JP4053431B2 - 環ベースの署名スキーム - Google Patents
環ベースの署名スキーム Download PDFInfo
- Publication number
- JP4053431B2 JP4053431B2 JP2002588007A JP2002588007A JP4053431B2 JP 4053431 B2 JP4053431 B2 JP 4053431B2 JP 2002588007 A JP2002588007 A JP 2002588007A JP 2002588007 A JP2002588007 A JP 2002588007A JP 4053431 B2 JP4053431 B2 JP 4053431B2
- Authority
- JP
- Japan
- Prior art keywords
- polynomial
- digital signature
- mod
- polynomials
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Description
として計算される。第一及び第二中間秘密多項式s及びtが、s*h=tであるように、また、s及びtがpを法として実質的に一致するように、選択される。第三の中間秘密多項式aは、メッセージ多項式の一つmと量 t+a*g(mod q) との間の偏差(deviation)の数を最小化するように、選択される。第一デジタル署名多項式uは、続いて、u=s+a*f(mod q)として計算され、第二デジタル署名多項式vは、v=t+a*g(mod q)として計算される。最後に、デジタル署名は、mとuとの間の偏差(deviation)が予め定められた偏差(deviation)の閾値よりも小さいことと、mとvとの間の偏差(deviation)もまた予め定められた偏差(deviation)の閾値よりも小さいことと、を確認することにより検証される。
Dev(a,b)=#{i:ai≠bi(mod p)} (4)
検証者は、また、一つ以上のデジタル署名多項式のノルムが、予め定められたノルム閾値と比べて小さいまたは等しいことを確認し得る。様々なノルム、例えばL1ノルム、L2(またはユークリッド)ノルムまたはより高次元のLpノルムのいずれかを含む、がデジタル署名多項式を制約するために使用され得る。便宜性のためには、ユークリッドノルムが好ましい。
s=pr*(1−h)−1(mod q) (5)
効率のため、パラメータ (1−h)−1 は、事前に計算されてs’として記憶され得る。ステップ212において、第二の中間秘密多項式tが次の式に従って計算される:
t=s*h(mod q) (6)
一般に、s及びtは、s*h=tであるように、かつ、s及びtがpを法として実質的に一致するように、選択されるべきである。これは、式8及び式9で計算されるデジタル署名多項式u及びvの間の適正な公開鍵の関係を保持して、メッセージ多項式mとデジタル署名多項式u及びvとの間の偏差(deviation)の数を最小化するのを補助する。式5及び式6は、sとtとの間の適正な関係を実現する一つの好適な方法を提供する。
u=s+a*f(mod q) (8)
第二のデジタル署名多項式vが、続いて、ステップ218において、次の式に従って生成される:
v=t+a*g(mod q) (9)
多項式のペア(u,v)が、当該メッセージの署名である。デジタル署名多項式u及びvの生成における秘密中間多項式s及びtの付加は、本発明がNSSにおいて見られたセキュリティの欠陥の一つを克服する態様の一つである。これは、NSS署名が単純にqを法として規約化された秘密鍵多項式の積:(s,t)=(f*w,g*w)(mod q) であるからである。ここで、wは、ある短い乗数多項式である。結果として、NSS署名は、NSS暗号解析文献においてより詳細に記述されているように、攻撃者が秘密鍵f及びgを知ることを許容する成功的な攻撃にさらされてきた。署名多項式u及びvへ秘密中間多項式s及びtを付加することにより、本発明の本実施の形態は、u及びvが、未規約化状態(即ち、qを法とした規約化の前)において、環R上の秘密鍵多項式の積ではないことを、保証している。換言すれば、u及びvは、環Rq上で秘密鍵多項式f及びgにより除算されたとき、それぞれ、やや短いまたはより大きい多項式を生じる。本発明の他の実施の形態は、中間秘密多項式を同じ態様で用いる。
t=r*h(mod q) (11)
u=r+a*f(mod q) (13)
第二のデジタル署名多項式vは、続いて、ステップ316において次の式に従って生成される:
v=t+a*g(mod q) (14)
前記多項式のペア(u,v)が、前記メッセージの署名である。前記署名を生成するために、二つのハッシュH1(m)及びH2(m)がmの代わりに用いられた場合、aは、式12の次の修正版に従って計算されるべきである:
h1=f−1*e(mod q) (16)
h2=g−1*e(mod q) (17)
あるいは、h1及びh2は、次の式に従って生成され得る:
h1=e−1*f(mod q) (18)
h2=e−1*g(mod q) (19)
式18及び式19は、h1及びh2の適切な多項式を算出するが、途中でワンタイム秘密鍵の逆元e−1(mod q)の計算を要求する。加えて、式18及び式19の利用は、後述の式21乃至式23及び式25乃至式27と同様のe、f及びgの代入を要求する。
t1=r1*h1(mod q) (20)
続いて、ステップ414において、第二の中間秘密多項式a1が、次の式に従って計算される:
u1=r1+a1*f(mod q) (22)
第二のデジタル署名多項式v1が、続いて、ステップ418において、次の式に従って生成される:
v1=t1+a1*e(mod q) (23)
t2=r2*h2(mod q) (24)
ステップ424において、第四の中間秘密多項式a2が、次の式に従って計算される:
u2=r2+a2*g(mod q) (26)
第四のデジタル署名多項式v2が、続いて、ステップ428において、次の式に従って生成される:
v2=t2+a2*e(mod q) (27)
集合的に、四つのデジタル署名多項式(u1,u2,v1,v2)が当該メッセージの署名を構成する。
t1=r1*h1(mod q) (28)
ステップ514において、第二の中間秘密多項式a1が、短くあるべきであるが、量 t1+a1*e(mod q) のメッセージmからの偏差(deviation)が少ないまたはない、というように選択される。より具体的には、a1の係数群は、式30を用いて後記のように計算されるv1がpを法としてのメッセージ多項式mからの偏差(deviation)を少なく有するまたは全く有しない、というように選択される。加えて、ワンタイム秘密鍵eのやや大きい係数e0は、量 t1+a1*e(mod q) の係数群が区間 (−q/2,q/2) の中心に近い、というように選択され得る。このことは、これらの係数群がqを法とした操作において規約化されることを防ぐことを助け、それによって更に、pを法とした偏差(deviation)の可能性も低減する。
u1=r1+a1*f(mod q) (29)
第二のデジタル署名多項式v1が、続いて、ステップ518において、次の式に従って生成される:
v1=t1+a1*e(mod q) (30)
t2=r2*h2(mod q) (31)
ステップ524において、第四の中間秘密多項式a2が、短くあるべきであるが、量 t2+a2*e(mod q) のメッセージmからの偏差(deviation)が少ないまたはない、というように選択される。これは、ステップ514においてa1に関連して記述されたものと同様の態様で達成される。多項式a1及びa2並びに係数e0の値の選択において、第二及び第四のデジタル署名多項式v1及びv2の偏差(deviation)を防ぐことに主眼が置かれる。u1及びu2がやや短いことを保証するためにa1及びa2は短い多項式であらなければならないが、u1及びu2の検証の制約はそれらのmからの偏差(deviation)よりむしろそれらのユークリッドノルムに依存するため、u1またはu2の偏差を防ぐ必要性はない。このことは、多項式v1及びv2の係数の極めて正確な操作を見込み、v1及びv2の偏差を効果的に防ぐことを可能とする。
u2=r2+a2*f(mod q) (32)
第四のデジタル署名多項式v2が、続いて、ステップ528において、次の式に従って生成される:
v2=t2+a2*e(mod q) (33)
集合的に、四つのデジタル署名多項式(u1,u2,v1,v2)が当該メッセージの署名を構成する。
Claims (36)
- 通信装置において、メッセージのデジタル署名を生成して検証する方法であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含んでおり、
Nが1より大きい整数であるとして、プロセッサーが、メモリーに記憶されている環R=Z[X]/(XN−1)の互いに素なイデアルp及びqを選択する工程と、
前記プロセッサーが、前記メモリーに記憶されている前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵を選択する工程と、
前記プロセッサーが、前記メッセージを用いて一つ以上のメッセージ多項式mを生成する工程と、
前記プロセッサーが、第一中間秘密多項式s及び第二中間秘密多項式tを、s*h=tであるように、また、s及びtがpを法として実質的に一致するように、選択する工程と、
前記プロセッサーが、第三の中間秘密多項式aを、前記メッセージ多項式mの一つと量t+a*g(mod q)との間の偏差(deviation)の数を最小化するように、選択する工程と、
前記プロセッサーが、前記第一デジタル署名多項式u=s+a*f(mod q)を計算する工程と、
前記プロセッサーが、前記第二デジタル署名多項式v=t+a*g(mod q)を計算する工程と、
前記プロセッサーが、前記デジタル署名を、少なくとも、前記メッセージ多項式mの一つ以上と前記第一デジタル署名多項式uとの間の第一偏差(deviation)が予め定められた偏差閾値よりも小さいことと、前記メッセージ多項式mの一つ以上と前記第二デジタル署名多項式vとの間の第二偏差(deviation)が予め定められた偏差閾値よりも小さいこととを確認することにより、検証する工程とを備えることを特徴とする方法。 - 前記プロセッサーが、前記環Rのランダム多項式rを選択する工程を更に備えると共に、
第一中間秘密多項式sの選択は、s=pr*(1−h)−1(mod q)の計算を含み、
第二中間秘密多項式tの選択は、t=s*h(mod q)の計算を含み、
第三中間秘密多項式aの選択は、a=fp −1*(m−s)(mod p)の計算を含んでいることを特徴とする請求項3に記載の方法。 - 前記予め定められた偏差閾値は、N/8以下であることを特徴とする請求項1に記載の方法。
- 前記ランダム多項式rは、r(1)=0というように選択されることを特徴とする請求項1に記載の方法。
- 通信装置において、メッセージのデジタル署名を生成して検証する方法であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含んでおり、
Nが1より大きい整数であるとして、プロセッサーが、メモリーに記憶されている環R=Z[X]/(XN−1)の互いに素なイデアルp及びqを選択する工程と、
前記プロセッサーが、前記メモリーに記憶されている前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵を選択する工程と、
前記プロセッサーが、
前記プロセッサーが、前記メッセージを用いて、一つ以上のメッセージ多項式mを生成する工程と、
前記プロセッサーが、ランダム多項式rを選択する工程と、
前記プロセッサーが、第一中間多項式t=r*h(mod q)を計算する工程と、
前記プロセッサーが、第二中間多項式aを、
前記プロセッサーが、前記第一デジタル署名多項式u=r+a*f(mod q)を計算する工程と、
前記プロセッサーが、前記第二デジタル署名多項式v=t+a*g(mod q)を計算する工程と、
前記プロセッサーが、前記デジタル署名を、少なくとも、前記第一デジタル署名多項式uのユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二デジタル署名多項式vとの間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証する工程とを備えることを特徴とする方法。 - 前記ランダム多項式rは、Nまたはより小さいオーダーのユークリッドノルムを有することを特徴とする請求項3又は6に記載の方法。
- 前記予め定められた偏差閾値は、N/12以下であることを特徴とする請求項8に記載の方法。
- 前記デジタル署名の検証は、u*h=v(mod q)であることを確認することを更に含むことを特徴とする請求項1又は6に記載の方法。
- 通信装置において、メッセージのデジタル署名を生成して検証する方法であって、
前記デジタル署名は、四つのデジタル署名多項式u1、v1、u2及びv2を含んでおり、
Nが1より大きい整数であるとして、プロセッサーが、メモリーに記憶されている環R=Z[X]/(XN−1)の互いに素なイデアルp及びqを選択する工程と、
前記プロセッサーが、前記メモリーに記憶されている前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵を選択する工程と、
前記プロセッサーが、
前記プロセッサーが、前記環Rのワンタイム秘密鍵多項式eを含むワンタイム秘密鍵を選択する工程と、
前記プロセッサーが、ワンタイム公開鍵多項式h1及びh2の一つのペアを、h1=f−1*e(mod q)及びh2=g−1*e(mod q)のように生成する工程と、
前記プロセッサーが、第一ランダム多項式r1を選択する工程と、
前記プロセッサーが、第一中間多項式t1=r1*h1(mod q)を計算する工程と、
前記プロセッサーが、第二中間多項式a1を、a1のユークリッドノルムが
前記プロセッサーが、前記第一デジタル署名多項式u1=r1+a1*f(mod q)を計算する工程と、
前記プロセッサーが、前記第二デジタル署名多項式v1=t1+a1*e(mod q)を計算する工程と、
前記プロセッサーが、第二ランダム多項式r2を選択する工程と、
前記プロセッサーが、第三中間多項式t2=r2*h2(mod q)を計算する工程と、
前記プロセッサーが、第四中間多項式a2を、a2のユークリッドノルムが、
前記プロセッサーが、前記第三デジタル署名多項式u2=r2+a2*g(mod q)を計算する工程と、
前記プロセッサーが、前記第四デジタル署名多項式v2=t2+a2*e(mod q)を計算する工程と、
前記プロセッサーが、前記デジタル署名を、少なくとも、前記第一及び第三のデジタル署名多項式u1及びu2の各々のユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二及び第四のデジタル署名多項式v1及びv2の各々との間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証する工程とを備えることを特徴とする方法。 - 前記ランダム多項式r1及びr2は、各々、Nまたはより小さいオーダーのユークリッドノルムを有することを特徴とする請求項11に記載の方法。
- 前記予め定められた偏差閾値は、N/12以下であることを特徴とする請求項14に記載の方法。
- ワンタイム秘密鍵多項式eを含むワンタイム秘密鍵の選択は、eの第一係数e0をq/2pのオーダーとなるよう選択することを更に含むことを特徴とする請求項11に記載の方法。
- 前記予め定められた偏差閾値は、N/100以下であることを特徴とする請求項16に記載の方法。
- 前記予め定められた偏差閾値は、ゼロであることを特徴とする請求項16に記載の方法。
- 前記第一ランダム多項式r1及び前記第二ランダム多項式r2の選択は、r1及びr2を計算するための一つ以上の補助的な多重利用秘密多項式を用いることを更に含むことを特徴とする請求項11に記載の方法。
- 第一ランダム多項式r1の選択は、a1’が第一のランダムな短い多項式であり、f’が第一の補助的な多重利用秘密多項式であるとして、r1=a1’*f’を計算する工程を更に含み、
第二ランダム多項式r2の選択は、a2’が第二のランダムな短い多項式であり、g’が第二の補助的な多重利用多項式であるとして、r2=a2’*g’を計算する工程を更に含むことを特徴とする請求項19に記載の方法。 - 第一ランダム多項式r1の選択は、a1’及びa1’’が第一及び第二のランダムな短い多項式であり、f’及びf’’が第一及び第二の補助的な多重利用秘密多項式であるとして、r1=a1’*f’+a1’’*f’’を計算する工程を更に含み、
第二ランダム多項式r2の選択は、a2’及びa2’’が第三及び第四のランダムな短い多項式であり、g’及びg’’が第三及び第四の補助的な多重利用秘密多項式であるとして、r2=a2’*g’+a2’’*g’’を計算する工程を更に含むことを特徴とする請求項19に記載の方法。 - 前記メッセージ多項式mは、一つ以上の安全なハッシュ関数H(m)を用いて生成されることを特徴とする請求項1、6又は11に記載の方法。
- メッセージのデジタル署名を生成して検証するための装置であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含むことを特徴としており、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とを記憶するためのメモリーと、
前記メッセージを用いて、一つ以上のメッセージ多項式mを生成し、
第一中間秘密多項式s及び第二中間秘密多項式tを、s*h=tであるように、また、s及びtがpを法として実質的に一致するように、選択し、
第三の中間秘密多項式aを、前記メッセージ多項式mの一つと量t+a*g(mod q)との間の偏差(deviation)の数を最小化するように、選択し、
前記第一デジタル署名多項式u=s+a*f(mod q)を計算し、
前記第二デジタル署名多項式v=t+a*g(mod q)を計算し、
前記デジタル署名を、少なくとも、前記メッセージ多項式mの一つ以上と前記第一デジタル署名多項式uとの間の第一偏差(deviation)が予め定められた偏差閾値よりも小さいことと、前記メッセージ多項式mの一つ以上と前記第二デジタル署名多項式vとの間の第二偏差(deviation)が予め定められた偏差閾値よりも小さいこととを確認することにより検証するように機能し得るプロセッサーとを備えることを特徴とする装置。 - メッセージのデジタル署名を生成して検証するための装置であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含むことを特徴としており、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とを記憶するためのメモリーと、
前記メッセージを用いて、一つ以上のメッセージ多項式mを生成し、
ランダム多項式rを選択し、
第一中間多項式t=r*h(mod q)を計算し、
第二中間多項式aを、
前記第一デジタル署名多項式u=r+a*f(mod q)を計算し、
前記第二デジタル署名多項式v=t+a*g(mod q)を計算し、
前記デジタル署名を、少なくとも、前記第一デジタル署名多項式uのユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二デジタル署名多項式vとの間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証するように機能し得るプロセッサーとを備えることを特徴とする装置。 - メッセージのデジタル署名を生成して検証するための装置であって、
前記デジタル署名は、四つのデジタル署名多項式u1、v1、u2及びv2を含むことを特徴としており、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とを記憶するためのメモリーと、
前記環Rのワンタイム秘密鍵多項式eを含むワンタイム秘密鍵を選択し、
ワンタイム公開鍵多項式h1及びh2の一つのペアを、h1=f−1*e(mod q)及びh2=g−1*e(mod q)のように生成し、
第一ランダム多項式r1を選択し、
第一中間多項式t1=r1*h1(mod q)を計算し、
第二中間多項式a1を、a1のユークリッドノルムが
前記第一デジタル署名多項式u1=r1+a1*f(mod q)を計算し、
前記第二デジタル署名多項式v1=t1+a1*e(mod q)を計算し、
第二ランダム多項式r2を選択し、
第三中間多項式t2=r2*h2(mod q)を計算し、
第四中間多項式a2を、a2のユークリッドノルムが
前記第三デジタル署名多項式u2=r2+a2*g(mod q)を計算し、
前記第四デジタル署名多項式v2=t2+a2*e(mod q)を計算し、
前記デジタル署名を、少なくとも、前記第一及び第三のデジタル署名多項式u1及びu2の各々のユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二及び第四のデジタル署名多項式v1及びv2の各々との間の偏差(deviation)が予め定められた偏差閾値以下であることと、を確認することにより検証するように、機能し得るプロセッサーとを備えることを特徴とする装置。 - メッセージのデジタル署名を生成するための装置であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含むことを特徴としており、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とを記憶するためのメモリーと、
前記メッセージを用いて、一つ以上のメッセージ多項式mを生成し、
第一中間秘密多項式s及び第二中間秘密多項式tを、s*h=tであるように、また、s及びtがpを法として実質的に一致するように、選択し、
第三の中間秘密多項式aを、前記メッセージ多項式mの一つと量t+a*g(mod q)との間の偏差(deviation)の数を最小化するように、選択し、
前記第一デジタル署名多項式u=s+a*f(mod q)を計算し、
前記第二デジタル署名多項式v=t+a*g(mod q)を計算するように機能し得るプロセッサーとを備えることを特徴とする装置。 - メッセージのデジタル署名を生成するための装置であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含むことを特徴としており、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とを記憶するためのメモリーと、
前記メッセージを用いて、一つ以上のメッセージ多項式mを生成し、
ランダム多項式rを選択し、
第一中間多項式t=r*h(mod q)を計算し、
第二中間多項式aを、
前記第一デジタル署名多項式u=r+a*f(mod q)を計算し、
前記第二デジタル署名多項式v=t+a*g(mod q)を計算するように機能し得るプロセッサーとを備えることを特徴とする装置。 - メッセージのデジタル署名を生成するための装置であって、
前記デジタル署名は、四つのデジタル署名多項式u1、v1、u2及びv2を含むことを特徴としており、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とを記憶するためのメモリーと、
前記環Rのワンタイム秘密鍵多項式eを含むワンタイム秘密鍵を選択し、
ワンタイム公開鍵多項式h1及びh2の一つのペアを、h1=f−1*e(mod q)及びh2=g−1*e(mod q)のように生成し、
第一ランダム多項式r1を選択し、
第一中間多項式t1=r1*h1(mod q)を計算し、
第二中間多項式a1を、a1のユークリッドノルムが
前記第一デジタル署名多項式u1=r1+a1*f(mod q)を計算し、
前記第二デジタル署名多項式v1=t1+a1*e(mod q)を計算し、
第二ランダム多項式r2を選択し、
第三中間多項式t2=r2*h2(mod q)を計算し、
第四中間多項式a2を、a2のユークリッドノルムが
前記第三デジタル署名多項式u2=r2+a2*g(mod q)を計算し、
前記第四デジタル署名多項式v2=t2+a2*e(mod q)を計算するように機能し得るプロセッサーとを備えることを特徴とする装置。 - メッセージのデジタル署名を検証するための装置であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含み、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とから計算される
前記メッセージを用いて一つ以上のメッセージ多項式mが生成されており、
第三の中間秘密多項式aが、前記メッセージ多項式mの一つと量t+a*g(mod q)との間の偏差(deviation)の数を最小化するように選択されており
前記第一デジタル署名多項式u=s+a*f(mod q)が計算され、
前記第二デジタル署名多項式v=t+a*g(mod q)が計算されていることを特徴としており、
前記デジタル署名を、少なくとも、前記メッセージ多項式mの一つ以上と前記第一デジタル署名多項式uとの間の第一偏差(deviation)が予め定められた偏差閾値よりも小さいことと、前記メッセージ多項式mの一つ以上と前記第二デジタル署名多項式vとの間の第二偏差(deviation)が予め定められた偏差閾値よりも小さいこととを確認することにより検証するように機能し得るプロセッサーを備えることを特徴とする装置。 - メッセージのデジタル署名を生成して検証するための装置であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含み、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とから計算される
前記メッセージを用いて一つ以上のメッセージ多項式mが生成されており、
ランダム多項式rが選択され、
第二中間多項式aが、
前記第一デジタル署名多項式u=r+a*f(mod q)が計算され、
前記第二デジタル署名多項式v=t+a*g(mod q)が計算されていることを特徴としており、
前記デジタル署名を、少なくとも、前記第一デジタル署名多項式uのユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二デジタル署名多項式vとの間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証するように、機能し得るプロセッサーを備えることを特徴とする装置。 - メッセージのデジタル署名を検証するための装置であって、
前記デジタル署名は、四つのデジタル署名多項式u1、v1、u2及びv2を含み、
Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqと、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵とに基づいて、
前記環Rのワンタイム秘密鍵多項式eを含むワンタイム秘密鍵が選択され、
ワンタイム公開鍵多項式h1及びh2の一つのペアが、h1=f−1*e(mod q)及びh2=g−1*e(mod q)のように生成され、
第一ランダム多項式r1が選択され、
第一中間多項式t1=r1*h1(mod q)が計算され、
第二中間多項式a1を、a1のユークリッドノルムが、
前記第一デジタル署名多項式u1=r1+a1*f(mod q)が計算され、
前記第二デジタル署名多項式v1=t1+a1*e(mod q)が計算され、
第二ランダム多項式r2が選択され、
第三中間多項式t2=r2*h2(mod q)が計算され、
第四中間多項式a2を、a2のユークリッドノルムが
前記第三デジタル署名多項式u2=r2+a2*g(mod q)が計算され、
前記第四デジタル署名多項式v2=t2+a2*e(mod q)が計算されていることを特徴としており、
前記デジタル署名を、少なくとも、前記第一及び第三のデジタル署名多項式u1及びu2の各々のユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二及び第四のデジタル署名多項式v1及びv2の各々との間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証するように機能し得るプロセッサーを備えることを特徴とする装置。 - 少なくとも1台のプロセッサーにより実行されて、請求項24乃至32のいずれか一項に記載の装置を実現させるプログラム。
- 通信装置に、メッセージのデジタル署名を生成させて検証させる方法であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含んでおり、
第1通信装置に、Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqを選択させる工程と、
前記第1通信装置に、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵を選択させる工程と、
前記第1通信装置に、前記メッセージを用いて、一つ以上のメッセージ多項式mを生成させる工程と、
前記第1通信装置に、第一中間秘密多項式s及び第二中間秘密多項式tを、s*h=tであるように、また、s及びtがpを法として実質的に一致するように選択させる工程と、
前記第1通信装置に、第三の中間秘密多項式aを、前記メッセージ多項式mの一つと量t+a*g(mod q)との間の偏差(deviation)の数を最小化するように選択させる工程と、
前記第1通信装置に、前記第一デジタル署名多項式u=s+a*f(mod q)を計算させる工程と、
前記第1通信装置に、前記第二デジタル署名多項式v=t+a*g(mod q)を計算させる工程と、
第2通信装置に、前記デジタル署名を、少なくとも、前記メッセージ多項式mの一つ以上と前記第一デジタル署名多項式uとの間の第一偏差(deviation)が予め定められた偏差閾値よりも小さいことと、前記メッセージ多項式mの一つ以上と前記第二デジタル署名多項式vとの間の第二偏差(deviation)が予め定められた偏差閾値よりも小さいこととを確認することにより検証させる工程とを備えることを特徴とする方法。 - 通信装置に、メッセージのデジタル署名を生成させて検証させる方法であって、
前記デジタル署名は、二つのデジタル署名多項式u及びvを含んでおり、
第1通信装置に、Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqを選択させる工程と、
前記第1通信装置に、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵を選択させる工程と、
前記第1通信装置に、前記メッセージを用いて、一つ以上のメッセージ多項式mを生成させる工程と、
前記第1通信装置に、ランダム多項式rを選択させる工程と、
前記第1通信装置に、第一中間多項式t=r*h(mod q)を計算させる工程と、
前記第1通信装置に、第二中間多項式aを、
前記第1通信装置に、前記第一デジタル署名多項式u=r+a*f(mod q)を計算させる工程と、
前記第1通信装置に、前記第二デジタル署名多項式v=t+a*g(mod q)を計算させる工程と、
第2通信装置に、前記デジタル署名を、少なくとも、前記第一デジタル署名多項式uのユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二デジタル署名多項式vとの間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証させる工程とを備えることを特徴とする方法。 - 通信装置に、メッセージのデジタル署名を生成させて検証する方法であって、
前記デジタル署名は、四つのデジタル署名多項式u1、v1、u2及びv2を含んでおり、
第1通信装置に、Nが1より大きい整数であるとして、環R=Z[X]/(XN−1)の互いに素なイデアルp及びqを選択させる工程と、
前記第1通信装置に、前記環Rの二つの秘密鍵多項式f及びgを含む秘密鍵を選択させる工程と、
前記第1通信装置に、前記環Rのワンタイム秘密鍵多項式eを含むワンタイム秘密鍵を選択させる工程と、
前記第1通信装置に、ワンタイム公開鍵多項式h1及びh2の一つのペアを、h1=f−1*e(mod q)及びh2=g−1*e(mod q)のように生成させる工程と、
前記第1通信装置に、第一ランダム多項式r1を選択させる工程と、
前記第1通信装置に、第一中間多項式t1=r1*h1(mod q)を計算させる工程と、
前記第1通信装置に、第二中間多項式a1を、a1のユークリッドノルムが
前記第1通信装置に、前記第一デジタル署名多項式u1=r1+a1*f(mod q)を計算させる工程と、
前記第1通信装置に、前記第二デジタル署名多項式v1=t1+a1*e(mod q)を計算させる工程と、
前記第1通信装置に、第二ランダム多項式r2を選択させる工程と、
前記第1通信装置に、第三中間多項式t2=r2*h2(mod q)を計算させる工程と、
前記第1通信装置に、第四中間多項式a2を、a2のユークリッドノルムが、
前記第1通信装置に、前記第三デジタル署名多項式u2=r2+a2*g(mod q)を計算させる工程と、
前記第1通信装置に、前記第四デジタル署名多項式v2=t2+a2*e(mod q)を計算させる工程と、
第2通信装置に、前記デジタル署名を、少なくとも、前記第一及び第三のデジタル署名多項式u1及びu2の各々のユークリッドノルムがNのオーダーであることと、前記メッセージmと前記第二及び第四のデジタル署名多項式v1及びv2の各々との間の偏差(deviation)が予め定められた偏差閾値以下であることとを確認することにより検証させる工程とを備えることを特徴とする方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US28884101P | 2001-05-04 | 2001-05-04 | |
PCT/US2002/014099 WO2002091664A1 (en) | 2001-05-04 | 2002-05-03 | Ring-based signature scheme |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004526387A JP2004526387A (ja) | 2004-08-26 |
JP2004526387A5 JP2004526387A5 (ja) | 2005-12-22 |
JP4053431B2 true JP4053431B2 (ja) | 2008-02-27 |
Family
ID=23108876
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002588007A Expired - Fee Related JP4053431B2 (ja) | 2001-05-04 | 2002-05-03 | 環ベースの署名スキーム |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP1397884A4 (ja) |
JP (1) | JP4053431B2 (ja) |
CN (1) | CN1268086C (ja) |
WO (1) | WO2002091664A1 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1873965A1 (en) * | 2005-04-18 | 2008-01-02 | Matsushita Electric Industrial Co., Ltd. | Signature generation device and signature verification device |
JPWO2006114948A1 (ja) * | 2005-04-18 | 2008-12-18 | 松下電器産業株式会社 | 署名生成装置および署名検証装置 |
CN101965711B (zh) | 2008-04-09 | 2014-12-03 | 松下电器产业株式会社 | 签名及验证方法、签名生成装置及签名验证装置 |
CN102006165B (zh) * | 2010-11-11 | 2012-11-07 | 西安理工大学 | 基于多变量公钥密码对消息匿名环签名的方法 |
JP5790319B2 (ja) * | 2011-08-29 | 2015-10-07 | ソニー株式会社 | 署名検証装置、署名検証方法、プログラム、及び記録媒体 |
WO2015004065A1 (en) * | 2013-07-12 | 2015-01-15 | Koninklijke Philips N.V. | Electronic signature system |
WO2020000254A1 (zh) * | 2018-06-27 | 2020-01-02 | 深圳大学 | 一种标准模型下的紧凑环签名方法及系统 |
CN109743181B (zh) * | 2019-01-14 | 2022-04-19 | 深圳大学 | 一种邮件隐私保护方法、装置及终端设备 |
CN112003707A (zh) * | 2020-08-25 | 2020-11-27 | 湖南宸瀚信息科技有限责任公司 | 一种抗量子计算攻击的区块链数字签名加密方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4633036A (en) * | 1984-05-31 | 1986-12-30 | Martin E. Hellman | Method and apparatus for use in public-key data encryption system |
US5218637A (en) * | 1987-09-07 | 1993-06-08 | L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace | Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization |
US5375170A (en) * | 1992-11-13 | 1994-12-20 | Yeda Research & Development Co., Ltd. | Efficient signature scheme based on birational permutations |
US5740250A (en) * | 1995-12-15 | 1998-04-14 | Moh; Tzuong-Tsieng | Tame automorphism public key system |
CA2263588C (en) * | 1996-08-19 | 2005-01-18 | Ntru Cryptosystems, Inc. | Public key cryptosystem method and apparatus |
-
2002
- 2002-05-03 CN CN 02801519 patent/CN1268086C/zh not_active Expired - Fee Related
- 2002-05-03 WO PCT/US2002/014099 patent/WO2002091664A1/en active Application Filing
- 2002-05-03 EP EP02731656A patent/EP1397884A4/en not_active Withdrawn
- 2002-05-03 JP JP2002588007A patent/JP4053431B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP1397884A1 (en) | 2004-03-17 |
CN1462520A (zh) | 2003-12-17 |
CN1268086C (zh) | 2006-08-02 |
WO2002091664A1 (en) | 2002-11-14 |
JP2004526387A (ja) | 2004-08-26 |
EP1397884A4 (en) | 2006-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Moriarty et al. | PKCS# 1: RSA cryptography specifications version 2.2 | |
Mironov | Hash functions: Theory, attacks, and applications | |
US20040151309A1 (en) | Ring-based signature scheme | |
JP4687465B2 (ja) | ミックスネットシステム | |
US9160530B2 (en) | Method and apparatus for verifiable generation of public keys | |
US8116451B2 (en) | Key validation scheme | |
RU2340108C2 (ru) | Эффективное шифрование и аутентификация для систем обработки данных | |
Unger et al. | Improved strongly deniable authenticated key exchanges for secure messaging | |
US8661240B2 (en) | Joint encryption of data | |
CN111342976B (zh) | 一种可验证的理想格上门限代理重加密方法及系统 | |
JP6041864B2 (ja) | データの暗号化のための方法、コンピュータ・プログラム、および装置 | |
JP4053431B2 (ja) | 環ベースの署名スキーム | |
CN111565108B (zh) | 签名处理方法、装置及系统 | |
KR20010013155A (ko) | 자동 복구가능하고 자동 증명가능한 암호체계들 | |
CN115336224A (zh) | 自适应抗攻击分布式对称加密 | |
EP1796308A2 (en) | Ring-based signature scheme | |
Hall et al. | Manifesting Unobtainable Secrets: Threshold Elliptic Curve Key Generation using Nested Shamir Secret Sharing | |
Duc et al. | DiAE: Re-rolling the DiSE | |
Pacheco et al. | Secure Dynamic Data Storage with Third Party Arbitration in Cloud | |
Pajčin et al. | Analysis of software realized DSA algorithm for digital signature | |
WO2023237894A1 (en) | Blind signature system and method using lattice-based cryptography | |
van Oorschot et al. | Cryptographic Building Blocks | |
Izu et al. | Analysis on Bleichenbacher's forgery attack | |
CN115174101A (zh) | 一种基于sm2算法的可否认环签名生成方法及系统 | |
Miller | A hash-chain based method for full or partial authentication of communication in a real-time wireless environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050221 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050221 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20051114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20051114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070821 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071019 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071205 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131214 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |