JP3333503B2 - 1回提示ブラインドサインシステム - Google Patents

1回提示ブラインドサインシステム

Info

Publication number
JP3333503B2
JP3333503B2 JP50520989A JP50520989A JP3333503B2 JP 3333503 B2 JP3333503 B2 JP 3333503B2 JP 50520989 A JP50520989 A JP 50520989A JP 50520989 A JP50520989 A JP 50520989A JP 3333503 B2 JP3333503 B2 JP 3333503B2
Authority
JP
Japan
Prior art keywords
signature
party
presented
issued
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP50520989A
Other languages
English (en)
Other versions
JPH04500440A (ja
Inventor
チヤウム,ダビツド
Original Assignee
デジキャッシュ・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジキャッシュ・インコーポレーテッド filed Critical デジキャッシュ・インコーポレーテッド
Publication of JPH04500440A publication Critical patent/JPH04500440A/ja
Application granted granted Critical
Publication of JP3333503B2 publication Critical patent/JP3333503B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3257Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Collating Specific Patterns (AREA)
  • Facsimile Transmission Control (AREA)
  • Curtains And Furnishings For Windows Or Doors (AREA)
  • Detergent Compositions (AREA)
  • Image Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

【発明の詳細な説明】 発明の背景 1.発明の分野 本発明は暗号システム、特にリンク不可能性を提供す
る公開鍵デジタル署名システムに関するものである。
2.従来技術の説明 ブラインド署名は、いずれも本出願人による米国特許
出願524,896号“Blind signature system"に基づいた優
先権主張の欧州特許公開0,139,313号(1985年2月5
日)および米国特許出願784,999号“Unanticipated bli
nd signature system"に基づいた優先権主張の欧州特許
公開0,218,305号(1987年4月15日)に記載されている
ように技術的に知られている。
これらの署名は、(例えば、のACM通信1030乃至1044
頁の“Security without identification:Transactio
n systems to make Big−Brother obsolete"(1985
年10月)に記載されているような)支払いシステムを構
成するためにむしろ直接的に利用することができる。こ
のようなシステムでは、銀行はブラインド署名するため
に例えば1ドルを請求する。人々はそのような署名を銀
行から購入することが可能であり(ブラインド処理によ
り、人々がどの署名を購入したか銀行に分からなくな
る)、例えば店でその署名を使う。店は特定の署名を受
取ると、どこか他の場所で既に使用されてないことを確
認するために、銀行とオンライン処理でチェックを行
う。もし店がこのようなチェックをしなければ、誰かが
2か所以上の店で同じ番号を使用することができ、ブラ
インド署名はその誰かを追跡するのを防ぐ。しかし、オ
ンラインチェックは多くの適用において費用がかかり実
行不可能な場合もある。
ブラインド署名の別の利用法は信任保証メカニズムに
おいてである。これらのメカニズムも上述の文献に紹介
されており、さらに“A secure and privacy−protecti
g protocol for trasnmitting personal information b
etween organizations"(本出願人およびJ.H.Evertse氏
により、Proceedings of Crypto86,A.M.Odlyzko,Ed.,Sp
ringer−Verlag 1987において出版)において詳細に紹
介されている。そのようなメカニズムで信用保証を提示
または受け取るために「デジタルペンネーム」が定めら
れると、同一のペンネームが以前に使用されてないこと
を保証するためにオンライン処理を実行することが必要
である。
これらすべてのシステムにおいて、(1)署名発行当
時者の所有装置、(2)第1の当事者の所有装置によっ
て署名が発行される対象である複数の当事者の所有装
置、(3)第2の当事者の所有装置によって署名が提示
される対象である複数の当事者の所有装置の実質的に3
つのタイプの当事者の所有装置が存在する。「正直な」
第2の当事者の所有装置に対するリンク不可能性を減少
させずに改善することができる1つの観点は、第3の当
事者の所有装置が署名を受け取る前に別のまたは何らか
の手形センタでチェックをしなければならないことであ
る。こうしなければ、同じ署名が2人以上の第3の当事
者の所有装置に既に提示されていることが分かった場合
に、第3の当事者は頼るものがなくなる。
発明の目的 したがって、本発明の第1の目的は、第1の当事者の
所有装置により第2の当事者の所有装置に対して署名を
発行し、第2の当事者の所有装置が第3の当事者の所有
装置にその署名を提示することを可能にし、第1および
第3の当事者の所有装置が協力しても2回以上署名を提
示していない第2の当事者の所有装置を追跡することが
できない公開鍵デジタル署名システムを提供することで
ある。
本発明の別の目的は、(第2の当事者の所有装置が1
つの署名を2回以上提示しないと仮定した場合)たとえ
第1および第3の当事者に無制限の計算機リソースが利
用可能になっても追跡が不可能のままであるという意味
で、このような追跡不能性が絶対的であるようにするこ
とである。
本発明のさらに別の目的は、第1および第3の当事者
の所有装置が1つの署名を2回以上提示する第2の当事
者の所有装置を効率的に発見し追跡できるようにする
(第1の当事者の所有装置による署名の特定の発行に戻
る)ことである。
本発明の付加的な目的は、署名が2回以上提示された
後はいつでも前記発見および追跡ができるようにするこ
とである。
本発明のさらに別の目的は、提示される署名の形態の
中に第2の当事者の所有装置が番号を符号化できるよう
にすることである。
本発明のさらに別の目的は、前記番号が価値を表し、
提示された価値と最大価値との差に対する払戻しを第2
の当事者の所有装置が後で受けることができるようにす
ることである。
本発明のさらに別の目的は、もともと提示された特定
の価値が払戻し中に明らかにされないような方法で、提
示された2以上の署名の少なくとも1部に対して、ん価
値の払戻しを受けることができるようにすることであ
る。
本発明のさらに別の目的は、本発明のその他の目的を
達成する効果的、経済的かつ実用的な装置および方法を
提供することである。
本発明の他の目的、特徴および利点は、図面とともに
この説明および添付した請求の範囲を読むことにより理
解できるであろう。
図面の簡単な説明 第1図は、本発明による第1の例示的な1回提示ブラ
インド署名獲得プロトコルの好ましい実施例のフローチ
ャートを示す。
第2図は、本発明による第1の例示的な1回提示ブラ
インド署名提示プロトコルの好ましい実施例のフローチ
ャートを示す。
第3図は、本発明による第1の例示的な複数回提示検
出および追跡プロトコルの好ましい実施例のフローチャ
ートを示す。
第4図は、本発明による第1図に対して拡張した第2
の例示的な1回提示ブラインド署名獲得システムの好ま
しい実施例のフローチャートを示す。
第5図は、本発明による第2図に対して拡張した第2
の例示的な1回提示ブラインド署名提示システムの好ま
しい実施例のフローチャートを示す。
第6図は、本発明による第4図および第5図の例示的
な実施例に対する払戻し署名提示システムの好ましい実
施例のフローチャートを示す。
発明の簡単な要約 本発明のこれらおよびその他の目的にしたがって、例
示的な実施例の簡単な要約を示す。この簡単な要約にお
いていくつかの簡単化および省略を行っているが、これ
は本発明のいくつかの観点を強調し紹介するためだけに
行っているものであり、本発明の技術的範囲を制限する
ことを意図しているものではない。当業者が発明的概念
物を生産および使用できるようにするのに適する好まし
い例示的実施例の詳細な説明は後で行う。
基本プロトコルは3つの部分、すなわち当事者Pの所
有装置が当時者Bの所有装置から1回提示署名を得るこ
と、当時者Pの所有装置が1回提示署名を当時者Sの所
有装置に提示すること、当時者Bの所有装置が2回以上
提示された署名を検出し追跡することからなる(これら
の文字は、適用における何らかの制限を意味することな
く支払人、銀行および店を表すように、明確化のためだ
けに記憶手段として選択されたものである)。
署名が発行される際に、当事者Bの所有装置が保証す
るある構造が署名に組み込まれる。署名が提示されると
き、この構造のある部分が明らかにされ、どの部分が明
らかにされるかの選択は少なくとも当事者Pの所有装置
の制限外のことである。署名の2つ以上の部分さえ明ら
かにされれば、簡単な計算により、署名の構造に組み込
まれた識別子を決定することができる。署名が仮に2度
提示されると、構造の異なる部分が明らかにされること
が予測できるので、識別子によって追跡できるようにな
る。
さらに詳しく説明すると、(後の説明ではt=100と
いて表示されている)好ましい実施例の特定の場合は、
形式f(g(a,c),g(au,d))の値における署名を
含む。ここでfおよびgは一方向関数である。この署名
が提示される場合に、複数の関数gの1つにおける前像
を当事者Sの所有装置に対して提示しなければならない
が、他の関数gはその像のみを提示すればよい。このデ
ータに単に公開関数を適用し、受け取ったデジタル署名
のメッセージがどのような結果を生じるかをチェックす
ることで、当事者Sの所有装置によってこのデータを検
査することができる。
他の関数gにおける前像も署名の第2の提示で知られ
ると仮定する。第1の注目すべき点は、2つの提示が関
数fにおけるまったく同じ像を含むことから、2つの提
示が相互に簡単に関連付けられることである。識別情報
uは、単にu=a-1(au)を形成することにより
容易に得られる。は群演算である。
どの関数gがその引数を明らかにするかの選択は、単
一ビットとして符号化することができる。より一般的に
説明すると、署名の中にt項あり、提示されるものとし
てそれぞれ同じ形式である。tビットストリングはt項
のどの半分が公開されるかを決定するチャレンジであ
る。1ビット位置でもこのチャレンジが異なると、uを
簡単に決定できるようにするのに十分なものが明らかに
なる。
追跡不能性のために、関数gはその前像を再現するた
めに逆にできないことがもちろん必要である。cとdの
引数が少なくとも関数gの値域と同じ大きさの集合から
ランダムに選択されると、関数gを一意的に逆にするこ
とは不可能である。
変数がチャレンジストリングのいくつかの部分に例え
ばお金の総額を符号化する。チャレンジストリングの対
応するビットが0として提示された場合にのみ提示する
ことができる他の署名も当事者Bの所有装置によって発
行される。これらは当時者Pの所有装置が使用されてい
ない価値に対する釣銭を得ることできるようにする。し
かしながら、これらは個々の署名かもしれないので、2
以上のもとの署名からの釣銭を一度で得ることができ、
これにより個々の支払いで使用された正確な総額を隠す
ことができる。
一般的な説明 ここに記載されている暗号方法および手段は、基本的
な第1の実施例および第2の拡張実施例に分けられる。
第1の実施例において、第1の処理(第1図)は、当事
者Pの所有装置が当事者Bの所有装置から署名を得るこ
とができるようにする。第2の処理(第2図)は、前も
って当事者Pの所有装置に知られていない数wに応答し
て、当事者Pの所有装置からのこの署名が当事者Sの所
有装置により受け入れられるようにする。第3の処理
は、当事者Pの所有装置が全く異なるwを持つ署名を提
示した場合のみ、当事者Pの所有装置と関係あるu(識
別子)を当事者Bの所有装置が暴露できるようにする
(第3図)。第2の実施例は修正されていないこの第3
の処理を使用することができるが、当事者Pの所有装置
と当事者Bの所有装置の間の修正された発行処理(第4
図)と、当事者Pの所有装置と当事者Sの所有装置の間
の修正された提示処理(第5)と、当事者Pの所有装置
と当事者Bの所有装置の間の未提示返還請求処理(第6
図)とを有する。
好ましい実施例の詳細な説明 第1図乃至第6図の表記は当業者に明らかであるが、
明確のために最初にここで概説する。
行われる演算または動作はフローチャートのボックス
に互いにグループ化されている。ボックスが位置する列
は、ボックス内に規定されている演算または動作を実行
する当事者の所有装置を示している。列は上方を横切る
当事者の所有装置の名前によってラベル付けされてい
る。記号名に基づいて値をセーブする演算は、符号の左
側における記号名と等号の右側における値に対する式と
によって表示されている。別の種類の演算は等式検査で
ある。“?=?"記号はこの検査を示すために使用され、
検査が維持されないと、検査をする当事者の所有装置は
プロトコルを終了する(この検査がプロトコル中に当事
者の所有装置によって実行されるべき最終演算である場
合には、検査の成功または失敗はプロトコルによる当事
者の所有装置の成功または失敗を決定する)。最終的な
種類の動作はメッセージを送ることである。これは左側
のメッセージ番号によって示される。その後に受信当事
者の所有装置の名前と矢印が続く(読みやすくするた
め、受信者の所有装置が左側に位置する場合には、受信
者の所有装置の名前の次に左を指す矢印として、また受
信者の所有装置が右側に位置する場合には、右を指す矢
印の次に受信者の所有装置の名前として表されてい
る)。その後にコロンが続き、最後に、送信されるべき
メッセージの実際の値を示す式が続く。
いくつかの種類の表現が使用される。1つは“ランダ
ム”という単語である。これは、明細書に規定されてい
る適切な集合から均等に、そしてプロトコルにおける他
のすべてのこととは無関係に値が選択されることが好ま
しいことを示している。したがって、これらの目的のた
めに、当事者の所有装置がおそらく適切な後処理ととも
に物理的なランダム数発生器を使用することが好まし
い。しかしながら、実際には、おそらく物理的な発生源
と組合わせて、周知の暗号および疑似ランダム技術を適
用することができる。
他の種類の表現は指数法を含む。このような指数法は
すべて合成数Mを法とする剰余に対することが好まし
い。Mの素因数分解は当事者Bの所有装置のみに利用可
能であることが好ましく、そのような法は、“A method
for obtaining digital signatures and public−key
cryaptosystems"(by Rivest,Shamir and Adleman,Comm
unications of the ACM,February 1978,pp.120−126)
において最初に提案されているように技術的に良く知ら
れている。演算が明確に示されていない場合には、Mを
法とする乗算が仮定される。
異なる公開指数を法Mとともに使用することができ
る。第1図乃至第3図では、公開指数pのみが使用され
ている。これは任意の適切な数でよく、すなわち、2、
適切な大きさの奇素数、既約剰余系の位数と確実に互い
に素であるように十分大きな素数、または任意の他の整
数でよい。第4図乃至第6図の拡張実施例では、p=GC
D(p(1),p(2),………,p(t))およびq=GCD
(q(1),q(2),………,q(t))である。p
(i)およびq(i)はそれぞれ、異なる素因数ととも
に他の共通の因数を含むか、または因数の増加重複度を
含んでいてよい。例えば、特に、より小さい指数がより
小さい貨幣単位を表わすとの規則がとられた場合には、
p(i)=2iおよびq(i)=2iは計算において確かで
あり、効率的な使用を提供すると考えられる。
当業者に明らかなように、1つには、多くの剰余に対
して平方根が存在しないことから、偶数の公開指数は特
別の注意を必要とする。したがって、(後に説明するよ
うなvと呼ばれる集合により決定される)当業者Bの所
有装置による署名するものの選択は、必然的に署名不能
性を避ける。この問題を取扱う他の方法は、それぞれ4
の法とする3と合同のまさに2つの素因数を持つよく知
られた特定の合成数形態の適用によるものであり、ブラ
インド係数は、ヤコビ記号1を持つように調整された関
数fにおける像とともに、ヤコビ記号1を持つ標準的な
公開非平方根をランダムに含む。異なる偶数指数におけ
る署名の各項は、当事者Bの所有装置の選択によって、
署名下で含まれた公開非平方数を持つ。公開非平方数の
任意選択的な倍数を持つ関数fにおける像の署名が受け
入れられる。さらに注目すべき点は、両当事者の所有装
置が公開非平方数を入れると、その平方根も公開されて
いる時に、当事者Pの所有装置により署名から取り出す
ことができることである。もちろん、選択されたメッセ
ージ上の平方根が詐欺師により知られる機会が許容でき
るほど小さいようにsが十分に大きいように注意するこ
とも必要である。
“/"がベースにおいて使用される場合には、最初に右
側の式に対して乗法的逆数が計算され、その後にこれが
左側の式により乗算される。当事者Bの所有装置により
指数において使用される場合には、今述べたのとちょう
ど同じ演算を表すが、計算はMを法とする剰余の位数を
法とする。当事者Bの所有装置以外の当事者の所有装置
により指数に使用される場合には、整数除法を表す。す
べての演算の結果は、便利さと明確さのために、二進整
数として符号化される(剰余類に対して最小正表現がと
られる)。したがって“||"により表される連結は、値
を表すビットベクトルの並置として定義される。
関数fおよび関数gは、2つの引数を有する(として
考えられる)公に同意された一方向関数であることが好
ましく、このような関数は技術的によく知られている。
関数gにおけるそれぞれの像は関数fに対する引数とし
て適合するものと仮定され、すべての何らかの標準的な
方法において、関数fにおけるそれぞれの像は次にMを
法とする剰余として表すことができる。同一の結果を、
すなわち暗号技術において通常達成される特性を生じさ
せる2つ以上の有効な引数対を発見することが困難であ
るという意味では、これらの関数は“無衝突性”である
ことが好ましい。
関数gのさらに望ましい特性は、それぞれ特定の許容
された第1の引数に対して、それぞれ可能性ある出力を
生成する同数の第2の引数が存在することであり、言い
換えると、任意の第1の引数を固定すると第2の引数か
らk対1マップが出力に提供される。この新しくて独創
的な特性は追跡に対して「無条件」な保護の利点を提供
すると思われる。すなわち無限の計算力でさえ、その結
果のみが与えられた場合に関数gの第1の引数を決定す
ることができないと思われる。いずれの場合において
も、このような特性を有するか、何らかの絶対意味また
は単に計算的意味においてこれらに近いと思われる関数
は、同様の利点を提供することができる。(適切な大き
さにされた)引数の連結からの“ランダム”な一方向関
数は所望の特性にかなり近づいてくることが予期される
ことから、任意のほとんどの一方向関数を使用すること
ができると考えられる。
このような好ましい関数を達成するための1つの例示
的方法は、何らかの群に対する“離散対数”問題として
公開鍵暗号技術において良く知られているような全単射
一方向関数を第2の引数に対して適用し、第1の引数の
一方向関数に基づく像を結果と結合させるのに関係する
群演算を使用することである。例えば、第1の引数は、
第1の大きい素数を法とする原始元の指数として使用し
てもよく、その結果(おそらく、例えば固定鍵またはこ
れに類するものを有するDESを適用した後に)は、第2
の大きな素数を法として、第2の素数を法とする原始元
を第2の引数乗した結果に加算される。最終的な結果の
全単射後スクランブル処理が、例えば固定鍵を有するDE
Sの最終的な適用により提供され、もとの2つの引数の
それぞれの同様な前スクランブル処理も使用してもよ
い。
挿入演算子“”は、説明されるように任意のuと同
じ位大きい素数を法とする加法の群演算である。当業者
にはビットごとの排他的論理和または任意の適当な群演
算がどのようにして使用されるかは明らかであろう。
記号名およびメッセージ番号の両者における接尾辞
は、明瞭にするために自然数に対して取られている添字
を示し、(集合差を含む)集合表記はこれらが動く順序
集合を示すために使用されている。記号名i,j,kは添字
として使用される。集合の濃度(元の個数)は通常行わ
れているようにそれらを“|"記号で囲むことにより示し
ている。@として示した特別な演算は明瞭にするために
添字の記号名における接頭辞として使用されており、こ
れは、その順序添字集合内の添字の位置を示している
(例えばもしもi∈{3,1,4}およびg1,g2,g3,g4=4,8,
1,7であるならば、gi=1,4,7およびgi=g@i=5,12,8
である)。通常のΠ表記はMを法とする積に対して使用
され、ここでΠに続く式中の添字はその全添字集合に対
して変化するようにとられる。
2つのパラメータsおよびtは既知であり、それらを
使用するすべての当事者で同意されていると仮定する。
これらのパラメータは使用される添字集合の大きさを決
定し、これらを増加させると安全性が増す。非常に高い
安全性はt=100およびs=200を採用することにより結
果的に得られると考えられるが、実際にはそれよりはる
かに小さい値を使用することができる。これは特に後述
するように第1図の複数のインスタンスが一緒に行われ
るときに正しい。uの値は少なくとも当事者Pの所有装
置および当事者Bの所有装置に知られており、特定の処
理または前述のような組み合わせた処理に対して一意的
に識別子である。
第1図を参照にして好ましい実施例のフローチャート
の第1の部分について詳細に説明する。
ボックス101は、既に言及したようなランダムな選択
で当事者Pの所有装置がri,ai,ciおよびdiを選択してい
ることを示し、iは最初のs個の自然数である。riは公
開指数により累乗されることにより“ブラインド係数”
を形成するために使用され、したがってそれらは技術的
に知られているように{1,……,M−1}から選択するこ
とが好ましい。aiは2人の異なる支払い者の所有装置が
同じものを選択する機会を減少するように均一であるこ
とが好ましい。ciとdiは関数gに対する第2の引数とし
て使用され、したがってすでに関数gに対して説明した
所望の特性を最大にするように選択することが好まし
く、例えば関数gの第2の引数の定義域から均一に選択
される。それから当事者Pの所有装置は、第1の引数と
しての対応するaiに、そして第2の引数としてのciに、
関数gを適用することによりxiを計算する。次に同様の
方法でyiが計算される。しかしながら、それぞれのaiは
群演算によりuと結合されて関数gに対する第1の引
数を形成し、diが第2の引数として取られ、その結果が
対応するyiとして記号的に示される。次にs個のメッセ
ージが形成され、すでに説明した表記法によって示され
ているように当事者Bの所有装置へ送られる。i番目の
メッセージ[11.1]iは、Mを法とした、第1の引数xi
および第2の引数yiに対して適用された関数fをriのp
乗倍した積である。
ボックス102は、メッセージ[11.1]の受信後に当事
者Bの所有装置が最初に濃度s−tを有する{1,……,
s}の部分集合から均一にランダムにvを選択し、それ
からこの部分集合をメッセージ[12]として当事者Pの
所有装置に戻すことを示している。
ボックス103は、最初に、メッセージ[12]として受
けたこの部分集合の濃度がs−tであることをどのよう
にして当事者Pの所有装置がチェックするかを示してい
る。すでに定めた表記によって要求されるように、もし
もこの検査が満足されなければ当事者Pの所有装置は動
作を中止し、そうでなければ当事者Pの所有装置はまず
この集合の値域に対して添字jを割り当てることによっ
て動作を継続する。それからメッセージ[13.1]j,[1
3.2]j,[13.3]j,[13.4]jがそれぞれrj,aj,cj,djか
ら形成されて当事者Bの所有装置に送られる。
ボックス104は、メッセージ[13.1]j,[13.2]j,[1
3.3]j,[13.4]j受信後のの当事者Bの所有装置の動
作を定めている。集合vにおける全ての添字jに対し
て、メッセージ[11.1]jは、Mを法とした、それぞれ
関数gにおける像である2つの引数の関数fにおける像
をメッセージ[13.1]jのp乗倍した積と、等式検査の
ために比較される。関数gの最初の適用は、その第1の
引数としてメッセージ[13.2]jを、第2の引数として
メッセージ[13.3]jを持つ。関数gの第2の適用は、
uと演算を使用して結合されたメッセージ[13.2]j
からなる第1の引数と第2の引数[13.4]jとを持つ。
この検査が全てのjに対して通ると、当事者Bの所有装
置は動作を継続する。次にkは、v中にはない{1,…
…,s}中の全ての要素にわたって動くことが可能にな
る。Mを法として、全てのメッセージ[11.1]kの積が
形成され、すでに説明したようなp乗根を示す1/pによ
り累乗される。この値はそれからメッセージ[14]とし
て当事者Pの所有装置に与えられる。
ボックス105は、当時者Pの所有装置が最初に、メッ
セージ[12]中にはない{1,……,s}中の全ての要素に
わたって動くようにkを設定することを示している。そ
の後、受信されたメッセージ[14]はMを法としてp乗
され、Mを法とした、kにより添字表記されたすべての
メッセージ[11.1]の積と等式検査のために比較され
る。この検査が通ると、当事者Pの所有装置は、Mを法
として、メッセージ[14]をすべてのrkの積で乗法的逆
数倍した積に、nを設定するように進む。最後に、ak,c
k,dk,xk,ykが新しい添字に割り当てられる。jが動く順
序添字集合における最初の要素が、新しい添字1を受け
るaiを選択し、どの要素が添字2を得るかはjの添字集
合中の第2の要素が決定し、添字集合のすべての要素に
対して以下同様であり、同じことがck,xk,ykについても
行われる。
第2図を参照して好ましい実施例の部分に対する第2
のフローチャートについて詳細に説明する。
ボックス201は、すでに説明したようにボックス105中
で計算されたnの値を含むメッセージ[21.1]を当事者
Pの所有装置が当事者Sの所有装置に送信することによ
り開始する。iに対する添字集合は、最初のt個の自然
数であるようにとられる。それからiのそれぞれの値に
対して、第1の引数xi'および第2の引数yi'を持つ関数
fにおける像としてメッセージ[21.1]iが形成され、
その後当事者Sの所有装置に送られる。
ボックス202は、当事者Sの所有装置がまず、{1,…
…,t}のすべての部分集合からランダムに添字集合wを
選択することを示している。その後当事者Sの所有装置
は、すべてMを法として、メッセージ[21.2]のp乗と
すべてのメッセージ[21.2]iの積との等式検査をす
る。もしも検査が満足されれば、当事者Sの所有装置は
wを与えるメッセージ[22]を当事者Pの所有装置に対
して送信することにより継続する。
ボックス203は、当事者Pの所有装置により受信され
たメッセージ[22]により定められたチャレンジのミー
ティングである。メッセージ[22]中の要素jに対し
て、a'j,c'jおよびy'jが、メッセージ[23.1]j,[23.
2]j,[23.3]jとしてそれぞれ当事者Sの所有装置に
送られ、メッセージ[22]中にはない{1,……,t}中の
要素kに対して、x'k,a'Kuおよびd'kが、それぞれメ
ッセージ[23.4]k,[23.5]kおよび[23.6]kとして
送られる。
ボックス204は、メッセージ[23.1]乃至[23.6]の
当事者Sの所有装置による受信およびチェックを示して
いる。w中の各jに対して、メッセージ[21.2]jは2
つの引数の関数fにおける像と等式検査され、引数の第
1のものはこの順序でメッセージ[23.1]jおよび[2
3.2]jの関数gにおける像であり、引数の第2のもの
はメッセージ[23.3]jである。w中にはない{1,…
…,t}中のそれぞれのkに対して、メッセージ[21.2]
kが2つの引数の関数fにおける像と等式検査され、引
数の第1のものはメッセージ[23.4]kであり、第2の
ものはこの順序でメッセージ[23.5]kおよび[23.6]
kの関数gにおける像である。
第3図を参照して好ましい実施例の部分に対する第3
のフローチャートについて詳細に説明する。
ボックス301は、どのようにして当事者Bの所有装置
がまず各当事者Sの所有装置からメッセージ[21.2]を
得て記録するかを示している。
ボックス302は、当事者Bの所有装置がボックス301中
で受け取られたメッセージ[21.2]の中から重複をサー
チすることを示している。1例ではボックス301中で受
け取られた時に何らかの適当な方法でメッセージ[21.
2]を蓄積する。この蓄積されたものは重複を検出する
のに容易に使用できる(当業者に明らかなように、いわ
ゆる“ハッシング”がこれに対する適当なデータ構造で
あることが予測される。これらはすでに一方向関数にお
ける像であるから、それらのいくつかのビットはハッシ
ュ値として直接使用することができる)。別の例はソー
トされていないバッチとして蓄積すべき多くのメッセー
ジ[21.2]に対するものであり、その後受け取られたも
のを周期的にソートし、おそらくそれらをすでに受け取
った他のものと組合せる。ソートまたはサーチ技術に基
づくこのような重複検出の種々の方法はコンピュータ科
学技術では広く知られている。
ボックス303は、302で反復された時に検出されたメッ
セージ[21.2]の特定の値の少なくとも2つのインスタ
ンスに対応している、どちらも利用可能なメッセージ
[23.1]および[23.5]を当事者Bの所有装置が得るこ
とを示している。これらは重複メッセージ[21.2]を供
給するそれぞれの当事者Sの所有装置から得られること
が期待される。例えばそれらはメッセージ[21.2]と共
に複数の当事者Sの所有装置によって提供される。もし
もバッチソートがボックス302で行われれば、当事者B
の所有装置はメッセージ[23.1]と[23.5]をアーカイ
ブに保管し、必要な時に重複に対応しているものを検索
することができる。あるいは、例えばメッセージ[23.
1]と[23.5]が[21.2]と共に供給されない場合に
は、どの当事者Sの所有装置がどのメッセージ[21.2]
を供給したか当事者Bの所有装置に分かっているなら
ば、当事者Bの所有装置はおそらく複数の当事者Sの所
有装置にこれらを個々に要求する。
ボックス304は、メッセージ[23.1]と[23.5]の両
方が知れている特定のメッセージ[21.2]に対応するu
を当事者Bの所有装置がどのようにして再構成すること
ができるかを示している。これは、群演算を使用して
メッセージ[23.1]の群における逆数とメッセージ[2
3.5]とを単に結合することによりなされる。
第4図を参照して好ましい実施例の部分に対する第4
のフローチャートについて詳細に説明する。
このフローチャート中のボックスは第1図の対応する
ボックスの変形を表しており、第2の実施例である。明
瞭にし、読みやすいように変更した部分だけが示されて
いる。すなわちボックス401,402,403,404,405はそれぞ
れボックス101,102,103,104,105に対する変更を示して
いる。
ボックス401は、当事者Pの所有装置に対するボック
ス101で定められた動作に対する変更を示している。ボ
ックス101中で使用された記号名aの定義は、ボックス4
01中におけるものと置換される。他のすべての点ではボ
ックス401に示された動作およびメッセージは、第2の
実施例のためにボックス101に含まれるべき付加的動作
のみを定めている。4つの記号名のi番目の要素(1≦
i≦s)に対する値はランダムに選択される。すなわち
r"iはMを法とする剰余の集合から選択される。a"iは
における群要素をちょうど保持できる長さのストリング
である。biは、a"iに付加された後に関数gに対する最
初の入力にとって適切な長さとなるビットストリングと
して選択される。eiは第1図のciとdiと同じくらい選択
される(uは当事者Bの所有装置により選択され、uを
“バースデイパラドックス”誘起問題に対して保護する
必要はないことから、aiに対して要求されるような多く
の情報を含む必要はないことが理解できるであろう。し
たがってにおける群要素は、適当な大きさのbを含む
ように関数gの第1の引数に十分な余地を都合よく残せ
ることが期待できる。)。1からsまで動くそれぞれの
添字iに対して、aiの値は、a"iとbiの連結として計算
され、bi部分が(により定められるモジュラ加法を残
さない)高位桁ビット位置を定める。ビットストリング
としてこの結果を符号化したものは、第1図においてxi
を形成する際に使用した関数gに対する第1の入力であ
る。第1図中でyiの形成において示されている符号化お
よび群演算は、その関数gに対する第1の引数において
bについての情報を残さない。さらに、ziは第1の引数
としてbiおよび第2の引数としてeiから形成された関数
gにおける像としてとられる。Mを法といてr"iのq乗
で乗算されてブランドされた対応するziを含むメッセー
ジ[11.2]iが当事者Bの所有装置に送られる。
ボックス402はボックス102と同じであり、メッセージ
[11.2]iの受け取りが暗示されている。
ボックス403は、ボックス103に記載されたものの中に
含まれる3つの追加メッセージを示している。ボックス
103で定められたそれぞれのjに対して、当事者Bの所
有装置により送られたメッセージ[13.5]j,[13.6]j,
[13.7]jはそれぞれr"j,bj,ejを含んでいる。
ボックス404はボックス104に対する変形であり、前の
メッセージ[14]が送られないことを除けば全て含まれ
ている。各メッセージ[11.2]jは、q乗された対応す
る受信メッセージ[13.5]jと関数gにおける像との積
に対して等式検査される。関数gに対する第1の引数は
受信されたメッセージ[13.6]jであり、第2の引数は
受信されたメッセージ[13.7]jである。もしも等式検
査が維持されれば、メッセージ[14.1]と[14.2]kが
形成され、当事者Pの所有装置に送られる。メッセージ
[14.1]を形成する、Mを法とする積における各項は、
メッセージ[11.1]kの一つの、Mを法とするp乗根で
ある。順序集合v−{1,……,s}中の第1の要素がその
添字となっているメッセージ[11.1]がp(1)乗根を
得る。その集合の第2の要素がその添字となっているメ
ッセージがp(2)乗根を得る。以下この集合の最後の
要素まで同様である。同じ添字集合にわたって動くkの
各値に対して、メッセージ[14.2]kは、Mを法とする
メッセージ[11.2]kのq(@k)乗根として形成され
る。したがってq(i)乗根を持つメッセージは例えば
添字iを持ち、順序添字集合v−{1,……,s}中のi番
目の要素がその添字となっているメッセージから形成さ
れる。
ボックス405は、当事者Pの所有装置に対するボック
ス105の変更を示す。すなわちボックス105中で使用され
た記号名nの定義はボックス405中で提供されているも
のと置換され、他のすべての点では、ボックス405中に
示された動作とメッセージは追加動作のみ規定する。p
乗された第1のメッセージ[14.1]は、Mを法とするメ
ッセージ[11.1]kの累乗積と等式検査される。ボック
ス105中で定められた集合中のkにより取られた各添字
値に対応する項は、p(i)により割られたpの整数商
により累乗されたメッセージ[11.1]kであり、ここで
iは添字集合中の(@kで示された)そのkの位置であ
る。それnが、rkの積を乗法的逆数倍したメッセージ
[14.1]の積として形成される。この積の各項はkの添
字集合中の要素の1つに対応し、ここで基数はrkであ
り、その指数はp(@k)で割られたpの整数商であ
る。それからmkが、r"kを乗法的逆数倍したメッセージ
[14.2]kの積として形成される。これらはそれぞれ、
kの添字集合中の要素の1つに対応する。ここで基数は
r"kであり、その指数はq(@k)で割られたqの整数
商である。最後に、bkとekの要素はそれぞれb'とe'とし
て後で使用するために再度添字付けされ、再度ラベル付
けされる。保持されている要素の添字は、kが変化する
添字集合におけるそれらの位置番号である。
第5図を参照して好ましい実施例の部分に対する第5
のフローチャートについて詳細に説明する。
ボックス501はボックス201がこの第2の実施例で変更
の必要がないことを示している。
ボックス502はボックス202における変更を示してい
る。これには等式検査の置換、および非ランダム部分を
一部または全部含むようにw中に起こり得る変更が含ま
れている。非ランダム部分はそれぞれ貨幣単位に対応す
るwの同意された要素である。もしそのような要素がw
中に現れれば、その貨幣単位に対応する総額が送られる
ことを意味している。新しい検査は、p乗されたメッセ
ージ[21.1]とt項(1≦i≦t)のMを法とする積と
の間の等式検査であり、形式[21.2]iのそれぞれは、
整数p(i)により割られた整数pで累乗される。
ボックス503は、すでに述べたように予測できるwの
おそらくランダムでない部分をチェックすることを除い
てボックス203を変更する必要がないことを示してい
る。
ボックス504はボックス204がこの第2の実施例で変更
の必要がないことを確認するだけのものである。
第6図を参照して好ましい実施例の部分に対する第6
のフローチャートについて詳細に説明する。
この図はすでに述べたように第1の実施例で記載しな
かった当事者Pの所有装置と当事者Bの所有装置との間
の処理を示す。
ボックス601は、それぞれi,mi,b'i,e'iを含む4つの
メッセージ[61.1],[61.2],[61.3],[61.4]を
当事者Pの所有装置が当事者Bの所有装置に送ることを
示している。
ボックス602は、当事者Bの所有装置がまずこれら4
つのメッセージをどのように受信し、記号名hでメッセ
ージ[61.1]をセーブするかを示している。次に当事者
Bの所有装置は等式検査をする。左側はq(h)乗され
たメッセージ[61.2]であり、右側は第1の引数メッセ
ージ[61.3]と第2の引数メッセージ[61.4]に適用さ
れた関数gである。
最後に、含むと考えなければならない前に、当事者B
の所有装置は前に受け入れたすべてのメッセージ[61.
3]をサーチして、その中にこの新しいメッセージ[61.
3]が含まれていないことを確認する。同様に、当事者
Bの所有装置は、(長さがa"の長さである接頭辞を超え
る)受信したメッセージ[61.3]の添字が、第5図に記
載された第2図の変形において受信された任意のメッセ
ージ[23.1]の添字と等しくないこともチェックする。
ある程度の変更および置換は当業者には明白であろ
う。
例えば、第2図のプロトコルにおいて、多分xiとyiの
圧縮一方向関数は、メッセージ[21.2]jの代りに当事
者Pの所有装置に順序を委ねるのに充分である(第4図
および第5図に関して後で言及したように、もしも関数
fにおける像の順序がその2進表示で辞書式のものでな
ければならない規則が作られるならば、そのような圧縮
像さえも不必要である。)。あるいは別の例として、当
事者Pの所有装置により第1図と第2図の間でセーブす
る必要があるデータ量は、例えばx'とy'を保持しない
で、ボックス201中の関数fについて行ったように単に
それらを再構成することによって、示されたものよりも
減少させることができる。
本質的に最初に挙げたブラインド署名の刊行物のもの
である示された特定のブラインドの代りに、2番目に言
及したブラインド署名の刊行物に開示された技術も使用
することができる。さらに、公開指数qで示された署名
方式は異なる法に対するものでもよく、あるいは本出願
人により1987年11月23日に出願された米国出願第123703
号のUnanticipated signature systemsと題する留保中
の出願において記載されているような全く異なる種類の
署名であってもよい。そのような署名はまたpにおける
ものと同じように項の積におけるものであり、第4図の
プロトコルの複数のインスタンスはメッセージ[14.2]
が戻される前に特定の当事者Pの所有装置によりなされ
る。これらのインスタンスは、複数のチャレンジ集合v
を供給する前に当事者Bの所有装置が全メッセージ[1
1]を受信する方法で行われ、制限はこれらが共通の要
素を持たず、濃度tであることだけである。さらに、こ
の方法は第1図の技術を適用する際に取り入れることも
できる。また、第1の実施例の署名は、第2の実施例で
成されているように異なる項に対して異なる公開指数を
使用することができる。また第2の実施例は、すでに述
べた辞書式順序技術を使用する場合には単一の公開指数
だけが必要である(第4図の場合、順序付けはいわゆる
メッセージ[11.3]として送らなければならず、これは
j番目のエントリに対してボックス404中で成される検
査の一部として当事者Bの所有装置によりチェックされ
る)。
さらに別の変形は1つの関数fにおいてより多くの関
数gを含む。当業者によく知られているように“鍵共
有”、“シャドウ”または“部分鍵”とさまざまに呼ば
れている技術により、これらの関数gの間でuを分割す
ることができる。これらの方式のいわゆる“しきい値”
より1つ少ないものが、提示中にその引数が明らかにさ
れるべき関数gの数である。
変数がチャレンジストリングのいくつかの部分に例え
ばお金の総額を符号化してもよい。チャレンジストリン
グの対応するビットがOとして提示された場合にのみ提
示することができる他の署名も当事者Bの所有装置によ
って発行されてもよい。これらは当事者Pの所有装置が
使用されていない価値に対する釣銭を得ることできるよ
うにする。しかしながら、これらは個々の署名かもしれ
ないので、2以上のもとの署名からの釣銭を一度で得る
ことができ、これにより個々の支払いで使用された正確
な総額を隠すことができる。
発行された署名は価値の交換において提示してもよ
い。
支払総額を決定するために、署名が発行される当事者
の所有装置により総額表示が提供され、返金総額を決定
するために、署名が発行される当事者の所有装置により
返金表示が提供され、支払総額と返金総額の合計が予め
取り決められた最大値を越える返金表示を識別する処理
を行ってもよい。
複数の支払総額に対する返金総額を実質的に集めて、
返金総額のそれぞれが特定の支払総額に対応している場
合に提供される支払表示と返金表示との間のリンクを秘
密にしてもよい。
以上本発明の説明は例示として記載されたものであ
り、当業者は本発明の技術的範囲から逸脱することな
く、種々の変形、変更形態および均等物が使用可能であ
ることを認識するであろう。
フロントページの続き (56)参考文献 米国特許4759063(US,A) 米国特許4759064(US,A) D.Chaum,Security Without Identifica tion:Transaction S ystems to Make Big Brother Obsolete, Communications of the ACM,1985年10月,Vol. 28,No.10 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G06F 17/60 410 G09C 1/00 640 JICSTファイル(JOIS)

Claims (13)

    (57)【特許請求の範囲】
  1. 【請求項1】署名発行当事者の所有装置により、複数の
    デジタル署名のそれぞれが少なくとも2つの部分に分割
    される識別情報を確実に含むように複数のデジタル署名
    を発行し、 署名提示当時者の所有装置により、チェック当事者の所
    有装置に対して前記発行されたデジタル署名を提示し、 前記チェック当事者の所有装置により、前記少なくとも
    2つの部分の少なくとも1つの部分を開示するように前
    記提示されたデジタル署名をチェックし、 少なくとも1つの発行された署名が2回以上提示された
    際に少なくとも1つの発行された署名の異なる部分が開
    示された場合に前記識別情報の少なくとも1つを生成す
    る検査を前記署名発行当事者の所有装置により1組の前
    記提示された署名において実行するステップを含む公開
    鍵デジタル署名システムにおいてデジタル的に署名をす
    る方法。
  2. 【請求項2】発行された署名のそれぞれが所定の確率以
    上で確実に識別情報を含むようにして署名発行当事者の
    所有装置が複数のデジタル署名を発行し、 すべてのチェック当事者の所有装置と前記署名発行当事
    者の所有装置が協同しても、多くて1回しか提示されな
    い署名に含まれている識別情報を実質的に秘密状態であ
    るようにしながら、チェック当事者の所有装置が提示さ
    れた署名のデジタル署名特性を確認できるように、少な
    くとも1人のチェック当事者の所有装置に対して署名提
    示当事者の所有装置が前記発行された署名の少なくとも
    1つを提示し、 2回以上提示された署名に含まれている前記識別情報を
    所定の確率以上で生成するように署名発行当事者の所有
    装置が前記提示された署名を検査するステップを含む公
    開鍵デジタル署名システムにおいてデジタル的に署名を
    する方法。
  3. 【請求項3】前記識別情報が前記発行された署名のそれ
    ぞれに含まれる少なくとも2つの部分に分割され、前記
    部分の少なくとも1つは前記署名の提示およびチェック
    の間に開示され、前記検査は、2回以上提示された署名
    により開示された前記署名の部分に含まれている識別情
    報を生成する請求項2記載の方法。
  4. 【請求項4】前記署名を提示するステップは、前記チェ
    ック当事者の所有装置による前記署名提示当事者の所有
    装置へのチャレンジの送信と、前記署名提示当事者の所
    有装置による前記チェック当事者の所有装置への対応す
    る応答値の後続した送信を含み、複数の異なるチャレン
    ジに対する異なる応答は前記識別情報を開示する応答値
    となるが、単一の応答値は前記識別情報を開示しない請
    求項2記載の方法。
  5. 【請求項5】前記複数の署名のそれぞれが複数の発行処
    理の1つにおいて署名発行当事者の所有装置により発行
    され、各署名に含まれている前記識別情報が、その署名
    が発行された処理を所定の確率以上で含む発行処理の適
    切な部分集合を決定する請求項2記載の方法。
  6. 【請求項6】前記発行された署名が価値の交換において
    提示される請求項2ないし請求項5のいずれか1項記載
    の方法。
  7. 【請求項7】支払総額を決定するために、前記署名提示
    当事者の所有装置によりチェック当事者の所有装置に総
    額表示が提供され、 返金総額を決定するために、前記署名提示当事者の所有
    装置により前記署名発行当事者の所有装置に返金表示が
    提供され、 前記署名発行当事者の所有装置により前記返金表示を識
    別する処理をするステップをさらに含む請求項6記載の
    方法。
  8. 【請求項8】複数の前記支払総額に対する前記返金総額
    が実質的に集められて、前記返金総額のそれぞれが特定
    の支払総額に対応している場合に提供される前記支払表
    示と前記返金表示との間のリンクを秘密にする請求項7
    記載の方法。
  9. 【請求項9】a.提示された時に、識別情報を有するデジ
    タル署名をチェックする手段と、 b.1回提示された前記デジタル署名中の前記識別情報を
    実質的に秘密にする手段と、 c.2回以上提示された前記デジタル署名中の前記識別情
    報を所定の確率以上で生成する署名検査手段とを具備す
    る公開鍵デジタル署名システム。
  10. 【請求項10】前記識別情報が少なくとも2つの部分に
    分割され、前記デジタル署名が提示された時に前記部分
    の少なくとも1つが開示され、前記デジタル署名が2回
    以上提示された時に前記検査手段が前記開示された部分
    から前記識別情報を生成する請求項9記載の公開鍵デジ
    タル署名システム。
  11. 【請求項11】d.提示されている前記デジタル署名のチ
    ャレンジを送信する手段と、 e.2以上の前記チャレンジが送信された時のみ前記識別
    情報を開示する前記チャレンジに対する応答を送信する
    手段とをさらに含む請求項9記載の公開鍵デジタル署名
    システム。
  12. 【請求項12】前記デジタル署名のそれぞれが複数の発
    行処理の1つにおいて発行され、各デジタル署名に含ま
    れている前記識別情報が、そのデジタル署名が発行され
    た処理を所定の確率以上で含む発行処理の適切な部分集
    合を決定する請求項9記載の公開鍵デジタル署名システ
    ム。
  13. 【請求項13】前記デジタル署名は、価値に対する支払
    の形態において使用される請求項9乃至請求項12のいず
    れか1項記載の公開鍵デジタル署名システム。
JP50520989A 1988-03-16 1989-03-15 1回提示ブラインドサインシステム Expired - Fee Related JP3333503B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16880288A 1988-03-16 1988-03-16
US168,802 1993-12-16

Publications (2)

Publication Number Publication Date
JPH04500440A JPH04500440A (ja) 1992-01-23
JP3333503B2 true JP3333503B2 (ja) 2002-10-15

Family

ID=22612986

Family Applications (1)

Application Number Title Priority Date Filing Date
JP50520989A Expired - Fee Related JP3333503B2 (ja) 1988-03-16 1989-03-15 1回提示ブラインドサインシステム

Country Status (6)

Country Link
EP (1) EP0407465B1 (ja)
JP (1) JP3333503B2 (ja)
AT (1) ATE197656T1 (ja)
AU (1) AU3560989A (ja)
DE (1) DE68929263T2 (ja)
WO (1) WO1989008957A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE159603T1 (de) * 1990-01-29 1997-11-15 Security Techn Corp Wahlweise moderierte transaktionssysteme
US5148479A (en) * 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
US5434919A (en) * 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US5712913A (en) * 1994-02-08 1998-01-27 Digicash Incorporated Limited-traceability systems
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee
GB2317790B (en) * 1996-09-26 1998-08-26 Richard Billingsley Improvements relating to electronic transactions
GB201806112D0 (en) * 2018-04-13 2018-05-30 Nchain Holdings Ltd Computer-implemented system and method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4759063A (en) 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US4759064A (en) 1985-10-07 1988-07-19 Chaum David L Blind unanticipated signature systems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4264782A (en) * 1979-06-29 1981-04-28 International Business Machines Corporation Method and apparatus for transaction and identity verification
US4393269A (en) * 1981-01-29 1983-07-12 International Business Machines Corporation Method and apparatus incorporating a one-way sequence for transaction and identity verification

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4759063A (en) 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US4759064A (en) 1985-10-07 1988-07-19 Chaum David L Blind unanticipated signature systems

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
D.Chaum,Security Without Identification:Transaction Systems to Make Big Brother Obsolete,Communications of the ACM,1985年10月,Vol.28,No.10

Also Published As

Publication number Publication date
EP0407465B1 (en) 2000-11-15
JPH04500440A (ja) 1992-01-23
DE68929263D1 (de) 2000-12-21
ATE197656T1 (de) 2000-12-15
AU3560989A (en) 1989-10-05
WO1989008957A1 (en) 1989-09-21
EP0407465A1 (en) 1991-01-16
EP0407465A4 (en) 1992-10-07
DE68929263T2 (de) 2001-07-12

Similar Documents

Publication Publication Date Title
US4914698A (en) One-show blind signature systems
US4987593A (en) One-show blind signature systems
AU705406B2 (en) Secret-key certificates
JP2666191B2 (ja) データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法
Naccache et al. Can DSA be improved?—Complexity trade-offs with the digital signature standard—
Naor et al. Oblivious transfer with adaptive queries
US5146500A (en) Public key cryptographic system using elliptic curves over rings
EP0755136B1 (en) Method and apparatus for implementing traceable electronic cash
US4759064A (en) Blind unanticipated signature systems
US7093133B2 (en) Group signature generation system using multiple primes
US6446052B1 (en) Digital coin tracing using trustee tokens
JP6756041B2 (ja) 情報保護用のシステム及び方法
JPH06505343A (ja) 識別および/またはディジタル署名を行うための方法および識別装置並びに検証装置
JP3158118B2 (ja) 認証情報の認証確認用システム
US9882890B2 (en) Reissue of cryptographic credentials
Wang et al. Untraceable off-line electronic cash flow in e-commerce
US11856099B2 (en) Cryptographic pseudonym mapping method, computer system, computer program and computer-readable medium
JP3333503B2 (ja) 1回提示ブラインドサインシステム
WO2021009529A1 (en) Cryptographic pseudonym mapping method, computer system, computer program and computer-readable medium
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
CN113711562A (zh) 用于区块链交易中的知识证明的计算机实现的方法和系统
WO2023072502A1 (en) Generating shared keys
J Aboud Offline E-Payment System Using Proxy Blind Signature Scheme
Pavlovski Applied batch cryptography
EP1288831A1 (en) Anonymous recommendation technique with variable degrees of privacy and accuracy

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees