JP4547158B2 - バイリニアマッピングを使用する署名スキーム - Google Patents
バイリニアマッピングを使用する署名スキーム Download PDFInfo
- Publication number
- JP4547158B2 JP4547158B2 JP2003587078A JP2003587078A JP4547158B2 JP 4547158 B2 JP4547158 B2 JP 4547158B2 JP 2003587078 A JP2003587078 A JP 2003587078A JP 2003587078 A JP2003587078 A JP 2003587078A JP 4547158 B2 JP4547158 B2 JP 4547158B2
- Authority
- JP
- Japan
- Prior art keywords
- generating
- signer
- terminal
- message
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Description
ここで、出願人は、35U.S.C.§119(e)の下、2002年4月15日に提出された米国仮特許出願60/372,668の優先権を主張する。なお、この仮特許出願は、これを参照することにより、本願に組み込まれる。
本発明は、一般に、コンピュータネットワークまたは他のタイプのシステム及び装置を介した暗号化及び安全な通信に関し、特に、公開鍵暗号化を使用するシステムにおいて通信の署名を生成して検証するためのスキームに関する。
一般的に、公開鍵暗号化を使用するシステムにおいて、各当事者は、秘密鍵及び公開鍵の両方に関連付けられる。公開鍵は、公然と知られており、あるいは、認証局から利用可能である。署名者は、メッセージに署名するため、その秘密鍵を使用する。署名者の秘密鍵と公開鍵とが関連しているため、検証者は、署名者の公開鍵を使用して署名を検証することができる。署名者の秘密鍵は署名者(おそらくは、秘密鍵ジェネレータすなわちPKGも)にのみ知られているため、第三者は、署名者の署名を偽造することができない。
また、本発明の様々な実施形態は、同一性に基づく署名スキームに適合する。概略的には、同一性に基づく署名スキームは、あるエンティティの同一性に関連付けられた情報から当該エンティティの公開鍵が得られる公開鍵スキームである。例えば、同一性情報は、個人的な情報(すなわち、名前、住所、電子メールアドレス等)またはコンピュータ情報(すなわち、IPアドレス等)であり得る。また、同一性情報は、エンティティの同一性に対して厳格に関連付けられる情報だけでなく、日時等の幅広く利用可能な情報をも含み得る。すなわち、同一性情報の概念において重要なのは、エンティティの同一性に対するその厳格な関連性ではなく、エンティティへのメッセージの暗号化を望む誰でもが情報を簡単に利用できることである。
公開鍵暗号化を使用する同一性に基づくシステムにおけるエンティティの秘密鍵は、秘密鍵ジェネレータ(「PKG」)として一般に知られる信頼性が高いパーティーまたは論理的プロセスによって生成されて分配される。PKGは、秘密鍵を生成するためにマスターシークレットを使用する。エンティティの公開鍵はその同一性から得られ得るため、BobがAliceからの署名を検証したい場合、BobはAliceの公開鍵をデータベースから検索する必要がない。その代わり、BobはAliceの識別情報から直接に鍵を得るだけである。公開鍵のデータベースは不要である。認証局(「CA」)も不要である。Aliceの同一性がAliceの公開鍵であるため、Aliceの公開鍵に対してAliceの同一性を「見えなくする」必要がない。
同一性に基づくシステムの概念は新しくない。このシステムは、スプリンガー出版から出版の、A.Shamirによる「同一性に基づく暗号システムおよび署名スキーム」、暗号システムの進歩−Crypto' 1984年、コンピュータサイエンス196(1984)の講義ノート、P47−53で提案された。しかしながら、実用的な同一性に基づく署名スキームは、最近まで見当たらなかった。
公開鍵及び同一性に基づくシステムは、階層構造を組み込むことにより更に拡張されてきた。例えば、同一性に基づくスキームは、論理的または実体的なPKGの階層を含んでいる。ルートPKGが他のPKGに秘密鍵を発行し、当該他のPKGが特定のドメインのユーザに秘密鍵を発行しても良い。これにより、検証者がシステム内に全くいない場合であっても、検証者がルートPKGのパブリックパラメータを得た限りにおいては、署名者の公開鍵または下位レベルのパブリックパラメータをオンライン検索することなく、署名者からの署名を検証することができる。階層的な同一性に基づく署名スキームの他の利点は、ダメージコントロールである。例えば、ドメインPKGのシークレットの開示内容が高レベルPKGのシークレットを危うくすることはなく、あるいは、危うくされたドメインPKGの直接の子孫ではない任意の他のPKGのシークレットを危うくすることはない。
公知の公開鍵及び同一性に基づくシステムは、デジタル署名を生成して検証するためのスキームを提供してきたが、公知の署名スキームは、重大な欠点を有していた。例えば、マルチ署名スキームは、複数の署名者が複数の文書に署名することを可能としなかった。複数の署名者が複数の文書に署名できるマルチ署名スキームは、署名の効率を大幅に高めることができる。例えば、そのようなマルチ署名を使用して、一連の証明書を圧縮することができる。したがって、複数の署名者が共に複数の文書に署名することができる署名スキームは必要である。
また、公開鍵暗号化を使用する同一性に基づくシステムのためのリング署名スキームの必要性もある。リング署名は、スプリンガー出版から出版の、R. Rivest, A. Shamir, Y. Taumanによる「秘密漏洩方法」、暗号作成術の進歩−ASIACRYPT 2001、コンピュータサイエンス2248(2001)の講義ノート、P552で最近発表された。リング署名によれば、あるグループのうちの一人の構成員(必ずしも推測的に定められない)は、グループの構成員の誰かが署名を行なったことは第三者が検証できてもそれがどの構成員かを第三者が判断できないというように、1つのメッセージに署名することができる。しかしながら、効率的なリング署名スキームは、同一性に基づく暗号化スキームに利用することができなかった。したがって、同一性に基づくリング署名スキームが必要である。
また、公開鍵暗号化を使用する階層的な同一性に基づくシステムにおいて、代理署名、代理復号化、委任、電子投票の必要性もある。そのような特徴は、非階層システムに関し、P. Horster, H. Petersenによる「自己証明鍵−概念及び用途」、通信及びマルチメディアのセキュリティに関するカンファレンスのPROC.3、1997において提案されている。しかしながら、これらの特徴は、階層システムに利用できなかった。したがって、代理署名、代理復号化、委任、電子投票を可能にする階層型の同一性に基づく署名スキームの必要性がある。
また、署名の一部をオフラインで生成することができる更に効率的な階層型の同一性に基づく署名スキームの必要性もある。多くの用途において、オンライン署名時間は、総署名時間よりも重要である。これらの場合、更に多くの署名アルゴリズム及び検証アルゴリズムをオフラインで実行可能とすることにより、スキームの効率を高めることができる。オンライン/オフライン署名スキームは、スプリンガー出版から出版の、A. Shamir, Y. Taumanによる「改良されたオンライン/オフライン署名スキーム」、暗号作成術の進歩−CRYPTO 2001、コンピュータサイエンス2139(2001)の講義ノート、P355−367で提案された。しかしながら、オンライン/オフライン署名スキームは、階層型の同一性に基づくシステムに利用できなかった。したがって、効率的なオンライン/オフラインの階層型の同一性に基づく署名スキームの必要性がある。
したがって、本発明の目的は、複数の署名者が複数の文書に署名することができるマルチ署名スキームを提供することである。本発明の他の目的は、同一性に基づくリング署名スキームを提供することである。本発明の更なる目的は、代理署名、代理復号化、委任、電子投票が可能な階層型の同一性に基づく署名スキームを提供することである。本発明の更なる他の目的は、効率的なオンライン/オフラインの階層型の同一性に基づく署名スキームを提供することである。
本発明においては、安全で実用的かつ効率的な署名スキームを実施するための方法が提供される。
本発明の一態様においては、署名者と検証者との間で通信されるデジタルメッセージのデジタル署名を生成して検証するための方法及びシステムが提供される。これらの方法及びスキームにおいては、各署名者がメッセージの一部に署名し、そして、少なくとも一人の署名者によって署名された一部のメッセージが、少なくとも一人の他の署名者によって署名された一部のメッセージとは異なっている。各署名者毎に秘密鍵が選択され、また、所定のファンクションを使用して、各メッセージ毎にメッセージファンクション値が生成される。各署名者に関連付けられた秘密鍵と、署名されるメッセージに関連付けられたメッセージファンクション値と、を少なくとも使用して、各署名者毎に1または複数の署名成分が生成される。各署名成分を使用して、デジタル署名が生成される。その後、少なくともメッセージファンクション値を使用して、デジタル署名が検証される。
本発明の他の態様においては、署名者と検証者との間で通信されるデジタルメッセージのデジタル署名を生成して検証するための方法及びシステムであって、署名者があるセットの複数の構成員のうちの一人である、という方法及びシステムが提供される。当該署名者はある同一性に関連付けられ、また、セットの他の構成員もそれぞれ同一性に関連付けられる。複数の要素から成る第1及び第2の循環群が生成され、また、第1の循環群の2つの要素から第2の循環群の1つの要素を生成することができるバイリニアで非縮退的なペアリングが選択される。第1の循環群の第1及び第2のジェネレータが選択され、また、二進数字列から第1の循環群の1つの要素を生成できるファンクションが選択される。セットの各構成員毎にパブリック点が生成され、また、署名者のためにプライベート点が生成される。署名者のプライベート点とセットの各構成員のパブリック点とを少なくとも使用してデジタル署名を生成することにより、デジタルメッセージが署名される。セットの各構成員のパブリック点を少なくとも使用して、署名は、セットの一人の構成員によって生成されたことが検証される。
本発明の他の態様においては、代理署名者と検証者との間で通信されるデジタルメッセージの代理署名を生成して検証する方法及びシステムであって、最初の(オリジナル)署名者の代わりに代理(プロキシ)署名者によってメッセージが署名される、という方法及びシステムが提供される。最初の署名者に関連付けられたオリジナル署名者秘密鍵及びオリジナル署名者公開鍵が選択される。また、代理署名者に関連付けられたプロキシ署名者秘密鍵及びプロキシ署名者公開鍵も選択される。その後、オリジナル署名者秘密鍵及びプロキシ署名者公開鍵を使用して、プロキシ秘密鍵が生成される。所定のファンクションを使用してメッセージファンクション値が生成され、また、メッセージファンクション値とプロキシ秘密鍵とプロキシ署名者公開鍵とを少なくとも使用して、プロキシ署名が生成される。オリジナル署名者公開鍵とプロキシ署名者公開鍵とメッセージファンクション値とを少なくとも使用して、プロキシ署名が検証されても良い。
本発明の更なる他の態様においては、署名者と検証者との間で通信されるデジタルメッセージの署名を生成して検証するための方法及びシステムが提供される。署名者は、階層型システムにおいて、ルートPKGよりもtレベル下にある。署名者は、当該署名者に関連付けられた同一性情報と、ルートPKGと署名者との間の階層中にある(t−1)個の下位レベルPKGの各々に関連付けられた同一性情報と、を含むID−タプルに関連付けられている。各下位レベルPKG毎に下位レベル公開鍵が生成される。署名者に関連付けられた署名者秘密鍵が生成される。オフラインモードにおいては、ランダム署名者トラップドアシークレットと、ランダムメッセージと、乱数と、が選択される。その後、ランダムメッセージと、乱数と、トラップドアシークレットと、署名者秘密鍵と、(t−1)個の下位レベルPKGに関連付けられた下位レベル公開鍵と、を使用して、オフライン署名が生成される。オンラインモードにおいては、照合乱数が、オフライン署名と署名されるメッセージとを一致させるように、決定される。その後、照合乱数を使用して、オフライン署名が検証されても良い。
本発明の好ましい実施形態の以下の説明においては、添付図面を参照する。
図1は、現在において好ましい本発明の一実施形態に係る、デジタルメッセージMのマルチ署名Sigを生成して検証する方法を表わすフローチャートを示している。
図2は、現在において好ましい本発明の他の実施形態に係る、一人の署名者と一人の検証者との間で通信されるデジタルメッセージMのリング署名Sigを生成して検証する方法を表わすフローチャートを示している。
図3は、現在において好ましい本発明の他の実施形態に係る、ある階層中の一人の署名者と一人の検証者との間で通信されるデジタルメッセージMのリング署名Sigを生成して検証する方法を表わすフローチャートを示している。
図4は、本発明の他の実施形態に係る、デジタルメッセージMのプロキシ署名Sigを生成して検証する方法を表わすフローチャートを示している。
図5は、本発明の他の実施形態に係る、デジタルメッセージMの署名Sigを生成して検証する方法を表わすフローチャートであって、署名アルゴリズム及び検証アルゴリズムの一部がオフラインで完了され得るフローチャートを示している。
図6は、本発明の他の実施形態に係る、署名スキームを実施するためのシステムを表わすブロック図を示している。
本発明の現在好ましい方法は、安全で、実用的で、効率的な、同一性に基づく(identity−based)階層型の公開鍵署名スキーム(scheme)を提供する。
本発明は、公開鍵署名スキームを提供する。これらは、同一性に基づくスキーム及び同一性に基づかないスキームの両方を含んでいる。また、これらは、階層型のスキーム及び非階層型のスキームの両方を含んでいる。
本発明の階層型の同一性に基づく各署名スキームは、少なくとも1つのルートPKGおよび複数の下位レベルPKGを含むPKGの階層構造を必要とする。階層および下位レベルPKGは、論理的または実体的であっても良い。例えば、1つのエンティティは、ルート鍵生成シークレットと、下位レベルユーザの暗号化鍵または署名鍵がそこから生成される下位レベル鍵生成シークレットと、の両方を生成しても良い。この場合、これらの下位レベルPKGは、別個のエンティティではなく、単なるプロセス、または、論理的な階層中に配置され且つ階層中の子孫PKGおよびユーザのための鍵を生成するために使用される情報である。あるいは、各下位レベルPKGは、別個のエンティティであっても良い。他の選択肢には、実体的な下位レベルPKGと論理的な下位レベルPKGとの混成が含まれる。説明の目的のため、用語「下位レベルPKG」は、これらの選択肢のうちの任意の1つを示すべく総称的に使用される。
ここに開示された階層型の同一性に基づくシステムにおいて、同一性に基づく公開鍵は、時間に基づいていても良い。例えば、連続する各時間と共に特定の署名者の同一性が変化しても良い。あるいは、署名者は、それ自身の子または子孫として時間を階層中に設定しても良く、また、検証者は、署名を検証する際に、適当な時間の同一性を使用し得る。どちらにせよ、各鍵は、対応する時間中にだけメッセージに署名する場合に有効であり得る。
本発明の階層型の同一性に基づくスキームは、一般に、5つのアルゴリズム、すなわち、ルートセットアップアルゴリズムと、下位レベルセットアップアルゴリズムと、抽出アルゴリズムと、署名アルゴリズムと、検証アルゴリズムと、を有している。これらのアルゴリズムのうちの3つは、階層中の関連するエンティティの同一性に依存している。各ユーザは、そのIDのタプル(ID1,....IDi)によって規定され得る位置を階層中に有していることが好ましい。階層中におけるユーザの先祖は、ルートPKGおよびそのIDタプルが{(ID1,....IDi):1≦i≦(t−1)}であるユーザまたはPKGである。IDタプルは、演算のために、二進数字列として表されることが好ましい。
ルートセットアップアルゴリズムにおいて、ルートPKGは、セキュリティパラメータkを使用して、パブリックシステムパラメータparamsおよびルート鍵生成シークレットを生成する。システムパラメータは、メッセージスペース
および署名スペースSの記述を含んでいる。システムパラメータは公然と利用可能であり、一方、ルートPKGだけがルート鍵生成シークレットを知っている。
下位レベルセットアップアルゴリズムにおいて、各下位レベルPKGは、抽出のために、それ自身の下位レベル鍵生成シークレットを生成することが好ましい。また、下位レベルPKGは、各抽出毎に、ランダム一時シークレットを生成しても良い。
抽出アルゴリズムにおいて、PKG(ルートPKGであろうと、あるいは、下位レベルPKGであろうとも)は、それ自身の任意の子のための秘密鍵を生成する。当該秘密鍵は、システムパラメータと、生成するPKGの秘密鍵と、任意の他の好ましいシークレット情報と、を使用して生成される。
署名アルゴリズムにおいて、デジタルメッセージの署名者は、paramsおよび署名者の秘密鍵dを使用して、メッセージ
に署名をし署名Sig∈Sを生成する。検証アルゴリズムにおいて、署名されたメッセージの検証者は、paramsおよび署名者のID−タプルを使用して、署名Sigを検証する。検証アルゴリズムは、「有効」または「無効」を出力することが好ましい。署名および検証は、以下の一貫性制約を満たすことが好ましい。
ここで、Sig=署名(params、d、M)である。
(ペアリング)
本発明の現在の好ましい署名スキームは、例えば、楕円曲線またはアーベル多様体に関連付けられたウェイルペアリングまたはテートペアリング等のペアリング(組み合わせ)に基づいている。また、この署名スキームは、ディフィー・ヘルマン問題またはバイリニアなディフィー・ヘルマン問題に基づいている。いずれの場合においても、当該スキームは、好ましくは同じ大きさのプライムオーダーqから成る2つの循環群Γ1、Γ2を使用する。第1群Γ1は、楕円曲線上またはアーベル多様体上の点から成る群であることが好ましく、Γ1に関する群法則が付加的に書き込まれても良い。第2群Γ2は、有限領域の乗法群であることが好ましく、Γ2に関する群法則が乗法的に書き込まれても良い。しかしながら、本発明と整合性が取れる他のタイプの群をΓ1、Γ2として使用しても良い。
本発明の現在の好ましい署名スキームは、例えば、楕円曲線またはアーベル多様体に関連付けられたウェイルペアリングまたはテートペアリング等のペアリング(組み合わせ)に基づいている。また、この署名スキームは、ディフィー・ヘルマン問題またはバイリニアなディフィー・ヘルマン問題に基づいている。いずれの場合においても、当該スキームは、好ましくは同じ大きさのプライムオーダーqから成る2つの循環群Γ1、Γ2を使用する。第1群Γ1は、楕円曲線上またはアーベル多様体上の点から成る群であることが好ましく、Γ1に関する群法則が付加的に書き込まれても良い。第2群Γ2は、有限領域の乗法群であることが好ましく、Γ2に関する群法則が乗法的に書き込まれても良い。しかしながら、本発明と整合性が取れる他のタイプの群をΓ1、Γ2として使用しても良い。
また、この方法は、第1群Γ1のジェネレータP0を使用する。また、ペアリングまたはファンクション
は、第1群Γ1の2つの要素を第2群Γ2の1つの要素に対してマッピングするために与えられる。
は、3つの条件を満たすことが好ましい。まず第1に、QおよびRがΓ1内にあり且つa、bが整数である場合に、
となるように、
はバイリニアであることが好ましい。第2に、マップがΓ1×Γ1における全てのペア(対)をΓ2における同一性に対して送らないように、
は非縮退的であることが好ましい。第3に、
は、効率的に演算可能であることが好ましい。これらの3つの条件を満たす
は、許容できると考えられる。
また、全てのQ,R∈Γ1に関して
となるように、
は対称的であることが好ましい。しかしながら、対称性は、バイリニア性とΓ1が循環群であるという事実とから直ちに得られる。超特異な楕円曲線またはアーベル多様体に関連付けられたウェイルペアリングおよびテートペアリングは、従来技術に知られた方法にしたがって、そのようなバイリニアなマップを生成するために変更され得る。しかしながら、たとえ第1の循環群Γ1の要素を「点」の群として参照することで、
が変更されたウェイルペアリングまたはテートペアリングであることを提案できるとしても、任意の許容できる
が働くことが指摘されるべきである。
本発明の署名スキームのセキュリティは、主に、ディフィー・ヘルマン問題またはバイリニアなディフィー・ヘルマン問題の難しさに基づいている。ディフィー・ヘルマン問題は、ランダムに選択されたP∈Γ1 およびaP、bP(未知のランダムに選択されたa、b、c∈Z/qZにおいて)が与えられてabPを見つける問題である。バイリニアなディフィー・ヘルマン問題は、ランダムに選択されたP∈Γ1 およびaP、bP、cP(未知のランダムに選択されたa、b、c∈Z/qZにおいて)が与えられて
を見つける問題である。Γ1においてディフィー・ヘルマン問題を解くことは、
であるため、バイリニアなディフィー・ヘルマン問題を解くことである。同様に、Γ2においてディフィー・ヘルマン問題を解くことは、
である場合にgabc=(gab)cであるため、バイリニアなディフィー・ヘルマン問題を解くことである。ここで、
であり、また、
である。バイリニアなディフィー・ヘルマン問題が難しいため、Γ1またはΓ2のいずれかにおいてディフィー・ヘルマン問題を効率的に解くための周知のアルゴリズムが無いというように、Γ1及びΓ2が選択されるべきである。バイリニアなディフィー・ヘルマン問題が
において困難である場合、それは、
が非縮退的であるということに従う。
ランダム化アルゴリズムIΓは、セキュリティパラメータk>0を取得して経時的にkの多項式を実行し、且つ、好ましくは同じプライムオーダーqから成る2つの群Γ1及びΓ2の記述と許容できるペアリング
の記述とを出力する場合に、バイリニアなディフィー・ヘルマン・ジェネレータである。IΓがバイリニアなディフィー・ヘルマンパラメータジェネレータである場合、アルゴリズムBがバイリニアなディフィー・ヘルマン問題を解く際に有するアドバンテージAdνIΓ(B)は、アルゴリズムへの入力がΓ1、Γ2、
P、aP、bP及びcPである時にアルゴリズムBが
を出力する確率として規定される。ここで、
は、十分に大きいセキュリティパラメータkにおけるIΓの出力であり、PはΓ1のランダムジェネレータであり、a、b及びcはZ/qZのランダム要素である。バイリニアなディフィー・ヘルマン問題の根底にある前提は、全ての効率的なアルゴリズムBにおいてAdνIΓ(B)が無視できる、ということである。同様な前提が、ディフィー・ヘルマン問題の根底にもある。
(マルチ署名)
前述したように、マルチ署名スキームは、各署名者が文書に個別に署名する場合よりも効率的に、数人の署名者が1(または複数)の文書に署名できる任意のスキームである。通常、この効率の向上は、署名の長さに関してのものである。すなわち、n人の署名者の組み合わされたマルチ署名は、n個の別個の署名よりも短い。これは、当事者のうちの一人が複数のソースから事前承認を得て且つこの複数の事前承認を取引前に転送する必要がある取引(トランザクション)において、都合が良い。前述したように、複数の署名者が複数の文書に効率的に署名できるマルチ署名スキームは、今までなかった。例えば、既存のマルチ署名スキームにおいて、マルチ署名の長さは、少なくとも、署名者の数または署名される文書の数に依存している。本発明は、署名者の数及び文書の数の両方に依存しない長さを持つマルチ署名を生成するように複数の署名者が複数の文書に署名することを可能とする、より効率的なマルチ署名の署名スキームを提供する。
前述したように、マルチ署名スキームは、各署名者が文書に個別に署名する場合よりも効率的に、数人の署名者が1(または複数)の文書に署名できる任意のスキームである。通常、この効率の向上は、署名の長さに関してのものである。すなわち、n人の署名者の組み合わされたマルチ署名は、n個の別個の署名よりも短い。これは、当事者のうちの一人が複数のソースから事前承認を得て且つこの複数の事前承認を取引前に転送する必要がある取引(トランザクション)において、都合が良い。前述したように、複数の署名者が複数の文書に効率的に署名できるマルチ署名スキームは、今までなかった。例えば、既存のマルチ署名スキームにおいて、マルチ署名の長さは、少なくとも、署名者の数または署名される文書の数に依存している。本発明は、署名者の数及び文書の数の両方に依存しない長さを持つマルチ署名を生成するように複数の署名者が複数の文書に署名することを可能とする、より効率的なマルチ署名の署名スキームを提供する。
ここで、添付図面を参照すると、図1は、現在において好ましい本発明の一実施形態に係るマルチ署名を生成及び検証する方法を表わすフローチャートを示している。この実施形態においては、ウェイルペアリングやテートペアリング等のバイリニアなマッピングを使用して、複数の署名者が複数の文書に署名することができる。その結果として得られる署名は、異なる署名者の数または異なる署名文書の数にも関わらず、例えば楕円曲線上の1つの点のように、1つのグループの1つの要素として表わされ得る。
図1に関して説明したマルチ署名スキームによれば、n人の署名者は、m個のデジタルメッセージに署名して、1つのマルチ署名を生成することができる。各署名者は、m個のメッセージの一部に署名する。以前の署名スキームとは異なり、このスキームによれば、異なる署名者は、効率を犠牲にすることなく、異なる組のメッセージに署名することができる。この方法は、複数の要素から成る第1及び第2の循環群Γ1及びΓ2を生成することにより、ブロック102から開始される。ブロック104においては、
が選択される。この場合、
は、それが第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成できるように選択される。
は、前述したように、許容できるペアリングであることが好ましい。ブロック106において、第1の循環群Γ1のルートジェネレータP0が選択される。ブロック108においては、ファンクションHが選択される。この場合、ファンクションHは、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。例えば、ファンクションHはハッシュ関数であっても良い。
ブロック110においては、n人の署名者の各々に秘密鍵siが選択される。ブロック112においては、ファンクションHを使用して、m個のメッセージの各々に、メッセージファンクション値
が生成される。ブロック114においては、全ての(i,j)∈Cに関して、すなわち、i番目の署名者がj番目のメッセージに署名するような全ての(i,j)対に関して、式
を使用して、署名成分Sijが生成される。ブロック116に示されるように、これらの署名成分Sijが組み合わされて、デジタル署名Sig=Σ(i,j)∈CSijが生成される。署名スキームの効率は、デジタル署名Sigが第1の循環群G1の1つの要素を含んでいるという事実から流れ出る。この署名は、ブロック118において、
を確認することにより検証される。
全ての署名者が全てのメッセージに署名する前述のスキームは、有用なタイプのマルチ署名であるが、他の変形例もある。例えば、全ての署名者によってメッセージの全てが署名される必要はない。また、当事者が得た様々な署名及び承認は、以後の取引において、異なる組み合わせで照合され得る。幾人かの署名者が同じメッセージに署名する場合、または、一人の署名者が複数のメッセージに署名する場合には、ペアリング計算を行なう必要が殆どないため、マルチ署名の検証効率が良くなる。このスキームは、従来知られた方法により、検証者がそのy座標をそこから回復させることができる署名Sigのx座標だけを送ることにより、帯域幅が更に効率的となり得る。
図1に関して説明したマルチ署名スキームへの特定のタイプの攻撃を防止するためには、別のセキュリティ対策が役立つかもしれない。そのような攻撃において、攻撃者は、幾らかの他の当事者の公開鍵に応じて、その公開鍵/秘密鍵の対を変更し、それにより、攻撃者は、当該他の当事者の参加がなくても、それ自身と他の当事者とが推定署名者として関与する1つのメッセージマルチ署名を偽造することができる。この種の攻撃は、多くの方法で防止することができる。例えば、一人の当事者が各署名者から署名成分を収集してマルチ署名を形成しても良い。そうすることで、この当事者は、
であることを確認することにより、各署名者の署名成分Sijを独立に検証することができる。しかしながら、この方法により、マルチ署名の最終的な検証者が再保証されないかもしれない。なぜなら、検証者は、署名成分を収集した当事者がこれらの署名成分を正確に検証したということを信じなければならないからである。
また、例えば、署名者の同一性情報または公開鍵を含むメッセージ、または、各署名者のためにランダムに選択されるメッセージといった、署名者に固有のあるメッセージに個別に署名することを各署名者に要求することにより、攻撃を阻止することができる。例えば、
は、
に設定されても良い。あるいは、CAは、CAが署名者に対して証明書を発行する前に、CAによって選択されるある「チャレンジ」メッセージに署名することを署名者に要求しても良い。(実際には、CAは、多くの場合、これを既に要求している。)いずれの場合にも、検証者は、署名成分を収集した当事者からの再保証を全く必要とすることなく、マルチ署名を単独で検証することができる。当業者であれば分かるように、他の方法を使用して攻撃を阻止することもできる。
(同一性に基づくリング署名)
リング署名により、あるグループの一人の構成員(必ずしも推測的に定められない)は、グループの構成員の誰かが署名を行なったことは第三者が検証できるが、それがどの構成員かは判断できないように、1つのメッセージに署名することができる。例えば、秘密をマスコミに漏らしたいがある程度匿名のままにしておきたいと望むキャビネット構成員(cabinet member) −すなわち、彼は、自分がキャビネット構成員であることをマスコミに知って欲しいが、どの構成員であるかをマスコミに知られたくない− について考える。リング署名により、署名者は、自分を含む任意のセットを選択することができるとともに、どの構成員であるかを開示することなく自分がそのセットの構成員であることを証明できる。そして、キャビネット構成員は、他のキャビネット構成員の公開鍵と自分の秘密鍵とを組み合わせて使用することにより、キャビネットのためのリング署名を生成することができる。キャビネット固有のリング署名はキャビネット構成員によってのみ生成され得るため、マスコミは、この署名を使用して、その匿名情報源の信頼性を証明することができる。
リング署名により、あるグループの一人の構成員(必ずしも推測的に定められない)は、グループの構成員の誰かが署名を行なったことは第三者が検証できるが、それがどの構成員かは判断できないように、1つのメッセージに署名することができる。例えば、秘密をマスコミに漏らしたいがある程度匿名のままにしておきたいと望むキャビネット構成員(cabinet member) −すなわち、彼は、自分がキャビネット構成員であることをマスコミに知って欲しいが、どの構成員であるかをマスコミに知られたくない− について考える。リング署名により、署名者は、自分を含む任意のセットを選択することができるとともに、どの構成員であるかを開示することなく自分がそのセットの構成員であることを証明できる。そして、キャビネット構成員は、他のキャビネット構成員の公開鍵と自分の秘密鍵とを組み合わせて使用することにより、キャビネットのためのリング署名を生成することができる。キャビネット固有のリング署名はキャビネット構成員によってのみ生成され得るため、マスコミは、この署名を使用して、その匿名情報源の信頼性を証明することができる。
また、リング署名は、契約交渉においても役立ち得る。当事者Aが契約案を当事者Bに送る場合、当事者Aは、認証は与えたいが、否認防止は与えたくない場合がある。すなわち、当事者Aは、契約案が当事者Aからのものであることを当事者Bに証明したいが、当事者Aが契約案に署名したことを第三者(すなわち、裁判所)に明かす能力を当事者Bに与えたくない場合がある。この状況において、当事者Aは、セット{A,B}のためのリング署名を形成することができる。当事者Bは、自分が署名それ自体を形成しなかったため、当事者Aが署名を形成したことを知る。一方、第三者の観点からは、当事者Bも署名を形成することができたのであるから、当事者Bは、当事者Aが署名を形成したことを第三者に確信させることができない。
ここで、図2を参照しながら、同一性に基づくリング署名スキームについて説明する。図2は、現在において好ましい本発明の他の実施形態に係る、署名者と検証者との間で通信されるメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。この場合、署名者は、ある1つのセットのt人の構成員のうちの一人である。以下の説明のため、署名者は、同一性ID1に関連付けられ、セットの他の構成員は、2≦i≦tの同一性IDiに関連付けられる。しかしながら、匿名の署名者が最初に示された同一性に常に関連付けられた場合、署名は、実際には、匿名ではない。
この方法は、複数の要素から成る第1及び第2の循環群Γ1及びΓ2を生成することにより、ブロック202から開始される。ブロック204においては、
が選択される。この場合、
は、それが第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成できるように選択される。
は、前述したように、許容できるペアリングであることが好ましい。ブロック206において、第1の群Γ1の第1及び第2ジェネレータP及びP’が選択される。ブロック208においては、第1及び第2のシークレット番号s、s'が選択される。随意的に、新たな各署名毎に、新たなs'が選択され得る。ファンクションHは、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。ブロック212においては、セットのt人の構成員の各々に、パブリック点Pi=Hi(IDi)が生成される。ブロック214においては、署名者のために、プライベート点sP'+s'P1が生成される。
ブロック216においては、少なくとも署名者のプライベート点(sP'+s'P1)及びセットのt人の各構成員のパブリック点Piを使用してデジタル署名Sigを生成することにより、デジタルメッセージMが署名される。例えば、以下の方法で、デジタル署名が生成され得る。1≦i≦tにおいて乱数rM、riが選択され、メッセージファンクション値PM=H2(M)が生成される。その後、Sig=[U,V1,...,Vl,VM]を使用して、デジタル署名それ自体が生成される。ここで、
U=sP'+s'P1+r1P1+r2P2+・・・+rlPl+rMPM
V1=s'P+r1P
VM=rMP
Vi=riP(2≦i≦n)
ブロック218においては、少なくともセットのt人の各構成員のパブリック点Piを使用して、デジタル署名Sigがセットの一人の構成員によって生成されたことが検証される。例えば、
であることを確認することによって、署名が検証されても良い。
U=sP'+s'P1+r1P1+r2P2+・・・+rlPl+rMPM
V1=s'P+r1P
VM=rMP
Vi=riP(2≦i≦n)
ブロック218においては、少なくともセットのt人の各構成員のパブリック点Piを使用して、デジタル署名Sigがセットの一人の構成員によって生成されたことが検証される。例えば、
以下は、前述した方法に係る同一性ID1及びID2を有する2つのエンティティのための同一性に基づくリング署名の一例である。第1のエンティティのためにPKGによって与えられる秘密鍵は、(sP'+r1P1,r1P)として表わされ得る。また、第2のエンティティのためにPKGによって与えられる秘密鍵は、(sP'+r2P2,r2P)として表わされ得る。各秘密鍵における最初の点の最初の部分は、各エンティティをPKGに関連付けるsP'である。各秘密鍵のこの部分は、一定でなければならない。しかしながら、各秘密鍵の残りの部分は変化しても良い。例えば、第1のエンティティにとって等しく有効なプライベート点は、任意のr1'において、(sP'+r1'P1,r1'P)である。この自由度は、リング署名の生成を可能にするために利用される。これら2つのエンティティのためのリング署名は、あるr1'、r2'において、(sP'+r1'P1+r2'P2,r1'P,r2'P)の形式を有している。両方のエンティティの同一性は、これらのエンティティのパブリック点P1、P2を使用することにより、このリング署名中に組み込まれる。更に、いずれのクライアントもそのようなリング署名を生成することができる。
例えば、第1のエンティティは、以下のように、両方のエンティティのための1つのリング署名を生成しても良い。便宜上、第1のエンティティの秘密鍵を(S1,R1)として表わすことにする。第1のエンティティは、乱数b、r2'を選択するとともに、リング署名(S1+bP1+r2'P2,R1+bP,r2'P)を計算する。ここで、ある乱数bにおいて、r1'=r1+bである。これは、第1及び第2のエンティティにとって有効なリング署名である。なお、第1のエンティティが常にb=0を選択する場合、第1のエンティティがそれぞれの署名を形成したことは明白である。乱数bを使用することにより、2つのエンティティのうちのいずれがリング署名を形成したかを判断することが不可能となる。同様に、第2のエンティティは、乱数b、r1'を選択するとともに、リング署名(S2+r1'P1+bP2,r2'P,R2+bP)を計算し得る。
しかしながら、同一性ID3を有する第3のエンティティは、最初の2つのエンティティにとって有効なリング署名を形成しなくても良い。PKGにより第3のエンティティに対して与えられる秘密鍵は、(sP'+r3P3,r3P)として表わされ得る。第3のエンティティは、その秘密鍵からそのパブリック点P3を除去することができないため、第3のエンティティの秘密鍵は、その同一性によって「汚される」。この汚れは除去することができない。そのため、第3のエンティティは、最初の2つのエンティティにとって有効なリング署名を偽造することができない。本質的に、他のエンティティの同一性を署名しているエンティティの秘密鍵に対して加えることにより、最初の2つのエンティティだけがそのようなリング署名を形成し得る。
また、前述したリング署名スキームは、階層型のリング署名スキームを形成するために修正され得る。ここで、図3を参照しながら、階層型の同一性に基づくリング署名スキームについて説明する。図3は、現在において好ましい本発明の他の実施形態に係る、ある階層中の署名者と検証者との間で通信されるメッセージMのリング署名Sigを生成して検証する方法を表わすフローチャートを示している。この方法により、階層中のt人のリング構成員から成る1つのリングからの一人の署名者は、t人のリング構成員のための1つのリング署名を生成することができる。t人の各エンティティは、
等のID−タプルに関連付けられる。ここで、liは、階層中の各エンティティのレベルを表わしている。この方法は、複数の要素から成る第1及び第2の循環群Γ1及びΓ2を生成することにより、ブロック302から開始される。ブロック304においては、
が選択される。この場合、
は、それが第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成できるように選択される。
は、前述したように、許容できるペアリングであることが好ましい。ブロック306において、第1の循環群Γ1のルートジェネレータP0が選択される。ブロック308においては、ルートPKGに関連付けられ且つルートPKGだけに知られたランダムルート鍵生成シークレットs0が選択される。s0は、循環群Z/qZの1つの要素であることが好ましい。ブロック310においては、ルート鍵生成パラメータQ0=s0P0が生成される。Q0は、第1の循環群Γ1の1つの要素であることが好ましい。ブロック312においては、第1のファンクションH1が選択される。この場合、ファンクションH1は、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。ブロック314においては、第2のファンクションH2が選択される。この場合、ファンクションH2も、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。ブロック302からブロック314のファンクションは、前述したルートセットアップアルゴリズムの一部であり、ほぼ同時に実行されることが好ましい。一例として、Boneh−Franklinに開示されたファンクションのようなファンクションが、H1およびH2として使用され得る。
次の一連のブロック(ブロック316から324)は、下位レベルセットアップアルゴリズムの一部として実行されるファンクションを示している。ブロック316においては、t人のリング構成員の各々と関連付けられたli −1個の先祖下位レベルPKGの各々に、パブリック要素Pilが生成される。1≦i≦t及び1≦l≦(li−1)において、各パブリック要素Pil=H(IDi1,....,IDil)は、第1の循環群Γ1の1つの要素であることが好ましい。全てのパブリック要素Pilの生成が1つのブロックで表わされているが、これらのパブリック要素Pilの生成は、同時に行なわれることなく経時的に行なわれても良い。
t人のリング構成員の各々に関連付けられたli−1個の先祖下位レベルPKGの各々に、1≦i≦t及び1≦l≦(li−1)において、下位レベル鍵生成シークレットsilが選択される(ブロック318)。下位レベル鍵生成シークレットsilは、循環群Z/qZの要素であることが好ましく、また、各下位レベル鍵生成シークレットsZiは、その対応する下位レベルPKGだけに知られていることが好ましい。この場合も同様に、下位レベル鍵生成シークレットsilの選択が1つのブロックで表わされているが、これらの下位レベル鍵生成シークレットsilの選択は、同時に行なわれることなく経時的に行なわれても良い。
t人のリング構成員の各々に関連付けられたli−1個の先祖下位レベルPKGの各々に、下位レベルシークレット点Silが生成される(ブロック320)。1≦i≦t及び1≦l≦(li−1)において、各下位レベルシークレット要素Sil=Si(l−1)+si(l−1)Pilは、第1の循環群Γ1の要素であることが好ましい。パブリック要素Pilおよびシークレットsilと同様に、シークレット要素Silの生成が1つのブロックで表わされているが、これらのシークレット要素Silの生成は、同時に行なわれることなく経時的に行なわれても良い。これらの繰り返される鍵生成プロセスのため、S0は、Γ1の同一性要素として規定される。
また、t人のリング構成員の各々に関連付けられたli−1個の先祖下位レベルPKGの各々に、下位レベル鍵生成パラメータQilも生成される(ブロック322)。1≦i≦t及び1≦l≦(li−1)において、各鍵生成パラメータQil=silP0は、第1の循環群Γ1の要素であることが好ましい。全ての鍵生成パラメータQilの生成が1つのブロックで表わされているが、これらの鍵生成パラメータQilの生成は、同時に行なわれることなく経時的に行なわれても良い。
次の2つのブロック(ブロック324、326)のファンクションは、前述した抽出アルゴリズムの一部として実行される。ブロック324においては、t人のリング構成員の各々に関連付けられたリング構成員パブリック点
が生成される。1≦i≦tにおいて、各リング構成員パブリック点
は、第1の循環群Γ1の要素であることが好ましい。その後、ブロック326において、t人のリング構成員の各々に関連付けられたリング構成員シークレット点
が生成される。また、1≦i≦tにおいて、各リング構成員シークレット点
も、第1の循環群G1の要素であることが好ましい。
便宜上、第1のファンクションH1は、随意的に、反復関数となるように選択されても良い。この場合、例えば、H1(IDi1,...,IDil)としてではなく、H1(Pi(l−1),IDil)として、パブリック点Pilが演算され得る。
図3に示される最後の2つのブロック(ブロック328,330)は、前述した署名アルゴリズム及び検証アルゴリズムを表わしている。ブロック328においては、ID−タプル
を有する署名者によってメッセージMが署名され、リング署名Sigが生成される。署名アルゴリズムは、t人の各リング構成員毎に、少なくとも、署名者のプライベート点
及びID−タプル
を使用することが好ましい。その後、ブロック330において、t人のリング構成員のうちの一人によってリング署名Sigが署名されたことを確認するために、リング署名Sigが検証される。検証は、t人の各リング構成員毎に、少なくともID−タプル
を使用することが好ましい。これらのID−タプルは、パブリック点−タプルPik=H(IDi1,....,IDik)に対応している。
例えば、署名アルゴリズムは、t人のリング構成員のパブリック点−タプルPik間の冗長性を除去することによって始まっても良い。任意のリング構成員が共通の先祖PKGを共有する場合には、これらの点−タプル間には冗長性がある。t個のパブリック点−タプルからのパブリック点の非冗長なセットは、点のセットR={R1,....,Rx}によって表わされ得る。その後、署名者は、[U,V1,.....,Vx,VM]の形式でリング署名を生成する。ここで、U=sP'+r1R1+・・・+rxRx+rMPMであり、Vk=rkP(1≦k≦x)であり、VM=rMPである。リング構成員間でその匿名性を保つため、署名者は、そのID−タプル中にはない点Rkのためにrkをランダムに選択するとともに、前述した方法を使用して、そのID−タプル中にある点Rkのためにスカラーを「分かりにくくする」。この署名は、
であることを確認することにより、署名者がt人のリング構成員のうちの一人であることを確認すべく検証され得る。
(階層的な同一性に基づくプロキシ(代理)署名)
プロキシ署名により、プロキシ署名者と呼ばれる指定された一人の人または人のグループは、最初の署名者の代わりに署名することができる。プロキシ署名スキームは、以下の特性を有していなければならない。
プロキシ署名により、プロキシ署名者と呼ばれる指定された一人の人または人のグループは、最初の署名者の代わりに署名することができる。プロキシ署名スキームは、以下の特性を有していなければならない。
強い非偽造力:プロキシ署名者は、最初の署名者にとって有効なプロキシ署名を形成することができる。最初の署名者を含む任意の他の第三者は、プロキシ署名を偽造することができない。
強い識別可能性:プロキシ署名から誰でもプロキシ署名者を識別することができる。
強い非否認能力:プロキシ署名者は、有効な署名の形成を無効にすることができない。
本発明は、階層的な同一性に基づくプロキシ署名スキームを提供する。図4は、本発明の他の実施形態に係る、デジタルメッセージMのデジタルプロキシ署名Sigを生成して検証する方法を表わすフローチャートを示している。署名Sigは、最初の署名者の代わりにプロキシ署名者によって署名される。この方法は、複数の要素から成る第1及び第2の循環群Γ1及びΓ2を生成することにより、ブロック402から開始される。ブロック404においては、
が選択される。この場合、
は、それが第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成できるように選択される。
は、前述したように、許容できるペアリングであることが好ましい。ブロック406において、第1の群Γ1のジェネレータPが選択される。ブロック408において、ファンクションHが選択される。この場合、ファンクションHは、二進数字列から第1の群Γ1の要素を生成できるように選択される。ブロック410においては、最初の署名者のために秘密鍵sorが選択される。ブロック412においては、最初の署名者のために公開鍵sorPが生成される。同様に、ブロック414においては、プロキシ署名者のために秘密鍵sprが選択され、また、ブロック416においては、プロキシ署名者のために公開鍵sprPが生成される。ブロック418において、最初の署名者は、プロキシ秘密鍵sorPprをプロキシ署名者に与える。ここで、Ppr=H(sprP)である。ブロック420においては、最初の署名者の代わりにメッセージに署名するため、プロキシ署名者は、最初に、メッセージファンクション値PM=H(M)を生成する。また、メッセージMに加えて他の情報を使用して、メッセージファンクション値PMを生成しても良い。技術的に分かるように、ファンクションHへの入力及びファンクションHそれ自体は、様々な方法で調整され得る。例えば、最初の署名者は、Ppr=H(sprP,C)等のようにファンクション中に「規約」Cを含ませることにより、プロキシ署名者の権限の範囲を制限しても良い。その後、ブロック422において、プロキシ署名者は、デジタル署名Sig=sorPpr+sprPMを生成することにより、デジタルメッセージMに署名する。ステップ424において、プロキシの署名が最初の署名者の署名を表わすことを検証するため、検証者は、
であることを確認する。
(階層的な同一性に基づくオンライン/オフライン署名)
多くの用途において、メッセージの署名に要する総時間は、オンライン署名時間ほど重要ではない。オンライン署名時間は、メッセージを得た後に署名者が署名を作成するために必要な時間であると一般に考えられている。オンライン/オフライン署名スキームは、オンライン署名に要する時間を減らすために提案されてきた。例えば、そのようなスキームの1つは、「トラップドアハッシュ関数」h及び「ハッシュ署名スイッチ」パラダイムを使用する。しかしながら、オンライン/オフライン署名スキームは、階層型の同一性に基づく署名システムに利用できなかった。
多くの用途において、メッセージの署名に要する総時間は、オンライン署名時間ほど重要ではない。オンライン署名時間は、メッセージを得た後に署名者が署名を作成するために必要な時間であると一般に考えられている。オンライン/オフライン署名スキームは、オンライン署名に要する時間を減らすために提案されてきた。例えば、そのようなスキームの1つは、「トラップドアハッシュ関数」h及び「ハッシュ署名スイッチ」パラダイムを使用する。しかしながら、オンライン/オフライン署名スキームは、階層型の同一性に基づく署名システムに利用できなかった。
本発明は、階層型の同一性に基づくオンライン/オフライン署名スキームを提供する。図5は、本発明の他の実施形態に係る、デジタルメッセージMのデジタル署名Sigを生成して検証する方法を表わすフローチャートを示している。この方法は、階層型の同一性に基づくシステムとの関連において、2段階の署名プロセスを含んでいる。第1段階の署名プロセスは、オフラインで完了され得る。これにより、第2段階の署名プロセスだけがオンラインで完了され、その結果、オンライン署名時間が短くなる。
この階層型スキームにおける署名者yは、階層中のルートPKGよりもtレベル下であり、ID−タプル(IDy1,....,IDyt)に関連付けられている。署名者のID−タプルは、署名者に関連付けられた同一性情報IDytと、階層中におけるそのt−1個の先祖下位レベルPKGの各々に関連付けられた同一性情報IDyiと、を含んでいる。この方法は、複数の要素から成る第1及び第2の循環群Γ1及びΓ2を生成することにより、ブロック502から開始される。ブロック504においては、
が選択される。この場合、
は、それが第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成できるように選択される。
は、前述したように、許容できるペアリングであることが好ましい。ブロック506において、第1の循環群Γ1のルートジェネレータP0が選択される。ブロック508においては、ルートPKGに関連付けられ且つルートPKGだけに知られたランダムルート鍵生成シークレットs0が選択される。s0は、循環群Z/qZの1つの要素であることが好ましい。ブロック510においては、ルート鍵生成パラメータQ0=s0P0が生成される。Q0は、第1の循環群Γ1の1つの要素であることが好ましい。ブロック512においては、第1のファンクションH1が選択される。この場合、ファンクションH1は、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。ブロック514においては、第2のファンクションH2が選択される。この場合、ファンクションH2も、第1の二進数字列から第1の循環群Γ1の要素を生成できるように選択される。一例として、Boneh−Franklinに開示されたファンクションのようなファンクションがH1およびH2として使用され得る。実際には、ファンクションH1およびH2は、全く同じファンクションであっても良い。しかしながら、潜在的な落とし穴がある。署名者がM=IDtに署名するように攻撃者が仕向ける虞がある。ここで、IDtは、実際の同一性を表わしている。この場合、署名者の署名は、実際には、その後にメッセージを復号して署名を偽造するために使用される虞がある、秘密鍵であるかもしれない。しかしながら、この落とし穴は、署名と秘密鍵抽出とを区別する幾つかの方法、例えばH2のための異なるファンクションやビットプレフィックス等、を使用することにより、回避することができる。ブロック502からブロック514のファンクションは、前述したルートセットアップアルゴリズムの一部であり、ほぼ同時に実行されることが好ましい。
次の一連のブロック(ブロック516から524)は、下位レベルセットアップアルゴリズムの一部として実行されるファンクションを示している。ブロック516においては、署名者のt−1個の先祖下位レベルPKGの各々に、パブリック要素Pyiが生成される。1≦i≦t−1において各パブリック要素Pyi=H(ID1,....,IDyi)は、第1の循環群Γ1の1つの要素であることが好ましい。全てのパブリック要素Pyiの生成が1つのブロックで表わされているが、これらのパブリック要素Pyiの生成は、同時に行なわれることなく経時的に行なわれても良い。
署名者のt−1個の先祖下位レベルPKGの各々に、下位レベル鍵生成シークレットsyiが選択される(ブロック518)。下位レベル鍵生成シークレットsyiは、1≦i≦t−1において循環群Z/qZの要素であることが好ましく、また、各下位レベル鍵生成シークレットsyiは、その対応する下位レベルPKGだけに知られていることが好ましい。この場合も同様に、シークレットsyiの選択が1つのブロックで表わされているが、これらのシークレットsyiの選択は、同時に行なわれることなく経時的に行なわれても良い。
署名者のm個の先祖下位レベルPKGの各々に、下位レベルシークレット要素Syiが生成される(ブロック520)。1≦i≦t−1において各下位レベルシークレット要素Syi=Sy(i−1)+sy(i−1)Pyiは、第1の循環群Γ1の要素であることが好ましい。パブリック要素Pyiおよびシークレットsyiと同様に、シークレット要素Syiの生成が1つのブロックで表わされているが、これらのシークレット要素Syiの生成は、同時に行なわれることなく経時的に行なわれても良い。これらの繰り返される鍵生成プロセスのため、S0は、Γ1の同一性要素として規定されることが好ましい。
また、署名者のt−1個の先祖下位レベルPKGの各々に、下位レベル鍵生成パラメータQyiも生成される(ブロック422)。1≦i≦t−1において各鍵生成パラメータQyi=syiP0は、第1の循環群Γ1の要素であることが好ましい。鍵生成パラメータQyiの生成が1つのブロックで表わされているが、これらの鍵生成パラメータQyiの生成は、同時に行なわれることなく経時的に行なわれても良い。
次の2つのブロック(ブロック524、526)のファンクションは、前述した抽出アルゴリズムの一部として実行される。ブロック524においては、署名者yに関連付けられた署名者パブリック要素Pytが生成される。署名者パブリック要素Pyt=H1(IDy1,....,IDyt)は、第1の循環群Γ1の要素であることが好ましい。その後、ブロック526において、署名者yに関連付けられた署名者シークレット要素Sytが生成される。また、署名者シークレット要素
も、第1の循環群Γ1の要素であることが好ましい。
便宜上、第1のファンクションH1は、随意的に、反復関数となるように選択されても良い。この場合、例えば、H1(ID1,...,IDyi)としてではなく、H1(Py(i−1),IDyi)として、パブリックポイントPiが演算され得る。
図5に示される最後の2つのブロック(ブロック528、530)は、前述した署名アルゴリズムおよび検証アルゴリズムを表わしている。2段階の署名アルゴリズムは、従来知られた方法にしたがって修正された離散ログに基づくトラップドアハッシュ関数であることが好ましいトラップドアハッシュ関数hを使用して、楕円曲線に適用することを含んでいる。したがって、ブロック528においては、ランダムトラップドアシークレットsyt'∈Z/qZが選択される。署名プロセス中、署名者は、そのパブリックハッシュ鍵として、Qyt'=syt'P0を検証者に対して与えることができる。例えば、署名者は、署名者の下位レベルシークレット要素sytと等しくなるようにsyt'を選択することができる。いずれにしても、syt'は、各署名毎に新たに生成されることが好ましい。
署名者がランダムメッセージM'及び乱数r'を選択すると、ブロック530において、署名アルゴリズムが継続する。その後、ブロック532において、署名者は、ランダムメッセージM'に署名して、署名[U1,Qy1,....,Qyt,Qyt']を生成する。ここで、1≦i≦tにおいて、
であり、PM'=H2((M+r'syt')P0)である。署名アルゴリズムのこの部分は、オフラインで完了され得る。
署名されるべきメッセージMを署名者が確認した後、署名アルゴリズムのオンライン部分が完了され得る。ブロック534において、署名者は、M+rsyt'=M'+r'syt'←→r=(syt')−1(M'−M)+r'となるように、数rを決定する。この場合、qを法として、syt'の逆数がとられる。その後、署名者は、メッセージM及び署名Sigと共に、rを検証者に送り得る。
その後、ステップ536において、検証者は、検証アルゴリズムを完了し、
を確認することにより署名を検証し得る。ここで、PM=H2(MP0+rQyt')=PM'である。また、検証アルゴリズムも、検証者が所有している情報に応じて、オンライン段階とオフライン段階とに分解され得る。例えば、署名者は、メッセージMを知る前に、様々な情報を検証者に対して与え得る。このようにすれば、検証者は、(1)署名者のQyi値、(2)PM'、署名者のトラップドアハッシュ関数H2の極最近の出力、(3)U、ハッシュ関数出力に関する署名者の部分的な署名、(4)M、署名されるメッセージ、(5)値rを含む署名者の完全な署名、のうちのどれか又は全てを知ることができる。この情報を使用すると、検証者は、メッセージMが知られ或いは署名される前であっても、署名の一部を検証し始めることができる。例えば、検証者が署名者から先の署名を受けたなら、検証者は署名者のQyi値を知る。これにより、検証者は、署名者が階層中のどの深さにいようとも、署名者の署名を検証するために必要な2つのペアリングを除く全てを予め計算することができる。検証者は、PM'及びPM'に関する署名者の署名Uを受けた後に、最後の2つのペアリング計算を完了し得る。署名者の完全な署名は、点の付加を使用すること −検証者は、PM=MP0+rQyt'を計算してこの値がPM'と同じであることを確認する− で検証され得る。これは、オンラインで完了されなければならない唯一の検証ステップである。なぜなら、これは、メッセージMに依存する唯一のステップだからである。計算する必要があるペアリングは無い。したがって、検証のオンライン部分は、非常に効率的である。
(署名スキームと共に使用するためのシステム)
本発明に係るバイリニアなマッピングを含む様々な署名スキ−ムを説明してきた。ここで、図6を参照しながら、これらのスキームを実施するための本発明の他の実施形態に係るシステムについて説明する。このシステムは、多数の端末602、604、606、608を有している。これらの各端末は、前述した署名スキームに基づいて署名を生成し或いは検証するエンティティに関連付けられ得る。また、当該システムは、秘密鍵を生成してこれらを様々な端末602、604、606、608に分配する1または複数の秘密鍵ジェネレータ(PKG)630を有している。
本発明に係るバイリニアなマッピングを含む様々な署名スキ−ムを説明してきた。ここで、図6を参照しながら、これらのスキームを実施するための本発明の他の実施形態に係るシステムについて説明する。このシステムは、多数の端末602、604、606、608を有している。これらの各端末は、前述した署名スキームに基づいて署名を生成し或いは検証するエンティティに関連付けられ得る。また、当該システムは、秘密鍵を生成してこれらを様々な端末602、604、606、608に分配する1または複数の秘密鍵ジェネレータ(PKG)630を有している。
各端末は、メモリ612と双方向通信を行なうプロセッサ610を有している。プロセッサ610は、前述した処理を行なってデジタル署名を生成又は検証するための適切なプログラムコードを実行する。また、プロセッサ610は、他の端末に送信される情報を生成するために適切なプログラムコードを実行する。適切なプログラムコードは、従来より知られる方法にしたがって生成され得る。メモリ612は、プログラムコードと、デジタル署名の生成及び検証の処理の実行中に使用される中間結果及び他の情報と、を記憶する。
通信ネットワーク620が与えられ、この通信ネットワーク620を介して、エンティティ602、604、606、608及びPKG630が通信を行ない得る。通信ネットワーク620は、例えば、適切な通信ネットワークを提供するLANコンピュータネットワーク、WANコンピュータネットワーク、及び/又は、携帯電話ネットワークを含む、様々な一般的な形態であり得る。
本発明は、特に好適な実施形態及び例図に関連して詳細に記述されてきたが、本発明の思想及び範囲内で変形や変更が行なわれ得ることが理解される。
(産業上の利用可能性)
前述した方法及びシステムは、一般に、コンピュータネットワークまたは他のタイプのシステム及び装置を介した暗号化及び安全な通信に適用可能である。前記方法及びシステムは、公開鍵暗号化を使用するシステムにおいて通信の署名を生成して検証するためのスキームとして、特に有用である。
前述した方法及びシステムは、一般に、コンピュータネットワークまたは他のタイプのシステム及び装置を介した暗号化及び安全な通信に適用可能である。前記方法及びシステムは、公開鍵暗号化を使用するシステムにおいて通信の署名を生成して検証するためのスキームとして、特に有用である。
このように、本発明に従って、前述した利点を十分に与える方法及びシステムが開示されている。本発明の特定の例示的な実施形態を参照して、本発明を説明して図示してきたが、本発明は、これらの例示的な実施形態に限定されない。当業者であれば分かるように、本発明の思想から逸脱することなく、変形及び変更を行なうことができる。したがって、添付の請求項及びその等価物の範囲内にあるそのような変形及び変更の全てが本発明の中に含まれる。
Claims (48)
- 複数のm個のメッセージに関する複数のn個の署名者端末によるマルチ署名を生成して検証するシステムであって、各署名者端末がm個のメッセージの一部に署名し、最初の署名者端末によって署名される一部のメッセージが少なくとも一個の他の署名者端末によって署名される一部のメッセージと異なっており、
n個の署名者端末の各々の秘密鍵を選択する手段と、
それぞれの秘密鍵を使用して、n個の署名者端末の各々の公開鍵を計算する手段と、
所定のファンクションを使用して、m個のメッセージの各々のメッセージファンクション値を生成する手段と、
マルチ署名の長さがn及びmに依存しないように、署名者端末に関連付けられた秘密鍵及びメッセージファンクション値を使用して、デジタル署名を生成する手段と、
デジタルマルチ署名を検証者端末に対して通信する手段と、
少なくとも署名者端末の公開鍵及びメッセージファンクション値を使用して、デジタルマルチ署名を検証する手段と、
を備えたことを特徴とするシステム。 - 各署名者端末は、1つのメッセージだけに署名する
ことを特徴とする請求項1に記載の署名Sigを生成して検証するシステム。 - 複数のn個の署名者端末によって署名される複数のm個のデジタルメッセージMjのマルチ署名Sigを生成するシステムであって、各署名者端末がm個のメッセージの一部に署名し、最初の署名者端末によって署名される一部のメッセージが少なくとも一個の他の署名者端末によって署名される一部のメッセージと異なっており、
複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成する手段と、
第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるバイリニアで非縮退的なペアリング
第1の循環群Γ1のジェネレータPを選択する手段と、
第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができるファンクションHを選択する手段と、
n個の署名者端末の各々の秘密鍵siを選択する手段と、
ファンクションHを使用して、m個のメッセージMjの各々のメッセージファンクション値
デジタルマルチ署名Sigが第1の循環群Γ1の1つの要素から成るように、署名者端末の秘密鍵si及びメッセージファンクション値
を備えたことを特徴とするシステム。 - 第1の循環群Γ1および第2の循環群Γ2の両者が、同じプライムオーダーqから成ることを特徴とする請求項3に記載の署名Sigを生成するシステム。
- 第1の循環群Γ1は、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
第2の循環群Γ2は、有限領域の乗法群である
ことを特徴とする請求項3に記載の署名Sigを生成するシステム。 - 前記ファンクション
ことを特徴とする請求項3に記載の署名Sigを生成するシステム。 - メッセージファンクション値
- メッセージファンクション値
- 各署名者端末は、1つのメッセージだけに署名する
ことを特徴とする請求項3に記載の署名Sigを生成するシステム。 - 少なくとも一個の署名者端末が、複数のメッセージに署名する
ことを特徴とする請求項3に記載の署名Sigを生成するシステム。 - 複数のn個の署名者端末と一個の検証者端末との間で通信される複数のm個のデジタルメッセージMjのマルチ署名Sigを生成して検証するシステムであって、各署名者端末がm個のメッセージの一部に署名し、最初の署名者端末によって署名される一部のメッセージが少なくとも一個の他の署名者端末によって署名される一部のメッセージと異なっており、Cがi番目の署名者端末がj番目のメッセージに署名するといった全ての(i,j)対のセットを含んでいるとして、
複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成する手段と、
第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるバイリニアで非縮退的なペアリング
第1の循環群Γ1のジェネレータPを選択する手段と、
第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができるファンクションHを選択する手段と、
n個の署名者端末の各々の秘密鍵siを選択する手段と、
ファンクションHを使用して、m個のメッセージMjの各々のメッセージファンクション値
C中の各(i,j)対毎に、署名成分
C中の全ての(i,j)対の署名成分Sijを組み合わせて、マルチ署名
を備えたことを特徴とするシステム。 - 第1の循環群Γ1および第2の循環群Γ2の両者が、同じプライムオーダーqから成ることを特徴とする請求項11に記載のデジタル署名Sigを生成するシステム。
- 第1の循環群Γ1は、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
第2の循環群Γ2は、有限領域の乗法群である
ことを特徴とする請求項11に記載のデジタル署名Sigを生成するシステム。 - 前記ファンクション
ことを特徴とする請求項11に記載のデジタル署名Sigを生成するシステム。 - メッセージファンクション値
- メッセージファンクション値
- 各署名者端末は、1つのメッセージだけに署名する
ことを特徴とする請求項11に記載のデジタル署名Sigを生成するシステム。 - 少なくとも一個の署名者端末が、複数のメッセージに署名する
ことを特徴とする請求項11に記載のデジタル署名Sigを生成するシステム。 - 一個の署名者端末と一個の検証者端末との間で通信されるデジタルメッセージのリング署名を生成して検証するシステムであって、署名者端末は1つのリングの複数のt個の構成員端末のうちの一個であり、当該リングの各構成員端末は同一性情報に関連付けられており、
リングのt個の構成員端末の各々の秘密鍵を選択する手段であって、各秘密鍵は各リング構成員端末に関連付けられた同一性情報に関連付けられている、という手段と、
各構成員端末の秘密鍵を使用して、リングセットのt個の構成員端末の各々の公開鍵を計算する手段であって、各公開鍵は各リング構成員端末に関連付けられた同一性情報に関連付けられている、という手段と、
所定のファンクションを使用してメッセージファンクション値を生成する手段と、
署名者端末の秘密鍵と、署名者端末以外の(t−1)個のリング構成員端末の各々の公開鍵と、メッセージファンクション値と、を少なくとも使用してリング署名を生成する手段と、
各リング構成員端末に関連付けられた公開鍵を少なくとも使用して、リング署名がリングの一個の構成員端末によって生成されたことを検証する手段と、
を備えたことを特徴とするシステム。 - 一個の署名者端末と一個の検証者端末との間で通信されるデジタルメッセージMのリング署名Sigを生成して検証するシステムであって、署名者端末は1つのセットの複数のt個の構成員端末のうちの一個であり、当該セットの各構成員端末は同一性セット{ID1,.....,IDt}のうちの1つの同一性に関連付けられ、署名者端末は同一性IDs(1≦s≦t)に関連付けられており、
複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成する手段と、
第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるバイリニアで非縮退的なペアリング
第1の循環群Γ1の第1のジェネレータPと、第1の循環群Γ1の第2のジェネレータP'と、を選択する手段と、
第1のシークレット番号sを選択する手段と、
第2のシークレット番号s'を選択する手段と、
第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができるファンクションHを選択する手段と、
セット構成員端末に関連付けられた同一性IDi及びファンクションHを使用して、セットのt個の構成員端末の各々にパブリック点Qiを生成する手段と、
署名者端末のためのプライベート点sP'+s'Qsを生成する手段と、
所定のファンクションを使用して、メッセージMのためのメッセージファンクション値PMを生成する手段と、
署名者端末のプライベート点sP'+s'Q1と、セットのt個の構成員端末の各々のパブリック点Qiと、メッセージファンクション値PMと、を少なくとも使用してリング署名Sigを生成する手段と、
セットのt個の構成員端末の各々のパブリック点Qiを少なくとも使用して、リング署名Sigがセットの一個の構成員端末によって生成されたことを検証する手段と、
を備えたことを特徴とするシステム。 - 第1の循環群Γ1および第2の循環群Γ2の両者が、同じプライムオーダーqから成ることを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。
- 第1の循環群Γ1は、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
第2の循環群Γ2は、有限領域の乗法群である
ことを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。 - 前記ファンクション
ことを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。 - メッセージファンクション値PMは、PM=H(M)を使用して生成されることを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。
- メッセージファンクション値PMは、メッセージMjと、ファンクションHと、1または複数の他のファンクション入力と、を使用して生成されることを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。
- パブリック点Qiは、Qi=H(IDi)を使用して生成されることを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。
- パブリック点Qiは、各セット構成員端末に関連付けられた同一性IDiと、ファンクションHと、1または複数の他のファンクション入力と、を使用して生成されることを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。
- 新たな各プライベート点の生成毎に、新たな第2のシークレット番号s'が選択されることを特徴とする請求項20に記載のデジタル署名Sigを生成して検証するシステム。
- デジタルリング署名Sigを生成する前記手段は、
乱数rM及びri(1≦i≦t)を選択する手段と、
U=sP'+s'Qs+r1Q1+r2Q2+・・・+rtQt+rMPM,Vs=s'P+rsP、VM=rMP、Vi=riP(1≦i≦n、i≠s)において、リング署名Sig=[U,V1,...Vt,VM]を計算する手段と、
を更に含み、
リング署名Sigがリングの一個の構成員端末によって生成されたことを検証する前記手段は、
- t個のリング構成員端末から成る1つのリングのためのリング署名Sigを生成して検証するシステムであって、各リング構成員端末は、階層型システムにおいてルートPKGよりもliレベル下にあり、各リング構成員端末は、受信者に関連付けられた同一性情報
複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成する手段と、
第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるファンクションeを選択する手段と、
第1の循環群Γ1のルートジェネレータP0を選択する手段と、
ルートPKGに関連付けられ且つルートPKGにのみ知られたランダムルート鍵生成シークレットs0を選択する手段と、
ルート鍵生成パラメータQ0=s0P0を生成する手段と、
第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択する手段と、
第2の循環群Γ2の1つの要素から第2の二進数字列を生成することができる第2のファンクションH2を選択する手段と、
t個のリング構成員端末の各々に関連付けられた(li−1)個の先祖下位レベルPKGの各々に、パブリック要素Pil=H1(IDi1,...,IDil)(1≦i≦t及び1≦l≦li−1)を生成する手段と、
t個のリング構成員端末の各々に関連付けられた(li−1)個の先祖下位レベルPKGの各々に、下位レベル鍵生成シークレットsit(1≦i≦t及び1≦l≦li−1)を選択する手段と、
t個のリング構成員端末の各々に関連付けられた(li−1)個の先祖下位レベルPKGの各々に、下位レベルシークレット要素Sil=Si(l−1)+si(l−1)Pil(1≦i≦t及び1≦l≦li−1)を生成する手段であって、si0=s0であり、Sioが0に規定される、という手段と、
t個のリング構成員端末の各々に関連付けられた(li−1)個の先祖下位レベルPKGの各々に、下位レベル鍵生成パラメータQil=silP0(1≦i≦t及び1≦l≦li−1)を生成する手段と、
t個のリング構成員端末の各々にリング構成員端末パブリック要素
t個のリング構成員端末の各々に受信者シークレット要素
メッセージMに署名し、署名者端末のプライベート点
リング署名Sigを検証し、t個のリング構成員端末の各々のためのID−タプル
を備えたことを特徴とするシステム。 - メッセージMに署名する前記手段は、
t個のリング構成員端末の各々に、パブリック点−タプルPik=H(IDi1,....,IDik)を決定する手段と、
t個のパブリック点−タプルから成るセットから非冗長なパブリック点のセットR={R1,....,Rx}を決定する手段と、
リング署名[U,V1,.....,Vx,VM]を生成する手段であって、U=sP'+r1R1+・・・+rxRx+rMPMであり、Vk=rkP(1≦k≦x)であり、VM=rMPである、という手段と、
を更に含み、
リング署名を検証する前記手段は、
- 一個のプロキシ署名者端末と一個の検証者端末との間で通信されるデジタルメッセージMのデジタルプロキシ署名Sigを生成して検証するシステムであって、最初の署名者端末の代わりにプロキシ署名者端末によってデジタルメッセージMが署名され、
複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成する手段と、
第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるバイリニアで非縮退的なペアリング
第1の循環群Γ1のジェネレータPを選択する手段と、
第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができるファンクションHを選択する手段と、
最初の署名者端末のために秘密鍵sor及び公開鍵sorPを選択する手段と、
プロキシ署名者端末のために秘密鍵spr及び公開鍵sprPを選択する手段と、
プロキシ秘密鍵sorPprを生成する手段であって、Pprはプロキシ署名者端末の公開鍵sprPとファンクションHとを使用して決定される、という手段と、
メッセージファンクション値PM=H(M)を生成する手段と、
デジタル署名Sig=sorPpr+sprPMを生成することによってメッセージMに署名する手段と、
を備えたことを特徴とするシステム。 - 第1の循環群Γ1および第2の循環群Γ2の両者が、同じプライムオーダーqから成ることを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。
- 第1の循環群Γ1は、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
第2の循環群Γ2は、有限領域の乗法群である
ことを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。 - 前記ファンクション
ことを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。 - Ppr=H(sprP)を使用してPprが決定されることを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。
- プロキシ署名者端末の公開鍵sprPと、ファンクションHと、1または複数の他のファンクション入力とを使用して、Pprが決定されることを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。
- 第1の循環群Γ1は、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
第2の循環群Γ2は、有限領域の乗法群である
ことを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。 - 前記ファンクション
ことを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。 - Ppr=H(sprP)を使用してPprが決定されることを特徴とする請求項32に記載のデジタル署名Sigを生成して検証するシステム。
- 一個の署名者端末と一個の検証者端末との間で通信されるデジタルメッセージの署名を生成して検証するシステムであって、署名者端末が階層型システムにおいてルートPKGよりもtレベル下にあり、署名者端末は、署名者端末に関連付けられた同一性情報IDytと、ルートPKGと署名者端末との間の階層中にある(t−1)個の下位レベルPKGの各々に関連付けられた同一性情報IDyiと、を含む署名者ID−タプル(IDy1,....,IDyt)に関連付けられており、
(t−l)個の下位レベルPKGの各々に下位レベル公開鍵を生成する手段と、
署名者端末に関連付けられた署名者秘密鍵を生成する手段と、
ランダム署名者トラップドアシークレットを選択する手段と、
ランダム署名者トラップドアシークレットを使用してパブリックハッシュ鍵を生成する手段と、
ランダムメッセージ及び乱数を選択する手段と、
ランダムメッセージと、乱数と、署名者秘密鍵と、トラップドアシークレットと、を使用してオフライン署名を生成する手段と、
オフライン署名をデジタルメッセージと照合する照合乱数を確認する手段と、
照合乱数及びパブリックハッシュ鍵を少なくとも使用して、署名がデジタルメッセージと一致していることを確認することにより、オフライン署名を検証する手段と、
を備えたことを特徴とするシステム。 - 一個の署名者端末と一個の検証者端末との間で通信されるデジタルメッセージMのデジタル署名Sigを生成して検証するシステムであって、署名者端末が階層型システムにおいてルートPKGよりもtレベル下にあり、署名者端末は、署名者端末に関連付けられた同一性情報IDytと、ルートPKGと署名者端末との間の階層中にある(t−1)個の下位レベルPKGの各々に関連付けられた同一性情報IDyiと、を含む署名者ID−タプル(IDy1,....,IDyt)に関連付けられており、
複数の要素から成る第1の循環群Γ1と、複数の要素から成る第2の循環群Γ2と、を生成する手段と、
第1の循環群Γ1の2つの要素から第2の循環群Γ2の1つの要素を生成することができるバイリニアで非縮退的なペアリング
第1の循環群Γ1のルートジェネレータP0を選択する手段と、
ルートPKGに関連付けられ且つルートPKGにのみ知られたランダムルート鍵生成シークレットs0を選択する手段と、
ルート鍵生成パラメータQ0=s0P0を生成する手段と、
第1の二進数字列から第1の循環群Γ1の1つの要素を生成することができる第1のファンクションH1を選択する手段と、
t個の下位レベルPKGの各々に、パブリック要素Pyi=H1(IDy1,...,IDyi)(1≦i≦t−1)を生成する手段と、
n個の下位レベルPKGの各々に、下位レベル鍵生成シークレットsyiを選択する手段であって、各下位レベル鍵生成シークレットsyiは、その関連する下位レベルPKGだけに知られている、という手段と、
m個の下位レベルPKGの各々に、下位レベルシークレット要素Syi=Sy(i−1)+sy(i−1)Pyi(1≦i≦t−1)を生成する手段と、
m個の下位レベルPKGの各々に、下位レベル鍵生成パラメータQyi=syiP0(1≦i≦t−1)を生成する手段と、
署名者端末に関連付けられた署名者パブリック要素Pyt=H1(IDy1,....,IDyt)を生成する手段と、
署名者端末に対応付けられた署名者シークレット要素
ランダム署名者トラップドアシークレットsyt' ∈Z/qZを選択する手段と、
パブリックハッシュ鍵Qyt'=syt'P0を生成する手段と、
ランダムメッセージM'及び乱数r'を選択する手段と、
ランダムメッセージM'に署名して、デジタル署名
r=(syt')−1(M'−M)+r'を生成する手段と、
を備えたことを特徴とするシステム。 - 第1の循環群Γ1および第2の循環群Γ2の両者が、同じプライムオーダーqから成ることを特徴とする請求項42に記載のデジタル署名Sigを生成して検証するシステム。
- 第1の循環群Γ1は、超特異な楕円曲線またはアーベル多様体上の複数の点から成る付加的な群であり、
第2の循環群Γ2は、有限領域の乗法群である
ことを特徴とする請求項42に記載のデジタル署名Sigを生成して検証するシステム。 - 前記ファンクション
ことを特徴とする請求項42に記載のデジタル署名Sigを生成して検証するシステム。 - 複数のm個のメッセージに関する複数のn個の署名者端末によるデジタルマルチ署名を生成するためのシステムであって、各署名者端末がm個のメッセージの一部に署名し、最初の署名者端末によって署名される一部のメッセージが少なくとも一個の他の署名者端末によって署名される一部のメッセージと異なっており、n個の署名者端末の各々が秘密鍵に関連付けられ、所定のファンクションを使用してm個のメッセージの各々のためにメッセージファンクション値が生成されるようになっており、
n個の署名者端末に関連付けられるn個の秘密鍵とm個のメッセージファンクション値とを少なくとも記憶するように動作するメモリと、
前記メモリと通信するとともに、デジタルマルチ署名の長さがn及びmに依存しないように、n個の秘密鍵とメッセージファンクション値とを少なくとも使用してデジタルマルチ署名を生成するように動作するプロセッサと、
を備えたことを特徴とするシステム。 - 一個の署名者端末と一個の検証者端末との間で通信されるデジタルメッセージのリング署名を生成するためのシステムであって、署名者端末は1つのリングの複数のt個の構成員端末のうちの一個であり、リングの各構成員端末は同一性情報に関連付けられており、
署名者端末に関連付けられた秘密鍵と、リング構成員端末に関連付けられた複数の公開鍵と、を少なくとも記憶するように動作するメモリであって、署名者端末に関連付けられた前記秘密鍵は署名者端末の同一性情報に関連付けられ、各リング構成員端末に関連付けられた公開鍵は各リング構成員端末の同一性情報に関連付けられている、というメモリと、
前記メモリと通信し、所定のファンクションを使用してメッセージファンクション値を生成するとともに、メッセージファンクション値と、署名者端末に関連付けられた秘密鍵と、リング構成員端末に関連付けられた公開鍵と、を少なくとも使用してリング署名を生成する、というように動作するプロセッサと、
を備えたことを特徴とするシステム。 - 一個の署名者端末と一個の検証者端末との間で通信されるデジタルメッセージの署名を生成するためのシステムであって、署名者端末が階層型システムにおいてルートPKGよりもtレベル下にあり、署名者端末は、署名者端末に関連付けられた同一性情報IDytと、ルートPKGと署名者端末との間の階層中にある(t−1)個の下位レベルPKGの各々に関連付けられた同一性情報IDyiとを含む署名者ID−タプル(IDy1,....,IDyt)に関連付けられており、
(t−1)個の下位レベルPKGの各々に関連付けられた下位レベル公開鍵と、署名者端末に関連付けられた署名者秘密鍵と、を少なくとも記憶するように動作するメモリと、
前記メモリと通信し、オフライン状態において、ランダムトラップドアシークレットを選択し、ランダムメッセージ及び乱数を選択し、ランダムメッセージと乱数と署名者秘密鍵とトラップドアシークレットとを使用してオフライン署名を生成するように動作するとともに、オンライン状態において、オフライン署名をデジタルメッセージと照合する照合乱数を確認するように動作するプロセッサと、
を備えたことを特徴とするシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US37266802P | 2002-04-15 | 2002-04-15 | |
| PCT/US2003/011821 WO2003090429A1 (en) | 2002-04-15 | 2003-04-15 | Signature schemes using bilinear mappings |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005522968A JP2005522968A (ja) | 2005-07-28 |
| JP4547158B2 true JP4547158B2 (ja) | 2010-09-22 |
Family
ID=29250893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003587078A Expired - Lifetime JP4547158B2 (ja) | 2002-04-15 | 2003-04-15 | バイリニアマッピングを使用する署名スキーム |
Country Status (6)
| Country | Link |
|---|---|
| US (5) | US7533270B2 (ja) |
| EP (2) | EP1497948A4 (ja) |
| JP (1) | JP4547158B2 (ja) |
| CN (4) | CN101453332A (ja) |
| AU (1) | AU2003226413A1 (ja) |
| WO (1) | WO2003090429A1 (ja) |
Families Citing this family (92)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7349538B2 (en) * | 2002-03-21 | 2008-03-25 | Ntt Docomo Inc. | Hierarchical identity-based encryption and signature schemes |
| WO2003090429A1 (en) * | 2002-04-15 | 2003-10-30 | Docomo Communications Laboratories Usa, Inc. | Signature schemes using bilinear mappings |
| US20050089173A1 (en) * | 2002-07-05 | 2005-04-28 | Harrison Keith A. | Trusted authority for identifier-based cryptography |
| GB0215590D0 (en) * | 2002-07-05 | 2002-08-14 | Hewlett Packard Co | Method and apparatus for generating a cryptographic key |
| FR2842680A1 (fr) * | 2002-07-19 | 2004-01-23 | France Telecom | Procede de signature de liste et application au vote electronique |
| US7657748B2 (en) * | 2002-08-28 | 2010-02-02 | Ntt Docomo, Inc. | Certificate-based encryption and public key infrastructure |
| KR20030008183A (ko) * | 2002-12-24 | 2003-01-24 | 학교법인 한국정보통신학원 | 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법 |
| FR2855343B1 (fr) * | 2003-05-20 | 2005-10-07 | France Telecom | Procede de signature electronique de groupe avec anonymat revocable, equipements et programmes pour la mise en oeuvre du procede |
| GB2407948B (en) * | 2003-11-08 | 2006-06-21 | Hewlett Packard Development Co | Smartcard with cryptographic functionality and method and system for using such cards |
| US9281945B2 (en) * | 2003-12-30 | 2016-03-08 | Entrust, Inc. | Offline methods for authentication in a client/server authentication system |
| JP4390570B2 (ja) | 2004-01-21 | 2009-12-24 | 株式会社エヌ・ティ・ティ・ドコモ | 多段署名検証システム、電子署名付与装置、データ追加装置及び電子署名検証装置 |
| DE602005024118D1 (de) * | 2004-03-30 | 2010-11-25 | Univ Dublin City | Verifikation von auf identität basierenden signaturen |
| US8352380B2 (en) * | 2004-05-19 | 2013-01-08 | France Telecom | Method and system for generating a list signature |
| US7664957B2 (en) | 2004-05-20 | 2010-02-16 | Ntt Docomo, Inc. | Digital signatures including identity-based aggregate signatures |
| GB2416282B (en) * | 2004-07-15 | 2007-05-16 | Hewlett Packard Development Co | Identifier-based signcryption with two trusted authorities |
| US20060078790A1 (en) * | 2004-10-05 | 2006-04-13 | Polyplus Battery Company | Solid electrolytes based on lithium hafnium phosphate for active metal anode protection |
| GB2419787B (en) * | 2004-10-28 | 2007-07-04 | Hewlett Packard Development Co | Method and apparatus for providing short-term private keys in public-key cryptographic systems |
| CN101065924B (zh) * | 2004-11-24 | 2011-06-08 | 惠普开发有限公司 | 具有加密功能的智能卡和使用这种卡的方法和系统 |
| US7639799B2 (en) * | 2004-12-14 | 2009-12-29 | Microsoft Corporation | Cryptographically processing data based on a Cassels-Tate pairing |
| KR100732233B1 (ko) | 2004-12-14 | 2007-06-27 | 한국전자통신연구원 | 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법 |
| US8074067B2 (en) * | 2005-02-10 | 2011-12-06 | Nec Corporation | Member certificate acquiring device, member certificate issuing device, group signing device, and group signature verifying device |
| US8285996B2 (en) | 2005-03-30 | 2012-10-09 | Dublin City University | Verification of identity based signatures |
| US7584362B2 (en) * | 2005-04-22 | 2009-09-01 | Microsoft Corporation | Systems and methods for providing signatures |
| US7617397B2 (en) * | 2005-04-29 | 2009-11-10 | Microsoft Corporation | Systems and methods for generation and validation of isogeny-based signatures |
| JP2007004461A (ja) * | 2005-06-23 | 2007-01-11 | Nec Corp | サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム |
| DE102005045733A1 (de) * | 2005-09-23 | 2007-04-05 | Nec Europe Ltd. | Verfahren zum Übermitteln von Nachrichten |
| US7818570B2 (en) * | 2005-10-31 | 2010-10-19 | Ntt Docomo, Inc. | Exclusive set system constructions including, but not limited to, applications to broadcast encryption and certificate revocation |
| US8332649B2 (en) * | 2005-11-08 | 2012-12-11 | Panasonic Corporation | Authentication system, signature creating device, and signature verifying device |
| FR2898747A1 (fr) * | 2006-03-15 | 2007-09-21 | Gemplus Sa | Procede de chiffrement cherchable dechiffrable, systeme pour un tel chiffrement |
| US8157869B2 (en) * | 2007-01-10 | 2012-04-17 | Biomet Manufacturing Corp. | Knee joint prosthesis system and method for implantation |
| US7860853B2 (en) * | 2007-02-14 | 2010-12-28 | Provilla, Inc. | Document matching engine using asymmetric signature generation |
| US7890763B1 (en) * | 2007-09-14 | 2011-02-15 | The United States Of America As Represented By The Director, National Security Agency | Method of identifying invalid digital signatures involving batch verification |
| GB0801662D0 (en) * | 2008-01-30 | 2008-03-05 | Hewlett Packard Development Co | Direct anonymous attestation using bilinear maps |
| US8499149B2 (en) * | 2008-02-20 | 2013-07-30 | Hewlett-Packard Development Company, L.P. | Revocation for direct anonymous attestation |
| AU2009251886A1 (en) * | 2008-05-29 | 2009-12-03 | Agency For Science, Technology And Research | A method of signing a message |
| US20090327735A1 (en) * | 2008-06-26 | 2009-12-31 | Microsoft Corporation | Unidirectional multi-use proxy re-signature process |
| EP2360659A4 (en) * | 2008-08-29 | 2013-03-13 | Univ Okayama Nat Univ Corp | PAIRING CALCULATION DEVICE, PAIRING CALCULATION METHOD AND PAIRING CALCULATION PROGRAM |
| JP5183401B2 (ja) * | 2008-09-29 | 2013-04-17 | Kddi株式会社 | アグリゲート署名生成システム、アグリゲート署名生成方法、およびアグリゲート署名生成プログラム |
| JP5324875B2 (ja) * | 2008-09-29 | 2013-10-23 | Kddi株式会社 | 多重署名生成システム、多重署名生成方法、および多重署名生成プログラム |
| US20100318782A1 (en) * | 2009-06-12 | 2010-12-16 | Microsoft Corporation | Secure and private backup storage and processing for trusted computing and data services |
| DE102009027268B3 (de) * | 2009-06-29 | 2010-12-02 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Identifikators |
| CN101820626B (zh) * | 2009-10-19 | 2013-04-10 | 兰州理工大学 | 基于无线mesh网络身份的无可信pkg的部分盲签名方法 |
| EP2326042B1 (fr) * | 2009-11-18 | 2013-04-03 | STMicroelectronics (Rousset) SAS | Procédé de détection d'une attaque par injection de fautes |
| JP5497595B2 (ja) * | 2010-09-13 | 2014-05-21 | Kddi株式会社 | アグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラム |
| CN101984577B (zh) * | 2010-11-12 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
| CN101997688B (zh) | 2010-11-12 | 2013-02-06 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
| KR101040588B1 (ko) * | 2010-12-13 | 2011-06-10 | 한국기초과학지원연구원 | 익명성을 제공하는 효율적인 신원기반 환서명 방법과 그 시스템 |
| JP5693206B2 (ja) * | 2010-12-22 | 2015-04-01 | 三菱電機株式会社 | 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム |
| JP2012175634A (ja) * | 2011-02-24 | 2012-09-10 | Kddi Corp | アグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラム |
| US8661240B2 (en) * | 2011-04-29 | 2014-02-25 | International Business Machines Corporation | Joint encryption of data |
| ES2400894B1 (es) | 2011-05-13 | 2014-03-11 | Telefónica, S.A. | Procedimiento para una firma digital múltiple |
| US9166778B2 (en) * | 2011-07-15 | 2015-10-20 | Alcatel Lucent | Secure group messaging |
| US8799675B2 (en) * | 2012-01-05 | 2014-08-05 | House Of Development Llc | System and method for electronic certification and authentication of data |
| WO2013111673A1 (ja) * | 2012-01-24 | 2013-08-01 | 日本電信電話株式会社 | 署名検証システム、署名装置、検証装置、署名検証方法 |
| CN103312499B (zh) | 2012-03-12 | 2018-07-03 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及系统 |
| CN103312670A (zh) | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及系统 |
| US10229200B2 (en) * | 2012-06-08 | 2019-03-12 | International Business Machines Corporation | Linking data elements based on similarity data values and semantic annotations |
| US10148285B1 (en) | 2012-07-25 | 2018-12-04 | Erich Schmitt | Abstraction and de-abstraction of a digital data stream |
| US9779378B1 (en) * | 2012-11-16 | 2017-10-03 | Isaac S. Daniel | Automatic transmission mobile post office system |
| WO2014088130A1 (en) * | 2012-12-05 | 2014-06-12 | Inha-Industry Partnership Institute | Proxy signature scheme |
| US20140181984A1 (en) | 2012-12-21 | 2014-06-26 | International Business Machines Corporation | Method and apparatus for authentication of solution topology |
| FR3006782A1 (fr) * | 2013-06-11 | 2014-12-12 | France Telecom | Procede et systeme de delegation d'un calcul d'une valeur de couplage bilineaire a un serveur de calcul |
| KR102238681B1 (ko) | 2013-07-01 | 2021-04-12 | 삼성전자주식회사 | 데이터 인증을 위한 서명 정보 생성 및 검증 방법과 이를 위한 시스템 |
| CN104468476B (zh) * | 2013-09-16 | 2017-12-05 | 华为终端(东莞)有限公司 | 无证书多重代理签名的方法和装置 |
| JPWO2015056601A1 (ja) * | 2013-10-16 | 2017-03-09 | 日本電信電話株式会社 | 鍵装置、鍵クラウドシステム、復号方法、およびプログラム |
| US10795858B1 (en) | 2014-02-18 | 2020-10-06 | Erich Schmitt | Universal abstraction and de-abstraction of a digital data stream |
| US10316408B2 (en) * | 2014-12-12 | 2019-06-11 | Silcotek Corp. | Delivery device, manufacturing system and process of manufacturing |
| US10333696B2 (en) | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
| EP3545645B1 (en) | 2016-11-19 | 2024-03-06 | Dfinity Stiftung | System architecture and method of processing data therein |
| CN106888096B (zh) * | 2017-03-23 | 2019-10-08 | 西安电子科技大学 | 基于混淆技术的安全广播多重签名方法 |
| US10411891B2 (en) * | 2017-06-28 | 2019-09-10 | Nxp B.V. | Distance-revealing encryption |
| CN107846281B (zh) * | 2017-10-30 | 2020-12-08 | 上海应用技术大学 | 基于位置的代理多重签名方法和系统 |
| CN108055134B (zh) * | 2017-12-12 | 2020-08-25 | 武汉理工大学 | 椭圆曲线点数乘及配对运算的协同计算方法及系统 |
| SG11202005570XA (en) | 2017-12-15 | 2020-07-29 | Nchain Holdings Ltd | Computer-implemented systems and methods for authorising blockchain transactions with low-entropy passwords |
| US10531272B2 (en) * | 2018-04-26 | 2020-01-07 | Hewlett Packard Enterprise Development Lp | PLMN specific supplementary services consistency in home and visited network |
| CN108829660B (zh) * | 2018-05-09 | 2021-08-31 | 电子科技大学 | 一种基于随机数分治递归的短文本签名生成方法 |
| CN109802956B (zh) * | 2019-01-02 | 2021-09-10 | 西安邮电大学 | 基于环签名的车载网匿名认证系统和方法、车辆通信平台 |
| CN109743181B (zh) * | 2019-01-14 | 2022-04-19 | 深圳大学 | 一种邮件隐私保护方法、装置及终端设备 |
| CN109831312B (zh) * | 2019-03-28 | 2022-04-19 | 深圳大学 | 可连接环签名方法、装置、设备以及存储介质 |
| WO2020255207A1 (ja) * | 2019-06-17 | 2020-12-24 | 日本電信電話株式会社 | コンテンツ利用システム、許諾端末、閲覧端末、配信端末、および、コンテンツ利用プログラム |
| FR3102023B1 (fr) * | 2019-10-11 | 2023-03-24 | Orange | Procédé de dérivation de signature partielle avec vérification partielle |
| US11265176B1 (en) | 2019-12-18 | 2022-03-01 | Wells Fargo Bank, N.A. | Systems and applications to provide anonymous feedback |
| US11509484B1 (en) | 2019-12-18 | 2022-11-22 | Wells Fargo Bank, N.A. | Security settlement using group signatures |
| US11398916B1 (en) | 2019-12-18 | 2022-07-26 | Wells Fargo Bank, N.A. | Systems and methods of group signature management with consensus |
| US11438152B2 (en) | 2020-01-31 | 2022-09-06 | Visa International Service Association | Distributed symmetric encryption |
| WO2021222272A1 (en) * | 2020-04-28 | 2021-11-04 | Visa International Service Association | Adaptive attack resistant distributed symmetric encryption |
| US11431487B2 (en) | 2020-04-28 | 2022-08-30 | Visa International Service Association | Adaptive attack resistant distributed symmetric encryption |
| JP7355247B2 (ja) | 2020-06-30 | 2023-10-03 | 富士通株式会社 | 署名制御方法、署名制御プログラム、および情報処理装置 |
| CN113972987B (zh) * | 2021-10-28 | 2023-07-18 | 南京邮电大学 | 一种基于子分组的身份基多重签名方法 |
| CN114389820B (zh) * | 2022-03-22 | 2022-07-12 | 北京百度网讯科技有限公司 | 基于区块链的签名验证方法、装置、设备和存储介质 |
| CN115001711B (zh) * | 2022-06-10 | 2024-01-30 | 成都卫士通信息产业股份有限公司 | 信息签名方法、装置、电子设备及计算机可读存储介质 |
| CN116938475B (zh) * | 2023-09-08 | 2023-12-19 | 北京信安世纪科技股份有限公司 | 一种环签名方法、装置、设备及存储介质 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4309569A (en) | 1979-09-05 | 1982-01-05 | The Board Of Trustees Of The Leland Stanford Junior University | Method of providing digital signatures |
| US4306569A (en) * | 1979-10-10 | 1981-12-22 | Institute Of Critical Care Medicine | Apparatus and method for assessing the condition of critically ill patients |
| US5432852A (en) | 1993-09-29 | 1995-07-11 | Leighton; Frank T. | Large provably fast and secure digital signature schemes based on secure hash functions |
| US5825880A (en) * | 1994-01-13 | 1998-10-20 | Sudia; Frank W. | Multi-step digital signature method and system |
| DE69534603T2 (de) | 1994-07-29 | 2006-08-03 | Certicom Corp., Mississauga | Verschlüsselungssystem für elliptische kurve |
| US5795966A (en) * | 1995-02-22 | 1998-08-18 | Immunex Corp | Antagonists of interleukin-15 |
| US5590197A (en) | 1995-04-04 | 1996-12-31 | V-One Corporation | Electronic payment system and method |
| DE69638307D1 (de) * | 1995-06-05 | 2011-01-27 | Cqrcert Llc | Verfahren und Einrichtung zur digitalen Unterschrift in mehreren Schritten |
| US6088798A (en) * | 1996-09-27 | 2000-07-11 | Kabushiki Kaisha Toshiba | Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein |
| US6035041A (en) * | 1997-04-28 | 2000-03-07 | Certco, Inc. | Optimal-resilience, proactive, public-key cryptographic system and method |
| US6212637B1 (en) * | 1997-07-04 | 2001-04-03 | Nippon Telegraph And Telephone Corporation | Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon |
| US6108783A (en) * | 1998-02-11 | 2000-08-22 | International Business Machines Corporation | Chameleon hashing and signatures |
| US6754820B1 (en) | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| JP2000137435A (ja) * | 1998-10-29 | 2000-05-16 | Mitsubishi Materials Corp | チームデータリスト管理装置及びチームデータリスト保管装置及びチームデータリスト処理システム、並びに、それらの記録媒体 |
| JP2000148012A (ja) * | 1998-11-12 | 2000-05-26 | Fuji Xerox Co Ltd | 認証装置および方法 |
| EP1137126B1 (en) | 1998-11-30 | 2010-01-13 | Ebara Corporation | Electric discharge excitation excimer laser |
| US6735313B1 (en) | 1999-05-07 | 2004-05-11 | Lucent Technologies Inc. | Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers |
| US6826687B1 (en) | 1999-05-07 | 2004-11-30 | International Business Machines Corporation | Commitments in signatures |
| US6760441B1 (en) | 2000-03-31 | 2004-07-06 | Intel Corporation | Generating a key hieararchy for use in an isolated execution environment |
| JP4622064B2 (ja) | 2000-04-06 | 2011-02-02 | ソニー株式会社 | 情報記録装置、情報再生装置、情報記録方法、情報再生方法、および情報記録媒体、並びにプログラム提供媒体 |
| US20020136401A1 (en) | 2000-07-25 | 2002-09-26 | Jeffrey Hoffstein | Digital signature and authentication method and apparatus |
| CA2417770C (en) | 2000-08-04 | 2011-10-25 | First Data Corporation | Trusted authentication digital signature (tads) system |
| US6886296B1 (en) | 2000-08-14 | 2005-05-03 | Michael John | Wooden post protective sleeve |
| US20020025034A1 (en) | 2000-08-18 | 2002-02-28 | Solinas Jerome Anthony | Cryptographic encryption method using efficient elliptic curve |
| IL138109A (en) * | 2000-08-27 | 2009-11-18 | Enco Tone Ltd | Method and devices for digitally signing files, using a mobile device |
| TW508860B (en) | 2000-08-30 | 2002-11-01 | Mitsui & Amp Co Ltd | Paste-like thin electrode for battery, its manufacturing method, and battery |
| JP4622087B2 (ja) | 2000-11-09 | 2011-02-02 | ソニー株式会社 | 情報処理装置、および情報処理方法、並びにプログラム記憶媒体 |
| US7088822B2 (en) | 2001-02-13 | 2006-08-08 | Sony Corporation | Information playback device, information recording device, information playback method, information recording method, and information recording medium and program storage medium used therewith |
| US20020154782A1 (en) | 2001-03-23 | 2002-10-24 | Chow Richard T. | System and method for key distribution to maintain secure communication |
| JP4606628B2 (ja) * | 2001-03-26 | 2011-01-05 | ルネサスエレクトロニクス株式会社 | 入力回路 |
| JP2005500740A (ja) | 2001-08-13 | 2005-01-06 | ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ | Idベース暗号化および関連する暗号手法のシステムおよび方法 |
| US7349538B2 (en) * | 2002-03-21 | 2008-03-25 | Ntt Docomo Inc. | Hierarchical identity-based encryption and signature schemes |
| WO2003090429A1 (en) * | 2002-04-15 | 2003-10-30 | Docomo Communications Laboratories Usa, Inc. | Signature schemes using bilinear mappings |
| US7657748B2 (en) | 2002-08-28 | 2010-02-02 | Ntt Docomo, Inc. | Certificate-based encryption and public key infrastructure |
| KR100581440B1 (ko) * | 2003-07-04 | 2006-05-23 | 학교법인 한국정보통신학원 | 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및방법 |
-
2003
- 2003-04-15 WO PCT/US2003/011821 patent/WO2003090429A1/en active Application Filing
- 2003-04-15 CN CNA200810184733XA patent/CN101453332A/zh active Pending
- 2003-04-15 CN CNA2008101847325A patent/CN101483523A/zh active Pending
- 2003-04-15 US US10/499,853 patent/US7533270B2/en active Active
- 2003-04-15 EP EP03747014A patent/EP1497948A4/en not_active Withdrawn
- 2003-04-15 EP EP10184242A patent/EP2375628A2/en not_active Withdrawn
- 2003-04-15 AU AU2003226413A patent/AU2003226413A1/en not_active Abandoned
- 2003-04-15 CN CNA038040786A patent/CN1633776A/zh active Pending
- 2003-04-15 CN CNA2008101847310A patent/CN101453331A/zh active Pending
- 2003-04-15 JP JP2003587078A patent/JP4547158B2/ja not_active Expired - Lifetime
-
2007
- 2007-12-12 US US11/955,105 patent/US7814326B2/en not_active Expired - Lifetime
- 2007-12-12 US US11/955,047 patent/US7653817B2/en not_active Expired - Lifetime
- 2007-12-12 US US11/955,167 patent/US7853016B2/en active Active
-
2010
- 2010-02-24 US US12/711,924 patent/US8180049B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003226413A1 (en) | 2003-11-03 |
| JP2005522968A (ja) | 2005-07-28 |
| CN101453331A (zh) | 2009-06-10 |
| CN101483523A (zh) | 2009-07-15 |
| CN1633776A (zh) | 2005-06-29 |
| US7653817B2 (en) | 2010-01-26 |
| US20100153712A1 (en) | 2010-06-17 |
| US7533270B2 (en) | 2009-05-12 |
| EP1497948A4 (en) | 2007-03-21 |
| EP1497948A1 (en) | 2005-01-19 |
| US7814326B2 (en) | 2010-10-12 |
| EP2375628A2 (en) | 2011-10-12 |
| US7853016B2 (en) | 2010-12-14 |
| CN101453332A (zh) | 2009-06-10 |
| US20080133926A1 (en) | 2008-06-05 |
| US20080313465A1 (en) | 2008-12-18 |
| US20080178005A1 (en) | 2008-07-24 |
| US20050022102A1 (en) | 2005-01-27 |
| WO2003090429A1 (en) | 2003-10-30 |
| US8180049B2 (en) | 2012-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4547158B2 (ja) | バイリニアマッピングを使用する署名スキーム | |
| JP2005521323A (ja) | 階層型の同一性に基づく暗号化および署名スキーム | |
| JP2004208263A (ja) | バイリニアペアリングを用いた個人識別情報に基づくブラインド署名装置及び方法 | |
| JP2002534701A (ja) | 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム | |
| KR20030062401A (ko) | 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법 | |
| CN112152813B (zh) | 一种支持隐私保护的无证书内容提取签密方法 | |
| Pang et al. | Efficient and secure certificateless signature scheme in the standard model | |
| CN111130758A (zh) | 一种适用于资源受限设备的轻量级匿名认证方法 | |
| US20050135610A1 (en) | Identifier-based signcryption | |
| Popescu | An efficient ID-based group signature scheme | |
| CN112989436A (zh) | 一种基于区块链平台的多重签名方法 | |
| CN111431715A (zh) | 一种支持隐私保护的策略控制签名方法 | |
| CN116318736A (zh) | 一种用于分级管理的二级门限签名方法及装置 | |
| Prasad et al. | Digital signatures | |
| EP1921790A1 (en) | Signature schemes using bilinear mappings | |
| Ye et al. | Group signature scheme based on verifiable random number | |
| Ma et al. | Certificateless group inside signature | |
| JP3540477B2 (ja) | 署名方式 | |
| Zhang et al. | A novel authenticated encryption scheme and its extension | |
| Kim et al. | Self proxy signature scheme | |
| CN109150545B (zh) | 基于ECC的(m,N)门限群签名方法 | |
| Parvin et al. | A new identity-based group signature scheme based on knapsack ECC | |
| Xie et al. | Improvement of provably secure self-certified proxy convertible authenticated encryption scheme | |
| Pomykała | ID-based digital signatures with security enhanced approach | |
| Lin et al. | Toward Secure CB-Signcryption for Wireless Ad Hoc Networks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20051115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060120 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060320 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090901 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091102 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100622 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100705 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130709 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4547158 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |