JP3316895B2 - 正当性の確認システム - Google Patents

正当性の確認システム

Info

Publication number
JP3316895B2
JP3316895B2 JP33832792A JP33832792A JP3316895B2 JP 3316895 B2 JP3316895 B2 JP 3316895B2 JP 33832792 A JP33832792 A JP 33832792A JP 33832792 A JP33832792 A JP 33832792A JP 3316895 B2 JP3316895 B2 JP 3316895B2
Authority
JP
Japan
Prior art keywords
signature
exp
information
prover
signer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP33832792A
Other languages
English (en)
Other versions
JPH06188874A (ja
Inventor
玄次 西岡
和夫 宝木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP33832792A priority Critical patent/JP3316895B2/ja
Publication of JPH06188874A publication Critical patent/JPH06188874A/ja
Application granted granted Critical
Publication of JP3316895B2 publication Critical patent/JP3316895B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は署名および認証方式に関
し、特に通信システムを介して行われる署名および認証
処理方式に関する。
【0002】
【従来の技術】現代暗号理論においては、数論上の問題
の困難性を暗号学的仮定として用いて暗号システムを構
築することが多い。暗号学的仮定として用いられる代表
的な数論上の問題としては、例えば、(a) FP(N)
(Factorization Problem):「合成数Nに対して、N
を素因数分解せよ。」という問題、(b)QRP(y,N)
(Quadratic Residuosity Problem):「合成数Nと
互いに素であるy(1<y<N)に対して、y≡x
2 (mod N)なるx≧1が存在すれば求めよ。」という
問題、(c)DLPF(α,y,p)(Discrete Logarithm
Problem over Field):「素数pと互いに素である
α,y(1<α,y<p)に対して、y≡exp(α,x)(mo
d p)(但し、ここで、exp(a,b)はaのb乗を意味す
る。)なるx≧1が存在すれば求めよ。」という問題、
(d)DLPR(α,y,N)(Discrete Logarithm Proble
m over Ring):「合成数Nと互いに素であるα,y
(1<α,y<N)に対して、y≡exp(α,x)(modN)
(但し、ここで、exp(a,b)はaのb乗を意味する。)
なるx≧1が存在すれば求めよ。」という問題、等があ
る。
【0003】文献「 H.Woll.,Reductions among Nu
mber Theoretic Problems:INFORMATION AND COMPUTAT
ION 72,pp.167-179(1987).」では、これらの問題の困難
性について、 (1)DLPF(α,y,p) ≦ DLPR(α,y,N) (2)QRP(N) ≦ FP(N) ≦ DLPR(α,y,N) であることが述べられている。
【0004】従来、このような数論上の問題の困難性を
暗号学的仮定として用いた署名方式として、「RSA署
名方式」や「El-Gamal署名方式」等がよく知られてい
る。
【0005】また、認証方式としては、例えば、QRPの
困難性を暗号学的仮定として用いた文献「A.Fiat and
A.Shamir.,How to prove yourself: PracticalSo
lutions of Identification and Signature Problem
s. Advances inCryptology−Proceedings of Crypt
o'86,Lecture Notes in ComputerScience,vol.263,
Springer Verlag,Berlin,1987, pp.186-194.」に記
載の「Fiat-Shamir法」と呼ばれる認証方式や、DLPF
の困難性を暗号学的仮定として用いた文献「T.Beth.,
Efficient zero-knowledge scheme for smart cards,
Advancesin Cryptology−Proceedings of Eurocryp
t'88, Lecture Notes in Computer Science,vol.3
30,Springer Verlag,Berlin,1989,pp.77-84.」に記
載の「Bethの認証方式」や、文献「C.P.Schnorr.,E
fficientIdentification and Signatures for Smart Ca
rd,Advances in Cryptology−Proceedings of Cryp
to'89,Lecture Notes in Computer Science,vol.43
5,Springer Verlag,Berlin,1990,pp.239-252.」に記
載の「Schnorrの認証方式」が良く知られている。
【0006】一般に、暗号システムにおける「署名方
式」とは、署名者が自分の秘密情報を用いて文書mに対
する署名を作成し、その署名と文書mとを確認者に送
り、確認者が上記署名者の公開情報を用いて、文書mに
付随する署名の正当性を確かめることにより、文書mの
正当性を確かめるものである。また、「認証方式」と
は、確認者に対して自分の身元を証明する目的でセンタ
をアクセスした証明者が、センタが作成した情報を利用
して、身元を証明する認証システムを意味する。
【0007】ここで、従来例であるEl-Gamal署名方式
とBethの認証方式について簡単に説明しておく。尚、
以下の説明で用いられる記号のうち、Zpは、正数pを
法とする剰余環を表わす。また、「α∈Zpのオーダー
がnである」というのは、Zpにおいてexp(α,x)≡1
(mod p)となる最小の正数xがnであることを意味す
る(但し、ここで、exp(a,b)はaのb乗を意味す
る)。
【0008】「El-Gamal署名方式」 準備処理:署名者は次の条件を満たす情報を作成し、公
開情報のみを公開する。
【0009】秘密情報:・ s∈Zp-1. 公開情報:・ 素数p.・ αはZpの元で、オーダーがp-1.・ v≡exp(α,s) (mod p)(但し、ここで、exp
(a,b)はaのb乗を意味する。)・ 一方向性ハッシュ関数f 署名処理:署名者は、以下の手順に従って、文書mに対
する署名(x,y)を作成し、確認者との間で署名処理
を行なう。
【0010】Step 1:署名者は、乱数r∈Zp-1を選
ぶ。 Step 2:署名者は文書mに対して、署名(x,y)を
次の様に計算する。 x≡exp(α,r) (mod p) y≡(f(m)+x・s)/r (mod p-1) Step 3:署名者は、(m,x,y)を確認者に送る。 Step 4:確認者は、送られてきた(m,x,y)が次式を
満たすことを確かめる。
【0011】 exp(α,f(m))・exp(v,x)≡exp(x,y) (mod p) (1) 但し、ここで、exp(a,b)はaのb乗を意味する。
【0012】この署名方式で、公開情報vから秘密情報
sを求めるのはDLPFであり、pが大きければ(2512
度以上)容易に計算できない。また、秘密情報sを知ら
ない第3者が式(1)を満たす(x,y)を計算すること
は困難であることから、確認者は式(1)の確認により、
文書mが署名者からのものであることを確信するもので
ある。
【0013】「Bethの認証方式」 準備処理:センタは、秘密情報xi(1≦i≦m)を作
成し、yi≡exp(α,xi)(mod q)を計算して公開する。
ここで、αはZpの原始元(すなわち、α∈Zpのオーダ
ーが p-1)で公開情報とする。また、センタは、一方
向性ハッシュ関数fを公開する(但し、ここで、exp
(a,b)はaのb乗を意味する。)。
【0014】証明者の登録:証明者は、以下の手順に従
って、自分のID情報をセンタに登録し、センタが作成
した証明者用の秘密情報を配付される。 Step 1:証明者は、センタに対して自分のnameを送
る。 Step 2:センタは、IDj=f(name,j) (1≦j≦
m)を作成する。また、(秘密の)乱数k=kAを選び、
r≡exp(α,k) (mod q) を計算して、次の式を満た
す署名sj(1≦j≦m)を求める。 xj・r+k・sj≡IDj (mod q−1) すなわち、センタは各j(1≦j≦m)についてIDj
にEl-Gamal署名(r,sj)を作成する。 Step 3:センタは、IDjに対する署名r,sj(1≦
j≦m)をICカードに搭載して証明者に渡す。
【0015】認証処理: 1.「セットアップ」証明者と確認者は、認証プロトコ
ルに入る前の操作として、次に手順を実行する。
【0016】Step 1:証明者は、自分のnameとrを確
認者に送る。
【0017】Step 2:確認者は、 IDj=f(name,j) (1≦j≦m) ρj≡exp(yj,r) (mod q) (1≦j≦m) を計算する。
【0018】2.「認証プロトコル」証明者と確認者の
間で、次の手続きをi=1からi=hまで繰り返すこと
により、証明者は確認者に対して自分の身元を証明す
る。 Step 1:証明者は乱数ti∈Zq-1を選び、 zi≡exp
(r,-ti) (mod q) を計算し、確認者に送る。 Step 2:確認者は乱数列(bij)を選び、証明者に送
る。ここで、bij∈Zq-1、RをZq-1の適当な部分集合
とする。 Step 3. 証明者は、 ui≡ti+Σ{bij・sj|j}
(mod q-1) を計算し、確認者に送る。 Step 4. 確認者は、 vi≡Σ{bij・IDj|j} (mod
q-1) として γi≡(Π{exp(ρj,bij)|j})・exp(r,ui)・zi−exp(α,vi) (mod q) を計算し、全てのi(1≦i≦h)についてγi=0を
確かめる。
【0019】すなわち、認証プロトコルにおいて、証明
者は、確認者に対してsj(1≦j≦m)を所持するこ
とを証明している。センタ以外の第3者が、センタの公
開情報を用いてEl-Gamal署名を作成するのは困難であ
ることから、確認者は、証明者の署名を所持しているこ
との証明により、センタが認めた者であることを確信す
る。
【0020】
【発明が解決しようとする課題】上述した数論上の問題
に基づく署名、認証方式を構築する場合、実用面から効
率良く署名、認証処理を行なう必要がある。また、安全
面からより難しい数論上の問題に安全性の根拠を置いた
方式であることが望ましい。
【0021】本発明の目的は、環上の離散対数問題を暗
号学的仮定とする安全性の高い幾つかの署名方式および
認証方式を提供することにある。
【0022】本発明の他の目的は、計算処理に要する時
間を短縮し、高速化した幾つかの署名方式および認証方
式を提供することにある。
【0023】
【課題を解決するための手段】上記目的を達成するため
に、従来の離散対数問題の困難性に安全性の根拠を置い
た認証、署名方式の殆どが、体Zp上の離散対数問題で
考察しているのに対し、本発明では、環ZN上の離散対
数問題を採用し、且つ、計算処理時間のかかるべき乗計
算を削減したことを特徴とする。
【0024】さらに具体的に言うと、本発明によれば、
例えば、署名者が、署名者に固有の秘密情報を用いて文
書情報mに対する署名xを作成して、情報(m,x)を確
認者に送付し、確認者が、上記署名者の公開情報を用い
て文書情報mに対する署名xの正当性をチェックするこ
とにより、文書情報mまたは署名の正当性を確かめる署
名システムにおいて、署名者が、署名者の公開情報であ
る正定数vとNに対して、x4−4mx2+4v≡0
(mod N)、または一方向性ハッシュ関数fを用い
て得られるx4−4f(m)x2+4v≡0 (mod
N)なる関係を満たす署名xを作成することを特徴とす
る。
【0025】また、本発明の認証方式によれば、例え
ば、証明者が自分のID情報IDAをセンタに送り、セ
ンタが、秘密情報kA、xと公開情報である正定数α、
Nを用いて、tA≡exp(α,kA) (mod
N)、sA≡(IDA+tA−x)/kAを作成し、上記I
Aに対する署名情報(tA,sA)を証明者に送り、証明
者が、確認者に対してIDAとtAを送付した後、自分が
情報sAを所持することを証明することにより証明者の
認証を行なうようにしたことを特徴とする。
【0026】
【作用】本発明における署名・認証方式では、べき乗計
算を減らすことにより、署名・認証処理の効率を向上さ
せ、また、体Zp上の離散対数問題よりも難解な環ZN
の離散対数問題を採用することにより、従来の体Zp
の離散対数問題を適用した方式より、安全性を向上させ
ることができる。
【0027】
【実施例】以下、図面を用いて、本発明の実施例を説明
する。
【0028】図1は、本発明の署名、認証処理を行うシ
ステム構成を示す。図において、100はセンタ側装
置、200は署名者側装置(または証明者側装置)、3
00は確認者側装置であり、これらは通信回線400を
介して接続されている。
【0029】署名処理においては、署名者は、署名者側
装置200を用いて自分の秘密情報から文書mに対する
署名を作成し、これらの文書mと署名を通信回線400
を介して確認者側装置300に送る。確認者は、証明者
の公開情報を用いて、確認者側装置300で受信署名の
正当性をチェックし、受信文書mの正当性を確認する。
【0030】認証処理においては、証明者は、証明者側
装置200を操作して自分のID情報をセンタ側装置1
00に登録する。センタ側装置100は、証明者用の秘
密情報を作成し、これを証明者に配付する。秘密情報を
受け取った証明者は、通信回線400を介して確認者側
装置300との間でやりとりを行なうことにより、自分
がこの秘密情報を所持することを確認者の証明し、これ
によって証明者の認証を行なう。
【0031】(実施例1)図1、図3及び図4を参照し
て本発明の実施例1(署名方式1)について説明する。
【0032】署名者側装置200は、図3に示すよう
に、入力装置201、演算装置202、メモリ203、
乱数発生装置204、素数発生装置205、および出力
装置206を備えている。一方、確認者側装置300
は、図4に示すように、入力装置301、演算装置30
2、メモリ303、乱数発生装置304、および出力装
置305を備えている。なお、これらの図では、簡単化
のために通信に必要な回路部分は省略して示してある。
【0033】署名者は、署名者側装置200の入力装置
201を操作して、文書mに対し次の関係を満たす署名
(x,y)を作成する。ここで、exp(a,b)はaのb乗を
意味する。 x4−4mx2+4v≡0 (modN) (2) 上記署名の作成は次の手順で行う。
【0034】準備処理:署名者は、署名者側装置200
で次の情報を作成し、秘密情報はメモリ203に保持し、
公開情報のみを公開する。 秘密情報:・ 素数p、q・ s∈ZN 公開情報:・ N=p・q・ v≡s2 (mod N) 署名処理:署名者は、以下の手順に従って、文書mに対
する署名(x,y)を作成し、図5に示すように、確認
者との間で署名処理を行なう。
【0035】Step 1:署名者は、署名者側装置200
の演算装置202を用いて、 x≡exp(m+s,1/2)+exp(m−s,1/2) (mod N) を計算する。 Step 2:署名者は、上記xと文書mを、通信回線70
0を介して確認者側装置300に送る。 Step 3:確認者は、送られてきたmとxとの間に、式
(2)が成立するか否かを確認者側装置300の演算装置
302を用いて確かめる。
【0036】署名者がプロトコルに従って署名を作成す
れば、必ず式(2)が成立する。秘密情報sを知らない第
3者が式(2)を満たす署名xを作成するのは困難である
ことから、式(2)が成立すれば、確認者は文書mが署
名者からのものであることを確信できる。また、署名者
が正しい手順で署名を作成する限り、必ず確認者側で署
名の正当性を確認してもらえる。
【0037】この署名方法によれば、El−Gamal
署名のように署名の都度乱数を作成する必要がない。例
えば、El-Gamal署名によれば、2つの異なるメッセー
ジ文m1,m2に対して、同じ乱数r∈ZMに基づいて署
名(x,y1)、(x,y2)を作成すると、 r≡(m1−m2)/(y1−y2) (mod N) となるため、rの値が他人に知られてしまい、署名の偽
造が簡単に行なわれるという問題がある。これに対し
て、上述した本発明の署名方式によれば、xの値からs
2の値は求まるものの、sの値が直接他人に知られるお
それはない。また、上記方式によれば、署名処理におけ
る計算の負担が少なくて済み、El-Gamal署名に比較し
て、署名文の長さも短くて済む。
【0038】(実施例2)この実施例(署名方式2)で
は、実施例1に示したシステム構成において、署名者
が、文書mに対して次の関係を満たす署名(x,y)を作
成する。 ここで、exp(a,b)はaのb乗を意味す
る。
【0039】 exp(α,m+x)≡exp(x,y)・v (mod N) (3) ( exp(α,m+x)≡x・exp(v,y) (mod N) ) 署名の作成は以下の手順で行う。
【0040】準備処理:署名者は、端末装置200で次
の情報を作成し、秘密情報はメモリ203に保持し、公
開情報の公開する。
【0041】秘密情報: ・素数p、q ・p’|p−1、かつq’|q−1なる素数p’,q’ ・s∈ZM 公開情報: ・N=p・q、 M=p’・q’ ・αはZNの元で、オーダーがM ・v≡exp(α,s) (mod N) 署名処理:署名者は、以下の手順に従って、文書mに対
する署名(x,y)を作成し、図5に示すように、確認
者との間で署名処理を行なう。
【0042】Step 1:署名者は、署名者側装置200
の乱数生成装置204を用いて、Mと互いに素な関係に
ある乱数 r∈ZM を選ぶ。 Step 2:署名者は、署名者側装置200の演算装置2
02を用いて、次式から署名(x,y)を計算する。 x≡exp(α,r) (mod N), y≡(m+x−s)/r (mod M) ( y≡(m+x−r)/s (mod M) ) Step 3:署名者は、通信回線400を介して、署名者
側装置200から、情報(m,x,y)を確認者側装置3
00に送る。 Step 4:確認者は、送られてきた(m,x,y)を確認者
側装置300の演算装置302で処理し、式(3)が成立
するか否かを確かめる。署名者が正規のプロトコルに従
って署名を作成すれば、 exp(α,m+x)≡exp(α,ry+s)≡exp(x,y)・v (mod N) ( exp(α,m+x)≡exp(α,sy+r)≡x・exp(v,y) (mod N) ) の関係から、式(3)は必ず成立する。秘密情報sを知ら
ない第3者が、式(3)を満たす署名(x,y)を作成す
るのは困難であることから、確認者は文書mは署名者か
らのものであることを確信する。
【0043】この署名方式によれば、正当な署名者の秘
密情報を知らない第3者が、DLPRを解くことなくして、
署名を作成するのは困難である。また、既に説明したよ
うにEl-Gamal署名では、署名作成処理において3回の
べき乗計算を必要とするが、上記本発明の方式によれ
ば、べき乗計算を1回削減できる。また、暗号学的仮定
が、El-Gamal署名ではDLPFであるのに対し、本発明の
方式によれば、これがDLPRになる。DLPRは、DLPFよりも
難しい問題であることから、本発明の方式の方が安全性
において高まっている。
【0044】(実施例3)次に、本発明の実施例3とし
て、実施例1と同様のシステムを用いて行われる安全性
を一層向上させた署名方式3について説明する。署名者
は、文書mに対して、次の関係を満たす署名(x,y)
を作成する。ここで、exp(a,b)はaのb乗を意味す
る。 exp(α,m+x2)≡x・exp(v,y2) (mod N) (4) ( exp(α,m+x2)≡exp(x,y2)・v (mod N) ) 上記署名の作成は次の手順で行う。
【0045】準備処理:署名者は、署名者側装置200
で次の情報を作成し、秘密情報はメモリ203に保持
し、公開情報のみを公開する。
【0046】秘密情報:・ 素数p,q・ p'|p-1 かつ q'|q-1なる素数p',q'・ s∈ZM 公開情報:・ N=p・q ,M=p'・q'・ αはZNの元でオーダーがM・ v≡exp(α,s2) (mod N) 署名処理:署名者は、以下の手順に従って、文書mに対
する署名(x,y)を作成し、図5に示すように、確認
者との間で署名処理を行なう。
【0047】Step 1:署名者は、署名者側装置200
の乱数生成装置204を用いて、Mと互いに素な乱数
r∈ZM を選ぶ。 Step 2:署名者は署名者側装置200内の演算装置202を
用いて、次式から署名(x,y)を計算する。 x≡exp(α,r2) (mod N) y≡exp(m+x2−s2,1/2)/r (mod M) ( y≡exp(m+x2−r2,1/2)/s (mod M) ) Step 3:署名者は、署名者側装置200から情報(m,
x,y)を通信回線400を介して確認者側装置300に送
る。 Step 4:確認者は、確認者側装置300内の演算装置
302により、受信情報(m,x,y)に関して式(4)が成
立するか否かを確かめる。署名者がプロトコルに従って
署名を作成すれば、 exp(α,m+x2)≡exp(α,r2y2+s2)≡exp(x,y2)・v (mod N) ( exp(α,m+x2)≡exp(α,s2y2+r2)≡x・exp(v,y2) (mod N) ) より、式(4)は必ず成立する。秘密情報sを知らない第
3者には、署名(x,y)を作成することが困難である
から、確認者は、文書mが署名者本人からのものである
ことを確信できる。
【0048】この署名方式3においては、(mod N で
の)DLPRと(mod M での)QRPとの双方の問題を解かない
限り、第3者が署名を作成することはできないため、不
正は極めて困難である。
【0049】(実施例4)次に、本発明の実施例4とし
て、実施例1と同様のシステム構成で実施される認証方
式1について説明する。本実施例においては、図3に示
した素数生成装置205は不要である。
【0050】図2は、センタ側装置100の構成を示
す。センタ側装置100は、入力装置101、演算装置
102、メモリ103、乱数発生装置104、素数発生
装置105及び出力装置106を備えている。
【0051】証明者は、確認者に対して自分の身元を証
明したい。この目的の下で、証明者はセンタをアクセス
する。センタのアクセスは、証明者本人がセンタに訪れ
て入力操作してもよいし、証明者装置200とセンタ装
置100との間の通信によってデータ入力を行ってもよ
い。
【0052】センタの準備処理:センタ側装置100で
は、乱数生成装置104と素数生成装置105を用い
て、次の要領で秘密情報と公開情報を作成し、秘密情報
はメモリ103に保持しておき、公開情報のみを第3者
に公開する。ここで、exp(a,b)はaのb乗を意味す
る。
【0053】秘密情報:・ 素数p,q・ p'|p-1 かつ q'|q-1なる素数p',q'・ x∈ZM 公開情報:・ N=p・q ,M=p'・q'・ αはZNの元でオーダーがM・ y≡exp(α,x) (mod N)・ セキュリティ・パラメータ ζ(1≦ζ≦M) 証明者の登録:証明者は、図6に示すように、自分のI
D情報IDA (e.g. 名前, 住所, 電話番号,等)をセン
タに送信し、登録しておく。センタ側装置100は、乱
数生成装置104を用いて、Mと互いに素な(秘密の)乱
数kAを選び、 tA≡exp(α,kA) (mod N), sA≡(IDA+tA−x)/kA (mod M) を計算する。すなわち、センタ装置100は、署名方式
2で説明した署名方式により、証明者のID情報IDA
に署名(tA,sA)を付ける。その後、センタ装置か
ら、証明者装置200に、証明者のID情報IDAと共
にtA,sAを配布する。これらの情報は、装置間の通信
によって行ってもよいし、例えばICカード等の媒体に
記憶して証明者に配布する方式としてもよい。
【0054】認証処理:証明者は、確認者に対して情報
Aを知らせること、次の手順で、自分がセンタで作成
した情報sAを所持することを証明することにより、証
明者の認証を行なう。
【0055】1.セットアップ:証明者は、確認者に対
して自分の身元を証明するために、証明者側装置200
を通信回線400を介して確認者装置300に接続し、
最初に自分のID情報IDAとtAを確認者側装置300
に送る。
【0056】2.認証プロトコル:証明者側装置200
と確認者側装置300との間で、次のプロトコルをh回
繰り返す。 Step 1:証明者は、乱数生成装置204を用いて、乱
数r∈ZMを選び、演算装置202で w≡exp(tA,r)
(mod N)を計算し、算出されたwを通信回線400を介
して確認者側装置300に送る。 Step 2:確認者は、乱数生成装置303を用いて、乱
数e∈{0,1,…,ζ}を選び、この乱数eを通信回線400
を介して証明者側装置200に送る。 Step 3:証明者は、証明者側装置200の演算装置2
02で、u≡r+e・sA (mod M) を計算し、uを通
信回線400を介して確認者側装置300に送る。 Step 4:確認者は、確認者側装置300の演算装置3
02で、次式をチェックする。 exp(y,e)・exp(tA,u)≡w・exp(α,e(IDA+tA)) (mod N) 上記人症プロトコルを所定回数(h回)繰返し、Step
4の式が常に正しく成立した場合、確認者は証明者が本
人であると認める。
【0057】証明者と確認者が上記人症プロトコルに忠
実に従う限り、 exp(y,e)・exp(tA,u)≡w・exp(α,IDA+tA-x)・exp(y,e) ≡w・exp(α,e(IDA+tA)) (mod N) であることから、確認者は証明者本人を認証することが
できる。
【0058】すなわち、認証プロトコルにおいて、証明
者は、確認者に対して自分がsAを所持していることを
証明している。センタ以外の第3者にとって、センタが
公開した情報のみを用いて署名(tA,sA)を作成する
のは実質的に困難であることから、確認者は、証明者が
上記署名を所持していることを証明した場合、彼がセン
タが認めた者であることを確信できる。
【0059】上記認証方式1は、効率に関しては従来B
ethの認証方式と同等であるが、暗号学的仮定が、DLPF
からDLPRになっているため、安全性は一層高められてい
る。
【0060】(実施例5)次に、本発明の実施例5とし
て、実施例5と同様のシステム(ただし、図3の素数生
成装置205は不要である)を用いて行う認証方式2に
ついて説明する。
【0061】センタの準備処理:センタ側装置100
で、秘密情報と公開情報を次の要領で作成し、秘密情報
はメモリ103に保持しておき、公開情報のみを公開す
る。
【0062】秘密情報:・ 素数p,q・ p'|p-1 かつ q'|q-1なる素数p',q' 公開情報:・ N=p・q ,M=p'・q'・ αはZNの元でオーダーがM・ セキュリティ・パラメータ ζ(1≦ζ≦M) 証明者の登録:証明者は、図7に示すように、自分のI
D情報IDA (e.g. 名前, 住所, 電話番号,等)をセン
タ装置100に送り、これらの情報を登録しておく。セ
ンタ装置100では、乱数生成装置104を用いて乱数
A∈ZMを選び、 IDA≡exp(α,xA)・yA 2 (mod N) を満たすyAを演算装置102で計算し、情報(IDA,
A,yA)を証明者に配布する。ここで、exp(a,b)は
aのb乗を意味する。
【0063】認証処理:証明者は、確認者に対して、自
分がセンタで作成した情報xAを所持することを証明す
るために、次の手順を実行する。
【0064】1.セットアップ 証明者は、確認者に対して自分自身の身元を証明するた
めに、証明者側装置200を通信回線400を介して確
認者側装置300に接続し、先ず、自分のID情報ID
AとyAを確認者側装置300に送る。
【0065】2.認証プロトコル 証明者側装置200と確認者側装置300との間で、次
のプロトコルをh回繰り返す。
【0066】Step 1:証明者は、乱数生成装置205
を用いて、乱数r∈ZMを選び、演算装置202で w
≡exp(α,r) (mod N) を計算し、wを通信回線40
0を介して確認者側装置300に送る。 Step 2:確認者は、乱数生成装置303を用いて、乱
数e∈{0,1,…,ζ}を選び、乱数eを通信回線400を
介して証明者側装置200に送る。 Step 3:証明者は、u≡r+e・xA (mod M)を証明
者側装置200の演算装置202で計算し、uを通信回
線400を介して確認者側装置300に送る。
【0067】Step 4:確認者は、確認者側装置300
の演算装置302で、次式が成立するか否かをチェック
する。 w・exp(IDA・exp(yA,-2),e)≡exp(α,u) (mod N) 確認者は、上記プロトコルのh回の実行において、Ste
p 4の式が常に成立した場合、証明者が本人であると認
める。証明者と確認者が上記プロトコルに従えば、 exp(α,u)≡exp(α,r+exA)≡w・exp(α,exA) ≡w・exp(IDA・exp(yA,-2),e) (mod N) であることから、確認者が証明者を認証することができ
る。
【0068】すなわち、認証プロトコルにおいて、証明
者は、確認者に対して、自分が情報xAを所持している
ことを証明している。センタ以外の第3者にとって、セ
ンタの公開情報のみを用いて(xA,yA)を作成するの
は困難であることから、確認者は、証明者が情報xA
所持していることを証明した場合、彼がセンタで認めら
れた者であることを確信できる。
【0069】上記認証方式2では、Nの素因数分解をセ
ンタの秘密情報とし、Nの素因数分解を知る者だけが IDA≡exp(α,xA)・yA 2 (mod N) を満たす(xA,yA)を計算できることをセンタの特権と
して認証システムを構築している。この認証方式は、mo
d N でのQRPの困難性に安全性の根拠を置いており、べ
き乗計算が比較的少ないため、効率が極めてよい。
【0070】(実施例6)次に、本発明の実施例6とし
て、実施例5のシステム構成(ただし、素数生成装置2
05は不要)を用いて行う認証方式3について説明す
る。
【0071】センタの準備処理:センタ側装置100で
は、乱数生成装置104と素数生成装置105を用い
て、秘密情報と公開情報を次の要領で作成し、秘密情報
はメモリ103に保持しておき、公開情報のみを公開す
る。ここで、exp(a,b)はaのb乗を意味する。
【0072】秘密情報:・ 素数p,q・ p'|p-1 かつ q'|q-1なる素数p',q'・ r∈ZM・ s∈ZM 公開情報:・ N=p・q ,M=p'・q'・ αはZNの元でオーダーがM・ k≡exp(α,r) (mod N)・ v≡exp(α,s) (mod N)・ セキュリティ・パラメータ ζ(1≦ζ≦M) 証明者の登録:証明者は、図8に示すように、自分のI
D情報IDA (e.g. 名前, 住所, 電話番号,等)をセン
タ100に送り、これらの情報を登録しておく。センタ
側装置100では、乱数生成装置104を用いて、乱数
A∈ZMを選び、 yA≡exp(α,xA) (mod N), zA≡(IDA−s−xA)/r (mod M). ( zA≡(IDA−r−xA)/s (mod M) ) を計算し、情報(IDA,xA,yA,zA)を証明者に配布
する。
【0073】認証処理:証明者と確認者は次の手順を実
行する。
【0074】1.セットアップ:証明者は、確認者に対
して自分自身の身元を証明するために、証明者側装置2
00を通信回線400を介して確認者側装置300に接
続し、先ず、情報(IDA,yA,zA,)を確認者側装置3
00に送る。確認者は、確認者側装置300の演算装置
302で、 exp(α,IDA)≡yA・v・exp(k,zA) (mod N) ( exp(α,IDA)≡yA・k・exp(v,zA) (mod N) ) が成立するか否かを確かめる。
【0075】2.認証プロトコル.証明者側装置200
と確認者側装置300との間で、次のプロトコルをh回
繰り返す。
【0076】Step 1:証明者は、乱数生成装置204
を用いて、乱数r'∈ZMを選び、w≡exp(α,r') (mo
d N)を演算装置202で計算し、得られたwを通信回
線400を介して確認者側装置300に送る。 Step 2:確認者は、乱数生成装置304を用いて、乱
数e∈{0,1,…,ζ}を選び、この乱数eを通信回線40
0を介して証明者側装置200に送る。 Step 3:証明者は、証明者側装置200の演算装置2
02で、u≡r'+e・xA (mod M)を計算し、uを通
信回線400を介して確認者側装置300に送る。 Step 4:確認者は、演算装置302で、次式が成立す
るか否かをチェックする。 w・exp(yA,e)≡exp(α,u) (mod N) 確認者は、上記プロトコルをh回繰返し、Step 4の式
が常に成立する場合、証明者が本人であると認める。証
明者と確認者が上記プロトコルに従えば、 exp(α,u)≡exp(α,r+exA)≡w・exp(yA,e) (mod N) であることから、確認者は、証明者を本人と認証するこ
とができる。すなわち、上記認証プロトコルにおいて、
証明者は、確認者に対して自分が情報xAを所持してい
ることを証明している。センタ以外の第3者にとって、
センタの公開情報から情報(xA,yA,zA)を作成する
のは困難であるから、確認者は、証明者が情報xAを所
持していることを証明した場合、証明者がセンタが認め
た者であることを確信できる。上記認証方式3は、べき
乗計算の回数が少ないため、効率が良く、しかもDLPR
困難性に安全性の根拠を置いているため、安全性が高
い。
【0077】以上説明した実施例1〜実施例6の認証、
署名方式の実用化に当っては、前もって計算できる箇所
はできるだけ前処理計算しておくことが望まく、安全性
と効率の点から、パラメータp、q、p’、q’の値は
次の範囲で設定することが望ましい。
【0078】p,q≧2512、 p',q'≧2256 また、fを一方向性ハッシュ関数として公開しておき、
署名方式1(実施例1)でmの代わりにハッシュ値f
(m)を、署名方式2(実施例2)でm+xの代わりにハ
ッシュ値f(m,x)を、署名方式3(実施例3)ではm
+x2の代わりにハッシュ値f(m,x2)を採用するよう
にしてもよい。それぞれの認証方式において、ID情報
IDAの値を大きく取りたい場合、IDAを単独に用いる
代わりに適当な値とハッシュ計算した値を採用するよう
にしてもよい。
【0079】
【発明の効果】以上の説明から明らかなように、本発明
による署名、認証方式は、従来方式に比較して、べき乗
計算の回数が少なくて済むため、効率良く署名、認証を
行なうことができる。また、暗号学的仮定を、体Zp
の離散対数問題より難しい環ZN上の離散対数問題にお
いているため、高い安全性が得られる。
【図面の簡単な説明】
【図1】本発明の署名、認証方式を実行するためのシス
テム構成を示す図。
【図2】センタ側装置100の構成を示す図。
【図3】署名者側装置(証明者側装置)200の構成を
示す図。
【図4】確認者側装置300の構成を示す図。
【図5】署名方式1〜3の手順の概要を示す図。
【図6】認証方式1の手順の概要を示す図。
【図7】認証方式2の手順の概要を示す図。
【図8】認証方式3の手順の概要を示す図。
【符号の説明】
100…センタ側装置,200…署名者側装置(証明者
側装置),300…確認者側装置。
フロントページの続き (56)参考文献 特開 昭63−101987(JP,A) 特開 平6−332374(JP,A) 特開 平6−150082(JP,A) 川村信一、新保淳,“Rabin暗号 の署名を用いた鍵共有方式”昭和63年電 子情報通信学会春季全国大会講演論文 集,日本,財団法人電子情報通信学会, 1988年 3月15日,基礎・境界〔分冊A −1〕,1−291 J.Schwenk and J.E isfeld,“Public Key Encryption and Si gnature Schemes Ba sed on Polynomials over Zn”,Lecture Notes in Computer Science,1996年 8月 5日, EUROCRYPT’96,Vol. 1070,p.60−71 西岡玄次,“体上の離散対数問題に基 づく対話形認証方式についての一考 察”,電子情報通信学会論文誌,日本, 社団法人電子情報通信学会,1996年10月 25日,Vol.J79−A,No.10, p.1708−1724 (58)調査した分野(Int.Cl.7,DB名) G09C 1/00 H04L 9/00

Claims (2)

    (57)【特許請求の範囲】
  1. 【請求項1】署名者側装置が、署名者の秘密情報を用い
    て文書情報mに対する署名xを作成して、前記文書情報
    mと前記署名xとを確認者に送付し、確認者側装置が、
    前記署名者の公開情報を用いて、前記文書情報mの正当
    性を確かめる正当性の確認システムにおいて、 前記署名者側装置は、 素数p、qと、s(ただし、s∈Z N 、Z N は正の整数n
    を法とした剰余系)を作成する手段と、 N=pq v≡s (mod N) を計算する手段と、 前記p、q、sを、前記署名者の秘密情報として保持す
    る手段と、 前記N、vを前記署名者の公開情報として公開する手段
    と、 前記N、s、mを用い、 x≡exp (m+s,1/2)+exp(m−s,1/2) (mod N) (ただし、exp (a,b)は、aのb乗である)を計
    算し、乱数を用いることなく署名xを生成する手段と、 前記署名xと前記文書情報mを前記確認者側装置に送る
    手段と、を備え、 前記確認者側装置は、 前記公開情報N、vと、受信した前記署名xと文書情報
    mとを用いて計算し、 −4mx +4v≡0 (mod N) が成立することにより、前記文書情報mの正当性を確認
    する手段と、を備えることを特徴とする正当性の確認シ
    ステム。
  2. 【請求項2】請求項1の正当性の確認システムにおい
    て、前記文書情報mは、文書を一方向性ハッシュ関数fに入
    力して得た出力であることを特徴とする正当性の確認シ
    ステム。
JP33832792A 1992-12-18 1992-12-18 正当性の確認システム Expired - Fee Related JP3316895B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP33832792A JP3316895B2 (ja) 1992-12-18 1992-12-18 正当性の確認システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP33832792A JP3316895B2 (ja) 1992-12-18 1992-12-18 正当性の確認システム

Publications (2)

Publication Number Publication Date
JPH06188874A JPH06188874A (ja) 1994-07-08
JP3316895B2 true JP3316895B2 (ja) 2002-08-19

Family

ID=18317104

Family Applications (1)

Application Number Title Priority Date Filing Date
JP33832792A Expired - Fee Related JP3316895B2 (ja) 1992-12-18 1992-12-18 正当性の確認システム

Country Status (1)

Country Link
JP (1) JP3316895B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100330503B1 (ko) * 2000-03-21 2002-04-01 정명식 서명 검증 방법
JPWO2002044909A1 (ja) * 2000-12-01 2004-04-02 松下電器産業株式会社 サーバー装置並びに情報処理装置
CN101080897B (zh) * 2005-07-13 2012-09-19 日本电信电话株式会社 鉴别系统、鉴别方法、证明器件、验证器件及其程序和记录介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
J.Schwenk and J.Eisfeld,"Public Key Encryption and Signature Schemes Based on Polynomials over Zn",Lecture Notes in Computer Science,1996年 8月 5日,EUROCRYPT’96,Vol.1070,p.60−71
川村信一、新保淳,"Rabin暗号の署名を用いた鍵共有方式"昭和63年電子情報通信学会春季全国大会講演論文集,日本,財団法人電子情報通信学会,1988年 3月15日,基礎・境界〔分冊A−1〕,1−291
西岡玄次,"体上の離散対数問題に基づく対話形認証方式についての一考察",電子情報通信学会論文誌,日本,社団法人電子情報通信学会,1996年10月25日,Vol.J79−A,No.10,p.1708−1724

Also Published As

Publication number Publication date
JPH06188874A (ja) 1994-07-08

Similar Documents

Publication Publication Date Title
US11171791B2 (en) Systems and methods of aggregate signing of digital signatures on multiple messages simultaneously using key splitting
US9967239B2 (en) Method and apparatus for verifiable generation of public keys
US8966271B2 (en) Data card verification system
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
US9882890B2 (en) Reissue of cryptographic credentials
US9071445B2 (en) Method and system for generating implicit certificates and applications to identity-based encryption (IBE)
CN107911217B (zh) 基于ecdsa算法协同生成签名的方法、装置和数据处理系统
US5719940A (en) Method for providing information security by exchanging authentication and signing an electronic signature and apparatus therefor
US8121290B2 (en) Pseudo-random function calculating device and method and number-limited anonymous authentication system and method
WO2012156254A1 (en) A method for performing a group digital signature
JP4945026B2 (ja) 減少した計算組を伴う認証または署名プロセス
Wang et al. Attribute-based server-aided verification signature
JP3316895B2 (ja) 正当性の確認システム
JP4307589B2 (ja) 認証プロトコル
JPH11234263A (ja) 相互認証方法および装置
JPH08160857A (ja) 楕円曲線に基づく認証方法及び認証システム
JPH09160492A (ja) 署名方式
Saxena et al. Zero-knowledge blind identification for smart cards using bilinear pairings
JPH11252070A (ja) 利用者認証方式
JPH07281595A (ja) 認証方式
JPH0777934A (ja) 離散対数ベース認証方式
Lin et al. Self-certified proxy convertible authenticated encryption scheme
JPH06332374A (ja) 認証方法および認証システム
JPH0659626A (ja) ディジタル署名方式
JPH07261664A (ja) プライバシー保護認証方法

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees