JP4367938B2 - 細粒度フォワード・セキュア署名の方法、コンピュータ・プログラム要素、コンピュータ・プログラムおよびネットワーク・デバイス - Google Patents

細粒度フォワード・セキュア署名の方法、コンピュータ・プログラム要素、コンピュータ・プログラムおよびネットワーク・デバイス Download PDF

Info

Publication number
JP4367938B2
JP4367938B2 JP2004525662A JP2004525662A JP4367938B2 JP 4367938 B2 JP4367938 B2 JP 4367938B2 JP 2004525662 A JP2004525662 A JP 2004525662A JP 2004525662 A JP2004525662 A JP 2004525662A JP 4367938 B2 JP4367938 B2 JP 4367938B2
Authority
JP
Japan
Prior art keywords
signature
value
encryption key
values
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004525662A
Other languages
English (en)
Other versions
JP2005535206A (ja
Inventor
カメニシュ、ヤン
コプロウスキー、マシージュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2005535206A publication Critical patent/JP2005535206A/ja
Application granted granted Critical
Publication of JP4367938B2 publication Critical patent/JP4367938B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、接続されたコンピュータ・ノードのネットワークにおいて適用可能な、署名方式を使用して秘密暗号鍵および公開暗号鍵を提供する方法に関する。さらに本発明は、接続されたコンピュータ・ノードのネットワークにおいて、メッセージ上で署名値を提供しそれを検証する方法に関する。また、侵入が検出された場合に、生成された署名値の妥当性を知らせる方法も本明細書に開示する。
電子署名またはデジタル署名は、情報を認証するために使用される。すなわち、電子ドキュメントの内容を、署名者、より正確には署名者の公開鍵と安全に結びつけるために使用される。真正の署名者のみが、有効な署名を作成することができるべきであり、誰もが、署名者が実際にそのドキュメントに署名したことを確信できるように、署名を検証することができるべきである。多数のデジタル署名方式がこれまで提案されてきたが、現在実際に使用されているものは少数である。
通常のデジタル署名方式は、基本的な欠点を持っている。たとえばハッカーが署名者のコンピュータに侵入するなどしたために秘密鍵が漏えいし、この漏えいが発覚し、公開鍵が無効にされると、署名者によって作成されたすべての署名が知れ渡るようになっており、すなわち、署名が署名者により作成されたのかそれともハッカーによって作成されたのかを見分けることがもはや不可能になっている。したがって、通常の署名方式自体は、否認防止(non-repudiation)を提供することができない。否認防止を達成するための可能な1つの方法は、いわゆるタイム・スタンピング・サービスを使用するものである。この場合、信頼される第3者に各署名が送られ、信頼される第3者が、署名ならびに現在のデータおよび時間を含むメッセージに署名する。署名者がその公開鍵を無効にする前にタイムスタンプが押されていた場合、署名は知れ渡っていないと見なされる。したがって、信頼される第3者の鍵は漏えいしないと想定すると、否認防止が保証される。ただし、この解決法は、信頼される第3者、たとえばタイム・スタンピング・サービスとの頻繁な対話を必要とするが、これは望ましいことではない。
他の可能な方法は、鍵を頻繁に変更する、すなわち日毎に異なる鍵ペアを使用し過去の日付のすべての秘密鍵を削除するものである。そうすると、ユーザがある日の鍵を無効にすることなくその日が過ぎた場合に、その鍵に関して作成されたすべての署名は、知れ渡っていないことがわかる。それには、やはり信頼される第3者との頻繁な対話が必要となるか、または公開鍵が多数となり、すなわち多数の公開鍵からなるリストが必要となる。フォワード・セキュア署名方式は、第4回ACMコンピュータおよび通信セキュリティ会議(ACM CCS)(1997年)でその著者によって発表された原稿「公開鍵暗号化についての2つの所見(Two remarks on public-key cryptography)」2000年9月においてR.アンダーソン(R.Anderson)によって導入され、「フォワード・セキュア・デジタル署名方式 A forward-secure digital signaturescheme」、マイケル・ウィナー(Michael Wiener)編、暗号学の進展(Advances in Cryptology)−クリプト99(CRYPTO'99)、LCNSの1666巻、431〜448頁、シュプリンガー出版、1999年において、ベラーレ(Bellare)およびマイナー(Miner)によって定式化された。フォワード・セキュア署名方式は、各期間ごとに、ただ1つの公開鍵および多数の秘密鍵を設けることにより、この問題を解決する。実際、ほとんどのフォワード・セキュア署名方式は、現在の期間の秘密鍵を、先行の期間の鍵から一方向的に導き出すことを可能にするものである。
原理上は、フォワード・セキュア署名方式は、どんな通常の署名方式からも得ることができ、すなわち、署名者が各期間に対する新しい秘密鍵および公開鍵を選択する。フォワード・セキュア署名方式の公開鍵は、それが有効な期間のうちは、1組の通常の公開鍵インデックスになる。メッセージに署名するために、署名者はその期間の秘密鍵を使用する。ある期間を過ぎると、署名者は、その個別の秘密鍵を削除する。この方式がフォワード・セキュアであることは簡単にわかる。ただし、この方式は、(公開および秘密の)格納の点から見るとむしろ非効率である。
しかし、現行のフォワード・セキュア署名方式には以下の問題がある。ハッカーが侵入した場合、この期間に作成されたすべての署名を取り消さなければならず、(真正の)署名者は、署名を再発行する必要がある。これに対する1つの解決法は、鍵の更新の複雑さが署名の複雑さに匹敵する場合のみに有効となる短い期間を用いることである。
R.アンダーソン(R. Anderson)、「公開鍵暗号化についての2つの所見(Tworemarks on public-key cryptography)」2000年9月、第4回ACMコンピュータおよび通信セキュリティ会議(ACM CCS)原稿(1997年) ベラーレ(Bellare)、マイナー(Miner)、「フォワード・セキュア・デジタル署名方式 Aforward-secure digital signature scheme」、暗号学の進展(Advances in Cryptology)−クリプト99(CRYPTO'99)、マイケル・ウィナー(MichaelWiener)編LCNSの1666巻、431〜448頁、シュプリンガー出版、1999年
上記のことから、より安全で効率的な改良されたフォワード・セキュア署名方式が求められている。この方式は、ハッカーの侵入に対し、過去の署名を再発行せずに直ちに対処することを可能にするものである。
本発明の第1の態様によれば、署名方式を使用して、接続されたコンピュータ・ノードのネットワークにおいて適用可能な秘密暗号鍵skおよび公開暗号鍵pkを提供する方法が提供される。この方法は第1のコンピュータ・ノードによって実行可能であり、2つのランダム因数値P,Qを選択し、選択された2つのランダム因数値P,Qを乗算して係数値(N)を求め、係数値Nに基づいて秘密基底値(secret base value)g',h',x'を選択することによって、秘密暗号鍵skを生成するステップを含み、秘密基底値g',h',x'は、秘密暗号鍵g',h',x'の一部をなす。この方法はさらに、I個の指数値e,…,eを選択し、指数値e,…,eおよび秘密基底値g',h',x'から公開基底値g,h,xを導くことによって、公開暗号鍵pkを生成するステップを含み、公開基底値g,h,x、および係数値Nは、公開暗号鍵g,h,x,Nの一部をなす。この方法はさらに、2つのランダム因数値P,Qを削除するステップと、ネットワーク内で公開暗号鍵g,h,x,Nを提供するステップを含み、公開暗号鍵g,h,x,N、および選択された指数値e,…,eの少なくとも1つが、ネットワーク内で検査のために第2のコンピュータ・ノードに送られるべきメッセージ上の署名値i,y,aを検査するために使用可能である。
本発明の第2の態様では、接続されたコンピュータ・ノードのネットワーク内でメッセージm上の署名値i,y,aを提供する方法が提供される。この方法は第1のコンピュータ・ノードで実行可能であり、第1の署名要素aを選択するステップと、I個の指数値e,…,eから指数値eiを選択するステップと、提供された秘密暗号鍵g'i,h'i,x'i、メッセージm、およびI個の指数値e,…,eから、第2の署名要素yを導き出すステップとを含み、これによって、第1の署名要素a、第2の署名要素y、および署名指数値eiが、メッセージmおよび提供された公開暗号鍵g,h,x,Nとの既知の関係を満たすようにされ、これらの署名値i,y,aは、第1の署名要素a、第2の署名要素y、および署名指数値eiへの署名参照iを含み、署名値i,y,aは、検証のためにネットワーク内で第2のコンピュータ・ノードに送信可能である。
本発明の第3の態様では、接続されたコンピュータ・ノードのネットワーク内でメッセージm上の署名値i,y,aを検証する方法が提供される。この方法は第2のコンピュータ・ノードで実行可能であり、第1のコンピュータ・ノードから署名値i,y,aを受け取るステップと、署名値i,y,aから署名指数値eiを導くステップと、署名指数値eiおよび署名値i,y,aの部分が、メッセージmおよび提供された公開暗号鍵g,h,x,Nとの既知の関係を満たすかどうかを検証し、満たさない場合は、署名値i,y,aを拒否するステップとを含み、これらの署名値i,y,aは、第1の署名要素a、I個の指数値e,…,e、提供された秘密暗号鍵g'i,h'i,x'iおよびメッセージmから生成される。
本発明の第4の態様では、署名値i,y,aに関係する秘密暗号鍵skが漏出した場合に、接続されたコンピュータ・ノードのネットワークにおいて署名値i,y,aの妥当性を知らせる方法が提供される。この方法は、指数値e,…,eの位数を確定するステップと、ネットワーク内で指数値e,…,eの記述および指数値e,…,eの位数を発行するステップと、ネットワーク内で指数値e,…,eのうちの1つに対する失効参照jを発行するステップとを含み、署名値i,y,aの妥当性が、失効参照j、指数値e,…,eの位数、提供された公開暗号鍵pkを使用することによって判定可能になる。
これら提示の方法は、証明可能安全性がある、すなわちその安全性がランダム・オラクル・モデルなどヒューリスティクでないものに依拠している、フォワード・セキュア署名方式の基礎となる。さらに、提示の方法はまた、セキュアで効率的な細粒度フォワード・セキュア署名の基礎となる。後者の方式では、ハッカーの侵入に対し直ちに対処することが可能になり、したがって過去の署名値がそれを再発行することなく引き続き有効であり、したがって漏出した鍵に基づく将来の署名値が識別できるようになる。言い換えれば、細粒度フォワード・セキュア署名方式を使用するときには、秘密暗号鍵が漏出した場合に、現在の期間に生成された署名値を再署名する必要がない。再署名は、再び各当事者に連絡し、場合によってはいくらかの再折衝を行う必要があるので、冗長である。
一般に、この提示の方法は、フォワード・セキュア署名方式の基礎となり、署名とも呼ばれる準備された各署名値は、昇順インデックスiとも見なされる昇順署名参照(ascending signature reference)iを持つ。このインデックスiは、それがいったん使用された後は、署名を行うのにそれより低いインデックスを再び使用することができないように、署名値i,y,aに付加される。こうすると、敵が侵入したときはいつでも、真正の署名者は、たとえば、現在の期間の失効メッセージの一部分として、現在のインデックスに関してある特別のメッセージを署名することによって、現在のインデックスを正しく告知することができる。したがって、先行の期間に作成されたすべての署名、ならびに告知されたインデックスまでの取り消された期間に作成されたすべての署名は、有効であり、つまり知れ渡らないことが理解されよう。
細粒度フォワード・セキュア署名方式では、通常のフォワード・セキュア署名方式におけるように期間を使用するのではなく、新しいメッセージが署名されるといつでも秘密暗号鍵を更新する。署名者のシステムに侵入があり、侵入検出システムと呼ばれるツールの存在により直ちに通知することができる場合、公開暗号鍵g,h,x,Nを無効にし、最近使用したインデックスiを発行することができる。したがって、他のコンピュータ・ノードが、既に発行された署名の妥当性について通知を受けることができる。これにより、他の当事者が、過去の署名の再発行を必要とせずに既に漏出した提供された秘密暗号鍵g'i,h'i,x'iを使用して署名をするのを防止することができる。
指数値e,…,eの記述をネットワーク内で提供することができる。これにより、すべての関係当事者が署名の妥当性を検証することが可能になる。
侵入が検出された場合に、署名値i,y,aの妥当性を伝えることを可能にするために、選択された指数値e,…,eの位数を確定することができる。これにより、提示の方式の細粒度特性が可能になる。
各指数値e,…,eは、多くとも1つの署名値i,y,aに適用することができ、その署名値によりセキュア署名方式を提供することが可能になる。
署名要素yを導出するステップがさらに、提供された公開暗号鍵g,h,x,N、提供された秘密暗号鍵g'i,h'i,x'i、および指数値e,…,eを使用することにより、署名基底値gi,hi,xiを導き出すステップを含む場合、より効率的な署名の生成を達成することができる。
提供された秘密暗号鍵g'i,h'i,x'i、および選択された署名指数値eiから新しい秘密暗号g'i+1,h'i+1,x'i+1が導かれる場合、フォワードセキュリティが達成できるという利点がもたらされる。
本発明の好ましい実施形態を、単に例として以下の概略図を参照し下記で詳しく説明する。
図面は、単に説明のために示したものにすぎず、必ずしも本発明の実際の例を原寸に比例して表したものではない。
用語集
下記は、説明を理解する助けとなる非公式の定義である。記号は、傍らに示す用語に関するもので、ここでの記述の範囲内で用いられる。
P,Q ランダム因数値、好ましくは素数
N 係数値
k Nのビット数
,…,e 指数値
i 署名指数値
W シード、指数値の記述の部分
QR における平方の部分群
l セキュリティ・パラメータ
{0,1} 長さlのビット・ストリング
g',h',x'秘密暗号鍵(sk)の部分である秘密基底値
g'i,h'i,x'i 提供された秘密暗号鍵
g'i+1,h'i+1,x'i+1 新しいまたは更新された秘密暗号鍵
g,h,x 公開基底値を形成する
g,h,x,N 公開暗号鍵(pk)または提供された公開暗号鍵(pk)
a 第1の署名要素
y 第2の署名要素
i 署名指数値eiへの署名参照
j 失効参照
j' 署名参照
I 生成可能な署名値の数
i,y,a 署名値を形成する
m メッセージ
,p,p,p 第1、第2、第3、第4のコンピュータ・ノード
開始時間
T 期間
持続時間
s 期間あたり生成可能な署名値の数
全般的に図面を参照して、ネットワークにおける細粒度フォワード・セキュア署名方式の特徴を下記でさらに詳細に説明する。
通常のコンピュータ・システム2の例を示す図1を参照する。このシステムは、通信回線5を介してネットワークに接続された第1、第2、第3、第4のコンピュータ・ノードp,p,p,pを含んでいる。各コンピュータ・ノードp,p,p,pは、チップ上のコンピュータやウェアラブル・コンピュータから大規模なコンピュータ・システムまで当技術分野で知られるどんなタイプのコンピュータ装置またはネットワーク装置でもよい。その通信回線は、データまたはメッセージをあるコンピュータ・ノードから他のコンピュータ・ノードに送信するための通常知られるどんな手段でもよい。たとえば、通信回線は、コンピュータ・ノードのp,p,p,pの各対の間の単一の双方向通信回線5でも、コンピュータ・ノードのp,p,p,pの各対の間の各方向に1本ある単一方向回線でもよい。通常のコンピュータ・システム2は、フォワード・セキュア署名方式、および細粒度フォワード・セキュア署名方式を形成し可能にする以下の説明を容易にするために示したものである。
鍵の生成
図2は、接続されたコンピュータ・ノードのネットワークにおいて適用できる秘密暗号鍵および公開暗号鍵を提供するための概略流れ図である。実施されるステップが、それぞれボックス内に示され番号が付けられている。同じ参照番号または記号は、同じまたは同様の部分を示すのに使用される。
ここでは、秘密鍵とも呼ばれる秘密暗号鍵sk、および公開鍵とも呼ばれる公開暗号鍵の生成は、第1のコンピュータ・ノードpで行われる。
まず、秘密暗号鍵skを生成するのに、20、21で示される2つのランダム因数値P,Qを選択する。次いで、この2つの選択されたランダム因数値P,Qを乗算し、これにより22に示す係数値Nを得る。次いでボックス23に示すように、係数値Nに基づいて秘密基底値g',h',x'を選択する。秘密基底値g',h',x'は、やはりg',h',x'として示される秘密暗号鍵skの一部になっている。
次に、公開暗号鍵pkを生成するために、ボックス24に示すI個の指数値e,…,eを選択する。指数値e,…,eおよび秘密基底値g',h',x'から、25に示す公開基底値g,h,xが導かれる。公開基底値g,h,xおよび係数値Nは、26に示すg,h,x,Nとも示される公開暗号鍵pkの一部を形成する。27に示すように、2つのランダム因数値P,Qは、セキュリティ上の理由により後で削除すべきである。28に示す公開暗号鍵g,h,x,Nは、ネットワーク内に提供され、したがってコンピュータ・ノードp,p,pは、この鍵にアクセスできる。後で、公開暗号鍵g,h,x,Nと、選択された指数値e,…,eの少なくとも1つを使用して、ネットワーク内でたとえば第2のコンピュータ・ノードpに検証の目的で送信されるメッセージm上の署名とも呼ばれる署名値i,y,aを、検証することができる。
秘密暗号鍵skおよび公開暗号鍵pkの生成を、下記では、いくらかより数学的な詳細を伴う実施形態として提示する。まず、kビットサイズのランダムRSA係数値Nを選択する。係数値Nは、2つの安全な素数(safe prime)の積であることが好ましい。QRは、Z 内の平方の部分群を表し、したがってすべての群演算はこの群において行われることになる。I個のランダムで一意のl+1ビット素数指数値e,…,eを作成するために、ランダム・シードWが選択され、ある擬似乱数ジェネレータに適用することによって使用される。(公開暗号鍵pkの一部分である)このシードWの発行により、任意のコンピュータ・ノードp,p,pが、指数値e,…,eを生成することが可能になる。すべての指数値e,…,eを公開暗号鍵pkの一部分として発行することも可能である。さらに、異なる署名者が同じ指数を使用することができるので、それらを、ある信頼される機関から発行することもできる。さらに、秘密基底値g',h',x'は、QRからランダムに選択される。それは、次のように計算される。
Figure 0004367938
ただし、公開暗号鍵pkは、pk:=N、g,h,x、Wである。秘密暗号鍵skは、sk:=g',h',x'である。i:=0にセットされる。
署名
図3は、接続されたコンピュータ・ノードのネットワーク内でメッセージm上で署名値を提供する概略流れ図を示す。公開暗号鍵pkがまだ無効にされていない場合、メッセージm上の署名値i,y,aは、第1のコンピュータ・ノードpで実行される。第1のコンピュータ・ノードpは、署名者または署名側とも呼ばれる。まず、30に示すように、第1の署名要素aが選択される。さらに、ボックス31に示すように、署名指数値eiが、I個の指数値e,…,eから選択される。ボックス32に示す第2の署名要素yは、33に示す提供された秘密暗号鍵g'i,h'i,x'iと、34に示すメッセージmと、I個の指数値e,…,eから導かれ、したがって、第1の署名要素a、第2の署名要素y、および署名指数値eiは、既知の関係を満たすようになる。その関係は、メッセージmと、g,h,x,Nを含む提供された公開暗号鍵pkとを有する検証方程式として表すことができる。35に示す署名値i,y,aは、最終的に、第1の署名値a、第2の署名値y、および、署名指数値eiへの署名参照iを含む。次いで、署名値i,y,aは、ネットワーク内でたとえばコンピュータ・ノードpに検証のために送られる。
署名値i,y,aの生成について、以下でいくらかより数学的な側面に関して説明する。メッセージmが署名されるものと仮定する。たとえば秘密暗号鍵skが漏えいしたため、公開暗号鍵pkが取り消された場合、またはi>Iすなわち生成可能な署名値の最大数に達した場合、署名することが打ち切られる。秘密暗号鍵ski=g'i,h'i,x'iが与えられた場合、要素gi,hi,xiを計算することができ、次式のようになる。
Figure 0004367938
次いで、ランダムでa∈{0,1}である第1の署名要素aを選択し、次式を計算する。
Figure 0004367938
メッセージm上の署名は、この場合i,y,aである。
署名をした後、次式の計算を行い、
Figure 0004367938
次いで秘密暗号鍵skをski+1:=(g'i+1,h'i+1,x'i+1)にセットすることにより、秘密暗号鍵skを更新し、また、i:=i+1に更新する。
署名の検証
図4は、署名値i,y,aを検証するための概略流れ図を示す。ここでは、メッセージ上の署名値i,y,aの検証が、第2のコンピュータ・ノードpで行われる。ボックス40に示す署名値i,y,aを、第2のコンピュータ・ノードpが第1のコンピュータ・ノードpから受信する。次いで、第2のコンピュータ・ノードpは、ボックス41に示す署名指数値eiを署名値i,y,aから導く。ボックス42に示すように、署名指数値eiが、I個の指数値e,…,eの要素であるか否かを検証することができる。ボックス43に示す指数値e,…,eの記述は、ネットワーク内でアクセス可能である。署名指数値eiがI個の指数値e,…,eの要素でない場合、署名値i,y,aを拒否することができる。ボックス44に示すように、署名指数値ei、および署名値の部分i,y,aが、既知の関係、すなわち、メッセージm、およびボックス43に示す提供された公開暗号鍵g,h,x,Nを有する検証方程式を満たすか否かを検証する。この検証が失敗した場合、署名値i,y,aは拒否される。検証42および44の結果は、「T」および「F」の形で示される「真」または「偽」であり、「偽」すなわち「F」は、署名値i,y,aの拒否となり「真」すなわち「T」は、その受諾となる。署名値i,y,aは、第1の署名要素a、I個の指数値e,…,e、提供された秘密暗号鍵g'i,h'i,x'i、およびメッセージmから生成されたと判定することができる。
他の例では、検証者(verifier)とも呼ばれる第2のコンピュータ・ノードpが、i,y,a,Wが、署名すなわちメッセージm上の署名値であるか否かを検査する。まず、0≦i≦Iであるかどうかが検査される。次に、第2のコンピュータ・ノードpが、やはり署名値i,y,a,Wに含まれる署名参照iおよびシードWから、署名指数値eiを生成する。最後に、検証者すなわち第2のコンピュータ・ノードpは、下記の既知の関係すなわち検証方程式が満たされる場合に、署名を受諾する。
Figure 0004367938
失効
図5は、署名値i,y,aと関係する54に示す秘密暗号鍵skが漏出した場合に、接続されたコンピュータ・ノードのネットワーク内で、署名値i,y,aの妥当性を伝えるための概略流れ図を示す。署名値i,y,aの妥当性は、ネットワーク内で以下のように伝えられる。50に示すように指数値e,…,eの位数が確定され、51に示すように、その記述がネットワーク内に提供される。51に示すように、指数値e,…,eの位数も、ネットワーク内で発行される。さらに、52に示すように、指数値e,…,eのうちの1つへの失効参照jもネットワーク内で発行され、したがって、失効参照j、指数値e,…,eの位数、および55に示す提供された公開暗号鍵pkを使用することによって、53に示すように署名値i,y,aの妥当性が判定可能になる。
ランダムオラクルなしで証明可能安全性のあるフォワード・セキュア署名方式および細粒度フォワード・セキュア署名方式として、提示の署名方式をどのように使用するかを示すいくらかより簡潔な実施形態を以下に示す。
フォワード・セキュア署名方式
提示の署名方式は、期間あたり1つのメッセージしか署名できないという特定の性質を有するフォワード・セキュア署名方式として使用することができる。つまり、各インデックスiを、メッセージにではなく期間に割り当てる。
もちろん、期間あたり単一のメッセージしか署名できないのでは、あまり実用的ではない。しかし、通常の任意の署名方式Sを提示の署名方式と一緒に使用して、次に述べるように、期間あたり多数のメッセージに署名することができるフォワード・セキュア署名方式を得ることができる。
各期間Ti(ただし1≦i≦I)ごとに、新しいインスタンスすなわち公開鍵と秘密鍵の対S(Siと呼ぶ)を生成し、その公開鍵pkiをi番目のメッセージとして提示の署名方式で署名する。
期間Tiにおいてメッセージmに署名するために、次いで署名方式Siを使用してメッセージmに署名することができ、その結果、署名Sが得られる。したがって、メッセージm上の最終の署名は、署名S、公開鍵pki、および提示の署名方式にインデックスiを適用して実施されるその公開鍵に基づく署名を含む。
細粒度フォワード・セキュア署名方式
上記に提示の署名方式は、侵入が発生したことを主張し、署名者がその署名に使用したものより小さいインデックスを発行することにより、不正な署名者が過去に作成された署名を無効化するのを防ぐことができない。署名者が、署名の生成後に、侵入の発生を主張することによってその間に署名を依然として取り消すことができる若干の時間(たとえば1時間)を与えられることは避けられないように思われる。これは、署名者に、侵入が起きたのを理解しそれに反応するためにいくらかの時間を与えるべきだからである。下記では、この問題を解決するための3つの例I、II、IIを提示する。
I.2レベル方式
提示の署名方式のA方式と称する1つの例を使用する。この場合、各インデックスは期間を示し、つまりここではインデックスiはt+i*tからt+(i+1)tまでの期間Tiを示す(ただしtは開始時間であり、tは持続時間である)。この方式の公開鍵は、ユーザの公開鍵となる。さらに、公開鍵の部分として1つのパラメータjが発行され、このパラメータjは、ユーザが秘密暗号鍵の漏えいに気付くのにかかり得る時間を制御する。
次に、各期間ごとに、提示の署名方式のBi方式と称する第2の例が使用され、その期間のインデックスiについてA方式を使用してその公開鍵に署名する。この後、A方式の秘密鍵が更新され、この方式の現在の新しいインデックスは、i+1となる。
現在の期間Tiのj番のメッセージに署名するために、インデックスjを有するBi方式が使用される。メッセージ上の署名は、この署名、Bi方式の公開鍵、および、A方式で作成された公開鍵に基づく署名を含む。さらに、Bi方式の秘密鍵への署名が更新された後、新しい現インデックスは、j:=j+1である。
署名者は、自身の鍵を無効にしたいときはいつでも、たとえば期間Ti'に、この旨を示すここではj'である現在のインデックスを使用しBi方式で署名された所定のメッセージを、信頼される第3者(以下ではTTPと略記する)に送る。このような署名は、失効署名(revocation signature)と呼ばれる。TTPは、署名を検証し、現在の期間がTi'であるかどうかを検査する。そうである場合、TTPは失効を承認し、署名を適切に発行する。署名者は、同じ期間中に何回か失効を行うことを妨げられることはない。
失効が発生しなかった場合、または、i≦i'かつj≦j'−jであり、インデックスi'およびj'を有する失効が発生した場合(ただし、i'およびj'は、TTPにより発行された失効署名のインデックスのうちで最小のインデックスである)、インデックスiおよびjを有するユーザの署名は、有効と見なされる。ある署名が署名された期間が過ぎるまでは、その署名が有効であるか否かは確かではない。ただし、どのフォワード・セキュア署名方式でもこのことは同様である。
署名者が、1つの鍵を何回も失効させることができるのは、そうでなければ、その秘密鍵を知っている敵が、署名者の現在のインデックスよりも大きいインデックスj'を有する失効メッセージを送ることができるからである。このことから細粒度フォワード・セキュア署名方式が生まれたことが容易にわかる。提示の署名方式の代わりに、A方式としてどんなフォワード・セキュア署名方式を利用することもできる。
II.公開アーカイブの使用
第2の例では、前記の例におけるA方式を、公開アーカイブで置き換える。このアーカイブからメッセージを削除することはできず、メッセージがアーカイブによって受け取られるちょうどその時間と一緒にメッセージが発行されると仮定される。
このようなアーカイブが与えられた場合、細粒度フォワード・セキュア署名方式は、提示の署名方式の1つの例だけを使用して以下のように達成される。メッセージm上の署名は、現在のインデックスを使用して提示の署名方式で行われる。署名の後、秘密鍵が更新される。
各期間の終わりに、提示の署名方式を適用し、現在のインデックス、ここではjを使用することによって、ユーザは、所定のメッセージ、たとえば≪期間Tiに使用された最終インデックス≫に署名し、次いで秘密鍵を更新し、このインデックス署名を公開アーカイブに送る。公開アーカイブは、その署名を受け取った時間と一緒にメッセージを送る。
署名者が自身の鍵を無効にしたいときはいつでも、たとえば期間Ti'に、署名者は、この旨を指示する好ましくは所定のメッセージを、現在のインデックスj'を使用して提示の署名方式で署名して、TTPに送る。TTPは、署名を検証し、T'iが現在の期間であるかどうか、また、署名者が先行期間に公開アーカイブに提供したインデックス署名のインデックスjよりもj'が小さくないかどうかを検査する。小さくない場合、TTPが失効を承認し、適切に署名を発行する。さらに、署名者は、同じ期間中に何度も失効を行うことを妨げられない。
この第2の例では、失効にされなかった場合、あるいは、失効が行われi<j'−jもしくはi<jである場合(ただし、j'はTTPによって発行された失効署名のうち最小のインデックスであり、jは、鍵が失効にされた期間に先行する期間に署名者が公開アーカイブに提供したインデックス署名のインデックスjである)は、インデックスiを有するユーザの署名は有効と見なされる。
この例の方式では、ある期間に署名された署名が有効であることは、その期間が過ぎ、署名者がアーカイブ内のより高いインデックスを有する署名を発行するまで、確かではない。第1の例の解決策と比べて、第2の解決策は、署名がより短いという利点を持つ。
実用上の理由で、アーカイブ内にインデックス署名を発行し失効を行うために、署名者に、期間が過ぎた後いくらかの時間を与えることができる。こうすると、期間の最後に侵入に対処できるようになる。その結果、署名者は、期間ごとに公開アーカイブ内にいくつかのインデックス署名を置くことができるようになり、最小のインデックスを有する署名が、カウントされる署名である。失効が行われなかった場合、または、失効が行われたかi<j'−j(ただしj'は失効署名のインデックス)である場合、インデックスiを有する署名は、有効とカウントされる。
III.期間あたりs個の署名を可能にする
第3の例では、提示の署名方式の例が1つだけ使用される。期間あたり厳密にs個の署名を可能にすることにより、インデックスが期間に束縛される。パラメータsは、tおよびtと一緒に公開鍵の部分として発行される。
したがって、期間Tiに、インデックスi・s,…,(i+1)s−1を、署名するのに使用することができる。鍵を失効させるために、署名者は、現在のインデックスj'で作成した失効署名をTTPに送る。TTPは、署名を検証し署名のインデックスが現在の期間と合致した場合、それを発行する。
失効が発生しなかった場合、または、インデックスj'を有する失効署名が発行され、jが期間j'より前の期間に属するか、もしくはj<j'−jである場合、インデックスjを有する署名は、有効と見なされる。
第3の例の背景となる原理は、提示の署名方式でメッセージに署名する作業が、秘密鍵を更新することによって支配されることである。したがって、計算能力が与えられた場合にある期間にいくつの署名を発行することができるかを計算することができ、sをその数にセットする。その場合は、たとえメッセージに署名がされなくても、秘密鍵の更新を絶えず実行することになる。この手法では、システムの応答の挙動はあまり変更されないが、公開アーカイブを使用せず、第1の例におけるより署名は小さくなる。
先に開示したどの実施形態も、ここで示しまたは説明した他の1つまたは複数の実施形態と組み合わせることができる。これらの実施形態の1つまたは複数の特徴についてもそれが可能である。
この文脈におけるコンピュータ・プログラム手段、またはコンピュータ・プログラムは、特定の機能を、直接的に、あるいは、a)他の言語、コード、もしくは表記への変換、b)異なる材料形態での複製のいずれか一方または両方を行った後で、情報処理能力を有するシステムに実施させることを目的とする任意の言語、コード、または表記における1組の命令の任意の表現を意味する。
接続されたコンピュータ・ノードの典型的なネットワークを示す図である。 接続されたコンピュータ・ノードのネットワークにおいて適用可能な秘密暗号鍵および公開暗号鍵を提供するための概略流れ図である。 接続されたコンピュータ・ノードのネットワーク内でメッセージ上の署名値を提供するための概略流れ図である。 署名値を検証するための概略流れ図である。 接続されたコンピュータ・ノードのネットワーク内で署名値に関係する秘密暗号鍵が漏出した場合に署名値の妥当性を伝えるための概略流れ図である。

Claims (11)

  1. 互いに接続された複数のコンピュータ・ノードを有するネットワークにおいて署名方式を使用して秘密暗号鍵(sk)および公開暗号鍵(pk)を提供する方法であって、前記複数のコンピュータ・ノードのうちの第1のコンピュータ・ノードで、
    2つのランダム因数値(P,Q)を選択し、前記2つの選択されたランダム因数値(P,Q)を乗算して、係数値(N)を得、該係数値(N)に基づいて秘密基底値(g’,h’,x’)を選択して、前記秘密基底値(g’,h’,x’)を、前記秘密暗号鍵(g’,h’,x’)の一部として、前記秘密暗号鍵(sk)を生成するステップと、
    (I)個の指数値(e1,…,eI)を選択し、前記指数値(e1,…,eI)および前記秘密基底値(g’,h’,x’)によって公開基底値(g,h,x)を導き、前記公開基底値(g,h,x)および前記係数値(N)を、前記公開暗号鍵(g,h,x,N)の一部として、前記公開暗号鍵(pk)を生成するステップと、
    前記2つのランダム因数値(P,Q)を削除するステップと、
    前記ネットワーク内に前記公開暗号鍵(g,h,x,N)を提供するステップとが実行され、
    前記第1のコンピュータ・ノードが、前記公開暗号鍵(g,h,x,N)および少なくとも1つの前記選択された指数値(e1,…,eI)を、メッセージ(m)上の署名値(i,y,a)を検証するため前記ネットワーク内で第2のコンピュータ・ノードに送り、
    前記メッセージ(m)上の署名値(i,y,a)を検証する際、前記複数のコンピュータ・ノードのうちの第2のコンピュータ・ノードで、
    前記署名値(i,y,a)を、前記第1のコンピュータ・ノードから受け取るステップと、
    前記署名値(i,y,a)から署名指数値(ei)を導くステップと、
    前記署名指数値(ei)および前記署名値(i,y,a)の部分が、前記メッセージ(m)および提供された公開暗号鍵(g,h,x,N)との既知の関係を満たすかどうか検証し、満たさない場合は、前記署名値(i,y,a)を拒否するステップとを実行する方法。
  2. 前記第1のコンピュータ・ノードは、ネットワーク内に前記指数値(e1,…,eI)の記述を提供するステップをさらに実行する請求項1に記載の方法。
  3. 前記第1のコンピュータ・ノードは、侵入を検出した場合に、前記署名値(i,y,a)の有効性を伝えるため、前記選択された指数値(e1,…,eI)の位数を確定するステップをさらに実行する請求項1または2に記載の方法。
  4. 前記メッセージ(m)上に署名値(i,y,a)を提供する際、前記第1のコンピュータ・ノードは、
    第1の署名要素(a)を選択するステップと、
    (I)個の指数値(e1,…,eI)から署名指数値(ei)を選択するステップと、
    前記第1の署名要素(a)、第2の署名要素(y)、および前記署名指数値(ei)が、前記メッセージ(m)および提供された公開暗号鍵(g,h,x,N)との既知の関係を満たすように、提供された秘密暗号鍵(g’i,h’i,x’i)、前記メッセージ(m)、および前記(I)個の指数値(e1,…,eI)から第2の署名要素(y)を導くステップとを実行し、
    前記署名値(i,y,a)が、前記第1の署名要素(a)、前記第2の署名要素(y)、および、前記指数値(ei)対する署名参照(i)を含み、
    前記第1のコンピュータ・ノードは、前記署名値(i,y,a)を前記第2のコンピュータ・ノードに送信する請求項1に記載の方法。
  5. 前記第2の署名要素(y)を導くステップは、提供された公開暗号鍵(g,h,x,N)、前記提供された秘密暗号鍵(g’i,h’i,x’i)、および前記指数値(e1,…,eI)を使用して、署名基底値(gi,hi,xi)を導くステップをさらに含む請求項4に記載の方法。
  6. 前記第1のコンピュータ・ノードは、前記提供された秘密暗号鍵(g’i,h’i,x’i)、および前記選択された署名指数値(ei)から新しい秘密暗号鍵(g’i+1,h’i+1,x’i+1)を導くステップをさらに実行する請求項4または5に記載の方法。
  7. 前記署名値(i,y,a)に関係する秘密暗号鍵(sk)が漏出した場合に、前記署名値(i,y,a)の有効性を伝える際、前記第1のコンピュータ・ノードが、
    前記指数値(e1,…,eI)の位数を確定するステップと、
    前記ネットワーク内に前記指数値(e1,…,eI)の記述および前記指数値(e1,…,eI)の前記位数を発行するステップと、
    前記署名値(i,y,a)の前記有効性を、失効参照(j)、前記指数値(e1,…,eI)の前記位数、および提供された公開暗号鍵(pk)を用いて決定するため、前記ネットワーク内に、前記指数値(e1,…,eI)のうちの1つに対して失効参照(j)を発行するステップとを実行する請求項1に記載の方法。
  8. 前記第1のコンピュータ・ノードは、前記各指数値(e1,…,eI)を、多くても1つの署名値(i,y,a)に適用する請求項1ないし7のいずれかに記載の方法。
  9. 請求項1ないし8のいずれか一項に記載の方法における前記ネットワーク内の前記第1のコンピュータ・ノードにおける機能と、前記第2のコンピュータ・ノードにおける機能とを、それぞれのコンピュータにおいて実現させるためのプログラム。
  10. 請求項9記載のプログラムが記録され、前記第1のコンピュータ・ノード及び前記第2のコンピュータ・ノードにおいて読み取り可能なコンピュータ可読記録媒体。
  11. 互いに接続された複数のコンピュータ・ノードの各々がネットワーク・デバイス(pi)であるネットワークにおいて、署名方式を使用して秘密暗号鍵(sk)および公開暗号鍵(pk)を提供するネットワークシステムであって、
    複数の前記ネットワーク・デバイス(pi)のうちの第1のネットワーク・デバイス(pi)は、
    2つのランダム因数値(P,Q)を選択し、前記2つの選択されたランダム因数値(P,Q)を乗算して、係数値(N)を得、該係数値(N)に基づいて秘密基底値(g’,h’,x’)を選択して、前記秘密基底値(g’,h’,x’)を、前記秘密暗号鍵(g’,h’,x’)の一部として、前記秘密暗号鍵(sk)を生成するステップと、(I)個の指数値(e1,…,eI)を選択し、前記指数値(e1,…,eI)および前記秘密基底値(g’,h’,x’)によって公開基底値(g,h,x)を導き、前記公開基底値(g,h,x)および前記係数値(N)を、前記公開暗号鍵(g,h,x,N)の一部として、前記公開暗号鍵(pk)を生成するステップと、前記2つのランダム因数値(P,Q)を削除するステップと、前記ネットワーク内に前記公開暗号鍵(g,h,x,N)を提供するステップと、前記公開暗号鍵(g,h,x,N)および少なくとも1つの前記選択された指数値(e1,…,eI)を、メッセージ(m)上の署名値(i,y,a)を検証するため前記ネットワーク内で第2のネットワーク・デバイス(pi)に送るステップとを実行するための第1のプログラムが記録された第1のコンピュータ可読記録媒体と、
    前記第1のコンピュータ可読記録媒体に記録された第1のプログラムを実行し、前記ネットワーク内で交換されるメッセージへアクセスする第1のプロセッサと、を有し、
    前記第2のネットワーク・デバイス(pi)は、
    前記メッセージ(m)上の署名値(i,y,a)を検証する際、前記署名値(i,y,a)を、前記第1のネットワーク・デバイス(pi)から受け取るステップと、前記署名値(i,y,a)から署名指数値(ei)を導くステップと、前記署名指数値(ei)および前記署名値(i,y,a)の部分が、前記メッセージ(m)および提供された公開暗号鍵(g,h,x,N)との既知の関係を満たすかどうか検証し、満たさない場合は、前記署名値(i,y,a)を拒否するステップとを実行するための第2のプログラムが記録された第2のコンピュータ可読記録媒体と、
    前記第2のコンピュータ可読記録媒体に記録された第2のプログラムを実行し、前記ネットワーク内で交換されるメッセージへアクセスする第2のプロセッサと、を有する、ネットワークシステム。
JP2004525662A 2002-07-29 2003-07-07 細粒度フォワード・セキュア署名の方法、コンピュータ・プログラム要素、コンピュータ・プログラムおよびネットワーク・デバイス Expired - Fee Related JP4367938B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP02405658 2002-07-29
PCT/IB2003/003187 WO2004014020A1 (en) 2002-07-29 2003-07-07 Groups signature scheme

Publications (2)

Publication Number Publication Date
JP2005535206A JP2005535206A (ja) 2005-11-17
JP4367938B2 true JP4367938B2 (ja) 2009-11-18

Family

ID=31198002

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004525662A Expired - Fee Related JP4367938B2 (ja) 2002-07-29 2003-07-07 細粒度フォワード・セキュア署名の方法、コンピュータ・プログラム要素、コンピュータ・プログラムおよびネットワーク・デバイス

Country Status (9)

Country Link
US (2) US20060233364A1 (ja)
EP (1) EP1540882B1 (ja)
JP (1) JP4367938B2 (ja)
KR (1) KR100745436B1 (ja)
CN (1) CN1672358B (ja)
AU (1) AU2003247053A1 (ja)
CA (1) CA2494078C (ja)
DE (1) DE60318073T2 (ja)
WO (1) WO2004014020A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7711965B2 (en) * 2004-10-20 2010-05-04 Intel Corporation Data security
US8848924B2 (en) * 2008-06-27 2014-09-30 University Of Washington Privacy-preserving location tracking for devices
CN102006165B (zh) * 2010-11-11 2012-11-07 西安理工大学 基于多变量公钥密码对消息匿名环签名的方法
CN102006166B (zh) * 2010-11-11 2013-01-02 西安理工大学 基于多变量多项式对消息匿名环签名的方法
CN102006167B (zh) * 2010-11-11 2013-03-13 西安理工大学 基于代数的对消息匿名环签名的方法
US8763075B2 (en) * 2011-03-07 2014-06-24 Adtran, Inc. Method and apparatus for network access control
US8699715B1 (en) * 2012-03-27 2014-04-15 Emc Corporation On-demand proactive epoch control for cryptographic devices
US9078144B2 (en) * 2012-05-02 2015-07-07 Nokia Solutions And Networks Oy Signature enabler for multi-vendor SON coordination
DE102014018867A1 (de) * 2014-12-16 2016-06-16 Giesecke & Devrient Gmbh Einbringen einer Identität in ein Secure Element
KR101750208B1 (ko) 2016-04-28 2017-07-03 한양대학교 산학협력단 빠른 서명 생성이 가능한 포워드 시큐어 전자 서명 방법 및 이를 사용하는 포워드 시큐어 전자 서명 생성 장치
US10326753B2 (en) 2016-06-23 2019-06-18 International Business Machines Corporation Authentication via revocable signatures
DE102018111081A1 (de) 2018-05-08 2019-11-14 Uniscon Universal Identity Control Gmbh Verfahren zum Sichern eines Datenaustausches in einer verteilten Infrastruktur
KR102101557B1 (ko) * 2018-07-16 2020-04-16 한양대학교 산학협력단 객체 인식 기반 영상 인증 방법 및 그 장치
CN109743171B (zh) * 2018-12-06 2022-04-12 广州博士信息技术研究院有限公司 一种解决多方数字签名、时间戳及加密的密钥串联方法
KR102283160B1 (ko) 2019-06-27 2021-07-28 한양대학교 산학협력단 아이디 기반 키 발급을 지원하는 포워드 시큐어 전자 서명 방법 및 그 장치
USD1012808S1 (en) * 2021-10-27 2024-01-30 Citic Dicastal Co., Ltd. Vehicle wheel

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4996711A (en) * 1989-06-21 1991-02-26 Chaum David L Selected-exponent signature systems
US20020013898A1 (en) * 1997-06-04 2002-01-31 Sudia Frank W. Method and apparatus for roaming use of cryptographic values
WO1997004376A1 (en) * 1995-07-20 1997-02-06 Dallas Semiconductor Corporation Secure module with microprocessor and co-processor
US5675649A (en) * 1995-11-30 1997-10-07 Electronic Data Systems Corporation Process for cryptographic key generation and safekeeping
AU9426598A (en) * 1997-10-14 1999-05-03 Certicom Corp. Key validation scheme
KR19990053065A (ko) * 1997-12-23 1999-07-15 정선종 이산대수 문제에 근거한 디지탈 다중서명 방법
US6304658B1 (en) * 1998-01-02 2001-10-16 Cryptography Research, Inc. Leak-resistant cryptographic method and apparatus
JP3659791B2 (ja) 1998-03-23 2005-06-15 インターナショナル・ビジネス・マシーンズ・コーポレーション 小時間鍵生成の方法及びシステム
EP1257776A2 (en) * 2000-01-13 2002-11-20 Beamhit, LLC Firearm simulation and gaming system and method for operatively interconnecting a firearm peripheral to a computer system
JP2001211155A (ja) * 2000-01-25 2001-08-03 Murata Mach Ltd 共通鍵生成方法,共通鍵生成装置及び暗号通信方法
US7093133B2 (en) * 2001-12-20 2006-08-15 Hewlett-Packard Development Company, L.P. Group signature generation system using multiple primes
US7400732B2 (en) * 2002-07-25 2008-07-15 Xerox Corporation Systems and methods for non-interactive session key distribution with revocation
KR100453113B1 (ko) * 2002-08-12 2004-10-15 학교법인 한국정보통신학원 결정적 디피-헬만군에서id에 기반한 디지털 서명 및 그인증 방법
DE602004006373T2 (de) * 2004-03-02 2008-01-17 France Telecom Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften
JP3936721B2 (ja) * 2005-07-29 2007-06-27 株式会社日立コミュニケーションテクノロジー 光アクセスシステム、光加入者装置及び光集線装置

Also Published As

Publication number Publication date
US20090316886A1 (en) 2009-12-24
WO2004014020A1 (en) 2004-02-12
DE60318073D1 (de) 2008-01-24
CA2494078C (en) 2010-11-23
US20060233364A1 (en) 2006-10-19
CN1672358B (zh) 2010-07-14
JP2005535206A (ja) 2005-11-17
DE60318073T2 (de) 2008-12-11
KR20050032567A (ko) 2005-04-07
AU2003247053A1 (en) 2004-02-23
EP1540882B1 (en) 2007-12-12
CA2494078A1 (en) 2004-02-12
CN1672358A (zh) 2005-09-21
EP1540882A1 (en) 2005-06-15
US8139767B2 (en) 2012-03-20
KR100745436B1 (ko) 2007-08-02
WO2004014020A8 (en) 2004-04-22

Similar Documents

Publication Publication Date Title
US8139767B2 (en) Fine-grained forward-secure signature scheme
EP3130104B1 (en) System and method for sequential data signatures
JP5468157B2 (ja) 公開鍵を検証可能に生成する方法及び装置
US8744077B2 (en) Cryptographic encoding and decoding of secret data
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
JP4844281B2 (ja) ドキュメント管理装置及びプログラム
US20090327732A1 (en) Long-term secure digital signatures
US9882890B2 (en) Reissue of cryptographic credentials
Khedr et al. Cryptographic accumulator-based scheme for critical data integrity verification in cloud storage
JP2002251136A (ja) 分散ディジタル署名作成方法及び装置及び分散ディジタル署名付ディジタル文書作成方法及び装置及び分散ディジタル署名作成プログラム及び分散ディジタル署名作成プログラムを格納した記憶媒体
JP2010278482A (ja) 情報処理装置、電子署名生成システム、電子署名用の鍵生成方法、情報処理方法、及びプログラム
US20080141035A1 (en) Limited Blind Signature System
JP5471444B2 (ja) コンテンツの公開システム及び該システムにおける公開コンテンツの保証方法
US20040153652A1 (en) Method, apparatus, system, and program for creating ring signature
CN115885497A (zh) 数字签名
Kim et al. Remark on Shao et al.'s Bidirectional Proxy Re-signature Scheme in Indocrypt'07.
CN111314059B (zh) 账户权限代理的处理方法、装置、设备及可读存储介质
Li et al. Attribute-based anonymous credential: Delegation, traceability, and revocation
Konashevych Data insertion in blockchain for legal purposes. How to sign contracts using blockchain
KR100654933B1 (ko) 사용자의 패스워드 입력에 따라서 동적 생성되는 인증서를인증하는 인증시스템 및 인증방법
Priyadarshini et al. Digital signature and its pivotal role in affording security services
JP4144645B2 (ja) 電子文書の非開示処理システム
JP2000041035A (ja) 認証システム、認証方法、及び記録媒体
Matsuura et al. Digital Timestamps for Dispute Settlement in Electronic Commerce: Generation, Verification, and Renewal.
Wang et al. Improved on Identity-based quantum signature based on Bell states

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080520

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20080520

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080521

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090324

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090424

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090622

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090818

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20090819

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090824

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120904

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees