JP4018370B2 - Signature distribution system, program, and method - Google Patents

Signature distribution system, program, and method Download PDF

Info

Publication number
JP4018370B2
JP4018370B2 JP2001333431A JP2001333431A JP4018370B2 JP 4018370 B2 JP4018370 B2 JP 4018370B2 JP 2001333431 A JP2001333431 A JP 2001333431A JP 2001333431 A JP2001333431 A JP 2001333431A JP 4018370 B2 JP4018370 B2 JP 4018370B2
Authority
JP
Japan
Prior art keywords
signature
entity device
digital signature
management unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001333431A
Other languages
Japanese (ja)
Other versions
JP2003143135A (en
Inventor
真悟 宮崎
岳久 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2001333431A priority Critical patent/JP4018370B2/en
Publication of JP2003143135A publication Critical patent/JP2003143135A/en
Application granted granted Critical
Publication of JP4018370B2 publication Critical patent/JP4018370B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、各種の取引システムに応用可能な署名分散システム、プログラム及び方法に関する。
【0002】
【従来の技術】
デジタル署名は、例えば電子商取引において、信頼性や証拠性を保証する重要な技術である。係るデジタル署名は、適用されるサービス毎に、電子契約書、電子小切手又は電子現金などといった様々なものに用いられる。
【0003】
例えば電子現金に用いられる場合、デジタル署名は、サービスを委託する委託者(例、依頼者)からサービス代金に相当する電子現金のメッセージ部分に付され、電子現金に含まれた状態で受託者(例、サービス業者)に渡される。受託者は、この電子現金を金融機関により決済し、電子現金の額に相当する収入を得た旨を確認すると、所定のサービスを委託者に提供する。
なお、これは電子現金をサービス提供前に渡した場合の例であり、電子現金をサービス提供後に渡す場合も考えられる。
【0004】
【発明が解決しようとする課題】
しかしながら、以上のようなデジタル署名は、受託者に電子現金として渡されるタイミングが、受託者からのサービス提供後か、又はサービス提供前か、でそれぞれ異なる問題を生じさせることが知られている(M. K. Franklin and M. K. Reiter, “Verifiable signature sharing”, Advances in Cryptology - EUROCRYPT ’95, LNCS 921, pp.50-63, 1995.)。
【0005】
すなわち、前者では、電子現金が支払われない可能性がある受託者不利の状況が生じ、後者では、電子現金を持ち逃げされる可能性がある委託者不利の状況が生じる。いずれにしても、デジタル署名の授受の仕方が不公平な処理となってしまい、好ましくない。
【0006】
本発明は上記実情に基づいてなされたもので、デジタル署名を授受する際に、各当事者をいずれも不利な状況にせず、公平な処理を実現し得る署名分散システム、プログラム及び方法を提供することを目的とする。
【0007】
【課題を解決するための手段】
第1の発明は、提示したメッセージに対するデジタル署名を復元するための複数の分散情報を時系列的に個別に送信する送信側エンティティ装置と、前記送信側エンティティ装置から受けた分散情報に基づいて前記デジタル署名を復元する受信側エンティティ装置とを備えた署名分散システムであって、前記送信側エンティティ装置としては、前記デジタル署名に基づいて前記各分散情報を生成する署名生成手段と、前記受信側エンティティ装置から要求を受ける毎に、前記署名生成手段により生成された各分散情報を個別に受信側エンティティ装置宛に送信する分散情報送信手段とを有し、前記受信側エンティティ装置としては、前記分散情報送信手段から分散情報を受ける毎に、当該分散情報の正当性を検証する分散情報検証手段と、前記分散情報検証手段により正当性が検証された分散情報が全部又は所定の個数揃ったとき、当該各分散情報に基づいてデジタル署名を復元する署名復元手段と、を備えた署名分散システムである。
【0009】
ここで、送信側エンティティ装置は、例えば任意の処理を委託する側の委託者側装置や、所定のサービスを提供されるクライアント側装置として実現可能となっており、単一の装置に限らず、第三者装置を含む複数の装置群としてもよい。
【0010】
受信側エンティティ装置は、例えば委託された処理を受託して実行する側の受託者装置や、所定のサービスを提供するASP(Application Service Provider)側装置として実現可能となっている。
【0011】
の発明は、受信側エンティティ装置に提示したメッセージmに対するデジタル署名を復元するためのn個(2≦n)の分散情報si(0≦i≦n-1)を、前記受信側エンティティ装置宛に時系列的に個別に送信する送信側エンティティ装置が前記デジタル署名を計算可能な第1装置及び前記デジタル署名を検証可能な第2装置からなり、前記第1装置が、所定の第1素数qに関する乗法群Zqから乱数kを選択し、前記メッセージmに対してハッシュ値h(m)を求め、前記第1素数qに関係した所定の第2素数p(=w*q+1、但しwは2以上の任意の自然数)、前記乗法群Zpでの位数がqとなる所定の原始元α、公開鍵暗号方式の秘密鍵x、前記乱数k及び前記ハッシュ値h(m)に基づいて、r=α(mod p)の式及びs=k-1{h(m)+x・r}(mod q)の式を満たすデジタル署名(r,s)を計算し、このデジタル署名(r,s)を前記第2装置に送信するとき、審査内容管理部、第三者署名検証部、多項式生成部、コミット値計算部及び署名分散値生成部を有する前記第2装置に用いられる分散署名用プログラムであって、前記第2装置のコンピュータに、前記第1装置から前記審査内容管理部によりデジタル署名(r,s)を受けると、前記秘密鍵xに対応する公開鍵yを用い、当該デジタル署名(r,s)の正当性をr=αh(m)r (mod p)の関係に基づいて前記第三者署名検証部により検証する機能、前記乗法群Zq からn−1個の乱数b j を前記多項式生成部により選択する機能、前記乱数b j に基づいて、多項式f ( ) =s + 1 ・z+b 2 ・z 2 +…+b n-1 ・z n-1 (mod q)を前記多項式生成部により生成する機能、前記乱数b j 及び前記デジタル署名の一部rに基づいて、n−1個のコミット値c j (=r bj (mod p))を前記コミット値計算部により計算する機能、所定のn個の引数z i 及び前記多項式f ( ) に基づいてn個の署名分散値s i (=f ( i ) )を前記署名分散値生成部により計算する機能、前記受信側エンティティ装置から前記審査内容管理部により受けた1回目の要求に基づいて、前記デジタル署名の一部r、1つ目の署名分散値s 0 、及びコミット値c j を前記審査内容管理部により送信する機能、前記受信側エンティティ装置から前記審査内容管理部により受けた2回目以降の要求毎に、対応する署名分散値s i を前記審査内容管理部により個別に送信する機能、を実現させるための署名分散用プログラムである。
【0013】
の発明は、提示されたメッセージmに対するデジタル署名(r,s)(なお、r=α(mod p)、s=k-1{h(m)+x・r}(mod q)、但しp,qはp=w*q+1(但し、wは2以上の任意の自然数)の関係をもつ素数、αは乗法群Zpでの位数がqとなる所定の原始元、kは乗法群Zq内の乱数、h(m)は、mのハッシュ値、xは公開鍵暗号方式の秘密鍵)に関し、前記デジタル署名(r,s)を復元するためのn個(2≦n)の分散情報si(但し、0≦i≦n-1、si=f(zi)=s+b1・zi+b2・zi 2+…+bn-1・zi n-1 (mod q)、ziはn−1個の引数)を時系列的に個別に送信側エンティティ装置に要求し、この要求により前記送信側エンティティ装置からn回に渡って受けた合計n個の分散情報siからデジタル署名(r,s)を復元し、得られたデジタル署名(r,s)を検証可能な受信用エンティティ装置に用いられる署名検証用プログラムであって、前記受信用エンティティ装置は受託内容管理部及び署名分散値検証部を備えており、前記受信用エンティティ装置のコンピュータに、前記送信用エンティティ装置から前記受託内容管理部により受けたデジタル署名の一部r及びn−1個のコミット値cj(但し、1≦j≦n-1、cj=r j、bjはn−1個の乱数)と、前記秘密鍵xに対応する公開鍵yと、所定の引数ziとを用い、前記送信用エンティティ装置から前記受託内容管理部により分散情報siを受ける毎に、この分散情報siの正当性を下記式の関係に基づいて前記署名分散値検証部により検証する機能、を実現させるための署名検証用プログラムである。
【0014】
【数3】

Figure 0004018370
【0015】
の発明は、第の発明において、前記受信用エンティティ装置のコンピュータに、
前記送信用エンティティ装置から受けた合計n個の分散情報siを用い、前記f(zi)の関係に基づいて、デジタル署名の一部s及びn−1個の乱数bj前記署名算出部により計算する機能、前記送信用エンティティ装置から受けたデジタル署名の一部r及び前記計算したデジタル署名の一部sからデジタル署名(r,s)を前記署名算出部により復元する機能、前記秘密鍵xに対応する公開鍵yを用い、前記復元したデジタル署名(r,s)の正当性をr=αh(m)r (mod p)の関係に基づいて前記署名検証部により検証する機能、前記送信用エンティティ装置から受けたデジタル署名の一部rと前記計算した乱数bjとを用い、前記コミット値cjの正当性をcj=r iの関係に基づいて前記署名検証部により検証する機能、を実現させるための署名検証用プログラムである。
【0016】
従って、以上のような各発明によれば、送信側エンティティ装置が、任意のメッセージmを受信側エンティティ装置に提示した後に、メッセージmに対する署名(r,s)自体ではなく、署名授受を保証するn個の分散情報siを時系列的に個別に、受信側エンティティ装置に送信する。
【0017】
一方、受信側エンティティ装置は、全て揃ったn個の分散情報siに基づいて署名(r,s)を復元することにより、メッセージmの保証を得る。
【0018】
すなわち、デジタル署名を授受する際に、1回で署名全体を授受するのではなく、n個の分散情報を段階的に授受することにより、最終的にデジタル署名(r,s)を授受している。従って、各当事者をいずれも不利な状況にせず、公平な処理を実現させることができる。
【0019】
なお、以上のような各発明は「システム」又は「プログラム」として表現したが、これに限らず、「装置」、「方法」、「コンピュータ読取り可能な記憶媒体」といった他の名称やカテゴリーで表現してもよい。
【0020】
【発明の実施の形態】
以下、本発明の各実施形態について図面を用いて説明する。なお、各実施形態の概略は、委託者側(第三者を含んでもよい)が、任意のメッセージmを受託者に委託する際に、メッセージmに対するデジタル署名(r,s)自体ではなく、署名授受を保証するn個の分散情報siを委託内容の遂行前後で時系列的に個別に、受託者に送るというものである。また、受託者は、委託内容の遂行後、揃ったn個の分散情報siに基づいて署名(r,s)を復元することにより、メッセージmの保証を得る。
【0021】
ここで、第1〜第11の実施形態は、図36に示すように、委託者側及び受託者のうち、委託者側の主な5つの機能において、委託者と第三者との機能分担を代えた内容となっている。この種の第三者は、分担した機能に関して、委託者の負荷を低減させる一方、受託者から見た信用度を高める役割をもつ。また図示するように、第三者のうち、署名発行機能をもつ者を第三者Aとも呼び、その他の者を第三者Bとも呼ぶ。
【0022】
また、第1〜第11の実施形態では、デジタル署名(r,s)の一部sに対する分散情報(以下、署名分散値という)の個数nをn=2としている。第12の実施形態では、この個数nを任意の複数個に拡張している。
【0023】
さて、各実施形態で使用する各種パラメータと記号は以下の通りである。
【0024】
p,q:十分に大きな素数でp=w*q+1の関係式を満たす(但し、wは2以上の任意の自然数)。
α:乗法群Zpでの位数がqとなるような原始元。
x:署名用秘密鍵。
y:検証用公開鍵(y=α(mod p)を満たす)。
m:署名対象となるメッセージ。
(r,s):メッセージmに対するデジタル署名(以下、署名ともいう)。
r:署名の一部で、kのコミット値(r=α(mod p)を満たす)。
s:署名の一部で、k-1{h(m)+x・r}(mod q) の値。
k:署名の秘密乱数。
h(m):メッセージmのハッシュ値。
f(z):初項sのn−1次多項式。
i:多項式f(z)の引数(0≦i≦n−1)。
i:署名の一部sの署名分散値(分散情報)で、関数値f(zi)。
【0025】
ここで、各パラメータのうち、素数p,q,原始元α,検証用公開鍵yは、予めシステムパラメータとして委託者、第三者及び受託者に共有されている。
引数ziは、受託者による最初の署名分散値s0の正当性検証よりも前に受託者に配布されるが、システムパラメータと同様に委託者、第三者及び受託者で予め共有してもよい。
【0026】
(第1の実施形態)
図1は本発明の第1の実施形態に係る署名分散システムの概略構成を示す模式図である。この署名分散システムは、委託者装置10及び受託者装置20からなり、図1に「署名者に限定なし」として示したように、署名(r,s)を発行する機能を、委託者装置10又は第三者装置(図示せず)のいずれが有してもよい構成となっている。
【0027】
図2は係る署名分散システムの構成を具体的に示す機能ブロック図である。この署名分散システムは、委託者装置10及び受託者装置20を備えており、各装置10,20はそれぞれハードウェア、ソフトウェア又はその組合せにより構成可能となっている。ここで、各装置10,20がソフトウェアにより構成される場合、後述する各機能を実現させるための署名分散/検証用プログラムが予め各装置10,20のコンピュータにインストールされている。なお、ハードウェア及び/又はソフトウェアにより各装置を個別に構成可能な旨の説明は、以下の各実施形態の全ての装置(第三者装置を含む)にも適用される。
【0028】
ここで、委託者装置10は、委託内容管理部11、委託者署名管理部12、署名分散値生成部13、コミット値計算部14及び多項式生成部15を備えている。
【0029】
委託内容管理部11は、委託者が受託者に委託する内容(以下、委託内容という)を管理する機能と、委託内容を受託者装置20に提示する機能と、受託者装置20から受けた委託意志を確認する機能と、受託意志に従って分散署名の生成要求を委託者署名管理部12に送出する機能と、委託の際に委託者署名管理部12から受けた署名の一部r、署名分散値s0及びコミット値cを受託者装置20に送信する機能と、受託者装置20から受けた処理の遂行結果(以下、処理結果ともいう)又は処理完了通知を審査する機能と、この審査結果に従って委託者署名管理部12から受けた署名分散値s1を受託者装置20に送信する機能と、受託者装置20から送信された署名受領通知を確認する機能とをもっている。
【0030】
委託者署名管理部12は、署名(r,s)を管理する機能と、委託内容管理部11から受けた分散署名生成要求に基づいて多項式生成部15に多項式生成要求を送出する機能と、コミット値計算部14より受けたコミット値c及び署名分散値生成部13より受けた署名分散値s0,s1を保存する機能と、委託の際に署名の一部r、一方の署名分散値s0及びコミット値cを委託内容管理部11に送信する機能と、委託内容管理部11の審査結果に従って要求された他方の署名分散値s1を委託内容管理部11に送出する機能とをもっている。
【0031】
署名分散値生成部13は、多項式生成部15から受けた多項式f(z)に引数ziを入力して関数値f(zi)である署名分散値siを生成する機能と、生成した署名分散値siを委託者署名管理部12に送出する機能とをもっている。
【0032】
コミット値計算部14は、多項式生成部15から受けた乱数bと署名の一部rとに基づいてコミット値c(=r(mod p))を計算する機能と、計算したコミット値cを委託者署名管理部12に送出する機能とをもっている。
【0033】
多項式生成部15は、委託者署名管理部12から受けた多項式生成要求に従って署名(r,s)を用いて多項式f(z)(=s+b・z(mod q))を生成する機能と、多項式生成の際に選択した乱数bと署名の一部rをコミット値計算部14に送出する機能と、生成した多項式f(z)を署名分散値生成部13に送出する機能とをもっている。
【0034】
受託者装置20は、受託内容処理部21、受託内容管理部22、受託者署名管理部23、署名分散値検証部24、署名算出部25及び署名検証部26を備えている。
【0035】
受託内容処理部21は、受託内容管理部22より受けた受託内容に従って処理を遂行する機能と、その処理の遂行結果(処理結果)を受託内容管理部22に送出する機能とをもっている。
【0036】
受託内容管理部22は、委託者装置10より受けた受託内容に対して受託意志を委託者装置10に送信する機能と、受託内容を受託内容処理部21に送出する機能と、委託者装置10から受けた署名の一部r、署名分散値s0及びコミット値cを受託者署名管理部23に送出する機能と、受託者署名管理部23から受けた署名分散値s0の検証結果に基づいて受託内容処理部21に委託内容の処理を要求する機能と、受託内容処理部21より受けた処理結果に基づいて受託内容に対する処理結果又は処理完了通知を委託者装置10に送信する機能と、委託者装置10から受けた署名分散値s1を受託者署名管理部23に送出する機能と、受託者署名管理部23より受けた署名(r,s)及びコミット値cの各々の検証結果に応じて署名受領通知を委託者装置10に送信する機能とをもっている。
【0037】
受託者署名管理部23は、受託内容管理部22から受けた署名の一部r、署名分散値s0,s1及びコミット値cを保存する機能と、保存する署名の一部r、署名分散値s0(又はs1)及びコミット値cを署名分散値検証部24に送出して検証を要求する機能と、署名分散値検証部24から受けた署名分散値s0(又はs1)の検証結果を受託内容管理部22に通知する機能と、保存する署名の一部r、署名分散値s0,s1及びコミット値cを署名算出部25に送出する機能と、署名検証部26から受けた署名(r,s)及びコミット値cの各々の検証結果を受託内容管理部22に通知する機能とをもっている。
【0038】
署名分散値検証部24は、受託者署名管理部23から受けた署名の一部r、署名分散値s0(又はs1)及びコミット値cを用いて署名分散値s0(又はs1)の正当性を検証する機能と、署名分散値s0(又はs1)の検証結果を受託者署名管理部23に通知する機能とをもっている。
【0039】
署名算出部25は、受託者署名管理部23から受けた署名の一部r、署名分散値s0,s1及びコミット値cから署名の一部s及び乱数bを算出する機能と、算出により得られた署名(r,s)及びコミット値cを署名検証部26に送信する機能と、算出により得られた署名(r,s)を受託者署名管理部23に送信する機能とをもっている。
【0040】
署名検証部26は、署名算出部25から受けた署名(r,s)及びコミット値cの正当性を検証する機能と、この検証結果を受託者署名管理部23に通知する機能とをもっている。
【0041】
次に、以上のように構成された署名分散システムの動作を図3のフローチャートを用いて説明する。
【0042】
まず、委託者装置10は、署名対象メッセージmと、メッセージmへの署名(r,s)とを持っている。各パラメータは以下のような関係式(1),(2)を満たしている。
【0043】
r=α(mod p) …(1)
s=k-1{h(m)+x・r}(mod q) …(2)
ここで、署名(r,s)は、関係式(1),(2)を満たすものであれば、メッセージmの内容や署名者が誰であるのかに制限が無い。例えば、このメッセージmと署名(r,s)の対が電子現金を表してもよく、又は土地の権利書や免許証を表してもよい。なお、メッセージmと署名(r,s)の対が電子現金の場合には、署名分散システムが適用された電子商取引システムが実現され、メッセージmと署名(r,s)の対が権利書や免許証の場合には、署名分散システムが電子契約システムや電子政府システムが実現される。これら各電子処理システムは一例であり、任意のメッセージmの内容に対応して任意の電子処理システムを実現可能となっている。
【0044】
また、署名(r,s)の発行者は、委託者装置10としてもよく、図示しない第三者装置としてもよい。委託者装置10が発行者の場合、xが委託者装置10の署名用秘密鍵となり、yが委託者装置10の検証用公開鍵となる。また、引数z0及びz1は、委託者装置10と受託者装置20とで共有された情報とするが、次のステップST1にて送信するようにしてもよい。
【0045】
図3に示すように、委託者装置10では、委託者の操作により、委託者内容管理部11が委託内容を受託者装置20に送信する(ST1)。なお、委託内容はメッセージmを含んでもよく、また、署名の一部rを含んでもよい。
【0046】
受託者装置20では、受けた委託内容を受託するか否かの受託意志(肯定又は否定)を受託内容管理部22から委託者装置10に送信する(ST2)。ここで、受託意志は、受託者によりその都度判断された内容で送信されてもよいし、エラーやビジー等の異常の無い限りは全件受託する旨の設定により人間系の判断を介さずに送信されてもよい。
【0047】
委託者装置10では、委託内容管理部11がこの受託意志を確認し(ST3)、受託意志が否定であると処理を終了し、受託意志が肯定であると、分散署名の生成要求を委託者署名管理部12に送出する。
【0048】
委託者署名管理部12は、この生成要求を受けると、多項式生成要求及び署名(r,s)を多項式生成部15に送出する。
【0049】
多項式生成部15は、この多項式生成要求に従い、乗法群Zqから任意の乱数bを選択し(b∈Zq)、次式(3)に示すように多項式f(z)を生成する(ST4)。
【0050】
f(z)=s+ b・z(mod q) …(3)
しかる後、多項式生成部15は、生成の際に、選択した乱数bと署名の一部rをコミット値計算部14に送出すると共に、生成した多項式f(z)を署名分散値生成部13に送出する。
【0051】
コミット値計算部14は、この乱数bと署名の一部rを用いて次式(4)に示すようにコミット値cを計算し(ST5)、このコミット値cを委託者署名管理部12に送出する。
【0052】
c=r(mod p) …(4)
一方、署名分散値生成部13は、前述した式(3)に対し、予め各装置10,20間で共有された引数z0,z1を用いて、次式(3−0),(3−1)に示すように2つの署名分散値s0,s1を計算し(ST6)、得られた署名分散値s0,s1を委託者署名管理部12に送出する。
【0053】
0=f(z0)=s+ b・z0 (mod q) …(3−0)
1=f(z1)=s+ b・z1 (mod q) …(3−1)
委託者署名管理部12は、署名の一部r、一方の署名分散値s0及びコミット値cを委託内容管理部11に送出し、委託内容管理部11は、これらの各データr,s0,cを受託者装置20に送信する。
【0054】
受託者装置20においては、受託内容管理部22が、受信した署名の一部r、署名分散値s0及びコミット値cを受託者署名管理部23に送出する。受託者署名管理部23は、これらを保存し、署名分散値検証部24にコミット値cと署名分散値s0を送信して、署名分散値s0の正当性検証を要求する。
【0055】
署名分散値検証部24は、署名分散値s0、コミット値c及び署名の一部rを用いて、署名分散値s0の正当性を次の検証式(5−0)により検証し(ST7)、検証結果を受託者署名管理部23を介して受託内容管理部22に通知する。
【0056】
【数4】
Figure 0004018370
【0057】
受託内容管理部22は、通知された署名分散値s0の検証結果が正当性を示すとき、受託内容及びその処理要求を受託内容処理部21に送出する。
【0058】
受託内容処理部21は、受託内容及びその処理要求に基づいて、受託内容の遂行処理を実行し(ST8)、処理結果を受託内容管理部22に送出する。
【0059】
受託内容管理部22は、処理結果の内容に基づいて、処理結果(例、補足説明を要するとき)又は処理完了通知(例、成功/失敗など)を委託者装置10に送信するための送信処理を実行する。
【0060】
処理結果又は処理完了通知の送信処理としては、郵便、宅配便又は定期便(例、社内便)等で配布される紙媒体(例、葉書、封書等)の印字出力処理、インターネットのメール送信処理、FAX送信処理、電話通信処理(音声案内処理又は制御コード送信など)、あるいはそれら各処理の組合せ処理のいずれでもよい。また、インターネット、FAX又は電話等を用いる場合の通信方式は有線又は無線のいずれでもよい。また、処理結果を事前審査する第三者機関装置を介在させてもよく、この場合、処理結果や処理完了通知を同装置経由で送信してもよい。
【0061】
委託者装置10においては、委託内容管理部11が、受けた処理結果又は委託内容完了通知を審査し(ST9)、正当と判断した場合のみ、他方の署名分散値s1を委託者署名管理部12に要求し、得られた署名分散値s1を受託者装置20に送信する。
【0062】
ここで、審査は、委託者によりその都度判断された内容で実行されてもよいし(例、送信処理が紙媒体、FAX又は電話を用いる場合)、予め設定された内容に基づいて人間系の判断を介さずに実行されてもよい(例、送信処理がメール、FAX又は電話を用いる場合)。
【0063】
なお、FAX及び電話は、いずれにも該当するが、例えばFAXの紙出力又は電話の音声案内の場合には委託者により判断され、FAX又は電話の通信内容が文字コードや制御コード等で蓄積保存される場合には委託者又は設定内容により判断される。
【0064】
一方、受託者装置20においては、受託内容管理部22が、受けた署名分散値s1を受託者署名管理部23に送出する。受託者署名管理部23は、この署名分散値s1を署名分散値検証部24に送出し、署名分散値s1の正当性の検証を要求する。
【0065】
署名分散値検証部24は、署名分散値s1の正当性を次の検証式(5−1)により検証し(ST10)、検証結果を受託者署名管理部23に返信する。
【0066】
【数5】
Figure 0004018370
【0067】
受託者署名管理部23は、受けた署名分散値の検証結果が正当である場合に、コミット値c、署名の一部r、署名分散値s0,s1を署名算出部25に送信する。
【0068】
署名算出部25は、2つの署名分散値s0,s1から2つの式(3−0),(3−1)を用いて署名の一部s及び乱数bを計算し(ST11)、署名の一部s及び乱数bを受託者署名管理部23及び署名検証部26に送出する。
【0069】
署名検証部26は、署名の一部s及び乱数bを受けると、次の検証式(6)により署名(r,s)の正当性を検証すると共に、前述した式(4)によりコミット値cの正当性を検証し(ST12)、各々の検証結果を受託者署名管理部23に送出する。
【0070】
s=αh(m)r (mod p) …(6)
なお、署名(r,s)の検証の際に、検証式(6)に代えて、(r,s,h(m))を用いたDSA(digital signature algorithm)の次の検証式(7)を適用してもよい。
【0071】
【数6】
Figure 0004018370
【0072】
受託者署名管理部23は、署名(r,s)とコミット値cの各々の検証結果を受託内容管理部22に送出する。受託内容管理部22は、これらの検証結果に基づいて、署名受領通知を委託者装置10に送信する。
【0073】
委託者装置10では、委託内容管理部11がこの署名受領通知を確認し(ST13)、署名授受に関する処理を終了する。
【0074】
上述したように本実施形態によれば、委託者装置10が、任意のメッセージmを受託者装置20に提示した後に、メッセージmに対する署名(r,s)自体ではなく、署名授受を保証するn個の分散情報siを時系列的に個別に、受託者装置20に送信する。
【0075】
一方、受託者装置20は、全て揃ったn個の分散情報siに基づいて署名(r,s)を復元することにより、メッセージmの保証を得る。
【0076】
すなわち、デジタル署名を授受する際に、1回で署名全体を授受するのではなく、n個の分散情報を段階的に授受することにより、最終的にデジタル署名(r,s)を授受している。従って、各当事者をいずれも不利な状況にせず、公平な処理を実現させることができる。
【0077】
(第2の実施形態)
図4は本発明の第2の実施形態に係る署名分散システムの概略構成を示す模式図であり、図5は同システムの構成を具体的に示す機能ブロック図であって、図1及び図2と同一又はほぼ同一機能の部分には同一符号を付し、機能を変更した部分にはアルファベットの添字を付して重複する機能の説明を省略し、ここでは異なる機能について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0078】
すなわち、本実施形態は、署名者に限定が無い第1の実施形態の変形例であり、図36にも示したように、署名(r,s)を発行する機能を委託者装置10が有する構成となっている。
【0079】
具体的には図5に示すように、委託者装置10aは、前述した各部11〜15に加え、署名生成部16を備えている。
これに伴い、委託者署名管理部12aは、前述した同部12の機能に加え、委託内容管理部11から受けた分散署名の生成要求に基づいて、署名生成部16に署名生成要求を送出する機能と、署名生成部16から受けた署名(r,s)を管理する機能とが付加されている。
【0080】
署名生成部16は、委託者署名管理部12aから受けた署名生成要求に基づいて署名(r,s)を生成する機能と、生成した署名(r,s)を委託者署名管理部12に送出する機能とをもっている。
【0081】
次に、以上のように構成された署名分散システムの動作を図6のフローチャートを用いて説明する。
【0082】
始めに、署名(r,s)は未だ生成されていない状態にある。
ここで、委託内容を受託者装置20に送信するステップST1から、受託意志を確認するST3までの処理は、前述同様に実行される。
【0083】
すなわち、委託内容管理部11は、ステップST3にて受託意志を確認し、受託意志が否定であると処理を終了し、受託意志が肯定であると、分散署名の生成要求を委託者署名管理部12aに送出する。
【0084】
次に、委託者署名管理部12aは、分散署名の生成要求を受けると、前述とは異なり、署名生成部16に署名生成要求を送出する。
【0085】
署名生成部16は、この署名生成要求に従い、乗法群Zqから任意の乱数kを選択し(k∈Zq)、メッセージmに対して、前述した式(1),(2)を満たす署名(r,s)を計算し(ST3−2)、この署名(r,s)を委託者署名管理部12aに送出する。
委託者署名管理部12aは、この署名(r,s)を保存した後、多項式生成要求及び署名(r,s)を多項式生成部15に送出する。
【0086】
以下、前述同様に、ステップST4の多項式生成からステップST13の署名受領通知の確認までの処理が実行される。
【0087】
上述したように本実施形態によれば、第1の実施形態の効果に加え、委託者装置10が委託側の全ての処理を実行するので、委託者が委託側の全ての処理を管理することができる。
また、受託意志を受けてから署名(r,s)を生成するので、第1の実施形態よりもメッセージmの内容を自由に決めることができる。これは以下の各実施形態も同様である。
【0088】
(第3の実施形態)
図7は本発明の第3の実施形態に係る署名分散システムの概略構成を示す模式図であり、図8は同システムの構成を具体的に示す機能ブロック図である。
【0089】
本実施形態は、署名者を委託者に限定した第2の実施形態の変形例であり、委託者側に第三者装置30bを設け、図36にも示したように、委託者側の主な5つの機能のうち、受託者の遂行内容の審査機能と、署名分散値s1の配布機能とを第三者装置30bに委託した構成となっている。
【0090】
これに伴い、委託者装置10bは、委託内容管理部11bが第三者装置30b宛の送信機能が付加されたものとなっている。
【0091】
具体的には、委託内容管理部11bは、前述した同部11の機能に関し、委託の際に委託者署名管理部12bから署名の一部r、署名分散値s1及びコミット値cを受けてこれらを委託内容と併せて第三者装置30bに送信する機能が付加される一方、処理結果又は処理完了通知を審査する機能と審査結果に従って署名分散値s1を受託者装置20に送信する機能とが省略されている。
【0092】
また、委託者署名管理部12bは、前述した同部12aの機能に関し、委託内容管理部11の審査結果に従って署名分散値s1を送出する機能が省略される一方、この署名分散値s1を委託の際に各データr,s0,cと共に委託内容管理部11bに送出する機能を有するものとなっている。
【0093】
一方、受託者装置20bは、第三者装置30bの付加に伴い、受託内容管理部22bが、第三者装置30bに対する送受信機能が付加されたものとなっている。
【0094】
具体的には、受託内容管理部22bは、前述した同部22の機能に関し、処理結果又は処理完了通知の送信機能と署名分散値s1の受信機能とが第三者装置30bを通信相手として実行される構成になっている。
【0095】
また一方、第三者装置30bは、審査内容管理部31、第三者署名管理部32及び第三者署名分散値検証部33を備えている。
【0096】
審査内容管理部31は、委託者装置10bから受けた委託内容を管理する機能と、委託者装置10bから受けた署名の一部r、署名分散値s1及びコミット値cを第三者署名管理部32に送出する機能と、受託者装置20bから受けた処理結果又は処理完了通知を審査する機能と、この審査結果に従って第三者署名管理部32から受けた署名分散値s1を受託者装置20bに送信する機能とをもっている。
【0097】
第三者署名管理部32は、審査内容管理部31から受けた署名の一部r、署名分散値s1及びコミット値cを管理する機能と、署名の一部r、署名分散値s1及びコミット値cを第三者署名分散値検証部33に送出して検証を要求する機能と、第三者署名分散値検証部33から受けた署名分散値s1の検証結果を管理する機能と、審査内容管理部31の審査結果に従って要求された署名分散値s1を審査内容管理部31に送出する機能とをもっている。
【0098】
第三者署名分散値検証部33は、第三者署名管理部32から受けた署名の一部r、署名分散値s1及びコミット値cに基づいて署名分散値s1の正当性を検証する機能と、検証結果を第三者署名管理部32に送出する機能とをもっている。
【0099】
次に、以上のように構成された署名分散システムの動作を図9のフローチャートを用いて説明する。
【0100】
始めに、委託内容を受託者装置に送信するステップST1から、署名分散値s0,s1を算出するステップST6までは、第2の実施形態と同様に実行される。なお、引数z0,z1等は各装置10b,20b及び30bで共有されている。
【0101】
次に、委託者装置10bにおいては、ステップST6を実行した委託者署名管理部12bが、署名の一部r、2つの署名分散値s0,s1及びコミット値cを委託内容管理部11bに送出する。
【0102】
委託内容管理部11bは、各データr,s0,s1,cを受けると、署名の一部r、他方の署名分散値s1及びコミット値cを第三者装置30bに送信する。
【0103】
第三者装置30bでは、審査内容管理部31が署名の一部r、署名分散値s1及びコミット値cを第三者署名管理部32に送出し、委託内容を保存する。
【0104】
第三者署名管理部32は、署名の一部r、署名分散値s1及びコミット値cを第三者署名分散値検証部33に送出して検証を要求する。
【0105】
第三者署名分散値検証部33は、署名の一部r、署名分散値s1及びコミット値cに基づいて署名分散値s1の正当性を検証し(ST10t)、検証結果を第三者署名管理部32に送出する。
【0106】
三者署名管理部32は、この検証結果を管理する。
【0107】
続いて、委託者装置10bでは、委託内容管理部11bが前述同様に各データr,s0,cを受託者装置20bに送信する。
【0108】
受託者装置20bでは、前述同様にステップST7〜ST8が実行された後、前述とは異なり、処理結果又は処理完了通知が第三者装置30bに送信される。
【0109】
第三者装置30bでは、審査内容管理部31が、受けた処理結果又は処理完了通知を審査し(ST9t)、正当と判断した場合のみ、他方の署名分散値s1を第三者署名管理部32に要求し、得られた署名分散値s1を受託者装置20bに送信する。
【0110】
以下、前述同様に、ステップST10の署名分散値s1の正当性検証からステップST13の署名受領通知の確認までの処理が実行される。
【0111】
上述したように本実施形態によれば、第2の実施形態の効果に加え、第三者装置30bが分担した審査機能と署名分散値s1の配布機能とに関して、委託者装置10bの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0112】
(第4の実施形態)
図10は本発明の第4の実施形態に係る署名分散システムの概略構成を示す模式図であり、図11は同システムの構成を具体的に示す機能ブロック図である。
【0113】
本実施形態は、第3の実施形態の変形例であり、第三者装置30bの権限を拡張した第三者装置30cを設け、図36にも示したように、委託者側の主な5つの機能のうち、前述した審査機能とsの配布機能とに加え、署名分散値s0,s1を算出する機能と、署名分散値s0を配布する機能とをも第三者装置30cに委託した構成となっている。
【0114】
これに伴い、委託者装置10cは、委託者署名管理部12bが省略されると共に、他の各部13〜15が第三者装置30cに配置され、機能が若干変形された委託内容管理部11c及び署名生成部16cを備えた構成となっている。
【0115】
ここで、委託内容管理部11cは、委託する内容を管理する機能と、委託内容を受託者装置20cに提示する機能と、受託者装置20cから受けた委託意志を確認する機能と、受託意志に従って署名生成部1cに署名の生成要求を行う機能と、署名生成部16cから受けた署名(r,s)を保存する一方、委託内容と署名(r,s)とを第三者装置30cに送信する機能と、受託者装置20cから送られた署名受領通知を確認する機能とをもっている。
【0116】
署名生成部16cは、委託内容管理部11cからの署名生成要求に従い、署名(r,s)を生成する機能と、生成した署名(r,s)を委託内容管理部11cに送信する機能とをもっている。
【0117】
一方、受託者装置20cは、前述した受託内容管理部22bに代えて、この受託内容管理部22bの機能に関し、署名の一部r、署名分散値s0及びコミット値cを第三者装置30cから受信するようにした受託内容管理部22bを備えている。
【0118】
また一方、第三者装置30cは、審査内容管理部31c、第三者署名管理部32c、署名分散値生成部13tc、コミット値計算部14tc、多項式生成部15tc及び第三者署名検証部34を備えている。
【0119】
審査内容管理部31cは、委託者装置10cから受けた委託内容を管理する機能と、委託者装置10cから受けた署名を第三者署名管理部32cに送出して署名分散値s0,s1の生成を要求する機能と、第三者署名管理部32cから受けた署名の一部r、署名分散値s0(又はs1)及びコミット値cを受託者装置20cに送信する機能と、受託者装置20cから受けた処理結果又は処理完了通知を審査する機能と、この審査結果に従って第三者署名管理部32cから受けた署名分散値sを受託者装置20cに送信する機能とをもっている。
【0120】
第三者署名管理部32cは、審査内容管理部31cから受けた署名(r,s)を管理する機能と、署名(r,s)を第三者署名検証部34に送出して検証を要求する機能と、審査内容管理部31cから受けた署名分散値の生成要求に基づいて多項式生成部15tcに多項式の生成を要求する機能と、コミット値計算部14tcから受けたコミット値c及び署名分散値生成部13tcから受けた署名分散値s0,s1を保存する機能と、管理する署名の一部r、署名分散値s0及びコミット値cを審査内容管理部31cに送出する機能と、審査内容管理部31cの審査結果に従って要求された署名分散値s1を審査内容管理部に送出する機能とをもっている。
【0121】
署名分散値生成部13tcは、前述した同部13が第三者装置30cに配置されたものであり、同部13の機能に関し、生成した署名分散値siの送出先を第三者署名管理部32cとしたものである。
【0122】
コミット値計算部14tcは、前述した同部14が第三者装置30cに配置されたものであり、同部14の機能に関し、計算したコミット値cの送出先を第三者署名管理部32cとしたものである。
【0123】
多項式生成部15tcは、前述した同部15が第三者装置30cに配置されたものであり、同部15の機能に関し、多項式生成の要求元を第三者署名管理部32cとしたものである。
【0124】
第三者署名検証部34は、第三者署名管理部32cから受けた署名(r,s)の正当性を検証する機能と、検証結果を第三者署名管理部32cに送出する機能とをもっている。
【0125】
次に、以上のように構成された署名分散システムの動作を図12のフローチャートを用いて説明する。
【0126】
始めに、委託内容を受託者装置に送信するステップST1から、署名(r,s)を算出するステップST3−2までは、第3(又は第2)の実施形態と同様に実行される。
【0127】
続いて、委託内容管理部11cは、署名生成部16cから受けた署名(r,s)を保存する一方、委託内容と署名(r,s)とを第三者装置30cに送信する。
【0128】
第三者装置30cでは、審査内容管理部31cがこの署名(r,s)を第三者署名管理部32cに送出して署名分散値s0,s1の生成を要求し、委託内容を管理する。
【0129】
第三者署名管理部32cは、署名(r,s)を第三者署名検証部34へ送信し、署名(r,s)の検証を要求する。
【0130】
第三者署名検証部34は、署名(r,s)の正当性を検証し、検証結果を第三者署名管理部32cに送出する。
【0131】
第三者署名管理部32cは、検証結果が署名(r,s)の正当性を示す場合に限り、多項式生成要求及び署名(r,s)を多項式生成部15tcに送出する。
【0132】
ここで、前述したステップST4〜ST6と同様に、多項式を生成するステップST4tから、署名分散値s0,s1を算出するステップST6tまでが実行される。
【0133】
しかる後、第三者署名管理部32cは、署名の一部r、一方の署名分散値s0及びコミット値cを審査内容管理部31cに送出し、審査内容管理部31cは、これらの各データr,s0,cを受託者装置20cに送信する。
【0134】
以下、ステップST7の署名分散値s0の正当性検証からステップST13の署名受領通知の確認までの処理が第3の実施形態と同様に実行される。
【0135】
上述したように本実施形態によれば、第3の実施形態の効果に加え、第三者装置30cが分担した署名分散値s0の算出機能と配布機能とに関して、委託者装置10cの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0136】
(第5の実施形態)
図13は本発明の第5の実施形態に係る署名分散システムの概略構成を示す模式図であり、図14は同システムの構成を具体的に示す機能ブロック図である。
【0137】
本実施形態は、第1又は第2の実施形態の変形例であり、図36にも示したように、署名(r,s)を発行する機能を第三者(署名)装置40dが有する構成となっている。
【0138】
これに伴い、委託者装置10dは、前述した各部13〜15に加え、第三者装置40dによる署名を検証するための委託者署名検証部17が付加され、また、機能が変形された委託内容管理部11d及び委託者署名管理部12dを備えた構成となっている。
【0139】
ここで、委託者内容管理部11dは、前述した同部11の機能に加え、第三者装置40dに署名生成要求を送信する機能と、第三者装置40dから受けた署名(r,s)を保存する機能と、この署名(r,s)を委託者署名管理部12dに送出する機能とが付加されている。
【0140】
委託者署名管理部12dは、前述した同部12の機能に加え、委託者内容管理部11dから受けた署名(r,s)を委託者署名検証部17に送出して検証を要求する機能と、委託者署名検証部17から受けた検証結果を保存する機能とをもっている。
【0141】
委託者署名検証部17は、委託者署名管理部12dから受けた署名(r,s)を検証する機能と、検証結果を委託者署名管理部12dに送出する機能とをもっている。
【0142】
第三者装置40dは、第三者署名生成部16tdを備えている。
第三者署名生成部16tdは、前述した署名生成部16が第三者装置40dに配置されたものであり、同部16の機能に関し、通信相手を委託者装置10dとしたものである。
【0143】
次に、以上のように構成された署名分散システムの動作を図15のフローチャートを用いて説明する。
【0144】
始めに、委託内容を受託者装置20に送信するステップST1から、受託意志を確認するST3までの処理は、第2の実施形態と同様に実行される。
【0145】
すなわち、委託内容管理部11dは、ステップST3にて受託意志を確認し、受託意志が否定であると処理を終了し、受託意志が肯定であると、署名の生成要求(発行依頼)を第三者装置40dに送信する(ST3−1)。
【0146】
次に、第三者装置40dでは、第三者署名生成部16tdが署名生成要求を受けると、前述同様に署名(r,s)を計算し(ST3−2t)、この署名(r,s)を委託者装置10dに送信する。
【0147】
委託者装置10dでは、委託内容管理部11dが、受信した署名(r,s)を保存すると共に、この署名(r,s)を委託者署名管理部12dに送出する。
【0148】
委託者署名管理部12dは、この署名(r,s)を保存の上、委託者署名検証部17に署名(r,s)を送出し、署名(r,s)の検証を要求する。
【0149】
委託者署名検証部17は、前述した式(7)により署名(r,s)の正当性を検証し、検証結果を委託者署名管理部12dに送出する。
【0150】
委託者署名管理部12dは、検証結果が正当である場合に限り、多項式生成要求及び署名(r,s)を多項式生成部15に送出する。
【0151】
以下、ステップST4の多項式生成からステップST13の署名受領通知の確認までの処理が第1の実施形態と同様に実行される。
【0152】
上述したように本実施形態によれば、第1の実施形態の効果に加え、第三者装置40dが分担した署名(r,s)の算出機能に関して、委託者装置10dの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0153】
(第6の実施形態)
図16は本発明の第6の実施形態に係る署名分散システムの概略構成を示す模式図であり、図17は同システムの構成を具体的に示す機能ブロック図である。
【0154】
本実施形態は、第5の実施形態の変形例であり、図36にも示したように、署名を発行する機能から署名分散値s0,s1を算出する機能までを第三者(署名)装置40eが有する構成となっている。
【0155】
これに伴い、委託者装置10eは、委託内容管理部11e及び委託者署名分散値検証部18を備えている。
【0156】
委託内容管理部11eは、委託者の委託内容を管理する機能と、委託内容を受託者装置20に提示する機能と、受託者装置20から受けた委託意志を確認する機能と、受託意志に従って第三者装置40eに署名生成を依頼する機能と、第三者装置40eから受けた署名の一部r、署名分散値s0及びコミット値cを保存する機能と、署名の一部r、署名分散値s0及びコミット値cを委託者署名分散値検証部18に送信して署名分散値s0の検証を要求する機能と、署名の一部r、署名分散値s0及びコミット値cを受託者装置20に送信する機能と、受託者装置20から受けた処理結果又は処理完了通知を審査する機能と、委託処理結果又は処理完了通知の審査結果に従って第三者装置40eに署名分散値s1の送付を要求する機能と、第三者装置40eから受けた署名分散値s1を受託者装置20に送信する機能と、受託者装置20から受信した署名受領通知を確認する機能とをもっている。
【0157】
委託者署名分散値検証部18は、委託内容管理部11eから署名の一部r、署名分散値s0(又はs1)及びコミット値cを受けると、この署名分散値s0(又はs1)の正当性を検証する機能と、検証結果を委託内容管理部11eに送出する機能とをもっている。
【0158】
第三者装置40eは、第三者署名生成部16te、第三者署名管理部12te、署名分散値生成部13te、コミット値計算部14te及び多項式生成部15teを備えている。
【0159】
第三者署名管理部12teは、委託者装置10eから受けた署名生成要求(発行依頼)に基づいて、第三者署名生成部16teに署名の生成を要求する機能と、第三者署名生成部16teから受けた署名(r,s)を管理する機能と、多項式生成部15teに多項式の生成を要求する機能と、コミット値計算部14teから受けたコミット値c及び署名分散値生成部13teから受けた署名分散値s0,s1を保存する機能と、委託者装置10から受けた1回目の署名分散値送付要求に基づいて、署名の一部r、署名分散値s0及びコミット値cを委託者装置10に送信する機能と、委託者装置10から受けた2回目の署名分散値送付要求に基づいて署名分散値s1を委託者装置10に送信する機能とををもっている。
【0160】
署名分散値生成部13teは、前述した同部13が第三者装置40eに配置されたものであり、同部13の機能に関し、生成した署名分散値siの送出先を第三者署名管理部12teとしたものである。
【0161】
コミット値計算部14teは、前述した同部14が第三者装置40eに配置されたものであり、同部14の機能に関し、計算したコミット値cの送出先を第三者署名管理部12teとしたものである。
【0162】
多項式生成部15teは、前述した同部15が第三者装置40eに配置されたものであり、同部15の機能に関し、多項式生成の要求元を第三者署名管理部12teとしたものである。
【0163】
第三者署名生成部16teは、前述した署名生成部16が第三者装置40eに配置されたものであり、同部16の機能に関し、通信相手を第三者署名管理部12teとしたものである。
【0164】
次に、以上のように構成された署名分散システムの動作を図18のフローチャートを用いて説明する。
【0165】
始めに、委託内容を受託者装置20に送信するステップST1から、第三者装置40eが署名(r,s)を計算するステップST3−2までの処理は、第5の実施形態と同様に実行される。
【0166】
但し、第三者署名部16teは、第三者署名管理部12teを介して署名生成要求を受ける。また、第三者署名部16teは、この署名生成要求に基づいて、前述同様に署名(r,s)を計算すると(ST3−2t)、前述とは異なり、この署名(r,s)を第三者署名管理部12teに送出する。
【0167】
第三者署名管理部12teは、この署名(r,s)を保存の上、多項式生成要求及び署名(r,s)を多項式生成部15teに送出する。
【0168】
ここで、前述したステップST4〜ST6と同様に、多項式を生成するステップST4tから、署名分散値s0,s1を算出するステップST6tまでが実行される。
【0169】
しかる後、第三者署名管理部12teは、署名の一部r、署名分散値s0,s1及びコミット値cを保存する。また、第三者署名管理部12teは、委託者装置10から署名分散値送付要求を受けると、この要求に基づいて、署名の一部r、署名分散値s0及びコミット値cを委託者装置10eに送信する。
【0170】
委託者装置10eでは、委託内容管理部11eがこの署名の一部r、署名分散値s0及びコミット値cを委託者署名分散値検証部18に送出し、署名分散値s0の検証を要求する。
【0171】
委託者署名分散値検証部18は、署名の一部r、署名分散値s0及びコミット値cに基づいて、署名分散値s0の正当性を前述した検証式(5−0)により検証し(ST7c)、検証結果を委託内容管理部11eに返信する。
【0172】
委託内容管理部11eは、受けた署名分散値s0の検証結果が正当性を示すとき、署名の一部r、署名分散値s0及びコミット値cを受託者装置20に送信する。
【0173】
次に、前述したステップST7〜ST9と同様に、署名分散値s0の正当性を検証するステップST7から、遂行内容を審査するステップST9までが実行される。
【0174】
但し、委託者装置10では、委託内容管理部11が、処理結果又は委託内容完了通知を審査し(ST9)、正当と判断した場合のみ、他方の署名分散値s1を第三者装置40eに要求する。
【0175】
第三者装置40eは、この要求により、第三者署名管理部12teが署名分散値s1を委託者装置10eに送信する(ST9−1t)。
【0176】
委託者装置10eは、委託内容管理部11eがこの署名分散値s1を委託者署名分散値検証部18に送出し、署名分散値s1の検証を要求する。
【0177】
委託者署名分散値検証部18は、前述同様に、署名分散値s1の正当性を検証し、検証結果を委託内容管理部11eに送出する。
【0178】
委託内容管理部11eは、受けた署名分散値s0の検証結果が正当性を示すとき、署名分散値s1を受託者装置20に送信する(ST9−2c)。
【0179】
以下、前述同様に、ステップST10の署名分散値s1の正当性検証からステップST13の署名受領通知の確認までの処理が実行される。
【0180】
上述したように本実施形態によれば、第5の実施形態の効果に加え、第三者装置40eが分担した署名分散値s0,s1の算出機能に関して、委託者装置10cの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0181】
(第7の実施形態)
図19は本発明の第7の実施形態に係る署名分散システムの概略構成を示す模式図であり、図20は同システムの構成を具体的に示す機能ブロック図である。
【0182】
本実施形態は、第6の実施形態の変形例であり、図36にも示したように、委託者装置10fによる遂行内容の審査後、要求により第三者装置40fが署名分散値s1を受託者装置20fに配布する構成となっている。
【0183】
これに伴い、委託者装置10fでは、委託内容管理部11fが、前述した同部11eの機能に関し、第三者装置40fから受けた署名分散値s1を受託者装置20fに送信する機能が省略されている。
【0184】
受託者装置20fでは、受託内容管理部22fが、前述した同部22の機能に関し、署名分散値s1の送信元を第三者装置40fに代えた構成となっている。
【0185】
第三者装置40fでは、第三者署名管理部12tfが、前述した同部12teの機能に関し、署名分散値s1の送信先が受託者装置20fに変更されている。
【0186】
次に、以上のように構成された署名分散システムの動作を図21のフローチャートを用いて説明する。
【0187】
始めに、委託内容を受託者装置20に送信するステップST1から、第三者装置40eが署名分散値s1を送信するステップST9−1までの処理は、第6の実施形態と同様に実行される。
【0188】
但し、ステップST9−1の処理において、署名分散値s1の送信先は、前述とは異なり、受託者装置20fとなっている。すなわち、署名分散値s1は、第三者装置40fから直接的に受託者装置20fに送信される。
【0189】
以下、前述同様に、ステップST10の署名分散値s1の正当性検証からステップST13の署名受領通知の確認までの処理が実行される。
【0190】
上述したように本実施形態によれば、第6の実施形態の効果に加え、第三者装置40fが分担した署名分散値s1の配布機能に関して、委託者装置10fの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0191】
(第8の実施形態)
図22は本発明の第8の実施形態に係る署名分散システムの概略構成を示す模式図であり、図23は同システムの構成を具体的に示す機能ブロック図である。
【0192】
本実施形態は、第7の実施形態の変形例であり、図36にも示したように、委託者側の主な5つの機能のうち、署名分散値s0を配布する機能を委託者装置10gが有し、他の4つの機能を第三者装置40gが有する構成となっている。
【0193】
これに伴い、委託者装置10gは、委託内容管理部11gの機能が若干変形されている。
【0194】
委託内容管理部11gは、前述した同部11fの機能に関し、処理結果等を審査する機能からその審査結果に基づいて署名分散値s1を受託者装置20gに送信するまでの機能が省略されたものとなっている。
【0195】
受託者装置20gは、受託内容管理部22gの機能が若干変形されている。
受託内容管理部22gは、前述した同部22fの機能に関し、処理結果又は処理完了通知の送信先を第三者装置40gに代えた構成となっている。
【0196】
第三者装置40gは、前述した同装置40fに関し、審査内容管理部41gが付加された構成となっている。
【0197】
審査内容管理部41gは、委託者装置10gから受けた署名生成要求(発行依頼)に基づいて第三者署名管理部12tgに署名生成を要求する機能と、委託者装置10gから受けた委託内容を管理する機能と、第三者署名管理部12tgから受けた署名の一部r、署名分散値s0及びコミット値cを委託者装置10gに送信する機能と、受託者装置20gから受けた処理結果又は処理完了通知を審査する機能と、委託処理結果又は処理完了通知の審査結果に従って第三者署名管理部12tgから受けた署名分散値s1を受託者装置20gに送信する機能とをもっている。但し、受託者装置20gへ署名分散値s1を送信する時、コミット値cや署名の一部rを含む関連情報を一緒に送信してもよい。
【0198】
第三者署名管理部12tgは、前述した同部12tfの機能に関し、通信相手が委託者装置10fに代えて審査内容管理部41gに変更されたものである。
【0199】
次に、以上のように構成された署名分散システムの動作を図24のフローチャートを用いて説明する。
【0200】
始めに、委託内容を受託者装置20gに送信するステップST1から、受託者装置20gが委託内容を遂行するステップST8までの処理は、第7の実施形態と同様に実行される。
【0201】
但し、受託者装置20gでは、受託内容管理部22gが、前述とは異なり、第三者装置40gに処理結果又は処理完了通知を送信するための送信処理を実行する。
【0202】
第三者装置40gでは、審査内容管理部41gが、受けた処理結果又は委託内容完了通知を審査し(ST9t)、正当と判断した場合のみ、他方の署名分散値s1を委託者署名管理部12tgに要求し、得られた署名分散値s1を受託者装置20gに送信する(ST9−1t)。
【0203】
以下、前述同様に、ステップST10の署名分散値s1の正当性検証からステップST13の署名受領通知の確認までの処理が実行される。
【0204】
上述したように本実施形態によれば、第7の実施形態の効果に加え、第三者装置40gが分担した遂行内容の審査機能に関して、委託者装置10gの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0205】
(第9の実施形態)
図25は本発明の第9の実施形態に係る署名分散システムの概略構成を示す模式図であり、図26は同システムの構成を具体的に示す機能ブロック図である。
【0206】
本実施形態は、第7の実施形態の変形例であり、図36にも示したように、委託者側の主な5つの機能のうち、遂行内容を審査する機能を委託者装置10hが有し、他の4つの機能を第三者装置40hが有する構成となっている。
【0207】
これに伴い、委託者装置10hは、委託者署名分散値検証部18が省略され、機能が若干変形された委託内容管理部11hを備えている。
【0208】
委託内容管理部11hは、前述した同部11fの機能に関し、第三者装置40hから署名の一部r、署名分散値s0,s1及びコミット値cを受ける機能及びその関連機能(検証機能、送信機能等)が省略されたものとなっている。
【0209】
受託者装置20hでは、前述した同部22fの機能に関し、署名分散値s0の送信元をも第三者装置40hに代えた構成となっている。
【0210】
第三者装置40hでは、第三者署名管理部12thが、前述した同部12teの機能に関し、署名分散値s0の送信先が受託者装置20hに変更されている。
【0211】
次に、以上のように構成された署名分散システムの動作を図27のフローチャートを用いて説明する。
【0212】
始めに、委託内容を受託者装置20に送信するステップST1から、第三者装置40hが署名分散値s0,s1を算出するステップST6tまでの処理は、第7の実施形態と同様に実行される。
【0213】
ステップST6tの後、第三者署名管理部12thは、署名の一部r、署名分散値s0,s1及びコミット値cを保存するが、委託者装置10hから署名分散値送付要求を受けると、前述とは異なり、受託者装置20hに署名の一部r、署名分散値s0及びコミット値cを送信する。すなわち、乱数の一部r、署名分散値s0及びコミット値cは、第三者装置40hから直接的に受託者装置20fに送信される。
【0214】
以下、ステップST7の署名分散値s0の正当性検証からステップST13の署名受領通知の確認までの処理は、第7の実施形態と同様に実行される。
【0215】
上述したように本実施形態によれば、第7の実施形態の効果に加え、第三者装置40hが分担した署名分散値s0の配布機能に関して、委託者装置10hの負荷を低減させる一方、受託者から見た信用度を高めることができる。
【0216】
(第10の実施形態)
図28は本発明の第10の実施形態に係る署名分散システムの概略構成を示す模式図であり、図29は同システムの構成を具体的に示す機能ブロック図である。
【0217】
本実施形態は、第7の実施形態の変形例であり、図36にも示したように、前述した第三者装置40fの機能を、2つの第三者装置30i,40iに分割した構成となっている。
【0218】
ここで、第三者装置30iは、前述した第三者装置40fの各部のうち、第三者署名管理部12tf、署名分散値生成部13te、コミット値計算部14te及び多項式生成部15teを有し、さらに、第三者署名検証部19が付加されたものである。
【0219】
これに伴い、第三者署名管理部12tfは、前述した機能に加え、他方の第三者装置40iから受けた署名(r,s)を管理する機能と、署名(r,s)を第三者署名検証部19に送出して検証を要求する機能とが付加されている。
【0220】
第三者署名検証部19は、第三者署名管理部12tfから受けた署名(r,s)の正当性を検証する機能と、検証結果を第三者署名管理部12tfに送出する機能とをもっている。
【0221】
第三者装置40iは、前述した第三者装置40fの各部のうち、第三者署名生成部16teを備えたものである。なお、第三者署名生成部16teは、第三者署名管理部12tfから受けた署名生成要求に基づいて署名(r,s)を生成する機能と、生成した署名(r,s)を第三者署名管理部12tfに送信する機能とをもつものである。
【0222】
次に、以上のように構成された署名分散システムの動作を図30のフローチャートを用いて説明する。
【0223】
始めに、委託内容を受託者装置20に送信するステップST1から、署名の生成要求を第三者装置30iに送信するステップ3−1までの処理は、第7の実施形態と同様に実行される。
【0224】
第三者装置30iでは、第三者署名管理部16teがこの署名生成要求を署名用の第三者装置40iに転送する。
【0225】
署名用の第三者装置40iでは、第三者署名生成部16teが署名生成要求を受けると、前述同様に署名(r,s)を計算し(ST3−2t)、この署名(r,s)を要求元の第三者装置30iに送信する。
【0226】
第三者装置30iでは、第三者署名管理部12tfが、受信した署名(r,s)を保存すると共に、この署名(r,s)を第三者署名検証部19に送出し、署名(r,s)の検証を要求する。
【0227】
第三者署名検証部19は、署名(r,s)の正当性を検証し、検証結果を第三者署名管理部12tfに送出する。
【0228】
第三者署名管理部12tfは、検証結果が正当である場合に限り、多項式生成要求及び署名(r,s)を多項式生成部15teに送出する。
【0229】
以下、ステップST4tの多項式生成からステップST13の署名受領通知の確認までの処理が第7の実施形態と同様に実行される。
【0230】
上述したように本実施形態によれば、第7の実施形態の効果に加え、2台の第三者装置30i,40iが互いに機能を分担するので、個々の第三者装置30i,40iの負荷を低減させることができる。
【0231】
(第11の実施形態)
図31は本発明の第11の実施形態に係る署名分散システムの概略構成を示す模式図であり、図32は同システムの構成を具体的に示す機能ブロック図である。
【0232】
本実施形態は、第9の実施形態の変形例であり、図36にも示したように、前述した第三者装置40hの機能を、2つの第三者装置30j,40jに分割した構成となっている。
【0233】
ここで、第三者装置30jは、前述した第三者装置40hの各部のうち、第三者署名管理部12th、署名分散値生成部13te、コミット値計算部14te及び多項式生成部15teを有し、さらに、第三者署名検証部19jが付加されたものである。
【0234】
第三者署名管理部12thは、前述した機能に加え、他方の第三者装置40jから受けた署名(r,s)を管理する機能と、署名(r,s)を第三者署名検証部19jに送出して検証を要求する機能とが付加されている。
【0235】
第三者署名検証部19jは、前述同様に、第三者署名管理部12thから受けた署名(r,s)の正当性を検証し、検証結果を第三者署名管理部12thに送出するものである。
【0236】
第三者装置40jは、前述した第三者装置40hの各部のうち、第三者署名生成部16teを備えたものである。第三者署名生成部16teは、前述同様に、第三者署名管理部12tfから受けた署名生成要求に基づいて署名(r,s)を生成し、得られた署名(r,s)を第三者署名管理部12thに送信するものである。
【0237】
次に、以上のように構成された署名分散システムの動作を図33のフローチャートを用いて説明する。
【0238】
始めに、委託内容を受託者装置20に送信するステップST1から、署名の生成要求を第三者装置30jに送信するステップ3−1までの処理は、第9の実施形態と同様に実行される。
【0239】
第三者装置30jでは、第三者署名管理部16teがこの署名生成要求を署名用の第三者装置40jに転送する。
【0240】
署名用の第三者装置40jでは、第三者署名生成部16teが署名生成要求を受けると、前述同様に署名(r,s)を計算し(ST3−2t)、この署名(r,s)を要求元の第三者装置30jに送信する。
【0241】
第三者装置30jでは、第三者署名管理部12thが、受信した署名(r,s)を保存すると共に、この署名(r,s)を第三者署名検証部19jに送出し、署名(r,s)の検証を要求する。
【0242】
第三者署名検証部19jは、署名(r,s)の正当性を検証し、検証結果を第三者署名管理部12tjに送出する。
【0243】
第三者署名管理部12thは、検証結果が正当である場合に限り、多項式生成要求及び署名(r,s)を多項式生成部15teに送出する。
【0244】
以下、ステップST4tの多項式生成からステップST13の署名受領通知の確認までの処理が第9の実施形態と同様に実行される。
【0245】
上述したように本実施形態によれば、第9の実施形態の効果に加え、2台の第三者装置30j,40jが互いに機能を分担するので、個々の第三者装置30j,40jの負荷を低減させることができる。
【0246】
なお、上記第2〜第11の実施形態は、図36に示すように委託者と第三者との機能分担を代えた場合を説明したが、これに限らず、図36に示した機能分担とは異なる機能分担としてもよい。
【0247】
具体的には、第2〜第11の実施形態に対応する「署名(r,s)を発行」から「署名分散値s1を配布」までの5つの機能に関し、委託者と第三者との機能分担が図36に無い組合せであっても、本発明を同様に実施することができる。
【0248】
換言すると、5つの機能に関する委託者と第三者との機能分担は、全て第三者で処理する1通りを除き、全部で25−1(=31)通りがある。このうち、第2〜第9の実施形態の8通りを除く23(=31−8)通りのいずれの組合せであっても、本発明を同様に実施して同様の効果を得ることができる。
【0249】
同様に、第10〜第11の実施形態に対応する「署名(r,s)を発行」を第三者A(署名者)が行なう場合の残りの「署名分散値s0,s1を算出」から「署名分散値s1を配布」までの4つの機能に関し、委託者と第三者Bとの機能分担が図36に無い組合せであっても、同様に実施することができる。
【0250】
換言すると、残り4つの機能に関する委託者と第三者Bとの機能分担は、全て委託者又は第三者Bで処理する2通りを除き、全部で24−2(=14)通りがある。このうち、第10〜第11の実施形態と重複する2通りを除く12(=14−2)通りのいずれの組合せであっても、本発明を同様に実施して同様の効果を得ることができる。
【0251】
また、残り4つの機能を、委託者と第三者Bとの機能分担に限らず、委託者、第三者A及び第三者Bの機能分担とするように変形しても、本発明を同様に実施できることは言うまでもない。
【0252】
(第12の実施形態)
図34は本発明の第12の実施形態に係る署名分散システムの概略構成を示す模式図である。
【0253】
すなわち、本実施形態は、2個の署名分散値s0,s1を用いる第1〜第11の実施形態の変形例であり、図36にも示したように、署名分散値の個数を2個以上の複数n個に拡張したものである。
【0254】
本実施形態は具体的には、第1〜第11の実施形態のうち、任意の実施形態に用いた委託者装置10x、第三者装置30x及び第三者(署名)装置40xに適用される委託者側装置50と、委託者側と同一の実施形態に用いた受託者装置20xに適用される受託者装置20kとを備えている。但し、以下の説明は、第1の実施形態に適用した場合を代表例に挙げて述べる。
【0255】
委託者側装置50では、署名分散値siの個数をn個に拡張したことに伴い、前述した機能に関し、図2に示す多項式生成部15がn−1個の乱数bjとn項の多項式f(z)とを生成可能となっており、署名分散値生成部13がn個の署名分散値siを生成可能となっており、コミット値計算部14がn−1個のコミット値cjを生成可能となっている。
【0256】
なお、0≦i≦n−1、1≦j≦n−1である。また、n−1個の引数ziは、委託者側装置50及び受託者装置20kとで共有されている。
【0257】
一方、受託者装置20kは、署名分散値siの個数をn個に拡張したことに伴い、前述した機能に関し、図2に示す署名分散値検証部24が後述する検証式(11)を用いるものとなっており、また、署名算出部25が署名の一部r、n個の署名分散値si及びn−1個のコミット値cjから署名の一部s及び乱数bjを算出可能となっている。
【0258】
次に、以上のように構成された署名分散システムの動作を図35のフローチャートと前述した図2を参照して説明する。
【0259】
始めに、委託内容を受託者装置20kに送信するステップST1から、受託意志を確認するST3までの処理は、第1の実施形態と同様に実行される。
【0260】
すなわち、委託者側装置50では、委託内容管理部11がステップST3にて受託意志を確認し、受託意志が肯定であるときのみ、分散署名の生成要求を委託者署名管理部12に送出する。
【0261】
委託者署名管理部12は、この生成要求を受けると、多項式生成要求及び署名(r,s)を多項式生成部15に送出する。
【0262】
多項式生成部15は、この多項式生成要求に従い、乗法群Zqからn−1個の任意の乱数bjを選択し(bj∈Zq)、次式(8)に示すように多項式f(z)を生成する(ST4)。
【0263】
f(z)=s+b1・z+b2・z2+…+bn-1・zn-1 (mod q)…(8)
しかる後、多項式生成部15は、生成の際に、選択した乱数bjと署名の一部rをコミット値計算部14に送出すると共に、生成した多項式f(z)を署名分散値生成部13に送出する。
【0264】
コミット値計算部14は、この乱数bjと署名の一部rを用いて次式(9)に示すようにn−1個のコミット値cjを計算し(ST5)、このコミット値cjを委託者署名管理部12に送出する。
【0265】
j=rbj(mod p) …(9)
一方、署名分散値生成部13は、前述した式(8)に対し、予め各装置50,20k間で共有された引数z0,…,zn-1を個別に代入して、次式(10)に示すようにn個の署名分散値s0,…,sn-1を計算し(ST6)、得られた署名分散値s0,…,sn-1を委託者署名管理部12に送出する。
【0266】
i=f(zi)=s+b1・zi+b2・zi 2+…+bn-1・zi n-1 (mod q)…(10)
委託者署名管理部12は、署名の一部r、1つ目の署名分散値s0及びコミット値cを委託内容管理部11に送出し、委託内容管理部11は、これらの各データr,s0,cを受託者装置20kに送信する。
【0267】
受託者装置20kは、前述同様に、ステップST7の署名分散値s0の正当性から、ステップST10の署名分散値s1の正当性検証までの処理を実行する。
【0268】
但し、ステップST8〜ST10の処理は、署名分散値siの個数がn個あることに基づき、合計n−1回繰り返される。
【0269】
また、ステップST101〜10n-1における署名分散値s1,…,sn-1の検証処理は、署名分散値検証部24により次の検証式(11)を用いて実行される。
【0270】
【数7】
Figure 0004018370
【0271】
また、署名分散値検証部24は、各々の署名分散値siの検証結果をその都度、受託者署名管理部23に返信する。
【0272】
ここで、以上のようなn−1回の繰返し処理について具体的に説明する。
【0273】
例えば、委託者側装置50は、委託内容のうち、受託者装置20kが遂行した委託部分に応じて署名分散値s1,…,sn-1を渡していく場合を考える。この例では、委託内容は、9章で成る英文書物の翻訳であるとする。また、署名(r,s)は、翻訳料金に相当する電子マネーへの署名、又は翻訳料の支払契約書への署名とする。
【0274】
委託者側装置50は、式(7)〜(9)により、10個の署名分散値s0,s1,…,s9を計算する。受託者装置20kは、翻訳前に契約の証明用として、署名分散値s0を受ける。その後、受託者装置20kは、1章の翻訳を終える毎に、対応した署名分散値s1,…,sn-1のいずれかを送信してもらう。
【0275】
これにより、受託者装置20kは、その都度、署名分散値siの正当性を検証することで、一章分の報酬又は完了の証拠を確認及び取得しながら、次章の翻訳へと処理を進めることができる。すなわち、各署名分散値s0,s1〜sn-1が、口論時に、受託者の仕事量を示す確かな証拠として機能する。
【0276】
さて、以上のような繰返し処理が完了すると、受託者署名管理部23は、署名分散値検証部24から受けた全ての署名分散値s0,…,sn-1の検証結果が正当である場合に、コミット値cj、署名の一部r、署名分散値s0,…,sn-1を署名算出部25に送信する。
【0277】
署名算出部25は、n個の署名分散値s0,…,sn-1と、各署名分散値si毎に前述した式(10)を用いて署名の一部s及びn−1個の乱数bjを計算し(ST11)、署名の一部s及び乱数bjを受託者署名管理部23及び署名検証部26に送出する。
【0278】
以下、ステップST12の署名(r,s)及びコミット値cjの正当性検証からステップST13の署名受領通知の確認までの処理が、第1の実施形態と同様に実行される。
【0279】
上述したように本実施形態によれば、第1〜第11の実施形態の効果に加え、署名分散値siの個数を任意のn個に拡張したことから、n−1回の各段階毎に遂行可能な任意の委託内容に対しても適用を図ることができる。
【0280】
なお、本実施形態は、第1の実施形態に適用した場合を代表例として述べたが、これに限らず、第2〜第11の実施形態又は第11の実施形態で述べた変形例のいずれに適用しても、同様の作用効果を得ることができる。
【0281】
また、本実施形態は、委託者側装置50を構成する各装置の数を最大でn個まで増やしても良い。この場合、例えばサーバのメンテナンスを円滑に行なうことができる。また、契約の段階によって異なる第三者装置から分散情報siを配布するといった形態も実施できる。
【0282】
なお、上記第1〜第12の実施形態では、n個の分散情報のうちの全て(n個)が揃うと、デジタル署名が復元可能となる(n,n)しきい値秘密分散方式として動作させる場合について説明したが、これに限らず、n個の分散情報のうちの任意のk個が揃うと、デジタル署名が復元可能となる(k,n)しきい値秘密分散方式として動作させる構成に変形しても、本発明を同様に実施して同様の効果を得ることができ、さらに信頼性の向上を図ることができる。
【0283】
例えば(n,n)しきい値秘密分散方式の場合、受託者装置では、n個の分散情報を全て揃える必要があるので、委託者側装置内の複数台の配布装置(合計で複数台の、委託者装置及び/又は1台以上の第三者装置)から分散情報が配布される場合には、各配布装置が1台でも異常になると、分散情報が揃わず、署名を復元できなくなってしまう。
【0284】
一方、(k,n)しきい値秘密分散方式の場合には、受託者装置では、n個の分散情報のうちのk個を揃えればよいので、委託者側装置内の各配布装置から分散情報が配布される場合に、各配布装置の分散情報の配分にもよるが、各配布装置が数台異常になっても、k個の分散情報を揃えることができ、署名を復元できる。
【0285】
このため、委託者側装置の複数の配布装置から分散情報を配布する場合などには、(k,n)しきい値秘密分散方式を用いることにより、一層、信頼性を向上させることができる。
【0286】
補足すると、しきい値kとは、分散情報の総数nよりも小さい値(k<n)であり、且つ秘密情報を復元可能となる分散情報の個数kのことである。例えば、n=3、k=2の場合、しきい値kは、3つの分散情報のうち、2つの分散情報が揃えば、署名の一部sが復元可能となることを意味している。
【0287】
用途としては、例えば第1〜第3の第三者装置(サーバ)A,B,Cがあり、プロセス#1、#2がある場合を考える。また、この場合、プロセス#1が完了すると、第1の第三者装置Aから1つの分散情報を送り、プロセス#2が完了すると、第2の第三者装置Bから他の1つの分散情報を送る予定である、とする。
【0288】
このとき、(k,n)しきい値秘密分散方式によれば、途中で第2の第三者装置Bが故障しても、Bの代わりに第3の第三者装置Cが1つの分散情報を送るので、受託者装置では、cから受けた分散情報により、合計2つの分散情報が揃って、秘密情報(署名)を復元できる。この場合、第三者装置Cは、異常時の保険(フェイルセーフ)用の装置として機能する。
【0289】
また、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0290】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0291】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0292】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0293】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0294】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0295】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0296】
なお、本願発明は、上記各実施形態に限定されるものでなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組合せて実施してもよく、その場合、組み合わされた効果が得られる。さらに、上記各実施形態には種々の段階の発明が含まれており、開示される複数の構成用件における適宜な組合せにより種々の発明が抽出され得る。例えば実施形態に示される全構成要件から幾つかの構成要件が省略されることで発明が抽出された場合には、その抽出された発明を実施する場合には省略部分が周知慣用技術で適宜補われるものである。
【0297】
その他、本発明はその要旨を逸脱しない範囲で種々変形して実施できる。
【0298】
【発明の効果】
以上説明したように本発明によれば、デジタル署名を授受する際に、各当事者をいずれも不利な状況にせず、公平な処理を実現できる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る署名分散システムの概略構成を示す模式図
【図2】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図3】同実施形態における動作を説明するためのフローチャート
【図4】本発明の第2の実施形態に係る署名分散システムの概略構成を示す模式図
【図5】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図6】同実施形態における動作を説明するためのフローチャート
【図7】本発明の第3の実施形態に係る署名分散システムの概略構成を示す模式図
【図8】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図9】同実施形態における動作を説明するためのフローチャート
【図10】本発明の第4の実施形態に係る署名分散システムの概略構成を示す模式図
【図11】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図12】同実施形態における動作を説明するためのフローチャート
【図13】本発明の第5の実施形態に係る署名分散システムの概略構成を示す模式図
【図14】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図15】同実施形態における動作を説明するためのフローチャート
【図16】本発明の第6の実施形態に係る署名分散システムの概略構成を示す模式図
【図17】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図18】同実施形態における動作を説明するためのフローチャート
【図19】本発明の第7の実施形態に係る署名分散システムの概略構成を示す模式図
【図20】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図21】同実施形態における動作を説明するためのフローチャート
【図22】本発明の第8の実施形態に係る署名分散システムの概略構成を示す模式図
【図23】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図24】同実施形態における動作を説明するためのフローチャート
【図25】本発明の第9の実施形態に係る署名分散システムの概略構成を示す模式図
【図26】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図27】同実施形態における動作を説明するためのフローチャート
【図28】本発明の第10の実施形態に係る署名分散システムの概略構成を示す模式図
【図29】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図30】同実施形態における動作を説明するためのフローチャート
【図31】本発明の第11の実施形態に係る署名分散システムの概略構成を示す模式図
【図32】同実施形態における署名分散システムの構成を具体的に示す機能ブロック図
【図33】同実施形態における動作を説明するためのフローチャート
【図34】本発明の第12の実施形態に係る署名分散システムの概略構成を示す模式図
【図35】同実施形態における動作を説明するためのフローチャート
【図36】本発明の各実施形態の概要を示す模式図
【符号の説明】
10,10a〜10g…委託者装置
11,11b〜11h…委託内容管理部
12,12a,12d,12te〜12th…委託者署名管理部
13,13tc,13te…署名分散値生成部
14,14tc,14te…コミット値計算部
15,15tc,15te…多項式生成部
16,16c…署名生成部
16td…第三者署名生成部
17…委託者署名検証部
18…委託者署名分散値検証部
20,20b,20c,20f〜20h,20k…受託者装置
21…受託内容処理部
22,22b,22c,22f〜22h…受託内容管理部
23…受託者署名管理部
24…署名分散値検証部
25…署名算出部
26…署名検証部
30b,30c,30i,30j…第三者装置
31…審査内容管理部
32,32c…第三者署名管理部
33…第三者署名分散値検証部
34…第三者署名検証部
40d〜40j…第三者(署名)装置
50…委託者側装置[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a signature distribution system, program and method applicable to various transaction systems.
[0002]
[Prior art]
A digital signature is an important technique for guaranteeing reliability and evidence in e-commerce, for example. Such digital signatures are used for various services such as electronic contracts, electronic checks, electronic cash, etc., for each applied service.
[0003]
For example, when used for electronic cash, a digital signature is attached to a message portion of electronic cash corresponding to the service price from a consignor entrusting the service (eg, a requester), and the digital signature is included in the electronic cash (see FIG. E.g. service provider). When the trustee settles the electronic cash with a financial institution and confirms that the income corresponding to the amount of the electronic cash is obtained, the trustee provides a predetermined service to the trustee.
This is an example when electronic cash is delivered before the service is provided, and electronic cash may be delivered after the service is provided.
[0004]
[Problems to be solved by the invention]
However, it is known that the digital signature as described above causes different problems depending on whether the timing of delivery of electronic cash to the trustee is after provision of the service from the trustee or before provision of the service ( MK Franklin and MK Reiter, “Verifiable signature sharing”, Advances in Cryptology-EUROCRYPT '95, LNCS 921, pp.50-63, 1995.).
[0005]
That is, in the former, a trustee disadvantageous situation in which electronic cash may not be paid occurs, and in the latter, a consignor disadvantageous situation in which electronic cash may be escaped occurs. In any case, the method of giving and receiving a digital signature becomes unfair processing, which is not preferable.
[0006]
The present invention has been made on the basis of the above circumstances, and provides a signature distribution system, program, and method capable of realizing fair processing without giving each party a disadvantage when transferring a digital signature. With the goal.
[0007]
[Means for Solving the Problems]
1st invention is based on the transmission side entity apparatus which transmits separately the some shared information for decompress | restoring the digital signature with respect to the presented message separately in time series, and the said distributed information received from the said transmission side entity apparatus. A signature distribution system including a reception side entity device for restoring a digital signature, wherein the transmission side entity device includes signature generation means for generating each of the distributed information based on the digital signature, and the reception side entity Each time a request is received from a device, the distributed information transmitting means for individually transmitting each piece of distributed information generated by the signature generating means to the receiving-side entity device. Each time shared information is received from the transmission means, the shared information verification means for verifying the validity of the shared information, When shared information validity is verified are met in whole or predetermined number by shared information verification unit, the signature distributed system and a signature restoring means for restoring the digital signature on the basis of the respective distribution information.
[0009]
Here, the transmitting-side entity device can be realized as, for example, a consignor-side device that entrusts arbitrary processing or a client-side device that provides a predetermined service, and is not limited to a single device, It is good also as a several apparatus group containing a third party apparatus.
[0010]
The receiving-side entity device can be realized as, for example, a trustee device that receives and executes a consigned process, or an ASP (Application Service Provider) -side device that provides a predetermined service.
[0011]
  First2In the invention of the present invention, n (2 ≦ n) distributed information s for restoring a digital signature for the message m presented to the receiving entity deviceiA first device capable of calculating the digital signature and a first device capable of verifying the digital signature by a transmitting entity device that individually transmits (0 ≦ i ≦ n−1) to the receiving entity device in time series. Two devices, wherein the first device is a multiplicative group Zq with respect to a predetermined first prime number q.*A random number k is selected from the above, a hash value h (m) is obtained for the message m, and a predetermined second prime number p (= w * q + 1) related to the first prime number q (where w is an arbitrary number greater than or equal to 2) Natural number), the multiplicative group Zp*R = α based on a predetermined primitive element α whose order at q is q, a public key cryptography secret key x, the random number k, and the hash value h (m)k(Mod p) and s = k-1When calculating a digital signature (r, s) satisfying the expression {h (m) + x · r} (mod q) and transmitting the digital signature (r, s) to the second device,The examination content management unit, the third party signature verification unit, the polynomial generation unit, the commit value calculation unit, and the signature distribution value generation unitA distributed signature program used for a second device, wherein the computer of the second device sends the first device to the computerBy the examination content management departmentWhen the digital signature (r, s) is received, the public key y corresponding to the secret key x is used to determine the validity of the digital signature (r, s) as r.s= Αh (m)yr  Based on the relationship (mod p)By the third party signature verification unitThe ability to verify,Multiplicative group Zq * To n-1 random numbers b j A function for selecting the polynomial generator, the random number b j Based on the polynomial f ( z ) = S + b 1 ・ Z + b 2 ・ Z 2 + ... + b n-1 ・ Z n-1 (Mod q) a function for generating the polynomial generator, the random number b j And n−1 commit values c based on part r of the digital signature j (= R bj (Mod a function of calculating p)) by the commit value calculation unit, predetermined n arguments z i And the polynomial f ( z ) N signature distribution values s based on i (= F ( z i ) ) By the signature distribution value generation unit, based on the first request received by the examination content management unit from the receiving entity device, a part r of the digital signature, the first signature distribution value s 0 , And commit value c j For each second and subsequent requests received from the receiving entity device by the examination content management unit. i A function for individually transmitting the information by the examination content management unit,Is a signature distribution program for realizing the above.
[0013]
  First3The present invention is a digital signature (r, s) for the presented message m (r = αk(Mod p), s = k-1{H (m) + x · r} (mod q), where p and q are prime numbers having a relationship of p = w * q + 1 (where w is an arbitrary natural number of 2 or more), α is a multiplicative group Zp*A given primitive element whose order at q is q, k is a multiplicative group Zq*N (2 ≦ n) distributed information for restoring the digital signature (r, s) with respect to the random number in the list, h (m) is the hash value of m, and x is the secret key of the public key cryptosystem si(However, 0≤i≤n-1, si= F (zi) = S + b1・ Zi+ B2・ Zi 2+ ... + bn-1・ Zi n-1 (Mod q), ziN−1 arguments) are individually requested in time series from the transmitting entity device, and a total of n pieces of distributed information s received from the transmitting entity device n times by this request.iA digital signature (r, s) from a digital signature (r, s) and a signature verification program used in a receiving entity device capable of verifying the obtained digital signature (r, s),The receiving entity device includes a consignment content management unit and a signature distribution value verification unit,From the transmitting entity device to the computer of the receiving entity deviceBy the commissioned content management departmentPart of received digital signature r and n-1 commit values cj(However, 1 ≦ j ≦ n-1, cj= Rb j, BjIs n−1 random numbers), a public key y corresponding to the secret key x, and a predetermined argument ziAnd from the transmitting entity deviceBy the commissioned content management departmentDistributed informationiEach time it receives the shared information siBased on the relationship of the following formulaBy the signature distribution value verification unitThis is a signature verification program for realizing a verification function.
[0014]
[Equation 3]
Figure 0004018370
[0015]
  First4The invention of the3In the invention, the computer of the receiving entity device includes:
  A total of n pieces of distributed information s received from the transmitting entity deviceiAnd f (zi) And a digital signature part s and n-1 random numbers b.jTheBy the signature calculation unitA function for calculating, a digital signature (r, s) from a part r of the digital signature received from the transmitting entity device and a part s of the calculated digital signatureBy the signature calculation unitUsing the function to restore, the public key y corresponding to the secret key x, the validity of the restored digital signature (r, s) is rs= Αh (m)yr  Based on the relationship (mod p)By the signature verification unitA function to verify, a part r of the digital signature received from the transmitting entity device and the calculated random number bjAnd the commit value cjThe legitimacy of cj= Rb iBased on the relationshipBy the signature verification unitThis is a signature verification program for realizing a verification function.
[0016]
Therefore, according to each invention as described above, after the transmitting side entity device presents an arbitrary message m to the receiving side entity device, it guarantees the signature exchange, not the signature (r, s) itself for the message m. n distributed information siAre transmitted to the receiving entity device individually in time series.
[0017]
On the other hand, the receiving-side entity apparatus has n pieces of shared information siThe message m is guaranteed by restoring the signature (r, s) based on.
[0018]
That is, when a digital signature is exchanged, the digital signature (r, s) is finally exchanged by exchanging n pieces of distributed information in stages, instead of exchanging the entire signature at once. Yes. Accordingly, it is possible to achieve fair processing without putting each party in a disadvantageous state.
[0019]
Each invention as described above is expressed as “system” or “program”, but not limited to this, expressed in other names and categories such as “device”, “method”, and “computer-readable storage medium”. May be.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. The outline of each embodiment is as follows. When the consignor side (which may include a third party) entrusts an arbitrary message m to the consignor, not the digital signature (r, s) itself for the message m, N pieces of distributed information s for guaranteeing signature exchangeiAre sent to the trustee individually in time series before and after the execution of the commissioned content. In addition, the trustee, after the execution of the commissioned content, n pieces of distributed information siThe message m is guaranteed by restoring the signature (r, s) based on.
[0021]
Here, in the first to eleventh embodiments, as shown in FIG. 36, among the consignor side and the trustee, in the five main functions on the consignor side, the function sharing between the consignor and the third party is performed. The contents are replaced. This kind of third party has the role of increasing the trustworthiness seen from the trustee while reducing the burden on the trustee regarding the function shared. As shown in the figure, among the third parties, a person having a signature issuing function is also called third party A, and the other person is also called third party B.
[0022]
In the first to eleventh embodiments, the number n of shared information (hereinafter referred to as signature shared value) for a part s of the digital signature (r, s) is n = 2. In the twelfth embodiment, the number n is expanded to an arbitrary number.
[0023]
Various parameters and symbols used in each embodiment are as follows.
[0024]
p, q: a sufficiently large prime number satisfying the relational expression p = w * q + 1 (where w is an arbitrary natural number of 2 or more).
α: Multiplicative group Zp*Primitive element with order q at q.
x: Signature private key.
y: Public key for verification (y = αx(Mod p) is satisfied).
m: Message to be signed.
(R, s): Digital signature for the message m (hereinafter also referred to as signature).
r: a part of the signature, the commit value of k (r = αk(Mod p) is satisfied).
s: part of signature, k-1The value of {h (m) + x · r} (mod q).
k: Secret random number of signature.
h (m): Hash value of message m.
f (z): n-1 order polynomial of the first term s.
zi: Argument of polynomial f (z) (0 ≦ i ≦ n−1).
si: Signature distribution value (distribution information) of part s of signature, function value f (zi).
[0025]
Here, among the parameters, the prime numbers p, q, the primitive element α, and the verification public key y are shared in advance by the consignor, the third party, and the consignor as system parameters.
Argument ziIs the initial signature variance value s by the trustee0It is distributed to the trustee before the verification of the legitimacy, but may be shared in advance by the consignor, a third party and the trustee as in the case of the system parameters.
[0026]
(First embodiment)
FIG. 1 is a schematic diagram showing a schematic configuration of a signature distribution system according to the first embodiment of the present invention. This signature distribution system comprises a consignor device 10 and a consignor device 20, and has the function of issuing a signature (r, s) as shown in FIG. Alternatively, any of the third party devices (not shown) may have.
[0027]
FIG. 2 is a functional block diagram specifically showing the configuration of the signature distribution system. This signature distribution system includes an entrustor apparatus 10 and an entrustor apparatus 20, and each apparatus 10, 20 can be configured by hardware, software, or a combination thereof. Here, when each of the devices 10 and 20 is configured by software, a signature distribution / verification program for realizing each function described later is installed in advance in the computer of each of the devices 10 and 20. Note that the description that each device can be configured individually by hardware and / or software also applies to all devices (including third-party devices) in the following embodiments.
[0028]
Here, the entrustor apparatus 10 includes an entrustment content management unit 11, an entrustor signature management unit 12, a signature distribution value generation unit 13, a commit value calculation unit 14, and a polynomial generation unit 15.
[0029]
The consignment content management unit 11 has a function for managing the contents entrusted to the trustee (hereinafter referred to as “consignment contents”), a function for presenting the consignment contents to the trustee apparatus 20, and a consignment received from the trustee apparatus 20. A function for confirming the will, a function for sending a distributed signature generation request to the entrustor signature management unit 12 according to the entrustment will, a part r of the signature received from the entrustor signature management unit 12 at the time of entrustment, and a signature distribution value s0And a function of transmitting the commit value c to the trustee apparatus 20, a function of examining a process execution result (hereinafter also referred to as a process result) or a process completion notification received from the trustee apparatus 20, and a consignor according to the examination result Signature distribution value s received from signature management unit 121Is transmitted to the trustee device 20, and a function for confirming the signature receipt notification transmitted from the trustee device 20.
[0030]
The entrustor signature management unit 12 has a function of managing the signature (r, s), a function of sending a polynomial generation request to the polynomial generation unit 15 based on the distributed signature generation request received from the entrustment content management unit 11, and a commit The commit value c received from the value calculation unit 14 and the signature distribution value s received from the signature distribution value generation unit 130, S1And a part of signature r at the time of entrustment, one signature distribution value s0And the function of transmitting the commit value c to the consignment content management unit 11 and the other signature distribution value s requested according to the examination result of the consignment content management unit 111Is sent to the commissioned content management unit 11.
[0031]
The signature distribution value generation unit 13 adds the argument z to the polynomial f (z) received from the polynomial generation unit 15.iTo input the function value f (zi) Is the signature distribution value siAnd a signature distribution value s generatediIs sent to the consignor signature management unit 12.
[0032]
The commit value calculation unit 14 based on the random number b received from the polynomial generation unit 15 and the signature part r, the commit value c (= rb(Mod p)) and a function for sending the calculated commit value c to the entrustor signature management unit 12.
[0033]
The polynomial generation unit 15 generates a polynomial f (z) (= s + b · z (mod q)) using a signature (r, s) in accordance with a polynomial generation request received from the entrustor signature management unit 12, and a polynomial It has a function of sending the random number b selected at the time of generation and a part of the signature r to the commit value calculation unit 14 and a function of sending the generated polynomial f (z) to the signature distribution value generation unit 13.
[0034]
The trustee apparatus 20 includes a trust content processing unit 21, a trust content management unit 22, a trustee signature management unit 23, a signature distribution value verification unit 24, a signature calculation unit 25, and a signature verification unit 26.
[0035]
The entrusted content processing unit 21 has a function of performing processing in accordance with the entrusted content received from the entrusted content management unit 22 and a function of sending the execution result (processing result) of the processing to the entrusted content management unit 22.
[0036]
The entrusted content management unit 22 has a function of transmitting an entrustment intention to the entrustor device 10 for the entrusted content received from the entrustor device 10, a function of sending the entrusted content to the entrusted content processing unit 21, and the entrustor device 10. Part of the signature r received from, signature distribution value s0And the commit value c to the trustee signature management unit 23, and the signature distribution value s received from the trustee signature management unit 230A function for requesting the commissioned content processing unit 21 to process the commissioned content based on the verification result and a processing result or a processing completion notification for the commissioned content based on the processing result received from the commissioned content processing unit 21 Function to transmit and signature distribution value s received from entrustor apparatus 101Is sent to the trustee signature management unit 23, and a signature receipt notification is sent to the trustee device 10 according to the verification results of the signature (r, s) and the commit value c received from the trustee signature management unit 23. It has a function to do.
[0037]
The trustee signature management unit 23 includes a part r of the signature received from the trust content management unit 22 and a signature distribution value s.0, S1And a commit value c, a part r of the signature to be saved, and a signature distribution value s0(Or s1) And the commit value c to the signature distribution value verification unit 24 to request verification, and the signature distribution value s received from the signature distribution value verification unit 240(Or s1) A verification result to the consignment content management unit 22, part r of the signature to be stored, and signature distribution value s0, S1And a function of sending the commit value c to the signature calculation unit 25 and a function of notifying the verification content management unit 22 of the verification results of the signature (r, s) received from the signature verification unit 26 and the commit value c. .
[0038]
The signature distribution value verification unit 24 includes a part r of the signature received from the trustee signature management unit 23, the signature distribution value s.0(Or s1) And the commit value c, the signature distribution value s0(Or s1) And a signature distribution value s0(Or s1) Verification result to the trustee signature management unit 23.
[0039]
The signature calculation unit 25 includes a part r of the signature received from the trustee signature management unit 23, and a signature distribution value s.0, S1And a function for calculating a part s and a random number b of the signature from the commit value c, a function for transmitting the signature (r, s) and the commit value c obtained by the calculation to the signature verification unit 26, and a function obtained by the calculation. And a function of transmitting the signature (r, s) to the trustee signature management unit 23.
[0040]
The signature verification unit 26 has a function of verifying the validity of the signature (r, s) and the commit value c received from the signature calculation unit 25 and a function of notifying the verification result to the trustee signature management unit 23.
[0041]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0042]
First, the entrustor apparatus 10 has a signature target message m and a signature (r, s) for the message m. Each parameter satisfies the following relational expressions (1) and (2).
[0043]
r = αk(Mod p) (1)
s = k-1{H (m) + x · r} (mod q) (2)
Here, as long as the signature (r, s) satisfies the relational expressions (1) and (2), there is no restriction on the content of the message m or who the signer is. For example, the message m and signature (r, s) pair may represent electronic cash, or may represent a land title or license. When the pair of the message m and the signature (r, s) is electronic cash, an electronic commerce system to which the signature distribution system is applied is realized, and the pair of the message m and the signature (r, s) is a right document or In the case of a license, an electronic contract system or an electronic government system is realized as a signature distribution system. Each of these electronic processing systems is an example, and an arbitrary electronic processing system can be realized corresponding to the content of an arbitrary message m.
[0044]
The issuer of the signature (r, s) may be the entrustor device 10 or a third party device (not shown). When the entrustor apparatus 10 is an issuer, x is a signature private key of the entrustor apparatus 10, and y is a verification public key of the entrustor apparatus 10. Also, the argument z0And z1Is information shared by the entrustor apparatus 10 and the entrustor apparatus 20, but may be transmitted in the next step ST1.
[0045]
As shown in FIG. 3, in the consignor device 10, the consignor content management unit 11 transmits the consignment content to the trustee device 20 by the operation of the consignor (ST1). The entrusted content may include the message m or may include a part r of the signature.
[0046]
The trustee device 20 transmits a trust intention (affirmation or negative) as to whether or not to accept the received consignment content from the consignment content management unit 22 to the consignor device 10 (ST2). Here, the will to be entrusted may be transmitted with the contents judged each time by the entrustee, or as long as there is no error or busy, etc., all the cases will be entrusted without any human judgment. May be sent.
[0047]
In the entrustor apparatus 10, the entrustment content management unit 11 confirms the entrustment intention (ST3). If the entrustment intention is negative, the process is terminated. If the entrustment intention is affirmative, a request for generating a distributed signature is entrusted. The signature is sent to the signature management unit 12.
[0048]
When the entrustor signature management unit 12 receives this generation request, it sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15.
[0049]
In accordance with this polynomial generation request, the polynomial generator 15 multiplicative group Zq*An arbitrary random number b is selected from (b∈Zq*), A polynomial f (z) is generated as shown in the following equation (3) (ST4).
[0050]
f (z) =s@+b.z (mod q) (3)
Thereafter, the polynomial generator 15 sends the selected random number b and a part r of the signature to the commit value calculator 14 at the time of generation, and the generated polynomial f (z) to the signature variance value generator 13. Send it out.
[0051]
The commit value calculation unit 14 calculates a commit value c using the random number b and a part r of the signature as shown in the following equation (4) (ST5), and sends the commit value c to the consignor signature management unit 12. Send it out.
[0052]
c = rb(Mod p) (4)
On the other hand, the signature distribution value generation unit 13 uses the argument z shared between the devices 10 and 20 in advance with respect to the above-described equation (3).0, Z1Are used to express two signature distribution values s as shown in the following equations (3-0) and (3-1):0, S1(ST6), and the obtained signature distribution value s0, S1Is sent to the consignor signature management unit 12.
[0053]
s0= F (z0) = S + b · z0  (Mod q) (3-0)
s1= F (z1) = S + b · z1  (Mod q) (3-1)
The entrustor signature management unit 12 includes a part r of the signature and one signature distribution value s.0And the commit value c are sent to the consignment content management unit 11, and the consignment content management unit 11 sends the data r, s.0, C are transmitted to the trustee apparatus 20.
[0054]
In the fiduciary device 20, the consignment content management unit 22 receives part of the received signature r, signature distribution value s.0The commit value c is sent to the trustee signature management unit 23. The trustee signature management unit 23 stores these, and sends the commit value c and signature distribution value s to the signature distribution value verification unit 24.0And the signature distribution value s0Request validity verification of.
[0055]
The signature distribution value verification unit 24 uses the signature distribution value s.0, The signature distribution value s using the commit value c and the signature part r0Is verified by the following verification expression (5-0) (ST7), and the verification result is notified to the consignment content management unit 22 via the consignor signature management unit 23.
[0056]
[Expression 4]
Figure 0004018370
[0057]
The entrusted content management unit 22 sends the notified signature distribution value s0When the verification result indicates validity, the entrusted content and the processing request are sent to the entrusted content processing unit 21.
[0058]
The entrusted content processing unit 21 executes an entrusted content execution process based on the entrusted content and its processing request (ST8), and sends the processing result to the entrusted content management unit 22.
[0059]
The commissioned content management unit 22 transmits a processing result (eg, when supplementary explanation is required) or a processing completion notification (eg, success / failure) to the entrustor device 10 based on the content of the processing result. Execute.
[0060]
As processing for sending processing results or processing completion notifications, print output processing of paper media (eg, postcards, sealed letters, etc.) distributed by mail, courier service or scheduled mail (eg, in-house mail), Internet mail transmission processing , FAX transmission processing, telephone communication processing (such as voice guidance processing or control code transmission), or a combination processing of these processes. In addition, the communication method when using the Internet, FAX, telephone, or the like may be either wired or wireless. Further, a third-party organization device that preliminarily examines the processing result may be interposed, and in this case, the processing result and the processing completion notification may be transmitted via the same device.
[0061]
In the entrustor apparatus 10, the entrusted content management unit 11 examines the received processing result or entrusted content completion notification (ST9) and only determines that the other signature distribution value s is valid.1To the consignor signature management unit 12 and the obtained signature distribution value s1Is transmitted to the trustee apparatus 20.
[0062]
Here, the examination may be executed with the contents determined each time by the consignor (for example, when the transmission process uses a paper medium, FAX, or telephone), and the human system based on the preset contents. It may be executed without going through the judgment (for example, when the transmission process uses mail, FAX, or telephone).
[0063]
Note that FAX and telephone correspond to both, but for example, in the case of FAX paper output or telephone voice guidance, it is judged by the consignor, and the communication contents of FAX or telephone are stored and stored as character codes, control codes, etc. In such a case, it is determined by the consignor or the setting contents.
[0064]
On the other hand, in the trustee apparatus 20, the trust content management unit 22 receives the signature distribution value s.1Is sent to the trustee signature management unit 23. The trustee signature management unit 23 uses the signature distribution value s.1Is sent to the signature distribution value verification unit 24, and the signature distribution value s1Request verification of the legitimacy of
[0065]
The signature distribution value verification unit 24 uses the signature distribution value s.1Is verified by the following verification expression (5-1) (ST10), and the verification result is returned to the trustee signature management unit 23.
[0066]
[Equation 5]
Figure 0004018370
[0067]
The trustee signature management unit 23, when the verification result of the received signature distribution value is valid, the commit value c, a part of the signature r, and the signature distribution value s.0, S1Is transmitted to the signature calculation unit 25.
[0068]
The signature calculation unit 25 uses two signature distribution values s.0, S1The part s and the random number b of the signature are calculated using the two formulas (3-0) and (3-1) from (ST11), and the part s and the random number b of the signature are obtained from the trustee signature management unit 23 and the signature. The data is sent to the verification unit 26.
[0069]
When the signature verification unit 26 receives a part s of the signature and the random number b, the signature verification unit 26 verifies the validity of the signature (r, s) by the following verification formula (6), and at the same time the commit value c by the above-described formula (4). Are verified (ST12), and each verification result is sent to the trustee signature management unit 23.
[0070]
rs= Αh (m)yr  (Mod p) (6)
When verifying the signature (r, s), instead of the verification formula (6), the following verification formula (7) of the DSA (digital signature algorithm) using (r, s, h (m)) May be applied.
[0071]
[Formula 6]
Figure 0004018370
[0072]
The trustee signature management unit 23 sends the verification results of the signature (r, s) and the commit value c to the trust content management unit 22. The entrusted content management unit 22 transmits a signature receipt notification to the entrustor apparatus 10 based on these verification results.
[0073]
In entrustor apparatus 10, entrustment content management section 11 confirms this signature receipt notification (ST 13), and ends the processing related to the exchange of signatures.
[0074]
As described above, according to the present embodiment, after the entrustor apparatus 10 presents an arbitrary message m to the entrustor apparatus 20, the signature (r, s) for the message m itself is not guaranteed, but n is guaranteed. Pieces of distributed information siAre transmitted to the trustee apparatus 20 individually in time series.
[0075]
On the other hand, the trustee device 20 has n pieces of shared information siThe message m is guaranteed by restoring the signature (r, s) based on.
[0076]
That is, when a digital signature is exchanged, the digital signature (r, s) is finally exchanged by exchanging n pieces of distributed information in stages, instead of exchanging the entire signature at once. Yes. Accordingly, it is possible to achieve fair processing without putting each party in a disadvantageous state.
[0077]
(Second Embodiment)
FIG. 4 is a schematic diagram showing a schematic configuration of a signature distribution system according to the second embodiment of the present invention, and FIG. 5 is a functional block diagram specifically showing the configuration of the system. Parts having the same or substantially the same function are denoted by the same reference numerals, and parts having changed functions are denoted by alphabetical subscripts, and description of overlapping functions is omitted. Here, different functions are mainly described. In the following embodiments, the same description is omitted.
[0078]
That is, this embodiment is a modification of the first embodiment in which the signer is not limited. As shown in FIG. 36, the entrustor apparatus 10 has a function of issuing a signature (r, s). It has a configuration.
[0079]
Specifically, as shown in FIG. 5, the entrustor apparatus 10 a includes a signature generation unit 16 in addition to the units 11 to 15 described above.
Accordingly, the consignor signature management unit 12a sends a signature generation request to the signature generation unit 16 based on the distributed signature generation request received from the consignment content management unit 11 in addition to the function of the unit 12 described above. A function and a function for managing the signature (r, s) received from the signature generation unit 16 are added.
[0080]
The signature generation unit 16 generates a signature (r, s) based on the signature generation request received from the entrustor signature management unit 12 a and sends the generated signature (r, s) to the entrustor signature management unit 12. It has a function to do.
[0081]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0082]
First, the signature (r, s) has not yet been generated.
Here, the processing from step ST1 for transmitting the contents of entrustment to the trustee apparatus 20 to ST3 for confirming the entrustment will be executed as described above.
[0083]
That is, the entrustment content management unit 11 confirms the entrustment intention in step ST3, ends the processing if the entrustment intention is negative, and if the entrustment intention is affirmative, the entrustment content management unit 11 issues a distributed signature generation request. To 12a.
[0084]
Next, when the entrustor signature management unit 12a receives the distributed signature generation request, the entrustor signature management unit 12a sends the signature generation request to the signature generation unit 16, unlike the above.
[0085]
In accordance with this signature generation request, the signature generation unit 16 multiplicative group Zq*An arbitrary random number k is selected from (k∈Zq*), The signature (r, s) satisfying the above-described equations (1) and (2) is calculated for the message m (ST3-2), and this signature (r, s) is sent to the consignor signature management unit 12a. Send it out.
The consignor signature management unit 12 a stores the signature (r, s) and then sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15.
[0086]
Thereafter, the processing from the polynomial generation in step ST4 to the confirmation of the signature receipt notification in step ST13 is executed as described above.
[0087]
As described above, according to the present embodiment, in addition to the effects of the first embodiment, since the consignor device 10 executes all the processing on the consignment side, the consignor manages all the processing on the consignment side. Can do.
In addition, since the signature (r, s) is generated after receiving the will to be entrusted, the content of the message m can be determined more freely than in the first embodiment. The same applies to the following embodiments.
[0088]
(Third embodiment)
FIG. 7 is a schematic diagram showing a schematic configuration of a signature distribution system according to the third embodiment of the present invention, and FIG. 8 is a functional block diagram specifically showing the configuration of the system.
[0089]
This embodiment is a modification of the second embodiment in which the signer is limited to the consignor. A third party device 30b is provided on the consignor side, and as shown in FIG. Of these five functions, the trustee's performance review function and signature distribution value s1The distribution function is outsourced to the third party device 30b.
[0090]
Along with this, in the consignor device 10b, the consignment content management unit 11b is added with a transmission function addressed to the third party device 30b.
[0091]
Specifically, the consignment content management unit 11b relates to the function of the unit 11 described above, when entrusting, from the consignor signature management unit 12b, a part of the signature r, the signature distribution value s.1And a function of receiving the commit value c and transmitting them to the third party apparatus 30b together with the contents of the entrustment, while a function of examining the processing result or processing completion notification and the signature distribution value s according to the examination result1Is omitted from the function of transmitting to the trustee device 20.
[0092]
In addition, the consignor signature management unit 12b relates to the function of the unit 12a described above, and the signature distribution value s according to the examination result of the consignment content management unit 11.1Is omitted, while the signature distribution value s1Each data r, s0, C and a function to send to the commissioned content management unit 11b.
[0093]
On the other hand, in the trustee device 20b, the transmission / reception function for the third party device 30b is added to the trust content management unit 22b with the addition of the third party device 30b.
[0094]
Specifically, the entrusted content management unit 22b relates to the function of the unit 22 described above, the transmission function of the processing result or processing completion notification and the signature distribution value s.1Is configured to be executed with the third party device 30b as a communication partner.
[0095]
On the other hand, the third party device 30b includes an examination content management unit 31, a third party signature management unit 32, and a third party signature distributed value verification unit 33.
[0096]
The examination content management unit 31 has a function of managing the contents of entrustment received from the entrustor apparatus 10b, a part r of the signature received from the entrustor apparatus 10b, and the signature distribution value s.1And a function for sending the commit value c to the third party signature management unit 32, a function for examining the processing result or processing completion notification received from the trustee apparatus 20b, and a function received from the third party signature management unit 32 according to the examination result. Signature distribution value s1Is transmitted to the trustee apparatus 20b.
[0097]
The third party signature management unit 32 includes a part r of the signature received from the examination content management unit 31 and a signature distribution value s.1And a function for managing the commit value c, a part of the signature r, and a signature distribution value s1And a function for requesting verification by sending the commit value c to the third party signature distributed value verifying unit 33, and the signature distributed value s received from the third party signature distributed value verifying unit 331Of managing the verification result of the signature and the signature distribution value s requested according to the examination result of the examination content management unit 311Is sent to the examination content management unit 31.
[0098]
The third party signature distribution value verifying unit 33 receives a part r of the signature received from the third party signature management unit 32 and the signature distribution value s.1And the signature distribution value s based on the commit value c1And a function of sending the verification result to the third-party signature management unit 32.
[0099]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0100]
First, from step ST1 for transmitting the contents of entrustment to the trustee apparatus, the signature distribution value s0, S1The process up to step ST6 for calculating is performed in the same manner as in the second embodiment. The argument z0, Z1Etc. are shared by the devices 10b, 20b and 30b.
[0101]
Next, in entrustor apparatus 10b, entrustor signature management unit 12b that has executed step ST6 performs a part of the signature r, two signature distribution values s.0, S1The commit value c is sent to the commissioned content management unit 11b.
[0102]
The entrusted content management unit 11b stores each data r, s0, S1, C, a part of the signature r and the other signature variance value s1The commit value c is transmitted to the third party device 30b.
[0103]
In the third-party device 30b, the examination content management unit 31 performs part of the signature r, signature distribution value s.1The commit value c is sent to the third-party signature management unit 32, and the consignment content is saved.
[0104]
The third-party signature management unit 32 includes a part of the signature r and the signature distribution value s.1And the commit value c are sent to the third party signature distribution value verification unit 33 to request verification.
[0105]
The third party signature distribution value verification unit 33 includes a part of the signature r and the signature distribution value s.1And the signature distribution value s based on the commit value c1Is verified (ST10t), and the verification result is sent to the third party signature management unit 32.
[0106]
The three-party signature management unit 32 manages the verification result.
[0107]
Subsequently, in the consignor apparatus 10b, the consignment content management unit 11b performs the data r, s as described above.0, C are transmitted to the trustee apparatus 20b.
[0108]
In trustee apparatus 20b, after steps ST7 to ST8 are executed in the same manner as described above, a processing result or a processing completion notification is transmitted to third party apparatus 30b, unlike the above.
[0109]
In the third-party device 30b, the examination content management unit 31 examines the received processing result or processing completion notification (ST9t), and only determines that the other signature distribution value s is valid.1Is requested to the third party signature management unit 32, and the obtained signature distribution value s is obtained.1Is transmitted to the trustee apparatus 20b.
[0110]
Thereafter, as described above, the signature distribution value s in step ST10.1The processing from the verification of validity to the confirmation of the signature receipt notification in step ST13 is executed.
[0111]
As described above, according to the present embodiment, in addition to the effects of the second embodiment, the examination function shared by the third party device 30b and the signature distribution value s.1With respect to the distribution function, it is possible to reduce the load on the consignor device 10b and to increase the reliability as viewed from the consignor.
[0112]
(Fourth embodiment)
FIG. 10 is a schematic diagram showing a schematic configuration of a signature distribution system according to the fourth embodiment of the present invention, and FIG. 11 is a functional block diagram specifically showing the configuration of the system.
[0113]
This embodiment is a modification of the third embodiment, and a third party device 30c is provided in which the authority of the third party device 30b is extended. As shown in FIG. Among the three functions, the screening function described above and s1Signature distribution value s0, S1And the signature distribution value s0The third party device 30c is also entrusted with the function of distributing
[0114]
Along with this, the entrustor apparatus 10c omits the entrustor signature management unit 12b, and the other units 13 to 15 are arranged in the third party apparatus 30c, and the entrusted content management unit 11c with slightly modified functions and The signature generation unit 16c is provided.
[0115]
Here, the entrustment content management unit 11c follows the function of managing the entrusted content, the function of presenting the entrustment content to the trustee device 20c, the function of confirming the entrustment will received from the trustee device 20c, and the entrustment will The function of making a signature generation request to the signature generation unit 1c and the signature (r, s) received from the signature generation unit 16c are stored, while the entrusted content and the signature (r, s) are transmitted to the third party device 30c. And a function for confirming a signature receipt notification sent from the trustee apparatus 20c.
[0116]
The signature generation unit 16c has a function of generating a signature (r, s) and a function of transmitting the generated signature (r, s) to the consignment content management unit 11c in accordance with a signature generation request from the consignment content management unit 11c. Yes.
[0117]
On the other hand, the trustee apparatus 20c replaces the trust content management unit 22b described above with respect to the function of the trust content management unit 22b, and includes part of the signature r, signature distribution value s.0And a commitment content management unit 22b configured to receive the commit value c from the third party device 30c.
[0118]
Meanwhile, the third party device 30c includes an examination content management unit 31c, a third party signature management unit 32c, a signature distribution value generation unit 13tc, a commit value calculation unit 14tc, a polynomial generation unit 15tc, and a third party signature verification unit 34. I have.
[0119]
The examination content management unit 31c sends the signature received from the entrustor device 10c to the third party signature management unit 32c by sending the signature received from the entrustor device 10c to the third party signature management unit 32c.0, S1, A part of the signature r received from the third party signature management unit 32c, and the signature distribution value s0(Or s1) And a commit value c to the trustee device 20c, a function for examining the processing result or processing completion notification received from the trustee device 20c, and a signature received from the third-party signature management unit 32c according to the examination result. Variance value s1Is transmitted to the trustee apparatus 20c.
[0120]
The third-party signature management unit 32c sends a signature (r, s) to the third-party signature verification unit 34 to request verification by managing the signature (r, s) received from the examination content management unit 31c. A function for requesting generation of a polynomial from the polynomial generation unit 15tc based on a signature distribution value generation request received from the examination content management unit 31c, and a commit value c and signature distribution value received from the commit value calculation unit 14tc Signature distribution value s received from the generator 13tc0, S1, A part of the signature to be managed r, and a signature distribution value s0And the commit value c to the examination content management unit 31c, and the signature distribution value s requested according to the examination result of the examination content management unit 31c.1And a function for sending the contents to the examination content management department.
[0121]
The signature distribution value generation unit 13tc is obtained by arranging the above-described unit 13 in the third-party device 30c, and the generated signature distribution value s is related to the function of the unit 13.iIs the third party signature management unit 32c.
[0122]
The commit value calculation unit 14tc is the above-described unit 14 arranged in the third party device 30c. Regarding the function of the unit 14, the calculated commit value c is sent to a third party signature management unit 32c. It is a thing.
[0123]
The polynomial generation unit 15tc is obtained by arranging the above-described unit 15 in the third-party device 30c, and regarding the function of the unit 15, the polynomial generation request source is the third-party signature management unit 32c. .
[0124]
The third party signature verification unit 34 has a function of verifying the validity of the signature (r, s) received from the third party signature management unit 32c and a function of sending the verification result to the third party signature management unit 32c. Yes.
[0125]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0126]
First, the process from step ST1 for transmitting the contents of entrustment to the trustee apparatus to step ST3-2 for calculating the signature (r, s) is executed in the same manner as the third (or second) embodiment.
[0127]
Subsequently, the consignment content management unit 11c stores the signature (r, s) received from the signature generation unit 16c, and transmits the consignment content and the signature (r, s) to the third party device 30c.
[0128]
In the third party device 30c, the examination content management unit 31c sends the signature (r, s) to the third party signature management unit 32c to send the signature distribution value s.0, S1Request generation and manage the contents of commission.
[0129]
The third party signature management unit 32c transmits the signature (r, s) to the third party signature verification unit 34 and requests verification of the signature (r, s).
[0130]
The third party signature verification unit 34 verifies the validity of the signature (r, s) and sends the verification result to the third party signature management unit 32c.
[0131]
The third-party signature management unit 32c sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15tc only when the verification result indicates the validity of the signature (r, s).
[0132]
Here, similarly to steps ST4 to ST6 described above, from step ST4t for generating a polynomial, the signature distribution value s0, S1Up to step ST6t for calculating is executed.
[0133]
Thereafter, the third-party signature management unit 32c determines that a part of the signature r, one signature distribution value s.0And the commit value c are sent to the examination content management unit 31c. The examination content management unit 31c0, C are transmitted to the trustee apparatus 20c.
[0134]
Hereinafter, the signature distribution value s in step ST70The processing from the validity verification to the confirmation of the signature receipt notification in step ST13 is executed in the same manner as in the third embodiment.
[0135]
As described above, according to the present embodiment, in addition to the effects of the third embodiment, the signature distribution value s shared by the third-party device 30c.0With respect to the calculation function and the distribution function, it is possible to reduce the load on the entrustor apparatus 10c and to increase the reliability viewed from the entrustee.
[0136]
(Fifth embodiment)
FIG. 13 is a schematic diagram showing a schematic configuration of a signature distribution system according to the fifth embodiment of the present invention, and FIG. 14 is a functional block diagram specifically showing the configuration of the system.
[0137]
This embodiment is a modification of the first or second embodiment. As shown in FIG. 36, the third party (signature) device 40d has a function of issuing a signature (r, s). It has become.
[0138]
Accordingly, the consignor device 10d is provided with a consignor signature verification unit 17 for verifying the signature by the third-party device 40d in addition to the above-described units 13 to 15, and the consignment contents whose functions are modified. The configuration includes a management unit 11d and a consignor signature management unit 12d.
[0139]
Here, in addition to the function of the part 11 described above, the entrustor content management unit 11d has a function of transmitting a signature generation request to the third party device 40d and a signature (r, s) received from the third party device 40d. And a function for sending the signature (r, s) to the entrustor signature management unit 12d.
[0140]
The entrustor signature management unit 12d has a function of requesting verification by sending the signature (r, s) received from the entrustor content management unit 11d to the entrustor signature verification unit 17 in addition to the function of the unit 12 described above. And a function of storing the verification result received from the consignor signature verification unit 17.
[0141]
The entrustor signature verification unit 17 has a function of verifying the signature (r, s) received from the entrustor signature management unit 12d and a function of sending the verification result to the entrustor signature management unit 12d.
[0142]
The third party device 40d includes a third party signature generation unit 16td.
The third party signature generation unit 16td is the one in which the signature generation unit 16 described above is arranged in the third party device 40d, and the communication partner is the entrustor device 10d regarding the function of the unit 16.
[0143]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0144]
First, the processing from step ST1 for transmitting the contents of entrustment to the trustee apparatus 20 to ST3 for confirming the entrustment will be executed as in the second embodiment.
[0145]
That is, the entrustment content management unit 11d confirms the entrustment intention in step ST3, ends the process if the entrustment intention is negative, and if the entrustment intention is affirmative, the entrustment content management unit 11d issues a third signature generation request (issue request). To the user device 40d (ST3-1).
[0146]
Next, in the third party device 40d, when the third party signature generation unit 16td receives the signature generation request, the signature (r, s) is calculated in the same manner as described above (ST3-2t), and this signature (r, s) Is transmitted to the consignor apparatus 10d.
[0147]
In the entrustor apparatus 10d, the entrustment content management unit 11d stores the received signature (r, s) and sends the signature (r, s) to the entrustor signature management unit 12d.
[0148]
The consignor signature management unit 12d saves the signature (r, s), sends the signature (r, s) to the consignor signature verification unit 17, and requests verification of the signature (r, s).
[0149]
The entrustor signature verification unit 17 verifies the validity of the signature (r, s) by the above-described equation (7), and sends the verification result to the entrustor signature management unit 12d.
[0150]
The entrustor signature management unit 12d sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15 only when the verification result is valid.
[0151]
Thereafter, the processing from the polynomial generation in step ST4 to the confirmation of the signature receipt notification in step ST13 is executed in the same manner as in the first embodiment.
[0152]
As described above, according to the present embodiment, in addition to the effects of the first embodiment, the load on the entrustor apparatus 10d is reduced with respect to the calculation function of the signature (r, s) shared by the third party apparatus 40d. , The trustworthiness seen from the trustee can be increased.
[0153]
(Sixth embodiment)
FIG. 16 is a schematic diagram showing a schematic configuration of a signature distribution system according to the sixth embodiment of the present invention, and FIG. 17 is a functional block diagram specifically showing the configuration of the system.
[0154]
This embodiment is a modification of the fifth embodiment. As shown in FIG. 36, the signature distribution value s is determined from the function for issuing a signature.0, S1The third-party (signature) device 40e has a configuration up to the function of calculating.
[0155]
Accordingly, the entrustor apparatus 10 e includes an entrusted content management unit 11 e and an entrustor signature distributed value verification unit 18.
[0156]
The consignment content management unit 11e performs a function according to the consignment will, a function for managing the consignment content of the consignor, a function for presenting the consignment content to the trustee device 20, a function for confirming the consignment will received from the trustee device 20. A function for requesting signature generation to the three-party device 40e, a part r of the signature received from the third-party device 40e, and a signature distribution value s0And a commit value c, a signature part r, and a signature distribution value s0And the commit value c are transmitted to the consignor signature distributed value verification unit 18 to transmit the signature distributed value s.0That requests verification of a signature, a part of the signature r, and the signature distribution value s0And the function of transmitting the commit value c to the trustee device 20, the function of examining the processing result or the processing completion notification received from the trustee device 20, and the third party device 40e according to the commissioning processing result or the examination result of the processing completion notification. Sign variance value s1And a signature distribution value s received from the third-party device 40e.1Is transmitted to the trustee device 20, and a function of confirming the signature receipt notification received from the trustee device 20.
[0157]
The entrustor signature distributed value verification unit 18 sends a part of the signature r and the signature distributed value s from the entrusted content management unit 11e.0(Or s1) And the commit value c, the signature distribution value s0(Or s1) And a function for sending the verification result to the commissioned content management unit 11e.
[0158]
The third party device 40e includes a third party signature generation unit 16te, a third party signature management unit 12te, a signature distribution value generation unit 13te, a commit value calculation unit 14te, and a polynomial generation unit 15te.
[0159]
The third party signature management unit 12te includes a function for requesting the third party signature generation unit 16te to generate a signature based on a signature generation request (issue request) received from the entrustor apparatus 10e, and a third party signature generation unit. A function for managing the signature (r, s) received from 16te, a function for requesting the polynomial generator 15te to generate a polynomial, and a commit value c received from the commit value calculator 14te and a signature distributed value generator 13te. Signature distribution value s0, S1And a part of signature r and signature distribution value s based on the first signature distribution value sending request received from entrustor apparatus 10.0And the signature distribution value s based on the function of transmitting the commit value c to the entrustor apparatus 10 and the second signature distribution value sending request received from the entrustor apparatus 10.1Is transmitted to the entrustor apparatus 10.
[0160]
The signature distribution value generation unit 13te is the above-described unit 13 arranged in the third party device 40e, and the generated signature distribution value s is related to the function of the unit 13.iIs the third party signature management unit 12te.
[0161]
The commit value calculation unit 14te is the above-described unit 14 arranged in the third-party device 40e. Regarding the function of the unit 14, the calculated commit value c is sent to the third-party signature management unit 12te. It is a thing.
[0162]
The polynomial generation unit 15te is the above-described unit 15 arranged in the third-party device 40e, and regarding the function of the unit 15, the polynomial generation request source is the third-party signature management unit 12te. .
[0163]
The third-party signature generation unit 16te is the one in which the signature generation unit 16 described above is arranged in the third-party device 40e, and the communication partner is the third-party signature management unit 12te with respect to the function of the unit 16. is there.
[0164]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0165]
First, the processing from step ST1 for transmitting the contents of entrustment to the trustee device 20 to step ST3-2 for calculating the signature (r, s) by the third party device 40e is executed in the same manner as in the fifth embodiment. Is done.
[0166]
However, the third party signature unit 16te receives a signature generation request via the third party signature management unit 12te. Further, when the third party signature unit 16te calculates the signature (r, s) as described above based on the signature generation request (ST3-2t), the third party signature unit 16te converts the signature (r, s) to the first Send to the three-party signature manager 12te.
[0167]
The third party signature management unit 12te saves the signature (r, s), and sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15te.
[0168]
Here, similarly to steps ST4 to ST6 described above, from step ST4t for generating a polynomial, the signature distribution value s0, S1Up to step ST6t for calculating is executed.
[0169]
Thereafter, the third-party signature management unit 12te determines that the signature part r and the signature distribution value s0, S1And commit value c. In addition, when the third party signature management unit 12te receives a signature distribution value sending request from the entrustor device 10, based on this request, a part of the signature r and the signature distribution value s0The commit value c is transmitted to the entrustor apparatus 10e.
[0170]
In the consignor apparatus 10e, the consignment content management unit 11e performs a part r of the signature, the signature distribution value s.0And the commit value c are sent to the consignor signature distribution value verification unit 18 and the signature distribution value s0Request verification.
[0171]
The entrustor signature distributed value verification unit 18 includes a part of the signature r and the signature distributed value s.0And the signature distribution value s based on the commit value c0Is verified by the verification expression (5-0) described above (ST7c), and the verification result is returned to the commissioned content management unit 11e.
[0172]
The entrusted content management unit 11e receives the signature distribution value s0When the verification result of 示 す indicates validity, part of the signature r, signature distribution value s0The commit value c is transmitted to the trustee apparatus 20.
[0173]
Next, as in steps ST7 to ST9 described above, the signature distribution value s0The process from step ST7 for verifying the legitimacy of the process to step ST9 for examining the content of the execution is executed.
[0174]
However, in the entrustor apparatus 10, the entrusted content management unit 11 examines the processing result or the entrusted content completion notification (ST9) and only determines that the other signature distribution value s is valid.1Is requested to the third party device 40e.
[0175]
In response to this request, the third party device 40e causes the third party signature manager 12te to execute the signature distribution value s.1Is transmitted to the entrustor apparatus 10e (ST9-1t).
[0176]
The entrustor apparatus 10e is configured such that the entrusted content management unit 11e uses the signature distribution value s1Is sent to the consignor signature distribution value verification unit 18 and the signature distribution value s1Request verification.
[0177]
The entrustor signature distribution value verification unit 18 performs the signature distribution value s as described above.1And the verification result is sent to the commissioned content management unit 11e.
[0178]
The entrusted content management unit 11e receives the signature distribution value s0Signature verification value s1Is transmitted to the trustee apparatus 20 (ST9-2c).
[0179]
Thereafter, as described above, the signature distribution value s in step ST10.1The processing from the verification of validity to the confirmation of the signature receipt notification in step ST13 is executed.
[0180]
As described above, according to the present embodiment, in addition to the effects of the fifth embodiment, the signature distribution value s shared by the third-party device 40e.0, S1With respect to the calculation function, it is possible to reduce the load on the entrustor apparatus 10c and to increase the reliability seen from the entrustee.
[0181]
(Seventh embodiment)
FIG. 19 is a schematic diagram showing a schematic configuration of a signature distribution system according to the seventh embodiment of the present invention, and FIG. 20 is a functional block diagram specifically showing the configuration of the system.
[0182]
This embodiment is a modification of the sixth embodiment, and as shown in FIG. 36, after the execution contents are examined by the entrustor apparatus 10f, the third party apparatus 40f requests the signature distribution value s.1Is distributed to the trustee apparatus 20f.
[0183]
Accordingly, in the consignor device 10f, the consignment content management unit 11f receives the signature distribution value s received from the third-party device 40f regarding the function of the unit 11e described above.1Is transmitted to the trustee apparatus 20f.
[0184]
In the fiduciary device 20f, the fiduciary content management unit 22f has a signature distribution value s regarding the function of the unit 22 described above.1The transmission source is replaced with the third party device 40f.
[0185]
In the third-party device 40f, the third-party signature management unit 12tf has a signature distribution value s regarding the function of the unit 12te described above.1Is changed to the trustee apparatus 20f.
[0186]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0187]
First, from step ST1 in which the contents of entrustment are transmitted to the trustee apparatus 20, the third party apparatus 40e receives the signature distribution value s.1The process up to step ST9-1 for transmitting is performed in the same manner as in the sixth embodiment.
[0188]
However, in the process of step ST9-1, the signature distribution value s1Unlike the above, the transmission destination is the trustee apparatus 20f. That is, the signature distribution value s1Is transmitted directly from the third party device 40f to the trustee device 20f.
[0189]
Thereafter, as described above, the signature distribution value s in step ST10.1The processing from the verification of validity to the confirmation of the signature receipt notification in step ST13 is executed.
[0190]
As described above, according to the present embodiment, in addition to the effects of the sixth embodiment, the signature distribution value s shared by the third-party device 40f is shared.1With respect to the distribution function, it is possible to reduce the load on the consignor apparatus 10f and to increase the reliability as viewed from the consignor.
[0191]
(Eighth embodiment)
FIG. 22 is a schematic diagram showing a schematic configuration of a signature distribution system according to the eighth embodiment of the present invention, and FIG. 23 is a functional block diagram specifically showing the configuration of the system.
[0192]
This embodiment is a modification of the seventh embodiment. As shown in FIG. 36, the signature distribution value s of the five main functions on the consignor side is shown.0The consignor apparatus 10g has a function of distributing the information, and the third party apparatus 40g has the other four functions.
[0193]
Accordingly, the function of the entrusted content management unit 11g is slightly modified in the entrustor apparatus 10g.
[0194]
The consignment content management unit 11g has the signature distribution value s based on the examination result from the function of examining the processing result and the like regarding the function of the unit 11f described above.1Is omitted from the function until it is transmitted to the trustee apparatus 20g.
[0195]
In the trustee device 20g, the function of the trust content management unit 22g is slightly modified.
The commissioned content management unit 22g has a configuration in which the transmission destination of the processing result or the processing completion notification is replaced with the third party device 40g regarding the function of the unit 22f described above.
[0196]
The third-party device 40g has a configuration in which an examination content management unit 41g is added to the above-described device 40f.
[0197]
The examination content management unit 41g has a function of requesting the third party signature management unit 12tg to generate a signature based on a signature generation request (issue request) received from the entrustor device 10g, and the entrustment content received from the entrustor device 10g. A function to be managed, a part r of the signature received from the third-party signature management unit 12tg, and a signature distribution value s0And third party signature management according to the function of transmitting the commit value c to the entrustor apparatus 10g, the function of examining the processing result or process completion notice received from the entrustor apparatus 20g, and the examination result of the entrusting process result or process completion notice Signature distribution value s received from the part 12tg1Is transmitted to the trustee apparatus 20g. However, the signature distribution value s is sent to the trustee apparatus 20g.1Related information including the commit value c and part r of the signature may be transmitted together.
[0198]
The third party signature management unit 12tg is the one in which the communication partner is changed to the examination content management unit 41g in place of the entrustor device 10f with respect to the function of the unit 12tf described above.
[0199]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0200]
First, the processing from step ST1 in which the entrustment content is transmitted to the trustee apparatus 20g to step ST8 in which the entrustee device 20g performs the entrustment content is executed as in the seventh embodiment.
[0201]
However, in the fiduciary device 20g, the consignment content management unit 22g executes transmission processing for transmitting a processing result or a processing completion notification to the third party device 40g, unlike the above.
[0202]
In the third party device 40g, the examination content management unit 41g examines the received processing result or the commissioned content completion notice (ST9t), and only determines that the other signature distribution value s is valid.1To the consignor signature management unit 12tg, and the obtained signature distribution value s1Is transmitted to the trustee apparatus 20g (ST9-1t).
[0203]
Thereafter, as described above, the signature distribution value s in step ST10.1The processing from the verification of validity to the confirmation of the signature receipt notification in step ST13 is executed.
[0204]
As described above, according to the present embodiment, in addition to the effect of the seventh embodiment, regarding the examination function of the performance content shared by the third party device 40g, while reducing the load on the entrustor device 10g, from the trustee You can increase the creditworthiness you saw.
[0205]
(Ninth embodiment)
FIG. 25 is a schematic diagram showing a schematic configuration of a signature distribution system according to the ninth embodiment of the present invention, and FIG. 26 is a functional block diagram specifically showing the configuration of the system.
[0206]
This embodiment is a modification of the seventh embodiment. As shown in FIG. 36, the consignor apparatus 10h has a function of examining the performance contents among the five main functions on the consignor side. The third-party device 40h has the other four functions.
[0207]
Accordingly, the entrustor apparatus 10h includes an entrusted content management unit 11h in which the entrustor signature distributed value verification unit 18 is omitted and the function is slightly modified.
[0208]
The entrusted content management unit 11h relates to the function of the unit 11f described above from the third-party device 40h to a part of the signature r, the signature distribution value s.0, S1The function for receiving the commit value c and the related functions (verification function, transmission function, etc.) are omitted.
[0209]
In the trustee apparatus 20h, the signature distribution value s is related to the function of the part 22f described above.0The transmission source is also replaced with the third party device 40h.
[0210]
In the third party device 40h, the third party signature management unit 12th relates to the function of the unit 12te described above, and the signature distribution value s.0Is changed to the trustee apparatus 20h.
[0211]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0212]
First, from step ST1 in which the contents of entrustment are transmitted to the trustee apparatus 20, the third party apparatus 40h receives the signature distribution value s.0, S1The process up to step ST6t for calculating is performed in the same manner as in the seventh embodiment.
[0213]
After step ST6t, the third party signature management unit 12th performs a part of the signature r, the signature distribution value s.0, S1And the commit value c, but when a signature distributed value sending request is received from the entrustor apparatus 10h, unlike the above, a part of the signature r and the signature distribution value s are sent to the entrustor apparatus 20h.0And the commit value c. That is, part of the random number r, signature distribution value s0The commit value c is transmitted directly from the third party device 40h to the trustee device 20f.
[0214]
Hereinafter, the signature distribution value s in step ST70The processing from the validity verification of step S13 to the confirmation of the signature receipt notification in step ST13 is executed in the same manner as in the seventh embodiment.
[0215]
As described above, according to the present embodiment, in addition to the effects of the seventh embodiment, the signature distribution value s shared by the third-party device 40h0With respect to the distribution function, it is possible to reduce the load on the entrustor apparatus 10h and to increase the trustworthiness seen from the trustee.
[0216]
(Tenth embodiment)
FIG. 28 is a schematic diagram showing a schematic configuration of a signature distribution system according to the tenth embodiment of the present invention, and FIG. 29 is a functional block diagram specifically showing the configuration of the system.
[0217]
This embodiment is a modification of the seventh embodiment. As shown in FIG. 36, the function of the third-party device 40f described above is divided into two third-party devices 30i and 40i. It has become.
[0218]
Here, the third-party device 30i has a third-party signature management unit 12tf, a signature distribution value generation unit 13te, a commit value calculation unit 14te, and a polynomial generation unit 15te among the above-described units of the third-party device 40f. Further, a third party signature verification unit 19 is added.
[0219]
Accordingly, in addition to the above-described function, the third-party signature management unit 12tf manages the signature (r, s) received from the other third-party device 40i and the third signature (r, s). And a function for requesting verification by sending to the person signature verification unit 19.
[0220]
The third party signature verification unit 19 has a function of verifying the validity of the signature (r, s) received from the third party signature management unit 12tf and a function of sending the verification result to the third party signature management unit 12tf. Yes.
[0221]
The third-party device 40i includes a third-party signature generation unit 16te among the units of the third-party device 40f described above. The third party signature generation unit 16te generates a signature (r, s) based on the signature generation request received from the third party signature management unit 12tf, and the generated signature (r, s) And a function of transmitting to the person signature management unit 12tf.
[0222]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0223]
First, the processing from step ST1 for transmitting the contents of entrustment to the trustee device 20 to step 3-1 for transmitting a signature generation request to the third party device 30i is executed in the same manner as in the seventh embodiment. .
[0224]
In the third-party device 30i, the third-party signature management unit 16te transfers this signature generation request to the third-party device 40i for signature.
[0225]
In the third party apparatus 40i for signature, when the third party signature generation unit 16te receives the signature generation request, the signature (r, s) is calculated as described above (ST3-2t), and this signature (r, s) Is transmitted to the requesting third party device 30i.
[0226]
In the third-party device 30i, the third-party signature management unit 12tf stores the received signature (r, s) and sends this signature (r, s) to the third-party signature verification unit 19 for signature ( Request verification of r, s).
[0227]
The third party signature verification unit 19 verifies the validity of the signature (r, s) and sends the verification result to the third party signature management unit 12tf.
[0228]
The third party signature management unit 12tf sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15te only when the verification result is valid.
[0229]
Thereafter, the processing from the polynomial generation in step ST4t to the confirmation of the signature receipt notification in step ST13 is executed in the same manner as in the seventh embodiment.
[0230]
As described above, according to the present embodiment, in addition to the effects of the seventh embodiment, the functions of the two third party devices 30i and 40i share the functions of the third party devices 30i and 40i. Can be reduced.
[0231]
(Eleventh embodiment)
FIG. 31 is a schematic diagram showing a schematic configuration of a signature distribution system according to the eleventh embodiment of the present invention, and FIG. 32 is a functional block diagram specifically showing the configuration of the system.
[0232]
This embodiment is a modification of the ninth embodiment. As shown in FIG. 36, the function of the third-party device 40h described above is divided into two third-party devices 30j and 40j. It has become.
[0233]
Here, the third-party device 30j includes a third-party signature management unit 12th, a signature distribution value generation unit 13te, a commit value calculation unit 14te, and a polynomial generation unit 15te among the above-described units of the third-party device 40h. Further, a third party signature verification unit 19j is added.
[0234]
In addition to the functions described above, the third party signature management unit 12th manages the signature (r, s) received from the other third party device 40j and the signature (r, s) as a third party signature verification unit. And a function for requesting verification by sending it to 19j.
[0235]
As described above, the third party signature verification unit 19j verifies the validity of the signature (r, s) received from the third party signature management unit 12th and sends the verification result to the third party signature management unit 12th. It is.
[0236]
The third-party device 40j includes a third-party signature generation unit 16te among the units of the third-party device 40h described above. As described above, the third party signature generation unit 16te generates a signature (r, s) based on the signature generation request received from the third party signature management unit 12tf, and the obtained signature (r, s) This is transmitted to the three-party signature management unit 12th.
[0237]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG.
[0238]
First, the process from step ST1 for transmitting the contents of entrustment to the trustee apparatus 20 to step 3-1 for transmitting a signature generation request to the third party apparatus 30j is executed as in the ninth embodiment. .
[0239]
In the third party device 30j, the third party signature manager 16te transfers this signature generation request to the third party device 40j for signature.
[0240]
In the third party apparatus 40j for signature, when the third party signature generation unit 16te receives the signature generation request, the signature (r, s) is calculated in the same manner as described above (ST3-2t), and this signature (r, s) Is transmitted to the requesting third party device 30j.
[0241]
In the third party device 30j, the third party signature management unit 12th saves the received signature (r, s) and sends the signature (r, s) to the third party signature verification unit 19j. Request verification of r, s).
[0242]
The third party signature verification unit 19j verifies the validity of the signature (r, s) and sends the verification result to the third party signature management unit 12tj.
[0243]
The third-party signature management unit 12th sends a polynomial generation request and a signature (r, s) to the polynomial generation unit 15te only when the verification result is valid.
[0244]
Thereafter, the processing from the polynomial generation in step ST4t to the confirmation of the signature receipt notification in step ST13 is executed in the same manner as in the ninth embodiment.
[0245]
As described above, according to the present embodiment, in addition to the effects of the ninth embodiment, the functions of the two third party devices 30j and 40j share each other. Can be reduced.
[0246]
In addition, although the said 2nd-11th embodiment demonstrated the case where the function sharing of a consignor and a third party was changed as shown in FIG. 36, it is not restricted to this but the function sharing shown in FIG. It is good also as function sharing different from.
[0247]
Specifically, from “issue signature (r, s)” to “signature distribution value s” corresponding to the second to eleventh embodiments.1With respect to the five functions up to “Distribute”, the present invention can be similarly implemented even in a combination in which the function sharing between the consignor and the third party is not shown in FIG.
[0248]
In other words, the function sharing between the consignor and the third party regarding the five functions is 2 in total, except for one way of processing all by the third party.FiveThere are -1 (= 31) ways. Among these, even if it is any combination of 23 (= 31-8) except 8 ways of 2nd-9th embodiment, this invention can be implemented similarly and the same effect can be acquired.
[0249]
Similarly, the remaining “signature distribution value s when the third party A (signer) performs“ issue signature (r, s) ”corresponding to the tenth to eleventh embodiments.0, S1From "Calculate Signature"1With regard to the four functions up to “Distribute”, even if the combination of functions between the consignor and the third party B is not shown in FIG.
[0250]
In other words, the function sharing between the consignor and the third party B regarding the remaining four functions is 2 in total, except for the two types processed by the consignor or the third party B.Four-2 (= 14). Of these, any combination of 12 (= 14-2) except the two overlapping with the tenth to eleventh embodiments can be implemented in the same manner to obtain the same effect. it can.
[0251]
Moreover, even if the remaining four functions are not limited to the function sharing between the consignor and the third party B, the present invention can be changed even if the functions are divided among the consignor, the third party A, and the third party B. Needless to say, it can be similarly implemented.
[0252]
(Twelfth embodiment)
FIG. 34 is a schematic diagram showing a schematic configuration of a signature distribution system according to the twelfth embodiment of the present invention.
[0253]
That is, in the present embodiment, two signature distribution values s0, S1As shown in FIG. 36, the number of signature distribution values is expanded to a plurality of n of two or more.
[0254]
Specifically, this embodiment is applied to the entrustor device 10x, the third party device 30x, and the third party (signature) device 40x used in any of the first to eleventh embodiments. A consignor side device 50 and a trustee device 20k applied to the trustee device 20x used in the same embodiment as the consignor side are provided. However, in the following description, the case where it is applied to the first embodiment will be described as a representative example.
[0255]
In consignor side device 50, signature distribution value si2 has been expanded to n, the polynomial generator 15 shown in FIG. 2 can generate n-1 random numbers bj and an n-term polynomial f (z) for the above-described functions. The signature distribution value generation unit 13 generates n signature distribution values s.iCan be generated, and the commit value calculation unit 14 has n-1 commit values c.jCan be generated.
[0256]
Note that 0 ≦ i ≦ n−1 and 1 ≦ j ≦ n−1. Also, n-1 arguments ziIs shared by the consignor side device 50 and the consignor device 20k.
[0257]
On the other hand, the trustee apparatus 20k uses the signature distribution value s.i2 is expanded to n, the signature distribution value verification unit 24 shown in FIG. 2 uses the verification formula (11) described later, and the signature calculation unit 25 Signature part r, n signature distribution values siAnd n-1 commit values cjFrom the signature part s and random number bjCan be calculated.
[0258]
Next, the operation of the signature distribution system configured as described above will be described with reference to the flowchart of FIG. 35 and FIG. 2 described above.
[0259]
First, the processing from step ST1 for transmitting the contents of entrustment to the trustee apparatus 20k to ST3 for confirming the entrustment will be executed in the same manner as in the first embodiment.
[0260]
That is, in the consignor-side device 50, the consignment content management unit 11 confirms the consignment will in step ST3, and sends a distributed signature generation request to the consignor signature management unit 12 only when the consignment intention is positive.
[0261]
When the entrustor signature management unit 12 receives this generation request, it sends the polynomial generation request and the signature (r, s) to the polynomial generation unit 15.
[0262]
In accordance with this polynomial generation request, the polynomial generator 15 multiplicative group Zq*To n-1 random numbers bjSelect (bj∈Zq*), A polynomial f (z) is generated as shown in the following equation (8) (ST4).
[0263]
f (z) = s + b1・ Z + b2・ Z2+ ... + bn-1・ Zn-1 (Mod q) (8)
Thereafter, the polynomial generator 15 selects the random number b selected at the time of generation.jAnd a part r of the signature are sent to the commit value calculation unit 14, and the generated polynomial f (z) is sent to the signature distribution value generation unit 13.
[0264]
The commit value calculation unit 14 uses the random number b.jAnd a part of the signature r, n−1 commit values c as shown in the following equation (9)j(ST5) and this commit value cjIs sent to the consignor signature management unit 12.
[0265]
cj= Rbj(Mod p) (9)
On the other hand, the signature distribution value generation unit 13 uses the argument z previously shared between the devices 50 and 20k with respect to the above-described equation (8).0, ..., zn-1Are individually substituted, and n signature distribution values s are obtained as shown in the following equation (10).0, ..., sn-1(ST6), and the obtained signature distribution value s0, ..., sn-1Is sent to the consignor signature management unit 12.
[0266]
si= F (zi) = S + b1・ Zi+ B2・ Zi 2+ ... + bn-1・ Zi n-1 (Mod q) (10)
The entrustor signature management unit 12 obtains the signature part r, the first signature distribution value s.0And the commit value c are sent to the consignment content management unit 11, and the consignment content management unit 11 sends the data r, s.0, C are transmitted to the trustee apparatus 20k.
[0267]
The trustee apparatus 20k, like the above, the signature distribution value s in step ST7.0From the validity of the signature distribution value s in step ST101Execute the process up to the validity verification of.
[0268]
However, the processing of steps ST8 to ST10 is performed using the signature distribution value s.iIs repeated n-1 times in total based on the fact that there are n.
[0269]
Step ST101-10n-1S1, ..., sn-1This verification process is executed by the signature distribution value verification unit 24 using the following verification formula (11).
[0270]
[Expression 7]
Figure 0004018370
[0271]
In addition, the signature distribution value verification unit 24 receives each signature distribution value s.iThe verification result is returned to the trustee signature management unit 23 each time.
[0272]
Here, the n-1 iteration processing as described above will be specifically described.
[0273]
For example, the consignor-side device 50 determines the signature distribution value s according to the consignment portion performed by the consignor device 20k among the consignment contents.1, ..., sn-1Consider the case of passing In this example, it is assumed that the commissioned content is a translation of an English document consisting of nine chapters. The signature (r, s) is a signature to electronic money corresponding to a translation fee or a signature to a translation fee payment contract.
[0274]
The consignor side device 50 uses the formulas (7) to (9) to obtain 10 signature distribution values s.0, S1, ..., s9Calculate The trustee apparatus 20k receives the signature distribution value s0 for proof of the contract before translation. Thereafter, each time the trustee device 20k finishes translating one chapter, the corresponding signature distribution value s1, ..., sn-1Have one of you send.
[0275]
As a result, the trustee apparatus 20k each time the signature distribution value siBy verifying the legitimacy, it is possible to proceed to the translation of the next chapter while confirming and obtaining the reward or completion evidence for one chapter. That is, each signature distribution value s0, S1~ Sn-1However, when arguing, it serves as solid evidence of the trustee's workload.
[0276]
When the repetition process as described above is completed, the trustee signature management unit 23 receives all the signature distribution values s received from the signature distribution value verification unit 24.0, ..., sn-1Commit value c when the verification result is validj, Part of signature r, signature distribution value s0, ..., sn-1Is transmitted to the signature calculation unit 25.
[0277]
The signature calculation unit 25 uses n signature distribution values s.0, ..., sn-1And each signature distribution value siEach part s of the signature and n−1 random numbers b using the above-described formula (10)j(ST11), part s of the signature and random number bjIs sent to the trustee signature management unit 23 and the signature verification unit 26.
[0278]
Hereinafter, the signature (r, s) and the commit value c in step ST12jThe processing from the validity verification to the confirmation of the signature receipt notification in step ST13 is executed in the same manner as in the first embodiment.
[0279]
As described above, according to the present embodiment, in addition to the effects of the first to eleventh embodiments, the signature distribution value siTherefore, the present invention can be applied to any consignment contents that can be executed every n-1 stages.
[0280]
In addition, although this embodiment described the case where it applied to 1st Embodiment as a representative example, it is not restricted to this, either of the 2nd-11th embodiment or the modification described in 11th Embodiment. Even if applied to the above, the same effect can be obtained.
[0281]
In the present embodiment, the number of devices constituting the consignor-side device 50 may be increased up to n. In this case, for example, maintenance of the server can be performed smoothly. Also, distributed information s from different third party devices depending on the stage of the contractiIt is possible to implement a form such as distributing.
[0282]
In the first to twelfth embodiments, the digital signature can be restored when all (n) pieces of the n pieces of shared information are prepared, and operates as the (n, n) threshold secret sharing scheme. However, the present invention is not limited to this, and a configuration that operates as a (k, n) threshold secret sharing scheme that enables digital signatures to be restored when any k pieces of n pieces of shared information are prepared. Even if it is deformed, the present invention can be implemented in the same manner to obtain the same effect, and the reliability can be further improved.
[0283]
For example, in the case of the (n, n) threshold secret sharing scheme, the trustee device needs to prepare all n pieces of shared information, and therefore, a plurality of distribution devices (a total of a plurality of distribution devices in the trustee side device). When distributed information is distributed from a consignor device and / or one or more third-party devices), even if one distribution device becomes abnormal, the distributed information is not prepared and the signature cannot be restored. End up.
[0284]
On the other hand, in the case of the (k, n) threshold secret sharing scheme, the trustee device only has to arrange k pieces of the n pieces of distributed information, so that it is distributed from each distribution device in the trustee side device. When information is distributed, depending on the distribution of the distributed information of each distribution device, even if several distribution devices become abnormal, k pieces of distributed information can be arranged and the signature can be restored.
[0285]
For this reason, when distributed information is distributed from a plurality of distribution devices of the consignor side device, the reliability can be further improved by using the (k, n) threshold secret sharing scheme.
[0286]
Supplementally, the threshold value k is a value k smaller than the total number n of shared information (k <n) and the number k of shared information that can restore secret information. For example, in the case of n = 3 and k = 2, the threshold value k means that a part of the signature s can be restored if two pieces of shared information are arranged among the three pieces of shared information.
[0287]
As an application, for example, a case where there are first to third third-party devices (servers) A, B, and C and processes # 1 and # 2 are considered. Further, in this case, when the process # 1 is completed, one shared information is sent from the first third party apparatus A, and when the process # 2 is completed, another shared information is transmitted from the second third party apparatus B. Is supposed to be sent.
[0288]
At this time, according to the (k, n) threshold secret sharing scheme, even if the second third-party device B fails in the middle, the third third-party device C is replaced by one instead of B. Since the information is sent, the trustee apparatus can restore the secret information (signature) by combining the two pieces of shared information by the shared information received from c. In this case, the third party device C functions as a device for insurance (fail safe) at the time of abnormality.
[0289]
In addition, the methods described in each of the embodiments described above are programs that can be executed by a computer, such as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk ( MO), and can be stored and distributed in a storage medium such as a semiconductor memory.
[0290]
In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.
[0291]
In addition, an OS (operating system) operating on the computer based on an instruction of a program installed in the computer from the storage medium, MW (middleware) such as database management software, network software, and the like implement the present embodiment. A part of each process may be executed.
[0292]
Furthermore, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN, the Internet, or the like is downloaded and stored or temporarily stored.
[0293]
Further, the number of storage media is not limited to one, and the case where the processing in the present embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
[0294]
The computer according to the present invention executes each process according to the present embodiment based on a program stored in a storage medium, and includes a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.
[0295]
In addition, the computer in the present invention is not limited to a personal computer, but includes a processing unit, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .
[0296]
Note that the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the scope of the invention at the stage of implementation. In addition, the embodiments may be combined as appropriate as possible, and in that case, combined effects can be obtained. Furthermore, the above embodiments include inventions at various stages, and various inventions can be extracted by appropriate combinations of a plurality of disclosed configuration requirements. For example, when an invention is extracted by omitting some constituent elements from all the constituent elements shown in the embodiment, when the extracted invention is implemented, the omitted part is appropriately supplemented by a well-known common technique. It is what is said.
[0297]
In addition, the present invention can be implemented with various modifications without departing from the gist thereof.
[0298]
【The invention's effect】
As described above, according to the present invention, when a digital signature is exchanged, fair processing can be realized without putting each party in a disadvantageous state.
[Brief description of the drawings]
FIG. 1 is a schematic diagram showing a schematic configuration of a signature distribution system according to a first embodiment of the present invention.
FIG. 2 is a functional block diagram specifically showing the configuration of a signature distribution system according to the embodiment.
FIG. 3 is a flowchart for explaining the operation in the embodiment;
FIG. 4 is a schematic diagram showing a schematic configuration of a signature distribution system according to a second embodiment of the present invention.
FIG. 5 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment.
FIG. 6 is a flowchart for explaining the operation in the embodiment;
FIG. 7 is a schematic diagram showing a schematic configuration of a signature distribution system according to a third embodiment of the present invention.
FIG. 8 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment.
FIG. 9 is a flowchart for explaining the operation in the embodiment;
FIG. 10 is a schematic diagram showing a schematic configuration of a signature distribution system according to a fourth embodiment of the present invention.
FIG. 11 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment.
FIG. 12 is a flowchart for explaining the operation in the embodiment;
FIG. 13 is a schematic diagram showing a schematic configuration of a signature distribution system according to a fifth embodiment of the present invention.
FIG. 14 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment;
FIG. 15 is a flowchart for explaining the operation in the embodiment;
FIG. 16 is a schematic diagram showing a schematic configuration of a signature distribution system according to a sixth embodiment of the present invention.
FIG. 17 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment;
FIG. 18 is a flowchart for explaining the operation in the embodiment;
FIG. 19 is a schematic diagram showing a schematic configuration of a signature distribution system according to a seventh embodiment of the present invention.
FIG. 20 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment;
FIG. 21 is a flowchart for explaining the operation in the embodiment;
FIG. 22 is a schematic diagram showing a schematic configuration of a signature distribution system according to an eighth embodiment of the present invention.
FIG. 23 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment;
FIG. 24 is a flowchart for explaining the operation in the embodiment;
FIG. 25 is a schematic diagram showing a schematic configuration of a signature distribution system according to a ninth embodiment of the present invention.
FIG. 26 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment.
FIG. 27 is a flowchart for explaining the operation in the embodiment;
FIG. 28 is a schematic diagram showing a schematic configuration of a signature distribution system according to a tenth embodiment of the present invention.
FIG. 29 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment.
FIG. 30 is a flowchart for explaining the operation in the embodiment;
FIG. 31 is a schematic diagram showing a schematic configuration of a signature distribution system according to an eleventh embodiment of the present invention.
FIG. 32 is a functional block diagram specifically showing the configuration of the signature distribution system according to the embodiment.
FIG. 33 is a flowchart for explaining the operation in the embodiment;
FIG. 34 is a schematic diagram showing a schematic configuration of a signature distribution system according to a twelfth embodiment of the present invention.
FIG. 35 is a flowchart for explaining the operation in the embodiment;
FIG. 36 is a schematic diagram showing an outline of each embodiment of the present invention.
[Explanation of symbols]
10, 10a-10g ... Consignor device
11, 11b to 11h ... Consignment Content Management Department
12, 12a, 12d, 12te to 12th...
13, 13tc, 13te ... signature distribution value generation unit
14, 14tc, 14te ... commit value calculation section
15, 15tc, 15te ... polynomial generator
16, 16c ... Signature generation unit
16td ... Third party signature generator
17 ... Consignor signature verification department
18: Consignor signature distributed value verification unit
20, 20b, 20c, 20f to 20h, 20k ... trustee device
21 ... Contracted content processing department
22, 22 b, 22 c, 22 f to 22 h...
23 ... Trustee Signature Management Department
24: Signature distribution value verification unit
25. Signature calculation section
26: Signature verification unit
30b, 30c, 30i, 30j ... Third party devices
31 ... Examination Content Management Department
32, 32c ... Third-party signature manager
33 ... Third-party signature distribution value verification unit
34 ... Third-party signature verification unit
40d to 40j ... Third party (signature) device
50 ... Consignor side device

Claims (11)

提示したメッセージに対するデジタル署名を復元するための複数の分散情報を時系列的に個別に送信する送信側エンティティ装置と、前記送信側エンティティ装置から受けた分散情報に基づいて前記デジタル署名を復元する受信側エンティティ装置とを備えた署名分散システムであって、
前記送信側エンティティ装置は、
前記デジタル署名に基づいて前記各分散情報を生成する署名生成手段と、
前記受信側エンティティ装置から要求を受ける毎に、前記署名生成手段により生成された各分散情報を個別に受信側エンティティ装置宛に送信する分散情報送信手段とを有し、
前記受信側エンティティ装置は、
前記分散情報送信手段から分散情報を受ける毎に、当該分散情報の正当性を検証する分散情報検証手段と、
前記分散情報検証手段により正当性が検証された分散情報が全部又は所定の個数揃ったとき、当該各分散情報に基づいてデジタル署名を復元する署名復元手段と、
を備えたことを特徴とする署名分散システム。A transmitting entity device that individually transmits a plurality of distributed information for recovering a digital signature for a presented message in time series, and reception that recovers the digital signature based on the distributed information received from the transmitting entity device A signature distribution system comprising a side entity device,
The transmitting entity device is:
Signature generating means for generating each of the distributed information based on the digital signature;
Each time receiving a request from the receiving side entity device, the distributed information transmitting means for individually transmitting each piece of distributed information generated by the signature generating unit to the receiving side entity device,
The receiving entity device is:
Each time shared information is received from the shared information transmission means, the shared information verification means for verifying the validity of the shared information;
Signature restoration means for restoring a digital signature based on each of the shared information when all or a predetermined number of pieces of shared information whose validity has been verified by the shared information verification means;
A signature distribution system comprising: 委託内容管理部及び署名分散値生成部を有する送信側エンティティ装置に用いられ、受信側エンティティ装置に提示したメッセージに対するデジタル署名を復元するための複数の署名分散値を前記受信側エンティティ装置宛に時系列的に個別に送信する前記送信側エンティティ装置署名分散用プログラムであって、
前記送信側エンティティ装置のコンピュータに、
前記デジタル署名に基づいて前記各署名分散値を前記署名分散値生成部により計算する機能、
前記受信側エンティティ装置からの1回目の要求に基づいて、前記デジタル署名の一部、1つ目の前記署名分散値を前記委託内容管理部により送信する機能、
前記受信側エンティティ装置からの2回目以降の要求毎に、対応する前記署名分散値を前記委託内容管理部により個別に送信する機能、
を実現させるための署名分散用プログラム。A plurality of signature distribution values for restoring a digital signature for a message presented to the reception side entity device are used for the transmission side entity device having a delegation content management unit and a signature distribution value generation unit. a signature distributed program of the sending entity apparatus for serially transmitted individually,
In the computer of the transmitting entity device,
A function of calculating each signature distribution value by the signature distribution value generation unit based on the digital signature;
A function of transmitting a part of the digital signature and the first signature distribution value by the entrusted content management unit based on a first request from the receiving entity device;
A function for individually transmitting the corresponding signature distribution value by the entrusted content management unit for each second or subsequent request from the receiving-side entity device;
A signature distribution program for realizing 受託内容管理部及び署名分散値検証部を有する受信用エンティティ装置に用いられ、
提示されたメッセージに対して公開鍵暗号方式の秘密鍵を用いて生成されたデジタル署名に関し、複数個の乱数を含む多項式に基づいて、前記デジタル署名を復元するための複数の分散情報を生成し、前記各分散情報を時系列的に個別に送信側エンティティ装置に要求し、この要求により前記送信側エンティティ装置から受けた全部又は所定個の分散情報からデジタル署名を復元し、得られたデジタル署名を検証可能な受信用エンティティ装置署名検証用プログラムであって、
前記受信用エンティティ装置のコンピュータに、
前記送信用エンティティ装置から前記受託内容管理部により受けたデジタル署名の一部、及び前記多項式の各乱数に関する複数のコミット値と、前記秘密鍵に対応する公開鍵とに基づいて、前記送信用エンティティ装置から前記受託内容管理部により分散情報を受ける毎に、この分散情報の正当性を前記署名分散値検証部により検証する機能、
を実現させるための署名検証用プログラム。 Used for a receiving entity device having a trust content management unit and a signature distribution value verification unit,
A plurality of distributed information for restoring the digital signature is generated based on a polynomial including a plurality of random numbers with respect to the digital signature generated using the secret key of the public key cryptosystem for the presented message. Request each of the distributed information individually in time series from the transmitting entity device, and restore the digital signature from all or a predetermined number of distributed information received from the transmitting entity device by this request, and obtain the obtained digital signature A signature verification program for a receiving entity device capable of verifying
In the computer of the receiving entity device,
Based on a part of the digital signature received by the trust content management unit from the transmission entity device, a plurality of commit values for each random number of the polynomial, and a public key corresponding to the secret key, the transmission entity Each time the shared information is received from the device by the commissioned content management unit, the signature distributed value verification unit verifies the validity of the shared information,
Signature verification program for realizing 請求項に記載の署名検証用プログラムにおいて、
前記受信用エンティティ装置は署名算出部及び署名検証部を備えており、
前記受信用エンティティ装置のコンピュータに、
前記送信用エンティティ装置から前記受託内容管理部により受けた全て又は所定個の分散情報を用い、前記多項式に基づいて、デジタル署名の一部及び複数個の他の乱数を前記署名算出部により計算する機能、
前記送信用エンティティ装置から受けたデジタル署名の一部及び前記計算したデジタル署名の一部からデジタル署名を前記署名算出部により復元する機能、
前記公開鍵を用い、前記復元したデジタル署名の正当性を前記署名検証部により検証する機能、
前記送信用エンティティ装置から受けたデジタル署名の一部と前記計算した他の各乱数とを用い、前記各コミット値の正当性を前記署名検証部により検証する機能、
を実現させるための署名検証用プログラム。In the signature verification program according to claim 3 ,
The receiving entity device includes a signature calculation unit and a signature verification unit,
In the computer of the receiving entity device,
Based on the polynomial, a part of the digital signature and a plurality of other random numbers are calculated by the signature calculation unit using all or a predetermined number of shared information received from the transmission entity device by the trust content management unit. function,
A function for restoring a digital signature from a part of the digital signature received from the transmission entity device and a part of the calculated digital signature by the signature calculation unit ;
A function for verifying the validity of the restored digital signature by the signature verification unit using the public key;
A function for verifying the validity of each commit value by the signature verification unit using a part of the digital signature received from the transmission entity device and the other random numbers calculated;
Signature verification program for realizing 受信側エンティティ装置に提示したメッセージmに対するデジタル署名を復元するためのn個(2≦n)の分散情報si(0≦i≦n-1)を、前記受信側エンティティ装置宛に時系列的に個別に送信する送信側エンティティ装置が前記デジタル署名を計算可能な第1装置及び前記デジタル署名を検証可能な第2装置からなり、
前記第1装置が、所定の第1素数qに関する乗法群Zqから乱数kを選択し、前記メッセージmに対してハッシュ値h(m)を求め、前記第1素数qに関係した所定の第2素数p(=w*q+1、但しwは2以上の任意の自然数)、前記乗法群Zpでの位数がqとなる所定の原始元α、公開鍵暗号方式の秘密鍵x、前記乱数k及び前記ハッシュ値h(m)に基づいて、r=α(mod p)の式及びs=k-1{h(m)+x・r}(mod q)の式を満たすデジタル署名(r,s)を計算し、このデジタル署名(r,s)を前記第2装置に送信するとき、
審査内容管理部、第三者署名検証部、多項式生成部、コミット値計算部及び署名分散値生成部を有する前記第2装置に用いられる分散署名用プログラムであって、
前記第2装置のコンピュータに、
前記第1装置から前記審査内容管理部によりデジタル署名(r,s)を受けると、前記秘密鍵xに対応する公開鍵yを用い、当該デジタル署名(r,s)の正当性をr=αh(m)r (mod p)の関係に基づいて前記第三者署名検証部により検証する機能、
前記乗法群Zq からn−1個の乱数b j を前記多項式生成部により選択する機能、
前記乱数b j に基づいて、多項式f ( ) =s + 1 ・z+b 2 ・z 2 +…+b n-1 ・z n-1 (mod q)を前記多項式生成部により生成する機能、
前記乱数b j 及び前記デジタル署名の一部rに基づいて、n−1個のコミット値c j (=r bj (mod p))を前記コミット値計算部により計算する機能、
所定のn個の引数z i 及び前記多項式f ( ) に基づいてn個の署名分散値s i (=f ( i ) )を前記署名分散値生成部により計算する機能、
前記受信側エンティティ装置から前記審査内容管理部により受けた1回目の要求に基づいて、前記デジタル署名の一部r、1つ目の署名分散値s 0 、及びコミット値c j を前記審査内容管理部により送信する機能、
前記受信側エンティティ装置から前記審査内容管理部により受けた2回目以降の要求毎に、対応する署名分散値s i を前記審査内容管理部により個別に送信する機能、
を実現させるための署名分散用プログラム。N (2 ≦ n) shared information s i (0 ≦ i ≦ n−1) for restoring a digital signature for the message m presented to the receiving entity device is time-sequentially addressed to the receiving entity device. A transmitting entity device that individually transmits a first device capable of calculating the digital signature and a second device capable of verifying the digital signature,
The first device selects a random number k from a multiplicative group Zq * for a predetermined first prime number q, obtains a hash value h (m) for the message m, and determines a predetermined first number related to the first prime number q. 2 prime numbers p (= w * q + 1, where w is an arbitrary natural number greater than or equal to 2), a predetermined primitive element α whose order in the multiplicative group Zp * is q, a secret key x of a public key cryptosystem, and the random number Based on k and the hash value h (m), a digital signature (r that satisfies the equation r = α k (mod p) and the equation s = k −1 {h (m) + x · r} (mod q) , S) and sending this digital signature (r, s) to the second device,
A distributed signature program used in the second apparatus having an examination content management unit, a third party signature verification unit, a polynomial generation unit, a commit value calculation unit, and a signature distribution value generation unit ,
In the computer of the second device,
When the digital signature (r, s) is received from the first device by the examination content management unit , the public key y corresponding to the secret key x is used, and the validity of the digital signature (r, s) is expressed as rs = a function for verification by the third-party signature verification unit based on the relationship of α h (m) y r (mod p);
A function of selecting n−1 random numbers b j from the multiplicative group Zq * by the polynomial generator;
Based on the random number b j , the polynomial f ( z ) = s + b 1 · z + b 2 · z 2 + ... + b n-1 · z n-1 (Mod a function of generating q) by the polynomial generator;
Based on the random number b j and a part r of the digital signature, n−1 commit values c j (= r bj (mod a function of calculating p)) by the commit value calculator;
A function of calculating n signature distribution values s i (= f ( z i ) ) by the signature distribution value generation unit based on predetermined n arguments z i and the polynomial f ( z ) ;
Based on the first request received by the examination content management unit from the receiving-side entity device, the part r of the digital signature, the first signature distribution value s 0 , and the commit value c j are managed in the examination content management. Function to send by part,
A function of individually transmitting a corresponding signature distribution value s i by the examination content management unit for each second or subsequent request received from the receiving entity device by the examination content management unit;
A signature distribution program for realizing 提示されたメッセージmに対するデジタル署名(r,s)(なお、r=α(mod p)、s=k-1{h(m)+x・r}(mod q)、但しp,qはp=w*q+1(但し、wは2以上の任意の自然数)の関係をもつ素数、αは乗法群Zpでの位数がqとなる所定の原始元、kは乗法群Zq内の乱数、h(m)は、mのハッシュ値、xは公開鍵暗号方式の秘密鍵)に関し、
前記デジタル署名(r,s)を復元するためのn個(2≦n)の分散情報si(但し、0≦i≦n-1、si=f(zi)=s+b1・zi+b2・zi 2+…+bn-1・zi n-1 (mod q)、ziはn−1個の引数)を時系列的に個別に送信側エンティティ装置に要求し、この要求により前記送信側エンティティ装置からn回に渡って受けた合計n個の分散情報siからデジタル署名(r,s)を復元し、得られたデジタル署名(r,s)を検証可能な受信用エンティティ装置に用いられる署名検証用プログラムであって、
前記受信用エンティティ装置は受託内容管理部及び署名分散値検証部を備えており、
前記受信用エンティティ装置のコンピュータに、
前記送信用エンティティ装置から前記受託内容管理部により受けたデジタル署名の一部r及びn−1個のコミット値cj(但し、1≦j≦n-1、cj=r j、bjはn−1個の乱数)と、前記秘密鍵xに対応する公開鍵yと、所定の引数ziとを用い、前記送信用エンティティ装置から前記受託内容管理部により分散情報siを受ける毎に、この分散情報siの正当性を下記式の関係に基づいて前記署名分散値検証部により検証する機能、
を実現させるための署名検証用プログラム。
Figure 0004018370
 Digital signature (r, s) for the presented message m (where r = α k (mod p), s = k −1 {h (m) + x · r} (mod q), where p and q are p) = W * q + 1 (where w is an arbitrary natural number greater than or equal to 2), α is a predetermined primitive element whose order is q in the multiplicative group Zp * , and k is a random number in the multiplicative group Zq * , H (m) is a hash value of m, x is a secret key of a public key cryptosystem,
N (2 ≦ n) shared information s i (where 0 ≦ i ≦ n−1, s i = f (z i ) = s + b 1 ) for restoring the digital signature (r, s) z i + b 2 · z i 2 +... + b n-1 · z i n-1 (mod q), z i is n-1 arguments) individually and time-sequentially from the transmitting entity device, With this request, the digital signature (r, s) can be restored from the total of n pieces of distributed information s i received n times from the transmitting entity device, and the obtained digital signature (r, s) can be verified. A signature verification program used for a receiving entity device,
The receiving entity device includes a consignment content management unit and a signature distribution value verification unit,
In the computer of the receiving entity device,
Part r and n−1 commit values c j (where 1 ≦ j ≦ n−1, c j = r b j , b j ) of the digital signature received from the transmission entity device by the trust content management unit N−1 random numbers), a public key y corresponding to the secret key x, and a predetermined argument z i , each time shared information s i is received from the transmission entity device by the trust content management unit. A function of verifying the validity of the shared information s i by the signature distributed value verification unit based on the relationship of the following formula:
Signature verification program for realizing
Figure 0004018370
 請求項に記載の署名検証用プログラムにおいて、
前記受信用エンティティ装置は署名算出部及び署名検証部を備えており、
前記受信用エンティティ装置のコンピュータに、
前記送信用エンティティ装置から受けた合計n個の分散情報siを用い、前記f(zi)の関係に基づいて、デジタル署名の一部s及びn−1個の乱数bj前記署名算出部により計算する機能、
前記送信用エンティティ装置から受けたデジタル署名の一部r及び前記計算したデジタル署名の一部sからデジタル署名(r,s)を前記署名算出部により復元する機能、
前記秘密鍵xに対応する公開鍵yを用い、前記復元したデジタル署名(r,s)の正当性をr=αh(m)r (mod p)の関係に基づいて前記署名検証部により検証する機能、
前記送信用エンティティ装置から受けたデジタル署名の一部rと前記計算した乱数bjとを用い、前記コミット値cjの正当性をcj=r iの関係に基づいて前記署名検証部により検証する機能、
を実現させるための署名検証用プログラム。The signature verification program according to claim 6 ,
The receiving entity device includes a signature calculation unit and a signature verification unit,
In the computer of the receiving entity device,
Using a total of n pieces of shared information s i received from the transmitting entity device, a part of the digital signature s and n−1 random numbers b j are calculated based on the relationship of f (z i ). Function to calculate by part ,
A function of restoring a digital signature (r, s) by the signature calculation unit from a part r of the digital signature received from the transmission entity device and a part s of the calculated digital signature;
Using the public key y corresponding to the secret key x, the signature verification unit verifies the validity of the restored digital signature (r, s) based on the relationship r s = α h (m) y r (mod p). Function to verify by,
Using the part r of the digital signature received from the transmitting entity device and the calculated random number b j , the validity of the commit value c j is determined by the signature verification unit based on the relationship c j = r b i. The ability to verify,
Signature verification program for realizing 提示したメッセージmに対するデジタル署名(r,s)を復元するためのn個(2≦n)の署名分散値s0,…,sj,…,sn-1(1≦j≦n-1)を生成し、この署名分散値s0,…,sj,…,sn-1を時系列的に個別に送信する送信側エンティティ装置に対して設けられた受信側エンティティ装置にて用いられる署名検証方法であって、
前記送信側エンティティ装置から前記受託内容管理部により受けた1番目の署名分散値s0の正当性を前記署名分散値検証部により検証するステップと、
この正当性が検証された後、前記受託内容管理部により、2番目以降の署名分散値sjを時系列的に個別に前記送信側エンティティ装置に要求するステップと、
この個別の要求毎に送信側エンティティ装置から2番目以降の署名分散値sj前記受託内容管理部により受けると、当該署名分散値sjの正当性を前記署名分散値検証部により検証するステップと、
n番目の署名分散値sn-1の正当性が検証された後、全ての署名分散値s0〜sn-1に基づいて前記デジタル署名の一部sを前記署名算出部により復元し、当該デジタル署名の一部sと予め送信側エンティティ装置から受けたデジタル署名の一部rとを用いることにより、前記署名算出部によって前記デジタル署名(r,s)を得るステップと、
当該得られたデジタル署名(r,s)の正当性を前記署名検証部により検証するステップと、
このデジタル署名(r,s)の正当性が検証された後、前記受託内容管理部により、前記送信側エンティティ装置に署名受領通知を送信するステップと、
を含んでいることを特徴とする署名検証方法。N (2 ≦ n) signature distribution values s 0 ,..., S j ,..., S n-1 (1 ≦ j ≦ n−1) for restoring the digital signature (r, s) for the presented message m. ) And the signature distribution values s 0 ,..., S j ,..., S n−1 are used in the reception-side entity device provided for the transmission-side entity device that individually transmits in time series. A signature verification method,
Verifying the validity of the first signature distribution value s 0 received by the trust content management unit from the transmission side entity device using the signature distribution value verification unit ;
After the validity is verified, the trust content management unit requests the second and subsequent signature distribution values s j individually in time series from the transmitting entity device;
When the second and subsequent signature distribution values s j are received from the sending entity device for each individual request by the trust content management unit, the signature distribution value verification unit verifies the validity of the signature distribution value s j When,
After the validity of the nth signature distribution value s n-1 is verified, a part s of the digital signature is restored by the signature calculation unit based on all the signature distribution values s0 to s n-1 , Obtaining the digital signature (r, s) by the signature calculation unit by using a part s of the digital signature and a part r of the digital signature received from the transmitting entity device in advance;
Verifying the validity of the obtained digital signature (r, s) by the signature verification unit ;
After the validity of the digital signature (r, s) is verified, the trust content management unit transmits a signature receipt notification to the transmitting entity device;
The signature verification method characterized by including. 受信側エンティティ装置に提示したメッセージmに対するデジタル署名を復元するためのn個(2≦n)の分散情報si(0≦i≦n-1)を、前記受信側エンティティ装置宛に時系列的に個別に送信する送信側エンティティ装置が前記デジタル署名を計算可能な第1装置及び前記デジタル署名を検証可能な第2装置からなり、
前記第1装置が、所定の第1素数qに関する乗法群Zqから乱数kを選択し、前記メッセージmに対してハッシュ値h(m)を求め、前記第1素数qに関係した所定の第2素数p(=w*q+1、但しwは2以上の任意の自然数)、前記乗法群Zpでの位数がqとなる所定の原始元α、公開鍵暗号方式の秘密鍵x、前記乱数k及び前記ハッシュ値h(m)に基づいて、r=α(mod p)の式及びs=k-1{h(m)+x・r}(mod q)の式を満たすデジタル署名(r,s)を計算し、このデジタル署名(r,s)を前記第2装置に送信するとき、
審査内容管理部、第三者署名検証部、多項式生成部、コミット値計算部及び署名分散値生成部を有する前記第2装置に用いられる分散署名方法であって、
前記第1装置からデジタル署名(r,s)を前記審査内容管理部により受けると、前記秘密鍵xに対応する公開鍵yを用い、当該デジタル署名(r,s)の正当性をr=αh(m)r (mod p)の関係に基づいて前記第三者署名検証部により検証するステップと、
前記送信側エンティティ装置が前記乗法群Zq からn−1個の乱数b j を前記多項式生成部により選択するステップと、
前記乱数b j に基づいて、多項式f ( ) =s + 1 ・z+b 2 ・z 2 +…+b n-1 ・z n-1 (mod q)を前記多項式生成部により生成するステップと、
前記乱数b j 及び前記デジタル署名の一部rに基づいて、n−1個のコミット値c j (=r bj (mod p))を前記コミット値計算部により計算するステップと、
所定のn個の引数z i 及び前記多項式f ( ) に基づいてn個の署名分散値s i (=f ( i ) )を前記署名分散値生成部により計算するステップと、
前記受信側エンティティ装置から前記審査内容管理部により受けた1回目の要求に基づいて、前記デジタル署名の一部r、1つ目の署名分散値s 0 、及びコミット値c j を前記審査内容管理部により前記受信側エンティティ装置に送信するステップと、
前記受信側エンティティ装置から前記審査内容管理部により受けた2回目以降の要求毎に、対応する署名分散値s i を個別に前記審査内容管理部により前記受信側エンティティ装置に送信するステップと、
を含んでいることを特徴とする署名分散方法。N (2 ≦ n) shared information s i (0 ≦ i ≦ n−1) for restoring a digital signature for the message m presented to the receiving entity device is time-sequentially addressed to the receiving entity device. A transmitting entity device that individually transmits a first device capable of calculating the digital signature and a second device capable of verifying the digital signature,
The first device selects a random number k from a multiplicative group Zq * for a predetermined first prime number q, obtains a hash value h (m) for the message m, and determines a predetermined first number related to the first prime number q. 2 prime numbers p (= w * q + 1, where w is an arbitrary natural number greater than or equal to 2), a predetermined primitive element α whose order in the multiplicative group Zp * is q, a secret key x of a public key cryptosystem, and the random number Based on k and the hash value h (m), a digital signature (r that satisfies the equation r = α k (mod p) and the equation s = k −1 {h (m) + x · r} (mod q) , S) and sending this digital signature (r, s) to the second device,
A distributed signature method used in the second apparatus having an examination content management unit, a third party signature verification unit, a polynomial generation unit, a commit value calculation unit, and a signature distribution value generation unit ,
When the examination content management unit receives the digital signature (r, s) from the first device, the public key y corresponding to the secret key x is used, and the validity of the digital signature (r, s) is expressed as rs = verifying by the third-party signature verification unit based on the relationship of α h (m) yr (mod p) ;
The transmitting entity device selecting n−1 random numbers b j from the multiplicative group Zq * by the polynomial generator;
Based on the random number b j , the polynomial f ( z ) = s + b 1 · z + b 2 · z 2 + ... + b n-1 · z n-1 (Mod q) is generated by the polynomial generator;
Based on the random number b j and a part r of the digital signature, n−1 commit values c j (= r bj (mod p)) by the commit value calculation unit;
Calculating n signature distribution values s i (= f ( z i ) ) by the signature distribution value generation unit based on predetermined n arguments z i and the polynomial f ( z ) ;
Based on the first request received by the examination content management unit from the receiving-side entity device, the part r of the digital signature, the first signature distribution value s 0 , and the commit value c j are managed in the examination content management. Transmitting to the receiving entity device by a unit;
For each subsequent request received from the receiving entity device by the examination content management unit, a corresponding signature distribution value s i is individually transmitted to the receiving entity device by the examination content management unit;
A signature distribution method comprising: 提示されたメッセージmに対するデジタル署名(r,s)(なお、r=α(mod p)、s=k-1{h(m)+x・r}(mod q)、但しp,qはp=w*q+1(但し、wは2以上の任意の自然数)の関係をもつ素数、αは乗法群Zpでの位数がqとなる所定の原始元、kは乗法群Zq内の乱数、h(m)は、mのハッシュ値、xは公開鍵暗号方式の秘密鍵)に関し、
前記デジタル署名(r,s)を復元するためのn個(2≦n)の分散情報si(但し、0≦i≦n-1、si=f(zi)=s+b1・zi+b2・zi 2+…+bn-1・zi n-1 (mod q)、ziはn−1個の引数)を時系列的に個別に送信側エンティティ装置に要求し、この要求により前記送信側エンティティ装置からn回に渡って受けた合計n個の分散情報siからデジタル署名(r,s)を復元し、得られたデジタル署名(r,s)を検証可能な受信用エンティティ装置に用いられる署名検証方法であって、
前記受信用エンティティ装置は受託内容管理部及び署名分散値検証部を備えており、
前記送信用エンティティ装置から前記受託内容管理部により受けたデジタル署名の一部r及びn−1個のコミット値cj(但し、1≦j≦n-1、cj=r j、bjはn−1個の乱数)と、前記秘密鍵xに対応する公開鍵yと、所定の引数ziとを用い、前記送信用エンティティ装置から前記受託内容管理部により分散情報siを受ける毎に、この分散情報siの正当性を下記式の関係に基づいて前記署名分散値検証部により検証するステップを含んでいることを特徴とする署名検証方法。
Figure 0004018370
 Digital signature (r, s) for the presented message m (where r = α k (mod p), s = k −1 {h (m) + x · r} (mod q), where p and q are p) = W * q + 1 (where w is an arbitrary natural number greater than or equal to 2), α is a predetermined primitive element whose order is q in the multiplicative group Zp * , and k is a random number in the multiplicative group Zq * , H (m) is a hash value of m, x is a secret key of a public key cryptosystem,
N (2 ≦ n) shared information s i (where 0 ≦ i ≦ n−1, s i = f (z i ) = s + b 1 ) for restoring the digital signature (r, s) z i + b 2 · z i 2 +... + b n-1 · z i n-1 (mod q), z i is n-1 arguments) individually and time-sequentially from the transmitting entity device, With this request, the digital signature (r, s) can be restored from the total n pieces of distributed information s i received n times from the transmitting side entity device, and the obtained digital signature (r, s) can be verified. A signature verification method used for a receiving entity device,
The receiving entity device includes a consignment content management unit and a signature distribution value verification unit,
Part r and n−1 commit values c j (where 1 ≦ j ≦ n−1, c j = r b j , b j ) of the digital signature received from the transmission entity device by the trust content management unit N−1 random numbers), a public key y corresponding to the secret key x, and a predetermined argument z i , each time shared information s i is received from the transmission entity device by the trust content management unit. The signature verification method further includes a step of verifying the validity of the shared information s i by the signature distributed value verification unit based on the relationship of the following formula.
Figure 0004018370
 請求項10に記載の署名検証方法において、
前記受信用エンティティ装置は署名算出部及び署名検証部を備えており、
前記送信用エンティティ装置から受けた合計n個の分散情報siを用い、前記f(zi)の関係に基づいて、デジタル署名の一部s及びn−1個の乱数bj前記署名算出部により計算するステップと、
前記送信用エンティティ装置から受けたデジタル署名の一部r及び前記計算したデジタル署名の一部sからデジタル署名(r,s)を前記署名算出部により復元するステップと、
前記秘密鍵xに対応する公開鍵yを用い、前記復元したデジタル署名(r,s)の正当性をr=αh(m)r (mod p)の関係に基づいて前記署名検証部により検証するステップと、
前記送信用エンティティ装置から受けたデジタル署名の一部rと前記計算した乱数bjとを用い、前記コミット値cjの正当性をcj=r iの関係に基づいて前記署名検証部により検証するステップと、
を含んでいることを特徴とする署名検証方法。The signature verification method according to claim 10 ,
The receiving entity device includes a signature calculation unit and a signature verification unit,
Using a total of n pieces of shared information s i received from the transmitting entity device, a part of the digital signature s and n−1 random numbers b j are calculated based on the relationship of f (z i ). Calculating by part ,
Restoring the digital signature (r, s) by the signature calculation unit from the part r of the digital signature received from the entity device for transmission and the part s of the calculated digital signature;
Using the public key y corresponding to the secret key x, the signature verification unit verifies the validity of the restored digital signature (r, s) based on the relationship r s = α h (m) y r (mod p). a step of verification by,
Using the part r of the digital signature received from the transmitting entity device and the calculated random number b j , the validity of the commit value c j is determined by the signature verification unit based on the relationship c j = r b i. Verifying steps;
The signature verification method characterized by including.
JP2001333431A 2001-10-30 2001-10-30 Signature distribution system, program, and method Expired - Lifetime JP4018370B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001333431A JP4018370B2 (en) 2001-10-30 2001-10-30 Signature distribution system, program, and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001333431A JP4018370B2 (en) 2001-10-30 2001-10-30 Signature distribution system, program, and method

Publications (2)

Publication Number Publication Date
JP2003143135A JP2003143135A (en) 2003-05-16
JP4018370B2 true JP4018370B2 (en) 2007-12-05

Family

ID=19148687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001333431A Expired - Lifetime JP4018370B2 (en) 2001-10-30 2001-10-30 Signature distribution system, program, and method

Country Status (1)

Country Link
JP (1) JP4018370B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5251520B2 (en) * 2007-02-02 2013-07-31 日本電気株式会社 Distributed information generation apparatus, restoration apparatus, restoration result verification apparatus, secret information distribution system, method, and program
WO2010090068A1 (en) * 2009-02-03 2010-08-12 日本電気株式会社 Authentication system, method and program
US8938620B2 (en) 2009-04-03 2015-01-20 Panasonic Corporation Measurement device and method of controlling the same
SG11202006382VA (en) * 2018-01-16 2020-08-28 Nchain Holdings Ltd Computer implemented method and system for obtaining digitally signed data

Also Published As

Publication number Publication date
JP2003143135A (en) 2003-05-16

Similar Documents

Publication Publication Date Title
CN108924092B (en) Public arbitration distributed cloud storage method and system based on block chain
KR102139897B1 (en) System and method for information protection
JP6841911B2 (en) Information protection systems and methods
CN110366738B (en) Cross-asset transaction in blockchain networks
CN108781161B (en) Method for controlling and distributing blockchain implementation of digital content
US11481375B2 (en) Point-to-point distributed decentralized system
Zhou et al. An efficient non-repudiation protocol
US6061792A (en) System and method for fair exchange of time-independent information goods over a network
EP3396608A1 (en) Method and system for settling a blockchain transaction
EP3396612A1 (en) Method and system for creating a user identity
JP2019537744A (en) Information protection system and method
CN111108732A (en) Method, system and computer program product for determining reimbursement capabilities of a digital asset exchange
EP3552158B1 (en) System and method for information protection
US20120072732A1 (en) cryptographic method for anonymous authentication and separate identification of a user
WO1997050205A9 (en) Digitally signing agreements from remotely located nodes
WO1997050205A1 (en) Digitally signing agreements from remotely located nodes
JP2002175009A (en) Method for generating digital signature, and method for verifying digital signature
US20040193872A1 (en) System and method for renewing and extending digitally signed certificates
CN1297094C (en) Non-transferable anonymous digital receipts
KR100985660B1 (en) Method and apparatus for establishing peer-to-peer karma and trust
CN110910000A (en) Block chain asset management method and device
CN114424223A (en) Divisible token
JP4018370B2 (en) Signature distribution system, program, and method
Ray et al. An Anomymous Fair Exchange E-commerce Protocol.
CN115705601A (en) Data processing method and device, computer equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041013

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070227

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070918

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070920

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100928

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100928

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110928

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120928

Year of fee payment: 5