JP3484069B2 - 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体 - Google Patents

秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体

Info

Publication number
JP3484069B2
JP3484069B2 JP04845398A JP4845398A JP3484069B2 JP 3484069 B2 JP3484069 B2 JP 3484069B2 JP 04845398 A JP04845398 A JP 04845398A JP 4845398 A JP4845398 A JP 4845398A JP 3484069 B2 JP3484069 B2 JP 3484069B2
Authority
JP
Japan
Prior art keywords
random number
commitment
verifier
predetermined
secret information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP04845398A
Other languages
English (en)
Other versions
JPH11249560A (ja
Inventor
英一郎 藤▲崎▼
龍明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP04845398A priority Critical patent/JP3484069B2/ja
Publication of JPH11249560A publication Critical patent/JPH11249560A/ja
Application granted granted Critical
Publication of JP3484069B2 publication Critical patent/JP3484069B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、通信システムで
秘密同時著名交換、鍵寄託暗号方式や電子現金などのプ
ロトコルにおいて使われる秘密情報認証方法及び合同多
項式認証方法並びに当該認証プログラムを記録した記録
媒体である。
【0002】
【従来の技術】従来の合同多項式認証方法は、Brickell
ら(“GradualandVerifiableReleaseofaSecret,”Pro
c.ofCrypto´87,LNCS,SpringerVerlag,1988)及びDa
mgard(“PracticalandProvablySecureReleaseofaSecre
tandExchangeofSignatures,”Proc.ofEurocrypt´93,
LNCS,SpringerVerlag,1944)、藤崎−岡本(“Statis
ticalZeroKnowledgeProtocolstoProveModularPolynomia
lRelations,”ProceedingsofCrypto´97,LNCS1294,S
pringer,pp.16-30(1997))によって提案されてい
る。これら論文において、合同多項式認証方法は、秘密
同時著名交換に用いられている。
【0003】一方、岡本(“AnEfficientDivisibleCash
Scheme,”Proc.ofCrypto´95,LNCS,SpringerVerla
g,1995)は、このような秘密保持認証方式を電子現金
方式に適用している。
【0004】なお、ビットコミットメントは「現代暗号
理論(岡本龍明/山本博資著、産業図書)143〜144頁」
に詳しい。
【0005】
【発明が解決しようとする課題】しかしながら、上述し
た従来の方式のうち、Brickell等、Damgard、岡本の方
式は、いずれも、基本認証方式が非効率なため通信量、
計算量が膨大になるという欠点があり、また藤崎−岡本
方式は、上記3方式に比べると効率的ではあるものの、
実用的な効率レベルには到達しているとは言い難かっ
た。また、藤崎−岡本方式は、証明者にとって情報理論
的に全く安全であるとまでは言えなかった。
【0006】本発明は、上記課題に鑑みてなされたもの
で、この発明の目的は、従来の方法に比べ、通信量、計
算量が少なく、かつ安全な秘密情報認証方法及び合同多
項式認証方法を実現し、かつ、素因数分解型の公開鍵暗
号に対する効率的な鍵寄託方式を実現することを可能と
する秘密情報認証方法及び合同多項式認証方法並びに当
該認証プログラムを記録した記録媒体を提供することに
ある。
【0007】
【課題を解決するための手段】前述した目的を達成する
ために、以下に示す秘密情報認証方法及び合同多項式認
証方法は、証明者装置と検証者装置より構成され、証明
者装置が一つ又は複数の秘密情報を保持していることを
検証者装置に認証させる認証方法である。
【0008】例えば、多項式をF(X1,…,Xm)、法
をnだとすれば、合同多項式(F,n)は証明者装置と
検証者装置の間で共通に公開されているが、F(s1
…,sm)≡0(modn)を満たす解(s1,…,sm)を
知っているのは証明者装置だけという状況で、証明者装
置はこの「知っている」という事実以外の情報を漏らさ
ずに検証者装置に認証させることを目的とした認証方法
である。
【0009】本発明のうちで、請求項1記載の発明は、
乱数を生成する第1の乱数生成器、所定の四則演算を行
う四則演算器、および所定のコミットメント演算を行う
コミットメント演算器を備えた証明者装置と、前記コミ
ットメント演算器と通信回線を介して接続され、乱数を
生成する第2の乱数生成器および前記証明者装置から受
信した情報の検証を行う検証器を備えた検証者装置と、
を有し、所定の複数の整数(b、n、N)が公開された
通信システムに、前記証明者装置が所定の秘密情報を保
持していることを前記検証者装置に認証させるための通
信を実行させる秘密情報認証方法であって、前記証明者
装置が、前記コミットメント演算器に入力された前記n
の剰余類環Z/nZの元である所定の秘密情報sと、前
記第1の乱数生成器によって前記Nの剰余類環Z/NZ
の元のうちNと互いに素な整数から一様に選択され、生
成された乱数rと、前記整数bとnとを用いてコミット
メント演算c=BC(b,n)(s,r)を行い、このコミ
ットメント演算cを前記検証者装置に送信する第1ステ
ップ、前記証明者装置が、前記コミットメント演算器に
よって、前記第1の乱数生成器によって生成され、前記
整数nに関係付けられた乱数wおよび前記整数Nに関係
付けられた乱数ηと、前記整数bとnとを用いてコミッ
トメント演算t=BC(b,n)(w,η)を行い、このコ
ミットメント演算tを前記検証者装置に送信する第2ス
テップ、前記検証者装置が、前記第2の乱数生成器によ
って乱数eを生成し、この乱数eを前記証明者装置に送
信する第3ステップ、 前記証明者装置が、前記秘密情
報s、前記乱数eおよびw、前記整数nに依存するX
と、前記乱数r、前記乱数eおよびη、前記整数Nに依
存するRとを前記四則演算器によってそれぞれ計算し、
前記検証者装置に送信する第4ステップ、前記検証者装
置が、前記検証器によって、前記X、R、c、t、e、
nを用いて、演算結果として0または1を出力する所定
の演算VCHECK(X,R,c,t,e,n)を行う第5ス
テップ、を実行し、前記検証器がVCHECK(X,R,c,
t,e,n)=0を出力した場合、前記検証器装置は、
前記証明者装置が前記秘密情報sを保持していると認証
することを要旨とする。以下、この認証方式を基本認証
方式1と呼び、このプロトコルをCHECK
(b,n)(c)と書く。
【0010】これにより従来のBrickell等、Damgard、
岡本の各方式では、基本的な3回のやりとりのプロトコ
ルにおいて、検証者が証明者に1ビット送るだけであっ
た。そのため、安全性を高めるため、繰り返しプロトコ
ルを実行する必要があった。藤崎−岡本方式では、基本
的な3回のやりとりにおいて、検証者は証明者にmビッ
ト(例えば、m=50)送ることが可能となり、基本的
なプロトコルを繰り返し実行する必要が無くなった。こ
のことにより、処理量、通信量を圧倒的に小さくするこ
とが可能になった。すなわち、コミットメント方式を改
良することで、処理量、通信量のさらなる改善と、安全
性を増加させることに成功した。
【0011】また、請求項2記載の発明は、乱数を生成
する第1の乱数生成器、所定の四則演算を行う四則演算
器、および所定のコミットメント演算を行うコミットメ
ント演算器を備えた証明者装置と、前記コミットメント
演算器と通信回線を介して接続され、乱数を生成する第
2の乱数生成器および前記証明者装置から受信した情報
の検証を行う検証器を備えた検証者装置と、を有し、所
定の複数の整数(b1、b2、n、N)が公開された通信
システムに、前記証明者装置が所定の秘密情報を保持し
ていることを前記検証者装置に認証させるための通信を
実行させる秘密情報認証方法であって、前記証明者装置
が、前記コミットメント演算器に入力された前記nの剰
余類環Z/nZの元である所定の秘密情報sと、前記第
1の乱数生成器によって前記Nの剰余類環Z/NZの元
のうちNと互いに素な整数から一様に選択され、生成さ
れた乱数r1、r2と、前記整数b1、b2およびnとを用
いて2つのコミットメント演算c1=BC(b1,n)(s,
1),c2=BC(b2,n)(s,r2)を行い、これら2
つのコミットメント演算c1,c2を前記検証者装置に送
信する第1ステップ、前記証明者装置が、前記第1の乱
数生成器によって生成され、前記整数nに関係付けられ
た乱数wおよび前記整数Nに関係付けられた乱数η1
η2と、前記整数b1、b2およびnとを用いて2つのコ
ミットメント演算t1=BC(b1,n)(w,η1),t2
BC(b2,n)(w,η2)を行い、これら2つのコミット
メント演算t1、t2を前記検証者装置に送信する第2ス
テップ、前記検証者装置が、前記第2の乱数生成器によ
って乱数eを生成し、この乱数eを前記証明者装置に送
信する第3ステップ、前記証明者装置が、前記秘密情報
s、前記乱数eおよびw、前記整数nに依存するXと、
前記乱数r1、前記乱数eおよびη1、前記整数Nに依存
するR1と、前記乱数r2、前記乱数eおよびη2、前記
整数Nに依存するR2とを前記四則演算器によってそれ
ぞれ計算し、前記検証者装置に送信する第4ステップ、
前記検証者装置が、前記検証器によって、前記X、
1、R2、c1、c2、t1、t2、e、nを用いて、演算
結果として0または1を出力する所定の演算VCOM(X、
1、R2、c1、c2、t1、t2、e、n)を行う第5ス
テップ、を実行し、前記検証器がVCOM(X、R1、R2
1、c2、t1、t2、e、n)=0を出力した場合、前
記検証器装置は、前記証明者装置が前記秘密情報sを保
持していると認証することを要旨とする。以下、この認
証方式を比較認証方式と呼び、このプロトコルをCOM
(b1,b2,n)(c1,c2)と書く。
【0012】また、請求項記載の発明は、乱数を生成
する第1の乱数生成器、所定の四則演算を行う四則演算
器、および所定のコミットメント演算を行うコミットメ
ント演算器を備えた証明者装置と、前記コミットメント
演算器と通信回線を介して接続され、乱数を生成する第
2の乱数生成器および前記証明者装置から受信した情報
の検証を行う検証器を備えた検証者装置と、を有し、所
定の複数の整数(b、n、N)が公開された通信システ
ムに、前記証明者装置が所定の複数の秘密情報を保持し
ていることを、前記複数の秘密情報が所定の合同多項式
で関係付けられているという合同多項式情報以外は一切
漏らさずに前記検証者装置に認証させるための通信を実
行させる合同多項式認証方法であって、前記証明者装置
が、前記コミットメント演算器に入力された前記nの剰
余類環Z/nZの元である所定の秘密情報s1、s2と、
前記第1の乱数生成器によって前記Nの剰余類環Z/N
Zの元のうちNと互いに素な整数から一様に選択され、
生成された乱数r1、r2と、前記整数bおよびnとを用
いて2つのコミットメント演算c1=BC(b,n)(s1
1)およびc2=BC(b,n)(s2,r2)を行い、さら
に前記秘密情報s1、s2に係る第3の秘密情報s3=s1
+s2(modn)に対し、前記整数bおよびnと、新たに生
成された乱数r3とを用いてコミットメント演算c3=B
(b,n)(s3,r3)を行い、前記3つのコミットメン
ト演算c1、c2、c3を前記検証者装置に送信する第1
ステップ、前記証明者装置が、前記第1の乱数生成器に
よって生成した前記整数Nに関係付けられた乱数ηと、
前記整数bおよびnとを用いてコミットメント演算t=
BC(b,n)(0,η)を行い、当該コミットメント演算
tを前記検証者装置に送信する第2ステップ、前記検証
者装置が、前記第2の乱数生成器によって乱数eを生成
し、当該乱数eを前記証明者装置に送信する第3ステッ
プ、前記証明者装置が、前記乱数r1、r2、r3と、前
記乱数eおよびη、前記整数Nに依存するRを前記四則
演算器によって計算し、前記検証者装置に送信する第4
ステップ、前記検証者装置が、前記検証器によって、前
記R、t、e、c1、c2、c3、nを用いて、演算結果
として0または1を出力する所定の演算VADD(R、t、
e、c1、c2、c3、n)を行う第5ステップ、を実行
し、前記検証器がVADD(R、t、e、c1、c2、c3
n)=0を出力した場合、前記検証者装置は、前記証明
者装置により生成された前記コミットメント演算c3
前記コミットメント演算c1およびc2にそれぞれ係る前
記秘密情報s1およびs2の前記整数nを法とした合同和
3をコミットしていると認証することを要旨とする。
【0013】以下、このような認証方式、すなわちコミ
ットメントc3がコミットメントc1とコミットメントc
2の秘密情報sの法nのもとでの合同和s3をコミットし
ていることを検証者に認証させる認証方法を加算認証方
式と呼び、このプロトコルをADD(b,n)(c1,c2
3)と書く。
【0014】また、請求項記載の発明は、乱数を生成
する第1の乱数生成器、所定の四則演算を行う四則演算
器、および所定のコミットメント演算を行うコミットメ
ント演算器を備えた証明者装置と、前記コミットメント
演算器と通信回線を介して接続され、乱数を生成する第
2の乱数生成器および前記証明者装置から受信した情報
の検証を行う検証器を備えた検証者装置と、を有し、所
定の複数の整数(b、n、N)が公開された通信システ
ムに、前記証明者装置が所定の複数の秘密情報を保持し
ていることを、前記複数の秘密情報が所定の合同多項式
で関係付けられているという合同多項式情報以外は一切
漏らさずに前記検証者装置に認証させるための通信を実
行させる合同多項式認証方法であって、前記証明者装置
が、前記コミットメント演算器に入力された前記nの剰
余類環Z/nZの元である所定の秘密情報s1、s2と、
前記第1の乱数生成器によって前記Nの剰余類環Z/N
Zの元のうちNと互いに素な整数から一様に選択され、
生成された乱数r1、r2と、前記整数bおよびnとを用
いて2つのコミットメント演算c1=BC(b,n)(s1
1)およびc2=BC(b,n)(s2,r2)を行い、さら
に前記秘密情報s1、s2に係る第3の秘密情報s3=s1
・s2(modn)に対し、前記整数bおよびnと、新たに生
成された乱数r3とを用いてコミットメント演算c3=B
(b,n)(s3,r3)を行い、前記3つのコミットメン
ト演算c1、c2、c3を前記検証者装置に送信する第1
ステップ、前記証明者装置が、前記検証者装置との間
で、請求項2記載の秘密情報認証方法を実行するプロト
コルをCOM(b1,b2,n)(c1,c2)と記載するとき、
COM(b,c2,n)(c1,c3)を行う第2ステップ、前記
証明者装置が、前記検証者装置との間でCOM(b,c1,n)
(c2,c3)を行う第3ステップ、を実行し、前記2つ
のプロトコルCOM(b,c2,n)(c1,c3)およびCOM
(b,c1,n)(c2,c3)が正しく実行されたとき、前記検
証者装置は、前記証明者装置により生成された前記コミ
ットメント演算c3が前記コミットメント演算c1および
2にそれぞれ係る前記秘密情報s1およびs2の前記整
数nを法とした合同積s3をコミットしていると認証す
ることを要旨とする。
【0015】以下、このような認証方式、すなわちコミ
ットメントc3がコミットメントc1とコミットメントc
2の秘密情報sの法nのもとでの合同積s3をコミットし
ていることを検証者に認証させる認証方法を乗算認証方
式と呼び、このプロトコルをMUL(b,n)(c1,c2
3)と書く。
【0016】また、請求項記載の発明は、乱数を生成
する第1の乱数生成器、所定の四則演算を行う四則演算
器、および所定のコミットメント演算を行うコミットメ
ント演算器を備えた証明者装置と、前記コミットメント
演算器と通信回線を介して接続され、乱数を生成する第
2の乱数生成器および前記証明者装置から受信した情報
の検証を行う検証器を備えた検証者装置と、を有し、所
定の複数の整数(b、n、N)が公開された通信システ
ムに、前記証明者装置が所定の複数の秘密情報を保持し
ていることを、前記複数の秘密情報が所定の合同多項式
で関係付けられているという合同多項式情報以外は一切
漏らさずに前記検証者装置に認証させるための通信を実
行させる合同多項式認証方法であって、前記証明者装置
が、前記コミットメント演算器に入力された前記nの剰
余類環Z/nZの元である所定の秘密情報s1と、前記
第1の乱数生成器によって前記Nの剰余類環Z/NZの
元のうちNと互いに素な整数から一様に選択され、生成
された乱数r1と、前記整数bおよびnとを用いてコミ
ットメント演算c1=BC(b,n)(s1,r1)を行い、さ
らに前記秘密情報s1に係る第2の秘密情報s3=s1 2(m
odn)に対し、前記整数bおよびnと、新たに生成され
た乱数r3とを用いてコミットメント演算c3=BC
(b,n)(s3,r3)を行い、前記2つのコミットメント
演算c1およびc3を前記検証者装置に送信する第1ステ
ップ、前記証明者装置が、前記検証者装置との間で、請
求項2記載の秘密情報認証方法を実行するプロトコルを
COM(b1,b2,n)(c1,c2)と記載するとき、COM
(b,c1,n)(c1,c3)を行う第2ステップ、を実行し、
前記プロトコルCOM(b,c1,n)(c1,c3)が正しく実
行されたとき、前記検証者装置は、前記証明者装置によ
り生成された前記コミットメント演算c3が前記コミッ
トメント演算c1に係る前記秘密情報s1の前記整数nを
法とした合同自乗積s3をコミットしていると認証する
ことを要旨とする。
【0017】以下、このような認証方式、すなわちコミ
ットメントc3がコミットメントc1の秘密情報sの法n
のもとでの合同自乗積s3をコミットしていることを検
証者に認証させる認証方式を自乗認証方式と呼び、この
プロトコルをSQU(b,n)(c1;c3)と書く。
【0018】また、請求項記載の発明は、乱数を生成
する第1の乱数生成器、所定の四則演算を行う四則演算
器、および所定のコミットメント演算を行うコミットメ
ント演算器を備えた証明者装置と、前記コミットメント
演算器と通信回線を介して接続され、乱数を生成する第
2の乱数生成器および前記証明者装置から受信した情報
の検証を行う検証器を備えた検証者装置と、を有し、
【0019】所定の複数の整数(b、n1、n2、g1
2、N)が公開された通信システムに、前記証明者装
置が所定の複数の秘密情報を保持していることを、前記
複数の秘密情報が所定の合同多項式で関係付けられてい
るという合同多項式情報以外は一切漏らさずに前記検証
者装置に認証させるための通信を実行させる合同多項式
認証方法であって、前記証明者装置が、前記コミットメ
ント演算器に入力された前記n1の剰余類環Z/n1Zの
元である所定の秘密情報s1と、前記n2の剰余類環Z/
2Zの元である所定の秘密情報s2と、前記第1の乱数
生成器によって前記Nの剰余類環Z/NZの元のうちN
と互いに素な整数から一様に選択され、生成された乱数
rと、前記整数bおよびnとを用いて2つのコミットメ
ント演算c1=BC(b,n1)(s1,r)およびc2=BC
(b,n2)(s2,r)を行うとともに、前記2つの秘密情
報s1およびs2とs3=s1(modn1)=s2(modn2
なる関係にあり、なおかつ所定の整数の元である秘密情
報s3と、前記乱数rと、前記整数g1とを用いて前記2
つのコミットメント演算とは異なるコミットメント演算
【数39】 を行い、前記3つのコミットメント演算c1、c2
【数40】 を前記検証者装置に送信する第1ステップ、前記証明者
装置が、前記検証者装置との間で、請求項1記載の秘密
情報認証方法を実行するプロトコルをCHECK(b,n)
(c)と記載するとき、CHECK(b,n1)(c1)を行
う第2ステップ、前記証明者装置が、前記検証者装置と
の間でCHECK(b,n2)(c2)を行う第3ステップ、
前記証明者装置が、前記検証者装置との間で
【数41】 を行う第4ステップ、前記証明者装置が、前記検証者装
置との間で
【数42】 を行う第5ステップ、前記証明者装置が前記第1の乱数
生成器によって乱数w1 0,w1 1を生成するとともに、こ
の乱数w1 0,w1 1に応じて乱数w2 0,w2 1を生成し、さ
らにiとjを1または2とするとき、前記乱数wi 0,w
j 1に応じて乱数wij 2を生成し、前記乱数wi 0,wj 1
ij 2を用いてコミットメント演算
【数43】 を計算し、この4つのコミットメント演算を前記検証者
装置に送信し、前記検証者装置が、前記第2の乱数生成
器によって乱数eを生成し、この乱数eを前記証明者装
置に送信し、前記証明者装置が、所定の整数である秘密
情報s、前記乱数e、前記w1 0およびw2 0のいずれか一
方、前記整数nに依存するXと、前記乱数r、前記乱数
e、前記乱数w1 1およびw2 1のいずれか一方、に依存す
るRと、を前記四則演算器によってそれぞれ計算し、前
記X、Rおよびwij 2を前記検証者装置に送信し、前記
検証者装置が、前記検証器によって、前記X、R、
【数44】 ij 2、tij、eを用いて、演算結果として0または1
を出力する所定の演算
【数45】 を実行させ、前記検証器が
【数46】 を出力した場合、前記検証器装置は、前記証明者装置が
前記秘密情報sを保持していると認証することを特徴と
する秘密情報認証方法を実行するプロトコルを
【数47】 とするとき、前記証明者装置が、前記検証者装置との間
【数48】 を行う第6ステップ、を実行し、前記5つのプロトコル
CHECK(b,n1)(c1)、CHECK(b,n2)(c2)、
【数49】
【数50】
【数51】 が全て正しく実行されたとき、前記検証者装置は、前記
証明者装置により生成された前記コミットメント演算c
1、c2それぞれに係る前記秘密情報s1、s2が、関係式
1(modn1)=s2(modn2)を満たしていると認証す
ることを要旨とする。
【0020】以下、このような認証方式、すなわちコミ
ットメントc1とコミットメントc2がコミットしている
式s1,s2が、式s1(modn1)=s2(modn2)を満た
していることを検証者に認証させる認証方法を乗り継ぎ
認証方式と呼び、このプロトコルをTRAN(b,n1,n2)
(c1,c2)と書く。
【0021】また、請求項7記載の発明は、前記コミッ
トメント演算が、BC (b,n) (s,r)=b s n mod
N)であることを要旨とする。
【0022】また、請求項8記載の本発明は、所定の多
項式Fと、この多項式Fの法をあらわす所定の整数nと
が、乱数を生成する第1の乱数生成器、所定の四則演算
を行う四則演算器、および所定のコミットメント演算を
行うコミットメント演算器を備えた証明者装置と、前記
コミットメント演算器と通信回線を介して接続され、乱
数を生成する第2の乱数生成器および前記証明者装置か
ら受信した情報の検証を行う検証器を備えた検証者装置
と、を有し、所定の複数の整数(b,n,N)が公開さ
れた通信システムにおいて公開されているとき、前記証
明者装置が、前記nの剰余類環Z/nZの元である所定
の複数の秘密情報s1,…,smと、前記第1の乱数生成
器によって前記Nの剰余類環Z/NZの元のうちNと互
いに素な整数から一様に選択され、生成された乱数
1,…,rmと、前記整数bおよびnとを用いてm個の
コミットメント演算c1=BC(b,n)(s1,r1),…,
m=BC(b,n)(sm,rm)を行うと共に、前記証明者
装置が前記検証者装置に、前記複数の秘密情報s1
…,smは、F(s1,…,sm)≡0 (modn)を満た
していることを、前記通信システムを介して、前記複数
の秘密情報s1,…,smを明かすことなく認証させる際
に、請求項3乃至5に記載の合同多項式認証方法の少な
くとも2つを組み合わせて用いることを要旨とする。
【0023】また、請求項9記載の発明は、所定の多項
式Fと多項式H、および前記多項式FおよびH各々の法
を表す所定の整数nとn′が、乱数を生成する第1の乱
数生成器、所定の四則演算を行う四則演算器、および所
定のコミットメント演算を行うコミットメント演算器を
備えた証明者装置と、前記コミットメント演算器と通信
回線を介して接続され、乱数を生成する第2の乱数生成
器および前記証明者装置から受信した情報の検証を行う
検証器を備えた検証者装置と、を有し、所定の複数の整
数が公開された通信システムにおいて公開されていると
き、前記証明者装置は前記検証者装置に、所定の複数の
秘密情報s1,…,smが、F(s1,…,sm)≡0
(modn)かつH(s1,…,sm)≡0 (modn′)を
満たしていることを前記複数の秘密情報s1,…,sm
明かすことなく認証させる際に、請求項3乃至5に記載
の合同多項式認証方法の少なくとも1つと請求項6の合
同多項式認証方法を組み合わせて用いることを要旨とす
る。
【0024】また、請求項10記載の発明は、請求項
乃至2のいずれか一項に記載の秘密情報認証方法を、乱
数を生成する第1の乱数生成器、所定の四則演算を行う
四則演算器、および所定のコミットメント演算を行うコ
ミットメント演算器を備えた証明者装置と、前記コミッ
トメント演算器と通信回線を介して接続され、乱数を生
成する第2の乱数生成器および前記証明者装置から受信
した情報の検証を行う検証器を備えた検証者装置と、を
有し、所定の複数の整数が公開された通信システムに実
行させるための秘密情報認証プログラムを記録したこと
を要旨とする。
【0025】また、請求項11記載の発明は、請求項
乃至9のいずれか一項に記載の合同多項式認証方法を、
乱数を生成する第1の乱数生成器、所定の四則演算を行
う四則演算器、および所定のコミットメント演算を行う
コミットメント演算器を備えた証明者装置と、前記コミ
ットメント演算器と通信回線を介して接続され、乱数を
生成する第2の乱数生成器および前記証明者装置から受
信した情報の検証を行う検証器を備えた検証者装置と、
を有し、所定の複数の整数が公開された通信システムに
実行させるための合同多項式認証プログラムを記録した
ことを要旨とする。
【0026】これにより秘密情報認証プログラム及び合
同多項式認証プログラムの流通性を高めることができ
る。
【0027】
【発明の実施の形態】以下、図面を用いて本発明の実施
の形態について説明する。
【0028】図1は本発明に係る第1の原理構成を示す
図である。図1は証明者装置100と検証者装置200
が通信回線等を介して接続している場合を表す。コミッ
トメント演算器を図2に表す。
【0029】証明者装置100、検証者装置200間の
手順を7つの認証方式に応じて、基本認証方式1を図3
および図4に、基本認証方式2を図5、図6および図7
に、比較認証方式を図8および図9に、加算認証方式を
図10および図11に、乗算認証方式を図12に、自乗
認証方式を図13に、乗り継ぎ認証方式を図14にそれ
ぞれ示す。また、合同多項式認証方式の構成例を図15
に、法の異なる合同多項式認証方式の構成例を図16に
示す。
【0030】1.合同多項式認証方法 第1の原理構成に基づく発明の場合、システムで予め以
下の情報、N,b,n,g1,g2,mが公開されてい
る。Fは任意の多項式である。プロトコルが正しく終了
した時、証明者装置100はF(s1,…,sm)≡0
(modn)なる(s1,…,sm)を知っていると言うこ
とにする。
【0031】p,q:素数、N=pqとする。また、b
∈[1,N),g1∈[1,N),g2∈[1,N)とす
る。記号[a,b)は、a以上b未満の整数の集合を意
味する。
【0032】最初に目的を達成する部品となる、2つの
コミットメント方式、7つの認証方式の構成例を述べ、
その後、多項式Fに具体的な値をいれ、本発明の構成例
を示す。
【0033】(a)コミットメント方式 i.コミットメントBC コミットメント演算BC器110は、s∈Z/nZを入
力すると、内部で乱数生成器101を用いて乱数r∈Z
/NZ*を生成し、四則演算器103を用いてコミット
メントcをc=bsnmodNにより計算する(図2
(a)を参照)。但し、(b,n)はコミットメント演
算BCのパラメータである。
【0034】このコミットメント演算BCは確率的な演
算であり、乱数による引数を取る。以後、特に乱数によ
る引数rを明示するときには、BC(s,r)のように
記述する。
【0035】また、このコミットメント演算は、ある秘
密情報s1に対するコミットメント演算BC
(b,n)(s1,r)をc1と表すとき、その秘密情報s
1と、別の秘密情報s2と、任意の2つの整数α1、α2
Z/nZとを用いて表される関係式BC(b,n)(α1・s
1+α2,r)=c1α1・BC(b,n)(α2,r)(加法に
関する準同型)、およびBC(c1,n)(s2,r)=BC
(b,n)(s1・s2,r)を満たす。
【0036】
【数15】 を計算する(図2(b)を参照)。但し、(b,g1
はコミットメント演算
【数52】 のパラメータである。
【0037】
【数16】 を計算する(図2(c)を参照)。
【0038】(上記の剰余演算等については、池野、小
山著「現代暗号理論」電子情報通信学会、等を参照)。
【0039】(b)基本認証方式1 次に基本認証方式1について図3および図4を参照して
説明する。基本認証方式は、証明者装置100がコミッ
トメントcの秘密情報sを「知っている」ことを検証者
装置200に確認させる認証方法である。
【0040】秘密情報sに対し、コミットメント演算B
Cを施し、c=BC(b,n)(s,r)を生成する(ステ
ップS11)。
【0041】証明者装置100は、コミットメントcを
検証者装置200に送信して次のようなやりとりを行
う。
【0042】証明者装置100は、乱数生成器101と
コミットメント演算BC器110よりt=BC
(b,n)(w,η)を計算し検証者装置200に送り(ス
テップS13)、検証者装置200は、乱数生成器10
4より乱数eを生成し証明者装置100に送り(ステッ
プS15)、証明者装置100は、四則演算器103を
用いて、
【数17】 を計算し、検証者装置200に送る(ステップS1
7)。
【0043】検証者装置200は、検証器VCHECK21
0を利用して、検証を行なう。ここで検証器VCHECK
10は、コミットメント演算BC器110、四則演算器
103、比較器106から構成され、 BC(b,n)(X,R)≡tce(modN) を満足すれば VCHECK(X,R,c,t,e,n)=0 を出力し、さもなければ1を出力するものとする。
【0044】検証者装置200は VCHECK(X,R,c,t,e,n)=0 ならば、証明者装置100がコミットメントcに対する
秘密情報sを保持していると認証する。
【0045】以下にこの認証方式を基本認証方式1と呼
ぶ。またこのプロトコルをCHECK(b,n)(c)と書
く。
【0046】(c)基本認証方式2 次に基本認証方式2について図5乃至図7を参照して説
明する。基本認証方式2は、証明者装置100がコミッ
トメントcの秘密情報sを「知っている」ことを検証者
装置200に確認させる認証方法である。
【0047】秘密情報sに対し、
【数18】 を生成する(ステップS21)。
【0048】証明者装置100は、乱数生成器102を
用いて乱数 w1 0∈[0,2mq),w1 1∈[0,22mq) を生成し、さらに四則演算器103を用いて、 w2 0=w1 0−2mq,w2 1=w1 1−22mq を生成する。
【0049】証明者装置100は、コミットメント演算
器130内部の乱数生成器102を用いて乱数wi,j 2
[0,2mN)を生成し、
【数19】 を計算し、4つを全て検証者装置200に送信する(ス
テップS23)。
【0050】検証者装置200は、乱数生成器(10
5)より乱数eを生成し証明者装置100に送り、証明
者装置100は、四則演算器(103)を用いて、 X:=es+wi 0,R:=er+wj 1 を計算し、乱数eを証明者装置100に送信する(ステ
ップS25)。なお、ここで「A:=B」は「AをBと
定義する」の意味である。また、wi 0,wj 1は、X∈
[0,2mq)かつR∈[0,22mq)となるものが選
ばれる。
【0051】証明者装置100は、X,R,wi,j 2を検
証者装置200に送る(ステップS27)。
【0052】
【数20】 (d)比較認証方式 次に、比較認証方式について図8および図9を参照して
説明する。秘密情報sに対し、コミットメント演算BC
を施し、コミットメントc1,コミットメントc2をc1
=BC(b1,n)(s,r1),c2=BC(b2,n)(s,
2)により生成する。b1=b2とは限らない。比較認
証方式とは、コミットメントc1とコミットメントc2
同じ秘密情報sをコミットしていることを検証者装置2
00に認証させる認証方法である。
【0053】証明者装置100は、コミットメント
1,コミットメントc2を送信し(ステップS31)、
以下、検証者装置200と次のようなやりとりを行な
う。
【0054】証明者装置100は乱数生成器101より
乱数wを作成し、コミットメント演算BC器110を用
いてt1=BC(b1,n)(w,η1),t2=BC
(b2,n)(w,η2)を計算し検証者装置200に送る
(ステップS33)。
【0055】検証者装置200は、乱数生成器104よ
り乱数eを生成し証明者装置100に送り(ステップS
35)、証明者装置100は、乱数w、乱数e、法n、
秘密情報sに依存する値Xを、コミットメントの乱数r
1,r2に依存する値X,R1,R2を、それぞれ四則演算
器103を用いて、
【数21】 を計算し、検証者装置200に送る(ステップS3
7)。
【0056】検証者装置200は、検証器VCOM230
を利用して、検証を行なう。ここで検証器VCOM230
は、コミットメント演算BC器110、四則演算器10
3、比較器106から構成され、
【数22】 BC(b,n1)(X,R1)≡t11 e(modN), かつ BC(b,n)(X,R2)≡t22 e(modN) 満足していれば、演算器VCOM(X,R1,R2,c1
2,t1,t2,e,n)=0を出力し、さもなければ
1を出力するものとする。
【0057】検証者装置200はVCOM(X,R1,R2
1,c2,t1,t2,e,n)=0ならば、証明者装置
100がコミットメントc1,コミットメントc2に対す
る秘密情報sを保持していると認証する。
【0058】以下にこれを比較認証方式と呼ぶ。またこ
のプロトコルをCOM(b1,b2,n)(c1,c2)と書く。
【0059】(e)加算認証方式 次に、加算認証方式について図10および図11を参照
して説明する。秘密情報s1,s2に対し、コミットメン
ト演算BCを施し、コミットメントc1,コミットメン
トc2およびコミットメントc3を、c1=BC(b,n)(s
1,r1),c2=BC(b,n)(s2,r2)により生成す
る。秘密情報s3=s1+s2modnに対し、コミットメン
ト演算BCを施しc3=BC(b,n)(s3,r3)を生成す
る。つまり加算認証方式とは、コミットメントc3がコ
ミットメントc1とコミットメントc2の秘密情報sの法
nのもとでの合同和s3をコミットしていることを検証
者装置200に認証させる認証方法である。
【0060】証明者装置100は、コミットメント
1,コミットメントc2およびコミットメントc3を送
信して(ステップS41)、検証者装置200と次のよ
うなやりとりを行う。
【0061】証明者装置100は、コミットメント演算
BC器110に0を入力し、t=BC(b,n)(0,η)
を計算し、検証者装置200に送る(ステップS4
3)。
【0062】検証者装置200は、乱数eを生成し証明
者装置100に送り(ステップS45)、証明者装置1
00は、乱数η、乱数e、法nに依存する値Rを、四則
演算器103を用いて、 R=(r31-12-1eηmodN と計算し、検証者装置200に送る(ステップS4
7)。
【0063】検証者装置200は、演算器VADDを用い
て、 Rn≡t(c31-12-1e(modN) を検証する。これを満足していれば、演算器VADDはV
ADD(R,t,e,c1,c2,c3,n)=0を出力し、
さもなければ1を出力するものとする。
【0064】検証者装置200は、VADD(R,t,
e,c1,c2,c3,n)=0ならば、コミットメント
3がコミットメントc1とコミットメントc2の秘密情
報sの法nのもとでの合同和s3をコミットしていると
する。
【0065】以下、このような認証方式を加算認証方式
と呼ぶ。またこのプロトコルをADD(b,n)(c1
2;c3)と書く。
【0066】(f)乗算認証方式 次に、乗算認証方式を図12を参照して説明する。秘密
情報s1,s2に対し、コミットメント演算BCを施し、
コミットメントc1とコミットメントc2を、c1=BC
(b,n)(s1),c2=BC(b,n)(s2)により生成す
る。秘密情報s3=s12modnに対し、コミットメント
演算BCを施し、c3=BC(b,n)(s3)を生成する。
【0067】このように乗算認証方式とは、コミットメ
ントc3がコミットメントc1とコミットメントc2の秘
密情報sの法nのもとでの合同積s3をコミットしてい
ることを検証者装置200に認証させる認証方法であ
る。
【0068】証明者装置100は、コミットメント
1,コミットメントc2,コミットメントc3を送信し
て、検証者装置200と次のようなやりとりを行なう。
(BCの性質からc3=BC(b,n)(s3)=BC(c1,n)
(s2)=BC(c2,n)(s1)であることに注意して、)
証明者装置100は、検証者装置200とCOM
(b,c2,n)(c1,c3)とCOM(b,c1,n)(c2,c3)を
実行する。
【0069】検証者装置200は、COM(b,c2,n)(c
1,c3)とCOM(b,c1,n)(c2,c3)が正しく実行さ
れると、コミットメントc3がコミットメントc1とコミ
ットメントc2の秘密情報sの法nのもとでの合同積s3
をコミットしているとする。
【0070】以下、このような認証方式を乗算認証方式
と呼ぶ。またこのプロトコルをMUL(b,n)(c1
2;c3)と書く。
【0071】(g)自乗認証方式 次に、自乗認証方式について図13を参照して説明す
る。秘密情報s1に対し、コミットメント演算BCを施
し、コミットメントc1を、c1=BC(b,n)(s1)によ
り生成する。
【0072】秘密情報s3=s1 2modnに対し、コミット
メント演算BC(110)を施しc3=BC
(b,n)(s3)を生成する。自乗認証方式とは、コミット
メントc3がコミットメントc1の秘密情報sの法nのも
とでの合同自乗積s3をコミットしていることを検証者
装置200に認証させる認証方法である。
【0073】証明者装置100は、コミットメント
1,コミットメントc3を送信して、検証者装置200
と次のようなやりとりを行なう(BCの性質からc3
BC(b,n)(s3)=BC(c1,n)(s1)である)。証明
者装置100は、検証者装置200とCOM
(b,c1,n)(c1,c3)を実行する。
【0074】検証者装置200は、COM(b,c1,n)(c
1,c3)が正しく実行されると、コミットメントc3
コミットメントc1の秘密情報sの法nのもとでの合同
自乗積s3をコミットしているとする。
【0075】以下、このような認証方式を自乗認証方式
と呼ぶ。またこのプロトコルをSQU(b,n)(c1
3)と書く。
【0076】(h)乗り継ぎ認証方式 次に、乗り継ぎ認証方式を図14を参照して説明する。
1=BC(b,n1)(s1),c2=BC(b,n2)(s2)(s
1∈Z/n1Z,s2∈Z/n2Z)を生成する。乗り継ぎ
認証方式とは、コミットメントc1とコミットメントc2
がコミットしているs1,s2が、s1modn1=s2modn2
を満たしていることを検証者装置200に認証させる認
証方法である。
【0077】証明者装置100は、コミットメント
1,コミットメントc2を送信し、検証者装置200と
次のようなやりとりを行う。
【0078】
【数23】 検証者装置200は、上記が全て正しく実行されると、
コミットメントc1とコミットメントc2がコミットして
いる秘密情報s1と秘密情報s2が、s1modn1=s2mod
2を満たしているものとする。
【0079】以下、このような認証方式を乗り継ぎ認証
方式と呼ぶ。またこのプロトコルをTRAN(b,n1,n2)
(c1,c2)と書く。
【0080】(i)合同多項式認証方式 次に、合同多項式認証方式について図15を参照して説
明する。証明者装置100は、秘密情報s1,…,sm
対して演算器BCを用いてc1=BC(b,n)(s1),
…,cm=BC(b,n)(sm)を生成する。
【0081】i.(法を同じとする)合同多項式認証方
式 証明者装置100は検証者装置200に、秘密情報
1,…,smが、 F(s1,…,sm)≡0 (modn) を満たしていることを、秘密情報s1,…,smを明かす
ことなく証明する。ここで、多項式Fと法nは公開であ
る。
【0082】上記の(a)コミットメント方式,(e)
加算認証方式,(f)乗算認証方式,(g)自乗認証方
式の各認証方式の組合せを利用することで目的を達成す
る。
【0083】F(X)=X4−a2とおき、証明者装置1
00がF(s)≡0(modn)を満たす秘密情報sを知
っていること示す具体的な構成例を以下に記述する。
【0084】証明者装置100は、c=BC
(b,n)(s,r)を検証者装置200に送信する。
【0085】 証明者装置100は、秘密情報s1=s2modnに対し、
コミットメント演算BCを施しc1=BC(b,n)(s1
1)と、秘密情報s2=s1 2modnに対し、コミットメ
ント演算BCを施しc2=BC(b,n)(s2,r2)を生成
し、検証者装置200に送信する。
【0086】証明者装置100は、検証者装置200と
SQU(b,n)(c;c1),SQU(b,n)(c1;c2)を
実行する。
【0087】証明者装置100は、秘密情報s、乱数情
報に依存したr2を検証者装置200に送る。
【0088】検証者装置200は、c2≡BC(b,n)(a
2modn,r2)(modN)を検証する。
【0089】ii.法の異なる合同多項式認証方式 証明者装置100は検証者装置200に、秘密情報
1,…,smが、
【数24】 F(s1,…,sm)≡0 (modn1) かつ H(s1,…,sm)≡0 (modn2) を満たしていることを秘密情報s1,…,s1を明かすこ
となく証明する(秘密情報sを保持していることを、そ
の秘密情報sがある合同多項式で関係づけられている以
外のことは一切漏らさずに、検証者装置200に認証さ
せる点では上記の合同多項式認証方式と同じである。た
だし、今回の場合、合同多項式が法の異なる複数にな
り、かつ合同多項式間で秘密情報sが一部(全部)共通
している)。ここで、多項式F,Hと法n1,n2は公開
である。
【0090】上記の(a)コミットメント方式,(e)
加算認証方式,(f)乗算認証方式,(g)自乗認証方
式,(h)乗り継ぎ認証方式の各認証方式の組合せを利
用することで目的を達成する。
【0091】F(X)=X4−a2,H(X)=X3−A
とおき、証明者装置100がF(s)≡0(modn1),
H(s)≡0(modn2)、を満たす秘密情報sを知って
いることを示す具体的な構成例を以下に記述する。ただ
し、0<2m+11<n2とする。
【0092】前半部は、上記1(i)合同多項式認証方
式に示す、i(法を同じとする)合同多項式認証方式と
同じである。
【0093】証明者装置100は、c=BC
(b,n)(s,r)を検証者装置200に送信する。
【0094】証明者装置100は、F(s)≡0(mod
1)を満たす秘密情報sを知っていることを検証者装
置200に示す(1(i)i)。
【0095】次に、証明者装置100は、c′=BC
(b,n2)(s)を検証者装置200に送信し、TRAN
(b,n1,n2)(c,c′)を実行する。
【0096】秘密情報s′1=s2modn2に対し、コミッ
トメント演算BCを施しc1=BC(b,n2)(s′1,r′
1)と、秘密情報s′2=s′1 2modn1に対し、コミット
メント演算BCを施しc2=BC(b,n2)(s′2
r′2)を生成し、検証者装置200に送信する。
【0097】証明者装置100は、検証者装置200と
SQU(b,n2)(c′;c′1),MUL(b,n2)(c′,
c′1;c′2)を実行する。
【0098】証明者装置100は、r′2を検証者装置
200に送る。
【0090】検証者装置200は、c2≡BC(b,n)(a
2modn,r′2)(modN)を検証する。
【0100】上記で示した従来提案された方式のうち、
Brickell等、Damgard、岡本の方式は、いずれも、本方
式での基本認証方式にあたる方式が非効率なため通信
量、計算量が膨大になる。藤崎−岡本方式は、上記3方
式に比べると効率的ではあるが、本方式の効率には及ば
ない。また、藤崎−岡本方式は、証明者装置にとって情
報理論的に安全とまでは言えない。本発明は上述した乗
り継ぎ認証方式を除いて、情報理論的に安全である(乗
り継ぎ認証方式は統計的情報未満の情報は漏らしている
可能性はある)。
【0101】上述したように本発明は、従来知られるコ
ミットメント方式を改良することで、従来の方法に比
べ、処理量、通信量のさらなる改善と、安全性を増加さ
せることに成功した。
【0102】このような秘密情報認証方法及び合同多項
式認証方法はそれぞれ秘密情報認証プログラム及び合同
多項式認証プログラムにより実現され、当該認証プログ
ラムは記録媒体に記録して提供される。
【0103】
【発明の効果】以上説明したように、本発明は、コミッ
トメント方式を改良することで、従来の方法に比べ、処
理量、通信量のさらなる改善と、安全性を増加させるこ
とを可能にする秘密情報認証方法及び合同多項式認証方
法並びに当該認証プログラムを記録した記録媒体を実現
した。また、本発明によれば、素因数分解型の公開鍵暗
号に対する効率的な鍵寄託暗号方法を実現することがで
きる等の効果を奏するものである。
【図面の簡単な説明】
【図1】本発明に係る認証方法の原理を説明するための
ブロック図である。
【図2】コミットメント演算器の構成およびその作用を
説明するためのブロック図である。
【図3】基本認証方式1を説明するためのブロック図で
ある。
【図4】基本認証方式1における認証手順を説明するた
めのブロック図である。
【図5】基本認証方式2を説明するためのブロック図で
ある。
【図6】基本認証方式2における認証手順を説明するた
めのブロック図である。
【図7】基本認証方式2における認証手順を説明するた
めのブロック図である。
【図8】比較認証方式を説明するためのブロック図であ
る。
【図9】比較認証方式における認証手順を説明するため
のブロック図である。
【図10】加算認証方式を説明するためのブロック図で
ある。
【図11】加算認証方式における認証手順を説明するた
めのブロック図である。
【図12】乗算認証方式を説明するためのブロック図で
ある。
【図13】自乗認証方式を説明するためのブロック図で
ある。
【図14】乗り継ぎ認証方式を説明するためのブロック
図である。
【図15】合同多項式認証方式を説明するためのブロッ
ク図である。
【図16】法の異なる合同多項式認証方式を説明するた
めのブロック図である。
【符号の説明】
100 証明者装置 101 乱数生成器 102 乱数生成器 103 四則演算器 104 乱数生成器 105 乱数生成器 106 比較器 110 コミットメント演算器 120 コミットメント演算器 130 コミットメント演算器 200 検証者装置 210 検証器 220 検証器 230 検証器 240 検証器
フロントページの続き (56)参考文献 委託された秘匿情報間の合同多項式関 係を保証する実用的な統計的零知識プロ トコル,電子情報通信学会技術研究報 告,Vol.97, No.182,p.53 −64 Practical and Pro vably Secure Relea se of a Secret and Exchange of Signa tures,Lecture Note s in Computer Scie nce, Vol.765,p.200−217 Gradual and Verif iable Release of a Secret, Lecture N otes in Computer S cience, Vol.293,p.156 −166 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 JICSTファイル(JOIS)

Claims (11)

    (57)【特許請求の範囲】
  1. 【請求項1】 乱数を生成する第1の乱数生成器、所定
    の四則演算を行う四則演算器、および所定のコミットメ
    ント演算を行うコミットメント演算器を備えた証明者装
    置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、 を有し、所定の複数の整数(b、n、N)が公開された
    通信システムに、前記証明者装置が所定の秘密情報を保
    持していることを前記検証者装置に認証させるための通
    信を実行させる秘密情報認証方法であって、前記コミットメント演算器は、秘密情報sと乱数rと整
    数bとnとを用いてBC (b, n) (s,r)=b s n (m
    od N)を計算するものであって、 前記証明者装置が、前記コミットメント演算器に入力さ
    れた前記nの剰余類環Z/nZの元である所定の秘密情
    報sと、前記第1の乱数生成器によって前記Nの剰余類
    環Z/NZの元のうちNと互いに素な整数から一様に選
    択され、生成された乱数rと、前記整数bとnとを用い
    てコミットメント演算c=BC(b, n)(s,r)を行
    い、このコミットメント演算cを前記検証者装置に送信
    する第1ステップ、 前記証明者装置が、前記コミットメント演算器によっ
    て、前記第1の乱数生成器によって生成され、前記整数
    nに関係付けられた乱数wおよび前記整数Nに関係付け
    られた乱数ηと、前記整数bとnとを用いてコミットメ
    ント演算t=BC(b, n)(w,η)を行い、このコミッ
    トメント演算tを前記検証者装置に送信する第2ステッ
    プ、 前記検証者装置が、前記第2の乱数生成器によって乱数
    eを生成し、この乱数eを前記証明者装置に送信する第
    3ステップ、 前記証明者装置が、前記秘密情報s、前記乱数eおよび
    w、前記整数nに依存するXを、 X=es+w mod n として前記四則演算器によって計算し前記秘密情報s、 前記乱数r、前記乱数eおよびη、前
    記整数bおよびnおよびNに依存するRをR=r e ηb k mod N として前記四則演算器によって計算し、 前記検証者装置に送信する第4ステップ、 前記検証者装置が、前記X、R、c、t、e、nを用い
    て、BC (b,n) (X,R)≡tc e (mod N)を満足すれ
    ば、V CHECK (X,R,c,t,e,n)=0を出力し、
    さもなければ1を出力する前記検証器を用いて、VCHECK
    (X,R,c,t,e,n)を行う第5ステップ、を実
    行し、前記検証器がVCHECK(X,R,c,t,e,n)
    =0を出力した場合、前記検証器装置は、前記証明者装
    置が前記秘密情報sを保持していると認証することを特
    徴とする秘密情報認証方法。
  2. 【請求項2】 乱数を生成する第1の乱数生成器、所定
    の四則演算を行う四則演算器、および所定のコミットメ
    ント演算を行うコミットメント演算器を備えた証明者装
    置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、 を有し、所定の複数の整数(b1、b2、n、N)が公開
    された通信システムに、前記証明者装置が所定の秘密情
    報を保持していることを前記検証者装置に認証させるた
    めの通信を実行させる秘密情報認証方法であって、前記コミットメント演算器は、秘密情報sと乱数rと整
    数bとnとを用いてBC (b, n) (s,r)=b s n (m
    od N)を計算するものであって 前記証明者装置が、前記コミットメント演算器に入力さ
    れた前記nの剰余類環Z/nZの元である所定の秘密情
    報sと、前記第1の乱数生成器によって前記Nの剰余類
    環Z/NZの元のうちNと互いに素な整数から一様に選
    択され、生成された乱数r1、r2と、前記整数b1、b2
    およびnとを用いて2つのコミットメント演算c1 =B
    (b1, n)(s,r1 ),c2 =BC(b2, n)(s,
    2 )を行い、これら2つのコミットメント演算c1
    2を前記検証者装置に送信する第1ステップ、 前記証明者装置が、前記第1の乱数生成器によって生成
    され、前記整数nに関係付けられた乱数wおよび前記整
    数Nに関係付けられた乱数η1、η2と、前記整数b1
    2およびnとを用いて2つのコミットメント演算t1
    =BC(b1, n)(w,η1),t2 =BC(b2, n)(w,
    η2)を行い、これら2つのコミットメント演算t1、t
    2を前記検証者装置に送信する第2ステップ、 前記検証者装置が、前記第2の乱数生成器によって乱数
    eを生成し、この乱数eを前記証明者装置に送信する第
    3ステップ、 前記証明者装置が、前記秘密情報s、前記乱数eおよび
    w、前記整数nに依存するXを、X=es+w mod n として四則演算器により計算し前記秘密情報s、 前記乱数r1、前記乱数eおよびη1
    前記整数n、前記整数Nに依存するR1と、前記秘密情報
    s、前記乱数r2、前記乱数eおよびη2、前記整数Nに
    依存するR2を、R 1 =r 1 e η 1 1 k mod N, R 2 =r 2 e η 2 2 k mod N として前記四則演算器によって計算し、 前記検証者装置に送信する第4ステップ、 前記検証者装置が、前記X、R1、R2、c1、c2
    1、t2、e、nを用いて、BC (b,n) (X,R 1 )≡t 1
    1 e (mod N)かつBC (b,n) (X,R 2 )≡t 2 2 e (mod
    N)を満足すれば、演算結果としてV COM (X、R 1 、R 2
    1 、c 2 、t 1 、t 2 、e、n)=0を出力し、さもなけ
    れば1を出力する前記検証器によって、所定の演算VCOM
    (X、R1、R2、c1、c2、t1、t2、e、n)を行う
    第5ステップ、を実行し、前記検証器がVCOM(X、
    1、R2、c1、c2、t1、t2、e、n)=0を出力し
    た場合、前記検証器装置は、前記証明者装置が前記秘密
    情報sを保持していると認証することを特徴とする秘密
    情報認証方法。
  3. 【請求項3】 乱数を生成する第1の乱数生成器、所定
    の四則演算を行う四則演算器、および所定のコミットメ
    ント演算を行うコミットメント演算器を備えた証明者装
    置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、 を有し、所定の複数の整数(b、n、N)が公開された
    通信システムに、前記証明者装置が所定の複数の秘密情
    報を保持していることを、前記複数の秘密情報が所定の
    合同多項式で関係付けられているという合同多項式情報
    以外は一切漏らさずに前記検証者装置に認証させるため
    の通信を実行させる合同多項式認証方法であって、前記コミットメント演算器は、秘密情報sと乱数rと整
    数bとnとを用いてBC (b, n) (s,r)=b s n (m
    od N)を計算するものであって 前記証明者装置が、前記コミットメント演算器に入力さ
    れた前記nの剰余類環Z/nZの元である所定の秘密情
    報s1、s2と、前記第1の乱数生成器によって前記Nの
    剰余類環Z/NZの元のうちNと互いに素な整数から一
    様に選択され、生成された乱数r1、r2と、前記整数b
    およびnとを用いて2つのコミットメント演算c1=B
    (b, n)(s1,r1)およびc2 =BC(b, n)(s2
    2)を行い、さらに前記秘密情報s1、s2に係る第3
    の秘密情報s3=s1+s2 (mod n)に対し、前記整数b
    およびnと、新たに生成された乱数r3とを用いてコミ
    ットメント演算c3 =BC(b, n)(s3,r3)を行い、
    前記3つのコミットメント演算c1、c2、c3を前記検
    証者装置に送信する第1ステップ、 前記証明者装置が、前記第1の乱数生成器によって生成
    した前記整数Nに関係付けられた乱数ηと、前記整数b
    およびnとを用いてコミットメント演算t =BC
    (b, n)(0,η)を行い、当該コミットメント演算tを
    前記検証者装置に送信する第2ステップ、 前記検証者装置が、前記第2の乱数生成器によって乱数
    eを生成し、当該乱数eを前記証明者装置に送信する第
    3ステップ、 前記証明者装置が、前記乱数r1、r2、r3と、前記乱
    数eおよびη、前記整数Nに依存するRをR=(r 3 1 -1 2 -1 e η (mod N) として 前記四則演算器によって計算し、前記検証者装置
    に送信する第4ステップ、 前記検証者装置が、前記R、t、e、c1、c2、c3
    nを用いて、R≡t(c 3 1 -1 2 -1 e (mod N)を満足
    すればV ADD (R、t、e、c 1 、c 2 、c 3 、n)=0を
    出力し、さもなければ1を出力する前記検証器により、
    VADD(R、t、e、c1、c2、c3、n)を行う第5ス
    テップ、を実行し、前記検証器がVADD(R、t、e、c
    1、c2、c3、n)=0を出力した場合、前記検証者装
    置は、前記証明者装置により生成された前記コミットメ
    ント演算c3 が前記コミットメント演算c1 およびc2
    にそれぞれ係る前記秘密情報s1およびs2の前記整数n
    を法とした合同和s3 をコミットしていると認証するこ
    とを特徴とする合同多項式認証方法。
  4. 【請求項4】 乱数を生成する第1の乱数生成器、所定
    の四則演算を行う四則演算器、および所定のコミットメ
    ント演算を行うコミットメント演算器を備えた証明者装
    置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、を有し、所定の複数の整数(b、n、N)が
    公開された通信システムに、前記証明者装置が所定の複
    数の秘密情報を保持していることを、前記複数の秘密情
    報が所定の合同多項式で関係付けられているという合同
    多項式情報以外は一切漏らさずに前記検証者装置に認証
    させるための通信を実行させる合同多項式認証方法であ
    って、前記コミットメント演算器は、秘密情報sと乱数rと整
    数bとnとを用いてBC (b, n) (s,r)=b s n (m
    od N)を計算するものであって、 前記証明者装置が、前記コミットメント演算器に入力さ
    れた前記nの剰余類環Z/nZの元である所定の秘密情
    報s1、s2と、前記第1の乱数生成器によって前記Nの
    剰余類環Z/NZの元のうちNと互いに素な整数から一
    様に選択され、生成された乱数r1 、r2と、前記整数
    bおよびnとを用いて2つのコミットメント演算c1
    BC(b, n)(s1 ,r1 )およびc2 =BC(b, n)(s
    2 ,r2)を行い、さらに前記秘密情報s1、s2に係る
    第3の秘密情報s3=s1・s2 (mod n)に対し、前記整
    数bおよびnと、新たに生成された乱数r3とを用いて
    コミットメント演算c3 =BC(b, n)(s3 ,r3 )を
    行い、前記3つのコミットメント演算c1、c2、c3
    前記検証者装置に送信する第1ステップ、 前記証明者装置が、前記検証者装置との間で、請求項2
    記載の秘密情報認証方法を実行するプロトコルをCOM
    (b1,b2,n)(c1 ,c2 )と記載するとき、COM
    (b,c2,n)(c1 ,c3 )を行う第2ステップ、 前記証明者装置が、前記検証者装置との間でCOM
    (b,c1,n)(c2 ,c3 )を行う第3ステップ、を実行
    し、前記2つのプロトコルCOM(b,c2,n)(c1 ,c
    3 )およびCOM(b,c1,n)(c2 ,c3 )が正しく実行
    されたとき、前記検証者装置は、前記証明者装置により
    生成された前記コミットメント演算c3 が前記コミット
    メント演算c1 およびc2 にそれぞれ係る前記秘密情報
    1およびs2の前記整数nを法とした合同積s3 をコミ
    ットしていると認証することを特徴とする合同多項式認
    証方法。
  5. 【請求項5】 乱数を生成する第1の乱数生成器、所定
    の四則演算を行う四則演算器、および所定のコミットメ
    ント演算を行うコミットメント演算器を備えた証明者装
    置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、を有し、所定の複数の整数(b、n、N)が
    公開された通信システムに、前記証明者装置が所定の複
    数の秘密情報を保持していることを、前記複数の秘密情
    報が所定の合同多項式で関係付けられているという合同
    多項式情報以外は一切漏らさずに前記検証者装置に認証
    させるための通信を実行させる合同多項式認証方法であ
    って、前記コミットメント演算器は、秘密情報sと乱数rと整
    数bとnとを用いてBC (b, n) (s,r)=b s n (m
    od N)を計算するものであって、 前記証明者装置が、前記コミットメント演算器に入力さ
    れた前記nの剰余類環Z/nZの元である所定の秘密情
    報s1と、前記第1の乱数生成器によって前記Nの剰余
    類環Z/NZの元のうちNと互いに素な整数から一様に
    選択され、生成された乱数r1と、前記整数bおよびn
    とを用いてコミットメント演算c1 =BC
    (b, n)(s1 ,r1 )を行い、さらに前記秘密情報s1
    に係る第2の秘密情報s3=s1 2 (mod n)に対し、前記
    整数bおよびnと、新たに生成された乱数r3とを用い
    てコミットメント演算c3 =BC(b, n)(s3 ,r3
    を行い、前記2つのコミットメント演算c1およびc3
    前記検証者装置に送信する第1ステップ、 前記証明者装置が、前記検証者装置との間で、請求項2
    記載の秘密情報認証方法を実行するプロトコルをCOM
    (b1,b2,n)(c1 ,c2 )と記載するとき、COM
    (b,c1,n)(c1 ,c3 )を行う第2ステップ、を実行
    し、前記プロトコルCOM(b,c1,n)(c1 ,c3 )が正
    しく実行されたとき、前記検証者装置は、前記証明者装
    置により生成された前記コミットメント演算c3 が前記
    コミットメント演算c1に係る前記秘密情報s1の前記整
    数nを法とした合同自乗積s3 をコミットしていると認
    証することを特徴とする合同多項式認証方法。
  6. 【請求項6】 乱数を生成する第1の乱数生成器、所定
    の四則演算を行う四則演算器、および所定のコミットメ
    ント演算を行うコミットメント演算器を備えた証明者装
    置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、を有し、所定の複数の整数(b、n1、n2
    1、g2、N)が公開された通信システムに、前記証明
    者装置が所定の複数の秘密情報を保持していることを、
    前記複数の秘密情報が所定の合同多項式で関係付けられ
    ているという合同多項式情報以外は一切漏らさずに前記
    検証者装置に認証させるための通信を実行させる合同多
    項式認証方法であって、 前記証明者装置が、前記コミットメント演算器に入力さ
    れた前記n1の剰余類環Z/n1Zの元である所定の秘密
    情報s1と、前記n2の剰余類環Z/n2Zの元である所
    定の秘密情報s2と、前記第1の乱数生成器によって前
    記Nの剰余類環Z/NZの元のうちNと互いに素な整数
    から一様に選択され、生成された乱数rと、前記整数b
    およびnとを用いて2つのコミットメント演算c1 =B
    (b, n1)(s1,r)およびc2 =BC(b, n2)(s2
    r)を行うとともに、前記2つの秘密情報s1およびs2
    3 =s 1 mod n 1 =s 2 mod n 2 なる関係にあり、な
    おかつ所定の整数の元である秘密情報s3と、前記乱数
    rと、前記整数g1とを用いて前記2つのコミットメン
    ト演算とは異なるコミットメント演算 【数26】 を行い、前記3つのコミットメント演算c1、c2、 【数27】を前記検証者装置に送信する第1ステップ、 前記証明者装置が、前記検証者装置との間で、請求項1
    記載の秘密情報認証方法を実行するプロトコルをCHE
    CK(b,n)(c)と記載するとき、CHECK
    (b,n1)(c1)を行う第2ステップ、 前記証明者装置が、前記検証者装置との間でCHECK
    (b,n2)(c2)を行う第3ステップ、 前記証明者装置が、前記検証者装置との間で 【数28】 を行う第4ステップ、 前記証明者装置が、前記検証者装置との間で 【数29】 を行う第5ステップ、 前記証明者装置が前記第1の乱数生成器によって乱数w
    1 0 ,w1 1 を生成するとともに、この乱数w1 0,w1
    1に応じて乱数w2 0,w2 1 を生成し、さらにiとj
    を1または2とするとき、前記乱数wi 0,wj 1に応じ
    て乱数wij 2を生成し、前記乱数wi 0,wj 1,wij 2
    を用いてコミットメント演算 【数30】 を計算し、この4つのコミットメント演算を前記検証者
    装置に送信し、 前記検証者装置が、前記第2の乱数生成器によって乱数
    eを生成し、この乱数eを前記証明者装置に送信し、 前記証明者装置が、所定の整数である秘密情報s、前記
    乱数e、前記w1 0およびw2 0のいずれか一方、前記整
    数nに依存するXと、 前記乱数r、前記乱数e、前記乱数w1 1およびw2 1
    いずれか一方、に依存するRと、を前記四則演算器によ
    ってそれぞれ計算し、前記X、Rおよびwij 2を前記検
    証者装置に送信し、 前記検証者装置が、前記検証器によって、前記X、R、 【数31】wij 2、tij、eを用いて、演算結果として
    0または1を出力する所定の演算 【数32】 を実行させ、前記検証器が 【数33】 を出力した場合、前記検証器装置は、前記証明者装置が
    前記秘密情報sを保持していると認証することを特徴と
    する秘密情報認証方法を実行するプロトコルを 【数34】 とするとき、前記証明者装置が、前記検証者装置との間
    で 【数35】 を行う第6ステップ、を実行し、前記5つのプロトコル
    CHECK(b,n1)(c1)、CHECK(b,n2)(c2)、 【数36】 【数37】 【数38】 が全て正しく実行されたとき、前記検証者装置は、前記
    証明者装置により生成された前記コミットメント演算c
    1 、c2それぞれに係る前記秘密情報s1、s2が、関係
    1 mod n 1 =s 2 mod n 2 を満たしていると認証す
    ることを特徴とする合同多項式認証方法。
  7. 【請求項7】 前記コミットメント演算は、BC(b, n)
    (s,r)=bsn(mod N)であることを特徴とする
    請求項6に記載の合同多項式認証方法。
  8. 【請求項8】 所定の多項式Fと、 この多項式Fの法をあらわす所定の整数nとが、 乱数を生成する第1の乱数生成器、所定の四則演算を行
    う四則演算器、および所定のコミットメント演算を行う
    コミットメント演算器を備えた証明者装置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、を有し、所定の複数の整数(b,n,N)が
    公開された通信システムにおいて公開されているとき、前記コミットメント演算器は、秘密情報sと乱数rと整
    数bとnとを用いてBC (b, n) (s,r)=b s n (m
    od N)を計算するものであって、 前記証明者装置が、
    前記nの剰余類環Z/nZの元である所定の複数の秘密
    情報s1 ,…,sm と、前記第1の乱数生成器によって
    前記Nの剰余類環Z/NZの元のうちNと互いに素な整
    数から一様に選択され、生成された乱数r1 ,…,rm
    と、前記整数bおよびnとを用いてm個のコミットメン
    ト演算c1 =BC(b, n)(s1 ,r1 ),…,cm =B
    (b, n)(sm ,rm )を行うと共に、前記証明者装置
    が前記検証者装置に、前記複数の秘密情報s1 ,…,s
    mは、 F(s1 ,…,sm )≡0 (mod n) を満たしていることを、前記通信システムを介して、前
    記複数の秘密情報s1 ,…,smを明かすことなく認証
    させる際に、請求項3乃至5に記載の合同多項式認証方
    法の少なくとも2つを組み合わせて用いることを特徴と
    する合同多項式認証方法。
  9. 【請求項9】 所定の多項式Fと多項式H、 および前記多項式FおよびH各々の法を表す所定の整数
    nとn′が、 乱数を生成する第1の乱数生成器、所定の四則演算を行
    う四則演算器、および所定のコミットメント演算を行う
    コミットメント演算器を備えた証明者装置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、を有し、所定の複数の整数が公開された通信
    システムにおいて公開されているとき、 前記証明者装置は前記検証者装置に、所定の複数の秘密
    情報s1 ,…,smが、 F(s1 ,…,sm)≡0 (mod n) かつ H(s1 ,…,sm)≡0 (mod n′) を満たしていることを前記複数の秘密情報s1 ,…,s
    mを明かすことなく認証させる際に、請求項3乃至5
    記載の合同多項式認証方法の少なくとも1つと請求項6
    の合同多項式認証方法を組み合わせて用いることを特徴
    とする合同多項式認証方法。
  10. 【請求項10】 請求項1乃至のいずれか一項に記載
    の秘密情報認証方法を、 乱数を生成する第1の乱数生成器、所定の四則演算を行
    う四則演算器、および所定のコミットメント演算を行う
    コミットメント演算器を備えた証明者装置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、 を有し、所定の複数の整数が公開された通信システムに
    実行させるための秘密情報認証プログラムを記録したこ
    とを特徴とする記録媒体。
  11. 【請求項11】 請求項3乃至9のいずれか一項に記載
    の合同多項式認証方法を、 乱数を生成する第1の乱数生成器、所定の四則演算を行
    う四則演算器、および所定のコミットメント演算を行う
    コミットメント演算器を備えた証明者装置と、 前記コミットメント演算器と通信回線を介して接続さ
    れ、乱数を生成する第2の乱数生成器および前記証明者
    装置から受信した情報の検証を行う検証器を備えた検証
    者装置と、 を有し、所定の複数の整数が公開された通信システムに
    実行させるための合同多項式認証プログラムを記録した
    ことを特徴とする記録媒体。
JP04845398A 1998-02-27 1998-02-27 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体 Expired - Fee Related JP3484069B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP04845398A JP3484069B2 (ja) 1998-02-27 1998-02-27 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP04845398A JP3484069B2 (ja) 1998-02-27 1998-02-27 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2001402007A Division JP2002232416A (ja) 2001-12-28 2001-12-28 鍵寄託暗号方法及び鍵寄託暗号プログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JPH11249560A JPH11249560A (ja) 1999-09-17
JP3484069B2 true JP3484069B2 (ja) 2004-01-06

Family

ID=12803779

Family Applications (1)

Application Number Title Priority Date Filing Date
JP04845398A Expired - Fee Related JP3484069B2 (ja) 1998-02-27 1998-02-27 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP3484069B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1858194A4 (en) 2005-02-28 2013-10-30 Nec Corp SHUFFLE DECLARATION VALIDITY VERIFICATION DEVICE AND METHODS, SHUFFLE DECISION VALIDATION DEVICE AND METHOD, PROGRAM AND RECORDING MEDIUM
JP5736816B2 (ja) * 2010-05-31 2015-06-17 ソニー株式会社 認証装置、認証方法、プログラム、及び署名生成装置
KR20120039133A (ko) 2010-10-15 2012-04-25 삼성전자주식회사 인증정보를 생성하고 인증정보를 증명하는 장치 및 방법
JP7222436B2 (ja) 2019-12-18 2023-02-15 富士通株式会社 保証制御方法、情報処理装置および保証制御プログラム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Gradual and Verifiable Release of a Secret, Lecture Notes in Computer Science, Vol.293,p.156−166
Practical and Provably Secure Release of a Secret and Exchange of Signatures,Lecture Notes in Computer Science, Vol.765,p.200−217
委託された秘匿情報間の合同多項式関係を保証する実用的な統計的零知識プロトコル,電子情報通信学会技術研究報告,Vol.97, No.182,p.53−64

Also Published As

Publication number Publication date
JPH11249560A (ja) 1999-09-17

Similar Documents

Publication Publication Date Title
Pieprzyk et al. Fundamentals of computer security
Li et al. Universal accumulators with efficient nonmembership proofs
EP0786178B1 (en) Secret-key certificates
JP5205398B2 (ja) 鍵認証方式
Chen A DAA scheme requiring less TPM resources
CN1937496A (zh) 可延展伪名证书系统和方法
EP2792098B1 (en) Group encryption methods and devices
EP2686978B1 (en) Keyed pv signatures
Chia et al. Digital signature schemes with strong existential unforgeability
Kiayias et al. Concurrent blind signatures without random oracles
JP4973193B2 (ja) 制限付ブラインド署名システム
Goldwasser et al. Proof of plaintext knowledge for the Ajtai-Dwork cryptosystem
Hanzlik et al. Non-interactive blind signatures from RSA assumption and more
JP3513324B2 (ja) ディジタル署名処理方法
JP3484069B2 (ja) 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体
Lin et al. Efficient proxy signcryption scheme with provable CCA and CMA security
US20250125972A1 (en) Generating digital signatures
RU2452111C1 (ru) Способ пороговой генерации ключей для системы защиты информации на основе идентификационных данных
Hwang et al. Confidential deniable authentication using promised signcryption
Bultel et al. Improving the efficiency of report and trace ring signatures
Shao et al. Certificate‐based verifiably encrypted RSA signatures
Goswami et al. Digital Signatures
Lee Cryptanalysis of Zhu et al.’s identity-based encryption with equality test without random oracles
Liu et al. Generic Construction of Withdrawable Signature from Hash-Then-One-Way Signature
JP2002232416A (ja) 鍵寄託暗号方法及び鍵寄託暗号プログラムを記録した記録媒体

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071017

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081017

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091017

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees