JP4629889B2 - 検証可暗号方法、その装置、そのプログラム及びその記録媒体 - Google Patents
検証可暗号方法、その装置、そのプログラム及びその記録媒体 Download PDFInfo
- Publication number
- JP4629889B2 JP4629889B2 JP2001070137A JP2001070137A JP4629889B2 JP 4629889 B2 JP4629889 B2 JP 4629889B2 JP 2001070137 A JP2001070137 A JP 2001070137A JP 2001070137 A JP2001070137 A JP 2001070137A JP 4629889 B2 JP4629889 B2 JP 4629889B2
- Authority
- JP
- Japan
- Prior art keywords
- random number
- value
- function
- mod
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
この発明は、電気通信システムで同時署名交換方式、鍵寄託暗号方式や電子現金などのプロトコルにおいて使われる認証可暗号方法、その装置、プログラム及びその記録媒体に関する。
【0002】
【従来の技術】
例えば利用者AとB間で電気通信を利用して同時署名交換を行う場合、完全に同時に行うことは困難であり、何れかが先になり、利用者Bが利用者Aの署名SAを先に受信したが、利用者Bがその署名SBを利用者へ送らないようなことがあっては困る。そこで利用者Aが署名SAを、例えば調停機関の公開鍵を用いて認証可暗号方法で暗号化して利用者Bへ送り、利用者Bはその暗号化署名を受信し、その暗号化署名を復号することはできないが、その暗号化署名は署名SAを確に暗号化したものであることを検証することができ、その検証に合格すると、利用者Bは自己の署名SBを利用者Aへ送り、利用者Aは署名SBを受信した後、自己の署名SAを利用者Bへ送る。このようにすれば、利用者Bは署名SBを送信後、利用者Aよりの署名SAが受信されなかった場合は、先に受信した暗号化署名を調停機関へ提出して、署名SAを復号してもらうことができる。
【0003】
検証可暗号方法は例えばこのようなことに利用されるが、従来、検証可暗号方法として、代表的なものは、文献[1]及び[2]がある。ここでは、特にこの発明と類似した方法である文献[2]のBaoの方法について簡単に説明する。Baoの方法においては、送信者は、秘密情報sに対して、
c=gi s mod ni , w=gs mod p
を作成する。つまりsを暗号化したデータcとsに対し一方向性関数fを適用した関数値wとを求める。ここで、(gi ,ni )は、岡本−内山暗号(文献[3]参照)を簡易化したもののパラメータであり、pは素数、g∈(Z/pZ)Xである。(Z/pZ)Xはpを法とする既約剰余類群を表わす。
【0004】
Dsk(c)=f-1(w)(実際には、Dsk(c)≡±{loggw}(mod p))であることをsを明すことなく証明するための証明用情報を作成する。Dskはsに対する暗号化関数と対応する復号関数、f-1は一方向性関数fの逆関数を表わす。
即ち送信者はランダムにu∈[0,2k )([0,2k )は0<u<2k を表わす)を選び、次のa,bを計算する。
a=gi u mod ni , b=gu mod n
次に、ハッシュ関数Hを用いてe=H(a,b)を計算し、次式によりxを求める。
【0005】
x=u−es∈Z
ここで∈Zは単なる数値を乗算、減算であることを表わす。
送信者はcとwに証明用情報(x,e)を付けて検証者へ送信する。
検証者はc,w,x,eを受信すると、
e′=H(gi x we ,gx we )
を計算し、この計算結果e′が受信したeと等しいか否かを検証する。c,w,x,eが正しいものであれば、x=u−esであるからgi x we =gi u-es(gs )e =a,gx we =gu-es(gs )e =bとなり、e=e′となり、cを復号した値sと、wの逆関数値sとが等しいものであることが、検証できる。
【0006】
【発明が解決しようとする課題】
前記Baoの方法は、c=gi s mod niと岡本−内山暗号を簡易化したものを使っているため、入力w=gs mod nと合わせて、秘密情報sについての情報が多くもれている可能性がある。
【0007】
【課題を解決するための手段】
この発明は本来の岡本−内山暗号を使用する。ただ使用するパラメータを多少変更し、その変更にもとづき、この発明の効果が得られる。この変更の点について以下に説明する。
まず従来の岡本−内山暗号では
公開パラメータを(n,g,h,k)とし、秘密パラメータを(p,q,L(gp))とする。ここでn=p2q,p,qは素数、gは(Z/nZ)Xの元で、gを(Z/p2Z)Xの元と考えた時(すなわちg^=g mod p2)g^の位数♯<g^>がpの倍数(すなわちp1♯<g^>)とならないといけない。さらに、hはh=gn mod nで定義される。暗号化は次式による。
【0008】
EPK OU(m;r)=gmhr mod n
ここで平文m∈{0,1}k,乱数r∈{0,1}3k 復号は次式による
DSK OU(C)=L(Cp-1 mod p2)/L(gp)(mod p)
ここでgp=gp-1 mod p2,L(x)=(x−1)/pである。
一方の発明では、公開パラメータ、秘密パラメータは岡本−内山暗号のそれらと基本的には同じであるが、以下の制限を付ける。
n=p2q、p,qは素数、すなわち、
p′=(p−1)/2,q′=(q−1)/2もまた、素数となるようなものとする。さらに、
♯<g^>=p・p′(g^=g mod p2)
♯<g^^>=q′(g^^=g mod q)
になるようにg∈(Z/nZ)Xを取る。さらに
h=gnt mod n(t∈{0,1}3k)
とし、tは秘密として保持する。この結果、Bao方法に比べて検証の計算量が増えるが、一方で安全性証明が付くという利点がある。本提案方法では、秘密sについての情報が入力w(=gs mod n)から漏れる情報以上は漏れないことが証明できるが、Bao方法ではそのようなことは証明できない。
【0009】
【発明の実施の形態】
図1にこの発明が適用されるシステムの構成例を示す。送信者装置11は検証者装置12と通信回線13を通じて接続されている。送信者装置11がICカードのようなもので、これに対し、検証者装置12がICカードが装着される端末のようなものでもよい。
送信者装置11及び検証者装置12は(n,g)と(ni ,gi ,hi ,k)を共通にもち、かつ共通のハッシュ関数H機能を備えている。(n,g)は送信者装置11の公開鍵であり、nは任意整数、g∈(Z/nZ)Xである。(ni ,gi ,hi ,k)は前述した制限を与えた岡本−内山暗号の公開鍵であり、一般には何れの者のものであってもよいが、特化された応用例では送信者装置11及び検証者装置12以外の第三者装置の公開鍵であり、例えば前記従来の技術の項で述べた同時署名では調停機関の公開鍵である。ni =pi 2qi で、pi ,qiは素数である。ハッシュ関数Hは(Z/nZ)Xに属する値と(Z/ni Z)Xに属する値とを入力としてk′ビットの0,1よりなる値を出力する。ここでk,k′(Hの出力値サイズ),log n(nのサイズ)は、
k−(log n+k′)∈O(k)(kのオーダを表わす)
の関係を満たす。例えば推奨値としてはk=1280(bit)、log n=1024(bit)、k′=128(bit)である。
【0010】
図2に送信者装置11の機能構成例を示し、図3にその処理手順の例を示す。送信者装置11の記憶部101には共通情報n,g,ni ,gi ,hi ,kが格納されている。秘密情報sは入力部102を通じ外部から入力され、あるいは送信者装置11の内部で生成され、又は保持されている。秘密情報sが検証可暗号化のために入力されると(S1)、その秘密情報sと公開鍵gi ,hi ,niが暗号化部103へ入力され、暗号化部103では内部の乱数生成部103aで乱数rを生成し、sに対し、次の暗号化演算を行い、暗号化データcを生成する(S2)。
【0011】
c=gi shi r mod ni (1)
またsと送信者装置11の公開鍵g,nが一方向性関数部104に入力され、次式により一方向性関数値wが計算される(S3)。
w=gs mod n (2)
この公開鍵暗号化データcを復号した値と、一方向性関数値wの逆関数値とが等しいことを、秘密情報sを明すことなく、かつ非対話形式で検証者装置12で検証できる証明用情報Cをcとwに付加して検証者装置12へ送信する。以下に証明用情報Cの生成方法を示す。
【0012】
送信者装置11はまずランダムにu∈[0,2k ),v∈[0,23k)を選ぶ、つまり乱数生成部105から0<u<2k の乱数uを生成し、また乱数生成部106から0<v<23k の乱数vを生成する(S4)。
これら乱数u,vと公開鍵gi ,hi ,ni が剰余べき乗乗算部107へ入力されて下記の計算がなされる(S5)。
a=gi uhi v mod ni (3)
またuと公開鍵g,nが剰余べき乗計算部108に入力されて下記の計算がなされる(S6)。
【0013】
b=gu mod n (4)
これら計算結果a,bはハッシュ関数部109に入力されて
e=H(a,b) (5)
が計算される(S7)。
このハッシュ関数値eと乱数u、秘密情報s が乗算減算部111に入力され、
x=u−es∈Z (6)
が計算される(S8)。ここで∈Zは数値u,e,sの単なる乗算、減算を示す。またeと乱数vと乱数rが乗算減算部112に入力され、
y=v−er∈Z (7)
が計算される(S9)。このようにして秘密情報s についての証明用情報C=(x,y,e)が作られる。暗号化データcと一方向性関数値wと証明用情報Cを出力部113より検証者装置12へ出力する(S10)。なおステップS2とS3は何れを先にしてもよく、同様にステップS5とS6、ステップS8とS9はそれぞれ何れを先にしてもよい。
【0014】
送信者装置11において各部は制御部114により動作させられる。
次に検証者装置12における検証処理について説明する。
検証者装置12の機能構成例を図4に示し、その処理手順の例を図5に示す。
検証者装置12の記憶部201には送信者装置11の共通情報鍵(n,g)(gi ,hi ,k)が格納されてある。
検証者装置12の受信部202に送信者装置11から暗号化データc、一方向性関数値w、証明用情報C=(x,y,e)を受信すると、必要に応じて記憶部201に格納する(S1)。
【0015】
受信したxと公開鍵kが判定部203に入力され、xが0<x<2k の範囲にあるかが調べられる(S2)。
xがこの条件を満していれば、受信したx,y,c,eと公開鍵gi ,hi がべき乗乗算部204に入力され、
a′=gi xhi yce (8)
が計算される(S3)。xに式(6)を、yに式(7)をcに式(1)をそれぞれ代入すると、
となる。またべき乗乗算部205に受信したx,e,wと公開鍵gが入力され、
b′=gx we (10)
が計算される(S4)。xに式(6)をwに式(2)を代入すると、
b′=g(u-es)ges=gu (11)
となる。これら計算結果a′,b′がハッシュ関数部206に入力され、
e′=H(a′,b′) (12)
が計算される(S5)。この計算結果e′と受信したeとが比較部207に入力され、両者が等しいか否か調べられる(S6)。等しければ合格が出力される(S7)。式(8)、式(9)からcを復号した値がsであればa′=aになり、式(10)と式(11)からwの逆関数値がsであれば、b′=bとなり、式(5)と式(12)からe′=eであれば、cの復号したsとw の逆関数値のsとが等しいことになる。
【0016】
従って、判定部203からのxが条件を満す出力と、比較部207からのeとe′が等しいことを示す出力が出力部208に入力されると合格を示す、つまり受信したcの復号値と受信したwの逆関数値とが等しいことを示す信号が出力される。判定部203から条件を満さないことを示す出力、比較部207から等しくないことを示す出力が出力部211に入力されると、受信したcの復号値と、wの逆関数値とが等しくない、つまり正しく検証可暗号データではないことを示す信号が出力される(S8)。なおステップS2とS6の検証は何れを先にしてもよい、ステップS3とS4は何れを先にしてもよい。検証者装置12において各部は制御部209により制御される。
【0017】
送信者装置11及び検証者装置12は何れもコンピュータによりプログラムを実行して機能させることもできる。その場合は例えば、送信者装置11について示すと図6に示すように、記憶部121、乱数生成部122、ハッシュ関数部123、剰余べき乗乗算部124、剰余べき乗計算部125、乗算減算部126、プログラムメモリ127、CPU(マイクロプロセッサ)128、出力部129がバス131に接続され、プログラムメモリ127に、CD−ROM、フロッピーディスク、磁気ディスクなどから例えば図2に示した方法をコンピュータに実行させるためのプログラムがインストールされ、又は通信回線を介してダウンロードされ、このメモリ127内のプログラムをCPU128が実行して、ステップS2で剰余べき乗乗算部124にサブルーチンとして式(1)を計算させ、ステップS3では剰余べき乗計算部125に式(2)を計算させ、ステップS4では乱数生成部122に乱数u ,vを生成させ、ステップS5で乗余べき乗乗算部124に式(3)を計算させ、ステップS6で剰余べき乗計算部125に式(4)を計算させ、ステップS7でハッシュ関数演算部123に式(5)を計算させ、ステップS8で乗算減算部126に式(6)を計算させ、ステップS9で乗算減算部126に式(7)を計算させ、ステップS10で出力部129に検証者装置12への送出を行わせる。
【0018】
【発明の効果】
この発明によれば、入力、c,wに対して、
Dsk(c)≡±{loggw}(mod pi )
であることが証明できる一方で、秘密情報sについての情報が入力w(=gs mod n)から漏れる情報以上は漏れないことが証明できる。Dskはsに対する公開鍵暗号関数に対する復号関数である。
実際、以下の定理を示すことが出来る。
【0019】
この発明は、以下の性質を満たす。
・完全性:正しい証明者が正しくプロトコルを実行した時に、検証者が検証に成功する確率は、1−2-(k-log n-k′)である。k,n,k′について前記推奨値を代入するとこの成功確率は1−2-28となり、ほぼ1に等しい。従ってk′+log n<kなら、常に圧倒的な確率で完全性を満たし、秘密sのもれがなく、検証者装置で完全に検証することができる。
・零知識性:正しい証明者が正しくプロトコルを実行した時に漏らしている知識は統計的に高々2-(k-log n-k′)である。ここで漏らしている知識とは統計的零知識証明において定義される知識である。前記数値では漏らしている知識は高々2-28となり、知識は実質的に漏れていない。
【0020】
・健全性:検証者装置の検証プロトコルを確率εで満足させられるような証明者が存在した場合、証明者が本当に知識を持っている確率は1−{(k′)-logk′+(k′)logk′/2k′+εSRSA}でありそれは時間O(kC/(ε−2k′)2)でチェックできる。ここでCは定数。εSRSAは証明者がStrongRSA問題を解ける確率である。つまり秘密sが本当のものであることを保証している。
【図面の簡単な説明】
【図1】この発明が適用されるシステムの構成例を示す図。
【図2】この発明における送信者装置の機能構成例を示す図。
【図3】図2に示した装置の処理手順の例を示す流れ図。
【図4】この発明における検証者装置の機能構成例を示す図。
【図5】図4に示した装置の処理手順の例を示す流れ図。
【図6】送信者装置11とコンピュータにより構成する場合の機能構成例を示す図。
参考文献
[1] G.Ateniese.Efficient verifiable encryption(and fair exchange)of digital signature. In Proceedings of the Fifth Annual Conference on Computer and Communications Security, pages 138-146,Singapore,November 1999.ACM.
[2] F.Bao.An efficient verifiable encryption scheme for encryption of discrete logarithm. In J.J.Quisquater and B.Schneier,editors,Smart Card Research and Aplications,Third International Conference,CARDIS'98,volume 1820 of Lecture Notes in Computer Science,pages 213-220,Louvain-la-Neuve,Belgium,2000. Springer-Verlag.
[3] T.Okamoto and S.Uchiyama. A new public-key cryptosystem as secure as factoring. In K.Nyberg,editor,Advances in Cryptology-EUROCRYPT'98, Lecture Notes in Computer Science,pages 308-318.Springer-Verlag,1998.
【発明の属する技術分野】
この発明は、電気通信システムで同時署名交換方式、鍵寄託暗号方式や電子現金などのプロトコルにおいて使われる認証可暗号方法、その装置、プログラム及びその記録媒体に関する。
【0002】
【従来の技術】
例えば利用者AとB間で電気通信を利用して同時署名交換を行う場合、完全に同時に行うことは困難であり、何れかが先になり、利用者Bが利用者Aの署名SAを先に受信したが、利用者Bがその署名SBを利用者へ送らないようなことがあっては困る。そこで利用者Aが署名SAを、例えば調停機関の公開鍵を用いて認証可暗号方法で暗号化して利用者Bへ送り、利用者Bはその暗号化署名を受信し、その暗号化署名を復号することはできないが、その暗号化署名は署名SAを確に暗号化したものであることを検証することができ、その検証に合格すると、利用者Bは自己の署名SBを利用者Aへ送り、利用者Aは署名SBを受信した後、自己の署名SAを利用者Bへ送る。このようにすれば、利用者Bは署名SBを送信後、利用者Aよりの署名SAが受信されなかった場合は、先に受信した暗号化署名を調停機関へ提出して、署名SAを復号してもらうことができる。
【0003】
検証可暗号方法は例えばこのようなことに利用されるが、従来、検証可暗号方法として、代表的なものは、文献[1]及び[2]がある。ここでは、特にこの発明と類似した方法である文献[2]のBaoの方法について簡単に説明する。Baoの方法においては、送信者は、秘密情報sに対して、
c=gi s mod ni , w=gs mod p
を作成する。つまりsを暗号化したデータcとsに対し一方向性関数fを適用した関数値wとを求める。ここで、(gi ,ni )は、岡本−内山暗号(文献[3]参照)を簡易化したもののパラメータであり、pは素数、g∈(Z/pZ)Xである。(Z/pZ)Xはpを法とする既約剰余類群を表わす。
【0004】
Dsk(c)=f-1(w)(実際には、Dsk(c)≡±{loggw}(mod p))であることをsを明すことなく証明するための証明用情報を作成する。Dskはsに対する暗号化関数と対応する復号関数、f-1は一方向性関数fの逆関数を表わす。
即ち送信者はランダムにu∈[0,2k )([0,2k )は0<u<2k を表わす)を選び、次のa,bを計算する。
a=gi u mod ni , b=gu mod n
次に、ハッシュ関数Hを用いてe=H(a,b)を計算し、次式によりxを求める。
【0005】
x=u−es∈Z
ここで∈Zは単なる数値を乗算、減算であることを表わす。
送信者はcとwに証明用情報(x,e)を付けて検証者へ送信する。
検証者はc,w,x,eを受信すると、
e′=H(gi x we ,gx we )
を計算し、この計算結果e′が受信したeと等しいか否かを検証する。c,w,x,eが正しいものであれば、x=u−esであるからgi x we =gi u-es(gs )e =a,gx we =gu-es(gs )e =bとなり、e=e′となり、cを復号した値sと、wの逆関数値sとが等しいものであることが、検証できる。
【0006】
【発明が解決しようとする課題】
前記Baoの方法は、c=gi s mod niと岡本−内山暗号を簡易化したものを使っているため、入力w=gs mod nと合わせて、秘密情報sについての情報が多くもれている可能性がある。
【0007】
【課題を解決するための手段】
この発明は本来の岡本−内山暗号を使用する。ただ使用するパラメータを多少変更し、その変更にもとづき、この発明の効果が得られる。この変更の点について以下に説明する。
まず従来の岡本−内山暗号では
公開パラメータを(n,g,h,k)とし、秘密パラメータを(p,q,L(gp))とする。ここでn=p2q,p,qは素数、gは(Z/nZ)Xの元で、gを(Z/p2Z)Xの元と考えた時(すなわちg^=g mod p2)g^の位数♯<g^>がpの倍数(すなわちp1♯<g^>)とならないといけない。さらに、hはh=gn mod nで定義される。暗号化は次式による。
【0008】
EPK OU(m;r)=gmhr mod n
ここで平文m∈{0,1}k,乱数r∈{0,1}3k 復号は次式による
DSK OU(C)=L(Cp-1 mod p2)/L(gp)(mod p)
ここでgp=gp-1 mod p2,L(x)=(x−1)/pである。
一方の発明では、公開パラメータ、秘密パラメータは岡本−内山暗号のそれらと基本的には同じであるが、以下の制限を付ける。
n=p2q、p,qは素数、すなわち、
p′=(p−1)/2,q′=(q−1)/2もまた、素数となるようなものとする。さらに、
♯<g^>=p・p′(g^=g mod p2)
♯<g^^>=q′(g^^=g mod q)
になるようにg∈(Z/nZ)Xを取る。さらに
h=gnt mod n(t∈{0,1}3k)
とし、tは秘密として保持する。この結果、Bao方法に比べて検証の計算量が増えるが、一方で安全性証明が付くという利点がある。本提案方法では、秘密sについての情報が入力w(=gs mod n)から漏れる情報以上は漏れないことが証明できるが、Bao方法ではそのようなことは証明できない。
【0009】
【発明の実施の形態】
図1にこの発明が適用されるシステムの構成例を示す。送信者装置11は検証者装置12と通信回線13を通じて接続されている。送信者装置11がICカードのようなもので、これに対し、検証者装置12がICカードが装着される端末のようなものでもよい。
送信者装置11及び検証者装置12は(n,g)と(ni ,gi ,hi ,k)を共通にもち、かつ共通のハッシュ関数H機能を備えている。(n,g)は送信者装置11の公開鍵であり、nは任意整数、g∈(Z/nZ)Xである。(ni ,gi ,hi ,k)は前述した制限を与えた岡本−内山暗号の公開鍵であり、一般には何れの者のものであってもよいが、特化された応用例では送信者装置11及び検証者装置12以外の第三者装置の公開鍵であり、例えば前記従来の技術の項で述べた同時署名では調停機関の公開鍵である。ni =pi 2qi で、pi ,qiは素数である。ハッシュ関数Hは(Z/nZ)Xに属する値と(Z/ni Z)Xに属する値とを入力としてk′ビットの0,1よりなる値を出力する。ここでk,k′(Hの出力値サイズ),log n(nのサイズ)は、
k−(log n+k′)∈O(k)(kのオーダを表わす)
の関係を満たす。例えば推奨値としてはk=1280(bit)、log n=1024(bit)、k′=128(bit)である。
【0010】
図2に送信者装置11の機能構成例を示し、図3にその処理手順の例を示す。送信者装置11の記憶部101には共通情報n,g,ni ,gi ,hi ,kが格納されている。秘密情報sは入力部102を通じ外部から入力され、あるいは送信者装置11の内部で生成され、又は保持されている。秘密情報sが検証可暗号化のために入力されると(S1)、その秘密情報sと公開鍵gi ,hi ,niが暗号化部103へ入力され、暗号化部103では内部の乱数生成部103aで乱数rを生成し、sに対し、次の暗号化演算を行い、暗号化データcを生成する(S2)。
【0011】
c=gi shi r mod ni (1)
またsと送信者装置11の公開鍵g,nが一方向性関数部104に入力され、次式により一方向性関数値wが計算される(S3)。
w=gs mod n (2)
この公開鍵暗号化データcを復号した値と、一方向性関数値wの逆関数値とが等しいことを、秘密情報sを明すことなく、かつ非対話形式で検証者装置12で検証できる証明用情報Cをcとwに付加して検証者装置12へ送信する。以下に証明用情報Cの生成方法を示す。
【0012】
送信者装置11はまずランダムにu∈[0,2k ),v∈[0,23k)を選ぶ、つまり乱数生成部105から0<u<2k の乱数uを生成し、また乱数生成部106から0<v<23k の乱数vを生成する(S4)。
これら乱数u,vと公開鍵gi ,hi ,ni が剰余べき乗乗算部107へ入力されて下記の計算がなされる(S5)。
a=gi uhi v mod ni (3)
またuと公開鍵g,nが剰余べき乗計算部108に入力されて下記の計算がなされる(S6)。
【0013】
b=gu mod n (4)
これら計算結果a,bはハッシュ関数部109に入力されて
e=H(a,b) (5)
が計算される(S7)。
このハッシュ関数値eと乱数u、秘密情報s が乗算減算部111に入力され、
x=u−es∈Z (6)
が計算される(S8)。ここで∈Zは数値u,e,sの単なる乗算、減算を示す。またeと乱数vと乱数rが乗算減算部112に入力され、
y=v−er∈Z (7)
が計算される(S9)。このようにして秘密情報s についての証明用情報C=(x,y,e)が作られる。暗号化データcと一方向性関数値wと証明用情報Cを出力部113より検証者装置12へ出力する(S10)。なおステップS2とS3は何れを先にしてもよく、同様にステップS5とS6、ステップS8とS9はそれぞれ何れを先にしてもよい。
【0014】
送信者装置11において各部は制御部114により動作させられる。
次に検証者装置12における検証処理について説明する。
検証者装置12の機能構成例を図4に示し、その処理手順の例を図5に示す。
検証者装置12の記憶部201には送信者装置11の共通情報鍵(n,g)(gi ,hi ,k)が格納されてある。
検証者装置12の受信部202に送信者装置11から暗号化データc、一方向性関数値w、証明用情報C=(x,y,e)を受信すると、必要に応じて記憶部201に格納する(S1)。
【0015】
受信したxと公開鍵kが判定部203に入力され、xが0<x<2k の範囲にあるかが調べられる(S2)。
xがこの条件を満していれば、受信したx,y,c,eと公開鍵gi ,hi がべき乗乗算部204に入力され、
a′=gi xhi yce (8)
が計算される(S3)。xに式(6)を、yに式(7)をcに式(1)をそれぞれ代入すると、
b′=gx we (10)
が計算される(S4)。xに式(6)をwに式(2)を代入すると、
b′=g(u-es)ges=gu (11)
となる。これら計算結果a′,b′がハッシュ関数部206に入力され、
e′=H(a′,b′) (12)
が計算される(S5)。この計算結果e′と受信したeとが比較部207に入力され、両者が等しいか否か調べられる(S6)。等しければ合格が出力される(S7)。式(8)、式(9)からcを復号した値がsであればa′=aになり、式(10)と式(11)からwの逆関数値がsであれば、b′=bとなり、式(5)と式(12)からe′=eであれば、cの復号したsとw の逆関数値のsとが等しいことになる。
【0016】
従って、判定部203からのxが条件を満す出力と、比較部207からのeとe′が等しいことを示す出力が出力部208に入力されると合格を示す、つまり受信したcの復号値と受信したwの逆関数値とが等しいことを示す信号が出力される。判定部203から条件を満さないことを示す出力、比較部207から等しくないことを示す出力が出力部211に入力されると、受信したcの復号値と、wの逆関数値とが等しくない、つまり正しく検証可暗号データではないことを示す信号が出力される(S8)。なおステップS2とS6の検証は何れを先にしてもよい、ステップS3とS4は何れを先にしてもよい。検証者装置12において各部は制御部209により制御される。
【0017】
送信者装置11及び検証者装置12は何れもコンピュータによりプログラムを実行して機能させることもできる。その場合は例えば、送信者装置11について示すと図6に示すように、記憶部121、乱数生成部122、ハッシュ関数部123、剰余べき乗乗算部124、剰余べき乗計算部125、乗算減算部126、プログラムメモリ127、CPU(マイクロプロセッサ)128、出力部129がバス131に接続され、プログラムメモリ127に、CD−ROM、フロッピーディスク、磁気ディスクなどから例えば図2に示した方法をコンピュータに実行させるためのプログラムがインストールされ、又は通信回線を介してダウンロードされ、このメモリ127内のプログラムをCPU128が実行して、ステップS2で剰余べき乗乗算部124にサブルーチンとして式(1)を計算させ、ステップS3では剰余べき乗計算部125に式(2)を計算させ、ステップS4では乱数生成部122に乱数u ,vを生成させ、ステップS5で乗余べき乗乗算部124に式(3)を計算させ、ステップS6で剰余べき乗計算部125に式(4)を計算させ、ステップS7でハッシュ関数演算部123に式(5)を計算させ、ステップS8で乗算減算部126に式(6)を計算させ、ステップS9で乗算減算部126に式(7)を計算させ、ステップS10で出力部129に検証者装置12への送出を行わせる。
【0018】
【発明の効果】
この発明によれば、入力、c,wに対して、
Dsk(c)≡±{loggw}(mod pi )
であることが証明できる一方で、秘密情報sについての情報が入力w(=gs mod n)から漏れる情報以上は漏れないことが証明できる。Dskはsに対する公開鍵暗号関数に対する復号関数である。
実際、以下の定理を示すことが出来る。
【0019】
この発明は、以下の性質を満たす。
・完全性:正しい証明者が正しくプロトコルを実行した時に、検証者が検証に成功する確率は、1−2-(k-log n-k′)である。k,n,k′について前記推奨値を代入するとこの成功確率は1−2-28となり、ほぼ1に等しい。従ってk′+log n<kなら、常に圧倒的な確率で完全性を満たし、秘密sのもれがなく、検証者装置で完全に検証することができる。
・零知識性:正しい証明者が正しくプロトコルを実行した時に漏らしている知識は統計的に高々2-(k-log n-k′)である。ここで漏らしている知識とは統計的零知識証明において定義される知識である。前記数値では漏らしている知識は高々2-28となり、知識は実質的に漏れていない。
【0020】
・健全性:検証者装置の検証プロトコルを確率εで満足させられるような証明者が存在した場合、証明者が本当に知識を持っている確率は1−{(k′)-logk′+(k′)logk′/2k′+εSRSA}でありそれは時間O(kC/(ε−2k′)2)でチェックできる。ここでCは定数。εSRSAは証明者がStrongRSA問題を解ける確率である。つまり秘密sが本当のものであることを保証している。
【図面の簡単な説明】
【図1】この発明が適用されるシステムの構成例を示す図。
【図2】この発明における送信者装置の機能構成例を示す図。
【図3】図2に示した装置の処理手順の例を示す流れ図。
【図4】この発明における検証者装置の機能構成例を示す図。
【図5】図4に示した装置の処理手順の例を示す流れ図。
【図6】送信者装置11とコンピュータにより構成する場合の機能構成例を示す図。
参考文献
[1] G.Ateniese.Efficient verifiable encryption(and fair exchange)of digital signature. In Proceedings of the Fifth Annual Conference on Computer and Communications Security, pages 138-146,Singapore,November 1999.ACM.
[2] F.Bao.An efficient verifiable encryption scheme for encryption of discrete logarithm. In J.J.Quisquater and B.Schneier,editors,Smart Card Research and Aplications,Third International Conference,CARDIS'98,volume 1820 of Lecture Notes in Computer Science,pages 213-220,Louvain-la-Neuve,Belgium,2000. Springer-Verlag.
[3] T.Okamoto and S.Uchiyama. A new public-key cryptosystem as secure as factoring. In K.Nyberg,editor,Advances in Cryptology-EUROCRYPT'98, Lecture Notes in Computer Science,pages 308-318.Springer-Verlag,1998.
Claims (6)
- 送信者装置及び検証者装置はそれぞれ(n,g)(nは任意の整数、g∈(Z/nZ)X )、岡本−内山暗号の公開鍵(ni ,gi ,hi ,k)を共通情報として保持し、かつハッシュ関数H機能を備え、
送信者装置は乱数rを生成し、秘密情報s∈[0,2k )に対して上記共通情報を用いて暗号化関数c=gi s,hi r mod ni
を演算して暗号データcを作り、かつ共通情報を用いて秘密情報sに対して一方向性関数
w=gs mod n
を演算して関数値wを作り、
送信者装置は更に[0,2k ]に属する乱数u、[0,23k]に属する乱数vをそれぞれ生成し、
乱数u,v上記共通情報を用いて
a=gi u h i v mod ni
を演算して演算結果aを求め、乱数uに共通情報を用いて一方向性関数
b=gu mod n
を演算して関数値bを求め、
上記演算結果aと関数値bの組に対しハッシュ関数
e=H(a,b)
を演算してハッシュ値eを作り、
上記秘密情報sと乱数uとハッシュ値eを用いて
x=u−es
を計算し、上記乱数rとvとハッシュ値eを用いて
y=v−er
を計算し、
上記c,wとその証明用情報x,y,eを検証者装置へ送信し、
検証者装置は暗号データcと関数値w及び証明用情報(x,y,e)を受信して、
xが[0,2k ]に属することを確認し、
受信データと共通情報を用いて
H(gi xhi yce ,gx we )を計算し、この計算結果が受信したeと、等しいか否かを調べ、等しければ上記暗号データcの秘密情報sと上記一方向性関数値wの変数値sとが等しいことを保証することを特徴とする検証可暗号方法。 - 検証者装置との共通情報n,g,ni ,gi ,hi ,kが格納された記憶部と、nは任意の整数、g∈(Z/nZ)X ,ni ,gi ,hi ,kは岡本−内山暗号の公開鍵、ni =pi 2qi でpi ,qiは素数であり、
秘密情報sと、上記gi ,hi ,ni が入力され、乱数ri を生成し、
c=gi shi r mod ni
を計算して暗号データcを出力する暗号化部と、
上記sと上記g,nが入力され、
w=gs mod n
を計算して関数値wを出力する一方向性関数部と、
上記kが入力され、0<u<2k を満す乱数uを生成する第1乱数生成部と、
上記kが入力され、0<v<23kを満す乱数vを生成する第2乱数生成部と、
上記乱数uとv、上記gi ,hi ,ni が入力され、
a=gi uhi v mod ni
を計算して計算結果aを出力する剰余べき乗乗算部と、
上記乱数uと上記g,nが入力され、
b=gu mod n
を計算して計算結果bを出力する剰余べき乗計算部と、
上記計算結果a,bが入力され、ハッシュ関数値
e=H(a,b)
を求めてハッシュ値eを出力するハッシュ関数部と、
上記乱数u、上記ハッシュ値e、上記秘密情報sが入力され、
x=u−es
を計算して計算結果xを出力する第1乗算減算部と、
上記乱数v、上記ハッシュ値e、上記乱数rが入力され、
y=v−er
を計算して計算結果yを出力する第2乗算減算部と、
上記暗号データc、上記関数値w、上記計算結果x,y、上記ハッシュ値eを検証者装置へ出力する出力部と、
を具備する検証可暗号送信者装置。 - 送信者装置との共通情報n,g,ni ,gi ,hi ,kが格納された記憶部と、nは任意の整数、g∈(Z/nZ)X ,ni ,gi ,hi ,kは岡本−内山暗号の公開鍵、ni =pi 2qi でpi ,qiは素数であり、
暗号データc、関数値w、証明用情報x,y,eを受信する受信部と、
上記xと上記kが入力され、xが0<x<2k の範囲に属するか否かを判定する判定部と、
上記x,y,e,cと上記gi ,hi が入力され、
a′=gi xhi yce
を計算して計算結果a′を出力するべき乗乗算部と、
上記x,e,wと上記gが入力され、
b′=gx we
を計算して計算結果b′を出力するべき乗計算部と、
上記計算結果a′,b′が入力され、ハッシュ関数値
e′=H(a′,b′)
を計算してハッシュ値e′を出力するハッシュ関数部と、
上記eとハッシュ値e′が等しいか否かを比較する比較部と、
上記判定部よりの真を示す出力と、上記比較部よりの真を示す出力が入力されると、上記暗号データcの復号結果と、上記関数値wの逆関数値とが等しいことを示す信号を出力する出力部と、
を具備する検証可暗号検証者装置。 - 検証者装置との共通情報n,g,ni ,gi ,hi ,kが格納された記憶部を備えた、(nは任意の整数、g∈(Z/nZ)X ,ni ,gi ,hi ,kは岡本−内山暗号の公開鍵、ni =pi 2qi でpi ,qiは素数であり)、送信者装置において秘密情報sを検証可暗号化するためにコンピュータを、
秘密情報sと、上記gi ,hi ,ni を用い、乱数ri を生成し、
c=gi shi rmod ni
を計算して暗号データcを求める手段、
上記sと上記g,nを用いて
w=gs mod n
を計算して関数値wを求める手段、
上記kに対し、0<u<2k を満す乱数uを生成する手段、
上記kに対し、0<v<23kを満す乱数vを生成する手段、
上記乱数uとv、上記gi ,hi ,ni を用いて、
a=gi uhi v mod n
を計算して計算結果aを求める手段、
上記乱数uと上記g,nを用いて、
b=gu mod n
を計算して計算結果bを求める手段、
上記計算結果a,bの組合せに対し、ハッシュ関数値
e=H(a,b)
を求めてハッシュ値eを出力する手段、
上記乱数u、上記ハッシュ値e、上記秘密情報sを用いて、
x=u−es
を計算して計算結果xを出力する手段、
上記乱数v、上記ハッシュ値e、上記乱数rを用いて、
y=v−er
を計算して計算結果yを求める手段、
上記暗号データc、上記関数値w、上記計算結果x,y、上記ハッシュ値eを検証者装置へ出力する手段、
として機能させるための検証可暗号プログラム。 - 送信者装置との共通情報n,g,ni ,gi ,hi ,kが格納された記憶部を備えた、(nは任意の整数、g∈(Z/nZ)X ,ni ,gi ,hi ,kは岡本−内山暗号の公開鍵、ni =pi 2qi でpi ,qiは素数であり)、検証者装置において受信した検証可暗号を検証するためにコンピュータを、
暗号データc、関数値w、証明用情報x,y,eを受信する手段、
上記xと上記kを用いて、xが0<x<2k の範囲に属するか否かを判定する判定手段、
上記x,y,e,cと上記gi ,hi を用いて、
a′=gi xhi yce
を計算して計算結果a′を出力する手段、
上記x,e,wと上記gを用いて、
b′=gx we
を計算して計算結果b′を出力する手段、
上記計算結果a′,b′を用いて、ハッシュ関数値
e′=H(a′,b′)
を計算してハッシュ値e′を出力する手段、
上記eとハッシュ値e′が等しいか否かを比較する比較手段、
上記判定手段よりの真を示す出力と、上記比較手段よりの真を示す出力とから、上記暗号データcの復号結果と、上記関数値wの逆関数値とが等しいことを示す信号を出力する手段、
として機能させるための検証可暗号の検証プログラム。 - 請求項4又は5記載のプログラムが記録されたコンピュータが読み出し可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001070137A JP4629889B2 (ja) | 2001-03-13 | 2001-03-13 | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001070137A JP4629889B2 (ja) | 2001-03-13 | 2001-03-13 | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002268546A JP2002268546A (ja) | 2002-09-20 |
| JP4629889B2 true JP4629889B2 (ja) | 2011-02-09 |
Family
ID=18928059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001070137A Expired - Fee Related JP4629889B2 (ja) | 2001-03-13 | 2001-03-13 | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4629889B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100636318B1 (ko) * | 2004-09-07 | 2006-10-18 | 삼성전자주식회사 | CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템 |
| TWI340354B (en) * | 2006-12-14 | 2011-04-11 | Inst Information Industry | System, method, and computer readable medium for micropayment with varying denomination |
| JP6251163B2 (ja) * | 2014-12-24 | 2017-12-20 | 日本電信電話株式会社 | 暗号化署名システム、暗号化署名装置、調停装置、暗号化検証装置、暗号化署名演算装置、暗号化署名方法、プログラム |
| CN117391726A (zh) * | 2023-12-06 | 2024-01-12 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于区块链的可信能源数据交易方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11174955A (ja) * | 1997-12-17 | 1999-07-02 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 |
-
2001
- 2001-03-13 JP JP2001070137A patent/JP4629889B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11174955A (ja) * | 1997-12-17 | 1999-07-02 | Nippon Telegr & Teleph Corp <Ntt> | 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002268546A (ja) | 2002-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6411715B1 (en) | Methods and apparatus for verifying the cryptographic security of a selected private and public key pair without knowing the private key | |
| Bleichenbacher | Chosen ciphertext attacks against protocols based on the RSA encryption standard PKCS# 1 | |
| US8744077B2 (en) | Cryptographic encoding and decoding of secret data | |
| US8654975B2 (en) | Joint encryption of data | |
| US7730319B2 (en) | Provisional signature schemes | |
| US7688973B2 (en) | Encryption apparatus, decryption apparatus, key generation apparatus, program, and method | |
| US20090070590A1 (en) | Digital signature and authentication method and apparatus | |
| Roy et al. | A survey on digital signatures and its applications | |
| US20060251247A1 (en) | Encryption apparatus, decryption apparatus, key generation apparatus, program and method therefor | |
| US7020776B2 (en) | Cryptosystem based on a Jacobian of a curve | |
| US6122742A (en) | Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys | |
| US20020136401A1 (en) | Digital signature and authentication method and apparatus | |
| Saeednia | A note on Girault's self-certified model | |
| US7043015B2 (en) | Methods for point compression for Jacobians of hyperelliptic curves | |
| US6959085B1 (en) | Secure user identification based on ring homomorphisms | |
| US20140082361A1 (en) | Data encryption | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| JP2002500842A (ja) | 自働回復及び自働認証可能暗号システム | |
| JP4629889B2 (ja) | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 | |
| Kwon | Virtual software tokens-a practical way to secure PKI roaming | |
| JP2005513564A (ja) | 負荷を複数のエンティティおよびそのデバイスに分散させるための暗号法 | |
| Modares et al. | Make a Secure Connection Using Elliptic Curve Digital Signature | |
| Al-Saidi et al. | A new idea in zero knowledge protocols based on iterated function systems | |
| Kim et al. | Strong adaptive chosen-ciphertext attacks with memory dump (or: The importance of the order of decryption and validation) | |
| JP3738969B2 (ja) | 公開検証可鍵寄託方法、その利用者装置、そのプログラム、その記録媒体及び検証者装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060425 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101018 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101102 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101112 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |