JP4653504B2 - グループ署名生成システム、装置、プログラム及び方法 - Google Patents
グループ署名生成システム、装置、プログラム及び方法 Download PDFInfo
- Publication number
- JP4653504B2 JP4653504B2 JP2005016146A JP2005016146A JP4653504B2 JP 4653504 B2 JP4653504 B2 JP 4653504B2 JP 2005016146 A JP2005016146 A JP 2005016146A JP 2005016146 A JP2005016146 A JP 2005016146A JP 4653504 B2 JP4653504 B2 JP 4653504B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- group
- certificate
- related information
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
D. Chaum, E. van Heyst, Group Signatures, Proceedings of EUROCRYPT'91, LNCS 547, Springer-Verlag, pp.257-265, 1991. G. Ateniese, J. Camenisch, M.Joye, G.Tsudik, A practical and provably secure coalition-resistant group signature scheme, Proceedings of CRYPTO 2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000.
従って、第1の発明は以上のような手段を講じたことにより、メンバ署名生成装置とグループ署名生成装置との間において、情報の授受回数を1.5回の往復回数(片道3回)として、グループ署名を生成することができる。
ここでは、スマートカードや携帯電話などの耐タンパデバイスにメンバ秘密鍵を保管し、このデバイスをもっていればグループ署名を生成可能なモデルを説明する。補足すると、従来の非特許文献2方式は計算量が大きく、計算能力が低いこれらのデバイス内で全ての計算を行なうことは、現状では実現上困難である。そこで、本明細書では、グループ署名計算の一部、特に署名者の匿名性に関する計算を外部モジュールに委託することにより、計算能力の低いデバイス内での計算量を軽減させるモデルを述べると共に、これと類似した特許文献1方式よりも情報の授受回数を低減させたモデルを述べる。
本明細書では、匿名プロキシAPは、グループ管理者GMの管理下にあると想定する。よって、匿名プロキシAPの安全性を以下のように仮定又は定義する。
仮定1:匿名プロキシAPは、“グループ署名生成プロトコル”を正しく実行する。
仮定2:匿名プロキシAPは、“グループ署名生成プロトコル”で得られた情報を外部に漏らさない。
ここでは、非特許文献2の概要を説明し、しかる後、これを改良しつつ、特許文献1方式よりも情報の授受回数を低減させた本発明方式の概要について述べる。また、本発明方式の安全性と計算効率について述べる。
n=pq(p,q:素数)、gなどのパラメータを設定する。このとき、強RSA仮定が成り立つと仮定する(非特許文献2参照)。
非特許文献2方式の概要を説明する。セキュリティパラメータLp,k,εとし、セキュリティパラメータを満たす範囲でパラメータλ1,λ2,γ1,γ2を定める。また、パラメータλ1,λ2,γ1,γ2に基づいて、Λ,Γの範囲を定める。
グループ管理者GMは、グループ公開鍵pk=(n, a, a0, y, g, h)及びグループ秘密鍵sk=(p’, q’, x)を計算する。
参加プロトコルの詳細は、非特許文献2に記載されている。参加プロトコルの結果、グループメンバMemは、メンバ秘密鍵xを秘密に得る。また、グループ管理者GMは、メンバ秘密鍵に対するメンバ証明書cert=(A, e)を生成してグループメンバMemに送り、メンバ証明書とユーザ情報のペアを秘密に保管する。
グループメンバは、メンバ秘密鍵xとメンバ証明書certを用いて、メッセージmに対するグループ署名σ=(c,s1, s2, s3, s4, T1, T2, T3)を生成する。なお、この非特許文献2方式では、計算の途中結果d1を次式で計算している。
検証者は、グループ公開鍵pkを用いて、メッセージmに対するグループ署名σ=(c,s1, s2, s3, s4, T1, T2, T3)の正当性を以下により検証する。
署名の正当性を検証する。証明書情報A=T1/T2 x(mod n)を計算し、証明書情報Aが含まれるメンバ証明書certを検出することによりグループメンバを特定する。
本明細書では、非特許文献2方式の署名処理Signに代えて、メンバ秘密鍵xとメンバ証明書certを保持するグループメンバMemと匿名プロキシAP間で実行されるグループ署名生成プロトコルによりグループ署名を生成する方式を示す。
1.グループメンバMemは、メンバ証明書certを匿名プロキシAPに送る。
非特許文献2方式におけるグループ署名の安全性は、強RSA仮定、DDH仮定及びランダムオラクルモデルの下で証明されている。本発明方式で得られるグループ署名は、非特許文献2方式と同じため、同様の安全性が成り立つ。
[Sch91] C. P. Schnorr, “Efficient Signature generation by smart cards”, Journal of Cryptology, 4(3), pp. 161-174, 1991.
実際、匿名プロキシAPはグループメンバMemから送られる(c’, s2’)に対して下式が成り立つことを検証することにより、この知識の署名の正当性を検証可能である。
グループ署名生成計算における非特許文献2方式でのグループメンバのべき指数ビット数と、特許文献1方式及び本発明方式での算出情報及び情報の授受回数(往復回数)の比較を図8に示す。また、グループメンバMem、匿名プロキシAPのべき指数ビット数の比較を図9に示す。ここで、セキュリティパラメータは|Lp|=512、|k|=160、ε=5/4とした。
以上の概要説明では、匿名プロキシAPを介してグループ署名を生成するモデルを述べたが、これに限らず、図10に示すように、匿名プロキシAPをグループ署名のサブルーチンとして用いるモデルにも対応可能である。このモデルでは、前述同様に、匿名プロキシAPにメッセージmを知られること無く、グループ署名σを生成可能である。このモデルは、署名生成プロトコルにおいて、最後に(s1, s3, s4)を匿名プロキシAPからグループメンバMemへ返送するだけで実現できる。
図1は本発明の第1の実施形態に係るグループ署名生成システムの構成を示す模式図である。このグループ署名生成システムは、メンバ署名生成装置10及びグループ署名生成装置20を備えている。なお、各装置10,20は、それぞれコンピュータにより実現される場合、各装置10,20の機能をコンピュータに実現させるためのプログラムが予め記憶媒体又はネットワークからインストールされている。これは以下の各実施形態でも同様である。
なお、グループ署名方式における、グループ公開鍵pk及びグループ秘密鍵skの生成、グループメンバ署名生成鍵xの生成、メンバ証明書certの発行、検証処理Verify及び開示処理Openは非特許文献2と同様に実行されるものとする。これは以下の各実施形態でも同様である。
よって、図示しないグループ管理者GMにより、グループ公開鍵pk=(n, a, a0, y, g, h)が公開される。
また、メンバ署名生成装置10内のメンバ情報管理部11にメンバ署名生成鍵x及びメンバ証明書cert=(A, e)が保管される。
また、Λ,Γは以下を満たす範囲である:
メンバ署名生成装置10においては、証明書出力部13が、外部から入力された署名対象のメッセージmとグループ公開鍵pk、及び、メンバ情報管理部11に保管されているメンバ証明書σをグループ署名生成装置20内のグループ署名生成部21へ送信する。
σ’算出部22は、得られた情報σ’=(T1,T2,T3,d1’,d2,d3,d4)をメンバ署名生成装置10内のメンバ署名生成部12に送信する。
メンバ署名生成部12は、情報σ’を受信する。
メンバ署名σ”=(c,s2)をグループ署名生成装置20内のグループ署名生成部21へ送る。
グループ署名σ=(T1, T2, T3, s1, s2, s3, s4, c)をグループ署名検証者装置(図示せず)に出力する。
以上の手順により、非特許文献2と同じグループ署名σが生成される。よって、非特許文献2に示されている検証(Verify)アルゴリズムにより同様にグループ署名の正当性が検証可能である。また、グループ署名から署名者を特定する開示(Open)アルゴリズムにより同様に署名者を特定可能である。
図3は本発明の第2の実施形態に係るグループ署名生成システムを携帯電話の認証システムに適用した構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
始めに、前提条件として、携帯電話会社30は、グループ署名管理装置31によりグループ公開鍵pk及びグループ秘密鍵pkの生成を行い、グループ公開鍵pkを公開しているとする。
検証システム40は、認証する携帯電話装置17に対して、認証のチャレンジとなるメッセージmを送信する(ST21)。このメッセージmは、乱数や時間情報などの一意に定まる値であることが望ましい。メッセージmは、ゲートウェイサーバ25を介して携帯電話装置17の通信制御装置16に受信される(ST22)。
図5は本発明の第3の実施形態に係るグループ署名生成システムをスマートカードの認証システムに適用した構成を示す模式図である。
本実施形態では、非特許文献2方式以外の従来知られているグループ署名方式について、前述同様の改良により、本発明方式を適用する場合について述べる。
[CS97] J.Camenisch, M.Stadler, “Efficient group signature schemes for large groups”, CRYPTO'97, LNCS 1269, pp.410-424, 1997.
メンバ証明書型グループ署名方式の一般的なアルゴリズムは以下の通りである。
(立ち上げ処理;Set up) グループ管理者は、署名方式(Sign,Vrfy)に対応する公開鍵ペア(pkg,skg)と、公開鍵暗号方式(Enc,Dec)に対応する公開鍵ペア(pke,ske)を生成し、グループ公開鍵pk=(pkg,pke)とし、グループ秘密鍵sk=(skg,ske)とする。
2.Vrfypk_g(pku,certu)=1,
3.C=Encpk_e(pku,certu).
そして、非対話零知識証明NIZKにより得られた証明(proof;プルーフ)と暗号文Cをグループ署名とする。
Claims (20)
- メンバ証明書(cert)、メッセージ(m)及びメンバ秘密鍵(x)を有するメンバ署名生成装置と、グループ署名生成装置との間で情報を授受しながら、証明書関連情報(T1,T2,T3)、メンバ署名(c,s2)及びメンバ署名関連情報(s1,s3,s4)からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成システムであって、
前記グループ署名生成装置は、
前記メンバ署名生成装置からメンバ証明書を受けると、このメンバ証明書に基づいて前記証明書関連情報及び演算パラメータ(d1’,d2,d3,d4)を生成する署名関連情報生成手段と、
この証明書関連情報及び演算パラメータを前記メンバ署名生成装置に送信する証明書関連情報送信手段と、
前記メンバ署名生成装置からメンバ署名を受けると、このメンバ署名及び前記メンバ証明書に基づいて、前記メンバ署名関連情報を生成する署名関連情報生成手段と、
このメンバ署名関連情報、前記証明書関連情報及び前記メンバ署名からなる前記グループ署名を生成するグループ署名生成手段と、
このグループ署名を出力するグループ署名出力手段とを備えており、
前記メンバ署名生成装置は、
前記メンバ証明書及びメンバ秘密鍵が記憶される記憶装置と、
前記メッセージを入力するためのメッセージ入力手段と、
このメッセージに対するグループ署名を生成するとき、前記記憶装置内のメンバ証明書を前記グループ署名生成装置に送信する証明書送信手段と、
前記証明書関連情報及び前記演算パラメータを受けると、この証明書関連情報、演算パラメータ、前記メッセージ及びメンバ秘密鍵に基づいて、前記メンバ署名を生成するメンバ署名生成手段と、
このメンバ署名を前記グループ署名生成装置に送信するメンバ署名送信手段と
を備えたことを特徴とするグループ署名生成システム。 - 請求項1に記載のグループ署名生成システムにおいて、
前記メンバ署名生成装置が携帯電話装置であり、
前記グループ署名生成装置が前記携帯電話装置に通信するための通信手段を更に備えたサーバ装置であるとき、
前記メッセージを前記サーバ装置を介して前記携帯電話装置に送信し、前記サーバ装置から出力されたグループ署名を受けると、このグループ署名の正当性を検証するグループ署名検証装置を更に備えたことを特徴とするグループ署名生成システム。 - 請求項1に記載のグループ署名生成システムにおいて、
前記メンバ署名生成装置がスマートカード装置であり、
前記グループ署名生成装置が前記スマートカード装置を着脱自在に保持し且つこのスマートカードに読出/書込するための読出/書込手段を更に備えた操作端末であるとき、
前記メッセージを前記操作端末を介して前記スマートカード装置に送信し、前記操作端末から出力されたグループ署名を受けると、このグループ署名の正当性を検証するグループ署名検証装置を更に備えたことを特徴とするグループ署名生成システム。 - メンバ証明書(cert)、メッセージ(m)及びメンバ秘密鍵(x)を有するメンバ署名生成装置と、グループ署名生成装置との間で情報を授受しながら、証明書関連情報(T1,T2,T3)、メンバ署名(c,s2)及びメンバ署名関連情報(s1,s3,s4)からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成システムに用いられる前記グループ署名生成装置であって、
前記メンバ署名生成装置からメンバ証明書を受けると、このメンバ証明書に基づいて前記証明書関連情報及び演算パラメータ(d1’,d2,d3,d4)を生成する署名関連情報生成手段と、
この証明書関連情報及び演算パラメータを前記メンバ署名生成装置に送信する証明書関連情報送信手段と、
前記メンバ署名生成装置により前記証明書関連情報、前記演算パラメータ、前記メッセージ及びメンバ秘密鍵に基づいてメンバ署名が生成され、このメンバ署名を当該メンバ署名生成装置から受けると、このメンバ署名及び前記メンバ証明書に基づいて、前記メンバ署名関連情報を生成する署名関連情報生成手段と、
このメンバ署名関連情報、前記証明書関連情報及び前記メンバ署名からなる前記グループ署名を生成するグループ署名生成手段と、
このグループ署名を出力するグループ署名出力手段と
を備えたことを特徴とするグループ署名生成装置。 - 公開されているグループ公開鍵pk=(n,a,a0,y,g,h)を利用可能であり、メンバ証明書cert=(A,e)(但しA=(axa0)1/e mod nであり、eは素数、xはメンバ秘密鍵)、メッセージm及びメンバ秘密鍵xを有するメンバ署名生成装置との間で情報を授受しながら、証明書関連情報T1,T2,T3、メンバ署名c,s2及びメンバ署名関連情報s1,s3,s4からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成装置であって、
前記メンバ署名生成装置からメンバ証明書certを受けると、このメンバ証明書cert、第1乱数情報w及び前記グループ公開鍵pkに基づいて、以下の第1式乃至第3式:
第1式 T1 = Ayw mod n,
第2式 T2 = gw mod n,
第3式 T3 = gehw mod n.
の計算により、前記証明書関連情報T1,T2,T3を生成する手段と、
前記証明書関連情報T1,T2、第2乃至第4乱数情報r1,r3,r4及び前記グループ公開鍵pkに基づいて、以下の第4式乃至第7式:
第4式 d1’=T1 {r_1} / y{r_3} mod n,(但し_は下付添字を表す)
第5式 d2 = T2 {r_1} / g{r_3} mod n,
第6式 d3 = g{r_4} mod n,
第7式 d4 = g{r_1}h{r_4} mod n.
の計算により、演算パラメータd1’,d2,d3,d4を生成する手段と、
前記証明書関連情報T1,T2,T3及び演算パラメータd1’,d2,d3,d4を前記メンバ署名生成装置に送信する証明書関連情報送信手段と、
前記メンバ署名生成装置により前記証明書関連情報、前記演算パラメータ、前記メッセージm、メンバ秘密鍵x及びハッシュ関数Hに基づいて、以下の第8式乃至第10式:
第8式 d1=d1’/a{r_2} mod n,
第9式 c=H(g‖h‖y‖a0‖a‖T1‖T2‖T3‖d1‖d2‖d3‖d4‖m), (但し、‖はデータの連接を表す)
第10式 s2=r2−c(x−2{λ_1}). (但しλ1はシステムパラメータ)
の計算によりメンバ署名c,s2が生成され、このメンバ署名を当該メンバ署名生成装置から受けると、このメンバ署名及び前記メンバ証明書に基づいて、以下の第11式乃至第13式:
第11式 s1=r1−c(e−2{γ_1}), (但しγ1はシステムパラメータ),
第12式 s3=r3−cew,
第13式 s4=r4−cw.
の計算により、前記メンバ署名関連情報s1,s3,s4を生成する署名関連情報生成手段と、
このメンバ署名関連情報s1,s3,s4、前記証明書関連情報T1,T2,T3及び前記メンバ署名c,s2からなる前記グループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するグループ署名生成手段と、
このグループ署名を出力するグループ署名出力手段と
を備えたことを特徴とするグループ署名生成装置。 - 請求項4又は請求項5に記載のグループ署名生成装置において、
前記メンバ署名生成装置が携帯電話装置であるとき、
前記携帯電話装置及び外部のグループ署名検証装置に通信するための通信手段を更に備えており、
前記通信手段は、
外部のグループ署名検証装置から受けた前記メッセージを前記携帯電話装置に送信するメッセージ送信手段と、
前記出力されたグループ署名を前記グループ署名検証装置に送信するグループ署名送信手段とを備えたことを特徴とするグループ署名生成装置。 - 請求項4又は請求項5に記載のグループ署名生成装置において、
前記メンバ署名生成装置がスマートカード装置であるとき、
前記スマートカード装置を着脱自在に保持する保持手段と、
前記スマートカード装置及び外部のグループ署名検証装置に通信するための通信手段を更に備えており、
前記通信手段は、
外部のグループ署名検証装置から受けた前記メッセージを前記携帯電話装置に送信するメッセージ送信手段と、
前記出力されたグループ署名を前記グループ署名検証装置に送信するグループ署名送信手段とを備えたことを特徴とするグループ署名生成装置。 - メンバ証明書(cert)、メッセージ(m)及びメンバ秘密鍵(x)を有するメンバ署名生成装置と、グループ署名生成装置との間で情報を授受しながら、証明書関連情報(T1,T2,T3)、メンバ署名(c,s2)及びメンバ署名関連情報(s1,s3,s4)からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成システムに用いられる前記メンバ署名生成装置であって、
前記メンバ証明書及びメンバ秘密鍵が記憶される記憶装置と、
前記メッセージを入力するためのメッセージ入力手段と、
このメッセージに対するグループ署名を生成するとき、前記記憶装置内のメンバ証明書を前記グループ署名生成装置に送信する証明書送信手段と、
前記グループ署名生成装置により前記メンバ証明書に基づいて前記証明書関連情報及び演算パラメータ(d1’,d2,d3,d4)が生成され、この証明書関連情報及び演算パラメータを当該グループ署名生成装置から受けると、この証明書関連情報、演算パラメータ、前記メッセージ及びメンバ秘密鍵に基づいて、前記メンバ署名を生成するメンバ署名生成手段と、
このメンバ署名を前記グループ署名生成装置に送信することにより、前記グループ署名生成装置に対し、このメンバ署名及び前記メンバ証明書に基づいて前記メンバ署名関連情報を生成させると共に、このメンバ署名関連情報、前記証明書関連情報及び前記メンバ署名からなる前記グループ署名を出力させるためのメンバ署名送信手段と
を備えたことを特徴とするメンバ署名生成装置。 - 公開されているグループ公開鍵pk=(n,a,a0,y,g,h)を利用可能であり、メンバ証明書cert=(A,e)(但しA=(axa0)1/e mod nであり、eは素数、xはメンバ秘密鍵)、メッセージm及びメンバ秘密鍵xを有し、グループ署名生成装置との間で情報を授受しながら、証明書関連情報T1,T2,T3、メンバ署名c,s2及びメンバ署名関連情報s1,s3,s4からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を前記グループ署名生成装置に生成させるためのメンバ署名生成装置であって、
前記メンバ証明書及びメンバ秘密鍵が記憶される記憶装置と、
前記メッセージを入力するためのメッセージ入力手段と、
このメッセージに対するグループ署名を生成するとき、前記記憶装置内のメンバ証明書を前記グループ署名生成装置に送信する証明書送信手段と、
前記グループ署名生成装置により前記メンバ証明書、第1乃至第4乱数情報w,r1,r3,r4及び前記グループ公開鍵pkに基づいて、以下の第1式乃至第7式:
第1式 T1 = Ayw mod n,
第2式 T2 = gw mod n,
第3式 T3 = gehw mod n,
第4式 d1’=T1 {r_1} / y{r_3} mod n,(但し_は下付添字を表す)
第5式 d2 = T2 {r_1} / g{r_3} mod n,
第6式 d3 = g{r_4} mod n,
第7式 d4 = g{r_1}h{r_4} mod n.
の計算により前記証明書関連情報T1,T2,T3及び演算パラメータd1’,d2,d3,d4が生成され、この証明書関連情報及び演算パラメータを当該グループ署名生成装置から受けると、この証明書関連情報、演算パラメータ、前記メッセージm、メンバ秘密鍵x及びハッシュ関数Hに基づいて、以下の第8式乃至第10式:
第8式 d1=d1’/a{r_2} mod n,
第9式 c=H(g‖h‖y‖a0‖a‖T1‖T2‖T3‖d1‖d2‖d3‖d4‖m), (但し、‖はデータの連接を表す)
第10式 s2=r2−c(x−2{λ_1}). (但しλ1はシステムパラメータ)
の計算により前記メンバ署名c,s2を生成するメンバ署名生成手段と、
このメンバ署名を前記グループ署名生成装置に送信することにより、前記グループ署名生成装置に対し、このメンバ署名及び前記メンバ証明書に基づいて、以下の第11式乃至第13式:
第11式 s1=r1−c(e−2{γ_1}), (但しγ1はシステムパラメータ),
第12式 s3=r3−cew,
第13式 s4=r4−cw.
の計算により前記メンバ署名関連情報s1,s3,s4を生成させると共に、このメンバ署名関連情報s1,s3,s4、前記証明書関連情報T1,T2,T3及び前記メンバ署名c,s2からなる前記グループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を出力させるためのメンバ署名送信手段と
を備えたことを特徴とするメンバ署名生成装置。 - 請求項8又は請求項9に記載のメンバ署名生成装置において、
前記メンバ署名生成装置本体は携帯電話装置であり、
前記メッセージ入力手段は、外部のグループ署名検証装置により生成され前記グループ署名生成装置から受けたメッセージを前記携帯電話装置本体に入力することを特徴とするメンバ署名生成装置。 - 請求項8又は請求項9に記載のメンバ署名生成装置において、
前記メンバ署名生成装置本体はスマートカード装置であり、
前記メッセージ入力手段は、外部のグループ署名検証装置により生成され前記グループ署名生成装置から受けたメッセージを前記スマートカード装置本体に入力することを特徴とするメンバ署名生成装置。 - メンバ証明書(cert)、メッセージ(m)及びメンバ秘密鍵(x)を有するメンバ署名生成装置とグループ署名生成装置との間で情報を授受しながら、証明書関連情報(T1,T2,T3)、メンバ署名(c,s2)及びメンバ署名関連情報(s1,s3,s4)からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成システムに用いられる前記グループ署名生成装置のプログラムであって、
前記グループ署名生成装置のコンピュータを、
前記メンバ署名生成装置からメンバ証明書を受けると、このメンバ証明書をメモリに書き込む手段、
前記メモリ内のメンバ証明書に基づいて前記証明書関連情報及び演算パラメータ(d1’,d2,d3,d4)を生成する署名関連情報生成手段、
この証明書関連情報及び演算パラメータを前記メンバ署名生成装置に送信する証明書関連情報送信手段、
前記メンバ署名生成装置により前記証明書関連情報、前記演算パラメータ、前記メッセージ及びメンバ秘密鍵に基づいてメンバ署名が生成され、このメンバ署名を当該メンバ署名生成装置から受けると、このメンバ署名をメモリに書き込む手段、
前記メモリ内のメンバ署名及び前記メンバ証明書に基づいて、前記メンバ署名関連情報を生成する署名関連情報生成手段、
このメンバ署名関連情報、前記証明書関連情報及び前記メンバ署名からなる前記グループ署名を生成するグループ署名生成手段、
このグループ署名を出力するグループ署名出力手段、
として機能させるためのプログラム。 - 公開されているグループ公開鍵pk=(n,a,a0,y,g,h)を利用可能であり、メンバ証明書cert=(A,e)(但しA=(axa0)1/e mod nであり、eは素数、xはメンバ秘密鍵)、メッセージm及びメンバ秘密鍵xを有するメンバ署名生成装置との間で情報を授受しながら、証明書関連情報T1,T2,T3、メンバ署名c,s2及びメンバ署名関連情報s1,s3,s4からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成装置に用いられるプログラムであって、
前記グループ署名生成装置のコンピュータを、
前記メンバ署名生成装置からメンバ証明書certを受けると、このメンバ証明書certをメモリに書き込む手段、
前記メモリ内のメンバ証明書cert、第1乱数情報w及び前記グループ公開鍵pkに基づいて、以下の第1式乃至第3式:
第1式 T1 = Ayw mod n,
第2式 T2 = gw mod n,
第3式 T3 = gehw mod n.
の計算により、前記証明書関連情報T1,T2,T3を生成する手段、
前記証明書関連情報T1,T2、第2乃至第4乱数情報r1,r3,r4及び前記グループ公開鍵pkに基づいて、以下の第4式乃至第7式:
第4式 d1’=T1 {r_1} / y{r_3} mod n,(但し_は下付添字を表す)
第5式 d2 = T2 {r_1} / g{r_3} mod n,
第6式 d3 = g{r_4} mod n,
第7式 d4 = g{r_1}h{r_4} mod n.
の計算により、演算パラメータd1’,d2,d3,d4を生成する手段、
前記証明書関連情報T1,T2,T3及び演算パラメータd1’,d2,d3,d4を前記メンバ署名生成装置に送信する証明書関連情報送信手段、
前記メンバ署名生成装置により前記証明書関連情報、前記演算パラメータ、前記メッセージm、メンバ秘密鍵x及びハッシュ関数Hに基づいて、以下の第8式乃至第10式:
第8式 d1=d1’/a{r_2} mod n,
第9式 c=H(g‖h‖y‖a0‖a‖T1‖T2‖T3‖d1‖d2‖d3‖d4‖m), (但し、‖はデータの連接を表す)
第10式 s2=r2−c(x−2{λ_1}). (但しλ1はシステムパラメータ)
の計算によりメンバ署名c,s2が生成され、このメンバ署名を当該メンバ署名生成装置から受けると、このメンバ署名をメモリに書き込む手段、
前記メモリ内のメンバ署名及び前記メンバ証明書に基づいて、以下の第11式乃至第13式:
第11式 s1=r1−c(e−2{γ_1}), (但しγ1はシステムパラメータ),
第12式 s3=r3−cew,
第13式 s4=r4−cw.
の計算により、前記メンバ署名関連情報s1,s3,s4を生成する署名関連情報生成手段、
このメンバ署名関連情報s1,s3,s4、前記証明書関連情報T1,T2,T3及び前記メンバ署名c,s2からなる前記グループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するグループ署名生成手段、
このグループ署名を出力するグループ署名出力手段、
として機能させるためのプログラム。 - 請求項12又は請求項13に記載のプログラムにおいて、
前記メンバ署名生成装置が携帯電話装置であるとき、
前記グループ署名生成装置のコンピュータを、
前記携帯電話装置及び外部のグループ署名検証装置に通信するための通信手段として機能させ、
前記通信手段は、
外部のグループ署名検証装置から受けた前記メッセージを前記携帯電話装置に送信するメッセージ送信手段と、
前記出力されたグループ署名を前記グループ署名検証装置に送信するグループ署名送信手段とを含んでいるプログラム。 - 請求項12又は請求項13に記載のプログラムにおいて、
前記メンバ署名生成装置がスマートカード装置であるとき、
前記グループ署名生成装置のコンピュータを、
前記スマートカード装置を着脱自在に保持する保持手段と、
前記スマートカード装置及び外部のグループ署名検証装置に通信するための通信手段として機能させ、
前記通信手段は、
外部のグループ署名検証装置から受けた前記メッセージを前記携帯電話装置に送信するメッセージ送信手段と、
前記出力されたグループ署名を前記グループ署名検証装置に送信するグループ署名送信手段とを含んでいるプログラム。 - メンバ証明書(cert)、メッセージ(m)及びメンバ秘密鍵(x)を有するメンバ署名生成装置とグループ署名生成装置との間で情報を授受しながら、証明書関連情報(T1,T2,T3)、メンバ署名(c,s2)及びメンバ署名関連情報(s1,s3,s4)からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成システムに用いられ、前記メンバ証明書及びメンバ秘密鍵が記憶される記憶装置を備えた前記メンバ署名生成装置のプログラムであって、
前記メンバ署名生成装置のコンピュータを、
前記メッセージを入力するためのメッセージ入力手段、
このメッセージに対するグループ署名を生成するとき、前記記憶装置内のメンバ証明書を前記グループ署名生成装置に送信する証明書送信手段、
前記グループ署名生成装置により前記メンバ証明書に基づいて前記証明書関連情報及び演算パラメータ(d1’,d2,d3,d4)が生成され、この証明書関連情報及び演算パラメータを当該グループ署名生成装置から受けると、この証明書関連情報、演算パラメータ、前記メッセージ及びメンバ秘密鍵に基づいて、前記メンバ署名を生成するメンバ署名生成手段、
このメンバ署名を前記グループ署名生成装置に送信することにより、前記グループ署名生成装置に対し、このメンバ署名及び前記メンバ証明書に基づいて前記メンバ署名関連情報を生成させると共に、このメンバ署名関連情報、前記証明書関連情報及び前記メンバ署名からなる前記グループ署名を出力させるためのメンバ署名送信手段、
として機能させるためのプログラム。 - 公開されているグループ公開鍵pk=(n,a,a0,y,g,h)を利用可能であり、メンバ証明書cert=(A,e)(但しA=(axa0)1/e mod nであり、eは素数、xはメンバ秘密鍵)及びメンバ秘密鍵xが記憶される記憶装置を有し、グループ署名生成装置との間で情報を授受しながら、証明書関連情報T1,T2,T3、メンバ署名c,s2及びメンバ署名関連情報s1,s3,s4からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を前記グループ署名生成装置に生成させるためのメンバ署名生成装置に用いられるプログラムであって、
前記メンバ署名生成装置のコンピュータを、
メッセージmを入力するためのメッセージ入力手段、
このメッセージmに対するグループ署名を生成するとき、前記記憶装置内のメンバ証明書を前記グループ署名生成装置に送信する証明書送信手段、
前記グループ署名生成装置により前記メンバ証明書、第1乃至第4乱数情報w,r1,r3,r4及び前記グループ公開鍵pkに基づいて、以下の第1式乃至第7式:
第1式 T1 = Ayw mod n,
第2式 T2 = gw mod n,
第3式 T3 = gehw mod n,
第4式 d1’=T1 {r_1} / y{r_3} mod n,(但し_は下付添字を表す)
第5式 d2 = T2 {r_1} / g{r_3} mod n,
第6式 d3 = g{r_4} mod n,
第7式 d4 = g{r_1}h{r_4} mod n.
の計算により前記証明書関連情報T1,T2,T3及び演算パラメータd1’,d2,d3,d4が生成され、この証明書関連情報及び演算パラメータを当該グループ署名生成装置から受けると、この証明書関連情報、演算パラメータ、前記メッセージm、メンバ秘密鍵x及びハッシュ関数Hに基づいて、以下の第8式乃至第10式:
第8式 d1=d1’/a{r_2} mod n,
第9式 c=H(g‖h‖y‖a0‖a‖T1‖T2‖T3‖d1‖d2‖d3‖d4‖m), (但し、‖はデータの連接を表す)
第10式 s2=r2−c(x−2{λ_1}). (但しλ1はシステムパラメータ)
の計算により前記メンバ署名c,s2を生成するメンバ署名生成手段、
このメンバ署名を前記グループ署名生成装置に送信することにより、前記グループ署名生成装置に対し、このメンバ署名及び前記メンバ証明書に基づいて、以下の第11式乃至第13式:
第11式 s1=r1−c(e−2{γ_1}), (但しγ1はシステムパラメータ),
第12式 s3=r3−cew,
第13式 s4=r4−cw.
の計算により前記メンバ署名関連情報s1,s3,s4を生成させると共に、このメンバ署名関連情報s1,s3,s4、前記証明書関連情報T1,T2,T3及び前記メンバ署名c,s2からなる前記グループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を出力させるためのメンバ署名送信手段、
として機能させるためのプログラム。 - 請求項16又は請求項17に記載のプログラムにおいて、
前記メンバ署名生成装置本体は携帯電話装置であり、
前記メッセージ入力手段は、外部のグループ署名検証装置により生成され前記グループ署名生成装置から受けたメッセージを前記携帯電話装置本体に入力することを特徴とするプログラム。 - 請求項16又は請求項17に記載のプログラムにおいて、
前記メンバ署名生成装置本体はスマートカード装置であり、
前記メッセージ入力手段は、外部のグループ署名検証装置により生成され前記グループ署名生成装置から受けたメッセージを前記スマートカード装置本体に入力することを特徴とするプログラム。 - メンバ証明書(cert)、メッセージ(m)及びメンバ秘密鍵(x)を有するメンバ署名生成装置とグループ署名生成装置との間で情報を授受しながら、証明書関連情報(T1,T2,T3)、メンバ署名(c,s2)及びメンバ署名関連情報(s1,s3,s4)からなるグループ署名σ=(T1,T2,T3,s1,s2,s3,s4,c)を生成するためのグループ署名生成方法であって、
前記メンバ署名生成装置により、前記メンバ証明書及びメンバ秘密鍵が記憶装置に記憶される工程と、
前記メンバ署名生成装置により、前記メッセージを入力する工程と、
前記メンバ署名生成装置により、このメッセージに対するグループ署名を生成するとき、前記記憶装置内のメンバ証明書を前記グループ署名生成装置に送信する工程と、
前記グループ署名生成装置により、前記メンバ署名生成装置から受信したメンバ証明書に基づいて前記証明書関連情報及び演算パラメータ(d1’,d2,d3,d4)を生成する工程と、
この証明書関連情報及び演算パラメータを前記メンバ署名生成装置に送信する工程と、
前記メンバ署名生成装置により、前記グループ署名生成装置から前記証明書関連情報及び前記演算パラメータを受けると、この証明書関連情報、演算パラメータ、前記メッセージ及びメンバ秘密鍵に基づいて、前記メンバ署名を生成する工程と、
前記メンバ署名生成装置により、このメンバ署名を前記グループ署名生成装置に送信する工程と、
前記グループ署名生成装置により、前記メンバ署名生成装置からメンバ署名を受けると、このメンバ署名及び前記メンバ証明書に基づいて、前記メンバ署名関連情報を生成する工程と、
前記グループ署名生成装置により、このメンバ署名関連情報、前記証明書関連情報及び前記メンバ署名からなる前記グループ署名を生成する工程と、
前記グループ署名生成装置により、このグループ署名を出力する工程と
を備えたことを特徴とするグループ署名生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005016146A JP4653504B2 (ja) | 2005-01-24 | 2005-01-24 | グループ署名生成システム、装置、プログラム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005016146A JP4653504B2 (ja) | 2005-01-24 | 2005-01-24 | グループ署名生成システム、装置、プログラム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006203827A JP2006203827A (ja) | 2006-08-03 |
JP4653504B2 true JP4653504B2 (ja) | 2011-03-16 |
Family
ID=36961393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005016146A Active JP4653504B2 (ja) | 2005-01-24 | 2005-01-24 | グループ署名生成システム、装置、プログラム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4653504B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4796106B2 (ja) * | 2008-09-12 | 2011-10-19 | 株式会社東芝 | 匿名ローミングサービスシステム、装置及びプログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348081A (ja) * | 2002-05-30 | 2003-12-05 | Hideki Imai | デジタル署名方法およびシステム |
JP2004320562A (ja) * | 2003-04-17 | 2004-11-11 | Toshiba Corp | 匿名認証システム、装置及びプログラム |
JP2007505582A (ja) * | 2003-05-21 | 2007-03-08 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | 通信における証明された秘密値の使用 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4407408B2 (ja) * | 2004-07-13 | 2010-02-03 | トヨタ自動車株式会社 | 複合酸化物の製造方法 |
JP2006077700A (ja) * | 2004-09-10 | 2006-03-23 | Matsushita Electric Ind Co Ltd | 2気筒密閉型回転圧縮機 |
-
2005
- 2005-01-24 JP JP2005016146A patent/JP4653504B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348081A (ja) * | 2002-05-30 | 2003-12-05 | Hideki Imai | デジタル署名方法およびシステム |
JP2004320562A (ja) * | 2003-04-17 | 2004-11-11 | Toshiba Corp | 匿名認証システム、装置及びプログラム |
JP2007505582A (ja) * | 2003-05-21 | 2007-03-08 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | 通信における証明された秘密値の使用 |
Also Published As
Publication number | Publication date |
---|---|
JP2006203827A (ja) | 2006-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10944575B2 (en) | Implicitly certified digital signatures | |
Wang et al. | Security analysis of a single sign-on mechanism for distributed computer networks | |
US8527777B2 (en) | Cryptographic proofs in data processing systems | |
US8856524B2 (en) | Cryptographic methods, host system, trusted platform module, computer arrangement, computer program product and computer program | |
JP4899867B2 (ja) | グループ署名方式 | |
EP3681093B1 (en) | Secure implicit certificate chaining | |
JP5736816B2 (ja) | 認証装置、認証方法、プログラム、及び署名生成装置 | |
JP4973193B2 (ja) | 制限付ブラインド署名システム | |
WO2007105749A1 (ja) | グループ署名システムおよび情報処理方法 | |
JP5029358B2 (ja) | 鍵発行方法、グループ署名システム | |
JP5790289B2 (ja) | 情報処理装置、情報処理方法、プログラム、及び記録媒体 | |
JP4791828B2 (ja) | グループ署名システム、装置、プログラム及び方法 | |
Tso | A new way to generate a ring: Universal ring signature | |
Tian et al. | A systematic method to design strong designated verifier signature without random oracles | |
Liu et al. | An efficient identity-based online/offline signature scheme without key escrow | |
JP4653504B2 (ja) | グループ署名生成システム、装置、プログラム及び方法 | |
JP2013047726A (ja) | 情報処理装置、署名生成装置、署名検証装置、情報処理方法、署名生成方法、及び署名検証方法 | |
Lin et al. | Designated Verifier Signature Transformation: A New Framework for One-Time Delegating Verifiability | |
Zhang et al. | Universally composable anonymous Hash certification model | |
Saxena et al. | Zero-knowledge blind identification for smart cards using bilinear pairings | |
EP4040716A1 (en) | Blinding techniques for post-quantum public keys | |
JP2007329889A (ja) | 公開鍵認証プログラム及び電子署名プログラム | |
Chia et al. | A Pairing-Free Identity-Based Identification Scheme with Tight Security Using Modified-Schnorr Signatures. Symmetry 2021, 13, 1330 | |
CN114844643A (zh) | 一种基于双线性映射获取适配器签名的方法和电子设备 | |
Tso et al. | Verifier-key-flexible universal designated-verifier signatures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071221 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4653504 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131224 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |