JP4764447B2 - グループ署名システム、装置及びプログラム - Google Patents
グループ署名システム、装置及びプログラム Download PDFInfo
- Publication number
- JP4764447B2 JP4764447B2 JP2008072488A JP2008072488A JP4764447B2 JP 4764447 B2 JP4764447 B2 JP 4764447B2 JP 2008072488 A JP2008072488 A JP 2008072488A JP 2008072488 A JP2008072488 A JP 2008072488A JP 4764447 B2 JP4764447 B2 JP 4764447B2
- Authority
- JP
- Japan
- Prior art keywords
- group
- signer
- signature
- public
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
Description
J. Camenisch and J. Groth, "Group Signatures: Better Efficiency and New Theoretical Aspects," Forth Int. Conf. on Security in Communication Networks− SCN 2004, LNCS 3352, pp.120-133, 2005. J. Furukawa and H. Imai, "An Efficient Group Signature Scheme from Bilinear Maps," ACISP 2005, LNCS 3574, pp.455-467, 2005. C. Delerablee and D.Pointcheval, "Dynamic Fully Anonymous Short Group Signatures," VIETCRYPT, LNCS 4341, pp193-210, 2006.
以下では、実施形態方式の前提となるグループ署名の機能と安全性について定義する。
効率のよい既存方式のほとんどは、メンバ秘密鍵に対するグループ管理者の署名をメンバ証明書として利用する。実施形態方式では、グループ管理者の署名を利用しないため、従来方式のメンバ証明書と区別するために署名者特定情報(tracing information)という用語を用いる。グループ署名においては、暗号化された署名者特定情報と、署名者特定情報が正しく暗号化されていることを示す非対話的知識証明と、メンバ秘密鍵及び署名者特定情報を持っていることを示す非対話的知識証明とが含まれることはメンバ証明書を利用した方式と同様である。
グループ鍵セット生成アルゴリズムGKgは、セキュリティパラメータkを入力とし、グループ公開鍵gpk、メンバ秘密鍵生成用秘密鍵ikと署名者特定用秘密鍵okを生成して出力するための、グループ管理者が実行する確率的多項式時間アルゴリズムである。
グループの最大メンバ数をnとし、メンバのIDを1,...,nとする。メンバ秘密鍵生成アルゴリズムMKgは、グループ公開鍵gpk、メンバ秘密鍵生成用秘密鍵ik、メンバのID=i∈{1,...,n}を入力とし、メンバ秘密鍵gsk[i]、それに対応する署名者特定情報Tiとリボケーショントークンgrt[i]を生成して出力するための、グループ管理者またはメンバ秘密鍵生成者が実行する確率的多項式時間アルゴリズムである。
署名生成アルゴリズムGSigは、グループ公開鍵gpk、メンバ秘密鍵gsk[i]、署名者特定情報Ti、メッセージmsgを入力とし、グループ署名σを生成して出力するための、署名者が実行する確率的多項式時間アルゴリズムである。
署名検証アルゴリズムGVfは、グループ公開鍵gpk、メッセージmsg、グループ署名σとリボケーションリストRLを入力とし、署名が正しければ有効(valid)を、正しくなければ無効(invalid)を出力するための、検証者が実行する確定的多項式時間アルゴリズムである。
署名生成証明アルゴリズムClaimは、自己追跡性(Self-Traceability)を実現するための、署名者と検証者の間の2者間対話的プロトコルである。グループ公開鍵gpk、メッセージmsg、グループ署名σが両者への共通入力であり、メンバ秘密鍵gsk[i]が署名者へ秘密の情報として与えられる。プロトコルの最後に検証者は当該グループ署名σが対話的プロトコルを実行した署名者によって生成されたかを表す真(true)または偽(false)を出力する。
署名者特定アルゴリズムOpenは、グループ公開鍵gpk、グループ秘密鍵gmsk、メッセージmsg、グループ署名σを入力とし、署名が正しければその署名を生成したユーザのID=iと署名者情報正当性証明τを、正しくなければ無効(invalid)を出力するための、グループ管理者または署名者特定者が実行する確率的多項式時間アルゴリズムである。なお、グループ秘密鍵gmskは、メンバ秘密鍵生成用秘密鍵ik(a,b)及び署名者特定用秘密鍵ok(x1,x2,y1,y2,z)から構成されている。
署名者特定結果検証アルゴリズムJudgeは、グループ公開鍵gpk、グループ署名σ、その署名から特定されたユーザのID=iと署名者情報正当性証明τを入力とし、署名者特定が正しく行われたかどうかを表す真(true)または偽(false)を出力するための、検証者が実行する確定的多項式時間アルゴリズムである。
メンバリボークアルゴリズムRevokeは、リボケーショントークンの集合grt_setとリボークされたユーザのIDの集合RUを入力とし、リボケーションリストRLを生成して出力するための、グループ管理者またはリボケーション管理者が実行する確定的多項式時間アルゴリズムである。
グループ署名の安全性について当初は数多くの要件が定義されていた。その後、ベラー(Bellare)らが、静的グループ(static group)および動的グループ(dynamic group)のグループ署名の安全性の要件をまとめている。なお、静的グループとは、メンバの追加・削除機能を持たず一度グループが生成されるとメンバの変更がないグループをいい、動的グループとはその変更があるグループをいう。ここで、ベラーの要件は非常に厳しいものであり、グループメンバ全員の結託に対する安全性が考慮されている。このため、一般的には、ベラーの要件を弱めて安全性が定義されている。ここでは、ベラーの要件に基づき、グループ管理者やメンバの結託がない場合の安全性を再定義する。
GVf(gpk,msg,GSig(gsk[i],msg))= valid かつ
Open(gmsk,msg,GSig(gsk[i],msg))=i
すなわち、正しく生成された署名は、署名検証アルゴリズムGVfにより検証に成功し、署名者特定アルゴリズムOpenにより署名者を特定できる。
以下の攻撃を考える。
(5)出力(output):敵Aは、b’を出力する。
すべての多項式時間アルゴリズムAに対して確率|Pr[b=b’]−1/2|が無視できるとき、グループ署名方式は匿名性(anonymity)を持つという。
以下の攻撃を考える。
ベラーらの濡れ衣回避性の定義ではグループ管理者またはメンバ秘密鍵生成者による不正までが考慮されているが、本発明ではその不正までは考慮せず、以下に示すように弱濡れ衣回避性として定義を弱める。
以下では、実施形態方式を理解するうえで重要なDDH(decisional Diffie-Hellman)問題、リプレゼンテーション(representation)、クラメル−シャウプ(Cramer-Shoup)暗号について説明する。
素数位数qの乗法巡回群をGとする。ランダムな4つ組(quadruples)(G1,G2,U1,U2)∈gG4の分布をRとする。G1,G2∈gGとr∈Zq *とをランダムに選び、U1=Gr、U2=Grとした4つ組(G1,G2,U1,U2)∈gG4の分布をDとする。このとき、任意に与えられた4つ組(G1,G2,U1,U2)が分布R,Dのいずれに属するかを見分ける問題をDDH問題と呼ぶ。実施形態方式の安全性はDDH問題の困難性に帰着される。
乗法巡回群G上の演算において、H=G1^{e1}G2^{e2}…Gk^{ek}を満たす(e1,e2,…,ek)を、G1,G2,…,Gkを底としたHのリプレゼンテーションと呼ぶ。なお、“^”はベキ乗を表す記号である。
実施形態方式では、署名者特定情報の暗号化にクラメル−シャウプ暗号を利用する。但し、実施形態方式はクラメル−シャウプ暗号に限定されない。
以下にクラメル−シャウプ暗号を説明する。
公開パラメータとして素数位数qの乗法巡回群gGとその生成元G1と汎用一方向性ハッシュ(universal one-way hash)関数を入力とし、以下の処理を行う。
(2)x1,x2,y1,y2,z∈Zq *をランダムに選択する。
(3)C=G1^{x1}G2^{x2}、D=G1^{y1}G2^{y2}、H=G1 zを計算する。
(4)ハッシュ関数Hashを汎用一方向性ハッシュ関数の集合から選択する。
(5)公開鍵pk=(G1,G2,C,D,H,Hash)、秘密鍵sk=(x1,x2,y1,y2,z)を出力する。
公開鍵pk=(G1,G2,C,D,H,Hash)、メッセージm∈Gを入力とし、以下の処理を行う。
(2)U1=G1 r、U2=G2 r、E=Hrmを計算する。
(3)α=Hash(U1,U2,E)を計算する。
(4)V=CrDrαを計算する。
(5)暗号文(U1,U2,E,V)を出力する。
暗号文(U1,U2,E,V)を入力とし、以下の処理を行う。
(2)U1^{x1+y1α}U2^{x2+y2α}=Vが成り立つか否かを検証し、否の場合には無効な暗号文として拒絶して処理を終了する。
(3)m=E/U1 zを計算し、平文として出力する。
以上がクラメル−シャウプ暗号の処理である。
続いて、実施形態方式の概要を説明する。
図1は本発明の一実施形態に係るグループ署名システムの構成を示す模式図である。このグループ署名システムは、互いに通信可能な1台のグループ管理者装置10、n台の署名者装置201,…,20i,…,20j,…,20n及び1台の検証者装置30を備えている。各装置10,201,…,20n,30は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体Mから対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。また、各署名者装置201,…,20nは、互いに同一のハードウェア構成のため、以下の説明ではi番目の署名者装置20iを代表させて述べる。また、本実施形態のグループ署名方式は、後述する図8乃至図15に一例を示すように、クラメル−シャウプ暗号を暗号化方式に用い、シュノア(Schnorr)署名を応用した方式を零知識証明方式に用いているが、これらの暗号化方式及び零知識証明方式には限定されない。すなわち、本実施形態のグループ署名方式は、図8乃至図15に示した方式に限らず、他の暗号化方式及び零知識証明方式を用いても実現可能となっている。
グループ管理者装置10では、グループ管理者の入力部12の操作により、セキュリティパラメータkが入力された後、グループ鍵生成部14が起動されたとする。
グループ管理者装置10では、予めグループ管理者の入力部12の操作により、メンバ数nに対応するn人分のユーザ識別情報ID(1),…,ID(i),…,ID(j),…,ID(n)がグループ管理者用記憶部11に保存されたとする。なお、ユーザ識別情報ID(1),…,ID(n)は、メンバ数nが入力されたメンバ秘密鍵生成部15により生成され、メンバ秘密鍵生成部15からグループ管理者用記憶部11に書き込まれてもよい。
次に、メンバ秘密鍵生成部15は、グループ管理者用記憶部11内の生成元G1及びメンバ秘密鍵gsk[i](=ki1,ki2)に基づいて、署名者特定情報Ti=G1^{ki1}を計算する(ST21)。すなわち、署名者特定情報Tiは、リプレゼンテーション自体ではなく、リプレゼンテーションの一部をベキ指数とした値である。
ユーザiは、オンライン又はオフラインにより、ユーザ情報をグループ管理者装置10に登録する。これにより、ユーザiは、公開パラメータ、グループ公開鍵gpk=(G1,G2,F,C,D,H,Hash)、メンバ秘密鍵gsk[i](=ki1,ki2)及び署名者特定情報Tiを暗号化通信又は記憶媒体の郵送などの安全な手法によりグループ管理者から取得する。
署名者装置20iでは、ユーザiの入力部22の操作により、グループ署名生成部25が起動されたとする。
次に、グループ署名生成部25は、署名者用記憶部21内の素数位数qを参照し、メンバ秘密鍵(ki1,ki2)及びステップST31で得られた乱数rを隠すための乱数r1,r2,rr∈Zq *をランダムに選択する(ST41)。
検証者装置30は、予め検証者の入力部32の操作により、公開パラメータ(q,gG,G1,Hash)及びグループ公開鍵gpk=(G1,G2,F,C,D,H,Hash)をグループ管理者装置10から取得して検証者用記憶部31に保存しているとする。これにより、検証者装置30は、署名検証処理が可能となっている。
検証者装置30は、予め検証者の入力部32の操作により、公開パラメータ(q,gG,G1,Hash)、グループ公開鍵gpk=(G1,G2,F,C,D,H,Hash)及びリボケーションリストRLをグループ管理者装置10から取得して検証者用記憶部31に保存しているとする。これにより、検証者装置30は、リボーク検証処理が可能となっている。
署名者装置20iは、予め署名者の入力部22の操作により、公開パラメータ(q,gG,G1,Hash)、グループ公開鍵gpk=(G1,G2,F,C,D,H,Hash)、メンバ秘密鍵gsk[i]及び署名者特定情報Tiをグループ管理者装置10から取得して検証者用記憶部21に保存しているとする。また、署名者同一性検証を行う対象となるグループ署名σ=(U1,U2,E,V,R,β,s1,s2,sr)も検証者用記憶部21に保存しているとする。これにより、署名者装置20iは、署名者同一性証明処理が可能となっている。
例えば不正の発覚や、サービス利用料金の徴収のためといった何らかの事情により、署名者を特定する必要が生じた場合について述べる。
署名者特定部17は、入力されたユーザ識別情報ID=iに対応するリプレゼンテーションの一部ki1を選択決定する(ST101)。
検証者装置30は、予め検証者の入力部32の操作により、公開パラメータ(q,gG,G1,Hash)及びグループ公開鍵gpk=(G1,G2,F,C,D,H,Hash)をグループ管理者装置10から取得して検証者用記憶部31に保存しているとする。これにより、検証者装置30は、署名検証処理が可能となっている。
グループ管理者装置10は、予め検証者の入力部12の操作により、リボークされたユーザのIDの集合RUが入力されてグループ管理者用記憶部11に書き込まれているものとする。これにより、グループ管理者装置10は、リボケーションリスト生成処理が可能となっている。
ここでは実施形態方式の安全性を示す。
[補題1]実施形態方式は正当性(correctness)を持つ。
[補題2]実施形態方式はランダムオラクルモデルにおいてDDH問題が困難であるという仮定の下で匿名性(anonymity)を持つ。
[補題3]実施形態方式はランダムオラクルモデルにおいて離散対数問題が困難であるという仮定の下で追跡可能性(traceability)を持つ。
[補題4]実施形態方式はランダムオラクルモデルにおいて離散対数問題が困難であるという仮定の下で弱濡れ衣回避性(Weak Non-Frameability)を持つ。
<実施形態方式の効率>
(RSAベースの方式との効率比較)
実施形態方式の効率を評価するために、通常の電子署名であるRSA署名方式の署名生成の計算量を基準にしたときの従来のグループ署名方式及び実施形態方式の計算量とデータ長を考える。
比較する方式の計算量の大部分はベキ乗剰余演算にかかる。このため、ベキ乗剰余演算以外の計算量を無視し、ベキ乗剰余演算の計算量に注目する。
ベキ乗剰余演算の計算量は(法のビット長)2×ベキ指数のビット長に比例するため、法のビット長が同じ場合には全体の計算量がベキ指数のビット長の総和に比例する。
双線形写像を利用する[FI05]方式と[DP06]方式は双線形写像の実装によって計算速度が大きく異なるため単純に比較することはできないが、これらの方式は現在最速の双線形写像実装技術を考慮しても[CG04]方式と同程度の速度である。したがって、上述の[CG04]方式との比較結果から、これらの方式と比べても本実施形態方式が高速であることが分かる。
図22及び図23は本発明の第2の実施形態に係るメンバ秘密鍵生成者装置及びその記憶部の構成を示す模式図である。図24及び図25は署名者特定装置及びその記憶部の構成を示す模式図である。図26及び図27はリボケーション管理者装置及びその記憶部の構成を示す模式図である。これら図22乃至図27においては、前述した図面と同一機能には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
図28及び図29は本発明の第3の実施形態に係る署名者同一性証明装置及びその記憶部の構成を示す模式図である。
Claims (11)
- 互いに通信可能なグループ管理者装置(10)、署名者装置(20i)及び検証者装置(30)を備え、各装置がグループ署名方式を用いるグループ署名システムであって、
前記グループ管理者装置は、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータを記憶するパラメータ記憶手段(11)と、
前記パラメータ記憶手段内の公開パラメータに基づいて、値a,b∈Zq *を含むグループ秘密鍵と、第1関係式G2=G1 a及び第2関係式F=G1 bを満たす値G2,F及び前記生成元G1を含むグループ公開鍵とを生成するグループ鍵生成手段(14)と、
前記グループ秘密鍵、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて、第4関係式F=G1^{ki1}G2^{ki2}を満たすリプレゼンテーションki1,ki2からなるメンバ秘密鍵を算出するメンバ秘密鍵生成手段(但し、^はベキ乗を表す記号)(15)と、
前記メンバ秘密鍵及び前記生成元G 1に基づいて、署名者特定情報Ti=G1^{ki1}を算出する署名者特定情報算出手段(15)と、
リボークされたメンバに対応するリプレゼンテーションの一部ki1を含むリボケーションリストを生成するリボケーションリスト生成手段(18)と、
前記リボケーションリストを前記検証者装置に送信する手段(13)と、を備えており、
前記署名者装置は、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G 1を含む公開パラメータと、前記グループ公開鍵、前記メンバ秘密鍵、前記署名者特定情報Ti及びメッセージを記憶する署名者用記憶手段(21)と、
前記署名者用記憶手段内の公開パラメータ及びグループ公開鍵に基づいて前記署名者特定情報Tiを暗号化し、当該署名者特定情報Tiの暗号文データであって、値R,U 1 を含む前記暗号文データ(但し、R=T i r 、U 1 =G 1 r 、rは乱数)を生成する暗号文生成手段(25)と、
前記署名者用記憶手段内の公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記メッセージと、前記署名者特定情報Tiの暗号文データとに基づいて、当該メンバ秘密鍵を知っていて、且つ、前記暗号文データが当該署名者特定情報Tiを基に正しく生成されていることを示す零知識証明を生成する零知識証明生成手段(25)と、
前記暗号文データ及び前記零知識証明からなるグループ署名と前記メッセージとを前記検証者装置に送信する手段(23)と、を備えており、
前記検証者装置は、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G 1を含む公開パラメータと前記グループ公開鍵とを記憶する検証者用記憶手段(31)と、
前記グループ管理者装置から前記リボケーションリストを前記署名者装置から前記グループ署名及びメッセージをそれぞれ受信する手段(33)と、
前記受信したリボケーションリストとグループ署名及びメッセージと前記検証者用記憶手段内の公開パラメータ及びグループ公開鍵とに基づいて、当該グループ署名の正当性を検証する検証手段(34)と、
前記検証した結果を前記署名者装置に送信する手段(33)と、
を備えており、
前記検証手段は、
前記リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証手段
を備えたことを特徴とするグループ署名システム。 - グループ署名方式を用いる署名者装置(20i)及び検証者装置(30)に通信可能なグループ管理者装置(10)であって、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータを記憶するパラメータ記憶手段(11)と、
前記パラメータ記憶手段内の公開パラメータに基づいて、値a,b∈Zq *を含むグループ秘密鍵と、第1関係式G2=G1 a及び第2関係式F=G1 bを満たす値G2,F及び前記生成元G1を含むグループ公開鍵とを生成するグループ鍵生成手段(14)と、
前記グループ秘密鍵、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて、第4関係式F=G1^{ki1}G2^{ki2}を満たすリプレゼンテーションki1,ki2からなるメンバ秘密鍵を算出するメンバ秘密鍵生成手段(但し、^はベキ乗を表す記号)(15)と、
前記メンバ秘密鍵及び前記生成元G1に基づいて、署名者特定情報Ti=G1^{ki1}を算出する署名者特定情報算出手段(15)と、
前記グループ署名方式におけるグループ署名を生成するための前記公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記署名者特定情報Tiを前記署名者装置に送信する手段(13)と、
リボークされたメンバに対応する前記リプレゼンテーションの一部ki1を含むリボケーションリストを生成するリボケーションリスト生成手段(18)と、
前記グループ署名方式におけるグループ署名を検証するための前記公開パラメータ、前記グループ公開鍵及び前記リボケーションリストを前記検証者装置に送信する手段(13)と、
を備え、
前記グループ署名は、前記署名者装置により生成された値R,U 1 を含んでおり(但し、R=T i r 、U 1 =G 1 r 、rは乱数)、
前記リボケーションリストは、前記検証者装置において、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ことを特徴とするグループ管理者装置。 - グループ署名方式を用いるグループ管理者装置(10)及び検証者装置(30)に通信可能な署名者装置(20i)であって、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータと、前記公開パラメータに基づいて、値a,b∈Zq *と第1関係式G2=G1 a及び第2関係式F=G1 bとを満たすように生成された値G2,F及び前記生成元G1を含むグループ公開鍵と、前記値a,b∈Zq *、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて、第4関係式F=G1^{ki1}G2^{ki2}を満たすように生成(但し、^はベキ乗を表す記号)されたリプレゼンテーションki1,ki2からなるメンバ秘密鍵と、前記メンバ秘密鍵及び前記生成元G1に基づいて生成された署名者特定情報Ti=G1^{ki1}とを前記グループ管理者装置から受信する手段(23)と、
前記受信した公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記署名者特定情報Tiとメッセージとを記憶するための署名者用記憶手段(21)と、
前記メッセージを作成して前記署名者用記憶手段に書き込む手段(24)と、
前記署名者用記憶手段内の公開パラメータ及びグループ公開鍵に基づいて前記署名者特定情報Tiを暗号化し、当該署名者特定情報Tiの暗号文データであって、値R,U 1 を含む前記暗号文データ(但し、R=T i r 、U 1 =G 1 r 、rは乱数)を生成する暗号文生成手段(25)と、
前記署名者用記憶手段内の公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記メッセージと、前記署名者特定情報Tiの暗号文データとに基づいて、当該メンバ秘密鍵を知っていて、且つ、前記暗号文データが当該署名者特定情報Tiを基に正しく生成されていることを示す零知識証明を生成する零知識証明生成手段(25)と、
前記暗号文データ及び前記零知識証明からなるグループ署名と前記メッセージとを前記検証者装置に送信する手段(23)と、
を備え、
前記グループ署名に含まれる値R,U 1 は、前記検証者装置において、リボークされたメンバに対応する前記リプレゼンテーションの一部k i1 を含むリボケーションリストを前記グループ管理者装置から受けたときに、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ことを特徴とする署名者装置。 - グループ署名方式を用いるグループ管理者装置(10)及び署名者装置(20i)に通信可能な検証者装置(30)であって、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータと、前記公開パラメータに基づいて、値a,b∈Zq *と第1関係式G2=G1 a及び第2関係式F=G1 bとを満たすように生成された値G2,F及び前記生成元G1を含むグループ公開鍵とリボークされたメンバに対応するリプレゼンテーションの一部ki1を含むリボケーションリストとを前記グループ管理者装置から受信する手段(33)と、
前記受信した公開パラメータと前記グループ公開鍵とを記憶する検証者用記憶手段(31)と、
前記値a,b∈Zq *、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて第4関係式F=G1^{ki1}G2^{ki2}を満たすように生成(但し、^はベキ乗を表す記号)されたリプレゼンテーションki1,ki2からなるメンバ秘密鍵と、前記メンバ秘密鍵及び前記生成元G1に基づいて生成された署名者特定情報Ti=G1^{ki1}とに関し、前記メンバ秘密鍵を知っていて、且つ、前記暗号文データが前記署名者特定情報Tiを基に正しく生成されていることを示す零知識証明と、前記署名者特定情報Tiの暗号文データとからなるグループ署名及びメッセージを前記署名者装置から受信する手段(33)と、
前記受信したリボケーションリストとグループ署名及びメッセージと前記検証者用記憶手段内の公開パラメータ及びグループ公開鍵とに基づいて、当該グループ署名の正当性を検証する検証手段(34)と、
前記検証した結果を前記署名者装置に送信する手段(33)と、を備えており、
前記暗号文データは、前記公開パラメータ及びグループ公開鍵に基づいて前記署名者特定情報Tiが前記署名者装置により暗号化されたデータであって、値R,U 1 を含む前記暗号文データ(但し、R=T i r 、U 1 =G 1 r 、rは乱数)であり、
前記零知識証明は、前記公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及びメッセージと、前記署名者特定情報Tiの暗号文データとに基づいて前記署名者装置により生成されたデータであり、
前記検証手段は、
前記リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証手段
を備えたことを特徴とする検証者装置。 - グループ署名方式を用いる署名者装置(20i)及び検証者装置(30)に通信可能なグループ管理者装置(10)のプログラムであって、
前記グループ管理者装置のコンピュータを、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータを前記コンピュータのメモリ(11)に書き込む手段(13)、
前記メモリ内の公開パラメータに基づいて、値a,b∈Zq *を含むグループ秘密鍵と、第1関係式G2=G1 a及び第2関係式F=G1 bを満たす値G2,F及び前記生成元G1を含むグループ公開鍵とを生成するグループ鍵生成手段(14)、
前記グループ秘密鍵、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて、第4関係式F=G1^{ki1}G2^{ki2}を満たすリプレゼンテーションki1,ki2からなるメンバ秘密鍵を算出するメンバ秘密鍵生成手段(但し、^はベキ乗を表す記号)(15)、
前記メンバ秘密鍵及び前記生成元G1に基づいて、署名者特定情報Ti=G1^{ki1}を算出する署名者特定情報算出手段(15)、
前記グループ署名方式におけるグループ署名を生成するための前記公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記署名者特定情報Tiを前記署名者装置に送信する手段(13)、
リボークされたメンバに対応する前記リプレゼンテーションの一部ki1を含むリボケーションリストを生成するリボケーションリスト生成手段(18)と、
前記グループ署名方式におけるグループ署名を検証するための前記公開パラメータ、前記グループ公開鍵及び前記リボケーションリストを前記検証者装置に送信する手段(13)、
として機能させ、
前記グループ署名は、前記署名者装置により生成された値R,U 1 を含んでおり(但し、R=T i r 、U 1 =G 1 r 、rは乱数)、
前記リボケーションリストは、前記検証者装置において、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ためのプログラム。 - グループ署名方式を用いるグループ管理者装置(10)及び検証者装置(30)に通信可能な署名者装置(20i)のプログラムであって、
前記署名者装置のコンピュータを、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータと、前記公開パラメータに基づいて、値a,b∈Zq *と第1関係式G2=G1 a及び第2関係式F=G1 bとを満たすように生成された値G2,F及び前記生成元G1を含むグループ公開鍵と、前記値a,b∈Zq *、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて、第4関係式F=G1^{ki1}G2^{ki2}を満たすように生成(但し、^はベキ乗を表す記号)されたリプレゼンテーションki1,ki2からなるメンバ秘密鍵と、前記メンバ秘密鍵及び前記生成元G1に基づいて生成された署名者特定情報Ti=G1^{ki1}とを前記グループ管理者装置から受信する手段(23)、
前記受信した公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記署名者特定情報Tiとメッセージとを前記コンピュータのメモリ(21)に書き込む手段(23)、
前記メッセージを作成して前記メモリに書き込む手段(24)、
前記メモリ内の公開パラメータ及びグループ公開鍵に基づいて前記署名者特定情報Tiを暗号化し、当該署名者特定情報Tiの暗号文データであって、値R,U 1 を含む前記暗号文データ(但し、R=T i r 、U 1 =G 1 r 、rは乱数)を生成する暗号文生成手段(25)、
前記メモリ内の公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記メッセージと、前記署名者特定情報Tiの暗号文データとに基づいて、当該メンバ秘密鍵を知っていて、且つ、前記暗号文データが当該署名者特定情報Tiを基に正しく生成されていることを示す零知識証明を生成する零知識証明生成手段(25)、
前記暗号文データ及び前記零知識証明からなるグループ署名と前記メッセージとを前記検証者装置に送信する手段(23)、
として機能させ、
前記グループ署名に含まれる値R,U 1 は、前記検証者装置において、リボークされたメンバに対応する前記リプレゼンテーションの一部k i1 を含むリボケーションリストを前記グループ管理者装置から受けたときに、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ためのプログラム。 - グループ署名方式を用いるグループ管理者装置(10)及び署名者装置(20i)に通信可能な検証者装置(30)のプログラムであって、
前記検証者装置のコンピュータを、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータと、前記公開パラメータに基づいて、値a,b∈Zq *と第1関係式G2=G1 a及び第2関係式F=G1 bとを満たすように生成された値G2,F及び前記生成元G1を含むグループ公開鍵とリボークされたメンバに対応するリプレゼンテーションの一部ki1を含むリボケーションリストとを前記グループ管理者装置から受信する手段(33)、
前記受信した公開パラメータと前記グループ公開鍵とを前記コンピュータのメモリ(31)に書き込む手段(33)、
前記値a,b∈Zq *、前記グループ公開鍵及び第3関係式ki1=b−aki2 mod qに基づいて第4関係式F=G1^{ki1}G2^{ki2}を満たすように生成(但し、^はベキ乗を表す記号)されたリプレゼンテーションki1,ki2からなるメンバ秘密鍵と、前記メンバ秘密鍵及び前記生成元G1に基づいて生成された署名者特定情報Ti=G1^{ki1}とに関し、前記メンバ秘密鍵を知っていて、且つ、前記暗号文データが前記署名者特定情報Tiを基に正しく生成されていることを示す零知識証明と、前記署名者特定情報Tiの暗号文データとからなるグループ署名及びメッセージを前記署名者装置から受信する手段(33)、
前記受信したリボケーションリストとグループ署名及びメッセージと前記メモリ内の公開パラメータ及びグループ公開鍵とに基づいて、当該グループ署名の正当性を検証する検証手段(34)、
前記検証した結果を前記署名者装置に送信する手段(33)、として機能させ、
前記暗号文データは、前記公開パラメータ及びグループ公開鍵に基づいて前記署名者特定情報Tiが前記署名者装置により暗号化されたデータであって、値R,U 1 を含む前記暗号文データ(但し、R=T i r 、U 1 =G 1 r 、rは乱数)であり、
前記零知識証明は、前記公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及びメッセージと、前記署名者特定情報Tiの暗号文データとに基づいて前記署名者装置により生成されたデータであり、
前記検証手段は、
前記リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証手段
を含んでいることを特徴とするプログラム。 - グループ署名方式を用いる署名者特定装置(102)、リボケーション管理者装置(103)、署名者装置(20i)及び検証者装置(30)に通信可能なメンバ秘密鍵生成者装置(101)であって、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータを記憶するパラメータ記憶手段(111)と、
値a,b∈Zq *を含むグループ秘密鍵と、値G2,F及び前記生成元G1を含むグループ公開鍵(但し、G2=G1 a、F=G1 b)とを記憶するグループ鍵記憶手段(111)と、
ユーザ識別情報ID(i)毎に、前記グループ秘密鍵、前記グループ公開鍵及び関係式ki1=b−aki2 mod qに基づいて、関係式F=G1^{ki1}G2^{ki2}を満たすリプレゼンテーションki1,ki2からなるメンバ秘密鍵を算出するメンバ秘密鍵生成手段(但し、^はベキ乗を表す記号)(15)と、
前記メンバ秘密鍵及び前記生成元G1に基づいて、署名者特定情報Ti=G1^{ki1}を算出する署名者特定情報算出手段(15)と、
前記ユーザ識別情報ID(i)に関連付けて前記メンバ秘密鍵(ki1,ki2)、当該メンバ秘密鍵のリプレゼンテーションの一部ki1及び前記署名者特定情報Tiを記憶するメンバ情報記憶手段(111)と、
前記グループ署名方式におけるグループ署名を生成するための前記公開パラメータ、前記グループ公開鍵、前記メンバ秘密鍵及び前記署名者特定情報Tiを前記署名者装置に送信する手段(13)と、
前記グループ署名方式における署名者を特定するための前記公開パラメータ、前記グループ公開鍵及び前記署名者特定情報Tiを前記署名者特定装置に送信する手段(13)と、
前記メンバ情報記憶手段内のユーザ識別情報ID(i)及びリプレゼンテーションの一部ki1を前記リボケーション管理者装置に送信する手段(13)と、
リボークされたメンバに対応する前記リプレゼンテーションの一部ki1を含むリボケーションリストを前記リボケーション管理者装置から受信し、当該リボケーションリストを記憶するリボケーションリスト記憶手段(111)と、
前記グループ署名方式におけるグループ署名を検証するための前記公開パラメータ及び前記グループ公開鍵を前記検証者装置に送信する手段(13)と、
を備え、
前記グループ署名は、前記署名者装置により生成された値R,U 1 を含んでおり(但し、R=T i r 、U 1 =G 1 r 、rは乱数)、
前記リボケーションリストは、前記検証者装置において、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ことを特徴とするメンバ秘密鍵生成者装置。 - グループ署名方式を用いるメンバ秘密鍵生成者装置(101)、リボケーション管理者装置(103)及び検証者装置(30)に通信可能な署名者特定装置(102)であって、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータを記憶するパラメータ記憶手段(112)と、
値x1,x2,y1,y2,z∈Zq *を含む署名者特定用秘密鍵と、値G2,F,C,D,H、前記生成元G1及びハッシュ関数Hashを含むグループ公開鍵(但し、G2=G1 a、F=G1 b、a,b∈Zq *、C=G1^{x1}G2^{x2}、^はベキ乗を表す記号、D=G1^{y1}G2^{y2}、H=G1 z)とを記憶する鍵記憶手段(112)と、
ユーザ識別情報ID(i)毎に、値a,bを含むメンバ秘密鍵生成用秘密鍵、前記グループ公開鍵及び関係式ki1=b−aki2 mod qに基づいて生成され且つ関係式F=G1^{ki1}G2^{ki2}を満たすリプレゼンテーションki1,ki2からなるメンバ秘密鍵及び前記生成元G1に基づいて算出された署名者特定情報Ti=G1^{ki1}と、前記リプレゼンテーションの一部ki1と、前記ユーザ識別情報ID(i)とを前記メンバ秘密鍵生成者装置から受信する手段(13)と、
前記受信したユーザ識別情報ID(i)、前記リプレゼンテーションの一部ki1及び前記署名者特定情報Tiを互いに関連付けて記憶するメンバ情報記憶手段(112)と、
リボークされたメンバに対応する前記リプレゼンテーションの一部ki1を含むリボケーションリストを前記リボケーション管理者装置から受信し、当該リボケーションリストを記憶するリボケーションリスト記憶手段(112)と、
前記検証者装置からメッセージと、値E,U1を含むグループ署名(但し、E=HrTi、U1=G1 r、rは乱数)と、署名者特定要求とを受けると、前記公開パラメータ及び前記グループ公開鍵に基づいて、当該グループ署名の正当性を検証する署名検証手段(16)と、
前記検証の結果、グループ署名が正当性を示すとき、このグループ署名及び前記署名者特定用秘密鍵に基づいて、署名者特定情報Ti=E/U1 zを計算する署名者特定情報手段(17)と、
前記計算した署名者特定情報Tiに基づいて前記メンバ情報記憶手段を検索し、署名者特定情報Tiに対応するユーザ識別情報ID(i)を特定する手段(17)と、
前記特定したユーザ識別情報ID(i)を出力する出力手段(19)と、
を備え、
前記グループ署名は、前記署名者装置により生成された値Rを含んでおり(但し、R=T i r 、rは乱数)、
前記リボケーションリストは、前記検証者装置において、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ことを特徴とする署名者特定装置。 - グループ署名方式を用いるメンバ秘密鍵生成者装置(101)、署名者特定装置(102)、署名者装置(20i)及び検証者装置(30)に通信可能なリボケーション管理者(103)であって、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータと、値a,b∈Zq *を含むメンバ秘密鍵生成用秘密鍵と、値G2,F及び前記生成元G1を含むグループ公開鍵(但し、G2=G1 a、F=G1 b)とに基づいて、ユーザ識別情報ID(i)毎に、関係式ki1=b−aki2 mod qに基づいて、関係式F=G1^{ki1}G2^{ki2}を満たすリプレゼンテーションki1,ki2からなるメンバ秘密鍵が前記メンバ秘密鍵生成者装置により生成されたとき、互いに関連する当該リプレゼンテーションの一部ki1と前記ユーザ識別情報ID(i)とを前記メンバ秘密鍵生成者装置から受信する手段(13)と、
前記受信したユーザ識別情報ID(i)及びリプレゼンテーションの一部ki1を互いに関連付けて記憶するリボケーション管理者用記憶手段(113)と、
リボークされたメンバを示すユーザ識別情報ID(i)が入力されたとき、この入力されたユーザ識別情報ID(i)に基づいて、前記リボケーション管理者用記憶手段内の対応するリプレゼンテーションの一部ki1を含むリボケーションリストを生成するリボケーションリスト生成手段(18)と、
前記リボケーションリストを前記検証者装置に送信する手段(13)と、
を備え、
前記グループ署名は、前記署名者装置により生成された値R,U 1 を含んでおり(但し、R=T i r 、U 1 =G 1 r 、rは乱数)、
前記リボケーションリストは、前記検証者装置において、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式が成り立てば無効と判定するリボーク検証処理に用いられる
ことを特徴とするリボケーション管理者装置。 - グループ署名方式を用いるグループ管理者装置(10)、署名者装置(20i)及び検証者装置(30)に通信可能な署名者同一性証明装置(201i)であって、
ユーザ識別情報ID(i)毎に、前記グループ管理者装置により生成されたメンバ秘密鍵内のリプレゼンテーションの一部ki1を記憶する記憶手段(211)と、
前記グループ署名方式に用いる素数位数q、及び前記qの乗法巡回群gGの生成元G1を含む公開パラメータに基づいて、乱数r1∈Zq *を選択する手段(26)と、
値R,U1を含むグループ署名σ(但し、R=Ti r、U1=G1 r、Ti=G1 ^{k i1 }、rは乱数)を前記署名者装置から受けると、当該グループ署名σ内の値U1及び前記選択した乱数r1に基づいて、零知識証明のコミットメントR’=U1^{r1}を計算する手段(但し、^はベキ乗を表す記号)(26)と、
前記計算したコミットメントR’を前記検証者装置に送信する手段(23)と、
前記ゼロ知識証明のチャレンジとなる乱数δ∈Zq *を前記検証者装置から受信する手段(23)と、
前記チャレンジとなる乱数δ、前記乱数r1、前記リプレゼンテーションの一部ki1及び前記素数位数qに基づいて、前記ゼロ知識証明のレスポンスとなるパラメータs1’=r1+δki1 mod qを計算する手段(26)と、
検証式R’=R^{−δ}U1^s1’を検証可能な前記検証者装置に対し、前記計算したパラメータs1’を送信する手段(23)と、
を備え、
前記グループ署名に含まれる値R,U 1 は、
前記検証者装置において、リボークされたメンバに対応する前記リプレゼンテーションの一部k i1 を含むリボケーションリストを前記グループ管理者装置から受けたときに、当該リボケーションリストに含まれる未確認の値k i1 を選択して検証式R=U 1 ^{k i1 }が成り立つかどうかを確認し、前記検証式R=U 1 ^{k i1 }が成り立てば無効と判定するリボーク検証処理と、
前記検証者装置において、前記検証式R’=R^{−δ}U 1 ^s 1 ’が成り立つかを検証し、前記検証式R’=R^{−δ}U 1 ^{s’ 1 }が成り立たなければ偽と判定する署名者同一性検証処理と
に用いられることを特徴とする署名者同一性証明装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008072488A JP4764447B2 (ja) | 2008-03-19 | 2008-03-19 | グループ署名システム、装置及びプログラム |
CN200980109365.5A CN101978651B (zh) | 2008-03-19 | 2009-03-10 | 群签名系统、装置以及方法 |
KR1020107020734A KR101156813B1 (ko) | 2008-03-19 | 2009-03-10 | 그룹 서명 시스템, 장치 및 기록 매체 |
PCT/JP2009/054502 WO2009116422A1 (ja) | 2008-03-19 | 2009-03-10 | グループ署名システム、装置及びプログラム |
US12/884,742 US8433897B2 (en) | 2008-03-19 | 2010-09-17 | Group signature system, apparatus and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008072488A JP4764447B2 (ja) | 2008-03-19 | 2008-03-19 | グループ署名システム、装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009231987A JP2009231987A (ja) | 2009-10-08 |
JP4764447B2 true JP4764447B2 (ja) | 2011-09-07 |
Family
ID=41090827
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008072488A Active JP4764447B2 (ja) | 2008-03-19 | 2008-03-19 | グループ署名システム、装置及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US8433897B2 (ja) |
JP (1) | JP4764447B2 (ja) |
KR (1) | KR101156813B1 (ja) |
CN (1) | CN101978651B (ja) |
WO (1) | WO2009116422A1 (ja) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8443191B2 (en) | 2007-04-09 | 2013-05-14 | Objective Interface Systems, Inc. | System and method for accessing information resources using cryptographic authorization permits |
US8380981B2 (en) | 2008-05-16 | 2013-02-19 | Objective Interface Systems, Inc. | System and method that uses cryptographic certificates to define groups of entities |
CN101800641B (zh) * | 2009-12-29 | 2012-09-12 | 河南城建学院 | 一种适合大群组的群签名方法 |
JP5325126B2 (ja) * | 2010-01-13 | 2013-10-23 | 日本電信電話株式会社 | 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム |
JP6014585B2 (ja) * | 2010-05-19 | 2016-10-25 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 属性ベースのデジタル署名システム |
CN101977110B (zh) * | 2010-10-09 | 2012-08-29 | 北京航空航天大学 | 一种基于椭圆曲线的群签名方法 |
JP5790289B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、情報処理方法、プログラム、及び記録媒体 |
DE102012221288A1 (de) * | 2012-11-21 | 2014-05-22 | Siemens Aktiengesellschaft | Verfahren, Vorrichtung und Dienstleistungsmittel zur Authentifizierung eines Kunden für eine durch ein Dienstleistungsmittel zu erbringende Dienstleistung |
US10038679B2 (en) * | 2012-12-24 | 2018-07-31 | Intel Corporation | Centralized secure device pairing |
CN104919752B (zh) * | 2013-01-17 | 2018-04-27 | 日本电信电话株式会社 | 分割保管装置、秘密密钥分割保管方法 |
FR3003713B1 (fr) * | 2013-03-25 | 2016-10-07 | Morpho | Signature de groupe utilisant un pseudonyme |
US9634840B2 (en) * | 2013-07-23 | 2017-04-25 | Security Innovation Inc. | Digital signature technique |
US9985966B2 (en) | 2014-01-07 | 2018-05-29 | Empire Technology Development Llc | Anonymous signature scheme |
JP2016046719A (ja) * | 2014-08-25 | 2016-04-04 | 株式会社東芝 | データ生成装置、通信装置、移動体、データ生成方法およびプログラム |
CN104917617B (zh) * | 2015-05-26 | 2018-02-09 | 同济大学 | 一种加密群签名的混淆方法 |
CN105024823B (zh) * | 2015-07-27 | 2018-03-23 | 中国船舶重工集团公司第七0九研究所 | 基于零知识证明的用户身份隐私保护方法及系统 |
US10104088B2 (en) | 2016-09-28 | 2018-10-16 | International Business Machines Corporation | Traitor tracing for obfuscated credentials |
EP3545645B1 (en) * | 2016-11-19 | 2024-03-06 | Dfinity Stiftung | System architecture and method of processing data therein |
US10742413B2 (en) * | 2017-04-25 | 2020-08-11 | International Business Machines Corporation | Flexible verifiable encryption from lattices |
CN107911216B (zh) * | 2017-10-26 | 2020-07-14 | 矩阵元技术(深圳)有限公司 | 一种区块链交易隐私保护方法及系统 |
CN111373401B (zh) * | 2017-11-27 | 2023-04-25 | 三菱电机株式会社 | 同态推理装置、同态推理方法、计算机能读取的存储介质和隐匿信息处理系统 |
FR3075423A1 (fr) * | 2017-12-15 | 2019-06-21 | Orange | Technique de protection d'une cle cryptographique au moyen d'un mot de passe utilisateur |
EP3502941B1 (en) | 2017-12-19 | 2021-01-20 | Riddle & Code GmbH | Dongles and method for providing a digital signature |
US20220051314A1 (en) * | 2018-09-12 | 2022-02-17 | Nec Corporation | Information processing apparatus, information processing system, member identification method, and non-transitory computer readable medium storing program |
FR3091107A1 (fr) * | 2018-12-24 | 2020-06-26 | Orange | Procédé et système de génération de clés pour un schéma de signatures anonymes |
WO2020209793A1 (en) * | 2019-04-11 | 2020-10-15 | Singapore Telecommunications Limited | Privacy preserving system for mapping common identities |
JP7238977B2 (ja) * | 2019-05-27 | 2023-03-14 | 日本電信電話株式会社 | 匿名署名システム及び匿名署名方法 |
US11601284B2 (en) * | 2019-06-14 | 2023-03-07 | Planetway Corporation | Digital signature system based on a cloud of dedicated local devices |
US10652019B1 (en) * | 2019-08-28 | 2020-05-12 | Qed-It Systems Ltd. | Atomic swap using zero-knowledge proofs, and applications thereof |
US12047493B2 (en) * | 2019-10-30 | 2024-07-23 | EMC IP Holding Company LLC | Threshold-based override of data privacy using distributed ledgers and key shares |
CN112073406B (zh) * | 2020-09-03 | 2023-01-13 | 北京工业大学 | 一种基于双线性映射可扩展分组多数据保护方法 |
US11645654B2 (en) | 2021-01-14 | 2023-05-09 | American Express Travel Related Services Company, Inc. | Biometric-based identity verification using zero-knowledge proofs |
CN113112268A (zh) * | 2021-03-19 | 2021-07-13 | 杭州复杂美科技有限公司 | 匿名多重签名方法、计算机设备和存储介质 |
CN113114470A (zh) * | 2021-03-30 | 2021-07-13 | 北京金山云网络技术有限公司 | 群组的签名方法和装置、电子设备和存储介质 |
CN114339746B (zh) * | 2021-12-31 | 2023-11-17 | 中国科学技术大学 | 基于中国剩余定理的车联网动态组密钥管理方法及系统 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6243467B1 (en) * | 1998-07-23 | 2001-06-05 | The United States Of America As Represented By The National Security Agency | Method of elliptic curve cryptographic digital signature generation and verification using reduced base tau expansion in non-adjacent form |
JP2001202013A (ja) * | 2000-01-21 | 2001-07-27 | Nec Corp | 匿名参加権限管理システム |
US6584566B1 (en) * | 1998-08-27 | 2003-06-24 | Nortel Networks Limited | Distributed group key management for multicast security |
JP2000162967A (ja) * | 1998-11-30 | 2000-06-16 | Mitsubishi Electric Corp | ディジタル署名・検証システム |
US6240188B1 (en) * | 1999-07-06 | 2001-05-29 | Matsushita Electric Industrial Co., Ltd. | Distributed group key management scheme for secure many-to-many communication |
EP1625470A1 (en) * | 2003-05-21 | 2006-02-15 | Hewlett-Packard Development Company, L.P. | Use of certified secrets in communication |
JP4533636B2 (ja) * | 2004-01-26 | 2010-09-01 | 株式会社東芝 | デジタル署名システム、デジタル署名管理装置、デジタル署名管理方法及びプログラム |
US7590236B1 (en) * | 2004-06-04 | 2009-09-15 | Voltage Security, Inc. | Identity-based-encryption system |
CN100561912C (zh) * | 2005-12-08 | 2009-11-18 | 上海交通大学 | 基于群签名的移动代理安全路由方法 |
WO2009008069A1 (ja) * | 2007-07-11 | 2009-01-15 | Kabushiki Kaisha Toshiba | グループ署名システム、装置及びプログラム |
EP2456119B1 (en) * | 2009-07-13 | 2016-09-28 | Nec Corporation | Anonymous authentication signature system, user device, verification device, signature method, verification method, and program therefor |
KR101425552B1 (ko) * | 2010-10-04 | 2014-08-05 | 한국전자통신연구원 | 제어가능 연결성을 제공하는 그룹서명 시스템 및 방법 |
KR101475282B1 (ko) * | 2010-12-20 | 2014-12-22 | 한국전자통신연구원 | 키 유효성 검증 방법 및 이를 수행하기 위한 서버 |
-
2008
- 2008-03-19 JP JP2008072488A patent/JP4764447B2/ja active Active
-
2009
- 2009-03-10 KR KR1020107020734A patent/KR101156813B1/ko active IP Right Grant
- 2009-03-10 CN CN200980109365.5A patent/CN101978651B/zh active Active
- 2009-03-10 WO PCT/JP2009/054502 patent/WO2009116422A1/ja active Application Filing
-
2010
- 2010-09-17 US US12/884,742 patent/US8433897B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR20100116215A (ko) | 2010-10-29 |
US20110060903A1 (en) | 2011-03-10 |
US8433897B2 (en) | 2013-04-30 |
CN101978651B (zh) | 2014-09-17 |
WO2009116422A1 (ja) | 2009-09-24 |
KR101156813B1 (ko) | 2012-06-18 |
CN101978651A (zh) | 2011-02-16 |
JP2009231987A (ja) | 2009-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4764447B2 (ja) | グループ署名システム、装置及びプログラム | |
JP5060556B2 (ja) | グループ署名システム、装置及びプログラム | |
Au et al. | Malicious KGC attacks in certificateless cryptography | |
Liu et al. | Self-generated-certificate public key cryptography and certificateless signature/encryption scheme in the standard model | |
Chow | Removing escrow from identity-based encryption: New security notions and key management techniques | |
Escala et al. | Revocable attribute-based signatures with adaptive security in the standard model | |
Hu et al. | Certificateless signature: a new security model and an improved generic construction | |
Yap et al. | An efficient certificateless signature scheme | |
Li et al. | Certificate-based signature: security model and efficient construction | |
Chow et al. | Security-mediated certificateless cryptography | |
Tso et al. | Efficient and short certificateless signatures secure against realistic adversaries | |
Huang et al. | Generic certificateless encryption in the standard model | |
Tso et al. | Efficient and short certificateless signature | |
Bellare et al. | Stateful public-key cryptosystems: how to encrypt with one 160-bit exponentiation | |
Xu et al. | Accountable ring signatures: A smart card approach | |
Gennaro et al. | A note on an encryption scheme of Kurosawa and Desmedt | |
Gu et al. | An efficient ID-based proxy signature scheme from pairings | |
Li et al. | A forward-secure certificate-based signature scheme | |
Tso | A new way to generate a ring: Universal ring signature | |
Wu et al. | Certificate-based signatures: new definitions and a generic construction from certificateless signatures | |
JP4791828B2 (ja) | グループ署名システム、装置、プログラム及び方法 | |
Zhang et al. | A robust verifiably encrypted signature scheme | |
Dent | A brief history of provably-secure public-key encryption | |
Shao et al. | Practical verifiably encrypted signatures based on discrete logarithms | |
Yang et al. | Efficient mediated certificates public-key encryption scheme without pairings |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110422 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110517 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110610 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140617 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4764447 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |