ra modq′及びs2 =(k/
(H(m)+zi s1 ))modqを計算する剰余乗除
算手段と、 上記メッセージmと、それに対する署名として上記(s
1 ,s2 )とを検証者へ送信する手段と、 を具備するデイジタル署名の署名者装置。 - 【請求項3】 受信したメッセージmを変数としてハッ
シュ関数H(m)を計算するハッシュ関数計算手段と、 上記H(m)と、公開情報qと、上記メッセージmと共
に受信した署名s1 ,s2 )とを用いて、u1 =H
(m)s1 modq,u2 =s1 s2 modqを計算す
る剰余乗算手段と、 上記u1 ,u2 と、公開情報p,a,Gと署名者と対応
する公開鍵Ti とを用いて楕円曲線Ep 上でR′=(r
x ′,ry ′)=u1 ・G+u2 ・Ti を計算する楕円
曲線加算/乗算手段と、 上記rx ′と上記s1 とが一致するか否かを比較する比
較手段と、 を具備するデイジタル署名の検証者装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP4199916A JP2868104B2 (ja) | 1992-07-27 | 1992-07-27 | 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP4199916A JP2868104B2 (ja) | 1992-07-27 | 1992-07-27 | 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH0643809A JPH0643809A (ja) | 1994-02-18 |
JP2868104B2 true JP2868104B2 (ja) | 1999-03-10 |
Family
ID=16415736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP4199916A Expired - Lifetime JP2868104B2 (ja) | 1992-07-27 | 1992-07-27 | 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2868104B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4644368B2 (ja) * | 1998-06-23 | 2011-03-02 | マイクロソフト コーポレーション | 非公開に認証可能な暗号署名を生成し、かつ製品の複製に関連してそのような署名を用いるための技術 |
EP1714420B1 (en) | 2004-02-13 | 2010-12-01 | Certicom Corp. | One way authentication |
CA2642399C (en) * | 2008-10-30 | 2016-08-16 | Certicom Corp. | Collision-resistant elliptic curve hash functions |
KR101636671B1 (ko) * | 2014-11-07 | 2016-07-21 | 고려대학교 산학협력단 | 타원곡선 암호화 기반의 복제 불가능한 스마트미터 칩 |
-
1992
- 1992-07-27 JP JP4199916A patent/JP2868104B2/ja not_active Expired - Lifetime
Non-Patent Citations (4)
Title |
---|
"The Digital Signature Standard proposed by NIST,"Communications of the ACM,Vol.35,No.7,(Jul 1992),p.35−40 |
A Menezes,S.Vanstone,"The Implementation of Elliptic Curve Cryptosystems,"Lecture Notes in Computer Science,Vol.453,(1990),p.2−13 |
N.Koblitz,"Elliptic Curve Cryptosystems,"Mathematics of Computation,Vol.48,No.177,(1987),p.203−209 |
V.S.Miller,"Use of Elliptic Curves in Cryptography,"Lecture Notes in Computer Science,Vol.218,(1986),p.417−426 |
Also Published As
Publication number | Publication date |
---|---|
JPH0643809A (ja) | 1994-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7996676B2 (en) | Masked digital signatures | |
US8462944B2 (en) | Method of public key generation | |
EP0503119B1 (en) | Public key cryptographic system using elliptic curves over rings | |
Boneh et al. | Short signatures from the Weil pairing | |
US8639931B2 (en) | Acceleration of key agreement protocols | |
EP0639907B1 (en) | Digital signature method and key agreement method | |
US6212637B1 (en) | Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon | |
WO1998007253A9 (en) | Accelerating public-key cryptography by precomputing randomly generated pairs | |
CN107911217B (zh) | 基于ecdsa算法协同生成签名的方法、装置和数据处理系统 | |
Hwang et al. | An untraceable blind signature scheme | |
Lim et al. | A study on the proposed Korean digital signature algorithm | |
EP2495907A1 (en) | System and method for reducing computations in the derivation of a publick key corresponding to an implicit certificate | |
JP2868104B2 (ja) | 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 | |
Shen et al. | A blind signature based on discrete logarithm problem | |
US9252941B2 (en) | Enhanced digital signatures algorithm method and system utilitzing a secret generator | |
JP3540477B2 (ja) | 署名方式 | |
Chang et al. | Schnorr blind signature based on elliptic curves | |
Moldovyan et al. | Short signatures from the difficulty of factoring problem | |
Moldovyan | Short Signatures from Difficulty of Factorization Problem. | |
Chen et al. | A distributed electronic authentication scheme based on elliptic curve | |
JPH08160857A (ja) | 楕円曲線に基づく認証方法及び認証システム | |
Wang et al. | Proxy signature scheme with multiple original signers for wireless e-commerce applications | |
JPH0237147B2 (ja) | ||
Hitchcock | Elliptic curve cryptography for lightweight applications | |
Anitha et al. | Verifiable Encryption of Digital Signatures Using Elliptic Curve Digital Signature Algorithm and its Implementation Issues |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071225 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081225 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091225 Year of fee payment: 11 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101225 Year of fee payment: 12 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101225 Year of fee payment: 12 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111225 Year of fee payment: 13 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111225 Year of fee payment: 13 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 14 |
|
EXPY | Cancellation because of completion of term | ||
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121225 Year of fee payment: 14 |