JP4176537B2 - 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム - Google Patents

匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム Download PDF

Info

Publication number
JP4176537B2
JP4176537B2 JP2003105115A JP2003105115A JP4176537B2 JP 4176537 B2 JP4176537 B2 JP 4176537B2 JP 2003105115 A JP2003105115 A JP 2003105115A JP 2003105115 A JP2003105115 A JP 2003105115A JP 4176537 B2 JP4176537 B2 JP 4176537B2
Authority
JP
Japan
Prior art keywords
signature
function
commitment
polynomial
arbitrary number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003105115A
Other languages
English (en)
Other versions
JP2004312512A (ja
Inventor
正幸 阿部
幸太郎 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003105115A priority Critical patent/JP4176537B2/ja
Publication of JP2004312512A publication Critical patent/JP2004312512A/ja
Application granted granted Critical
Publication of JP4176537B2 publication Critical patent/JP4176537B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
この発明は、署名者の匿名性を保持しつつ電子署名を行う匿名署名装置、匿名署名方法、匿名署名プログラム、その電子署名を検証する署名検証装置及び署名検証プログラムに関し、特に、署名方式の多様性を向上させた匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラムに関する。
【0002】
【従来の技術】
署名者の匿名性を確保する電子署名方法として、これまで様々な匿名署名方法が提唱されている。以下では、まずこの従来の匿名署名方法について説明する。
k-out-of-n匿名署名:
k-out-of-n匿名署名とは、n名のうち少なくともk名以上が協力した時に初めて発行可能なデジタル署名を生成する方法であり、受理した署名からは、このn名のうち、どのk名による署名なのかを特定することが不可能な署名方法をいう(例えば、非特許文献1参照。)。まず、この従来のk-out-of-n匿名署名方法について説明する。なお、ここでは以下の記法を用いる。
・Zaは、0以上a以下の整数の集合{0,…,a}を表す。
・|a|は、整数aの2進表現のビット数を表す。但し、aが集合の場合には、その集合の大きさを表す。
・a←bは、集合bからランダムに元を一つ選び、その元をaと呼ぶことを表す 。
・Za[X]bは、係数がZaに属するb次の一変数多項式の全集合を表す。
・[a]bは、ビット列aの先頭bビットを表す。
・a‖bは、ビット列aとbのビット結合を表す。
【0003】
まず、このk-out-of-n匿名署名の前提として、pkを公開鍵、skを秘密鍵とするとき、3つのアルゴリズムA,Z,Vが存在し、skに関する3交信正直検証者ゼロ知識証明(3-move Honest Verifier Zero-knowledge Proof of Knowledge)が以下のように構成できるものとする。
▲1▼証明者は、ランダムなrを選び、a=A(sk,r)を検証者へ送る(ステップ101)。
▲2▼検証者は、ランダムにcを選び、証明者へ送る(ステップ102)。
▲3▼証明者は、s=Z(sk,r,c)を検証者へ送る(ステップ103)。
▲4▼検証者は、a'=V(pk,s,c)を計算し、a'=aならば受理する。そうでなければ拒否する(ステップ104)。
ここで、ステップ101で証明者が作るaを「コミットメント」と呼び、このコミットメントの元となるrを選ぶ空間をRとする。また、ステップ102で検証者が選ぶcを「チャレンジ」と呼び、このチャレンジを選ぶ空間をCとする。さらに、sを「回答」と呼び、この回答sが分布する空間をSとする。また、以下では、A(sk,r)をコミットメント作成関数と呼び、Z(sk,r,c)を回答作成関数と呼び、V(pk,s,c)をコミットメント回復関数と呼ぶこととする。
【0004】
また、上記の3交信正直検証者ゼロ知識証明が構成されるためには、この手順が、衝突特性(Collision Property)と呼ばれる特性を備えることが必須である。衝突特性とは、検証者が受理する2つの会話記録(a,c,s)と(a,c',s')があり、c≠c'のとき、これらの会話記録から秘密鍵skを導出する効率的な手段が存在するという特性をいう。
この衝突特性を持つ知識の3交信正直検証者ゼロ知識証明が存在する代表的な例として、素数pが作る乗法群上の離散対数問題に基づく公開鍵が挙げられる。すなわち、p,qをそれぞれ大きな素数とし、qはp-1を割り切るものとし、gをpの位数qの部分群の生成源とし、g, q, pを共通パラメータとし、x∈Zqを秘密鍵、y=gxmod p及びg,p,qの4つ組を公開鍵とした場合である。
この場合、上記の記法に対応する知識の3交信正直検証者ゼロ知識証明は、以下のようになる。
▲1▼証明者は、r←Zqを選び、a=grを検証者へ送る。
▲2▼検証者は、c←Zqを選び、証明者へ送る。
▲3▼証明者は、s=r-cx mod qを検証者へ送る。
▲4▼検証者は、a'=gsycmod pを計算し、a'=aならば受理する。そうでなければ拒否する。
この手順によって、検証者は、証明者が秘密鍵xを知っていることを納得する。なお、この例では、C=S=Zqである。以下では,このような効率的な3交信正直検証者ゼロ知識証明が存在する公開鍵を「離散対数型」と呼ぶ。
【0005】
次に、上述の3交信正直検証者ゼロ知識証明が構成されることを前提に、従来のk-out-of-n匿名署名手順の説明を行う。
なお、以下では、Lをn人の署名権能者にそれぞれ対応するn個の公開鍵の集合、即ちL=[pki|i=1,...,n]とし、CiをL中のi番目の公開鍵pki(i番目の署名権能者の公開鍵)に関するゼロ知識証明で用いられるチャレンジのための空間を意味するものとし、pをどの|Ci|よりも小さな、最も大きい素数とし、Hを|p|-1ビット出力のハッシュ関数とする。また、添え字のiが、L中のi番目の署名権能者に対応することを意味することは、以下のその他の表記についても同様である。また、署名者は、Lに含まれる公開鍵pkiに対応する秘密鍵skiのうち、k個の秘密鍵skiを知るものとする。すなわち、このk個の秘密鍵skiに対応する署名権能者が署名に協力し、それぞれの秘密鍵skiを署名者に提供しているものとする。ここで、Q⊆[1,….,n]を、署名者が知っている秘密鍵skiに対応する識別子i(署名に協力した署名権能者に対応する識別子i)の集合とし、|Q|=kと定義する。
【0006】
署名者は、以下の手順で文書mに対する署名を生成する。
1.集合Qに属さない識別子iに対応する処理
▲1▼si←Si
▲2▼ci←Ci
▲3▼ai:=Vi(pki,si,ci)
2.集合Qに属する識別子iに対応する処理
▲1▼ri←Zq
▲2▼ai:=Ai(ski,ri)
3.上記手順で求めた全てのai[i=1,...,n]を用い、c0:=H(L‖k‖a1‖…‖an‖m)を求める。
4.上記手順(1.▲2▼及び3)で求めた全てのci(c0を含む)に対して、(i,ci) を(X,Y)平面上の点と見なし、これら全ての点(i,c#i)を通るn-k次の一変数多項式P(X)∈Zp[X]n-kを求める。
5.集合Qに属する識別子iに対し、si=Zi(sk,ri,P(i))を実行する。
6.上記手順(1.▲1▼及び5)で求めたsiを用いて生成した(P',k,s1,…,sn)を、(L,m)に対する署名として出力する。なお、ここでP'は一変数多項式P(X)の全ての係数の並びを表す。
【0007】
検証者は、以下の手順により、この(L,m)に対する署名(P',k,s1,…,sn)の正当性を検証する。
7.P'より一変数多項式P(X)∈Zp[X]n-kを特定する。
8.P(0)=H(L‖k‖V1(pk1,s1,P(1))‖…‖Vn(pkn,sn,P(n))‖m)が成立すれば、正しい署名と認める。
以上説明したように、このk-out-of-n匿名署名の場合、検証者は、署名(P',k,s1,…,sn)の内容から、一変数多項式P(X)がn-k次式であることをkの値とともに知ることができる。そのため、この検証者は、署名者がci及びsiの値を自由に調整できるのは高々n-k個までであり、それ以外のsiを含めた検証が成立するということは、少なくともk個の正当な秘密鍵を用いて署名がなされていることが分かる。一方、署名(P',k,s1,…,sn)には、どの識別子iに対応する秘密鍵skiが使用されたかについての情報が一切含まれていない。従って、この検証者は、署名者がどの公開鍵pkiに対応する秘密鍵skiを保持しているのかを見分けることができず、これにより署名の匿名性が確保される。
【0008】
次に、従来の別の匿名署名方法について説明する。
Ring型匿名署名:
Ring型匿名署名は、RSAのような落とし戸付き一方向性関数に基づく鍵を扱う方法である(例えば、非特許文献2参照。)。
なお、以下の説明では、入出力域Cpを持つn個の落とし戸付き一方向性置換関数をFpk0,…,Fpk(n-1)とし、Isk0,…,Isk(n-1)をこれらに対応する逆置換関数とし、pki,skiを識別子iに対応する署名権能者の公開鍵、秘密鍵とする。ここで、公開鍵pkiを知るものは誰でも、入力xに対してFpki(x)を容易に計算でき、落とし戸情報(秘密鍵)skiを知る者は誰でも入力yに対してIski(y)を計算することができるが、skiを知らない場合にはIski(y)を計算することが困難であるものとする。以下では,このような公開鍵を「落とし戸型」と呼ぶことにする。また、nは十分大きい(例えば、1024程度) ものとし、Hをハッシュ関数、EK,DKを、それぞれ共通鍵をKとする共通鍵暗号の暗号化関数、復号関数とし、a(XOR)bをaとbとのビット毎排他的論理和とする。
【0009】
図16は、このRing型署名方法を説明するための概念図である。
ここでは識別子iに対応する署名権能者の秘密鍵skiを用いて署名を生成するものとする。以下にこの署名作成手順を説明する。
1.K:=H(m)
2.z0←Cを生成する。
3.j=0,…,i-1まで以下を繰り返す。
(a)sj←C
(b)yj:=Fpki(sj)
(c)z'j:=zj(XOR)yj
(d)zj+1:=EK(z'j)
すなわち、まず初期値z0とFpk0(s0)とのビット毎排他的論理和(301a)をとり、その結果z'0を暗号化関数EKで暗号化(301b)したものをz1とし、次に、このz1とFpk1(s1)とのビット毎排他的論理和(302a)をとり、その結果z'1を暗号化関数EKで暗号化(302b)したものをz2とし、さらにそのz2とFpk2(s2)とのビット毎排他的論理和(303a)をとるといった処理をj=i-1まで、すなわち、暗号化関数EKでの暗号化(310b)まで繰り返し、その出力ziを求める。
4.zn-1':=DK(z0)
5.j=n-1,…,i+1まで以下を繰り返す。
(a)sj←C
(b)yj:=Fpki(sj)
(c)zj:=zj'(XOR)yj
(d)zj-1':=DK(zj)
すなわち、初期値z0を復号関数DKで復号したzn-1'とFpk(n-1)(sn-1)とのビット毎排他的論理和をとり、その結果zn-1を復号関数DKで復号したzn-2'とFpk(n-2)(sn-2)とのビット毎排他的論理和をとりといった処理を、j=i+1まで逆方向に繰り返していき、その出力zi'を求める。
6.yi:=zi(XOR)z'i
7.si:=Iski(yi)
なお、このようなsiを求めることができるのは、秘密鍵skiを知っている識別子iに対応する署名権能者のみである。
8.(z0,s0,s1,…,sn-1)を文書mに対する署名として出力する。
【0010】
検証者は、以下の手順により、この署名(z0,s0,s1,…,sn-1)の正当性を検証する。
9.K:=H(m)
10.j=0,…,n-1まで以下を繰り返す。
▲1▼yj:=Fj(sj)
▲2▼z'j:=zj(XOR)yj
▲3▼zj+1:=EK(z'j)
すなわち、図16における初期値z0に対し、前述したビット毎排他的論理和(301a)、暗号化(301b)、ビット毎排他的論理和(302a)、暗号化(302b)という処理を、暗号化(321b)まで順次繰り返していく。
11.その結果、zn=z0となれば署名が正当であると判断する。
つまり、上述のようにビット毎排他的論理和及び暗号化を繰り返していった結果、最終的にもとの初期値z0と同値となることは、通常、何れかの署名権能者の秘密鍵skiを用い上述した7.の処理が行われた場合に限られる。しかし、検証者はどの秘密鍵skiを用いてこの処理が行われたのかは知ることができない。これにより、署名者の匿名性を保持しつつ署名を行うことができる。
【0011】
【非特許文献1】
Ronald Cramer, Ivan Damgard, Berry Schoenmakers, "Proofs of Partial Knowledge and Simplified Design of Witness Hiding Protocols", Advances in Cryptology-CRYPTO'94, Lecture Notes in Computer Science 839, pp. 174-187, Spriger-Verlag, 1994
【非特許文献2】
Ronald L.Rivest, Adi Shamir, Yael Tauman, "How to Leak a Secret", Advances in Cryptology-ASIACRYPT 2001, Lecture Notes in Computer Science2248, pp.552-565, Spriger-Verlag, 2001
【0012】
【発明が解決しようとする課題】
しかし、従来の匿名署名方法では、署名者が使用できる署名方式が限定されてしまうという問題点がある。
すなわち、従来のk-out-of-n匿名署名の場合、使用できる署名方式は離散対数方の公開鍵を用いた方式のみであり、落とし戸型の公開鍵を用いた署名方式を使用することはできない。同様に、従来のRing型匿名署名の場合、使用できるのは落とし戸型の公開鍵を用いた署名方式のみであり、離散対数方の公開鍵を用いた署名方式を用いることはできない。従って、例えば、離散対数型の署名或いは落とし戸型の署名しか行えない署名権能者が混在する場合、これら双方の署名権能者を当該匿名署名に参加させることはできない。
また、Ring型匿名署名の場合、真に署名に協力でき、それが立証される署名者は1人のみであり、k-out-of-n匿名署名のような閾値的な署名構造を採ることができない。そのため、検証者が署名から知ることができるのは、高々1人の署名権能者が署名に協力したことのみであり、検証者が確認可能な署名協力者数を増やし、この署名に対する信頼性を向上させることはできない。
【0013】
この発明はこのような点に鑑みてなされたものであり、匿名署名に使用可能な署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することが可能な匿名署名装置を提供することを目的とする。
また、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することが可能な署名検証装置を提供することである。
【0014】
さらに、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することが可能な匿名署名方法を提供することである。
また、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することを可能とする機能をコンピュータに実行させるための匿名署名プログラムを提供することである。
さらに、この発明の他の目的は、匿名署名に使用できる署名方式の多様性を向上させつつ、署名協力者数の自由度をも確保することを可能とする機能をコンピュータに実行させるための署名検証プログラムを提供することである。
【0015】
【課題を解決するための手段】
この発明では上記課題を解決するために、k-out-of-n匿名署名の構成において、少なくとも一部の署名権能者に対応する、コミットメント作成関数Ai(sk,r)をAi(sk,r)=Ai(pk,r)となる関数とし、コミットメント回復関数Vi(pk,s,c)をAi(pk,Fi(pk,s)(-)ic)とし、回答作成関数Zi(sk,r,c)をIi(sk,c(+)ir)とする。ここでは、識別子iに対応する落とし戸付き一方向性置換関数をFiとし、二項演算a(+)ib及びa(-)ibを(a(+)ib)(-)ib=aを満たす演算とし、Fiの逆置換関数をIiとしている。
これにより、従来離散対数型の署名方式しか用いることができなかったk-out-of-n匿名署名において、落とし戸型の署名をも用いることが可能となり、匿名署名に使用できる署名方式の多様化を図ることができる。また、k-out-of-n匿名署名の構造をそのまま採ることができるため、閾値的な署名構造を採ることができ、署名に対する信頼性を向上させることも可能である。
【0016】
【発明の実施の形態】
以下、この発明の実施の形態について説明する。なお、上述した従来の技術の説明において示した記法その他の定義は、以下の説明においても有効である。
この形態の匿名署名方式も従来のk-out-of-n匿名署名と同様、pkiを公開鍵、skiを秘密鍵とするとき、コミットメント作成関数Ai(sk,r)、コミットメント回復関数Vi(pk,s,c)及び回答作成関数Zi(sk,r,c)が存在し、以下に示す3交信正直検証者ゼロ知識証明が構成されることを前提とする。
▲1▼証明者は、ランダムなriを選び、a=Ai(ski,ri)を検証者へ送る。
▲2▼検証者は、ランダムにciを選び、証明者へ送る。
▲3▼証明者は、s=Zi(ski,ri,ci)を検証者へ送る。
▲4▼検証者は、a'=Vi(pki,si,ci)を計算し、a'=aならば受理する。そうでなければ拒否する。
ただし、この形態では、少なくとも一部の署名権能者に対応するコミットメント作成関数Ai(sk,r)としてAi(sk,r)=Ai(pk,r)となる関数を採り、コミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)c)を採り、回答作成関数Zi(sk,r,c)としてIi(sk,c(+)ir)を採る。ここで、Fiは識別子iに対応する入出力域Ciの落とし戸付き一方向性置換関数であり、IiはFiの逆置換関数であって、全てのx∈Ciに対してIi(Fi(x))=xが成り立つものである。また、公開鍵pkiを知るものは誰でも、入力xに対してFi(x)を容易に計算でき、落とし戸情報(秘密鍵)skiを知る者は誰でも入力yに対してIi(y)を計算することができるが、skiを知らない場合にはIi(y)を計算することが困難であるものとする。また、Ciは、i番目の公開鍵pki(i番目の署名権能者の公開鍵)に関するゼロ知識証明で用いられるチャレンジのための空間を意味するアーベル群である。さらに、二項演算a(+)ib及びa(-)ibは、(a(+)ib)(-)ib=aを満たす演算である。
【0017】
次に、この形態の概略について説明する。
本形態の匿名署名システムは、匿名署名を生成する匿名署名装置、及び生成された匿名署名を検証する署名検証装置から構成される。
図1は、公知のコンピュータに所定のプログラムを実行させることによって構成される本形態の匿名署名装置1の概略を例示した機能ブロック図である。以下、この図1を用い、匿名署名装置1の概略構成及びその処理の概略について説明する。
〔事前処理〕
まず、匿名署名作成の事前処理として、少なくとも一部の署名権能者に対応する、コミットメント作成関数Ai(sk,r)としてAi(sk,r)=Ai(pk,r)となる関数が、コミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)ic)が、回答作成関数Zi(sk,r,c)としてIi(sk,c(+)ir)が、それぞれ関数メモリ2に格納される。なお、少なくとも一部の署名権能者に対応するコミットメント作成関数Ai(sk,r)を、rを出力する関数、すなわち、r=Ai(sk,r)である関数としてもよい。これにより、署名作成時における演算処理を簡略化することができる。
【0018】
〔署名作成処理〕
まず、各署名権能者の公開鍵pkiをn個含む公開鍵リストL=[pki|i=1,...,n]、及び署名権能者のうち実際に署名に協力するk名分の署名者の秘密鍵skiを含む秘密鍵リストK=[ski|i⊆Q]がレジスタ3に格納され、その後、各識別子(i=1,…,n)に対し、以下の処理が行われる。なお、Q⊆[i=1,...,n],|Q|=kは実際に署名に協力する署名者(匿名署名装置1に秘密鍵skiを提供し、匿名署名装置1が秘密鍵skiを知る署名権能者)に対応する識別子iの集合を意味する。
非署名者(署名権能者であるが実際には署名に協力しない者)の識別子iに対応する処理:
第1の任意数生成部4において、非署名者に対応する任意な数siを生成し(si←Ci)、その任意な数siを擬似コミットメント作成部7及び署名出力部15に送る。また、第2の任意数生成部5において、この非署名者に対応する任意な整数ziを生成し(zi←Zp)、その結果をハッシュ関数演算部6に送る。なお、pは、どの|Ci|よりも小さな、最大の素数である。
この整数ziが送られたハッシュ関数演算部6は、送られた整数ziのハッシュ値ci'を求め(Hi(zi))、そのハッシュ値ci'を擬似コミットメント作成部7及び多項式算出部11に送る。なお、Hは、|p|-1ビット出力のハッシュ関数である。
【0019】
次に擬似コミットメント作成部7は、レジスタ3からこの非署名者の公開鍵pkiを抽出し(第1の公開鍵抽出手段に相当)、さらに、関数メモリからコミットメント回復関数Vi(pk,s,c)を抽出する。なお、ここで抽出されるコミットメント回復関数Vi(pk,s,c)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のAi(pk,Fi(pk,s)(-)ic)がコミットメント回復関数Vi(pk,s,c)として抽出されることになる。
その後、擬似コミットメント作成部7は、レジスタ3から抽出した公開鍵pki、第1の任意数生成部4によって生成された任意な数si、及び第1のハッシュ関数演算部によって算出されたハッシュ値ci'を、コミットメント回復関数Vi(pk,s,c)に代入し、その演算結果aiを第2のハッシュ関数演算部10に送る。
【0020】
署名者(署名権能者であり実際に署名に協力する者)の識別子iに対応する処理:
まず、第3の任意数生成部8において任意な数riを生成し、その任意な数riをコミットメント作成部9及び回復演算部14に送る。次に、コミットメント作成部9において、署名者に対応する秘密鍵skiをレジスタ3から抽出し(秘密鍵抽出手段に相当)、関数メモリ2からコミットメント作成関数Ai(sk,r)を抽出する。なお、ここで抽出されるコミットメント作成関数Ai(sk,r)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のAi(sk,r)=Ai(pk,r)となる関数がコミットメント作成関数Ai(sk,r)として抽出されることになる。その後、コミットメント作成部9は、抽出した秘密鍵ski、及び第3の任意数生成部8によって生成された数riを、コミットメント作成関数Ai(sk,r)に代入し、その演算結果aiを第2のハッシュ関数演算部10に送る。
【0021】
全ての識別子(i=1,…,n)に対応する処理:
第2のハッシュ関数演算部10において、少なくとも擬似コミットメント作成部7による演算結果aiとコミットメント作成部9における演算結果aiとをビット結合し、そのビット結合結果のハッシュ値c0を求め、そのハッシュ値c0を多項式算出部11に送る。多項式算出部11は、署名権能者の人数をnとし、署名者の人数をkとし、第1のハッシュ関数演算部6において求められた全てのハッシュ値ci'に対する(i,ci')及び第2のハッシュ関数演算部10において求められたハッシュ値c0に対する(0,c0)を(X,Y)平面上の点とした場合における、これらの点全てを通るn-k次の一変数多項式P(X)を算出する。算出された一変数多項式P(X)は第3のハッシュ関数演算部13に送られ、この一変数多項式P(X) を特定するための多項式情報P'は署名出力部15に送られる。一変数多項式P(X)が送られた第3のハッシュ関数演算部13は、カウンタ12において生成され、そこから送られた署名者に対応する識別子iを、この一変数多項式P(X)に代入し、その演算結果P(i)のハッシュ値ciを求める。求められたハッシュ値ciは回復演算部14に送られ、この回復演算部14は、関数メモリ2から回答作成関数Zi(sk,r,c)を抽出する。なお、ここで抽出される回答作成関数Zi(sk,r,c)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のIi(sk,c(+)ir)が回答作成関数Zi(sk,r,c)として抽出されることになる。
次に回復演算部14は、抽出した秘密鍵ski、第3の任意数生成部8によって生成された数ri、及び第3のハッシュ関数演算部13によって求められたハッシュ値ciを、抽出した回答作成関数Zi(sk,r,c)に代入し、その演算結果siを署名出力部15に送る。そして、署名出力部15は、少なくとも、多項式算出部11によって算出された一変数多項式P(X)を特定するための多項式情報P'、第1の任意数生成部4によって生成された任意な数si、及び回復演算部による演算結果siを署名σとして出力する。
【0022】
図2は、公知のコンピュータに所定のプログラムを実行させることによって構成される本形態の署名検証装置20の概略を例示した機能ブロック図である。以下、この図2を用い、署名検証装置20の概略構成及びその処理の概略について説明する。
〔事前処理〕
まず、署名検証処理の事前処理として、少なくとも一部の署名権能者に対応するコミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)ic)が関数メモリ23に格納される。なお、少なくとも一部の署名権能者に対応するコミットメント作成関数Ai(sk,r)を、rを出力する関数とし、コミットメント回復関数Vi(pk,s,c)をFi(pk,s)(-)icとしてもよい。これにより、署名検証時における演算処理を簡略化することができる。
〔署名検証処理〕
まず、署名入力部21において、匿名署名装置1から出力された多項式情報P'、及び署名情報siを有する署名σの入力を受け付け、その多項式情報P'を多項式代入部24に、署名情報siをコミットメント回復部25に送る。また、各署名権能者の公開鍵pkiをn個含む公開鍵リストL=[pki|i=1,...,n]がレジスタ22に格納される。なお、この公開鍵リストLは、例えば、署名σとともに匿名署名装置1から出力されたものとする。
【0023】
次に、多項式代入部24においてレジスタ22の公開鍵リストLから識別子[i=1,...,n](各署名権能者に対応する識別子i)を抽出し、それらを順次、多項式情報P'によって特定される一変数多項式P(X)に代入し、その代入結果のハッシュ値ci''=Hi(P(i))をコミットメント回復部25に送る。また、この一変数多項式P(X)は、多項式代入部24から多項式評価部27に送られる。
コミットメント回復部25では、レジスタ22から署名権能者の公開鍵pkiを抽出し(公開鍵抽出手段に相当)、抽出した公開鍵pki、署名入力部21において入力された署名情報si、及び多項式代入部24で求めたハッシュ値ci''を、コミットメント回復関数Vi(pk,s,c)に代入する。なお、このコミットメント回復関数Vi(pk,s,c)は関数メモリ23から抽出したものである。そして、この抽出されるコミットメント回復関数Vi(pk,s,c)は、識別子iに対応する署名権能者がどのような署名方式を用いるかによって異なるが、この署名権能者が落とし戸型の署名方式を採っていた場合、上述のAi(pk,Fi(pk,s)(-)ic)がコミットメント回復関数Vi(pk,s,c)として抽出されることになる。
次に、ハッシュ関数演算部26において、少なくとも、コミットメント回復部25における代入結果をビット結合し、そのビット結合結果のハッシュ値hを多項式評価部27に送る。このハッシュ値hが送られた多項式評価部27は、このハッシュ値hと、多項式代入部24から送られた一変数多項式P(X)に0を代入した結果とを比較し、これらが等しかった場合に、署名が正しいものと判断し、その検証結果を出力する。
【0024】
次に、この形態の詳細について説明する。
図3は、この形態における匿名署名システム100の全体構成を例示した概念図である。
図3に例示するように、この例の匿名署名システム100は、匿名署名を生成する匿名署名装置110、及び送信された署名を検証する署名検証装置130によって構成され、これらはネットワーク150を介して通信可能なように接続されている。
図4は、この例の匿名署名装置110のハードウェア構成を例示したブロック図である。
図4に例示するように、この例の匿名署名装置110は、CPU(Central Processing Unit)110a、キーボード等の入力装置110b、半導体メモリ等の記憶装置110c、液晶ディスプレイ等の出力装置110d、ネットワーク150との通信を可能にする通信制御装置110e、及びこれらをデータのやり取りが可能なように接続するバス110fを有しており、記憶装置110cに記憶された所定のプログラムをCPU110aで実行することにより、その処理機能を実現する。なお、ここでは説明を省略するが、署名権能者端末装置101〜103、及び署名検証装置130も匿名署名装置110と同様なハードウェア構成を採るものとする。
【0025】
図5は、図4に例示したハードウェアにおいて所定のプログラムを実行させることにより実現される匿名署名装置110の機能構成を例示したブロック図であり、図6は関数メモリ111に記録される関数表230のデータ構成を、図7の(a)は、公開鍵リスト210のデータ構成を、(b)は秘密鍵リスト220のデータ構成を、それぞれ例示した概念図である。また、図8は、図4に例示したものと同等なハードウェアにおいて所定のプログラムを実行させることにより実現される署名検証装置130の機能構成を例示したブロック図であり、図9は、関数メモリ131に記録される関数表240のデータ構成を例示した概念図である。さらに、図10から図15は、この形態における匿名署名の生成から、その検証までの処理を説明するためのフローチャートである。
【0026】
以下、これらの図を用いて、本形態における匿名署名装置110及び署名検証装置130の機能構成及びその処理について説明していく。なお、以下では、離散対数を構成する群としてpiを素数とする乗法群Zpiを、また、落とし戸付き一方向性関数としてRSA演算を用いる場合を例にとって説明する。
〔事前処理〕
まず、匿名署名装置110に対する事前処理として、コミットメント作成関数Ai(sk,r)202、コミットメント回復関数Vi(pk,s,c)203、及び回答作成関数Zi(sk,r,c)204を、署名権能者が使用する公開鍵方式l(i)201に対応付けた関数表200を関数メモリ111に格納する(図6)。
【0027】
この例の場合、関数表200には、公開鍵方式l(i)201として、公開鍵が離散対数型であることを示す記号「D」、及び公開鍵が落とし戸型であることを示す記号「T」が格納されている。そして、この記号「D」に対応するコミットメント作成関数Ai(sk,r)202としてai=gi rimod piが、コミットメント回復関数Vi(pk,s,c)203としてai=gi siyi cimod piが、回答作成関数Zi(sk,r,c)204としてsi=ri-ciximod qiが、記号「T」に対応するコミットメント作成関数Ai(sk,r)202としてrを出力する関数ai=ri(Ai(sk,r)=Ai(pk,r)となる関数に相当)が、コミットメント回復関数Vi(pk,s,c)203としてai=si eici -1mod Ni(Ai(pk,Fi(pk,s)(-)ic)に相当)が、及び回答作成関数Zi(sk,r,c)204としてsi=(rici)dimod Ni(Ii(sk,c(+)ir)に相当)がそれぞれ格納されている。なお、pi,qiは大きな素数であり、qiはpi-1を割り切るものとする。また、giはpiの位数qiの部分群の生成元であり、xi∈Zqi,yi=gi ximod piとする。さらに、Niは2つの大きな素数の積であり、ei,diは、3≧ei<Ni、及びeidi≡1 modφ(Ni)を満たすものとする(φはオイラー関数)。
また、署名検証装置130に対する事前処理として、コミットメント回復関数Vi(pk,s,c)242を、署名権能者が使用する公開鍵方式l(i)241に対応付けた関数表240を関数メモリ131に格納する(図9)。
【0028】
この例の場合、関数表240には、公開鍵方式l(i)241として、上述の記号「D」及び記号「T」が格納され、この記号「D」に対応するコミットメント回復関数Vi(pk,s,c)242としてai=gi siyi cimod piが、記号「T」に対応するコミットメント回復関数Vi(pk,s,c)242としてai=si eici -1mod Ni(Ai(pk,Fi(pk,s)(-)ic)に相当)がそれぞれ格納されている。
〔署名作成処理〕
署名の作成を行う場合、まず、匿名署名装置110の入力部114に、公開鍵リスト(L)210、秘密鍵リスト(K)220及び文書(m)230が入力される(図3、図4、図7)。
図7の(a)に例示するように、この例の公開鍵リスト(L)210は、n名の各署名権能者に対応する識別子(i)211に、各署名権能者が使用する公開鍵方式(l(i))212及び公開鍵(pki)212を対応付けた構成となっており、例えば、識別子1には、公開鍵方式(l(1))=T、及び公開鍵(pk1)が、識別子2には、公開鍵方式(l(2))=D、及び公開鍵(pk2)が、それぞれ対応付けられている。また、図7の(b)に例示するように、この例の秘密鍵リスト(K)220は、実際に署名に協力するk名の署名者に対応する識別子(i)221に、k個の各署名者の秘密鍵(ski)222を対応付けた構成となっており、例えば、インデックス2,3,5,7,8に対し、秘密鍵sk2,sk3,sk5,sk7,sk8が対応付けられている。
【0029】
なお、この例では、公開鍵方式(l(i))=D(離散対数型)である場合には、公開鍵pki=(yi,gi,qi,pi)であり、秘密鍵ski=(xi,gi,qi,pi)あり、公開鍵方式(l(i))=T(落とし戸型)である場合には、公開鍵pki=(ei,Ni)であり、秘密鍵ski=(di,Ni)である。また、このように入力された公開鍵リスト(L)210、秘密鍵リスト(K)220及び文書(m)230はレジスタ113に送られ、そこで格納される。
次に、素数生成部115において、p≧max[size(C1),…,size(Cn)]となる素数pを生成する(ステップS1)。すなわち、Ciを公開鍵リストL中のi番目の公開鍵pkiに関するゼロ知識証明で用いるチャレンジのための空間とした場合において、どの|Ci|よりも多きな、最も小さい素数pを生成する。なお、素数pの生成は、例えばRabin法等、非常に高い確率で素数となるような確率的素数生成方法を用いて行ってもよく、生成した素数pは、レジスタ113に送られて記録される他、任意数生成部117にも送られる。
【0030】
次に、制御部128が保持するカウンタ(図示せず)のカウント値をi=1とし(ステップS2)、このiがi∈Qであるか否か判断する(ステップS3)。すなわち、制御部128において、レジスタ113から秘密鍵リスト220を抽出し、この秘密鍵リスト220の識別子221がiを有する(i∈Q)か否か判断する。そして、i∈Qであると判断された場合にはステップS10の処理に進み、i∈Qでないと判断された場合にはステップS4の処理に進む。例えば、この段階ではi=1であり、このiの値「1」は秘密鍵リスト220の識別子221に存在しないため、i∈Qでないと判断され、ステップS4の処理へ進む。
ステップS4では、任意数生成部116において、任意な数si←Ciを例えばランダムに選び、その任意な数siを擬似コミットメント作成部119に送る。また、任意数生成部117において、任意な整数zi←Zpを例えばランダムに選び、選んだ整数ziをハッシュ関数演算部118に送る(ステップS5)。この整数ziが送られたハッシュ関数演算部118は、この整数ziのハッシュ値(ci'=Hi(zi))を計算し、そのハッシュ値ci'を擬似コミットメント作成部119に送る(ステップS6)。なお、ここで処理を行っている識別子iに対応する公開鍵方式(l(i))がD(離散対数型)であった場合、この例のハッシュ関数Hiは|qi|-1ビットの出力域を持つハッシュ関数である。具体的には、例えば、このqiが161ビット以下の場合、160ビット出力のSHA-1関数を利用し、その出力のLSB側から|qi|-1ビットをこのハッシュ値として利用する。一方、現在処理を行っている識別子iに対応する公開鍵方式(l(i))が鍵方式(l(i))=T(落とし戸型)であった場合、この例のハッシュ関数Hiは、ZNi\[0]の出力値を持つハッシュ関数である。具体的には、例えば、Niが1024ビットの場合(SHA1(Ni‖1)‖SHA1(Ni‖2)‖…‖SHA1(Ni‖<1024/160>+1)mod Ni‖1をハッシュ値として出力する。なお、ZNi\[0]とは、ZNiから0を除いた集合、すなわち、1以上Ni未満の自然数の集合{1,…,Ni-1}を意味し、<1024/160>は1024/160以上の最小の整数を意味する。
【0031】
次に、擬似コミットメント作成部119において、レジスタ113から公開鍵pkiを、関数型選択部112を介して関数メモリ111からコミットメント回復関数Vi(pk,s,c)を、それぞれ取得し、ai=Vi(pki,si,ci)の演算を行う(ステップS7)。以下、図14(a)のフローチャートを用い、この際行われるコミットメント回復関数Vi(pk,s,c)の取得手順について説明する。
まず、制御部128から関数型選択部112に対し、処理中の識別子iの情報が送られる。この関数型選択部112は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)ic)を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数Vi(pk,s,c)として離散対数型の関数を選択する機能を有しており、この送られた識別子iの情報をもとにこの関数型の選択を行う。すなわち、関数型選択部112は、まず、レジスタ113から公開鍵リスト(L)210を抽出し、制御部128から送られた識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する(ステップS61)。
【0032】
ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部112は、コミットメント回復関数Vi(pk,s,c)として離散対数型の関数であるai=gi siyi cimod piを選択し(ステップS62)、公開鍵方式(l(i))が落とし戸型(T)であった場合には、コミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)ic)に相当するai=si eici -1mod Niを選択する(ステップS63)。そして、関数型選択部112は、この選択した関数を関数メモリ111から抽出し、擬似コミットメント作成部119に送る。
このようにコミットメント回復関数Vi(pk,s,c)が送られた擬似コミットメント作成部119は、上述のように送られたpki,si,ciをこの関数に代入する(ai=Vi(pki,si,ci))。そして、この演算結果aiはハッシュ関数演算部122に送られ、次のステップS8の処理に移る。
【0033】
ステップS8では制御部128のカウント値iをi=i+1とし、次のステップS9においてi>nであるか否かを判断する。なお、このnは、例えば、公開鍵リスト(L)210から取得した情報である。そして、i>nであると判断された場合には、ステップS12に進み、そうでなければステップS3に戻る。
ステップS3においてi∈Qであると判断された場合、任意数生成部120は、任意な数ri←Riを例えばランダムに選択し、その任意な数riをコミットメント作成部121及び回復演算部126に送る(ステップS10)。なお、RiはL中のi番目の公開鍵pki(i番目の署名権能者の公開鍵)に関するゼロ知識証明で用いられるレスポンスのための空間を意味する。
この任意な数riを受け取ったコミットメント作成部121は、さらにレジスタ113から秘密鍵skiを、関数型選択部112を介して関数メモリ111からコミットメント作成関数Ai(sk,r)を、それぞれ取得し、ai=Ai(ski,ri)の演算を行う(ステップS11)。以下、図14(b)のフローチャートを用い、この際行われるコミットメント作成関数Ai(sk,r)の取得手順について説明する。
【0034】
まず、制御部128から関数型選択部112に対し、処理中の識別子iの情報が送られる。この関数型選択部112は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数Ai(sk,r)として、Ai(sk,r)=Ai(pk,r)となる関数を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数Ai(sk,r)として、離散対数型の関数を選択する機能を有しており、この送られた識別子iの情報をもとにこの関数型の選択を行う。すなわち、関数型選択部112は、まず、レジスタ113から公開鍵リスト(L)210を抽出し、制御部128から送られた識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する(ステップS71)。
ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部112は、コミットメント作成関数Ai(sk,r)として離散対数型の関数であるai=gi rimod piを選択し(ステップS72)、公開鍵方式(l(i))が落とし戸型(T)であった場合には、コミットメント作成関数Ai(sk,r)として、Ai(sk,r)=Ai(pk,r)となる関数であるai=riを選択する(ステップS73)。そして、関数型選択部112は、この選択した関数を関数メモリ111から抽出し、コミットメント作成部121に送る。
【0035】
このようにコミットメント作成関数Ai(sk,r)が送られたコミットメント作成部121は、上述のように送られたski,riをこの関数に代入する(ai=Ai(ski,ri))。そして、この演算結果aiはハッシュ関数演算部122に送られ、次のステップS8及びステップS9の処理に移る。
その後、同様にステップS3からステップS9の処理を繰り返し、ステップS9の判断においてi≦nとなった場合、次のステップS12の処理に移る。
ステップS12では、ハッシュ関数演算部122において、レジスタ113から公開鍵リストL、秘密鍵の個数k、文書m、及び素数pを取得し、これらと擬似コミットメント作成部119及びコミットメント作成部121から送られたaiをビット結合し、そのビット結合結果のハッシュ値(c0=H(L‖k‖p‖a1‖…‖an‖m)を演算する(ステップS12)。そのハッシュ値c0は多項式算出部123に送られ、この多項式算出部123は、ハッシュ関数演算部118において求められた全てのハッシュ値ci'に対する(i,ci')及びハッシュ関数演算部122において求められたハッシュ値c0に対する(0,c0)を(X,Y)平面上の点とした場合における、これらの点全てを通るn-k次の一変数多項式P(X)∈Zp[X]n-kを求める。この一変数多項式P(X)の算出は、例えば、Lagrange補完によって、
【数1】
Figure 0004176537
を用いて求めることができる(ステップS13)。ただし、i-jが素数pを割り切る場合にはP(X)は求まらないため、この場合、ステップS1に戻って処理をやり直す。一方、P(X)が求まった場合には、求まった一変数多項式P(X)をハッシュ関数演算部125に送り、さらにこのP(X)を特定するための情報(例えば、P(X)の係数)P'を通信部127に送る。
【0036】
次に、カウンタ124のカウント値iを1とし(ステップS14)、このカウント値iがi∈Qであるか否かを判断する。ここでi∈Qでなかった場合、ステップS19の処理に進む。一方、i∈Qであった場合、ハッシュ関数演算部125において、カウンタ124から供給されたカウント値iを一変数多項式P(X)に代入(zi=P(i))し(ステップS16)、この代入結果ziのハッシュ値ci=Hi(zi)を計算して(ステップS17)、その結果を回復演算部126に送る。
このハッシュ値ciを受け取った回復演算部126は、さらにレジスタ113から秘密鍵skiを、関数型選択部112を介して関数メモリ111から回答作成関数Zi(sk,r,c)を、それぞれ取得しsi=Zi(ski,ri,ci)の演算を行う(ステップS18)。以下、図15のフローチャートを用い、この際行われる回答作成関数Zi(sk,r,c)の取得手順について説明する。
【0037】
まず、制御部128から関数型選択部112に対し、処理中の識別子iの情報が送られる。この関数型選択部112は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応する回答作成関数Zi(sk,r,c)としてIi(sk,c(+)ir)を、離散対数問題に基づく署名方式を採っている署名権能者に対応する回答作成関数Zi(sk,r,c)として離散対数型の関数を選択する機能を有しており、この送られた識別子iの情報をもとにこの関数型の選択を行う。すなわち、関数型選択部112は、まず、レジスタ113から公開鍵リスト(L)210を抽出し、制御部128から送られた識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する(ステップS81)。
ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部112は、回答作成関数Zi(sk,r,c)として離散対数型の関数であるsi=ri-ciximod qiを選択し(ステップS82)、公開鍵方式(l(i))が落とし戸型(T)であった場合には、Ii(sk,c(+)ir)に相当するsi=(rici)dimod NIを選択する(ステップS83)。そして、関数型選択部112は、この選択した関数を関数メモリ111から抽出し、回復演算部126に送る。
このように回答作成関数Zi(sk,r,c)を受け取った回復演算部126は、上述のように受け取ったski,ri,ciをこの関数に代入する(si=Zi(ski,ri,ci))。そして、この演算結果siは通信部127に送られる。
【0038】
次に、カウンタ124のカウント値iを1加算し(ステップS19)、制御部128において、i>nであるか否かを判断する。ここで、i>nでなかった場合にはステップS15に戻る。一方、i>nであった場合、通信部127によってレジスタ113から公開鍵リストL、秘密鍵の個数k、文書m、及び素数pを取得し、さらに、任意数生成部116や回復演算部126から送られたsi、多項式算出部123から送られたP'を用い、L、k、mの署名σ=(P',p,s1,…,sn)を生成する(ステップS21)。このように生成された署名σ=(P',p,s1,…,sn)は、L、k、mとともにネットワーク150を介して署名検証装置130に送られる。
〔署名検証処理〕
まず、通信部134において、ネットワーク150を介して匿名署名装置110から送信されたL、k、mとその署名σ=(P',p,s1,…,sn)を受信する。そして、受信したLをレジスタ133に送って記憶させ、s1,…,snをコミットメント回復部136に送り、P'を多項式代入部135及び多項式検証部140に送り、p、L、k、mをハッシュ関数演算部137に送る。次に、多項式検証部140において、取得したpがp≧max[size(C1),…,size(Cn)]を満たすか否かを確認する。ここでp≧max[size(C1),…,size(Cn)]でなければ、署名を拒否して(ステップS33)処理を終了する。一方、p≧max[size(C1),…,size(Cn)]であれば、多項式検証部140において、受け取ったP'によって特定される一変数多項式P(X)の係数の数がn-k+1個以下であること、及びこの一変数多項式P(X)の全ての係数が0以上p未満であることを確認する(ステップS32)。以下、この多項式検証部140における処理を図13のフローチャートを用いて説明する。
【0039】
まず、一変数多項式P(X)の次数がn-k以下であるか否か、すなわち一変数多項式P(X)の係数の数がn-k+1個以下であるか否かを判断し、この次数がn-k以下であればステップS53に進み、そうでなければ検証失敗として処理を終了する(ステップS52)。次に、多項式検証部140が有する図示しないカウンタのカウント値jを0にリセットし(ステップS53)、一変数多項式P(X)の一つの係数P'jが0以上p未満の整数であるか否か判断する(ステップS54)。ここで、係数P'jが0以上p未満の整数であればカウント値jに1を加算し(ステップS55)、そうでなければ検証失敗として処理を終了する。カウント値jの加算後(ステップS55)、j>n-kであるか否かを判断し(ステップS56)、j>n-kであった場合には検証成功として処理を終了する(ステップS57)。
この検証が失敗した場合、署名を拒否して(ステップS33)処理を終了し、成功した場合には、制御部141が有する図示していないカウンタのカウント値iを1にする(ステップS34)。
次に、多項式代入部135において通信部からP'を取得し、これによって特定される一変数多項式P(X)に、制御部141から送られるカウント値iを代入し、その代入結果のハッシュ値ci''=Hi(P(i))をコミットメント回復部136に送る(ステップS35)。
【0040】
また、関数型選択部132は、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)ic)を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント回復関数Vi(pk,s,c)として離散対数型の関数を選択する機能を有しており、制御部141から送られたカウント値iを用い、使用する関数型の選択を行う。すなわち、関数型選択部132は、まず、受け取った公開鍵リスト(L)210を検索し、識別子iに対応する公開鍵方式(l(i))が離散対数型(D)であるか否かを判断する。ここで、公開鍵方式(l(i))が離散対数型(D)であった場合、関数型選択部132は、コミットメント回復関数Vi(pk,s,c)として離散対数型の関数であるai=gi siyi cimod piを選択し、公開鍵方式(l(i))が落とし戸型(T)であった場合には、コミットメント回復関数Vi(pk,s,c)としてAi(pk,Fi(pk,s)(-)ic)に相当するai=si eici -1mod Niを選択する。そして、関数型選択部132は、この選択した関数を関数メモリ131から抽出し、コミットメント回復部136に送る。
【0041】
このコミットメント回復関数Vi(pk,s,c)を受け取ったコミットメント回復部136は、これにpki,si,ci''を代入し、その演算結果ai'をハッシュ関数演算部137に送る(ステップS36)。その後、制御部141のカウント値iを1加算し(ステップS37)、その結果i>nとなったか否かを判断する(ステップS38)。ここで、i>nとなっていない場合にはステップS35の処理に戻り、i>nとなった場合には、ハッシュ関数演算部137において、L、k、p、a1',…,ai'、mをビット結合し、そのビット結合結果のハッシュ値z0'=H(L‖k‖p‖a1'‖…‖an'‖m)を求める(ステップS39)。求められたハッシュ値z0'は多項式評価部138に送られ、多項式評価部138は、多項式代入部135から取得した一変数多項式P(X)に0を代入し(ステップS40)、その代入結果z0とハッシュ値z0'が等しいか否かを判断する(ステップS41)。ここで等しいと判断された場合、多項式評価部138は、その旨の情報(G)を出力部139に送り、出力部139は署名を受理する旨の検証結果を出力する(ステップS42)。一方、等しくないと判断された場合には、多項式評価部138は、その旨の情報(NG)を出力部139に送り、出力部139は署名を拒否する旨の検証結果を出力する(ステップS43)。
【0042】
このように、本形態では、k-out-of-n匿名署名の構成において、少なくとも一部の署名権能者に対応する、コミットメント作成関数Ai(sk,r)をAi(sk,r)=Ai(pk,r)となる関数とし、コミットメント回復関数を、二項演算a(+)ib及びa(-)ibを(a(+)ib)(-)ib=aを満たす演算とした場合における、Ai(pk,Fi(pk,s)(-)ic)とし、回答作成関数Zi(sk,r,c)を、Fiの逆置換関数をIiとした場合におけるIi(sk,c(+)ir)とすることとした。そのため、従来、離散対数型の署名方式しか用いることができなかったk-out-of-n匿名署名において、落とし戸型の署名をも用いることが可能となり、匿名署名に使用できる署名方式の多様化を図ることが可能となった。また、k-out-of-n匿名署名の構造をそのまま採ることができるため、署名協力者数の多様性も確保できる。
さらに、この例では、関数型選択部112、132において、落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数Ai(sk,r)として、Ai(sk,r)=Ai(pk,r)となる関数を選択し、コミットメント回復関数Vi(pk,s,c)として、Ai(pk,Fi(pk,s)(-)ic)を選択し、回答作成関数Zi(sk,r,c)としてIi(sk,c(+)ir)を選択し、離散対数問題に基づく署名方式を採っている署名権能者に対応するコミットメント作成関数Ai(sk,r)、コミットメント回復関数Vi(pk,s,c)、及び回答作成関数Zi(sk,r,c)として、離散対数型の関数を選択することとした。落とし戸付き一方向性置換関数に基づく署名方式を採っている署名権能者、及び離散対数問題に基づく署名方式を採っている署名権能者双方を署名者に採りこむことができ、匿名署名の利便性及び信頼性を向上させることが可能となった。
【0043】
また、少なくとも一部の署名権能者に対応するコミットメント作成関数Ai(sk,r)を、rを出力する関数とすることにより、演算処理を簡略化することが可能となった。
なお、この発明は上述の実施の形態に限定されるものではない。例えば、本形態では、離散対数を構成する群としてpiを素数とする乗法群Zpiを、また、落とし戸付き一方向性関数としてRSA演算を用いる場合を例にとって説明したが、離散対数問題を構成する群は、楕円曲線上の加法群をはじめ、その元を容易に標本できるような有限群であるならば、どのような群であってもよい。
また、本形態では、コンピュータ上で所定のプログラムを実行させることにより、匿名署名装置1、130及び署名検証装置20、130を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
また、上述のように、この形態における処理機能は、コンピュータによって実現することができる。この場合、匿名署名装置1、130及び署名検証装置20、130が有すべき機能の処理内容はプログラムによって記述され、このプログラムをコンピュータで実行することにより、上記処理機能をコンピュータ上で実現することができる。
【0044】
また、この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEPROM(Erasable and Programmable ROM)等を用いることができる。
【0045】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することしてもよく、さらに、コンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。
【0046】
【発明の効果】
以上説明したようにこの発明では、少なくとも一部の署名権能者に対応する、コミットメント作成関数Ai(sk,r)を、Ai(sk,r)=Ai(pk,r)となる関数とし、コミットメント回復関数Vi(pk,s,c)を、識別子iに対応する落とし戸付き一方向性置換関数をFiとし、二項演算a(+)ib及びa(-)ibを(a(+)ib)(-)ib=aを満たす演算とした場合における、Ai(pk,Fi(pk,s)(-)ic)とし、回答作成関数Zi(sk,r,c)を、Fiの逆置換関数をIiとした場合におけるIi(sk,c(+)ir)とした。これにより、離散対数型の署名方式に加え、落とし戸型の署名方式をも匿名署名に組み込むことが可能となり、匿名署名に使用できる署名方式の多様性を向上させることができる。また、従来のk-out-of-n匿名署名に落とし戸型の署名方式を組み込むことができるため、従来のk-out-of-n匿名署名と同様、署名協力者数の自由度を確保することができる。
【図面の簡単な説明】
【図1】匿名署名装置1の概略を例示した機能ブロック図。
【図2】署名検証装置の概略を例示した機能ブロック図。
【図3】匿名署名システムの全体構成を例示した概念図。
【図4】匿名署名装置のハードウェア構成を例示したブロック図。
【図5】匿名署名装置の機能構成を例示したブロック図。
【図6】関数メモリに記録される関数表のデータ構成を例示した概念図。
【図7】公開鍵リスト及び秘密鍵リストのデータ構成を例示した概念図。
【図8】署名検証装置の機能構成を例示したブロック図。
【図9】関数メモリに記録される関数表のデータ構成を例示した概念図。
【図10】匿名署名の生成処理を説明するためのフローチャート。
【図11】匿名署名の生成処理を説明するためのフローチャート。
【図12】署名検証処理を説明するためのフローチャート。
【図13】多項式検証部における処理を説明するためのフローチャート。
【図14】関数型選択部における処理を説明するためのフローチャート。
【図15】関数型選択部における処理を説明するためのフローチャート。
【図16】 Ring型署名方法を説明するための概念図。
【符号の説明】
1、110 匿名署名装置
20、130 署名検証装置
112、132 関数型選択部
200 関数表
210 公開鍵リスト

Claims (9)

  1. 署名権能者であるが実際には署名に協力しない非署名者に対応する任意な数siを生成する(iは各署名権能者に対応する識別子。以下同様。)第1の任意数生成手段と、
    上記非署名者に対応する任意な整数ziを生成する第2の任意数生成手段と、
    上記第2の任意数生成手段によって生成された上記整数ziのハッシュ値ci'を求める第1のハッシュ関数演算手段と、
    上記非署名者の公開鍵pkiを抽出する公開鍵抽出手段と、
    上記第1の公開鍵抽出手段で抽出された上記公開鍵pki、上記第1の任意数生成手段によって生成された上記任意な数si、及び上記第1のハッシュ関数演算手段によって算出されたハッシュ値ci'を、コミットメント回復関数Vi(pk,s,c)に代入する擬似コミットメント作成手段と、
    署名権能者であり実際に署名に協力する署名者に対応する任意な数riを生成する第3の任意数生成手段と、
    上記署名者に対応する秘密鍵skiを抽出する秘密鍵抽出手段と、
    上記秘密鍵抽出手段において抽出された上記秘密鍵ski、及び上記第3の任意数生成手段によって生成された上記任意な数riを、コミットメント作成関数Ai(sk,r)に代入するコミットメント作成手段と、
    少なくとも上記擬似コミットメント作成手段による演算結果と上記コミットメント作成手段における演算結果とをビット結合し、そのビット結合結果のハッシュ値c0を求める第2のハッシュ関数演算手段と、
    上記署名権能者の人数をnとし、上記署名者の人数をkとし、上記第1のハッシュ関数演算手段において求められた全ての上記ハッシュ値ci'に対する(i,ci')及び上記第2のハッシュ関数演算手段において求められた上記ハッシュ値c0に対する(0,c0)を(X,Y)平面上の点とした場合における、これらの点全てを通るn-k次の一変数多項式P(X)を算出する多項式算出手段と、
    上記署名者に対応する上記識別子iを、上記多項式算出手段において算出された上記一変数多項式P(X)に代入し、その演算結果P(i)のハッシュ値ciを求める第3のハッシュ関数演算手段と、
    上記秘密鍵抽出手段において抽出された上記秘密鍵ski、上記第3の任意数生成手段によって生成された上記任意な数ri、及び上記第3のハッシュ関数演算手段によって求められた上記ハッシュ値ciを、回答作成関数Zi(sk,r,c)に代入する回復演算手段と、
    少なくとも、上記多項式算出手段によって算出された上記一変数多項式P(X)を特定するための多項式情報P'、上記第1の任意数生成手段によって生成された上記任意な数si、及び上記回復演算手段による演算結果siを出力する署名出力手段と、
    を有し、
    少なくとも一部の上記署名権能者に対応する、上記コミットメント作成関数Ai(sk,r)は、Ai(sk,r)=Ai(pk,r)となる関数であり、上記コミットメント回復関数Vi(pk,s,c)は、上記識別子iに対応する落とし戸付き一方向性置換関数をFiとし、二項演算a(+)ib及びa(-)ibを(a(+)ib)(-)ib=aを満たす演算とした場合における、Ai(pk,Fi(pk,s)(-)ic)であり、上記回答作成関数Zi(sk,r,c)は、上記Fiの逆置換関数をIiとした場合におけるIi(sk,c(+)ir)であること、
    を特徴とする匿名署名装置。
  2. 落とし戸付き一方向性置換関数に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント作成関数Ai(sk,r)として、Ai(sk,r)=Ai(pk,r)となる関数を選択し、前記コミットメント回復関数Vi(pk,s,c)として、Ai(pk,Fi(pk,s)(-)ic)を選択し、前記回答作成関数Zi(sk,r,c)としてIi(sk,c(+)ir)を選択し、
    離散対数問題に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント作成関数Ai(sk,r)、前記コミットメント回復関数Vi(pk,s,c)、及び前記回答作成関数Zi(sk,r,c)として、離散対数型の関数を選択する関数型選択手段を、
    さらに有することを特徴とする請求項1記載の匿名署名装置。
  3. 少なくとも一部の上記署名権能者に対応する前記コミットメント作成関数Ai(sk,r)は、rを出力する関数であることを特徴とする請求項1或いは2の何れかに記載の匿名署名装置。
  4. 匿名署名装置から出力された多項式情報P'、及び署名情報siの入力を受け付ける署名入力手段と、
    上記署名入力部において入力された上記多項式情報P'によって特定される上記一変数多項式P(X)に、各署名権能者に対応する識別子iを代入し、そのハッシュ値ci''を求める多項式代入手段と、
    上記署名権能者の公開鍵pkiを抽出する公開鍵抽出手段と、
    上記公開鍵抽出部によって抽出された上記公開鍵pki、上記署名入力部において入力された上記署名情報si、及び上記多項式代入部で求めたハッシュ値ci''を、コミットメント回復関数Vi(pk,s,c)に代入するコミットメント回復手段と、
    少なくとも上記コミットメント回復手段における代入結果をビット結合し、そのビット結合結果のハッシュ値と、上記一変数多項式P(X)に0を代入した結果とが等しかった場合に、署名が正しいものと判断する多項式評価手段と、
    を有し、
    少なくとも一部の上記署名権能者に対応する、上記コミットメント回復関数Vi(pk,s,c)は、コミットメント作成関数Ai(sk,r)をAi(sk,r)=Ai(pk,r)となる関数とし、上記識別子iに対応する落とし戸付き一方向性置換関数をFiとし、二項演算a(+)ib及びa(-)ibを(a(+)ib)(-)ib=aを満たす演算とした場合における、Ai(pk,Fi(pk,s)(-)ic)であること、
    を特長とする署名検証装置。
  5. 落とし戸付き一方向性置換関数に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント回復関数Vi(pk,s,c)として、Ai(pk,Fi(pk,s)(-)ic)を選択し、
    離散対数問題に基づく署名方式を採っている上記署名権能者に対応する前記コミットメント回復関数Vi(pk,s,c)として、離散対数型の関数を選択する関数型選択手段を、
    さらに有することを特長とする請求項4記載の署名検証装置。
  6. 少なくとも一部の上記署名権能者に対応する前記コミットメント作成関数Ai(sk,r)は、rを出力する関数であることを特徴とする請求項4或いは5の何れかに記載の署名検証装置。
  7. 匿名署名装置によって、
    上記署名権能者であるが実際には署名に協力しない非署名者に対応する任意な数siを生成し(iは各署名権能者に対応する識別子。以下同様。)、
    上記非署名者に対応する任意な整数ziを生成し、
    生成された上記整数ziのハッシュ値ci'を求め、
    上記非署名者の公開鍵pkiを抽出し、
    抽出した上記公開鍵pki、生成した上記任意な数si、及び算出した上記ハッシュ値ci'を、コミットメント回復関数Vi(pk,s,c)に代入し、
    署名権能者であり実際に署名に協力する署名者に対応する任意な数riを生成し、
    上記署名者に対応する秘密鍵skiを抽出し、
    抽出した上記秘密鍵ski、及び生成した上記任意な数riを、コミットメント作成関数Ai(sk,r)に代入し、
    少なくとも上記コミットメント回復関数Vi(pk,s,c)への代入結果と、上記コミットメント作成関数Ai(sk,r)への代入結果とをビット結合し、そのビット結合結果のハッシュ値c0を求め、
    上記署名権能者の人数をnとし、上記署名者の人数をkとし、求められた全ての上記ハッシュ値ci'に対する(i,ci')及び上記ハッシュ値c0に対する(0,c0)を(X,Y)平面上の点とした場合における、これら点すべて(i,ci')を通るn-k次の一変数多項式P(X)を算出し、
    上記署名者に対応する上記識別子iを、算出された上記一変数多項式P(X)に代入し、その演算結果P(i)のハッシュ値ciを求め、
    抽出した上記秘密鍵ski、生成した上記任意な数ri、及び上記第3のハッシュ関数演算ステップによるハッシュ値ciを、回答作成関数Zi(sk,r,c)に代入し、
    少なくとも、算出した上記一変数多項式P(X)を特定するための多項式情報P'、生成した上記任意な数si、及び上記回答作成関数Zi(sk,r,c)への代入結果siを出力し、
    署名検証装置によって、
    上記匿名署名装置から出力された上記多項式情報P'、上記任意な数si、及び上記代入結果siの入力を受け付け、
    入力された上記多項式情報P'によって特定される上記一変数多項式P(X)に、上記識別子iを代入し、そのハッシュ値ci''を求め、
    上記署名権能者の公開鍵pkiを抽出し、
    抽出した上記公開鍵pki、入力された上記任意な数si或いは代入結果si、及び上記一変数多項式P(X)への上記識別子iの代入結果のハッシュ値ci''を、上記コミットメント回復関数Vi(pk,s,c)に代入し、
    少なくともこのコミットメント回復関数Vi(pk,s,c)への代入結果をビット結合し、そのビット結合結果のハッシュ値と、上記一変数多項式P(X)に0を代入した結果とが等しかった場合に、署名が正しいものと判断し、
    少なくとも一部の上記署名権能者に対応する、上記コミットメント作成関数Ai(sk,r)は、Ai(sk,r)=Ai(pk,r)となる関数であり、上記コミットメント回復関数Vi(pk,s,c)は、上記識別子iに対応する落とし戸付き一方向性置換関数をFiとし、二項演算a(+)ib及びa(-)ibを(a(+)ib)(-)ib=aを満たす演算とした場合における、Ai(pk,Fi(pk,s)(-)ic)であり、上記回答作成関数Zi(sk,r,c)は、上記Fiの逆置換関数をIiとした場合におけるIi(sk,c(+)ir)であること、
    を特長とする匿名署名方法。
  8. 請求項1から3の何れかに記載された匿名署名装置としてコンピュータを機能させるための匿名署名プログラム。
  9. 請求項4から6の何れかに記載された署名検証装置としてコンピュータを機能させるための署名検証プログラム。
JP2003105115A 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム Expired - Fee Related JP4176537B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003105115A JP4176537B2 (ja) 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003105115A JP4176537B2 (ja) 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム

Publications (2)

Publication Number Publication Date
JP2004312512A JP2004312512A (ja) 2004-11-04
JP4176537B2 true JP4176537B2 (ja) 2008-11-05

Family

ID=33467722

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003105115A Expired - Fee Related JP4176537B2 (ja) 2003-04-09 2003-04-09 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム

Country Status (1)

Country Link
JP (1) JP4176537B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4738003B2 (ja) * 2005-01-24 2011-08-03 日本電信電話株式会社 署名システム、署名方法
US8868910B2 (en) 2012-02-09 2014-10-21 Hewlett-Packard Development Company, L.P. Elliptic curve cryptographic signature
CN112613882B (zh) * 2020-12-29 2023-06-02 成都知道创宇信息技术有限公司 一种分布式签名系统及管理方法

Also Published As

Publication number Publication date
JP2004312512A (ja) 2004-11-04

Similar Documents

Publication Publication Date Title
US10277395B2 (en) Cryptographic key-generation with application to data deduplication
Barsoum et al. On verifying dynamic multiple data copies over cloud servers
US20190138753A1 (en) Remote re-enrollment of physical unclonable functions
JP4547158B2 (ja) バイリニアマッピングを使用する署名スキーム
JP5542474B2 (ja) 第1の信号と第2の信号との間の類似性を検証するための方法及びシステム
RU2595924C2 (ru) Устройство обработки информации, способ обработки информации и программа
JP5099003B2 (ja) グループ署名システムおよび情報処理方法
WO2013031414A1 (ja) 署名検証装置、署名検証方法、プログラム、及び記録媒体
JPWO2009104260A1 (ja) 検証装置
WO2007007836A1 (ja) 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体
US20200213140A1 (en) Keyless encrypting schemes using physical unclonable function devices
JP2018507658A (ja) 物理的複製不可能関数および閾値暗号化を含む認証システムならびにデバイス
CN102263639A (zh) 认证装置、认证方法、程序和签名生成装置
WO2011061994A1 (ja) 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム
CN109120606B (zh) 一种具有隐私保护的特征属性的处理方法及装置
Alamélou et al. A practical group signature scheme based on rank metric
CN115336224A (zh) 自适应抗攻击分布式对称加密
JP4176537B2 (ja) 匿名署名装置、署名検証装置、匿名署名方法、匿名署名プログラム及び署名検証プログラム
JP5730804B2 (ja) 暗号化装置、再暗号化鍵難読化装置、再暗号化装置、復号装置、および再暗号化システム
Parsovs Homomorphic tallying for the estonian internet voting system
US5737425A (en) Cryptosystem employing worst-case difficult-to solve lattice problem
Ragavan et al. Dynamic key generation for cryptographic process using genetic algorithm
Guo et al. Secure and efficient nearest neighbor query for an outsourced database
Islam et al. Cube attack on Trivium and A5/1 stream ciphers
EP1225530A1 (en) Method, apparatus and program for quantitative competition and recording medium having recorded thereon the program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050725

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080820

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110829

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120829

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130829

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees