JP3540477B2 - 署名方式 - Google Patents

署名方式 Download PDF

Info

Publication number
JP3540477B2
JP3540477B2 JP32490895A JP32490895A JP3540477B2 JP 3540477 B2 JP3540477 B2 JP 3540477B2 JP 32490895 A JP32490895 A JP 32490895A JP 32490895 A JP32490895 A JP 32490895A JP 3540477 B2 JP3540477 B2 JP 3540477B2
Authority
JP
Japan
Prior art keywords
function
message
signature
generating
twenty
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP32490895A
Other languages
English (en)
Other versions
JPH09160492A (ja
Inventor
充子 宮地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP32490895A priority Critical patent/JP3540477B2/ja
Publication of JPH09160492A publication Critical patent/JPH09160492A/ja
Application granted granted Critical
Publication of JP3540477B2 publication Critical patent/JP3540477B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、情報の通信保持技術に関し、特に、離散対数問題を安全性の根拠として用いるデジタル署名技術に関する。
【0002】
【従来の技術】
(発明の技術的背景)
本願発明に直接関係する技術は、我国では未だ必ずしも一般に周知とは言いがたいので、まず、間接的に関係する技術も含めて公開ディジタル通信網を使用した暗号通信技術を広く一般的に説明する。なお、この秘密通信方式等の一般技術については、わが国では、学術書としては池野信一、小山謙二著「現代暗号理論」 電子通信学会発行 1986年、一般向けとしては、一松 信著「暗号の数理」 講談社刊1980年に詳しい。
【0003】
近年、一般に公開されたディジタル通信回線網を使用して相互に通信を行ったり、有料で放送番組を提供したりすることがさかんになってきている。ところで、一般に公開された通信回線網を使用する場合、第三者による盗聴や詐称、あるいは送信者による送信先の間違いを完全に防止することは困難である。このため、秘密通信方式並びに署名及び認証方式と呼ばれる通信方式が重要なものとなっている。ここに、秘密通信方式とは、特定の通信相手以外に通信内容を漏らすことなく通信を行う方式である。また署名及び認証通信方式とは、通信相手に通信内容の正当性を示したり、本人であることを証明する通信方式である。さて、この秘密通信及び署名、認証通信の方式には、公開鍵暗号とよばれる数値を利用した方式がある。そして、この公開鍵暗号による方式は、NTT等の公開ディジタル通信網により、国内外の多数の相手と通信を行う等のごとく通信相手が多数、しかも通信者が相互に暗号技術について本来的に素人であるとき、通信相手ごとに異なる暗号鍵を容易に管理するための方式であり、現在では多数の通信相手と通信を行うのに不可欠な基盤技術とされている。
【0004】
以下、この暗号通信技術の基本的原理と手順と特徴を2、3簡単に説明する。
(1)有限体上の離散対数問題を使用した秘密通信方式。
なお、これはニイルコブリッツ著 ”ア コウス イン ナンバア セオリイアンド クリプトグラヒイ”(Neal koblitz, " A Course in Number Theory and Cryptography ",Springer-Verlag,1987)に詳しく述べられている。
(原理)
pを素数、gをその一の原始根、uを任意の自然数、αをgのu乗のpを法とする剰余とする。すなわち、gu ≡α(mod p)とする。この場合、gとpとuを与えられたときにαを求めるのは容易である。しかし、pが140桁程度の素数となると、大型計算機の発達した今日でも、gとpとαからuを求めるのは困難である。これは丁度、2つの素数rとsがあるときrとsからその積を求めるのは容易であるが、rとsが各140桁程度となれば、積は280桁となるため、これから素因数分解によりrとsを求めるのは困難なことに似る。
(2)楕円曲線上の離散対数問題を使用した秘密通信方式。
【0005】
しかしながら、近年の大型計算機の発達を背景にして、数学の理論(類体論の高次相互律、分解法則等)を使用して、gとpとαとから比較的少ない計算量でuを求める方法が種々開発されつつある。
その対策の一としては、素数pを140桁程度のものでなく200桁等充分に大きいものとすることがあげられる。ただし、この場合には、桁数が大きいだけに、送受信に際して必要な計算の絶対量が多くなる等の不都合が生じえる。
【0006】
これらのため、楕円曲線を使用した秘密通信方式が開発された。
(原理)
次にE{GF(q)}の性質、すなわち秘密通信の根拠の原理について説明する。
E{GF(q)}の位数が大きな素数で割れる元BPをベースポイント、dは任意の自然数とする。このとき、BPとdとからd・BPを計算する(BPをd回加える)のは容易である。しかし、E{GF(q)}の与えられた元QとBPに対して、
Q=d・BP
となる自然数dが存在するならばdを求めよという問題は、計算機の発達した今日でもBPやq等が30桁程度の自然数となるならば困難である。なお、ここにBPは、pを法とする有限体GF(p)上でのgに相当する役を担うものである。
【0007】
以上で、暗号通信の一般技術の概略説明は終了する。
(3)署名、認証通信
次に、本願発明に関係する技術たる署名、認証通信について説明する。
有限体上の離散対数問題におけるユーザUとユーザVの共有鍵kuvを使用しての秘密通信を例にとるならば、ユーザUあるいはユーザVにとって、一番最初に確かに相手がユーザVあるいはユーザUであることを認証すること、すなわち第三者による詐称を排除する必要がある。
【0008】
この場合、ユーザUとユーザVとが面談、書留め郵便等により直接確認する手段もあるが、国際間はもとより国内の通信においても煩雑となる。この解決手段として、通信網による公開された数値情報を利用して署名、認署を行う技術が開発されている。
以下この技術について、2、3紹介する。
(通信網提供者による署名認署)
最初、システム初期設定として、通信網提供者が、その秘密鍵Xと、端末の秘密鍵を生成するためのある秘密鍵生成関数Sを保有し、端末の公開鍵を生成するための所定の公開鍵生成関数Pと、所定の一方向性関数Fと、秘密鍵Xを一方向性関数Fに入力したときの出力値Y=F(X)とを端末情報発行センターの公開情報として公開ディジタル通信網を使用する各ユーザに通知する。
【0009】
次に、送信に際して、送信者の正当性の証明を欲するユーザUが、その端末固有の識別情報IDu と、自分で作成した秘密鍵をもとに作成した公開値をセンターに通知し、その登録を請求する。なお、秘密鍵xと公開値との間には、x=S(x,y,k,IDu )の関係がある。ここに、y=F(k)、またkは乱数値である。
【0010】
ユーザUからの請求を受けた通信網提供者が、ユーザUの公開値yu を他のユーザに公開する。
すなわち、ユーザUは、検証用公開鍵として、その秘密鍵xを前記一方向性関数Fに入力したときの出力値yu =F(x)を生成し、送信相手となるユーザVに対して、自分の公開情報として、その公開値yと識別情報IDuとyu を、公開ディジタル通信網を介して転送する。
【0011】
ユーザVは、ユーザUからその端末公開情報の転送を受けると、ユーザUの公開鍵として、網提供者の公開情報Yと、ユーザUの公開値yと、その識別情報IDuとを公開鍵生成関数Pに入力したときの出力値C=P(Y,y,IDu)を生成する
この上で、生成されたユーザUの公開鍵Cと前記検証用公開鍵yu を比較し、一致するか否かを確認する。一致したならば、確かに送信者はユーザUであると認める。
【0012】
これにより、ユーザVは網提供者の発行した公開値Yを使用してユーザUから送信されてきた公開鍵を入手しえ、ひいては確かにユーザUから送られてきたものと認められる。
以上の概略の手順、必要な構成を図2に示す。
なお、認証は必ずしも通信網提供者とは限らないのも勿論である。
【0013】
次に、具体的な関数式、関数値としての各鍵の値等としては、Yは、式Y≡F(X)≡gx (mod p)等が用いられ、
kuは乱数発生機により計算され、
Figure 0003540477
等により計算される。なおここに、オイラーの関数ψとは、整数である変数の値より小さいかつその変数と互に素な整数の個数をいい、例えばψ(p)=p−1,ψ(6)=2(注、1と5),ψ(10)=4(注、1、3、7、9)である。また、任意の互に素な2つの整数uとvの間には、u∧ψ(v)−1≡0(mod v)という関係が常に成立する。例えば、3ψ(10)−1=34 −1=80≡0(mod 10)である。また、素数pについては、必ずnp −1≡0(mod P )となり、この対偶として、任意の整数mについて、何か1つの整数nに対してnm −1≡0(mod n)が成立しないならば、mは素数でないことがわかる。
(第3者による署名、認証)
次に、ユーザUとユーザVとの認証に第三のユーザWを介する方式ものもある。この場合には、ユーザUとユーザW、ユーザVとユーザWとは相互に認証が必要であるが、ユーザUとユーザVとの直接の認署は不要となる。そしてこれは、銀行(ユーザWに相当)を介しての金銭取引等で重要である。
【0014】
なお、これら署名、認証の内容、方式については別途本願出願人が、特願平2−324479号「公開鍵生成方法及び装置」等にて開示し、また前掲の現代暗号理論にても種々記載されている周知技術であるため、これ以上の説明は省略する。
(4)メッセージ復元署名
次に、署名、認署についての技術の一として、本願発明に直接関係するメッセージ復元型署名について説明する。
【0015】
1993年にNyberg-Rueppelにより離散対数問題に安全性の根拠をおくメッセージ復元型署名が発表された。以下に離散対数問題を用いたメッセージ復元型署名のひとつについて述べる。これについて詳しくは、Nyberg and Rueppel, "A new signature scheme based on the DSA giving message recovery",1st ACM Conf. on Comp. and Comm. Security, 1993 を参照されたい。
(メッセージ復元型署名の従来例)
図3は、従来技術としての、上記Nyberg-Rueppel方式におけるメッセージ復元型署名の手順及び構成を示すものである。
【0016】
以下、本図を参照しながら従来例の手順を説明する。
(1)センターによる初期設定
p を素数、GF(p) の元をg としその位数をq とする。センターは、システムパラメータとしてp ,q ,g を全ユーザ、すなわち公開ディジタル通信網に接続された全端末に公開する。
(2)ユーザAによる秘密鍵の生成と公開鍵の登録要求の発生。
【0017】
署名通信を希望するユーザAが、その端末情報とを作成し、これを使用してしての秘密鍵と対応する公開鍵も作成し、公開鍵の登録をセンターに要求する。
このためユーザAは、乱数xA を発生させ、これを自分の秘密鍵x A とし、対応する公開鍵をy A ≡gx A (mod P)により求める。更にセンターを経由して、全ユーザにユーザAの公開鍵y A を公開する。
(3)ユーザAによる署名の生成及び送信。
【0018】
ユーザBに署名、認署通信の発信を行うユーザAは、以下の処理を行う。
1.乱数kを生成させる。
2.次いで、以下の演算を行う。なお、ここにmは通信文である。
r1≡g k (mod p)
r2≡m /r1 (mod p)…(a)
r2’≡r2 (mod q)
s ≡k −r2’x A (mod q)…(b) を計算する。
【0019】
3.ユーザAは(r2 ,s)を、ユーザBに送信する。
(4)ユーザBによる受信したメッセージの復元
ユーザBは、以下の式を計算することにより、メッセージm を復元する。
1.g s y A r2' r2≡m (mod p)
ここで、上記r1はコミットメントと呼ばれ、(a) はメッセージマスク式, (b) は署名式と呼ばれる。
【0020】
上記従来例は、従来不可能であった離散対数問題に基づくメッセージ復元型署名を可能にする。また署名式(b) は以下のように6(=3!)種類の式に一般化される。
ak = b + cx A (mod q), (a,b,c)=(1,r2',s)の置換…(b')
【0021】
【発明が解決しようとする課題】
しかしながら、この従来例のメッセージ復元型署名に対しては、式が(a)と(b)が簡単なため変形が容易であり、例えばyA 及ぶgのべき乗並びにmについての掛け算の式が、3変数より2変数の式に置換しえる等のため近年幾つかの攻撃 recovery-equation attack using g and yA, signature-equation attackusing g and yA,and homomorphism attack (各「gとyA を使用した再生攻撃」、「gとyA を使用した署名攻撃」及び「準同型攻撃(選択平文攻撃)」が発表された。これについて詳しくは、宮地 充子、「メッセージ復元型署名の弱点1」、電子情報通信学会、情報セキュリティ研究会、1995, 7月及びNybergand Rueppel, "A new signature scheme based on the DSA giving message recovery", 1st ACM Conf. on Comp. and Comm.Security, 1993及びNyberg andRueppel, "Message recovery for signature schemes based on the discrete logarithm problem", Advances in cryptology-Proceedings of Eurocrypt'94, Lecture Notes in Computer Science, 950(1995), Springer-Varlag, 182-193を参照されたい。なお、参考までにその攻撃の1つを図4に示す。
【0022】
これらに加えて、次に述べる冗長性を利用した攻撃(redundancy attack)が存在する。
署名通信等では、解読の困難性からはp、qは大きい程好ましいが、必要な演算が少なくて済む等の面からは小さい方が好ましい。このかねあいから実際的にはpは512ビット、1024ビット程度の素数が使用されるが、qは160ビット程度の数が使用される。この場合、上記r2 ′≡r2 (mod q)の式では、p以下でr2 ′以外にこの式を充たす数rr2 が存在しうる。本読解はこれを利用したものである。
【0023】
今、偽造者が一つの署名(r2,s)を手にいれたとき、容易にこの署名文mが復元できるが、このとき
rr2=r2'+q (mod p) (ここに、rr2 とはr2 の偽を意味する。)
mm=rr2×(m/r2) (ここに、mmとは、mの偽を意味する)
を計算し、第三者に(rr2,s) を送信する。これを受け取った第三者は、Aの公開鍵を用いて従来例に示した復元方法でmmを復元し、Aから送られたと思ってしまう。この結果、偽造者はAになりすますことができる。
【0024】
参考までに、この攻撃の概要を図5に示す。なお、本図の「チルダー」は偽造者が署名を生成することを意味する。
これら6つの攻撃により、上記従来例のメッセージ復元型署名方式は、署名式の形によらず、ある文の署名の偽造が一組の文と署名のペアを得るだけで可能になり、安全な方式とはいえなくなった。
【0025】
そして、これらのことは、楕円曲線を使用した場合にもあてはまる。
以上説明してきたように最近になってメッセージ復元型署名は、その解読方法が考案され、このためこの署名は安全でないことがわかった。この解読方法は従来の署名(メッセージを復元できない署名)には適応できないことがわかっている。しかし、メッセージ復元性は有用な性質であり、この性質を保持しつつ解読が回避できることが望ましいといって、あまり複雑な署名式、メッセージマスク式を採用したりするのは、必要な計算量の減少を図るという面から好ましくない。
【0026】
本発明は、この従来例における問題点を鑑みてなされたもので、メッセージ復元性を保ちながら、提案された各種の解読に対して強い、しかも必要な計算量の少ないメッセージ復元型署名方式を提供することを目的とする。
【0027】
【課題を解決するための手段】
本発明における署名方式は、p を素数とし、有限体GF(p) の元をg とし、その位数をq とし、GF(p) 上定義される署名方式において、署名者A の秘密鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、コミットメントr1=g kとし、r1' ≡r1 (mod q), m' ≡m (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (mod q) からs が計算できるように構成している。これにより、各種の攻撃を回避する。
【0028】
また、本発明におけるメッセージ復元を可能にするメッセージマスク式を使用したメッセージ復元型署名方式は、メッセージマスク式として、p を素数とし、有限体GF(p) の元をg とし、その位数をq とし、GF(p) 上定義される署名方式において、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、r1≡ gk (mod p )を署名生成処理におけるコミットメントとし、GF(p) ×GF(p) からGF(p) への写像をf とするとき、r1とm をf により変換したf(r1,m)を用いる。これにより、各種の攻撃を回避する。
【0029】
また、本発明における署名方式、メッセージ復元型署名方式は、EG(pr ),E(GF(p))、E(GF(pr )上でもなされる。
【0030】
【発明の実施の形態】
従来技術で記載した目的を達成するため、発明では、特にGF(p) 上のメッセージ復元型署名において、p を素数とし、有限体GF(p) の元をg とし、その位数をq とし、GF(p) 上定義される署名方式において、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、r1= gk を署名生成処理におけるコミットメントとし、GF(p) ×GF(p) からGF(p) への写像をf とするとき、r1とm をf により変換したf(r1,m)を用いて署名生成処理におけるメッセージ復元を可能にすることを特徴としている。
【0031】
発明では、特にGF(pr ) 上のメッセージ復元型署名において、p を素数とし、r を正整数とし、有限体GF(pr ) の元をg とし,その位数をq とし、GF(pr ) 上定義される署名方式において、署名したい文をm ∈GF(p r) とするとき、k を署名者が任意にとる乱数とし,r1=g k をコミットメントとし、GF(p r) ×GF(p r) からGF(p r) への写像をf1とし,GF(p r) から有限環Z pr={0,1,…,pr-1 }への写像をπとするとき、r1とm をf1により変換し,この値を更にπを用いて変換したπ(f1(r1,m)) を用いて署名生成処理におけるメッセージ復元を可能にすることを特徴としている。
【0032】
発明では、特にGF(p) 上のメッセージ復元型署名において、p を素数とし、有限体GF(p) 上定義された楕円曲線をE とし、E(GF(p))の元をG とし、その位数をq とし、E(GF(p))上定義される署名方式において、署名したい文をm∈GF(p) とするとき、k を署名者が任意にとる乱数とし、R1=kG=(rx , ry) をコミットメントとし、E(GF(p))×GF(p) からGF(p) への写像をFとするとき、R1とm をにF より変換したF(R1,m)を用いて署名生成処理におけるメッセージ復元を可能にすることを特徴としている。
【0033】
発明では、特にE(GF(pr ))上のメッセージ復元型署名において、pを素数とし、r を正整数とし、有限体GF(pr ) 上定義された楕円曲線をE とし、E(GF(pr ))の元をG とし、その位数をq とし、E(GF(pr ))上定義される署名方式において、署名したい文をm ∈GF(pr ) とするとき、k を署名者が任意にとる乱数とし、R1=kG=(rx, ry ) をコミットメントとし、E(GF(pr ))×GF(pr ) からGF(pr ) への写像をF1とするとし、GF(pr ) から有限環Z prへの写像をπとするとき、R1とm をF1により変換し、この値を更にπを用いて変換したπ(F1(R1,m)) を用いて署名生成処理におけるメッセージ復元を可能にすることを特徴としている。
【0034】
発明では、特にメッセージ復元型署名の上のrecovery-equation 攻撃を回避するため、写像f は、GF(p) ∋g, yA 及び m, 並びにZq= {0,1,…,q-1}∋t, j及びe に対し、f(g t y A j , my A e )及びf(g t y A j , mge ) において、3変数t,j,e が2個の代数式で非置換である(置き換えられない)ことを特徴としている。
【0035】
発明では、特にメッセージ復元型署名の上のrecovery-equation 攻撃を回避するため、写像f は、GF(pr ) ∋g, yA 及びm 並びにZ q = {0,1,…,q-1}∋t, j及びe に対し、f1(gt y A j ,my A e ) 及びf1(gt y A j , mge ) において、3変数t,j,e が2個の代数式で非置換である(置き換えられない)ことを特徴としている。
【0036】
発明では、特にメッセージ復元型署名の上のrecovery-equation 攻撃を回避するため、写像F は、E(GF(p))∋G 及びY A , GF(p)∋m 並びにZ q ={0,1,…,q-1}∋t, j及びe に対し、F(tG+jY A , m ×x(eYA ))及びf(tG+jy A, m ×x(eG))において、3変数t,j,e が2個の代数式で非置換(置き換えられないことを特徴としている。
【0037】
発明では、特に特にメッセージ復元型署名の上のrecovery-equation 攻撃を回避するため、写像F1は、E(GF(pr ))∋G 及びY A , GF(pr ) ∋m 並びにZ q = {0,1,…,q-1}∋t, j及びe に対し、f(tG+jY A , m ×x(eYA ))及びf(tG+jY A , m ×x(eG))において、3変数t,j,e が2個の代数式で非置換である(置き換えられない)ことを特徴としている。
【0038】
発明では、特に特にメッセージ復元型署名の上のhomomorphism攻撃を回避するため、写像f は、GF(p) ∋r1, r2, m, g及びy A に対し、r2=f(r1,m)の逆像をm=f -1(r1,r2) で定義するとき、任意の2変数関数φ,ψに対してf -1(r1/g, r2)≠φ(m,g) 及びf -1(r1/y A , r2) ≠ψ(m,yA ) となることを特徴としている。
【0039】
発明では、特に特にメッセージ復元型署名の上のhomomorphism攻撃を回避するため、写像f1は、GF(pr ) ∋r1, r2, m, g及びy A に対し、r2=f1(r1,m) の逆像をm=f1 -1(r1,r2) で定義するとき、任意の2変数関数φ,ψに対してf1 -1(r1/g, r2) ≠φ(m,g) 及びf1 -1(r1/y A , r2) ≠ψ(m,yA ) となることを特徴としている。
【0040】
発明では、特に特にメッセージ復元型署名の上のhomomorphism攻撃を回避するため、写像F は、E(GF(p))∋R1, Y A 及びG 並びにGF(p) ∋ m及びr2に対し、r2=f(R1,m)の逆像をm=f -1(R1,r2) で定義するとき、任意の2変数関数φ,ψに対してf -1(R1-G, r2)≠φ(m,G) 及びf -1(R1-Y A , r2) ≠ψ(m,YA) となることを特徴としている。
【0041】
発明では、特に特にメッセージ復元型署名の上のhomomorphism攻撃を回避するため、写像F1は、E(GF(pr ))∋R1, Y A 及びG 並びにGF(pr ) ∋ m及びr2に対し、r2=f(R1,m)の逆像をm=f -1(R1,r2)で定義するとき、任意の2変数関数φ,ψに対してf -1(R1-G, r2)≠φ(m,G) 及びf -1(R1-Y A , r2) ≠ψ(m,YA ) となることを特徴としている。
【0042】
発明では、特にメッセージ復元型署名の上のrecovery-equation,homomorphism攻撃を回避するため、写像f は、(r,y)→r +y(GF(p) 上の加算)で定義されることを特徴としている。
発明では、特にメッセージ復元型署名の上のrecovery-equation,homomorphism攻撃を回避するため、写像f1は、(r,y)→r +y(GF(pr ) 上の加算) で定義されることを特徴としている。
【0043】
発明では、特にメッセージ復元型署名の上のrecovery-equation,homomorphism攻撃を回避するため、写像F は、楕円曲線のx座標関数を用いて、(R,y)→x(R)+y(GF(p) 上の加算) で定義されることを特徴としている。
発明では、特にメッセージ復元型署名の上のrecovery-equation,homomorphism攻撃を回避するため、写像F1は、楕円曲線のx座標関数を用いて、(R,y)→x(R)+y(GF(pr ) 上の加算) で定義されることを特徴としている。
【0044】
発明では、特にメッセージ復元型署名の上のrecovery-equation,homomorphism攻撃を回避するため、写像πは、{α1 ,α2 ,…,αr }をGF(pr ) のGF(p) 上の基底とするとき、GF(pr)の元x=x1α1 +…+x r αr ( x1,…,xr ∈GF(p))に対して、π( x) =x1+x2p+ …+xr p r-1 で定義されることを特徴としている。
【0045】
発明では、GF(p) 上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、有限体GF(p) の元をg とし、その位数をq とし、GF(p)上定義される署名方式において、署名者A の秘密鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、r2をコミットメントr1=gk とm により計算されるGF(p) の元とし、r2' ≡r2 (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod q) からsが計算できるように構成することを特徴としている。
【0046】
発明では、特にGF(pr ) 上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、r を正整数とし、有限体GF(pr ) の元をg とし、その位数をq とし、GF(pr ) 上定義される署名方式において、署名者A の秘密鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈GF(pr ) とするとき、k を署名者が任意にとる乱数とし、r2をコミットメントr1=g kとm により計算される有限環Z prの元とし、r2' ≡r2 (mod q) とし、ha, hb, hcを有限環Z q ×Z q×Z q からZ q への写像とするとき、署名式を、ha(r2',s,1)k ≡ hb(r2',s,1)+ hc(r2',s,1)x A (mod q)からs が計算できるように構成することを特徴としている。
【0047】
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、有限体GF(p) 上定義された楕円曲線をE とし、E(GF(p))の元をG とし、その位数をq とし、E(GF(p))上定義される署名方式において、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、r2をコミットメントR1=kG とm により計算されるGF(p) の元とし、r2' ≡r2 (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r2',s,1)k ≡ hb(r 2,s,1) + hc(r2',s,1)x A (mod q) からsが計算できるように構成することを特徴としている。
【0048】
発明では、特にE(GF(pr ) 上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、r を正整数とし、有限体GF(pr ) 上定義された楕円曲線をE とし、E(GF(pr ))の元をG とし、その位数をq とし、E(GF(pr ))上定義される署名方式において、署名したい文をm ∈GF(pr)とするとき、k を署名者が任意にとる乱数とし、r2をコミットメントR1=kG とm により計算される有限環Z prの元とし、r2' ≡r2 (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Zq からZ q への写像とするとき、署名式を、ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod q) からs が計算できるように構成することを特徴としている。
【0049】
発明では、特にメッセージ復元型署名の上のsignature-euqaion攻撃を回避するため、写像ha,hb, hc は、r2',s をZ q の元とするとき、予め固定された少数値を除く任意のZ q の元rr2', ssに対して、次の二つの条件1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',ss,1) のときhb(r2',s,1)-ha(r2',s,1) ≠hb(rr2',ss,1)2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',ss,1)のときhc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1) を満足することを特徴としている。
【0050】
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像ha,hb,hcは、ha(r2',s,1)=r2', hc(r2',s,1)=sとし、hb(r2',s,1) は、r2'=rr2', s=ssのとき、hb(r2',s,1)=hb(rr2',ss,1) 、r2'=rr2', hb(r2',s,1)=hb(rr2',ss,1) のとき、s=ss、hb(0, 0, 1) ≠0,を満たすことを特徴としている。
【0051】
発明では、特にメッセージ復元型署名の上のsignature-equation, 比例攻撃を回避するため、写像ha,hb,hcは、ha(r2',s,1)=s, hc(r2',s,1)=r2'とし、hb(r2',s,1) は、s=ss, r2'=rr2', のとき、hb(r2',s,1)=hb(rr2',ss,1)、s=ss, hb(r2',s,1)=hb(rr2',ss,1) のとき、r2'=rr2'、hb(0, 0, 1) ≠0 を満たすことを特徴としている。
【0052】
発明では、特にメッセージ復元型署名の上のsignature-equation, 比例攻撃を回避するため、写像ha,hb,hcは、ha(r2',s,1)=s, hb(r2',s,1)=r2'とし、hc(r2',s,1) は、r2'=rr2', s=ssのとき、hc(r2',s,1)=hc(rr2',ss,1) 、s=ss, hc(r2',s,1)=hc(rr2',ss,1) のとき、r2'=rr2'hc(0, 0, 1) ≠0 を満たすことを特徴としている。
【0053】
の発明では、特にメッセージ復元型署名の上のsignature-equation, 比例攻撃を回避するため、写像ha,hb,hcは、ha(r2',s,1)=r2', hb(r2',s,1)=sとし、hc(r2',s,1) は、r2'=rr2', s=ssのとき、hc(r2',s,1)=hc(rr2',ss,1) 、r2'=rr2', hc(r2',s,1)=hc(rr2',ss,1) のとき、s=ss、hc(0, 0, 1) ≠0 を満たすことを特徴としている。
【0054】
発明では、特にメッセージ復元型署名の上のsignature-equation, 比例攻撃を回避するため、写像ha,hb,hcは、hc(r2',s,1)=s, hb(r2',s,1)=r2'とし、ha(r2',s,1) は、r2'=rr2', ha(r2',s,1)=ha(rr2',ss,1) のとき、s=ss、s=ss, ha(r2',s,1)=ha(rr2',ss,1) のとき、r2'=rr2'、ha(0,0,1) ≠0 を満たすことを特徴としている。
【0055】
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像ha,hb,hcは、hc(r2',s,1)=r2', hb(r2',s,1)=sとし、ha(r2',s,1) は、r2'=rr2', ha(r2',s,1)=ha(rr2',ss,1) のとき、s=ss、s=ss, ha(r2',s,1)=ha(rr2',ss,1)のとき、r2'=rr2'、ha(0,0,1) ≠0 を満たすことを特徴としている。
【0056】
発明では、特にメッセージ復元型署名のsignature-equation、比例攻撃を回避するため、写像hb(r2',s,1) は、hb(r2',s,1)=r2' +s +1 で定義されることを特徴としている。
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像hb(r2',s,1) は、hb(r2',s,1)=r2' ×s +1 で定義されることを特徴としている。
【0057】
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像hc(r2',s,1) は、hc(r2',s,1)=r2' +s +1 で定義されることを特徴としている。
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像hc(r2',s,1) は、hc(r2',s,1)=r2' ×s +1 で定義されることを特徴としている。
【0058】
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像ha(r2',s,1) は、ha(r2',s,1)=0 となる解(r2',s) が有限時間(ビットデータの多項式、すなわち非指数時間)で確定できることを特徴としている。
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、乱数k を、メッセージマスク式で計算されるr2と署名式で計算されるs に対して、ha(r2',s,1) ≠0 であるように取ってくることを特徴としている。
【0059】
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像ha(r2',s,1) は、ha(r2',s,1)=r2'+s+1 であることを特徴としている。
発明では、特にメッセージ復元型署名の上のsignature-equation、比例攻撃を回避するため、写像ha(r2',s,1) は、ha(r2',s,1)=r2' ×s +1 であることを特徴としている。
【0060】
発明では、特にGF(p) 上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、q を(P/4)<qとなる正整数とし、有限体GF(p) の位数がq となる元をg とし、GF(p) 上定義される署名方式において、署名したい文をm ∈GF(p) とするとき、乱数k を、コミットメントr1=g k とm により構成されるGF(p) の元r2が、0<r2<q となるようにとり、上記範囲を限定されたr2を署名式に用いることを特徴としている。
【0061】
発明では、特にGF(pr ) 上のメッセージ復元型署名の上の攻撃を回避するため、 pを素数とし、r を正整数とし、q を(P/4)<qとなる正整数とし、有限体GF(pr ) の位数がq となる元をg とし、GF(pr ) 上定義される署名方式において、署名したい文をm ∈GF(pr ) とするとき、乱数k を、コミットメントr1=g k とm により構成されるZ pr= {0,1,…,pr-1 }の元r2が、0<r2<q となるようにとり、上記範囲を限定されたr2を署名式に用いることを特徴としている。
【0062】
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、有限体GF(p) 上定義された楕円曲線をE とし、E(GF(p))の元をG とし、その位数をq とし、E(GF(p))上定義される署名方式において、署名したい文をm ∈GF(p) とするとき、乱数k を、コミットメントr1=g kとm により構成されるGF(p) の元r2が、0<r2<q となるようにとり、上記範囲を限定されたr2を署名式に用いることを特徴としている。
【0063】
発明では、特にGF(pr ) 上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、r を正整数とし、有限体GF(pr ) 上定義された楕円曲線をE とし、E(GF(pr ))の元をG とし、その位数をq とし、E(GF(pr ))上定義される署名方式において、署名したい文をm ∈GF(pr ) とするとき、乱数k を、コミットメントr1=g k とm により構成されるZ pr= {0,1,…,pr-1 }の元r2が、0<r2<q となるようにとり、上記範囲を限定されたr2を署名式に用いることを特徴としている。
【0064】
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、楕円曲線E は、元の個数がp となるGF(p) 上の楕円曲線を用いることを特徴としている
発明では、特にメッセージ復元型署名の上の攻撃を回避するため、署名したい文m に対し、m のハッシュ関数値hash(m) をm の代わりに用いることを特徴としている。
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、有限体GF(p) の元をg とし、その位数をq とし、GF(p) 上定義される署名方式において、署名者A の秘密鍵をx A 、公開鍵をy A=gxAとし、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、コミットメントr1=g kとし、r1' ≡r1 (mod q), m' ≡m (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (mod q) からs が計算できるように構成することを特徴としている。
【0065】
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、r を正整数とし、有限体GF(pr ) の元をg とし、その位数をq とし、GF(pr ) 上定義される署名方式において、署名者A の秘密鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈GF(pr ) とするとき、k を署名者が任意にとる乱数とし、コミットメントr1=g kとし、GF(pr ) から有限環Z prへの写像をπとするとき、r1' ≡π(r1) (mod q), m' ≡π(m) (mod q)とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (mod q) からs が計算できるように構成することを特徴としている。
【0066】
本発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、有限体GF(p) 上定義された楕円曲線をE とし、E(GF(p))の元をG とし、その位数をq とし、E(GF(p))上定義される署名方式において、署名したい文をm ∈GF(p) とするとき、k を署名者が任意にとる乱数とし、コミットメントR1=kG とし、E(GF(p))からGF(p) への写像をρとするとき、r1' ≡ρ(R1) (mod q), m' ≡m (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (mod q) からs が計算できるように構成することを特徴としている。
【0067】
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、p を素数とし、r を正整数とし、有限体GF(pr ) 上定義された楕円曲線をE とし、E(GF(pr ))の元をG とし、その位数をq とし、E(GF(pr ))上定義される署名方式において、署名したい文をm ∈GF(pr ) とするとき、k を署名者が任意にとる乱数とし、コミットメントR1=kG とし、E(GF(pr ))からGF(pr )への写像をρとするとし、GF(pr ) から有限環Z pr= {0,1,…,pr-1 }への写像をπとするとき、r1' ≡π( ρ(R1)) (mod q), m' ≡π(m) (mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (mod q) からs が計算できるように構成することを特徴としている。
【0068】
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、写像ρは、楕円曲線のx座標若しくはy座標関数を用いて、R →x(R)若しくはR→y(R)で定義されることを特徴としている。
発明では、特にE(GF(p))上のメッセージ復元型署名の上の攻撃を回避するため、写像πは、{α1 ,α2 ,…,αr }をGF(pr ) のGF(p) 上の基底とするとき、GF(pr ) の元x=x1α1 +…+x r αr ( x1 ,…,xr ∈GF(p))に対して、π( x) =x1+x2p+ …+xr p r-1 で定義されることを特徴としている。

【0069】
【実施例】
(第1実施例)
以下、本発明を実施例に基づいて説明する。
以下、本発明の第1実施例を、図を参照しつつ説明する。
まず、公開ディジタル通信網全体の構成について説明する。
【0070】
図6は、本発明が実施される公開ディジタル通信網全体の構成図である。
本図において、1は通信網提供者である。2は、公開ディジタル通信回線である。2はディジタル通信回線である。3〜6は、公開ディジタル通信回線2に接続されたユーザ端末(以下、単に「ユーザ」と言う)A、ユーザB、…、ユーザU、ユーザVである。本図に示すように、通信網提供者は、システムパラメータとして、2進数512ビットで表される素数p、
q ≡1(mod p)
となる最小の整数(位数)qが256ビットの整数qである整数g、GF(p)上でf(r1,m)≡r1 +m (mod p)そしてその逆字像f -1がf -1(r1 ,f(r1 ,m))≡m (mod p)を充たすメッセージマスク式f,Zg×Zg×ZgからZgへの写像で、ha(r2 ′,s,1)=s、hb(r2 ′,s,1)≡r2 ′+s+1(mod q )、hc(r2 ′,s,1)r2 ′を充たす関数ha、hb、hcをシステムパラメータと各ユーザに公開している。
【0071】
次に、図6に示す通信網提供者1とユーザ3〜6の構成について説明する。
図7は、通信網提供者1により提供されたICカードやユーザ自身が作成したパソコン用プログラムの要部の構成図である。本図において、11は秘密鍵作成要求受付部である。12は、秘密鍵発生部である。13は、公開鍵作成部である。14は、公開鍵公開部である。15は、秘密鍵通知形態作成部である。16は、秘密鍵通知部である。
【0072】
131は公開鍵作成部13内のgの2n のpを法とする剰余記憶部である。132は、同じく法取り出し部である。133は、同じく乗算部である。134は、同じく割算部である。
以下、上記各部の作用等について説明する。
秘密鍵作成要求受付部11は、各ユーザ3〜6(本図ではユーザA)からの固有の秘密鍵の作成要求を、ユーザのキーボードを使用しての操作等で受け付ける。秘密鍵発生部12は、秘密鍵作成要求受付部11が受け付けた要求をもとに、内蔵する乱数発生プログラムにより2進数の乱数を発生させ、これを当該ユーザの秘密鍵とする。なお、本実施例では、乱数の発生に際しては、同一の乱数発生を万が一にも防止し、併せて整理の都合もあるため当該ユーザの公開ディジタル通信網上での識別番号をも組み込んだものとしている。またこのため、乱数はpと同じく512ビットとしている。公開鍵作成部13は、2進乱数発生部12の発生させた乱数をもとに公開鍵を作成する。なお、この手順は、後で詳しく説明する。
【0073】
公開鍵公開部14は、公開鍵作成部13の作成した公開鍵をその作成要求をなしたユーザ名と共に、全ユーザに公開する。これは、通信網が正当性を承認したユーザ名との公開鍵を対応して登録し、ROM等で発行し、また各ユーザの問い合わせに回答する。秘密鍵通知形態作成部15は、各ユーザの秘密鍵をその操作ミスで外部へ漏出しないよう保護する。秘密鍵通知部16は、秘密鍵を共有鍵の作成等の必要に応じて使用しうるようにする。
【0074】
次に、公開鍵作成部13による公開鍵の作成について説明する。公開鍵作成部13は、gの2n 乗のpを法とする剰余記憶部131と法取り出し部132と、乗算部130と割算部134とを有する。
gの2n のnを法とする剰余記憶部131は、g、g2 、g4 、g8 …等gの2の累べき剰のpを法とする剰余g1 、g2 …、gi をあらかじめ計算して、ROMに記憶している。これを小さい数を例にとって、具体的に示す。p=11、g=2ならば、i=〔log2 11〕=3となり、23 <11となるため、g、g2 、g4 として2、22 、24 を、更に対応するg1 、g2 、g4 として2、4、5を記憶している。法取り出し部132は、秘密鍵発生部12から2進数で表現された秘密鍵の通知を受けると、その値で1が立つ桁に対応するg1 、g2 、…、gi を取り出す。これも、小さい数を例にとって具体的にする。今xa=101(10進の5)とする。1位と3位(各、gの2の0乗と2の2乗)に1が立っている。このためg1 とg4 、すなわち2と5を取り出す。乗算部133は、法取り出し部132の取り出した法を掛け合わせる。割算部134は、乗算部133の乗算結果をnで割り、その剰余を求める。上記具体的数値で示すならば、2xa=25 =2×24 ≡2×5≡10(mod 11) となる。そして、この剰余がユーザAの公開鍵とされる。なお、本実施例でgの累べきを剰を採用しているのは、g3 、g5 等の法を採用するのよりも一般的に処理が速く、演算機等も2進で作動することにあわせたものである。
【0075】
次に、署名付きの送信を行うユーザA側の重要な処理の流れを図8に、重要な構成を図9と図10に示す。
図9において、31はr2 制御部である。32は2進乱数発生部である。33はr1 演算部である。34は、通信文(m)入力部である。35は、f関数部である。36は、q記憶部である。37は、排除部である。また、331は、r1 演算部内のべき剰余記憶部である。また、332は、同じく法取り出し部である。333は、同じく乗算部である。334は、同じく割算部である。351は、f関数部35内の和算部である。352は、同じく、割算部である。371は、排除部37内のq読み出し出力部371である。372は、同じく引き算部である。373は、同じく比較部である。
【0076】
図10において、38はSK部である。381は、SK部38内のk−1演算部である。382は、同じくr2 +1演算部である。383は、同じくr2 A 演算部である。384は、同じくr2 +1+r2 A 演算部である。385は、同じく、S計算部である。
以下、上記各部の作用等について説明する。
【0077】
最初、システムパラメータの入手(a1)と秘密鍵等の作成操作(a2)がなされ、秘密鍵の作成及び公開鍵の登録がなされる(a3)。
2 制御部31は、署名通信発信にあたり、2進乱数発生部32とm入力部34の作用を調整、制御し、後に説明するが、必要な繰り返し処理をも行う。
通信文入力部34は、署名発信のための文、例えば「私は、特発 許明です。電話番号は03─3581─1101。確認願います。」等の文書をユーザにより入力され、これを数値(m)化する(a4)。
【0078】
2進乱数発生部32は、コミットメント作成のため署名発信毎に相異なる乱数を発生をさせる。またこのため、発信日時等も乱数発生に使用される。(a5)r1 演算部33は、発生された2進乱数kをもとにr1 ≡gk (mod p)の演算により、r1 を求める。このため、通信網提供者におけるgの2n のpを法とする剰余記憶部131、法取り出し部132、乗算部133、割算部134と同じ構成作用をなす剰余記憶部331、法取り出し部332、乗算部333、割算部334を有している。(a6)
f関数部35は、r1 演算部33で作成されたr1 と通信文入力部34で数値化された通信文mをもとに、メッセージマスク式fを使用して、r2 ≡f(r1 ,m)(mod p)の演算を行い、r2 を求める。(a7)
このため、(mod p)上でのr2 ≡r1 +mの和算を行う和算部351と、和のpを法とする剰余を求めるためpでの割算を行う割算部352とを内蔵している。
【0079】
q記憶部36は、あらかじめ別途ユーザにより入力されたgをメモリーに記憶している。
排除部37は、f関数部35から入力されたr2 とqとの大小比較を行い(a8)、r2 がq以上となれば、前述の冗長攻撃を回避すべくこの送信を行わず、この旨r2 制御部31に通知する。
【0080】
この通知を受けた、r2 制御部31は、2進乱数発生部32に再度異なる乱数発生をなさしめて(a9)先のr1 と異なるr1 を得、これと通信文入力部34に入力されている通信文mとでf関数を部35にf関数作用させte、先と異なるr2 を求め、更にqとの大小比較を行わしめるというプロセスを、g−r2 が正となるまで繰り返し実行させる。また、q−r2 が正となれば、このr2 をSK部37へ出力する。またこのため、排除部37は、q読み出し部371と引き算部372と比較部373とを内蔵している。q読み出し部371は、r2 の入力があるとq記憶部36からqの値を読み出し、引き算部372に通知する。引き算部372は、通知されたqからr2 の引き算を行う。比較部373は、引き算部372の求めた差が0より小ならばr2 制御部31へこの旨通知するこのため、この値が正となるまで上述の手順を繰り返し実行されることとなる。また、r2 が正ならば、入力されたr2 をそのままSK部へ通知する。
【0081】
SK部38は、署名式sK≡(r2 +s+1)+r2 a (mod p)の演算により、送信対象となるメッセージを作成する(a10)。図14に示すような構成である。そして、内蔵しているk−1演算部381は、2進乱数発生部381にて発生された、そしてそれを使用して計算したr2 の値ががq未満という要件を充たすこととなった乱数kから1を引き去る。なお、この差をaとする。
【0082】
同じく、r2 +1演算部37は、入力されたr2 に1を加える。同じく、r2 a 演算部383は、排除部37から入力されたr2 と図示しない秘密鍵記憶部から入力されたxA との積を求める。
2 +1+r2 A 演算部384は、r2 +1演算部382から入力されたr2 +1とr2 A 演算部383から入力されたr2 A との和を求める。なお、この和をbとする。s計算部385は、k−1演算部381が求めたaとr2 +1+r2 A 演算部384が求めたbとを使用して、s・a≡b (mod q)を充たすsをユークソッドの互除法により求める。そしてこの結果を図示しない送信部へ送る。
【0083】
以上のもとで、署名を求める他のユーザBへ、(r2 ,s)が署名文として送信されることとなる。(a11)
図11は、署名文を受信したユーザ側の重要な処理の流れを示す図であり、図12は構成図である。本図において、41は受信部である。42は、拒絶部である。43は、q記憶部である。44は、ya記憶部である。45は、r2 記憶部である。46は、s記憶部である。47は、g記憶部である。48は、r2 +s+1演算部である。49は、yA 1/S (mod p)演算部である。410は、gS (mod p)演算部である。411は、yA r2/s(mod p)演算部である。412は、g(r2+1+S)/S(mod p)演算部である。413は、r1 ≡g(r2+1+S)/SA r2/S(mod P)演算部である。414は、f-1関数部である。
【0084】
受信部41は、認署を求める他のユーザ、今Aとする、からの送信文(r2 ,S)を受信する(b1)。
拒絶部42は、受信があった場合、r2 −qを計算し(b2)、正なら一応正当なものとして続行する処理を行うべく他部にこの受信文を流すが、正でなければこの署名を拒否する(b3)。またこのため、送信側ユーザと同じくq記憶部43にあらかじめqを記憶している。yA 記憶部44は、通信網提供者より公開されたyA を、あらかじめメモリーに記憶している。
【0085】
g記憶部47も、同じくあらかじめgを記憶している。
2 記憶部45は、拒絶部42が一応認署したr2 を記憶し、s記憶部46は同じくsを記憶する。なお、r2 とsの区分けは、別途定めた通信規約に基づきなされる。r2 +s+1演算部48は、r2 記憶部45とs記憶部46からそれぞれr2 とsを読み出し、和算でr2 +s+1を求める。yA 1/S (mod p)演算部49は、yA 記憶部44からyA を:S記憶部46からsを読み出してyA 1/S (mod p)を演算する。gS (mod p)演算部410は、s記憶部46からsを、g記憶部47からgを読み出して、g1/S (mod p)を演算する。yA r2/S(mod p)演算部411は、r2 記憶部45から読み出したr2 とyA 1/S (mod p)を演算部49から読み出したyA 1/S (mod p)をもとに),(yA 1/S )をr2 乗し、更にそのpを法とする剰余を求める。g(r2+1+S)/S(mod p)演算部412は、r2 +s+1演算部418からr2 +s+1を読み出し、g1/S (mod p)演算部410から読み出したg1/S (mod p)をr2 +s+1乗し、更にこのpを法とする剰余を求める。
【0086】
1 ≡g(r2+1+S)/SA r2/S(mod p)演算部413は、yA r2/S(mod p)演算部411の演算結果とg(r2+1+S)/S(mod p)演算部412の演算結果とから、r1 ≡g(r2+1+S)/SA r2/S(mod p)の演算により、r1 を求める(b4)。
1 関数部414は、関数f-1を使用して演算r2 −r1 を行い、mを求める(b5)。
【0087】
以上の構成により、ユーザBはユーザAの送信文からmを入手するが、この際通信網提供者が公開したyA に相当する秘密鍵xa を知っているのはユーザAのみであり、またこのxa を使用しない限りya を使用しての正しい復号もなしえばい。このため、送信者は、確かにユーザAの署名であると確認する(b6)。次に、以上の説明とかなり重複するが、以上の手順における通信文の処理、各種の数式をもとにしての、式や数値で表現されたデータの変化の様子を中心として、この手順を説明する。
【0088】
図1は、この数値式や面で表現した手順の基本的な構成を示すものである。
以下、本図を参照しながら実施例の手順を説明する。
(1)センターによる初期設定
p を素数とし、GF(p) の元をg としその位数をq とする。ここでp 〜q ととる。
【0089】
GF(p) ×GF(p) からGF(p) への写像f を、
f(r1, m)≡r1+m (mod p)
f の逆写像f を
f -1(r1,f(r1,m))≡ m (mod p)
とし、
Zq×Zq×ZqからZqへの写像 ha ,hb ,hc を、
ha(r2',s,1)=s, hc(r2',s,1)=r2'とし、
hb(r2',s,1) ≡r2' +s +1 (mod q)
で定義する。また署名式を
ha(r2',s,1)k≡ hb(r2',s,1) + hc(r2',s,1)x A (mod q)
で定義する。
【0090】
センターは、システムパラメータとしてp ,q ,g ,f, ha, hb, hc を公開する。
この状態が、図6に示すものである。
(2)ユーザによる署名送信のための秘密鍵の作成及びセンターが認署した公開鍵の登録。
【0091】
ユーザAが、メッセージ復元型署名通信を行うため、その秘密鍵を基に公開鍵を作成し、これを通信網提供者が正しいものとして登録する要求を行う。この要求のため、ユーザAはその端末識別番号を使用して乱数を発生させ、秘密鍵XA を生成する。次いで、その公開値yA ≡gXA (mod p)を生成し、生成した公開値はセンターを通じて各ユーザに通知される。
(3)ユーザAによる署名の生成及び送付
1.2進乱数k を、プログラムにのっとって生成する。
【0092】
2.以下の演算を順に行う。
2-1)r1≡g k (mod p) ,
2-2)r2≡f(r1,m) (mod p) …(c) とする。
2-3) q≦r2の場合、再度上記1に戻り、異なる2進乱数を生成する。
2-4)sk≡(r2+s+1)+r2xa (mod q)…(d) よりs を計算する。
【0093】
3.上記2で生成した(r2 ,s)をユーザBに送信する。
(4)ユーザBによる受信したメッセージの復元
1. q ≦r2ならば、署名を拒絶する。
2. r1≡g (r2+s+1)/sy A r2/s(mod p)を計算し、
f -1(r1,r2) ≡m (mod p)
を計算することにより、メッセージm を復元する。
【0094】
次に、以上の署名の耐攻撃性について説明する。
以上の構成のメッセージ復元型署名の場合、コミットメントr1が従来例の式(a) のように直接平文m に関与するのでなく、写像f を通して関与している。この写像f が
(*)1: GF(p)∋g, yA 及びm 並びにZq= {0,1,…,q-1}∋t, j及びe に対し、f(g t y A j , my A e) 及びf(g t y A j , mge ) において、3変数t,j,e が2個の代数式で非置換である。このため、recovery equation 攻撃を受けない。
【0095】
2: GF(p)∋r1, r2, m, g及びy A に対し、r2=f(r1,m)の逆像をm=f -1(r1,r2) で定義するとき、任意の2変数関数φ,ψに対して
f -1(r1/g, r2)≠φ(m,g) 及びf -1(r1/y A , r2) ≠ψ(m,yA ) となることから、宮地らにより提案された3つの攻撃(recovery-equation attack ,using g and y A , and homomorphism attack)を回避できる。
【0096】
また上記実施例のように構成されたメッセージ復元型署名の場合、従来例の式(b')のように署名式の係数(a,b,c) が(r2',s,1) の置換という形ではなく、写像ha, hb, hcを用いて決定されている。この写像ha, hb, hcが(**)r2',s をZqの元とするとき、予め固定された少数値をのぞく全てのrr2', ssに対して、次の二つの条件
1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',ss,1) のとき
hb(r2',s,1)-ha(r2',s,1)≠hb(rr2',ss,1)
2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',ss,1)のとき
hc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1)
を満たすことから、宮地らにより提案された2つの解読(signature-equation attack using g and yA ) を回避できる。さらにこの署名式は従来から存在する比例関係を用いた解読に対しても、署名式が2項に分解されることがないので強い。
【0097】
なお、従来から存在する比例関係を用いた比例攻撃に付いては、
L.Harn and Y. Xu, "Design of generalised ElGamal type digital signature schemes based on discrete logarithm", Electron. Lett., Vol.30(1994),2025-2026.に詳しい。
また、上記実施例のようにp 〜q ととることにより、r2の値を制限するステップ(署名生成ではステップ2-3,メッセージ復元ではステップ1)を付加することができる。これにより宮地により提案された1つの解読(redundancy attack) を回避できる。更にこの場合、qのpに対する比が従来のごとく2-400と小さくなく、1/3、1/2することにより、再度乱数を発生させ繰り返しての処理を行わねばならない確率も低下しえる。
【0098】
なお、上述の実施例はf をr1+m として行ったが、これは勿論他の写像f で、(*) を満たすものなら何でもよい。またこの際、r1+m のように計算量が小さい写像にすることが望ましい。ha, hb, hcに関しても、上記の性質(**)をもつものなら何でもよい。またこの際、従来から存在する比例関係を用いた解読に対しても強くなるように、さらに計算量が小さい写像にすることが望ましい。
【0099】
また、上記の従来例以外のどんなメッセージ復元型署名にも上記の写像を付加すると同様に解読が回避できる。
また、上記の署名方式は、メッセージmに署名する代わりに、m にISOで定められたRC 4、RC 2等のハッシュ関数を施したハッシュ値に対して署名し、署名をメッセージとともに送り、ハッシュ値が正しく復元されることをチェックすることで署名を確認するという署名方式としても用いることができる。
【0100】
また、上記署名方式は、各ユーザの秘密鍵等は、通信網提供者又はユーザ用の情報発行センターが生成するものとしたが、これは勿論各ユーザが任意にその秘密鍵を選定し、公開値等のみセンターへ登録するようにしてもよい。更に、通信網提供者とユーザ用の情報発行センターが異なってもよい。
また、上記署名方式では、各種演算はGF(p)上でなされるものとしたが、これは勿論GF(pr )上でなされてもよい、この場合には、上記実施例における(mod p )での演算は(mod p r )での演算となり、このため、r1 とmをGF(pr )×GF(pr )からGF(pr )へ字像f1 を用いて変換した後、この値を更にGF(pr )から有限環Zp r ={0,1,…,pr-1 }への変更をなす等の手順が付加される。
【0101】
なお、この写像πは、{α1 ,α2 ,…,αr }をGF(pr)のGF(p)上の基底とするとき、GF(pr )の元x=x1 α1 +…+xr αr (x1 ,x2 ,…,xr ∈GF(p))に対してπ(x)=x1 +x2 p+…+xr r-1 で定義される。この手順を図13に示す。(注、上記実施例はr=1の場合であり、πは恒等写像となり、表面上でてこない。)
(第2実施例)
本実施例は、本発明に係るメッセージ復元型署名方式として、楕円曲線上での演算を行うものである。
【0102】
本実施例も、基本的な構成、原理は先の第1実施例と異ならない。ただし、有限体GF(p)上の離散対数問題の困難性でなく、楕円曲線E(GF(p))上の困難性を利用するため、これに関係する点が異なる。このため、この相違する点を中心に説明する。
ディジタル公開通信網におる通信網提供者1、各ユーザ3〜6の接続状態及び初期設定としてのシステムパラメータの概略の構成を図14に示す。
【0103】
システムパラメータとしてE(GF(p))と、gに換えてのE(GF(p))上の零元と異なる元Gが加えられ、pは10進30桁の素数である。これは、E(GF(p))上の離散対数問題は有限体上でのそれに比較してはるかに困難であることによる。qがないが、これは、Gのの位数は零元を除き常にpであることによる。また、楕円曲線を使用するため、fはx座標関数である。
【0104】
各部の構成であるが、第1実施例では、pを法とするgk の剰余を計算するため通信網提供者1及びユーザ側の剰余記憶部131、231等には、g,g2 ,g4 ,…のpを法とする剰余があらかじめ記憶されていたがこれに換えて、G,2G,4G,…が記憶されているのが大きく異なる。更に、これにあわせて、各種の演算部の乗算も足算を行う点も異なる。
【0105】
図15に、通信網提供者の公開鍵作成部213の内部構成を示す。本図に示すように、剰余記憶部2131は、G,2G,4G,8G…をあらかじめ計算して記憶おり、第1実施例の乗算部13と割算部134に換えて足算部2133を有している。また、これにより、公開鍵として、E(GF(p))上の点YA (=XA G)を計算し、公開する。
【0106】
図16に、署名通信を行うユーザA側の構成を示す。
本図においては、32は2進乱数発生部であり、34は、通信文入力部であり、これらは、先の第1実施例と異ならない。233はR1 演算部であり、2進乱数発生部32で発生させた乱数k回だけ元Gを加えた値kGを求め、その値R1 を出力する。このため、あらかじめ、2G,4G,8Gに対応するG2 ,G4 ,G8 等を記憶している剰余記憶部2331、2進乱数kの1の立つ桁を取り出す法取り出し部2332、取り出した桁に対応する剰余記憶部2331内のG1 (ここにiは2の乗べき)を取り出し、足し算を行う足し算部2383を内蔵している。
【0107】
235は、F関数であり、r2 ≡m/x(R1 )(mod p)の演算によりr2 を求める。ここにx(R1 )はR1 のX座標値である。238は、求められたr2 と上記乱数kをもとに、演算sk≡(r2 +s+1)+r2 A (mod p)よりsを求めるSK部である。このため、k−1(=a)を求めるk−1演算部2381、r2 +1を求めるr2 +1演算部2382、r2 A を求めるr2 A 演算部2383、r2 +1+r2 +xA (=b)を求めるr2 +1+r2 +xA 演算部2384、式s・a≡b(mod p)よりsを求めるs計算部2385を内蔵している。
【0108】
なお、mod演算の法が、qでなくpであるのが第1実施例と大きく異なる。図17は、受信例ユーザの構成図である。本図において、受信部41、r2 記憶部及びs記憶部46は第1実施例のものと異ならない。247は、あらかじめGを記憶しているG記憶部である。244は、YA をあらかじめ記憶しているYA 記憶部である。
【0109】
248は、r2 とsから(r2 +s+1)/sを求める(r2 +s+1)/s演算部である。
249は、r2 /sを求めるr2 /s演算部である。
2411は、E(GF(p))上での演算r2 /sYA を行うr2 /sYA 演算部である。2412は、同じくE(GF(p))上での演算((r2 +s+1)/s)Gを行う((r2 +s+1)/s)G演算部である。2413は、同じく、E(GF(p))上での演算R1 =((r2 +s+1)/s)G+(r2 /s)YA を行ってR1 を求める演算部である。2414は、演算m=x(R1 )r2 (ここに、x(R1 )はE(GF(p))上の元R1 のX座標値)よりmを求めるm演算部である。
【0110】
このため、qとr2 の大小比較を行う構成がないのも第1実施例と異なる。
次に、以上の手順におけるデータそのものの処理、数式、演算を中心とした処理の流れを図18に示す。
(1)センターによる初期設定
10進30桁の素数をpとし、GF(p) 上の元の個数がp となる楕円曲線をE とし、E(GF(p))の元を零元以外の元をG とする。このときその位数はp となる。
【0111】
GF(p) ×GF(p) ×GF(p) からGF(p) への写像ha, hb, hcを、
ha(r2',s,1)=s, hc(r2',s,1)=r2'とし、
hb(r2',s,1) =r2' +s +1 (mod q)
で定義する。また署名式を
ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod q)
で定義する。
【0112】
センターは、システムパラメータとしてp ,E(GF(p)),G, ha, hb, hc を全ユーザに公開する。
なお、かかるE(GF(p))の作成手順は、別途本願出願人が前掲の特願平6−134339号等にて開示している技術であるため、その説明は省略する。
(2)署名送信を欲するユーザAによるそのための秘密鍵の作成及びセンターが認署した公開鍵の登録。
【0113】
ユーザAから、メッセージ復元型署名通信を行うため、その秘密鍵を基に作成した公開鍵を通信網提供者に正しいものとして登録する要求がなされる。このため、ユーザAは、乱数を発生させ、これを自分の秘密鍵をx A とし、対応する公開鍵を楕円曲線E(GF(P))上での演算y A =x A G により求め、これをセンター経由で全ユーザに公開する。
【0114】
併せて秘密鍵xA は、ユーザAが自分のみ秘密に保持するものとする。
(3)ユーザAによる署名の生成
ユーザBに署名発信を行おうとするユーザAは、以下の処理を行う。
1.乱数k を生成する。
2.2進数の乱数kを生成する。なお、この乱数は、各送信毎に異なる値がでるものとされている。
【0115】
2-1)E(GF(p))上で、演算R1=KGにより、R1 を作成する。
2-2)法p上の演算r2≡m /x(R1) (mod p)により、r2 を求める。ここに、X(R1)は、E(GF(p))上の点R1のx座標値である。…(e) とする。
2-3)法p上の演算sk≡(r2 +s +1)+r2x A (mod p)…(f) よりs を計算する。
【0116】
3.(r2 ,s)をユーザBに送信する。
(4)受信したユーザBによるメッセージの復元
1. ユーザAからのメッセージ(r2 ,s)を受信したユーザBは((r2+s+1)/s)G+(r2/s)Y A =R1
をE(GF(p))上で計算し、R1 を求める。
【0117】
2.次いで、m =x(R1)r2 を計算することによりm を得る。
上記実施例のように構成されたメッセージ復元型署名の場合、コミットメントR1が従来例の式(a) のように直接平文m に関与するのでなく、式(e) のようにx座標を通して関与している。すなわち、r2=F(R1,m)=m/x(R1)となる。このF 関数が
(*)1: GF(p)∋g, yA , m, Zq = {0,1,…,q-1}∋t, j, e に対し、
F(tG+jY A , m ×x(eYA ))及びF(tG+jY A , m ×x(eG))において、3変数t,j,e が2個の代数式で非置換(置き換えられ)ない。すなわち、mx(eYA )、mx(eg)の偽造攻撃を受けない。
【0118】
2: E(GF(p)) ∋R1, G, YA , GF(p) ∋r2, m に対し、r2=F(R1,m)の逆像をm=F -1(R1,r2) で定義するとき、任意の2変数関数φ,ψに対してF -1(R1-G, r2) ≠φ(m,G) 及びF-1(R1-YA , r2) ≠ψ(m,YA ) となるを満たすことから、宮地らにより提案された3つの解読(recovery-equation attack using g and yA, and homomorphism attack)を回避できる。
【0119】
また上記実施例のように構成されたメッセージ復元型署名の場合、従来例の式(b')のように署名式の係数(a,b,c) が(r2',s,1) の置換という形ではなく、写像ha, hb, hcを用いて決定されている。この写像ha, hb, hcが(**)r2',s をZ q の元とするとき、予め固定された少数値をのぞく全てのrr2', ssに対して、次の二つの条件
1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',ss,1) のとき
hb(r2',s,1)-ha(r2',s,1)≠hb(rr2',ss,1)
2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',ss,1) のとき
hc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1)
を満たすことから、宮地らにより提案された2つの解読(signature-equation attack using g and yA)を回避できる。さらにこの署名式は従来から存在する比例関係を用いた解読に対しても、署名式が2項に分解されることがないので強い。なお、従来から存在する比例関係を用いた比例攻撃に付いては、
L.Harn and Y. Xu, "Design of generalised ElGamal type digital signature schemes based on discrete logarithm", Electron. Lett., Vol.30(1994),2025-2026.に詳しい。
【0120】
また、上記例のような楕円曲線を用いるとG の位数が定義体GF(p) のp と等しくなるので、実施例1のようにr2の値を制限するステップを付加することなく、宮地により提案された1つの解読(redundancy attack) を回避できる。
また、上述の実施例はx座標を用いたが、これは勿論他の写像で、(*) を満たすものなら何でもよい。この際、例えばy座標のようにx座標と同じように計算量が小さい写像にすることが望ましい。ha, hb, hcに関しても、上記の性質(**)をもつものなら何でもよい。またこの際、従来から存在する比例関係を用いた解読に対しても強くなるように、さらに計算量が小さい写像にすることが望ましい。
【0121】
また、上記実施例では、定義体GF(p) のp とG の位数が等しくなるような楕円曲線を用いたが、通常の楕円曲線を用いてもよい。このときには、第1実施例のようにr2を制限するステップを付加する必要がある。
また、上記の従来例以外のどんなメッセージ復元型署名にも上記の写像を付加すると同様に解読が回避できる。
【0122】
また、第1実施例と同じく、メッセージm に署名する代わりに、m にハッシュ関数を施したハッシュ値に対して署名し、署名をメッセージとともに送り、ハッシュ値が正しく復元されることをチェックすることで署名を確認するという署名方式として用いてのよい。
また、同じく、E(GF(p))でなくE(GF(pr ))で行ってもよい。
【0123】
また、ユーザは、その秘密鍵等の生成を通信網提供者にしてもらうようにしてもよい。これは、適当な乱数生成器がないときに便利である。
以上、本発明を実施例に基づいて説明してきたが、本発明は何も上記実施例に限定されないのは勿論である。
【0124】
【発明の効果】
以上、説明してきたように、本発明は、法をメッセージ復元性を保ちながら、宮地らにより提案されている従来型のメッセージ復元署名に対する6つの解読法を回避することが可能となり、この一方でそのために付加される計算量も無視できる。このため、公開ディジタル通信網において、安全なメッセージ復元型署名方式を提供することが可能となり、その実用的価値は大きい。
【図面の簡単な説明】
【図1】本発明に係るメッセージ復元型署名の第1実施例の、数値や式の変換を中心とした構成、処理を示した図である。
【図2】従来の署名、認署通信の手順の一例である。
【図3】従来のメッセージ復元型署名の構成を示した図である。
【図4】従来の署名、認署通信に対する公開鍵によるrecaovry-equation 攻撃の概略手順を示した図である。
【図5】同じく、redundancy攻撃の概略図である。
【図6】本発明に係るメッセージ復元型署名通信が実施される公開ディジタル通信網の概略構成図である。
【図7】上記実施例における、通信網提供者の要部の構成図である。
【図8】同じく、署名通信を行うユーザAの重要な処理の流れを示した図である。
【図9】同じく、署名通信を行うユーザA側のr2 計算に係る部分の構成図である。
【図10】同じく、ユーザA側のSK部を中心とした構成図である。
【図11】同じく、署名文を受信したユーザBの重要な処理の流れを示した図である。
【図12】同じく、署名文を受信したユーザB側の要部の構成図である。
【図13】第1実施例の変形例として、GF(p)でなくGF(pr )を使用した場合の、関数πによるGF(pr )からZpr={0,1,…,pr-1 }への変換手順を示した図である。
【図14】本発明に係るメッセージ復元型署名通信の第2実施例が実施される公開ディジタル通信網の概略構成図である。
【図15】上記実施例における、通信網提供者におけるE(GF(p))上での演算を実行するための構成である。
【図16】上記実施例における署名文の発行を行うユーザAの構成図である。
【図17】同じく、署名文を受信するユーザBの構成図である。
【図18】同じく、数、値、式の変換を中心とした構成処理を示した図である。
【符合の説明】
1 公開ディジタル通信網提供者(各ユーザへの端末情報発行センターを兼ねる。)
2 公開ディジタル通信網の回線
3、4、5、6、 公開ディジタル通信網に接続されたユーザ
11 秘密鍵作成要求受付部
12 秘密鍵発生部
13 公開鍵作成部
14 公開鍵公開部
15 秘密鍵通知形態作成部
16 秘密鍵通知部
31 r2 制御部
32 2進乱数発生部
33 r1 演算部
34 通信文入力部
35 f関数部
36 q関数部
37 排除部
373 比較部
38 SK部
385 s計算部
41 受信部
42 拒絶部
43 q記憶部(ユーザB)
44 yA 記憶部
45 r2 記憶部
46 s記憶部
47 g記憶部
413 r1 ≡g(r2+s+1)/sA R2/S(mod p)演算部
414 f-1関数部
2131 剰余記憶部
2133 足算部
233 R1 演算部
235 F関数部
238 SK部
244 YA 記憶部
2413 R1 演算部
2414 m演算部

Claims (28)

  1. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    乱数kを生成する乱数生成手段と、
    関数f 11 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 12 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 13 (r 2 , A )に従って前記マスクトメッセージr 2 及び秘密鍵x A ら署名sを生成する署名生成手段とを備え、
    前記関数f 12 (r 1 , m)は、
    12 (r 1 , m)=r 1 +m
    であり、
    関数 f 13 (r 2, x A ) は、
    f 13 (r 2, x A ) = s であって、
    r 2 ' r 2 (mod q) であり、
    ha(r 2 ' , s , l)k = hb(r 2 ' , s , 1) + hc(r 2 ' , s , 1)x A (mod q) を満たし、
    関数 ha(r 2 ' , s , l) 、関数 hb(r 2 ' , s , 1) 及び関数 hc(r 2 ' , s , 1) は、
    Zq ={0,1,・・・,q−1}とするとき、 Zq × Zq × Zq から Zq への写像であり、 r 2 ' s Zq の元とするとき、予め固定された少数値を除く全ての rr 2 ' ss に対して、次の2つの条件を満たす、
    (条件1) ha(r 2 ' , s,1)=ha(rr 2 ' , ss,1),hc(r 2 ' , s,1)=hc(rr 2 ' , ss,1) のとき、
    hb(r 2 ' , s,1)-ha(r 2 ' , s,1) hb(rr 2 ' , ss,1)
    (条件2) ha(r 2 ' , s,1)=ha(rr 2 ' , ss,1),hb(r 2 ' , s,1)=hb(rr 2 ' , ss,1) のとき、
    hc(r 2 ' , s,1)-ha(r 2 ' , s,1) hc(rr 2 ' , ss,1)
    ことを特徴とするメッセージ復元型署名装置。
  2. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセー ジmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 14 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 15 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 16 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 17 (r c 2 , A )に従って前記変換後メッセージr c 2 及び秘密鍵x A ら署名sを生成する署名生成手段とを備え、
    前記関数f 15 (r 1 , m)は、
    15 (r 1 , m)=r 1 +m
    であり、
    関数 f 16 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2 , ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 であり、
    関数 f 17 (rc 2, x A ) は、
    f 17 (rc 2, x A ) = s であって、
    rc 2 ' rc 2 (mod q) であり、
    ha(rc 2 ' , s , l)k = hb(rc 2 ' , s , 1) + hc(rc 2 ' , s , 1)x A (mod q) を満たし、
    関数 ha(rc 2 ' , s , l) 、関数 hb(rc 2 ' , s , 1) 及び関数 hc(rc 2 ' , s , 1) は、
    Zq ={0,1,・・・,q−1}とするとき、 Zq × Zq × Zq から Zq への写像であり、 rc 2 ' s Zq の元とするとき、予め固定された少数値を除く全ての rrc 2 ' ss に対して、次の2つの条件を満たす、
    (条件1) ha(rc 2 ' , s,1)=ha(rrc 2 ' , ss,1),hc(rc 2 ' , s,1)=hc(rrc 2 ' , ss,1) のとき、
    hb(rc 2 ' , s,1)-ha(rc 2 ' , s,1) hb(rrc 2 ' , ss,1)
    (条件2) ha(rc 2 ' , s,1)=ha(rrc 2 ' , ss,1),hb(rc 2 ' , s,1)=hb(rrc 2 ' , ss,1) のとき、
    hc(rc 2 ' , s,1)-ha(rc 2 ' , s,1) hc(rrc 2 ' , ss,1)
    ことを特徴とするメッセージ復元型署名装置。
  3. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 11 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 12 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 13 (r 2 , A )に従って前記マスクトメッセージr 2 及び秘密鍵x A から署名sを生成する署名生成手段とを備え、
    前記関数F 12 (R 1 , m)は、
    12 (R 1 , m)=(R 1 のx座標)+m
    であり、
    関数 f 13 (r 2, x A ) は、
    f 13 (r 2, x A ) = s であって、
    r 2 ' r 2 (mod q) であり、
    ha(r 2 ' , s , l)k = hb(r 2 ' , s , 1) + hc(r 2 ' , s , 1)x A (mod q) を満たし、
    関数 ha(r 2 ' , s , l) 、関数 hb(r 2 ' , s , 1) 及び関数 hc(r 2 ' , s , 1) は、
    Zq ={0,1,・・・,q−1}とするとき、 Zq × Zq × Zq から Zq への写像であり、 r 2 ' s Zq の元とするとき、予め固定された少数値を除く全ての rr 2 ' ss に対して、次の2つの条件を満たす、
    (条件1) ha(r 2 ' , s,1)=ha(rr 2 ' , ss,1),hc(r 2 ' , s,1)=hc(rr 2 ' , ss,1) のとき、
    hb(r 2 ' , s,1)-ha(r 2 ' , s,1) hb(rr 2 ' , ss,1)
    (条件2) ha(r 2 ' , s,1)=ha(rr 2 ' , ss,1),hb(r 2 ' , s,1)=hb(rr 2 ' , ss,1) のとき、
    hc(r 2 ' , s,1)-ha(r 2 ' , s,1) hc(rr 2 ' , ss,1)
    ことを特徴とするメッセージ復元型署名装置。
  4. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う 装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 14 (k)=kGに従って前記乱数kからコミットメントR 1 を生成するコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 15 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 16(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 17 (r c 2 , A )に従って前記変換後メッセージr c 2 及び秘密鍵x A ら署名sを生成する署名生成手段とを備え、
    前記関数F 15 (R 1 , m)は、
    15 (R 1 , m)=(R 1 のx座標)+m であり、
    関数 f 16 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 であり、
    関数 f 17 (rc 2, x A ) は、
    f 17 (rc 2, x A ) = s であって、
    rc 2 ' rc 2 (mod q) であり、
    ha(rc 2 ' , s , l)k = hb(rc 2 ' , s , 1) + hc(rc 2 ' , s , 1)x A (mod q) を満たし、
    関数 ha(rc 2 ' , s , l) 、関数 hb(rc 2 ' , s , 1) 及び関数 hc(rc 2 ' , s , 1) は、
    Zq ={0,1,・・・,q−1}とするとき、 Zq × Zq × Zq から Zq への写像であり、 rc 2 ' s Zq の元とするとき、予め固定された少数値を除く全ての rrc 2 ' ss に対して、次の2つの条件を満たす、
    (条件1) ha(rc 2 ' , s,1)=ha(rrc 2 ' , ss,1),hc(rc 2 ' , s,1)=hc(rrc 2 ' , ss,1) のとき、
    hb(rc 2 ' , s,1)-ha(rc 2 ' , s,1) hb(rrc 2 ' , ss,1)
    (条件2) ha(rc 2 ' , s,1)=ha(rrc 2 ' , ss,1),hb(rc 2 ' , s,1)=hb(rrc 2 ' , ss,1) のとき、
    hc(rc 2 ' , s,1)-ha(rc 2 ' , s,1) hc(rrc 2 ' , ss,1)
    ことを特徴とするメッセージ復元型署名装置。
  5. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 21 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 22 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' +s+1を満たし、
    前記関数h c は、h c (r 2 ', , 1)=sを満たし、
    関数 f 22 (r 1, m) は、
    逆関数 f -1 22 (r 1, f 22 (r 1, m)) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  6. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 21 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 22 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' +s+1
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' を満たし、
    関数 f 22 (r 1, m) は、
    逆関数 f -1 22 (r 1, f 22 (r 1, m)) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  7. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 21 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 22 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' +s+1を満たし、
    関数 f 22 (r 1, m) は、
    逆関数 f -1 22 (r 1, f 22 (r 1, m)) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  8. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 21 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 22 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h b は、h b (r 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' +s+1を満たし、
    関数 f 22 (r 1, m) は、
    逆関数 f -1 22 (r 1, f 22 (r 1, m)) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  9. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 21 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 22 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' +s+1を満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h c は、h c (r 2 ', , 1)=sを満たし、
    関数 f 22 (r 1, m) は、
    逆関数 f -1 22 (r 1, f 22 (r 1, m)) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  10. pを素数、gを元、その位数をqとする有限体GF(p)上での演算に基づき、離散対 数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 21 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p)×GF(p)からGF(p)への写像を行う関数f 22 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッセー ジr 2 を生成するメッセージマスク手段と、
    関数f 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' +s+1を満たし、
    前記関数h b は、h b (r 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' を満たし、
    関数 f 22 (r 1, m) は、
    逆関数 f -1 22 (r 1, f 22 (r 1, m)) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  11. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセ ージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 24 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 25 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 26 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    前記関数h c は、h c (r c 2 ', , 1)=sを満たし、
    関数 f 25 (r 1, m) は、
    逆関数 f -1 25 (r 1, f 25 (r 1, m)) = m が存在する関数であり、
    関数 f 26 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 である
    ことを特徴とするメッセ ージ復元型署名装置。
  12. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセ ージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 24 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 25 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 26 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' +s+1
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' を満たし、
    関数 f 25 (r 1, m) は、
    逆関数 f -1 25 (r 1, f 25 (r 1, m)) = m が存在する関数であり、
    関数 f 26 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 である
    ことを特徴とするメッセージ復元型署名装置。
  13. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセ ージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 24 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 25 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 26 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への 写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    関数 f 25 (r 1, m) は、
    逆関数 f -1 25 (r 1, f 25 (r 1, m)) = m が存在する関数であり
    関数 f 26 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 である
    ことを特徴とするメッセージ復元型署名装置。
  14. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセ ージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 24 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 25 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 26 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    関数 f 25 (r 1, m) は、
    逆関数 f -1 25 (r 1, f 25 (r 1, m)) = m が存在する関数であり、
    関数 f 26 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 である
    ことを特徴とするメッセージ復元型署名装置。
  15. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセ ージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 24 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 25 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 26 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h c は、h c (r c 2 ', , 1)=sを満たし、
    関数 f 25 (r 1, m) は、
    逆関数 f -1 25 (r 1, f 25 (r 1, m)) = m が存在する関数であり、
    関数 f 26 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 である
    ことを特徴とするメッセ ージ復元型署名装置。
  16. pを素数、rを正整数、gを元、その位数をqとする有限体GF(p r )上での演算に基づき、離散対数問題を安全性の根拠とし、メッセ ージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数f 24 (k)=g k に従って前記乱数kからコミットメントr 1 を生成するコミットメント生成手段と、
    GF(p r )×GF(p r )からGF(p r )への写像を行う関数f 25 (r 1 , m)に従って前記コミットメントr 1 及び前記メッセージmからマスクトメッ セージr 2 を生成するメッセージマスク手段と、
    有限体GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数f 26 (r 2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数f 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' を満たし、
    関数 f 25 (r 1, m) は、
    逆関数 f -1 25 (r 1, f 25 (r 1, m)) = m が存在する関数であり、
    関数 f 26 (r 2 ) = π (r 2 ) であり、
    ここで、{α 1, α 2, ・・・ , α r }をGF(p r ) のGF(p)上の基底とし、{x 1, 2, ・・・ , r }をGF(p)の元とするとき、GF(p r ) の元x=x 1 α 1 + ・・・ + r α r に対して、
    π(x)=x 1 + 2 + ・・・ + r r-1 である
    ことを特徴とするメッセージ復元型署名装置。
  17. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する第1乱数生成手段と、
    関数F 21 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 22 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' +s+1を満たし、
    前記関数h c は、h c (r 2 ', , 1)=sを満たし、
    関数 F 22 (R 1, m) は、
    F 22 (R 1, m) = r 2 に対して、
    逆関数 F -1 22 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  18. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する第1乱数生成手段と、
    関数F 21 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 22 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' +s+1
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' を満たし、
    関数 F 22 (R 1, m) は、
    F 22 (R 1, m) = r 2 に対して、
    逆関数 F -1 22 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  19. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する第1乱数生成手段と、
    関数F 21 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 22 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' +s+1を満たし、
    関数 F 22 (R 1, m) は、
    F 22 (R 1, m) = r 2 に対して、
    逆関数 F -1 22 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  20. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する第1乱数生成手段と、
    関数F 21 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 22 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h b は、h b (r 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' +s+1を満たし、
    関数 F 22 (R 1, m) は、
    F 22 (R 1, m) = r 2 に対して、
    逆関数 F -1 22 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  21. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する第1乱数生成手段と、
    関数F 21 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 22 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' +s+1を満たし、
    前記関数h b は、h b (r 2 ', , 1)=r 2 ' を満たし、
    前記関数h c は、h c (r 2 ', , 1)=sを満たし、
    関数 F 22 (R 1, m) は、
    F 22 (R 1, m) = r 2 に対して、
    逆関数 F -1 22 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  22. pを素数、E()を有限体GF(p)上で定義される楕円曲線とし、Gを元、その位数をqとするE(GF(p))上の演算に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、 メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する第1乱数生成手段と、
    関数F 21 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p))×GF(p)からGF(p)への写像を行う関数F 22 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスクトメ ッセージr 2 を生成するメッセージマスク手段と、
    関数F 23 (r 2 )=r 2 mod q )に従って前記マスクトメッセージr 2 から署名用メッセージr 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r 2 ', , 1)k=h b (r 2 ', , 1)+h c (r 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r 2 ', , 1)=r 2 ' +s+1を満たし、
    前記関数h b は、h b (r 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r 2 ', , 1)=r 2 ' を満たし、
    関数 F 22 (R 1, m) は、
    F 22 (R 1, m) = r 2 に対して、
    逆関数 F -1 22 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  23. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 24 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 25 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 26(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    前記関数h c は、h c (r c 2 ', , 1)=sを満たし、
    関数 F 25 (R 1, m) は、
    F 25 (R 1, m) = r 2 に対して、
    逆関数 F -1 25 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセ ージ復元型署名装置。
  24. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 24 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 25 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 26(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' +s+1
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' を満たし、
    関数 F 25 (R 1, m) は、
    F 25 (R 1, m) = r 2 に対して、
    逆関数 F -1 25 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  25. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 24 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 25 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 26(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=sを満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    関数 F 25 (R 1, m) は、
    F 25 (R 1, m) = r 2 に対して、
    逆関数 F -1 25 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  26. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 24 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 25 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 26(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    関数 F 25 (R 1, m) は、
    F 25 (R 1, m) = r 2 に対して、
    逆関数 F -1 25 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
  27. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 24 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 25 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 26(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=r c 2 ' を満たし、
    前記関数h c は、h c (r c 2 ', , 1)=sを満たし、
    関数 F 25 (R 1, m) は、
    F 25 (R 1, m) = r 2 に対して、
    逆関数 F -1 25 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセ ージ復元型署名装置。
  28. pを素数、rを正整数、E()を有限体GF(p r )上で定 義される楕円曲線、Gを元、その位数をqとするE(GF(p r ))上の演算 に基づき、離散対数問題を安全性の根 拠とし、メッセージmに対して秘密鍵x A を用いて、メッセージ復元が可能な署名を行う装置であって、
    秘密鍵x A を記憶している秘密鍵記憶手段と、
    乱数kを生成する乱数生成手段と、
    関数F 24 (k)=kGに従って前記乱数kからコミットメントR 1 を生成す るコミットメント生成手段と、
    E(GF(p r ))×GF(p r )からGF(p r )への写像を行う関数F 25 (R 1 , m)に従って前記コミットメントR 1 及び前記メッセージmからマスク トメッセージr 2 を生成するメッセージマスク手段と、
    GF(p r )から有限環Zp r ={0 , , , r-1 }への写像を行う関数F 26(r2 )に従って前記マスクトメッセージr 2 から変換後メッセージr c 2 を生成する変換後メッセージ生成手段と、
    関数F 27 (r c 2 )=r c 2 mod q )に従って前記変換後メッセージr c 2 ら署名用メッセージr c 2 ' を生成する署名用メッセージ生成手段と、
    有限環Z q を{0 , , , q−1}とし、関数h a, b, c をZ q ×Z q ×Z q からZ q への写像を行う関数とするとき、式
    a (r c 2 ', , 1)k=h b (r c 2 ', , 1)+h c (r c 2 ', , 1)x A mod q
    を満たす署名sを算出する署名生成手段とを備え、
    前記関数h a は、h a (r c 2 ', , 1)=r c 2 ' +s+1を満たし、
    前記関数h b は、h b (r c 2 ', , 1)=sを満たし、
    前記関数h c は、h c (r c 2 ', , 1)=r c 2 ' を満たし、
    関数 F 25 (R 1, m) は、
    F 25 (R 1, m) = r 2 に対して、
    逆関数 F -1 25 (R 1, r 2 ) = m が存在する関数である
    ことを特徴とするメッセージ復元型署名装置。
JP32490895A 1995-12-13 1995-12-13 署名方式 Expired - Lifetime JP3540477B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP32490895A JP3540477B2 (ja) 1995-12-13 1995-12-13 署名方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP32490895A JP3540477B2 (ja) 1995-12-13 1995-12-13 署名方式

Publications (2)

Publication Number Publication Date
JPH09160492A JPH09160492A (ja) 1997-06-20
JP3540477B2 true JP3540477B2 (ja) 2004-07-07

Family

ID=18170970

Family Applications (1)

Application Number Title Priority Date Filing Date
JP32490895A Expired - Lifetime JP3540477B2 (ja) 1995-12-13 1995-12-13 署名方式

Country Status (1)

Country Link
JP (1) JP3540477B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3428876B2 (ja) * 1997-10-03 2003-07-22 株式会社野村総合研究所 電子証券の発行、移転、証明、消去のための処理システム及びその処理方法
US6279110B1 (en) * 1997-11-10 2001-08-21 Certicom Corporation Masked digital signatures
EP1088420B1 (en) * 1998-06-23 2007-05-02 Microsoft Corporation A tecnique for producing privately authenticable cryptographic signatures and for using such a signature in conjunction with a product copy
US8132024B2 (en) 2003-03-11 2012-03-06 Panasonic Corporation Digital work protection system, recording apparatus, reproduction apparatus, and recording medium

Also Published As

Publication number Publication date
JPH09160492A (ja) 1997-06-20

Similar Documents

Publication Publication Date Title
US7372961B2 (en) Method of public key generation
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
US7653817B2 (en) Signature schemes using bilinear mappings
US7139910B1 (en) Systems and methods for obtaining digital signatures on a single authoritative copy of an original electronic record
US9800418B2 (en) Signature protocol
JP2002515128A (ja) 秘密キー証明書
US9088419B2 (en) Keyed PV signatures
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
KR0146438B1 (ko) 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법
US20150006900A1 (en) Signature protocol
CN112989436B (zh) 一种基于区块链平台的多重签名方法
KR100438257B1 (ko) 메시지 복원형 서명장치
JP3540477B2 (ja) 署名方式
JP4307589B2 (ja) 認証プロトコル
WO2016187689A1 (en) Signature protocol
JP2005513564A (ja) 負荷を複数のエンティティおよびそのデバイスに分散させるための暗号法
KR100654933B1 (ko) 사용자의 패스워드 입력에 따라서 동적 생성되는 인증서를인증하는 인증시스템 및 인증방법
US20110113253A1 (en) Enhanced digital signatures algorithm method and system utilizing a secret generator
Jain Digital signature algorithm
EP1921790A1 (en) Signature schemes using bilinear mappings
Kim et al. New one time proxy signature scheme based on dlp using the warrant
JPH0548599A (ja) 秘密通信用ネツトワークシステム
JPH0934357A (ja) メッセージ復元型署名方式

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20031209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040309

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040325

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080402

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090402

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100402

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110402

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120402

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140402

Year of fee payment: 10

EXPY Cancellation because of completion of term