JP2868104B2 - 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 - Google Patents

楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置

Info

Publication number
JP2868104B2
JP2868104B2 JP4199916A JP19991692A JP2868104B2 JP 2868104 B2 JP2868104 B2 JP 2868104B2 JP 4199916 A JP4199916 A JP 4199916A JP 19991692 A JP19991692 A JP 19991692A JP 2868104 B2 JP2868104 B2 JP 2868104B2
Authority
JP
Japan
Prior art keywords
elliptic curve
random number
calculating
modq
verifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP4199916A
Other languages
English (en)
Other versions
JPH0643809A (ja
Inventor
謙二 小山
行雄 鶴岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP4199916A priority Critical patent/JP2868104B2/ja
Publication of JPH0643809A publication Critical patent/JPH0643809A/ja
Application granted granted Critical
Publication of JP2868104B2 publication Critical patent/JP2868104B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】この発明は電子化された文書のり
ん議/決済、電子投票システムなどで電子的に署名/捺
印を付与するデイジタル署名方式、特に有限体上の楕円
曲線に基づく方及びそれに用いられる署名者装置、及
び検証者装置に関する。
【0002】
【従来の技術】1991年に米国のNIST(Nati
onal Institute ofStandard
s and Technology)は、デイジタル署
名の標準案(DSA:Digital Signatu
re Standard)を提案した(Federal
Register of NIST,“Digita
l Signature Algorithm”Aug
ust 30,1991.)。DSAは署名長が短くな
る点でエルガマル署名法(EIGamal,T.:“A
Public key cryptosystem
and a signature scheme ba
sed on discrete logarithm
s”,IEEE Transaction on In
formation Theory,Vol.IT−3
1,No.4,pp.469−472,1991.)の
改良版である。DSAおよびElGamal署名法は有
限体Fp 上の離散対数計算の困難さに基づいている。し
かしより一層安全な署名方式が望まれている。
【0003】この発明のデイジタル署名方式は有限体上
の楕円曲線に基づいており、DSAをより一層安全なよ
うにしたものである。まず楕円曲線の概要を説明する。
素数p、パラメータa,bに対して以下の式を満たす点
の集合に無限遠点Οを加えた集合を、楕円曲線Ep と呼
ぶ(Koblitz,N.:A Coursein N
umber Theory and Cryptogr
aphy,Berlin:Springer−Verl
ag,1987.)。ここでは便宜上、アフィン座標系
で表す。
【0004】 Ep :y2 ≡x3 +ax+b(modp). 楕円曲線上の加算P3 =P1 +P2 は以下のように定義
される。 x3 =λ2 −x1 −x23 =λ(x1 −x3 )−y1 λ=(y2 −y1 )/(x2 −x1 ):(P1 ≠P2 ) λ=((3x1 2+a)/2y1 :(P1 =P2 ) ただしPi =(xi ,yi )。
【0005】なお、斎次座標系を用いることにより、F
p 上の除算(拡張ユークリッドアルゴリズムによる逆元
の計算)を行なわずに楕円曲線上の加算が定義できる。
点Pのd倍点(d・P)は上記の加算を用いて、バイナ
リ法などにより計算される。この発明の署名方式では、
位数(曲線上の点(x,y)の数)が素数でなく、適当
な大きさの素因数を持つような楕円曲線を用いる。位数
が定まる楕円曲線の例として、a=0,b≠0かつp≡
2(mod3)の場合があり、位数は常にp+1とな
る。)
【0006】
【課題を解決するための手段】請求項1の発明によれば
センタにおいて、有限体Fp 上の楕円曲線Ep (y2
3 +ax+b(modp))のうち群の位数(#
p )が素数でないものを選び、その選んだ楕円曲線E
p 上の一点V=(vx ,vy ),({vx ,vy }∈F
p )、及び位数#Ep を割り切る素数qと、qを越えな
い正の整数q′をそれぞれ選び、上記楕円曲線Ep 上で
G=(#Ep /q)・Vを計算し、上記p,a,q,
q′と各署名者iに個有な下記公開鍵Ti とを公開情報
として公開する。
【0007】署名者iは自己の秘密鍵zi (乱数)と公
開情報p,a,Gとを用いて楕円曲線Ep 上で前記公開
鍵Ti =zi ・Gを計算し、そのTi をセンタへ送り、
公開する。署名に当っては乱数kを生成し、そのkと公
開情報とを用いて楕円曲線E p 上でR=(rx ,ry
=k・Gを計算し、またメッセージmを変数に代入して
ハッシュ関数H(m)を計算し、更にs1 =rx mod
q′を計算し、次に自己の秘密鍵zi を用いてs2
(k/(H(m)+zi 1 ))modqを計算し、メ
ッセージmと署名(s1 ,s2 )とを検証者へ送る。
【0008】検証者は受信したmと(s1 ,s2 )と、
公開情報とを用いてu1 =H(m)s 2 modq,u2
=s12 modqを計算し、更に楕円曲線Ep 上で
R′=(rx ′,ry ′)=u1 ・G+u2 ・Ti を計
算し、その後、検査式s1 ≡rx ′(modq′)が成
立するか否かを確認する
【0009】
【実施例】図1にこの発明が適用されるシステムの例を
示す。センタ装置11と署名者装置12及び検証者装置
13とがそれぞれ通信路14及び15で接続され、また
署名者装置12及び検証者装置13が通信路16で接続
されている。センタ装置11の構成例を図2に、署名者
装置12の構成例を図3に、検証者装置13の構成例を
図4にそれぞれ示す。
【0010】センタ装置11において、素数生成器17
から素数を生成し、楕円曲線パラメータ生成器18に
おいて、有限体Fp 上の楕円曲線Ep :y2 ≡x3 +a
x+b(modp)のうち群の位数#Ep が素数でない
ものを選び、かつその選んだ楕円曲線上の一点V=(v
x ,vy ),({vx ,vy }∈Fp )を選び、更にそ
の選んだ位数#Ep を割り切る素数qを選び、q′≦q
となる正の整数q′を選びこれらのパラメータa、V、
#Ep 、q、q′を出力する。算器19で#Ep /q
の計算を行い、その結果とパラメータa,Vとを楕円曲
線乗算器21に入力し、楕円曲線Ep 上でG=(#Ep
/q)・Vを計算する。センタではセンタ装置11で得
られたパラメータp,a,G,q,q′と、署名者iか
ら受信した公開鍵Ti とを公開情報として公開する。
【0011】(1)鍵生成 署名者iは図3に示す署名者装置12を用いて、乱数生
成器23から乱数ziを自己の秘密鍵として生成し、こ
れとセンタからの公開情報p,a,Gとを用いて楕円曲
線乗算器24で、楕円曲線Ep 上でTi =zi ・Gを計
算し、このTiを公開鍵としてセンタへ送る。また秘密
鍵zi を鍵記憶部25に記憶しておく。
【0012】(2)署名作成 署名者iは図3に示す署名者装置12を用いて、メッセ
ージmをハッシュ関数計算器26に入力してハッシュ値
H(m)を計算して剰余乗除算器27に入力する。また
乱数生成器28から乱数kを生成し、これと公開情報
p,a,Gとを楕円曲線乗算器29に入力して楕円曲線
p 上でR=(rx ,ry )=k・Gを計算し、その結
果を剰余乗除算器27に入力する。剰余乗除算器27で
は s1 =rx modq′, s2 =(k/(H(m)+zi ・s1 ))modp を計算する。この(s1 ,s2 )を署名としてメッセー
ジmと共に検証者へ送る。
【0013】(3)署名の検証 検証者は図4に示す検証者装置13を用いて、受信した
署名(s1 ,s2 )が同時に受信したメッセージmに対
する正しい署名であるか否かを以下のように検証する。
ハッシュ関数計算器31を用いて受信したメッセージm
を変数に入れてハッシュ値H(m)を計算する。その計
算結果H(m)と受信した署名(s1 ,s2 )と公開情
報qとを剰余乗算器32に入力して、 u1 =H(m)s2 modq, u2 =s1 ・s2
odq を計算する。その計算結果u1 ,u2 と公開情報p,
a,G,Ti とを用いて楕円曲線加算/乗算器33で下
記の楕円曲線Ep 上の計算を行う。
【0014】 R′=(rx ′,ry ′)=u1 ・G+u2 ・Ti その計算結果rx ′と受信した署名s1 とを比較器34
に入力して合同式s1≡rx ′(modq′)が成立す
るか否かを確認し、成立する場合はその署名(s1 ,s
2 )はそのメッセージmに対する正しい署名であると出
力し、それ以外は不正の署名であると出力する。
【0015】以上の3段階でデイジタル署名方式が実現
される。ところで、署名とメッセージが正しい場合には
楕円曲線Ep上の検査式は、以下のようになる。 R′=u1 ・G+u2 ・Ti =(H(m)s2 +cq1 )・G+(s1 2 +c′q1 )・(zi ・G) =((H(m)+s1 i )s2 )・G =k・G =R ただしq1 ・Gは楕円曲線Ep の零元Oとなる。また、
c,c′は、ある整数である。以上より、 rx ≡rx ′(modp), ry ≡ry ′(mod
p) また、0x ,rx ′,ry ,ry ′≦p−1,より rx ≡rx ′(modq′), ry ≡ry ′(mod
q′) が成り立つ。署名確認には、法q′でのx座標の一致を
調べる。
【0016】以上のデイジタル署名方式において署名サ
イズは(|q|+|q′|)ビットとなる。ただし|q
|はqのビット長とする。法qのサイズはハッシュ関数
の中間一致攻撃に対する安全性を考慮して決められる。
また素数pのサイズはEp 上の離散対数計算の困難さを
考慮して決められる。
【0017】
【発明の効果】この発明のデイジタル署名方式は、素数
pの大きさを同じにした場合にDSAに比べてより安全
である。なぜならば、この発明の方式の安全性は楕円曲
線Ep上の離散対数計算の困難さに基づいており、楕円
曲線Ep 上の離散対数問題は一般に有限体Ep 上の離散
対数問題より難しいからである。またs 1 =r x mod
q′を計算することにより点Rのx座標r x を0から
q′−1の間の整数値に写像し、r x を送るよりもs 1
を送ることにより転送情報量が少なくて済む利点があ
る。
【図面の簡単な説明】
【図1】この発明が適用されるシステムを示すブロック
図。
【図2】センタ装置11の構成例を示すブロック図。
【図3】請求項2の発明による署名者装置12の構成例
を示すブロック図。
【図4】請求項3の発明による検証者装置13の構成例
を示すブロック図。
フロントページの続き (56)参考文献 “The Digital Sign ature Standard pro posed by NIST,”Com munications of the ACM,Vol.35,No.7,(J ul 1992),p.35−40 A Menezes,S.Vanst one,“The Implement ation of Elliptic Curve Cryptosystem s,“Lecture Notes i n Computer Scienc e,Vol.453,(1990),p.2− 13 N.Koblitz,“Ellipt ic Curve Cryptosys tems,”Mathematics of Computation,Vo l.48,No.177,(1987),p.203 −209 V.S.Miller,“Use o f Elliptic Curves in Cryptography,”L ecture Notes in Co mputer Science,Vo l.218,(1986),p.417−426 (58)調査した分野(Int.Cl.6,DB名) C09C 1/00 - 5/00 H04K 1/00 - 3/00 H04L 9/00 - 9/38 INSPEC(DIALOG) JICSTファイル(JOIS)

Claims (3)

    (57)【特許請求の範囲】
  1. 【請求項1】 センタ装置において、素数生成器から素
    数pを生成し、楕円曲線パラメータ生成器により有限体
    p 上の楕円曲線Ep (y2 ≡x3 +ax+b(mod
    p)のうち群の位数(#Ep )が素数でないものを発生
    し、更にその楕円曲線Ep 上の一点V=(vx
    y ),({vx ,vy }∈Fp )、及び位数#Ep
    割り切る素数qと、qを越えない正の整数q′をそれぞ
    発生し、除算器により#E p /qを計算し、楕円曲線
    乗算器により上記楕円曲線Ep 上でG=(#Ep /q)
    ・Vを計算し、上記p,a,q,q′,Gと下記公開鍵
    i とを公開情報として公開し、 署名者iの装置は乱数生成器から自己の秘密鍵(乱数)
    i を生成し、楕円曲線乗算器により、秘密鍵z i
    いて上記楕円曲線Ep 上でTi =zi ・Gを計算し、こ
    のTi を上記公開鍵Ti として上記センタ装置へ送って
    おき、その後、乱数生成器から乱数kを生成し、楕円曲
    線乗算器により上記楕円曲線Ep 上でR=(rx
    y )=k・Gを計算し、剰余除算器により更にs1
    x modq′を計算し、また自己の秘密鍵zi とハッ
    シュ関数H(・)を用い、メッセージmに対してs2
    (k/(H(m)+zi 1 ))modqを計算し、署
    名(s1 ,s2 )をメッセージmと共に検証者の装置へ
    送信し、 その検証者の装置は受信した(s1 ,s2 )、m及び上
    記公開情報を用いて、剰余乗算器により1 =H(m)
    2 modq,u2 =s1 2 modqを計算、更に
    円曲線加算/乗算器により、上記楕円曲線Ep 上でR′
    =(rx ′,ry ′)=u1 ・G+u2 ・Ti を計算
    し、比較器により検査式s1 ≡rx ′(modq′)を
    満すか否かを確認することを特徴とする楕円曲線に基づ
    くデイジタル署名方法。
  2. 【請求項2】 秘密鍵として乱数zi を発生する第1乱
    数生成手段と、 公開情報p,a,Gと上記zi とを用いて楕円曲線Ep
    上で公開鍵Ti =zi・Gを計算する第1楕円曲線乗算
    手段と、 上記秘密鍵zi を記憶する手段と、 メッセージmを変数とするハッシュ関数H(m)を計算
    するハッシュ関数計算手段と、 乱数kを発生する第2乱数生成手段と、 そのkと上記p,a,Gとを用い上記楕円曲線Ep 上で
    R=(rx ,ry )=k・Gを計算する第2楕円曲線乗
    算手段と、 上記zi 、上記H(m)、上記R、上記k、及び公開情
    報q′を用いてs1 =ra modq′及びs2 =(k/
    (H(m)+zi 1 ))modqを計算する剰余乗除
    算手段と、 上記メッセージmと、それに対する署名として上記(s
    1 ,s2 )とを検証者へ送信する手段と、 を具備するデイジタル署名の署名者装置。
  3. 【請求項3】 受信したメッセージmを変数としてハッ
    シュ関数H(m)を計算するハッシュ関数計算手段と、 上記H(m)と、公開情報qと、上記メッセージmと共
    に受信した署名s1 ,s2 )とを用いて、u1 =H
    (m)s1 modq,u2 =s1 2 modqを計算す
    る剰余乗算手段と、 上記u1 ,u2 と、公開情報p,a,Gと署名者と対応
    する公開鍵Ti とを用いて楕円曲線Ep 上でR′=(r
    x ′,ry ′)=u1 ・G+u2 ・Ti を計算する楕円
    曲線加算/乗算手段と、 上記rx ′と上記s1 とが一致するか否かを比較する比
    較手段と、 を具備するデイジタル署名の検証者装置。
JP4199916A 1992-07-27 1992-07-27 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置 Expired - Lifetime JP2868104B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP4199916A JP2868104B2 (ja) 1992-07-27 1992-07-27 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP4199916A JP2868104B2 (ja) 1992-07-27 1992-07-27 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置

Publications (2)

Publication Number Publication Date
JPH0643809A JPH0643809A (ja) 1994-02-18
JP2868104B2 true JP2868104B2 (ja) 1999-03-10

Family

ID=16415736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP4199916A Expired - Lifetime JP2868104B2 (ja) 1992-07-27 1992-07-27 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置

Country Status (1)

Country Link
JP (1) JP2868104B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4644368B2 (ja) * 1998-06-23 2011-03-02 マイクロソフト コーポレーション 非公開に認証可能な暗号署名を生成し、かつ製品の複製に関連してそのような署名を用いるための技術
EP1714420B1 (en) 2004-02-13 2010-12-01 Certicom Corp. One way authentication
CA2642399C (en) * 2008-10-30 2016-08-16 Certicom Corp. Collision-resistant elliptic curve hash functions
KR101636671B1 (ko) * 2014-11-07 2016-07-21 고려대학교 산학협력단 타원곡선 암호화 기반의 복제 불가능한 스마트미터 칩

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"The Digital Signature Standard proposed by NIST,"Communications of the ACM,Vol.35,No.7,(Jul 1992),p.35−40
A Menezes,S.Vanstone,"The Implementation of Elliptic Curve Cryptosystems,"Lecture Notes in Computer Science,Vol.453,(1990),p.2−13
N.Koblitz,"Elliptic Curve Cryptosystems,"Mathematics of Computation,Vol.48,No.177,(1987),p.203−209
V.S.Miller,"Use of Elliptic Curves in Cryptography,"Lecture Notes in Computer Science,Vol.218,(1986),p.417−426

Also Published As

Publication number Publication date
JPH0643809A (ja) 1994-02-18

Similar Documents

Publication Publication Date Title
US7996676B2 (en) Masked digital signatures
US8462944B2 (en) Method of public key generation
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
Boneh et al. Short signatures from the Weil pairing
US8639931B2 (en) Acceleration of key agreement protocols
EP0639907B1 (en) Digital signature method and key agreement method
US6212637B1 (en) Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon
WO1998007253A9 (en) Accelerating public-key cryptography by precomputing randomly generated pairs
CN107911217B (zh) 基于ecdsa算法协同生成签名的方法、装置和数据处理系统
Hwang et al. An untraceable blind signature scheme
Lim et al. A study on the proposed Korean digital signature algorithm
EP2495907A1 (en) System and method for reducing computations in the derivation of a publick key corresponding to an implicit certificate
JP2868104B2 (ja) 楕円曲線に基づくデイジタル署名方法とその署名者装置及び検証者装置
Shen et al. A blind signature based on discrete logarithm problem
US9252941B2 (en) Enhanced digital signatures algorithm method and system utilitzing a secret generator
JP3540477B2 (ja) 署名方式
Chang et al. Schnorr blind signature based on elliptic curves
Moldovyan et al. Short signatures from the difficulty of factoring problem
Moldovyan Short Signatures from Difficulty of Factorization Problem.
Chen et al. A distributed electronic authentication scheme based on elliptic curve
JPH08160857A (ja) 楕円曲線に基づく認証方法及び認証システム
Wang et al. Proxy signature scheme with multiple original signers for wireless e-commerce applications
JPH0237147B2 (ja)
Hitchcock Elliptic curve cryptography for lightweight applications
Anitha et al. Verifiable Encryption of Digital Signatures Using Elliptic Curve Digital Signature Algorithm and its Implementation Issues

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071225

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081225

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091225

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101225

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101225

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111225

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111225

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121225

Year of fee payment: 14

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121225

Year of fee payment: 14