JP3434251B2 - Message recovery type signature system and program recording medium thereof - Google Patents

Message recovery type signature system and program recording medium thereof

Info

Publication number
JP3434251B2
JP3434251B2 JP31245999A JP31245999A JP3434251B2 JP 3434251 B2 JP3434251 B2 JP 3434251B2 JP 31245999 A JP31245999 A JP 31245999A JP 31245999 A JP31245999 A JP 31245999A JP 3434251 B2 JP3434251 B2 JP 3434251B2
Authority
JP
Japan
Prior art keywords
bit
bits
input
hash
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP31245999A
Other languages
Japanese (ja)
Other versions
JP2001134178A (en
Inventor
正幸 阿部
龍明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP31245999A priority Critical patent/JP3434251B2/en
Publication of JP2001134178A publication Critical patent/JP2001134178A/en
Application granted granted Critical
Publication of JP3434251B2 publication Critical patent/JP3434251B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【発明の属する技術分野】この発明は、電気通信システ
ムで電子化された文書を安全に流通する場合等に利用さ
れ、文書とそれに対する署名とを送ることなく、署名の
みを送り、その署名から文書を回復することができるメ
ッセージ回復署名システム及びそのプログラム記録媒体
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention is used for safely distributing electronic documents in a telecommunications system, and sends only a signature without sending the document and the signature for the document, The present invention relates to a message recovery signature system capable of recovering a document and its program recording medium.

【0002】[0002]

【従来の技術】従来のメッセージ回復署名方法をRSA
署名方法を例として説明する。Nを大きな素数p,qの
積とし、e,dをe・d≡1(mod LCM(p−1,q
−1))を満たす数とする。ただし、LCM(p−1,
q−1)はp−1とq−1の最大公約数である。(e,
N)を公開鍵とし、(d,N)を秘密鍵とする。ハッシ
ュ関数Hを、任意のビット数のメッセージを入力とし、
1 ビットのハッシュ値を出力する関数とする。Nのビ
ット数をnとする。記法[a]b はaの下位bビットか
らなるビット列を示し、同様に、[a]b は上位bビッ
トからなるビット列を示すものとする。2. Description of the Related Art The conventional message recovery signature method is based on RSA.
The signature method will be described as an example. Let N be the product of large prime numbers p and q, and let e and d be e · d≡1 (mod LCM (p-1, q
-1)). However, LCM (p-1,
q-1) is the greatest common divisor of p-1 and q-1. (E,
Let N) be a public key and (d, N) be a secret key. Using the hash function H as an input for a message with an arbitrary number of bits,
A function that outputs a k 1- bit hash value. The number of bits of N is n. The notation [a] b indicates a bit string consisting of lower b bits of a, and similarly, [a] b indicates a bit string consisting of higher b bits.

【0003】署名者は、n−k1 ビット以下の文書mに
対するメッセージ回復署名を以下の手順で生成する。 1.mをハッシュ関数Hへ入力し、H(m)を計算す
る。 2.M:=H(m)‖mとする。ただし、a‖bはaと
bのビット結合を意味する。The signer creates a message recovery signature for the document m of n−k 1 bits or less by the following procedure. 1. Input m to the hash function H and calculate H (m). 2. Let M: = H (m) | m. However, a || b means the bit combination of a and b.

【0004】3.s:=Md mod Nを計算する。上記s
がmに対する署名となる。署名sを受信した検証者は、
以下の手順により、署名を検証すると共に、文書mを得
る。 1.M′:=se mod Nを計算する。3. Compute s: = M d mod N. Above s
Is the signature for m. The verifier who received the signature s
According to the following procedure, the signature is verified and the document m is obtained. 1. Compute M ': = s e mod N.

【0005】2.m′:=[M′]n-k1とし、H
(m′)を計算する。 3.[M′]k1がH(m′)と等しいか否かを検査す
る。等しければ、正しい署名とみなし、等しくなけれ
ば、不正な署名と結論する。 4.署名が正しい場合には、[M′]n-k1を文書mとす
る。2. m ′: = [M ′] n-k1 and H
Calculate (m '). 3. Check if [M '] k1 is equal to H (m'). If they are equal, it is considered as a correct signature, and if they are not equal, it is concluded as an incorrect signature. 4. If the signature is correct, let [M '] n-k1 be the document m.

【0006】[0006]

【発明が解決すべき課題】上記従来法では、ハッシュ処
理後のメッセージMの一部にmが含まれているため、署
名要求者(mを署名器に入力する者)はこの部分を任意
に操作し、つまりMに対し署名鍵dによる署名sの生成
前にM中のmに対し、操作して何らかの不正行為に都合
の良い値となるように定めることが容易である。つま
り、上記従来法に対して、選択平文攻撃が有効となる可
能性がある。In the above-mentioned conventional method, m is included in a part of the message M after the hash process, and therefore the signature requester (the person who inputs m to the signer) arbitrarily selects this part. It is easy to operate, that is, operate on m in M before generating the signature s by the signature key d for M, and set it to a value convenient for some fraudulent act. That is, the selected plaintext attack may be effective against the above conventional method.

【0007】署名者に対して、任意のメッセージに対す
る署名を発行するように要求することが許されるような
状況で使用される署名方法は、選択平文攻撃に対して強
い署名方法であることが望まれる。この発明の目的は、
選択平文攻撃に強いメッセージ回復型署名システム及び
そのプログラム記録媒体を提供することにある。The signature method used in a situation where the signer is required to issue a signature for an arbitrary message is desired to be a strong signature method against a selective plaintext attack. Be done. The purpose of this invention is
It is an object to provide a message recovery type signature system that is resistant to selective plaintext attacks and its program recording medium.

【0008】[0008]

【課題を解決するための手段】署名鍵を用いる署名生成
の計算において、その計算への入力に署名要求者が任意
に操作可能な部分が含まれないようにする。k1 ビット
の入力に対して、n−k1 ビットの出力を持つハッシュ
関数Gを用い、M:=H(m)‖{G(H(m))
(+)m}とすることによって、ハッシュ関数の影響が
Mの全てのビットに及ぶようにする。A(+)BはAと
Bとの排他的論理和演算を表わす。このMに対し署名鍵
により署名を生成計算する。Mの値はその全てのビット
にハッシュ関数が影響しており、mの値を操作して、都
合の良いハッシュ値を得る事は困難であるから、署名要
求者はmを操作して、Mを所望の都合のよい値にするこ
とはできない。In a calculation of signature generation using a signature key, an input to the calculation does not include a portion that a signature requester can arbitrarily operate. k for one bit of input, using the hash function G with n-k 1-bit output, M: = H (m) ‖ {G (H (m))
By setting (+) m}, the influence of the hash function is applied to all bits of M. A (+) B represents an exclusive OR operation of A and B. A signature is generated and calculated for this M using a signature key. Since the hash function affects all the bits of the value of M, and it is difficult to operate the value of m to obtain a convenient hash value. Cannot be the desired convenient value.

【0009】[0009]

【発明の実施の形態】実施例1 この発明の第一の実施例では、RSA署名に基づくメッ
セージ回復型署名システムについて説明する。Nを大き
な素数p,qの積とし、e,dをe・d≡1(mod LC
M(p−1,q−1))を満たす数とする。ただし、L
CM(p−1,q−1)はp−1とq−1の最大公約数
である。(e,N)の対を公開鍵Xとし、(d,N)の
対を秘密鍵Yとし、Nのビット数をnとする。BEST MODE FOR CARRYING OUT THE INVENTION Embodiment 1 In the first embodiment of the present invention, a message recovery type signature system based on an RSA signature will be described. Let N be the product of large prime numbers p and q, and let e and d be e · d≡1 (mod LC
It is a number that satisfies M (p-1, q-1)). However, L
CM (p-1, q-1) is the greatest common divisor of p-1 and q-1. Let the (e, N) pair be the public key X, the (d, N) pair be the secret key Y, and the number of bits of N be n.

【0010】メッセージ回復署名装置のブロック図を図
1に示す。メッセージ回復署名装置11は、メッセージ
mを冗長化およびランダム化する符号化器12および、
秘密鍵を用いて署名を計算する署名器13を具備する。
メッセージ回復署名装置11は、メッセージmおよび、
秘密鍵Xを入力とし、以下の手順を実行する。・mを符
号化器12へ入力し、符号化されたメッセージMおよび
mの一部分であるms を得る。署名器13はnビット以
上のMに対して処理することができない。つまり署名か
ら回復できるメッセージのビット数はk2 であり、k2
より長いメッセージmはそのk2 ビットを符号化してM
とし、残りをms として出力する。k2 は後で述べる。A block diagram of a message recovery signature device is shown in FIG. The message recovery signature device 11 includes an encoder 12 for making the message m redundant and randomized, and
A signer 13 that calculates a signature using a private key is provided.
The message recovery signature device 11 receives the message m and
With the private key X as input, execute the following procedure. Input m to the encoder 12 and obtain the encoded message M and m s which is a part of m. The signer 13 cannot process M having n bits or more. That is, the number of bits of the message that can be recovered from the signature is k 2 , and k 2
The longer message m encodes its k 2 bits to M
And output the rest as m s . k 2 will be described later.

【0011】・記憶装置14から読み出した秘密鍵Xお
よび符号化されたメッセージMを署名器13へ入力し、
署名sを得て(s,ms )を送信器15から出力する。
図2に符号化器12のブロック図を示す。符号化器12
はハッシュ器21,22、ビット切出器23、排他的論
理和器24、ビット埋込器25を具備する。入力メッセ
ージmに対して、符号化器12は以下のように動作す
る。The secret key X and the encoded message M read from the storage device 14 are input to the signer 13,
The signature s is obtained and (s, m s ) is output from the transmitter 15.
FIG. 2 shows a block diagram of the encoder 12. Encoder 12
Has hash units 21 and 22, a bit slicing unit 23, an exclusive OR unit 24, and a bit embedding unit 25. For the input message m, the encoder 12 operates as follows.

【0012】・mをハッシュ器21へ入力し、k1 ビッ
トのハッシュ値m1 =H(m)を得る。 ・m1 をハッシュ器22へ入力し、k2 ビットのハッシ
ュ値G(m1 )を得る。 ・mをビット切出器23へ入力し、k2 ビットの部分m
r と、残りの部分msに分ける。mがk2 ビット以下の
場合は、ms は空ビット列となり、何も含まれない。Input m to the hash device 21 to obtain a hash value m 1 = H (m) of k 1 bits. Input m 1 into the hash device 22 to obtain a k 2 -bit hash value G (m 1 ).・ Input m to the bit slicing device 23, and the part m of k 2 bit
Divide into r and the remaining part m s . If m is less than or equal to k 2 bits, m s is an empty bit string and nothing is included.

【0013】・G(m1 )およびmr を排他的論理和器
24へ入力し、その出力をm2 とする。 ・m1 およびm2 をビット埋込器25へ入力し、結合さ
れたk1 +k2 ビットの出力値Mを出力する。ただし、
ビット幅k1 ,k2 は、公開情報Nのビット数をnとし
て、k1 +k 2 =nを満たすように決定しておく。.G (m1) And mrExclusive OR
24, and the output is m2And ・ M1And m2Input to the bit embedder 25 and
K1+ K2The bit output value M is output. However,
Bit width k1, K2Is the number of bits of public information N is n
K1+ K 2= N is satisfied.

【0014】ビット切出器23は入力に対し、予め定め
た任意のビット位置から集めたk2ビットを結合した値
をmr とする。例えば、入力の先頭からk2 ビット分を
rとし、残りのすべてのビットをms として出力とし
てもよい。ビット埋込器25は、m2 に対し、予め定め
た任意のビット間位置にm1 の各ビットを割り込ませて
1 +k2 ビットの出力を作成する。例えば、単純にm
1の直後にm2 のすべてのビットをおいた値を出力とし
てもよい。The bit slicing device 23 sets the value obtained by combining the k 2 bits collected from the predetermined arbitrary bit positions with respect to the input as m r . For example, k 2 bits from the beginning of the input may be set as m r, and all the remaining bits may be set as m s for output. The bit embedding device 25 causes m 2 to interrupt each bit of m 1 at a predetermined arbitrary inter-bit position to create an output of k 1 + k 2 bits. For example, simply m
Immediately after 1 , all the bits of m 2 may be output as a value.

【0015】図5にRSA署名に基づく署名器13のブ
ロック図を示す。ここの署名器13は、べき乗剰余演算
器51を具備し、秘密鍵(d,N)および符号化器12
の出力Mを入力とし、s:=Md mod Nを計算して出力
する。署名(s,ms )を受信した検証者は、メッセー
ジ回復署名検証装置を駆動して署名を検証する。図3に
メッセージ回復署名検証装置31のブロック図を示す。
メッセージ回復署名検証装置31は、署名(s,ms
から冗長化およびランダム化されたメッセージを回復す
るメッセージ回復器32と、メッセージのランダム成分
を取り除くとともに冗長性の正しさを検証する復号化器
33を具備する。署名(s,ms )および公開鍵Yを入
力とし、次のように動作する。FIG. 5 shows a block diagram of the signer 13 based on the RSA signature. The signer 13 here includes a modular exponentiation calculator 51, and a secret key (d, N) and an encoder 12
The output M is input, and s: = M d mod N is calculated and output. The verifier receiving the signature (s, ms ) drives the message recovery signature verification device to verify the signature. FIG. 3 shows a block diagram of the message recovery signature verification device 31.
The message recovery signature verification device 31 uses the signature (s, m s )
A message recovering device 32 for recovering the redundant and randomized message from the above, and a decoder 33 for removing the random component of the message and verifying the correctness of the redundancy. The signature (s, m s ) and the public key Y are input, and the operation is as follows.

【0016】・受信器34で受信された署名(s,
s )中のsと、記憶装置35から読み出した公開鍵Y
をメッセージ回復器32へ入力し、符号化されたメッセ
ージMを得る。 ・Mおよびms を復号化器33へ入力し、Mが正しい冗
長性を有しているならば、元のメッセージmを出力し、
そうでなければNGを出力する。The signature (s,
s in m s ) and the public key Y read from the storage device 35
To the message recoverer 32 to obtain the encoded message M. Input M and m s to the decoder 33, output the original message m if M has the correct redundancy,
Otherwise, it outputs NG.

【0017】図6にRSA署名に基づくメッセージ回復
器32のブロック図を示す。このメッセージ回復器32
は、べき乗剰余演算器61を具備し、公開鍵(e,N)
およびsを入力とし、M:=se mod Nを計算して出力
する。復号化器33は図4に示すようにビット埋込器4
1、ハッシュ器42,43、ビット切出器44、排他的
論理和器45、比較器46を具備する。ビット埋込器4
1は、符号化器12が具備するビット切出器23の逆作
用を行う。すなわち、k2 ビットの入力m′と、任意長
の入力ms に対し、ビット切出器23がmr をmから切
り出したビット位置にmr を戻すように、ms にmr
の各ビットを埋め込む。例えば、ビット切出器23が単
に入力の先頭からk2 ビットを切り出した場合には、ビ
ット埋込器41は、mr ′をms の先頭に結合した結果
を出力する。同様に、ビット切出器44は、符号化器1
2が具備するビット埋込器25の逆作用を行う。即ち、
1 +k2 ビットの入力に対し、ビット埋込器25がm
2にm1 を埋め込んだビット位置からk1 ビットを集め
てビット結合した結果をm 1 ′とし、残ったk2 ビット
をビット結合した結果をm2 ′として出力する。例え
ば、ビット埋込器25が単純にk1 ビットの入力の直後
にk2 ビットの入力を結合した結果を出力するならば、
ビット切出器44は入力の先頭からk1 ビット分を
1 ′として出力し、入力のk1 ビット以降をm2 ′と
して出力する。FIG. 6 shows message recovery based on RSA signature.
The block diagram of the container 32 is shown. This message recovery device 32
Has a modular exponentiation unit 61, and a public key (e, N)
And s as input, M: = semod N is calculated and output
To do. The decoder 33 is a bit embedder 4 as shown in FIG.
1, hash device 42, 43, bit cutout device 44, exclusive
The logical OR device 45 and the comparator 46 are provided. Bit embedder 4
1 is a reverse operation of the bit slicing device 23 included in the encoder 12.
Do That is, k2Bit input m'and arbitrary length
Input msOn the other hand, the bit cutting device 23 isrCut from m
M at the protruding bit positionrTo return msTo mr
Embed each bit of. For example, if the bit cutting device 23
From the beginning of input to k2If you cut out a bit,
The potting device 41 is mr′ Is msThe result of joining to the beginning of
Is output. Similarly, the bit slicing device 44 is used by the encoder 1
The bit embedding device 25 included in 2 performs the reverse operation. That is,
k1+ K2For bit input, the bit embedder 25
2To m1From the bit position where1Collect bits
Result of bit combination 1'And the remaining k2bit
The result of bit combination of m2Output as'. example
If the bit embedder 25 is simply k1Immediately after entering a bit
To k2If the result of combining the input of bits is output,
The bit clipper 44 is k from the beginning of the input1Bit
m1Output as ′ and input k1Bit after m2'When
And output.

【0018】入力メッセージmに対して、復号化器33
は以下のように動作する。 ・Mをビット切出器44へ入力し、k1 ビットの出力m
1 ′とk2 ビットの出力m2 ′を得る。 ・m1 ′をハッシュ器43へ入力し、k2 ビットのハッ
シュ値G(m1 ′)を得る。For the input message m, the decoder 33
Works as follows. -Input M to the bit slicing device 44 and output k 1 bit m
1 'and k 2 bit output m 2' obtained. Input m 1 ′ to the hash unit 43 to obtain a k 2 -bit hash value G (m 1 ′).

【0019】・m2 ′およびG(m1 ′)を排他的論理
和器45へ入力し、その出力をmr′とする。 ・ms およびmr ′をビット埋込器41へ入力し、k1
+k2 ビットの出力m′を得る。 ・m′をハッシュ器42へ入力し、k1 ビットの出力H
(m′)を得る。Input m 2 ′ and G (m 1 ′) to the exclusive OR device 45, and let the output be m r ′. Input m s and m r ′ into the bit embedder 41, and k 1
Obtain the output m'of + k 2 bits. Input m'to the hash device 42 and output k 1 bit H
Get (m ').

【0020】・H(m′)およびm1 ′を比較器46へ
入力し、等しい場合、つまりMが正しい場合にはm′を
出力し、等しくない場合にはNGを出力する。ハッシュ
器21,42と22,43は同一の回路を用いても良
い。排他的論理和器24の代わりに、k2 ビットの加算
器(又は減算器)を用いても良い。その場合、排他的論
理和器45はk2 ビットの減算器(又は加算器)を用い
る。つまりこの演算器としては群演算を行い、署名検証
側では、署名側で行う群演算の前の状態が得られるよう
な群演算とすればよい。 実施例2 この実施例では、離散対数問題に基づくメッセージ回復
型署名方法を説明する。[0020] · H (m ') type and m 1' to the comparator 46, equal, outputs m 'if that is M is correct, if not equal outputs NG. The hash circuits 21, 42 and 22, 43 may use the same circuit. Instead of the exclusive OR device 24, a k 2 -bit adder (or subtractor) may be used. In that case, the exclusive OR device 45 uses a k 2 -bit subtracter (or adder). In other words, this arithmetic unit may perform group operation, and the signature verification side may perform group operation so as to obtain the state before the group operation performed on the signature side. Example 2 This example describes a message recovery type signature method based on the discrete logarithm problem.

【0021】p,qを大きな素数とし、qはp−1を割
り切るものとする。gをZp における位数qの元とす
る。x∈Zq * とy∈Zp * はy=g-x modpを満たす
値とする。公開鍵YをY:=(y,g,p,q)とし、
秘密鍵XをX:=(x,g,p,q)とする。Zp は0
〜p−1の整数の集合、Zq * は1〜p−1の整数集合
を表わす。It is assumed that p and q are large prime numbers and that q divides p-1. Let g be the element of order q in Z p . It is assumed that xεZ q * and yεZ p * are values satisfying y = g −x mod p . The public key Y is Y: = (y, g, p, q),
Let the secret key X be X: = (x, g, p, q). Z p is 0
~ P-1 set of integers, Z q * represents a set of 1 to p-1 integers.

【0022】メッセージ回復署名装置、メッセージ回復
署名検証装置の構成はそれぞれ実施例1で示した図1、
図3と同一である。また、符号化器、復号化器の構成も
それぞれ図2、図4と同一である。ただし、この実施例
では、k1 +k2 がpのビット数となるようにする。図
7を用いて署名器の構成を説明する。この署名器71
は、乱数生成器72、べき乗剰余演算器73、排他的論
理和器74、ハッシュ器75、および剰余乗加算器76
を具備する。入力X,Mに対し、次のように動作する。The configurations of the message recovery signature device and the message recovery signature verification device are shown in FIG.
It is the same as FIG. The configurations of the encoder and the decoder are the same as those in FIGS. 2 and 4, respectively. However, in this embodiment, k 1 + k 2 is the number of bits of p. The configuration of the signature device will be described with reference to FIG. This signature device 71
Is a random number generator 72, a modular exponentiation calculator 73, an exclusive OR unit 74, a hash unit 75, and a modular exponentiation adder 76.
It is equipped with. It operates as follows for inputs X and M.

【0023】1.qを乱数生成器72へ入力し、乱数r
∈Zq を生成する。 2.生成した乱数rおよびg,pをべき乗剰余演算器7
3へ入力し、gr modpを得る。 3.べき乗剰余演算器73の出力と、Mとを排他的論理
和器74へ入力し、T:=M(+)(gr mod p)を得
る。A(+)BはAとBの排他的論理和演算を示す。1. q is input to the random number generator 72, and the random number r
Generate εZ q . 2. The generated random number r, g, p is used as a modular exponentiation operator 7
3 is input and g r mod p is obtained. 3. Inputs the output of the power residue arithmetic unit 73, and M to the exclusive OR circuit 74, T: = obtain M (+) (g r mod p). A (+) B indicates an exclusive OR operation of A and B.

【0024】4.Tをハッシュ器75へ入力し、ハッシ
ュ値cを得る。 5.x,q,cおよびrを剰余乗加算器76へ入力し、
z:=cx+rmod qを得る。 6.(T,z)を出力する。図8を用いてメッセージ回
復器の構成を説明する。このメッセージ回復器81は、
ハッシュ器82、べき乗剰余演算器83、排他的論理和
器84を具備する。入力s,Yに対し、次のように動作
する。4. The T is input to the hash device 75 to obtain the hash value c. 5. x, q, c and r are input to the modular exponentiation adder 76,
We obtain z: = cx + rmod q. 6. Output (T, z). The configuration of the message recovery device will be described with reference to FIG. This message recovery unit 81
The hash calculator 82, the modular exponentiation calculator 83, and the exclusive OR calculator 84 are provided. It operates as follows for inputs s and Y.

【0025】1.Tをハッシュ器82へ入力し、ハッシ
ュ値cを得る。 2.g,p,y,zおよびハッシュ器82の出力cをべ
き乗剰余演算器83へ入力し、gz c mod pを計算す
る。 3.べき乗剰余演算器83の出力及びTを排他的論理和
器84へ入力し、その結果を出力する。1. The T is input to the hash device 82 to obtain the hash value c. 2. The g, p, y, z and the output c of the hash unit 82 are input to the modular exponentiation calculator 83, and g z y c mod p is calculated. 3. The output of the modular exponentiation unit 83 and T are input to the exclusive OR unit 84, and the result is output.

【0026】入力が正しい署名である場合、gz c
cx+r(g-xc =gr となるので、T(+)gz c
mod p=M(+)gr mod p(+)gr mod p=Mとな
り、元の冗長化されたメッセージが得られる。 実施例3 この実施例では、楕円離散対数問題に基づくメッセージ
回復型署名方法を説明する。qを素数とし、Eを有限体
q 上の楕円曲線とする。pを、E上の有理点の数を割
り切る素数とする。qのビット数をnとする。gをE上
の位数qの点とする。x∈Zq を秘密鍵とし、y(=−
x・g)を公開鍵とする。記法、(a) x は、E上の点
aのx座標を表すものとする。G if the input is a correct signaturezyc=
gcx + r(G-x)c= GrTherefore, T (+) gzyc
mod p = M (+) grmod p (+) grmod p = M
The original redundant message is obtained. Example 3 In this example, a message based on the elliptic discrete logarithm problem
The recovery type signature method will be described. Let q be a prime number and E be a finite field
FqLet the upper elliptic curve. divide p by the number of rational points on E
Let it be a prime number. Let n be the number of bits of q. g on E
Let q be the point of order q. x ∈ ZqIs a secret key, and y (=-
x.g) is the public key. Notation, (a) xIs a point on E
It shall represent the x coordinate of a.

【0027】メッセージ回復署名装置、メッセージ回復
署名検証装置の構成はそれぞれ実施例1で示した図1、
図3と同一である。また、符号化器、復号化器の構成も
それぞれ図2、図4と同一である。ただし、この実施例
では、k1 +k2 がqのビット数となるようにする。署
名器の構成は、図7と同様である。ただし、べき乗剰余
演算器73をスカラー倍演算器とする。スカラー倍演算
器は楕円曲線上の有理点および整数値を入力とし、その
有理点のスカラー倍の点のx座標を出力する演算器であ
る。以下、署名器の動作を説明する。The configurations of the message recovery signature device and the message recovery signature verification device are shown in FIG.
It is the same as FIG. The configurations of the encoder and the decoder are the same as those in FIGS. 2 and 4, respectively. However, in this embodiment, k 1 + k 2 is the number of bits of q. The configuration of the signature device is similar to that of FIG. However, the modular exponentiation calculator 73 is a scalar multiplication calculator. The scalar multiplication unit is a unit that inputs a rational point and an integer value on an elliptic curve and outputs the x coordinate of a point that is a scalar multiple of the rational point. The operation of the signer will be described below.

【0028】1.qを乱数生成器72へ入力し、乱数r
∈Zq を生成する。 2.生成した乱数rおよびg,pをスカラー倍演算器7
3へ入力し、rgのx座標を得る。 3.スカラー倍演算器73の出力と、Mとを排他的論理
和器74へ入力し、出力Tを得る。1. q is input to the random number generator 72, and the random number r
Generate εZ q . 2. The generated random numbers r, g, p are scalar multiplication unit 7
Input 3 and get the x coordinate of rg. 3. The output of the scalar multiplication unit 73 and M are input to the exclusive OR unit 74 to obtain the output T.

【0029】4.Tをハッシュ器75へ入力し、ハッシ
ュ値cを得る。 5.x,q,cおよびrを剰余乗加算器76へ入力し、
z:=cx+rmod qを得る。 6.(T,z)を出力する。メッセージ回復器の構成も
図8と同様であるが、べき乗剰余演算器83を、スカラ
ー倍演算器とする。ここでのスカラー倍演算器83は入
力g,q,y,zに対し、楕円曲線上のスカラー倍演算
及び加算によって(zg+cy)を計算し、そのx座標
を出力するものである。入力s,Yに対し、メッセージ
回復器は次のように動作する。4. The T is input to the hash device 75 to obtain the hash value c. 5. x, q, c and r are input to the modular exponentiation adder 76,
We obtain z: = cx + rmod q. 6. Output (T, z). The configuration of the message recovery device is also similar to that of FIG. 8, but the modular exponentiation calculator 83 is a scalar multiplication calculator. The scalar multiplication calculator 83 here calculates (zg + cy) for the inputs g, q, y, and z by scalar multiplication and addition on an elliptic curve, and outputs the x coordinate thereof. For inputs s and Y, the message recoverer operates as follows.

【0030】1.Tをハッシュ器82へ入力し、ハッシ
ュ値cを得る。 2.g,q,y,zおよびハッシュ器82の出力cをス
カラー倍演算器83へ入力する。 3.スカラー倍演算器83の出力及びTを排他的論理和
器84へ入力し、その結果をMとして出力する。1. The T is input to the hash device 82 to obtain the hash value c. 2. The g, q, y, z and the output c of the hash unit 82 are input to the scalar multiplication unit 83. 3. The output of the scalar multiplication unit 83 and T are input to the exclusive OR unit 84, and the result is output as M.

【0031】上述において、メッセージ回復署名装置、
メッセージ回復署名検証装置はそれぞれコンピュータに
よりプログラムを解説実行させることにより機能させる
こともできる。In the above, the message recovery signature device,
Each of the message recovery signature verification devices can be made to function by causing a computer to explain and execute a program.

【0032】[0032]

【発明の効果】ハッシュ関数HおよびGが理想的なラン
ダム性を持つと仮定すると、M中のm r はランダム化さ
れ、Mからmr を推定することは困難であるから、署名
要求者がmを任意に選択する事によって、H(m)ある
いはG(H(m))(+)mrを攻撃者の都合の良い値
に操作することは困難であり、従って、選択平文攻撃を
防ぐことが可能となる。The hash functions H and G are ideal runs.
Assuming dumbness, m in M rIs randomized
M to mrThe signature is difficult to estimate
If the requester arbitrarily selects m, there is H (m).
Iha G (H (m)) (+) mrA convenient value for the attacker
Is difficult to manipulate, and therefore a selective plaintext attack
It becomes possible to prevent it.

【図面の簡単な説明】[Brief description of drawings]

【図1】メッセージ回復署名装置の機能構成を示すブロ
ック図。FIG. 1 is a block diagram showing a functional configuration of a message recovery signature device.

【図2】図1中の符号化器12の機能構成を示すブロッ
ク図。FIG. 2 is a block diagram showing a functional configuration of an encoder 12 in FIG.

【図3】メッセージ回復署名検証装置の機能構成を示す
ブロック図。FIG. 3 is a block diagram showing a functional configuration of a message recovery signature verification device.

【図4】図3中の復号化器33の機能構成を示すブロッ
ク図。4 is a block diagram showing a functional configuration of a decoder 33 in FIG.

【図5】RSA署名器を示すブロック図。FIG. 5 is a block diagram showing an RSA signer.

【図6】RSAメッセージ回復器を示すブロック図。FIG. 6 is a block diagram illustrating an RSA message recovery device.

【図7】離散対数型署名器の機能構成を示すブロック
図。FIG. 7 is a block diagram showing a functional configuration of a discrete logarithmic signature device.

【図8】離散対数型メッセージ回復器の機能構成を示す
ブロック図。FIG. 8 is a block diagram showing a functional configuration of a discrete logarithmic message recovery device.

───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平9−34357(JP,A) The Exact Securit y of Digital Signa tures− How to Sign with RSA and Rabi n,Lecture Notes in Computer Science, Vol.1070,p.399−316 Message Recovery for Signature Sche mes Based on the D iscerete Logarithm Problem,Lecture N otes in Computer S cience,Vol.950,p.182− 193 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G09C 1/00 640 JICSTファイル(JOIS)─────────────────────────────────────────────────── ─── Continuation of the front page (56) References Japanese Patent Laid-Open No. 9-34357 (JP, A) The Exact Security of Digital Signatures- How to Sign with RSA and Rabbin, Lecture Notes, Inc., Inc. 1070, p. 399-316 Message Recovery for Signage Schemes based on the Discrete Logarithm Problem, Lecture No notes in Computer Science, Vol. 950, p. 182-193 (58) Fields investigated (Int.Cl. 7 , DB name) H04L 9/32 G09C 1/00 640 JISST file (JOIS)

Claims (3)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 xを秘密鍵、yを公開鍵、mを文書と
し、公開鍵yのビット数によって決まる値をnとし、k
1 ,k2 を、k1 +k2 =nとなる二つの整数値とし、 メッセージ回復署名装置は符号化器、署名器を具備し、
メッセージ回復署名生成器は入力m,xに対して、mを
符号化器へ入力してその出力M,ms を得、M,xを署
名器へ入力してその出力として署名sを得、s,ms
出力する機能を有し、 メッセージ回復署名検証装置はメッセージ回復器および
復号器を具備し、受信したs,ms に対して、s,yを
メッセージ回復器へ入力してその出力をMとし、Mとm
s を復号器へ入力して、Mが正しい符号である場合にm
を出力するメッセージ回復型署名システムであって、 符号化器はk2 ビットより長い入力mに対して、mの予
め定めたビット位置からk2 ビットを切り出してビット
結合した結果をmr とし、切り出されて残った部分をビ
ット結合した結果をms とし、mr ,ms を出力し、入
力mがk2 ビット以下の場合は、mr =mとし、ms
空文字列とする第1ビット切出器と、 任意長のmが入力されてk1 ビットのハッシュ値m1
H(m)を出力する第1ハッシュ器と、 m1 が入力されてk2 ビットのハッシュ値G(m1 )を
出力する第2ハッシュ器と、 G(m1 )とmr との群演算を行ってm2 を出力する第
1演算器と、 m1 とm2 とを互いにビット埋込み結合してk1 +k2
ビットのMを出力するビット埋込器とを具備し、 復号化器は入力されたMに対し第1ビット埋込器がm2
にm1 を埋め込んだビット位置からk1 ビットを集めて
ビット結合した結果をm1 ′とし、残ったk2 ビットを
ビット結合した結果をm2 ′として出力する第2ビット
切出器と、 k1 ビットのm1 ′が入力されてk2 ビットのハッシュ
値G(m1 ′)を出力する第3ハッシュ器と、 m2 ′とG(m1 ′)との群演算を行ってk2 ビットの
r ′を出力する第2演算器と、 入力mr ′,ms に対し、ms が、空文字列でない場合
には、ms に対して第1ビット切出器が切り出したビッ
ト位置にmr ′を埋め込んだ結果であるm′を出力し、
s が空文字列の場合は、mr ′をm′として出力する
第2埋込器と、 第2埋込器の出力m′が入力されてk1 ビットのハッシ
ュ値H(m′)を出力する第4ハッシュ器と、 H(m′)とm1 ′とを比較して等しい場合はm′を回
復メッセージmとして出力する比較器とを具備すること
を特徴とするメッセージ回復型署名システム。1. A secret key, x is a public key, m is a document, a value determined by the number of bits of the public key y is n, and k is a key.
1 and k 2 are two integers such that k 1 + k 2 = n, and the message recovery signature device includes an encoder and a signer.
For the input m, x, the message recovery signature generator inputs m into the encoder to obtain its output M, m s , inputs M, x into the signer to obtain its signature s, The message recovery signature verification device has a function of outputting s, m s, and includes a message recovery device and a decryption device. For s, m s received, s, y is input to the message recovery device and The output is M and M and m
Input s to the decoder and m if M is the correct code
A message recovery type signature system that outputs, the encoder k for two bits longer than the input m, a result of the bit combination are cut out k 2 bits from predetermined bit positions m and m r, Let m s be the result of bit-combining the cut-out remaining portions and output m r and m s . If the input m is k 2 bits or less, m r = m and m s is an empty character string. Hash value of k 1 bit m 1 =
Group of a first hash for outputting a H (m), and the second hash for outputting the m 1 is inputted k 2 bits of the hash value G (m 1), G and (m 1) and m r a first calculator for outputting m 2 performs operation, and bit embedding bonded together and m 1 and m 2 k 1 + k 2
A bit embedder for outputting M of bits, wherein the decoder has a first bit embedder m 2 for the input M.
A second bit slicing device which collects the k 1 bits from the bit position in which m 1 is embedded and outputs the result of bit combining as m 1 ′, and outputs the result of bit combining the remaining k 2 bits as m 2 ′, A third hash unit, which receives k 1 -bit m 1 ′ and outputs k 2 -bit hash value G (m 1 ′), performs a group operation on m 2 ′ and G (m 1 ′) to obtain k 'a second arithmetic unit for outputting the input m r' of 2 bits m r to, m s, m s is if not the empty string, the first bit cutting device is cut out with respect to m s Output m'which is the result of embedding m r 'in the bit position,
When m s is an empty character string, the second embedder that outputs m r ′ as m ′ and the output m ′ of the second embedder are input and the hash value H (m ′) of k 1 bit is input. message recovery type signature system and a fourth hash unit, is equal to compare and H (m ') and m 1' is characterized by comprising a comparator for outputting the m 'as a recovery message m to be output . 【請求項2】 入力文書mを処理してnビットの符号化
文書Mと残り文書ms を出力する符号化と、上記符号
化文書Mを秘密鍵xで署名処理して署名sを出力する署
名器とよりなり、ここでnは公開鍵yのビット数によっ
て決まる値であり、k 1 ,k 2 をk 1 +k 2 =nとなる
二つの整数値とし、 上記符号化はmがk2 ビットより長い場合は、mの予
め定めたビット位置からk2 ビットを切り出してビット
結合した結果mr と、切り出されて残った部分をビット
結合して上記残り文書ms を出力し、mがk2 ビット以
下の場合はmr =mとし、msは空文字列とするビット
切出と、 mをハッシュ関数演算してk1 ビットのハッシュ値m1
=H(m)を得る第1ハッシュと、 m1 をハッシュ関数演算してk2 ビットのハッシュ値G
(m1 )を得る第2ハッシュと、 G(m1 )とmr との群演算を行ってm2 を出力する演
と、 m1 とm2 を互いにビット埋込みを行い、上記として
出力するビット埋込とを有するメッセージ回復署名装
置としてコンピュータを機能させるためのプログラムを
記録したコンピュータ読み出し可能な記録媒体。 2. An encoder for processing an input document m to output an n-bit encoded document M and a remaining document m s , and the code.
Document M the station you output the signature s and signature process with the private key x
It consists of a famous device , where n depends on the number of bits of the public key y.
Is determined by the following equation, and k 1 and k 2 are k 1 + k 2 = n
And two integer values, if the encoder m is longer than k 2 bits, and the result m r where bit connecting cut the k 2 bits from a predetermined bit position of m, and cut out by the remaining portion The remaining documents m s are output by bit-combining, and when m is k 2 bits or less, m r = m, and m s is a bit segmenter that is an empty character string, and m is a hash function operation to calculate k 1 Bit hash value m 1
= H a first hash device to obtain the (m), and a hash function computes the m 1 k 2 bit hash value G
(M 1) and the second hash unit obtaining performs bit embedded together with calculator and m 1 and m 2 for performing group operation to output a m 2 of G and (m 1) and m r, the M message recovery signature instrumentation and a bit embedder which <br/> output as
A program for operating a computer
A recorded computer-readable recording medium. 【請求項3】 入力された署名sを公開鍵yで処理して
符号化文書Mを回復するメッセージ回復、入力され
た残り文書m s と上記符号化文書Mより、そのMが正し
い場合に回復文書mを出力する復号とよりなり、 復号はnビットのMの予め決められた位置のk1 ビッ
トを切り出してビット結合したm1 ′と、切り出されて
残った部分をビット結合したk2 ビットのm2 ′とを出
力するビット切出と、ここでnは公開鍵yのビット数
によって決まる値であり、k 1 ,k 2 はk 1 +k 2 =n
となる整数であり、1 ′をハッシュ関数演算してk2 ビットのハッシュ値
G(m1 ′)を得る第1ハッシュと、 m2 ′とG(m1 ′)との群演算を行ってmr ′を得る
演算と、 ms の予め決めたビット間位置にmr ′の各ビットを割
り込ませてm′を得るビット埋込と、 m′をハッシュ関数演算してk1 ビットのハッシュ値H
(m′)を得る第2ハッシュと、 H(m′)とm1 ′とを比較し、等しい場合に、m′を
回復文書mとして出力する比較器とを有するメッセージ
回復署名検証装置としてコンピュータを機能させるため
のプログラムを記録したコンピュータ読み出し可能な記
録媒体。 3. A was treated with the public key y of the input signature s Rume message restorer to restore the encoded document M, is input
And than the remaining document m s and the encoded document M, becomes more and decoder for outputting a recovered document m when the M is correct <br/> have the decoder predetermined location M of n bits 'and, cut out by the remaining m 2 of k 2 bits by bit-binding portion "m 1 that bit combination is cut out k 1 bits of the bit cutting device for outputting and, where n is the public key y Number of bits
And k 1 and k 2 are k 1 + k 2 = n
Become an integer, a first hash device to obtain a '(k 2 bits of the hash value G m 1) and hash function operation the' m 1, the group operation 'and G (m 1' m 2 and) m r go 'and bit embedder obtaining, m' m by interrupting each bit of 'a calculator to obtain, m r to a predetermined bit position between the m s' to the hash function computes the k 1- bit hash value H
'A second hash device to obtain, H (m (m)''compared with the, if equal, m') and m 1 message and a comparator for outputting as a recovery document m
To make a computer function as a recovery signature verification device
A computer-readable record of the program
Recording medium.
JP31245999A 1999-11-02 1999-11-02 Message recovery type signature system and program recording medium thereof Expired - Lifetime JP3434251B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP31245999A JP3434251B2 (en) 1999-11-02 1999-11-02 Message recovery type signature system and program recording medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP31245999A JP3434251B2 (en) 1999-11-02 1999-11-02 Message recovery type signature system and program recording medium thereof

Publications (2)

Publication Number Publication Date
JP2001134178A JP2001134178A (en) 2001-05-18
JP3434251B2 true JP3434251B2 (en) 2003-08-04

Family

ID=18029462

Family Applications (1)

Application Number Title Priority Date Filing Date
JP31245999A Expired - Lifetime JP3434251B2 (en) 1999-11-02 1999-11-02 Message recovery type signature system and program recording medium thereof

Country Status (1)

Country Link
JP (1) JP3434251B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005017809A2 (en) * 2003-08-15 2005-02-24 Docomo Communications Laboratories Usa, Inc. Method and apparatus for authentication of data streams with adaptively controlled losses
US8028171B2 (en) 2005-01-21 2011-09-27 Nec Corporation Signature apparatus, verifying apparatus, proving apparatus, encrypting apparatus, and decrypting apparatus
JP4914377B2 (en) * 2008-01-21 2012-04-11 日本電信電話株式会社 Signature generation apparatus, signature verification apparatus, signature generation verification system, method and program thereof
KR101325484B1 (en) 2012-11-09 2013-11-07 한국기초과학지원연구원 Identity-based signature scheme with message recovery and multi-user broadcast authentication method using the scheme

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Message Recovery for Signature Schemes Based on the Discerete Logarithm Problem,Lecture Notes in Computer Science,Vol.950,p.182−193
The Exact Security of Digital Signatures− How to Sign with RSA and Rabin,Lecture Notes in Computer Science,Vol.1070,p.399−316

Also Published As

Publication number Publication date
JP2001134178A (en) 2001-05-18

Similar Documents

Publication Publication Date Title
CA2130250C (en) Digital signature method and key agreement method
EP0946018B1 (en) Scheme for fast realization of a decryption or an authentication
US7996676B2 (en) Masked digital signatures
US8738912B2 (en) Accelerated signature verification on an elliptic curve
US7908641B2 (en) Modular exponentiation with randomized exponent
EP2306670B1 (en) Hybrid digital signature scheme
US8359469B2 (en) One way authentication
EP0952697B1 (en) Elliptic curve encryption method and system
CA2205310C (en) Digital signature protocol with reduced bandwidth
KR100699836B1 (en) Apparatus and method to counter Different Faults AnalysisDFA in scalar multiplication
JP3434251B2 (en) Message recovery type signature system and program recording medium thereof
Misarsky How (not) to design RSA signature schemes
US6337909B1 (en) Generation of session keys for El Gamal-like protocols from low hamming weight integers
EP1347596B1 (en) Digital signature methods and apparatus
JP2003255831A (en) Method and device for calculating elliptic curve scalar multiple
CA2306468A1 (en) Signature verification for elgamal schemes
JPH1084341A (en) Message added system digital signature method and verification method therefor
Chen et al. A division-of-labor-signature (t, n) threshold-authenticated encryption scheme with message linkage based on the elliptic curve cryptosystem
JP2003309551A (en) Encryption key preservation unit
US20060147039A1 (en) Data encryption method cryptographic system and associated component
Kou Digital Signature Standards
Blake-Wilson Digital Signatures and Public-Key Cryptography
JP2003324425A (en) Electronic signing method, apparatus therefor, program and recording medium therefor
Kleitman 18.304 Undergraduate Seminar in Discrete Mathematics, Spring 2006
JP2000181349A (en) Generating method for cipher key, device therefor and program recording medium

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
R151 Written notification of patent or utility model registration

Ref document number: 3434251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090530

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090530

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100530

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100530

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110530

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120530

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130530

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140530

Year of fee payment: 11

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term