JP3285190B2 - 範囲認証方法 - Google Patents
範囲認証方法Info
- Publication number
- JP3285190B2 JP3285190B2 JP01221496A JP1221496A JP3285190B2 JP 3285190 B2 JP3285190 B2 JP 3285190B2 JP 01221496 A JP01221496 A JP 01221496A JP 1221496 A JP1221496 A JP 1221496A JP 3285190 B2 JP3285190 B2 JP 3285190B2
- Authority
- JP
- Japan
- Prior art keywords
- verifier
- prover
- range
- random number
- prover device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】
【発明の属する技術分野】この発明は、電気通信システ
ムで秘密・署名交換や電子現金などのプロトコルにおい
て使われ、秘密情報の登録された範囲を認証する範囲認
証方法に関する。
ムで秘密・署名交換や電子現金などのプロトコルにおい
て使われ、秘密情報の登録された範囲を認証する範囲認
証方法に関する。
【0002】
【従来の技術】従来の範囲認証方法は、Brickellら
(“Gradual and Verifiable Release ofa Secret, ”
Proc. of Crypto'87, LNCS, Springer Verlag, 1988)
及びDamgard (“Practical and Provably Secure Rele
ase of a Secret and Exchange ofSignatures, ”Proc.
of Eurocrypt'93, LNCS, Springer Verlag, 1994)に
よって提案されている。これら論文において、範囲認証
方法は、秘密・署名交換に用いられている。一方、岡本
(“An Efficient Divisible Cash Scheme, ”Proc.of
Crypto'95, LNCS, Springer Verlag, 1995 )は、範囲
認証方法を電子現金方式に適用している。
(“Gradual and Verifiable Release ofa Secret, ”
Proc. of Crypto'87, LNCS, Springer Verlag, 1988)
及びDamgard (“Practical and Provably Secure Rele
ase of a Secret and Exchange ofSignatures, ”Proc.
of Eurocrypt'93, LNCS, Springer Verlag, 1994)に
よって提案されている。これら論文において、範囲認証
方法は、秘密・署名交換に用いられている。一方、岡本
(“An Efficient Divisible Cash Scheme, ”Proc.of
Crypto'95, LNCS, Springer Verlag, 1995 )は、範囲
認証方法を電子現金方式に適用している。
【0003】
【この発明が解決しようとする課題】上記で示した従来
提案された範囲認証方法は、いずれも、基本的な3回の
やりとりのプロトコルにおいて、検証者装置が証明者装
置に1ビット送るだけであった。そのため、安全性を高
めるため、基本プロトコルを多くの回数(例えば、40
回)繰り返す必要があり、通信量、計算量が膨大にな
る。つまり基本プロトコルを例えば40回も繰り返すこ
とにより証明者が悪さをしてもばれない確率が1/240
と小さくなり、悪さをすれば直にわかるようにしたもの
である。
提案された範囲認証方法は、いずれも、基本的な3回の
やりとりのプロトコルにおいて、検証者装置が証明者装
置に1ビット送るだけであった。そのため、安全性を高
めるため、基本プロトコルを多くの回数(例えば、40
回)繰り返す必要があり、通信量、計算量が膨大にな
る。つまり基本プロトコルを例えば40回も繰り返すこ
とにより証明者が悪さをしてもばれない確率が1/240
と小さくなり、悪さをすれば直にわかるようにしたもの
である。
【0004】この発明の目的は、従来の方法に比べ、通
信量、計算量の少ない効率的な範囲認証方法を実現する
ことにある。
信量、計算量の少ない効率的な範囲認証方法を実現する
ことにある。
【0005】
【課題を解決するための手段】請求項1の発明によれば
証明者装置は、その値がパラメータnで指定される範囲
にある秘密情報sより剰余演算fを用いてI=f(s)
を生成し、そのIを公開登録し、証明者装置はn及び検
証者装置の送るメッセージのサイズmで関係づけられた
2つの乱数t1,t2及び、更に2つの乱数r1,r2
から剰余演算gを用いて、T1 =g(t1,r1),T
2 =g(t2,r2)を生成し、それらT1 ,T2 を検
証者装置に送り、検証者装置はT1 ,T2 を受け取る
と、mビットの乱数eを証明者装置に送り、証明者装置
はeを受け取ると、演算hを用いてy1=h1(s,
e,t1),h2=(s,e,t2)を演算し、その演
算結果中のn及びmによって定められた一定の範囲に入
るyi(iは1又は2)を選択し、そのyi,riを検
証者装置へ送り、検証者装置は、yi,riを受け取る
と、yiがn及びmによって定められた一定の範囲に入
っていることを確認した後、検証式vを用いて、v(y
i,ri,Ti,I)=0を満足することを確認し、満
足していれば、sがnで指定された範囲にほぼ入ってい
ることを認証する。
証明者装置は、その値がパラメータnで指定される範囲
にある秘密情報sより剰余演算fを用いてI=f(s)
を生成し、そのIを公開登録し、証明者装置はn及び検
証者装置の送るメッセージのサイズmで関係づけられた
2つの乱数t1,t2及び、更に2つの乱数r1,r2
から剰余演算gを用いて、T1 =g(t1,r1),T
2 =g(t2,r2)を生成し、それらT1 ,T2 を検
証者装置に送り、検証者装置はT1 ,T2 を受け取る
と、mビットの乱数eを証明者装置に送り、証明者装置
はeを受け取ると、演算hを用いてy1=h1(s,
e,t1),h2=(s,e,t2)を演算し、その演
算結果中のn及びmによって定められた一定の範囲に入
るyi(iは1又は2)を選択し、そのyi,riを検
証者装置へ送り、検証者装置は、yi,riを受け取る
と、yiがn及びmによって定められた一定の範囲に入
っていることを確認した後、検証式vを用いて、v(y
i,ri,Ti,I)=0を満足することを確認し、満
足していれば、sがnで指定された範囲にほぼ入ってい
ることを認証する。
【0006】請求項2の発明によれば証明者装置は、そ
の値がパラメータnで指定される範囲にある秘密情報s
より剰余演算fを用いてI=f(s)を生成し、そのI
を公開登録し、証明者装置はn及び検証者装置の送るメ
ッセージのサイズmで関係づけられた2つの乱数t1,
t2及び、更に2つの乱数r1,r2から剰余演算gを
用いて、T1 =g(t1,r1),T2 =g(t2,r
2)を生成し、更に乱数uから剰余演算g′を用いてJ
を生成し、それらT1 ,T2 ,Jを検証者装置に送り、
検証者装置はT1 ,T2 ,Jを受け取ると、mビットの
乱数eと別の乱数wを証明者装置に送り、証明者装置は
e,wを受け取ると、演算hを用いてy1=h1(s,
e,t1),h2=(s,e,t2)を演算し、その演
算結果中のn及びmによって定められた一定の範囲に入
るyi(iは1又は2)を選択し、更に剰余演算h′を
用いてzi=h′(u,w,ri)を計算し、これらy
i,ri,ziを検証者装置へ送り、検証者装置は、y
i,ri,ziを受け取ると、yiがn及びmによって
定められた一定の範囲に入っていることを確認した後、
検証式vを用いて、v(yi,zi,Ti,I,J)=
0を満足することを確認し、満足していれば、sがnで
指定された範囲にほぼ入っていることを認証する。
の値がパラメータnで指定される範囲にある秘密情報s
より剰余演算fを用いてI=f(s)を生成し、そのI
を公開登録し、証明者装置はn及び検証者装置の送るメ
ッセージのサイズmで関係づけられた2つの乱数t1,
t2及び、更に2つの乱数r1,r2から剰余演算gを
用いて、T1 =g(t1,r1),T2 =g(t2,r
2)を生成し、更に乱数uから剰余演算g′を用いてJ
を生成し、それらT1 ,T2 ,Jを検証者装置に送り、
検証者装置はT1 ,T2 ,Jを受け取ると、mビットの
乱数eと別の乱数wを証明者装置に送り、証明者装置は
e,wを受け取ると、演算hを用いてy1=h1(s,
e,t1),h2=(s,e,t2)を演算し、その演
算結果中のn及びmによって定められた一定の範囲に入
るyi(iは1又は2)を選択し、更に剰余演算h′を
用いてzi=h′(u,w,ri)を計算し、これらy
i,ri,ziを検証者装置へ送り、検証者装置は、y
i,ri,ziを受け取ると、yiがn及びmによって
定められた一定の範囲に入っていることを確認した後、
検証式vを用いて、v(yi,zi,Ti,I,J)=
0を満足することを確認し、満足していれば、sがnで
指定された範囲にほぼ入っていることを認証する。
【0007】請求項3の発明によれば証明者装置は、そ
の値がパラメータnで指定される範囲にある秘密情報
s,uより剰余演算fを用いてI=f(s,u)を生成
し、そのIを公開登録し、証明者装置はn及び検証者装
置の送るメッセージのサイズmで関係づけられた2つの
乱数t1,t2及び、更に2つの乱数r1,r2から剰
余演算gを用いて、T1 =g(t1,r1),T2 =g
(t2,r2)を生成し、それらT1 ,T2 を検証者装
置に送り、検証者装置はT1 ,T2 を受け取ると、mビ
ットの乱数eを証明者装置に送り、証明者装置はeを受
け取ると、演算hを用いてy1=h1(s,e,t
1),h2=(s,e,t2)を演算し、その演算結果
中のn及びmによって定められた一定の範囲に入るyi
(iは1又は2)を選択し、更に剰余演算h′を用いて
zi=h′(u,e,ri)を計算し、これらyi,z
iを検証者装置へ送り、検証者装置は、yi,ziを受
け取ると、yiがn及びmによって定められた一定の範
囲に入っていることを確認した後、検証式vを用いて、
v(yi,zi,Ti,I)=0を満足することを確認
し、満足していれば、sがnで指定された範囲にほぼ入
っていることを認証する。
の値がパラメータnで指定される範囲にある秘密情報
s,uより剰余演算fを用いてI=f(s,u)を生成
し、そのIを公開登録し、証明者装置はn及び検証者装
置の送るメッセージのサイズmで関係づけられた2つの
乱数t1,t2及び、更に2つの乱数r1,r2から剰
余演算gを用いて、T1 =g(t1,r1),T2 =g
(t2,r2)を生成し、それらT1 ,T2 を検証者装
置に送り、検証者装置はT1 ,T2 を受け取ると、mビ
ットの乱数eを証明者装置に送り、証明者装置はeを受
け取ると、演算hを用いてy1=h1(s,e,t
1),h2=(s,e,t2)を演算し、その演算結果
中のn及びmによって定められた一定の範囲に入るyi
(iは1又は2)を選択し、更に剰余演算h′を用いて
zi=h′(u,e,ri)を計算し、これらyi,z
iを検証者装置へ送り、検証者装置は、yi,ziを受
け取ると、yiがn及びmによって定められた一定の範
囲に入っていることを確認した後、検証式vを用いて、
v(yi,zi,Ti,I)=0を満足することを確認
し、満足していれば、sがnで指定された範囲にほぼ入
っていることを認証する。
【0008】このようにこの発明ではT1 ,T2 又はT
1 ,T2 ,Jと、e又はe,wと、yi,ri又はy
i,ziとの基本的な3回のやりとりにおいて、検証者
装置は証明者装置にmビット(例えば、m=50)送る
ことが可能となり、繰り返し実行しなくても証明者装置
の悪さがばれない確率に1/2m 、例えば1/250程度
であり十分な安全性を保証できるため、基本的なプロト
コルを繰り返し実行する必要が無くなった。このことに
より、処理量、通信量を圧倒的に小さくすることが可能
になった。
1 ,T2 ,Jと、e又はe,wと、yi,ri又はy
i,ziとの基本的な3回のやりとりにおいて、検証者
装置は証明者装置にmビット(例えば、m=50)送る
ことが可能となり、繰り返し実行しなくても証明者装置
の悪さがばれない確率に1/2m 、例えば1/250程度
であり十分な安全性を保証できるため、基本的なプロト
コルを繰り返し実行する必要が無くなった。このことに
より、処理量、通信量を圧倒的に小さくすることが可能
になった。
【0009】
【発明の実施の形態】図1に示すように証明者装置10
0と検証者装置200とは例えば通信回線等を介して接
続されている。請求項1の発明の実施例における証明者
装置、検証者装置間の処理手順を図1B,図2を用いて
説明する。
0と検証者装置200とは例えば通信回線等を介して接
続されている。請求項1の発明の実施例における証明者
装置、検証者装置間の処理手順を図1B,図2を用いて
説明する。
【0010】まず、システムであらかじめ情報、p,
g,G,qが公開され、pを素数とし、pを法とする乗
法群におけるg及びGの位数をqとする。証明者装置1
00は、nビットの秘密情報sからIを生成する。 I=gs mod p ……(1) この剰余演算の結果Iを公開登録する。(上記の剰余演
算等については、池野、小山著「現代暗号理論」電子情
報通信学会、等を参照。なお、以下でZ<q>は、0以
上q−1以下の整数の集合を意味する。) 1.証明者装置100は、乱数生成器101を用いて、
乱数t1∈Z<2n+m >,r1∈Z<q>,r2∈Z<
q>を生成して、減算器102、剰余演算器103を用
いて、以下を計算する。mは検証者装置200が送るメ
ッセージの長さである。
g,G,qが公開され、pを素数とし、pを法とする乗
法群におけるg及びGの位数をqとする。証明者装置1
00は、nビットの秘密情報sからIを生成する。 I=gs mod p ……(1) この剰余演算の結果Iを公開登録する。(上記の剰余演
算等については、池野、小山著「現代暗号理論」電子情
報通信学会、等を参照。なお、以下でZ<q>は、0以
上q−1以下の整数の集合を意味する。) 1.証明者装置100は、乱数生成器101を用いて、
乱数t1∈Z<2n+m >,r1∈Z<q>,r2∈Z<
q>を生成して、減算器102、剰余演算器103を用
いて、以下を計算する。mは検証者装置200が送るメ
ッセージの長さである。
【0011】 t2=t1−2n+m ……(2) T1 =gt1Gr1mod p ……(3) T2 =gt2Gr2mod p ……(4) 証明者装置100は、T1 ,T2 を順番を決めずに検証
者装置200に送る。ここで送る順を固定するとそれだ
け秘密が破られるおそれがある。2.検証者装置200
は、T1 ,T2 を受けとると、乱数生成器201を用い
て、乱数e∈Z<2m >を生成して、eを証明者装置1
00に送る。3.証明者装置100は、eを受け取る
と、i=1,2に対して、乗算器104、加算器105
を用いて、 yi=ti+se ……(5) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(6) を満足するものを検証者装置200に送る。また、同時
にriも送る。この場合 (6)式を満すのはy1,y2の一方だけである。4.
検証者装置200は、yi,riを受け取ると、剰余演
算器203、比較器204を用いて、以下の検証式を満
足するかどうか検証する。
者装置200に送る。ここで送る順を固定するとそれだ
け秘密が破られるおそれがある。2.検証者装置200
は、T1 ,T2 を受けとると、乱数生成器201を用い
て、乱数e∈Z<2m >を生成して、eを証明者装置1
00に送る。3.証明者装置100は、eを受け取る
と、i=1,2に対して、乗算器104、加算器105
を用いて、 yi=ti+se ……(5) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(6) を満足するものを検証者装置200に送る。また、同時
にriも送る。この場合 (6)式を満すのはy1,y2の一方だけである。4.
検証者装置200は、yi,riを受け取ると、剰余演
算器203、比較器204を用いて、以下の検証式を満
足するかどうか検証する。
【0012】 yi∈Z<2n+m > ……(7) gyiGri≡Ti Ie (mod p) ……(8) 検証者装置は、検証に合格すれば、高い確率で、sがn
+dbit 以下であると認定する。(dは、適当なマージ
ン)(7)式は、証明者装置100が悪さをしていない
ことの確認である。
+dbit 以下であると認定する。(dは、適当なマージ
ン)(7)式は、証明者装置100が悪さをしていない
ことの確認である。
【0013】次に請求項2の発明の実施例における証明
者装置、検証者装置間の処理手順を図3,図4を用いて
説明する。まず、システムであらかじめ以下の情報、
p,g,G,qが公開されているものとする。pを素数
とし、pを法とする乗法群におけるg及びGの位数をq
とする。
者装置、検証者装置間の処理手順を図3,図4を用いて
説明する。まず、システムであらかじめ以下の情報、
p,g,G,qが公開されているものとする。pを素数
とし、pを法とする乗法群におけるg及びGの位数をq
とする。
【0014】証明者装置100は、nビットの秘密情報
sから次式によりIを生成する。 I=gs mod p ……(9) このIを公開登録する。1.証明者装置100は、乱数
生成器101を用いて、乱数t1∈Z<2n+m >,r1
∈Z<q>,r2∈Z<q>,u∈Z<q>を生成し
て、減算器102、剰余演算器103を用いて、以下を
計算する。
sから次式によりIを生成する。 I=gs mod p ……(9) このIを公開登録する。1.証明者装置100は、乱数
生成器101を用いて、乱数t1∈Z<2n+m >,r1
∈Z<q>,r2∈Z<q>,u∈Z<q>を生成し
て、減算器102、剰余演算器103を用いて、以下を
計算する。
【0015】 t2=t1−2n+m ……(10) T1 =gt1Gr1mod p ……(11) T2 =gt2Gr2mod p ……(12) J=Gu mod p ……(13) 証明者装置100は、T1 ,T2 を順番を決めずに、検
証者装置200に送る。また、同時にJも送る。 2.検証者装置200は、T1 ,T2 ,Jを受け取る
と、乱数生成器201を用いて、乱数e∈Z<2m >,
w∈Z<q>を生成してe,wを証明者100に送る。 3.証明者装置100は、e,wを受け取ると、i=
1,2に対して、乗算器104、加算器105を用い
て、 yi=ti+se ……(14) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(15) を満足するものを検証者装置200に送る。さらに、剰
余演算器103を用いて zi=ri+uw modq ……(16) を計算し、ziも送る。 4.検証者装置200は、yi,ziを受け取ると、剰
余演算器203、比較器204を用いて、以下の検証式
を満足するかどうか検証する。
証者装置200に送る。また、同時にJも送る。 2.検証者装置200は、T1 ,T2 ,Jを受け取る
と、乱数生成器201を用いて、乱数e∈Z<2m >,
w∈Z<q>を生成してe,wを証明者100に送る。 3.証明者装置100は、e,wを受け取ると、i=
1,2に対して、乗算器104、加算器105を用い
て、 yi=ti+se ……(14) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(15) を満足するものを検証者装置200に送る。さらに、剰
余演算器103を用いて zi=ri+uw modq ……(16) を計算し、ziも送る。 4.検証者装置200は、yi,ziを受け取ると、剰
余演算器203、比較器204を用いて、以下の検証式
を満足するかどうか検証する。
【0016】 yi∈Z<2n+m > ……(17) gyiGzi≡Ti Ie Jw (mod p) ……(18) 検証者装置は、検証に合格すれば、高い確率で、sがn
+dbit 以下であると認定する(dは、適当なマージ
ン)。 次に請求項3の発明の実施例における証明者装置、検証
者装置間の処理手順を図5,図6を用いて説明する。
+dbit 以下であると認定する(dは、適当なマージ
ン)。 次に請求項3の発明の実施例における証明者装置、検証
者装置間の処理手順を図5,図6を用いて説明する。
【0017】まず、システムであらかじめ以下の情報、
p,g,G,qが公開されているものとする。pを素数
とし、pを法とする乗法群におけるg及びGの位数をq
とする。証明者装置100は、nビットの秘密情報s及
び乱数u∈Z<q>から I=gs Gu mod p ……(19) を生成し、このIを公開登録する。 1.証明者装置100は、乱数生成器101を用いて、
乱数t1∈Z<2n+m >,r1∈Z<q>,r2∈Z<
q>を生成して、減算器102、剰余演算器103を用
いて、以下を計算する。
p,g,G,qが公開されているものとする。pを素数
とし、pを法とする乗法群におけるg及びGの位数をq
とする。証明者装置100は、nビットの秘密情報s及
び乱数u∈Z<q>から I=gs Gu mod p ……(19) を生成し、このIを公開登録する。 1.証明者装置100は、乱数生成器101を用いて、
乱数t1∈Z<2n+m >,r1∈Z<q>,r2∈Z<
q>を生成して、減算器102、剰余演算器103を用
いて、以下を計算する。
【0018】 t2=t1−2n+m ……(20) T1 =gt1Gr1mod p ……(21) T2 =gt2Gr2mod p ……(22) 証明者装置100は、T1 ,T2 を順番を決めずに、検
証者装置200に送る。 2.検証者装置200は、T1 ,T2 を受け取ると、乱
数生成器201を用いて、乱数e∈Z<2m >を生成し
て、eを証明者装置100に送る。 3.証明者装置100は、eを受け取ると、i=1,2
に対して、乗算器104、加算器105を用いて、 yi=ti+se ……(23) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(24) を満足するものを検証者装置200に送る。さらに、剰
余演算器103を用いて zi=ri+ue modq ……(25) を計算し、ziも送る。 4.検証者装置200は、yi,ziを受け取ると、剰
余演算器203、比較器204を用いて、以下の検証式
を満足するかどうか検証する。
証者装置200に送る。 2.検証者装置200は、T1 ,T2 を受け取ると、乱
数生成器201を用いて、乱数e∈Z<2m >を生成し
て、eを証明者装置100に送る。 3.証明者装置100は、eを受け取ると、i=1,2
に対して、乗算器104、加算器105を用いて、 yi=ti+se ……(23) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(24) を満足するものを検証者装置200に送る。さらに、剰
余演算器103を用いて zi=ri+ue modq ……(25) を計算し、ziも送る。 4.検証者装置200は、yi,ziを受け取ると、剰
余演算器203、比較器204を用いて、以下の検証式
を満足するかどうか検証する。
【0019】 yi∈Z<2n+m > ……(26) gyiGzi≡Ti Ie (mod p) ……(27) 検証者装置200は、検証に合格すれば、高い確率で、
sがn+dbit 以下であると認定する(dは、適当なマ
ージン)。
sがn+dbit 以下であると認定する(dは、適当なマ
ージン)。
【0020】
【発明の効果】例えば、従来のDamgardらの方法
では、基本的な3回のやりとりにおいて証明者装置、検
証者装置のそれぞれの計算量は、べき乗剰余演算を少な
くとも2回行う必要があるが、1ビットづつ送るため、
証明者が悪さをしてもそれがばれない確率が十分小さ
く、つまり悪さをすれば直ぐわかるように3回の基本的
やりとりを多数繰り返すが、その繰り返し回数を40回
とした場合、べき乗剰余演算を少なくとも40回行う必
要がある。
では、基本的な3回のやりとりにおいて証明者装置、検
証者装置のそれぞれの計算量は、べき乗剰余演算を少な
くとも2回行う必要があるが、1ビットづつ送るため、
証明者が悪さをしてもそれがばれない確率が十分小さ
く、つまり悪さをすれば直ぐわかるように3回の基本的
やりとりを多数繰り返すが、その繰り返し回数を40回
とした場合、べき乗剰余演算を少なくとも40回行う必
要がある。
【0021】この発明の方法では(いずれの請求項の発
明においても)、証明者装置、検証者装置のいずれで
も、mを例えば50にすれば証明者が悪さをするとばれ
ない確率は1/250程度と十分小さくなり、基本的やり
とりを繰り返す必要がないから、べき乗剰余演算の回数
は2回程度である。従って、従来の方式に比べ、数10
倍高速で、かつ同時に通信量が数10分の1になる。
明においても)、証明者装置、検証者装置のいずれで
も、mを例えば50にすれば証明者が悪さをするとばれ
ない確率は1/250程度と十分小さくなり、基本的やり
とりを繰り返す必要がないから、べき乗剰余演算の回数
は2回程度である。従って、従来の方式に比べ、数10
倍高速で、かつ同時に通信量が数10分の1になる。
【図1】Aはこの発明の原理構成における証明者装置と
検証者装置との接続を示す図、Bは請求項1の発明の実
施例の処理手順を示す図である。
検証者装置との接続を示す図、Bは請求項1の発明の実
施例の処理手順を示す図である。
【図2】請求項1の発明の実施例の構成図。
【図3】請求項2の発明の実施例の処理手順を示す図。
【図4】請求項2の発明の実施例の構成を示す図。
【図5】請求項3の発明の実施例の処理手順を示す図。
【図6】請求項3の発明の実施例の構成を示す図。
フロントページの続き (56)参考文献 Practical and Pro vably Secure Relea se of a Secret and Exchange of Signa tures,Leture Notes in Computer Scien ce,Vol.765,p.200−217 Gradual and Verif iable Release of a Secret,Lecture No tes in Computer Sc ience,Vol.293,p.156− 166 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G09C 1/00 640 JICSTファイル(JOIS)
Claims (3)
- 【請求項1】 秘密情報を保持する証明者装置は、その
値がパラメータnで指定される範囲にある秘密情報sよ
り剰余演算fを用いてI=f(s)を生成し、そのIを
公開登録し、 上記証明者装置は、n及び検証者装置の送るメッセージ
のサイズmで関係づけられた2つの乱数t1,t2及び
さらに2つの乱数r1,r2から剰余演算gを用いて、
T1 =g(t1,r1),T2 =g(t2,r2)を生
成し、それを上記検証者装置に送り、 上記検証者装置は、上記T1 ,T2 を受信すると、mビ
ットの乱数eを上記証明者装置に送り、 上記証明者装置は、上記eを受信すると演算hを用い
て、y1=h(s,e,t1),y2=h(s,e,t
2)を演算し、その演算結果中、その値がn及びmによ
って定まる一定の範囲に入るyi(i=1又は2)を選
び、yi,riを上記検証者装置に送り、 上記検証者装置は、そのyi,riを受信すると、上記
yiが上記n及びmによって定められた一定の範囲に入
っていることを確認した後、検証式vを用いて、v(y
i,ri,Ti,I)=0を満足することを確認し、満
足していれば、上記sが上記nで指定された範囲にほぼ
入っていると認証することを特徴とする範囲認証方法。 - 【請求項2】 秘密情報を保持する証明者装置は、その
値がパラメータnで指定される範囲にある秘密情報sよ
り剰余演算fを用いてI=f(s)を生成し、そのIを
公開登録し、 上記証明者装置は、n及び検証者装置の送るメッセージ
のサイズmで関係づけられた2つの乱数t1,t2及び
さらに2つの乱数r1,r2から剰余演算gを用いて、
T1 =g(t1,r1),T2 =g(t2,r2)を生
成し、さらに乱数uから剰余演算g′を用いてJを生成
し、上記T1 ,T2 ,Jを上記検証者装置に送り、 上記検証者装置は、T1 ,T2 ,Jを受信してmビット
の乱数eと別の乱数wを上記証明者装置に送り、 上記証明者装置は、上記e,wを受信すると、演算hを
用いて、y1=h(s,e,t1),y2=h(s,
e,t2)を演算し、その演算結果中の、n及びmによ
って定められた一定の範囲に入るyi(i=1又は2)
を選び、さらに剰余演算h′を用いてzi=h′(u,
w,ri)を計算し、yi,ziを上記検証者装置に送
り、 上記検証者装置は、上記yi,ziを受信すると、yi
が上記n及びmによって定められた一定の範囲に入って
いることを確認した後、検証式vを用いて、v(yi,
zi,Ti,I,J)=0を満足することを確認し、満
足していれば上記sが上記nで指定された範囲にほぼ入
っていると認証することを特徴とする範囲認証方法。 - 【請求項3】 秘密情報を保持する証明者装置は、その
値がパラメータnで指定される範囲にある秘密情報s及
び乱数uより剰余演算fを用いてI=f(s,u)を生
成し、Iを公開登録し、 上記証明者装置は、n及び検証者装置の送るメッセージ
のサイズmで関係づけられた2つの乱数t1,t2及び
さらに2つの乱数r1,r2から剰余演算gを用いて、
T1 =g(t1,r1),T2 =g(t2,r2)を生
成し、これらT1 ,T2 を上記検証者装置に送り、 上記検証者装置は、上記T1 ,T2 を受けると、mビッ
トの乱数eを上記証明者装置に送り、 上記証明者装置は、上記eを受信すると演算hを用い
て、y1=h(s,e,t1),y2=h(s,e,t
2)を演算し、これら演算結果中の上記n及びmによっ
て定められた一定の範囲に入るyi(i=1又は2)を
選び、さらに剰余演算h′を用いてzi=h′(u,
e,ri)を計算し、これらyi,ziを上記検証者装
置に送り、 上記検証者装置は、上記yi,ziを受信すると、yi
が上記n及びmによって定められた一定の範囲に入って
いることを確認した後、検証式vを用いて、v(yi,
zi,Ti,I)=0を満足することを確認し、満足し
ていれば上記s が上記nで指定された範囲にほぼ入って
いると認証することを特徴とする範囲認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01221496A JP3285190B2 (ja) | 1996-01-26 | 1996-01-26 | 範囲認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01221496A JP3285190B2 (ja) | 1996-01-26 | 1996-01-26 | 範囲認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH09204142A JPH09204142A (ja) | 1997-08-05 |
| JP3285190B2 true JP3285190B2 (ja) | 2002-05-27 |
Family
ID=11799140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP01221496A Expired - Fee Related JP3285190B2 (ja) | 1996-01-26 | 1996-01-26 | 範囲認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3285190B2 (ja) |
-
1996
- 1996-01-26 JP JP01221496A patent/JP3285190B2/ja not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| Gradual and Verifiable Release of a Secret,Lecture Notes in Computer Science,Vol.293,p.156−166 |
| Practical and Provably Secure Release of a Secret and Exchange of Signatures,Leture Notes in Computer Science,Vol.765,p.200−217 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH09204142A (ja) | 1997-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9240884B2 (en) | Method and apparatus for verifiable generation of public keys | |
| EP0786178B1 (en) | Secret-key certificates | |
| US8000470B2 (en) | Method of public key generation | |
| JP3522447B2 (ja) | 認証交換方法および付加型公衆電子署名方法 | |
| JP5205398B2 (ja) | 鍵認証方式 | |
| CN107968710B (zh) | Sm9数字签名分离交互生成方法及系统 | |
| Roy et al. | A survey on digital signatures and its applications | |
| JPH10133576A (ja) | 公開鍵暗号方法および装置 | |
| WO2006024042A2 (en) | Provisional signature schemes | |
| JP2001125482A (ja) | 混成署名方式 | |
| US8015398B2 (en) | Set membership proofs in data processing systems | |
| WO2006070682A1 (ja) | 制限付ブラインド署名システム | |
| CN115834056A (zh) | 一种无证书有序聚合签名方法、系统及相关装置 | |
| KR101802826B1 (ko) | Id 기반 인증 및 키 교환 방법 | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| Rodríguez-Henríquez et al. | Yet another improvement over the Mu–Varadharajan e-voting protocol | |
| JP4307589B2 (ja) | 認証プロトコル | |
| JP3285190B2 (ja) | 範囲認証方法 | |
| CN110278073A (zh) | 一种群组数字签名、验证方法及其设备和装置 | |
| JP2006203660A (ja) | デジタル署名情報生成装置、デジタル署名情報生成方法及びプログラム | |
| JP3484069B2 (ja) | 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体 | |
| Barker et al. | SP 800-56A. recommendation for pair-wise key establishment schemes using discrete logarithm cryptography (revised) | |
| JP3435472B2 (ja) | 秘密保持認証方法及びシステム | |
| JP3331329B2 (ja) | 公開検証可依頼復元ブラインド署名方法、その装置及びプログラム記録媒体 | |
| Goyal | More efficient server assisted one time signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090308 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090308 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100308 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110308 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |