JP4785851B2 - アイデンティティに基づくアグリゲート署名を含むデジタル署名 - Google Patents
アイデンティティに基づくアグリゲート署名を含むデジタル署名 Download PDFInfo
- Publication number
- JP4785851B2 JP4785851B2 JP2007527505A JP2007527505A JP4785851B2 JP 4785851 B2 JP4785851 B2 JP 4785851B2 JP 2007527505 A JP2007527505 A JP 2007527505A JP 2007527505 A JP2007527505 A JP 2007527505A JP 4785851 B2 JP4785851 B2 JP 4785851B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- digital signature
- aggregate
- computer system
- signatures
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Description
本出願は、この参照により引用に含まれる、2004年5月20日出願の米国仮出願第60573651号に基づく優先権を主張する。
また、本願は、この参照により引用に含まれる、発明者Craig B.Gentry)及びZulfikar Amin Ramzanによって出願された「Digital Signatures Including Identity−Based Aggregate Signatures」と題する2005年5月19日出願の米国特許出願に基づく優先権を主張する。
本発明は、デジタル署名に関し、特に、アイデンティティに基づくデジタル署名、並びに、他の個別署名及びアグリゲート署名に関する。
デジタル署名は、暗号論的に仮定を「検証」することが可能な文字列(例えば、ビット)である。
例えば、Bobが、文書Dの内容を承認したとの仮定に対して、Bobは、彼の公開署名検証鍵VKに対応する秘密署名鍵SKを使って文書Dに対するデジタル署名Sを生成することができる。
そして、S、K、VKを知っている人(及び、VKが、詐欺師のものではなく、Bobのものであることを確認した人)なら誰でも、Bobが、実際に文書Dを承認したのだということを、暗号論的に検証することができる。
また、追加的に要求される検証情報(D,VK)と共に、Sが、Bobのデジタル署名であるということが、暗号論的に検証することができる。
デジタル署名スキームが、安全であれば、Bob以外の人間は、Bobの秘密鍵SKを知らないので、彼のデジタル署名を偽造することは難しいはずである。
デジタル署名の概念は、Diffie及びHellmanの論文「New Directions in Cryptography」により1976年に提案された。
それ以来、デジタル署名を「効率的」なものにするために、多くの努力がなされてきた。
例えば、ある系統の研究は、計算速度の遅いプロセッサを有する装置においても、署名の生成又は署名の検証(又は、その両方)を素早く検証することができるという意味において、「計算処理的に効率的」な署名スキームを見出すものである。
他の系統の研究は、デジタル署名スキームが、最小帯域幅のオーバーヘッドを加えるという意味において、「帯域幅的に効率的」な署名スキームを見出すものである。
本特許出願に記載する発明は、主に、後者の系統の研究に属する。
1.従来の解決法
従来技術において、署名スキームを、より帯域幅的に効率的なものにするために、幾つかの手法が取られてきた。
従来技術において、署名スキームを、より帯域幅的に効率的なものにするために、幾つかの手法が取られてきた。
1つは、(Sの値を伝達するために必要とされるビット数に関して)Sのサイズを可能な限り小さくするというものである。
例えば、この参照により引用に含まれる「Short Signatures from the Weil Pairing」(Asiacrypt2001予稿集、LNCS2248、pp.514−532、Springer−Verlag社)において、Boneh、Lynn及びShachamは、(「計算処理的なDiffie−Hellman仮定」と呼ばれる仮定の下)、署名が、僅かに約160ビットであっても、十分な安全性を実現する署名スキームについて説明している。
しかしながら、Sが、僅かに160ビットであったとしても、その署名を検証するためには、つまり、署名者の公開署名検証鍵VK、及び、署名者が署名した文書Dの記述を検証するためには、他の情報も必要とされていた。
その結果、署名スキームの全体的な帯域幅は、実際には、160ビットではなく、160+|VK|+|D|である。ここで、|D|は、署名された文書を記述するために必要なビット数を表し、|VK|は、署名者の検証鍵の長さを表す。
帯域幅的に効率的な署名を実現する他の手法は、「メッセージの回復を可能とする署名」である。
これらのスキームにおいて、検証者は、署名Sから、Dのある数(例えば、k)のビットを回復することができる。よって、署名を検証するために必要な全ビット数は、|S|+|VK|+(|D|−k)である。メッセージの回復を可能とする既存の署名スキームの全てにおいて、kは、せいぜい|S|−160である。
その結果、検証する必要のある全情報は、Boneh−Lynn−Shachamスキームのように、依然として、少なくとも、160+|VK|+|D|である。
また、帯域幅の改善を可能とするとして時々説明される別の手法は、「アイデンティティに基づく署名」である(この参照により引用に含まれる、A.Shamir著、「Identity−Based Cryptosystems and Signature Schemes」(Crypto1984予稿集、LNCS196、pp.47−53、Springer−Verlag社)を参照のこと。)
アイデンティティに基づく署名スキームにおいて、署名者(「Bob」と呼ぶ)は、通常のデジタル署名スキームにおいて行うような署名者自身の鍵のペア(SK,VK)を生成しない。
アイデンティティに基づく署名スキームにおいて、署名者(「Bob」と呼ぶ)は、通常のデジタル署名スキームにおいて行うような署名者自身の鍵のペア(SK,VK)を生成しない。
その代わりに、「秘密鍵ジェネレータ(PKG)」と呼ばれる高信頼のオーソリティが、Bobの「アイデンティティIDBob(例えば、彼の名前や電子メールアドレス)」、及び、PKG自体の秘密鍵SKPKGの関数として、Bobの秘密鍵SKBobを生成する。
また、文書DのBobの署名Sを検証するために、検証者は、BobのアイデンティティIDBob及び彼のPKGの公開鍵PKPKGも必要とする。
Bobのアイデンティティは、任意に短く(例えば、160ビットより随分少なく)てよいが、PKGの公開鍵は、典型的に十分長い(例えば、160ビット以上)。
よって、上述した帯域幅的に効率的な手法には、帯域幅的に際立った利点はない。
しかしながら、(本発明で説明するように、後述するアイデンティティに基づくアグリゲート署名に対して有用である)アイデンティティに基づく署名スキームの興味深い側面、つまり、Bobの署名を検証するために、特にBobに対して個別化された公開検証鍵VKを必要とせず、その代わりに、検証者は、(他の多くのクライアントに対してもPKGとして機能する)BobのPKGに対する公開鍵だけを必要とするという側面に留意されたい。
また、帯域幅的に効率的な署名を実現するための別の手法は、「アグリゲート署名」である。
アグリゲート署名スキームにより、相異なる署名者によって生成された相異なる文書の署名を、単一の短い署名に「アグリゲート(集約)」することができる。
より具体的には、公開署名検証鍵(VK1,…,VKn)を有するn人の署名者がおり、これらのn人の署名者は、それぞれの文書(D1,…,Dn)に署名し、それによって、n個の署名(S1,…,Sn)を生成するとする。
アグリゲート署名スキームでは、値(S1,…,Sn)を、単一の「短い」値Sに集約することができる。|S|が、|S1|+…+|Sn|より随分少ないときに、それが当てはまる。理想的には、|S|は、n(アグリゲートされた署名の数)によって決まることさえあってはならない。
全てのi∈[1,n]に対して、検証鍵VKiを有する署名者が文書Diに署名したことを検証するために必要な全ての情報は、|VK1|+…+|VKn|+|D|+|S|である。
ここで、Dは、D1からDnを個別に一覧にするよりもコンパクトである署名した文書(D1,…,Dn)の記述である。
従来技術によるアグリゲート署名スキームにおいては、それぞれの検証鍵の記述を集約することができない。よって、署名した文書Dの記述は増えないとしても、全体の検証情報は、nに伴って線形的に増える。
近年、2つのアグリゲート署名スキームがある。
第1のアグリゲート署名スキームは、この参照により引用に含まれる、Craig Gentryにより2003年4月15日に出願された「Signature Schemes Using Bilinear Mapping」と題する特許出願番号第10499853号に記載されるアグリゲート署名スキームである。
このスキームは、双線型の「ペアリング(例えば、楕円曲線、又は、アーベルバラエティ)」を使用し、これにより、誰もが任意の順序の署名のコレクションを集約することができる。
第2のアグリゲート署名スキームは、この参照により引用に含まれる、A.Lysyanskaya、S.Micali、L.Reyzin及びH.Shacham著、「Sequential Aggregate Signatures from Trapdoor Permutations」(Eurocrypt2004予稿集、LNCS3027、pp.74−90、Springer−Verlag社)に記載のスキームである。
このスキームでは、シーケンシャルなアグリゲーションだけが可能である(これは、自由度が低い)が、(近年になってようやく暗号システムを構築するために使用されるようになったペアリングの概念に対して)より広く受け入れられているトラップドア転置処理(Trapdoor Permutations)の概念を使用している。
第2のスキームは、アグリゲート署名スキームの「理想的な」目的、つまり、Sをnから独立させるということを実現していない。
むしろ、彼らのスキームにおいては、Sのサイズは、署名者が一人増えるごとに、1、2ビットだけ増加する。
|S|は、nが増加するにつれて非常にゆっくりと増加するので、彼らのスキームは、理想的な目的を達成していないけれども、アグリゲート署名スキームと見なされている。
P.S.L.M.Barreto、H.Y.Kim、B.Lynn、M.Scotto著、「Efficient Algorithms for Pairing−Based Cryptosystems」、Crypto2002予稿集、LNCS2442、pp.354−368、Springer−Verlag社、2002年 D.Boneh、M.Franklin、B.Lynn、H.Shacham著、「Identity−Based Encryption from the Weil Pairing」、SIAMJ.Computing、32(3)、586−615、2003年、Crypto2001予稿集の拡張アブストラクト D.Boneh、C.Gentry著、「Aggregate and Verifiably Encrypted Signatures from Bilinear Maps」、Eurocryp2003予稿集、LNCS2656、pp.416−432、Springer−Verlag社。2003年 D.Boneh、B.Lynn、H.Shacham著、「Short Signatures from the Weil Pairing」、Asiascrypt2001予稿集、LNCS2248、pp.514−532、Springer−Verlag社、2001年 A.Lysyanskaya、S.Micali、L.Reyzin、H.Shacham著、「Sequential Aggregate Signatures from Trapdoor Permutations」、Eurocryp2004予稿集、LNSC3027、pp.74−90、Springer−Verlag社、2004年 S.Micali、K.Ohta、L.Reyzin著、「説明可能な部分集合多重署名」(拡張アブストラクト)、CCS2001予稿集、pp.245−54、ACMプレス、2001年 A.Shamir著、「Identity−Based Cryptosystem and Signature Schemes」、Crypto1984予稿集、LNCS196、pp.47−53、Springer−Verlag社、1985年
P.S.L.M.Barreto、H.Y.Kim、B.Lynn、M.Scotto著、「Efficient Algorithms for Pairing−Based Cryptosystems」、Crypto2002予稿集、LNCS2442、pp.354−368、Springer−Verlag社、2002年 D.Boneh、M.Franklin、B.Lynn、H.Shacham著、「Identity−Based Encryption from the Weil Pairing」、SIAMJ.Computing、32(3)、586−615、2003年、Crypto2001予稿集の拡張アブストラクト D.Boneh、C.Gentry著、「Aggregate and Verifiably Encrypted Signatures from Bilinear Maps」、Eurocryp2003予稿集、LNCS2656、pp.416−432、Springer−Verlag社。2003年 D.Boneh、B.Lynn、H.Shacham著、「Short Signatures from the Weil Pairing」、Asiascrypt2001予稿集、LNCS2248、pp.514−532、Springer−Verlag社、2001年 A.Lysyanskaya、S.Micali、L.Reyzin、H.Shacham著、「Sequential Aggregate Signatures from Trapdoor Permutations」、Eurocryp2004予稿集、LNSC3027、pp.74−90、Springer−Verlag社、2004年 S.Micali、K.Ohta、L.Reyzin著、「説明可能な部分集合多重署名」(拡張アブストラクト)、CCS2001予稿集、pp.245−54、ACMプレス、2001年 A.Shamir著、「Identity−Based Cryptosystem and Signature Schemes」、Crypto1984予稿集、LNCS196、pp.47−53、Springer−Verlag社、1985年
2.以前の解決法の欠点
帯域幅の効率性に注目した系統の研究の究極の目的は、検証に必要な全情報を最小化する署名スキームを見出すことである。
帯域幅の効率性に注目した系統の研究の究極の目的は、検証に必要な全情報を最小化する署名スキームを見出すことである。
任意の署名スキームに対して、誰が何に署名したかの記述Kを持たなければならない(メッセージの回復を有する署名スキームのように、記述のいくらかは、他の変数に折り畳まれているかもしれないが)。Kは、Kの値を伝達するために必要な最小のビット数である一定の「Kolmogorov計算量」を有する。
そのため、この系統の研究の究極の目的は、署名を検証するために必要なKの他に、情報量を最小化することである。或いは、言い換えれば、究極の目的は、「コルモゴロフの最適性(Kolmogorov−optimal)」に可能な限り近い署名スキームを見出すことである。
せいぜいビットの小さい定数(すなわち、nから独立したビットの数)を「コルモゴロフの下界|K|」に加えるスキームに対するニーズがある。
このセクションでは、発明の幾つかの特徴について概要を述べる。他の特徴については、後のセクションで説明する。本発明は、この参照によりこのセクションに含まれる添付した特許請求の範囲により定義される。
本発明の幾つかの実施形態においては、複数の署名者が、複数の文書に署名することを可能にする署名スキームが提供されるが、それは、コルモゴロフの最適性に可能な限り近いものである。
「アイデンティティに基づくアグリゲート署名」と呼ばれる幾つかの実施形態では、所期の目的を実現している。
すなわち、アイデンティティに基づくアグリゲート署名を検証するために必要な情報は、K+2の一定の長さの「タグ」である。
タグの1つは、秘密鍵ジェネレータの公開鍵、もう1つのタグは、実際のアイデンティティに基づくアグリゲート署名である。
アグリゲーションは、十分な自由度がある。例えば、誰もが、互換性のあるようにフォーマットされた署名のコレクションを集約することができる。
また、本発明は、さらに高い安全性が立証されているアイデンティティに基づく多重署名スキームを含む(アイデンティティに基づく多重署名スキームは、本質的に、相異なる署名者が同じメッセージに署名する、(縮退型の)アイデンティティに基づくアグリゲート署名スキームである)。
更に、本発明の幾つかの実施形態により、署名者が相異なるPKGを有するアイデンティティに基づくアグリゲート署名が可能となる。
また、本発明には、新規のコンポーネントも含まれる。これらのコンポーネントの幾つかは、アイデンティティに基づくアグリゲート署名を生成するために使用されるアイデンティティに基づく秘密鍵の生成方法、集約することができるアイデンティティに基づく署名の生成方法、アイデンティティに基づく署名(及び、おそらく、アイデンティティに基づくサブアグリゲート署名)をアイデンティティに基づくアグリゲート(又は、より大きいサブアグリゲート)署名に集約する方法、及び、アイデンティティに基づくアグリゲート署名を検証する方法である。
また、本発明は、そのようなコンポーネントを実装するシステムや、そのようなコンポーネントを実装するためのコンピュータ指令及び/又はデータ構造を含むコンピュータにより読み取り可能な媒体や、そのようなコンピュータの指令及び/又はデータ構造を組み合わせるために作られた信号を含む。
本発明は、上述した特徴及び長所に制限されるものではない。他の特徴については、以下に説明する。本発明は、添付した特許請求の範囲により定義される。
本発明の幾つかの実施形態では、様々な拡張及びアプリケーションとともに、安全かつ効率的なアイデンティティに基づくアグリゲート署名(及び多重署名)を実装する方法及びシステムが提供される。
まず、アイデンティティに基づくアグリゲート署名とは何であるかについて一般的な用語により明確にする。
<1.アイデンティティに基づくアグリゲート署名>
アイデンティティに基づくアグリゲート署名の幾つかの側面を、スキームの性能的な特徴、及び、スキームの安全性の特徴の両方に関して説明する。
アイデンティティに基づくアグリゲート署名の幾つかの側面を、スキームの性能的な特徴、及び、スキームの安全性の特徴の両方に関して説明する。
<1.1 性能的な特徴>
アイデンティティに基づくアグリゲート署名の目的は、コルモゴロフの最適性に近い帯域幅の効率性を実現することにあることを思い出して欲しい。
アイデンティティに基づくアグリゲート署名の目的は、コルモゴロフの最適性に近い帯域幅の効率性を実現することにあることを思い出して欲しい。
誰が何に署名したかの記述Kは、署名者の数nに伴って、ほぼ直線的に増加する(例えば、「全ての署名者に対して、i番目の署名者が、そのインデックスiに署名する」という記述は、数nがKの一部として生成されている場合の対数依存性をおそらく除いて、nから独立である)。
したがって、アイデンティティに基づくアグリゲート署名を検証する為に必要な情報量は、nに伴って必ずしも増加しないことが望ましい。
(注釈)
上述したように、Lysyanskaya等のアグリゲート署名スキームにおいて、アグリゲート署名Sの大きさは、実際には、nに伴って直線的には増加する。
上述したように、Lysyanskaya等のアグリゲート署名スキームにおいて、アグリゲート署名Sの大きさは、実際には、nに伴って直線的には増加する。
しかし、この事実にも係わらず、彼らのスキームは、依然として、アグリゲート署名スキームと見なされている。
なぜならば、Sは、署名者が一人増える毎に、1又は2ビットだけ増加するためである(集約しない署名スキームの場合は、署名者が一人増える毎に、160ビット(又は、それ以上)増加するのに対して)。
本発明のアイデンティティに基づくアグリゲート署名の我々の定義は、このわずかな直線的増加の可能性を排除するものと解釈されるべきではないが、我々のアイデンティティに基づくアグリゲート署名の好ましい実施形態の帯域幅の消費は、nに従属ではない。
以前のアグリゲート署名スキームでは、誰が何に署名したかの記述Kに加えて、検証者は、n個の公開署名検証鍵(VK1,…,VKn)のそれぞれを、n人の署名者のそれぞれに対して必要とする。
これらの以前のアグリゲート署名スキームでは、検証者は、(署名者が誰であるかの記述を含む)Kから、(VK1,…,VKn)の値を得ることができない。
つまり、検証者は、署名者のアイデンティティから、署名者の公開鍵を解読することができない。
むしろ、各個別の署名者は、必ずしも署名者のアイデンティティIDiによって決まらないように、自分自身の鍵のペア(SKi,VKi)をランダムに独立して生成する。
各VKiは、検証者となる人の観点から見れば、ランダムなので、検証者は、各VKiを「推測」することができない。
それを検証する前に、それぞれのVKiを個別に求める必要があり、そのため、検証情報の全体の量が、nによって決まる。
幾つかの実施形態において、nに依存しない署名スキームを実現するため、我々は、各署名者に、その鍵のペアをランダムに生成させない。これにより、アイデンティティに基づく署名スキームの考え方が導かれる。
アイデンティティに基づく署名スキームにおいて、署名者の公開アイデンティティIDiは、その公開鍵として働く。
署名者のアイデンティティ(ID1,…,IDn)は、誰が何に署名したかの記述K(この場合、Kは、nに依存する)に、既に含まれていることに留意されたい。
署名者の秘密署名鍵SKiは、秘密鍵ジェネレータ(PKG)と呼ばれる高信頼のオーソリティによって、署名者のアイデンティティIDi及びPKGの秘密鍵SKPKGの関数として生成される。
署名者は、署名Siを出力する署名アルゴリズムに対して(Di,SKi)を入力することで、文書Diに署名する。
検証者は、Siが、アイデンティティIDiを有する署名者による文書Diの有効な署名であることを、署名が有効か無効かによって「0」又は「1」を出力する検証アルゴリズム(ここで、PKPKGは、PKGの公開鍵)に対して、(Si,Di,IDi,PKPKG)を入力することによって検証する。
全ての署名者が、同じPKGを使用するとすれば、検証者は、PKGの公開鍵の1つのコピーだけを必要とし、各署名者に対して、個別の公開鍵VKiを求める必要はない。
その結果、(集約しない)アイデンティティに基づく署名スキームでは、検証するために必要な全情報は、|K|+|PKPKG|+|S1|+…+|Sn|である。
この場合、nへの依存は、署名者の(従来技術のアグリゲート署名スキームに対する)公開検証鍵VKiよりもむしろ、署名Siが起こす。
(注釈)
上記の説明から、「署名者は、単に公開検証鍵VKiをIDiに等しく設定し、それに対応する秘密鍵を(PKGの支援なしに)、署名者自身で生成できないのか」という疑問があるかもしれない。
上記の説明から、「署名者は、単に公開検証鍵VKiをIDiに等しく設定し、それに対応する秘密鍵を(PKGの支援なしに)、署名者自身で生成できないのか」という疑問があるかもしれない。
任意の特定の「暗号論的でない」アイデンティティ文字列IDiを、署名者の公開鍵として機能させる(この場合は、署名者が、その文字列に対する秘密暗号論的知識を持ち合わせていないという意味において「暗号論的でない」(このようなことは、IDiが、署名者の名前、又は、電子メールアドレスである場合に、おそらく起こり得るであろうが))のであれば、論理的に不可避な結果として、署名者以外の誰かが、署名者の秘密鍵を生成しなければならない。
その理由は、署名者が、自身のアイデンティティ文字列に対して、「特権的な」知識を持たないという想定になっているので、署名者が、自身の秘密鍵を生成できたとすると、同等な計算処理能力を有する他の誰でもが、秘密鍵を生成することができるためである。
その結果、幾つかの実施形態には、署名者の秘密鍵が、署名者の文字列IDiの関数として、「PKG」と呼ばれる第三者(又は、第3者の連合)、及び、PKGの秘密鍵SKPKGと呼ばれるPKGのみが知っている情報によって生成される。
検証情報のサイズは、アグリゲート署名でもアイデンティティに基づく署名でも、nによって決まるが、我々は、2つの概念を組み合わせることにより、nへの依存を排除することができる。
これは、言うのは簡単であるが、実際行うのは難しい。既存のアグリゲート署名スキーム、及び、既存のアイデンティティに基づく署名スキームを単に互いに組み合わせることでは、この目的を達成することはできない。
実際、アグリゲート署名が存在し、且つ、アイデンティティに基づく署名スキームが存在するだけでは、アイデンティティに基づくアグリゲート署名スキームが存在するということにはならないのは、確かである。
ここで、アイデンティティに基づくアグリゲート署名の少なくとも幾つかの実施形態において、我々が取得したいと考えるプロパティ及び性能特性について述べる。
アイデンティティに基づく署名等の場合、署名者の公開アイデンティティIDiが、その公開鍵として機能し、署名者の秘密署名鍵SKiが、秘密鍵ジェネレータ(PKG)と呼ばれる高信頼のオーソリティによって、署名者のアイデンティティIDi及びPKGの秘密鍵SKPKGの関数として生成される。
アイデンティティ(ID1,…,IDn)を有する署名者が、文書(D1,…,Dn)に署名するというアイデンティティに基づくアグリゲート署名を生成するために、各署名者は、それぞれの秘密鍵SKiを何らかの方法で、それぞれの文書Diに適用する。
アイデンティティに基づくアグリゲート署名Sを検証するために必要な情報の大きさは、nから独立であるべきである(又は、nに伴って緩やかに増加するべきである)。
具体的には、検証情報は、(K,S,PKPKG)である。ここで、S及びPKPKGの大きさは、nからは独立である。
署名者がSを生成するまさにその方法は、スキームごとに異なっている。
我々の好ましい実施形態においては、それぞれの署名者は、自分自身のアイデンティティに基づく署名を、他の署名者のアイデンティティに基づく署名とは本質的に独立したものとして生成することができる。
その後、誰もが、自分達のアイデンティティに基づく署名を、1つのアグリゲートに(後で説明するある方法において、様々なアイデンティティに基づく署名が、「互換性のある」限り)、集約することができ、不特定複数のアグリゲートは、他のアグリゲート、又は、個別の署名と組み合わせることによって、更に他のアグリゲートを生成することができる。
或いは(Lysyanskaya等の意味で)、「シーケンシャルな」アイデンティティに基づくアグリゲート署名スキームを有してもよい。
ここに言う「シーケンシャルな」アイデンティティに基づくアグリゲート署名スキームでは、i番目の署名者が、その署名を、(i−1)番目の署名者の出力に対して、直接、集約し、自身の出力を生成する、つまり、署名者だけが、アグリゲーションを実行することができる。
アグリゲーションの方法は変わり得るが、結果は同じである必要がある。すなわち、署名が、ほぼコルモゴロフの最適性の検証情報の大きさを有する必要がある。
<1.2 安全性の特徴>
デジタル署名は、偽造することが難しくなくてはならない。暗号論において、この概念は、適応的選択メッセージの下、実在の偽造に対する安全性として様式化することができる。
デジタル署名は、偽造することが難しくなくてはならない。暗号論において、この概念は、適応的選択メッセージの下、実在の偽造に対する安全性として様式化することができる。
この概念は、典型的には、「挑戦者」と「競争相手」との間で行われる「ゲーム」、つまり、大雑把に言うと、以下に説明する一定の条件次第では、競争相手が有効な偽造を生成すれば、競争相手が勝つという「ゲーム」に関して定義されている。
我々のアイデンティティに基づくアグリゲート署名スキームでは、競争相手に署名(すなわち、偽造)するメッセージを選択させるだけでなく、攻撃したいと思うアイデンティティの群を選択する能力を与えている。このゲームを、我々は、以下の通り、明確にする。
(設定)
挑戦者Cは、競争相手Aに対して、PKGの公開鍵PKPKGを与える。
挑戦者Cは、競争相手Aに対して、PKGの公開鍵PKPKGを与える。
(クエリ)
状況に適応しながら、Aは、アイデンティティIDiを選択し、対応する秘密鍵SKiを要求することができる。
状況に適応しながら、Aは、アイデンティティIDiを選択し、対応する秘密鍵SKiを要求することができる。
また、
におけるアイデンティティに基づくアグリゲート署名σi−1が与えられているので、Aは、
のアイデンティティに基づくアグリゲート署名σiを要求することができる。
(応答) ある
に対して、競争相手Aは、アイデンティティに基づくアグリゲート署名σiを出力する。
アイデンティティに基づくアグリゲート署名σiが、
の有効な署名であり、その署名が自明でない場合、すなわち、あるiに対して、1≦i≦lである場合、Aが、IDiに対する秘密鍵を要求せず、ペア(IDi,Di)を含む署名を要求しない場合には、競争相手の勝ちである。
非様式的には、上述したゲームは、実生活におけるアイデンティティに基づくアグリゲート署名スキームから、我々が期待する安全性のタイプに倣ったものである。
実生活では、競争相手は、正当に生成されたアイデンティティに基づくアグリゲート署名の多くを見ることができるであろう。そのため、我々は、ゲームの中で、競争相手に正当な署名を要求する能力を与えたのである。
現実の生活では、競争相手は、多くの署名者をだまして署名者の秘密鍵を自分に与えるようにする(又は、署名者は、自分の秘密鍵を競争相手に渡すことによって、競争相手と「共謀」する)ことができる。よって、ゲームの中で我々は、競争相手に秘密鍵を要求する能力を与えた。
このような条件の下、我々が望むことができる最善の安全性のタイプは、競争相手が、既に正当に生成されているものではないアイデンティティに基づくアグリゲート署名を生成できず、署名者の秘密鍵の全てを知らないということである。
これが、上述したゲームが倣ったものである。競争相手がスキームを破る確率は、競争相手がどのくらいの計算処理能力(又は、時間t)を持つか、そして、どのくらいのクエリを生成できるようになっているのかによるので、我々は、これらの変数に関して安全性を定義している。
(定義)
アイデンティティに基づくアグリゲート署名の競争相手A(t,qH,qE,qS,ε)は、Aが、最大でも時間tで作動し、最大でqHのハッシュ関数クエリを生成し、最大でqEの秘密鍵クエリを生成し、最大でqSの署名クエリを生成し、また、「AdvIBASigA」が、少なくともεの場合に、上述した見本のアイデンティティに基づくアグリゲート署名を破る。
アイデンティティに基づくアグリゲート署名の競争相手A(t,qH,qE,qS,ε)は、Aが、最大でも時間tで作動し、最大でqHのハッシュ関数クエリを生成し、最大でqEの秘密鍵クエリを生成し、最大でqSの署名クエリを生成し、また、「AdvIBASigA」が、少なくともεの場合に、上述した見本のアイデンティティに基づくアグリゲート署名を破る。
「AdvIBASigA」は、Aが、ゲームに「勝つ」確率である。
かかる確率は、鍵生成アルゴリズム及びAの双方のコイントスによるものである。
(定義)
どの競争相手(t,qH,qE,qS,ε)も、アイデンティティに基づくアグリゲート署名スキームを破らないとすると、そのスキームは、適応的選択メッセージ且つ適応的選択対象のアイデンティティ攻撃下で、実在の偽造に対して安全な(t,qH,qE,qS,ε)である。
どの競争相手(t,qH,qE,qS,ε)も、アイデンティティに基づくアグリゲート署名スキームを破らないとすると、そのスキームは、適応的選択メッセージ且つ適応的選択対象のアイデンティティ攻撃下で、実在の偽造に対して安全な(t,qH,qE,qS,ε)である。
本発明のアイデンティティに基づく署名スキームの好ましい実施形態は、広く使用されている「ランダムオラクルモデル(Random Oracle Model)」(ROM)における困難な安全性要件を満たしている。
ROMにおいて、暗号論的ハッシュ関数は、安全性を立証するために、完全にランダムな関数のように扱われている。当技術分野に精通している者は、ROMをよく知っている。
<2.ペアリングの検討>
本発明のアイデンティティに基づく署名スキームの好ましい実施形態では、「ペアリング」と呼ばれる双線型写像を使用する。
本発明のアイデンティティに基づく署名スキームの好ましい実施形態では、「ペアリング」と呼ばれる双線型写像を使用する。
過去数年間の間、ペアリングは、様々な暗号化スキームにおいて用いられ、現在ではよく知られている。
典型的に使用されているペアリングは、超特異な楕円曲線、又は、アーベルバラエティに関する改良型の「Weilペアリング」又は「Tateペアリング」である。
しかしながら、ここでは、ペアリング及び関連した数学的処理を、より一般的な形式において説明する。
G1及びG2を、ある大きい素数位数qの2つの巡回群とする。数q>3であり、いくつかの実施形態では、q>2160である。G1は、加算的に表現し、G2は、乗法的に表現する。
(許容ペアリング)
が、以下のプロパティを有する写像であれば、
を、「許容ペアリング」と呼ぶ。
1.双線型: 全てのQ,R∈G1及び全てのa,b∈Zに対して、
である(Zは、全ての整数の集合である)。
2.非縮退: あるQ,R∈G1に対して、
である。
3.計算可能: 任意のQ,R∈G1に対して、
を計算する効率的なアルゴリズムがある。
本発明は、許容ペアリングに限られるものではなく、特に、計算処理可能なペアリングに限られるものではない。
は、双線型であり、G1は、巡回群なので、
は、対称的である、すなわち、任意のQ,R∈G1に対して、
であることに留意されたい。
しかしながら、本発明は、巡回群に限定されるものでも、対称型ペアリングに限定されるものでもない。
<計算処理によるDiffie−Hellman(CDH)パラメータジェネレータ>
PGが、安全性のパラメータk>0を取り、kにおいて1時間多項式で作動し、同じ素数位数qのG1及びG2の2つの群の記述及び許容ペアリング
PGが、安全性のパラメータk>0を取り、kにおいて1時間多項式で作動し、同じ素数位数qのG1及びG2の2つの群の記述及び許容ペアリング
の記述を出力すれば、ランダムにされたアルゴリズムPGCDHは、CDHパラメータジェネレータである。
本明細書のペアリングに基づいたスキームの安全性は、以下の問題の難しさによって決まる。
<G1(CDHG1)における計算処理によるDiffie−Hellmanの課題>
P,aP,bP∈G1が与えられえていると、(ランダムに選択した未知のa,b∈Z/qZに対して)abPを計算する。ここで、qZは、qで割り切れる全ての整数の集合であり、Z/qZは、qを法とする剰余類の集合である。
P,aP,bP∈G1が与えられえていると、(ランダムに選択した未知のa,b∈Z/qZに対して)abPを計算する。ここで、qZは、qで割り切れる全ての整数の集合であり、Z/qZは、qを法とする剰余類の集合である。
CDHG1仮定を以下のように定義する。
(CDHG1仮定) PGが、CDHパラメータジェネレータであるとすると、アルゴリズムBが有するCDHG1の課題を解く時の利点AdvPG(B)は、アルゴリズムへの入力が、
である場合に、アルゴリズムBが、abPを出力する確率であると定義される。
ここで、
は、十分に大きい安全性のパラメータkに対するPGの出力であり、Pは、G1のランダムジェネレータであり、a、bは、Z/qZのランダムな要素である。
CDHG1仮定とは、全ての効率的なアルゴリズムBに対して、AdvPG(B)は、無視できるものであるということである。
既に述べたように、(大雑把に言うと)我々のアイデンティティに基づくアグリゲート署名スキームの好ましい実施形態は、CDHG1仮定が真であるとの仮定に基づいて、ランダムオラクルモデルにおいて、適応的選択メッセージ且つ適応的選択対象のアイデンティティ攻撃下で、実在の偽造に対して安全であることが証明されている。
しかしながら、本発明は、この安全性のプロパティを有する実施形態に限定されるものではない。
<3.アイデンティティに基づくアグリゲート署名スキームの好ましい実施形態>
まず、スキームに関して直感的に分かるものを示す。ペアリングに基づく幾つかのスキームを含む様々なアイデンティティに基づく署名スキームが存在している。
まず、スキームに関して直感的に分かるものを示す。ペアリングに基づく幾つかのスキームを含む様々なアイデンティティに基づく署名スキームが存在している。
新規のアイデンティティに基づく署名スキームを構成することは難しいことではない。しかしながら、我々が知る限り、既存のアイデンティティに基づく署名スキームは、全て、署名生成がランダムに行われ、結果として得られるアイデンティティに基づく署名が一意的ではないという共通点を有している。
アイデンティティに基づく署名は、典型的に、2つのコンポーネントからなる。1つは、ランダム性の「マスクされた」形式であり、もう1は、ランダム性に関連付けた後の認識の証明である。
アグリゲート署名は、最近になってようやく見出され、現在までのところ、本質的に、2つの手法が存在するだけである。
両方のスキームにおいて、署名生成は、決定論的であり、アグリゲート署名は、一意的である(LMRSスキームにおいて、すなわち、Lysyanskaya等のスキームにおいて、各署名者は、ランダム性のビットを導入することができるが、これらの各ビットのために、アグリゲート署名の大きさが増す)。
既存のアグリゲート署名スキームが決定論的であることは、驚きに値しない。なぜならば、各署名者が、署名にランダム性を導入できるのであれば、「ランダム性を集約する」ための何かしらの方法が必要とされるからである。
実際、ランダム性を集約することは、まさに我々のアイデンティティに基づくアグリゲート署名スキームが行うことである。
各個別のアイデンティティに基づく署名は、形式
を有する。
ここで、
は、署名者のアイデンティティIDi及び署名者が署名するメッセージMiから、決定論的に計算される。
ここで、(P,P’)は、全ての署名者に対して同じである点のあるペアであり、riは、i番目の署名者がランダムに選択するスカラーである。
そして、個別の署名は、アグリゲートされ、
を得ることができる。
なお、署名の大きさが増加しないように、riのランダム値が、どのように加法を通して単に集約されたのかに留意されたい。
ここで、スキームについてより具体的に説明する。以下の等式において、P’は、Pwとして表わされている。文字M(message)及びD(document)は、全体を通して交換可能に使用されている。「メッセージ(Message)」及び「文書(document)」は、本明細書の中では、同義語として使用されている。
(設定)
秘密鍵ジェネレータ(PKG)は、本質的に、以前のペアリングに基づくスキームと同様に、パラメータ及び鍵を生成する。
秘密鍵ジェネレータ(PKG)は、本質的に、以前のペアリングに基づくスキームと同様に、パラメータ及び鍵を生成する。
特に、PKGは、
1. ある素数位数q、及び、双線型非縮退ペアリング
1. ある素数位数q、及び、双線型非縮退ペアリング
の群G1及びG2を生成する(これは、許容ペアリングでよく、いくつかの実施形態においては、q>3であり、他の実施形態においては、G1が、楕円曲線群、又は、他のタイプの群であり、q>2160である)。
2. 任意のジェネレータP∈G1を選択する。
3. ランダムなs∈Z/qZを選択し、Q=sPを設定する。
4. 暗号論的ハッシュ関数H1,H2:{0,1}*→G1及びH3:{0,1}*→Z/qZを選択する。
PKGの公開鍵は、
である。PKGの秘密SKPKGは、s∈Z/qZである。
(秘密鍵生成)
アイデンティティIDiを有するクライアントは、PKGから、j∈{0,1}に対して、sPi,jの値を受け取る。ここで、Pi,j=H1(IDi,j)∈G1である。
アイデンティティIDiを有するクライアントは、PKGから、j∈{0,1}に対して、sPi,jの値を受け取る。ここで、Pi,j=H1(IDi,j)∈G1である。
(個別の署名)
第1の署名者は、それまで使ったことのない文字列wを選択する。その後に続く各署名者は、第1の署名者によって選択された文字列wを自分が使ったことがないということを確認する(又は、予め設定されたスケジュールに従って、異なる署名者が、署名を発行する場合には、例えば、署名が、ある予め設定された時間に生成され、wが、その時間によって定義される結果として、例えば、wが、署名生成時間の時間及び分によって定義され得る場合には、異なる署名者が、個別に同じwに到達してもよい)。
第1の署名者は、それまで使ったことのない文字列wを選択する。その後に続く各署名者は、第1の署名者によって選択された文字列wを自分が使ったことがないということを確認する(又は、予め設定されたスケジュールに従って、異なる署名者が、署名を発行する場合には、例えば、署名が、ある予め設定された時間に生成され、wが、その時間によって定義される結果として、例えば、wが、署名生成時間の時間及び分によって定義され得る場合には、異なる署名者が、個別に同じwに到達してもよい)。
文書Diに署名するために、アイデンティティIDiを有する署名者は、
1. Pw=H2(w)∈G1を計算する。
1. Pw=H2(w)∈G1を計算する。
2. ci=H3(Di,IDi,w)∈Z/qZを計算する。
3. ランダムなri∈Z/qZを生成する。
4. 署名者の署名(w,S’i,T’i)を計算する。ここで、
である。
(アグリゲーション)
誰もが、同じ文字列wを使用する個別の署名のコレクションを集約することができる。
誰もが、同じ文字列wを使用する個別の署名のコレクションを集約することができる。
例えば、1≦i≦nに対して、個別の署名(w,S’i,T’i)は、(w,Sn,Tn)に集約することができる。ここで、
である。
我々の安全性の証明では、相異なるwの文字列を使用する個別の(又は、アグリゲート)署名のアグリゲーションを許可していない。
しかしながら、同じwを使用する署名は、署名者が、相異なる秘密鍵を有する相異なるPKGを有する場合でも、PKGが、同じパラメータ
を使用する限り、集約することができる。詳細については、後述する。
(検証)
(w,Sn,Tn)を、アイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。検証者は、
(w,Sn,Tn)を、アイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。検証者は、
を確認する。ここで、上述の通り、Pi,j=H1(IDi,j)、Pw=H2(w)、ci=H3(Di,IDi,w)である。
(注釈3A(セクション3、注釈A))
なぜ署名を、単に、sPi,0+c1sPi,1と設定しないのか?
それは、2つの署名の後、競争相手が、線形代数を使ってsPi,0及びsPi,1の値を回復することができそうだからである。一度だけ使用するPwの目的は、この線形を阻害することであり、一方で、全ての署名者が、「ランダム性をアグリゲートできる」場所を提供することである。
なぜ署名を、単に、sPi,0+c1sPi,1と設定しないのか?
それは、2つの署名の後、競争相手が、線形代数を使ってsPi,0及びsPi,1の値を回復することができそうだからである。一度だけ使用するPwの目的は、この線形を阻害することであり、一方で、全ての署名者が、「ランダム性をアグリゲートできる」場所を提供することである。
(注釈3B)
上述のスキームにおいて、各署名者には、単一のwの値を有する1つのアイデンティティに基づく署名だけが許されている。
上述のスキームにおいて、各署名者には、単一のwの値を有する1つのアイデンティティに基づく署名だけが許されている。
しかしながら、スキームは、アイデンティティIDiを有するクライアントが、PKGから、j∈[0,k]に対して、sPi,jである値を受け取るように、秘密鍵生成を変更することによって、各署名者が、wの値を有するk個の個別のアイデンティティに基づく署名を生成できるように簡単に修正することができる。ここで、Pi,j=H1(IDi,j)∈G1である。
署名するために、署名者は、1≦j≦kに対して、cij=H3(Di,IDi,w)を計算し、
を設定する。
その署名は、既述した通り(w,S’i,T’i)である。個別のアイデンティティに基づく署名は、既述したとおり、同じ加法を使用して集約され得る。
幾つかの実施形態において、用語sPi,0を、Di、IDi、wによって決まる又は決まらない定数c0によって乗じる。
例えば、幾つかの実施形態において、c0∈H3(Di,IDi,w,−j)である。定数cij(j=0,…,k)のうち少なくとも1つは、文書Diによって決まる。これらの係数の一部又は全てが、IDiの関数である。
(注釈)
アイデンティティに基づくアグリゲート署名は、例外的に、帯域幅的に効率的である。
アイデンティティに基づくアグリゲート署名は、例外的に、帯域幅的に効率的である。
値w、Sn、Tnは、十分な安全性を実現しつつ、それぞれ非常に短く(例えば、160ビット)なるように取得され得る。
誰が何を署名したかの記述kの考えられる例外としては、アイデンティティに基づくアグリゲート署名を検証するために必要な全情報の大きさ、特に、(PKPKG,w,Sn,Tn)の大きさは、一定の長さであり(すなわち、nから独立しており)、現実に非常に小さい。
(注釈)
計算処理上の効率性という点では、このスキームは、Boneh−Gentry−Lynn−Schacham(BGLS)スキームよりも実際に効率的である。
計算処理上の効率性という点では、このスキームは、Boneh−Gentry−Lynn−Schacham(BGLS)スキームよりも実際に効率的である。
かかるBGLSスキームのように、検証のための全体の計算処理量は、署名者数において直線的である。
しかし、BGLS署名スキームでは、n+1のペアリング計算処理が要求され、非常に計算処理的に重くなる。
一方、上述したアイデンティティに基づくアグリゲート署名では、3つのペアリング(及び、比較的、計算処理的に軽くなりやすいn個のスカラー乗法)の計算処理が要求されるだけである。
<4.上述した実施形態の相異なるコンポーネント>
ここで、上述したアイデンティティに基づくアグリゲート署名スキームを、秘密鍵生成コンポーネント、署名コンポーネント、アグリゲーションコンポーネント、検証コンポーネントを含む様々な新規のコンポーネントに分ける。
ここで、上述したアイデンティティに基づくアグリゲート署名スキームを、秘密鍵生成コンポーネント、署名コンポーネント、アグリゲーションコンポーネント、検証コンポーネントを含む様々な新規のコンポーネントに分ける。
これらのコンポーネントのそれぞれは、例えば、図1のコンピュータシステム104を使って、ソフトウェア、及び/又は、ハードウェア回路で実装することができる。
各システム104は、例えば、携帯電話の部品のように、埋め込み式のシステムであってもよい。また、各システム104は、分散システムであってもよい。
システム104は、1つ又は複数のプロセッサ110、及び、半導体メモリや磁気ディスクや磁気テープ或いは永久的な又は取り外し可能な公知の又はこれから発明される他の種類のコンピュータにより読み取り可能な媒体、又は、記憶装置を備えていてもよいメモリシステム120を有する。
メモリは、コンピュータシステム104に、上述した、鍵生成や署名やアグリゲーションや検証等のコンポーネントの関数を実装させるためのコンピュータ命令を含んでいてもよい。
相異なるコンピュータシステムは、相異なるコンポーネントを実装することができるが、これは必要なものではない。
また、メモリ120も、様々なコンポーネントに必要な鍵や署名等のデータ構造を記憶する。
コンピュータシステム104は、コンピュータネットワーク130を介して相互に情報交換を行っている。
例えば、PKGのための鍵生成コンポーネントを実装するコンピュータシステム104は、秘密鍵を、別のシステム104で実装された署名コンポーネント対し、ネットワーク130を介して送ることができる。
署名は、検証コンポーネントを実装するコンピュータシステム104に対して、ネットワーク130を介して送られ得る。
ネットワーク130は、LAN(local area network)、WAN(wide area network)を含むネットワーク、及び、例えば、携帯電話ネットワークや、公知の又はこれから発明される他のタイプのネットワークを含むネットワークの組み合わせを含んでいてもよい。
1つ以上のシステム104を使って実装することができる秘密鍵生成コンポーネントは、入力としてアイデンティティ文字列及び秘密鍵を取る、つまり、秘密のアイデンティティに基づく署名鍵を出力する。
上記のアイデンティティに基づくアグリゲート署名スキームにおいて、各アイデンティティに基づく秘密鍵は、1つ以上のポイント(例えば、単一の署名者に、同じ値wを有するk−1個の署名を生成させるsPi,0及びとsPi,1の2ポイント、又は、(より一般的には)k)からなる。
一方、ペアリングを使用する(Crypto2001会議で説明された)Boneh−Franklinのアイデンティティに基づく暗号スキームのような従来型のアイデンティティに基づくスキームにおいては、アイデンティティに基づく秘密鍵は、1ポイントだけからなる(例えば、sPiであり、Pi=H1(IDi)である)。
この秘密鍵生成方法は、現状では、アイデンティティに基づくアグリゲート署名の上述した好ましい実施形態に対して一意的であり、安全性の立証において重要である。
この方法は、アイデンティティに基づくアグリゲート署名スキームを可能にするアイデンティティに基づく秘密鍵の生成方法であり、最近になってようやく知られるようになった方法である。
署名コンポーネントは、入力として、アイデンティティに基づく秘密鍵sKi、文書Di、及び、
に対して、アイデンティティに基づくアグリゲート署名σi−1を取る。
つまり、
にアイデンティティに基づくアグリゲート署名σiを出力する。
署名アルゴリズムが、単に個別のアイデンティティに基づく署名を出力する場合に、
が、空集合であってもよい。
上述した好ましい実施形態においては、第1の署名者に続く署名者達は、それ自体のアイデンティティに基づく署名を構成する前に、どのwの値を使わなければならないのかを知るだけでよい。
つまり、S’i及びT’iに対する前の署名者の値を知る必要がなく、また、これらの値のアグリゲーションを知る必要もない。
これは、アイデンティティに基づく署名をまず始めに生成し、必要であれば、後で集約することを可能にするアイデンティティに基づく署名の生成方法であり、最近になってようやく知られるようになった方法である。
例えば、(アグリゲーションコンポーネント及び署名コンポーネントが、相異なるシステム104に実装されている場合)、この署名コンポーネントは、出力を、アグリゲーションコンポーネントシステム104に対して、ネットワーク130を介して直接送信する。
アグリゲーションコンポーネントは、個別のアイデンティティに基づく署名、又は、アイデンティティに基づくアグリゲート署名を含んでもよい(1より大きい基数の)集合を、入力として取る。
この集合の数が、互換性を有していれば、(例えば、上述したスキームにおいて、これらの署名が同じ値wを使用するならば)、アグリゲーションコンポーネントは、集合中の署名を単一の署名に集約する。
検証コンポーネントは、誰が何を署名したかの記述kを、アイデンティティに基づくアグリゲート署名S、及び、1つ以上のPKGの公開鍵と共に、入力として取る。
つまり、アイデンティティに基づくアグリゲート署名は、示された署名者の各々が、それぞれの文書に実際に署名したということを、暗号論的に「立証する」のかどうかを示す(例えば、「0」又は、「1」)ビットを出力する。
<5.上述した好ましい実施形態の安全性>
スキームの安全性を様式的に立証する前に、アルゴリズムBが、我々のアイデンティティに基づくアグリゲート署名を破るアルゴリズムAと相互作用することによって、如何にして計算処理的なDiffie−Hellmanの問題を解決できるのか、すなわち、如何にしてP、sP、P’から、sP’を計算処理することができるのかについて直感的に分かるものを提供する。
スキームの安全性を様式的に立証する前に、アルゴリズムBが、我々のアイデンティティに基づくアグリゲート署名を破るアルゴリズムAと相互作用することによって、如何にして計算処理的なDiffie−Hellmanの問題を解決できるのか、すなわち、如何にしてP、sP、P’から、sP’を計算処理することができるのかについて直感的に分かるものを提供する。
相互作用の間、Bは、Aのクエリに正しく応答するか、中断しなければならない。Aは、幾つかのタイプのクエリを生成することができる。
(1.H1と抽出クエリ)
Aは、アイデンティティIDiに対応するj∈{0,1}に対して、アイデンティティに基づく秘密鍵Pi,jを要求することができる。
Aは、アイデンティティIDiに対応するj∈{0,1}に対して、アイデンティティに基づく秘密鍵Pi,jを要求することができる。
Bは、このようなクエリを、H1オラクルの制御を通して取り扱うことができる。
特に、Bは、通常、bi,j=logpPi,jを識別し、そして、sPi,j=bi,jsPを計算することができるように、Pi,jを生成する。
しかしながら、Bは、時々、Pi,j=bi,jP+b’i,jP’を設定する。この場合、Bは、IDiの抽出クエリに応答することができない。
しかしながら、Aが、対象アイデンティティとして、IDi後で選択すれば、Aの偽造は、Bが、計算処理的なDiffie−Hellmanの問題を解決するために役立つ。
(2.H2クエリ)
H2オラクルの制御を通して、Bは、通常、dw=logP’Pwを認識するようにPwを生成する。しかし、その代わりに、時々、cw=logPPwを認識するようにPwを生成する。
H2オラクルの制御を通して、Bは、通常、dw=logP’Pwを認識するようにPwを生成する。しかし、その代わりに、時々、cw=logPPwを認識するようにPwを生成する。
(3.H3と署名クエリ)
IDiに対応する秘密鍵を抽出することさえできない場合、BのH2及びH3オラクルに対する制御は、Bが、タプル(IDi,Mj,wk)の署名クエリに対して応答するのに役立っている。
IDiに対応する秘密鍵を抽出することさえできない場合、BのH2及びH3オラクルに対する制御は、Bが、タプル(IDi,Mj,wk)の署名クエリに対して応答するのに役立っている。
そのような状況で、Bは、どのようにして、Pi,0、Pi,1、Pwk、di,j,k=H3(IDi,Mj,wk)、S’=rPwk+sPi,0+dijksPi,1及びT’i=rPの有効かつ無矛盾の値を生成することができるのか。
特に、Bが、sP’を知っていることを要求しそうなS’iを、どのようにして生成できるのか。
Bが、logP’Pwを知っていれば、r’sPwが最後の2つの項から来る複数のsP’を「無効にする」ように、r’の値を計算することができる。
そして、Bは、T’iを、r’sPと設定する。Bが、logP’Pwを知らなくても、Bが使えるトリックがもう1つある。つまり、Bは、時々、dijkを、最後の2つの項における複数のsP’を無効にするZ/qZにおいて一意的な値に設定する。
この場合、Bは、有効な署名を生成することができる。与えられたIDiに対して、この一意的な値が、一旦、明らかにされてしまうと、このトリックを再び使用することはできない(そうでなければ、シミュレーションが、Aにとって説得力のあるものにならない)。
Bが、幸運であれば、そのシミュレーションは、中断されず、Aは、logPPi,jを知らないが、logP’Pwは知っているタプル(IDi,Mj,wk)に関して、偽造を生成する。
ここで、dijkは、上記のトリックを使っては選択されていない。この場合、Aの偽造は、極めて高い確率で値sP’をBに与える。
以下の定理によって、我々のアイデンティティに基づくアグリゲート署名スキームは安全である。
(定理1)
Aを、
Aを、
が、アイデンティティに基づくアグリゲート署名スキームを破るIDAggSig−CMA競争相手とする。
そして、少なくとも
の確率を以って、時間O(t)で、CDHG1を解くアルゴリズムBが存在する。
(証明)
ゲームは、群G1及びG2と許可ペアリング
ゲームは、群G1及びG2と許可ペアリング
を取得するために、挑戦者がPGを作動させることによって始まる。挑戦者は、
を生成し、
を、Bに送信する。Bは、以下のように、Aと相互作用しながら、SP’∈G1(ここで、Q=sP)の計算処理を試みる。
(設定)
Bは、Aにシステムパラメータ
Bは、Aにシステムパラメータ
を与える。ここで、Hiは、Bによって制御されるランダムオラクルである。
(ハッシュクエリ)
Aは、いつでも、H1クエリ、H2クエリ、H3クエリを作ることができる。Bは、整合性のために、以前のハッシュクエリ応答に関する一覧を維持しながら、同一のクエリに同一の応答を与える。
Aは、いつでも、H1クエリ、H2クエリ、H3クエリを作ることができる。Bは、整合性のために、以前のハッシュクエリ応答に関する一覧を維持しながら、同一のクエリに同一の応答を与える。
また、Bは、H3シミュレーションのある特別なケースに対処するH3の一覧2も維持している。Bは、(IDi,j)に関するAのH1クエリに、以下の通り応答する。
j∈{0,1}に対する(IDi,j)についてのAのH1クエリに対して、
1.IDiが、前のH1クエリにあった場合、Bは、H1一覧から、(bi0,b’i0,bi1,b’i1)を回復する。
1.IDiが、前のH1クエリにあった場合、Bは、H1一覧から、(bi0,b’i0,bi1,b’i1)を回復する。
2.その他、Bは、後で決定されるδ1に対して、Pr[H1−coini=0]=δ1となるように、ランダムなH1−coini∈{0,1}を生成する。
H1−coiniであれば、Bは、ランダムなbi0,bi1,∈Z/qZを生成し、b’i0=b’i1=0を設定する。
その他、Bは、ランダムなbi0,b’i0,bi1,b’i1∈Z/qZを生成する。Bは、H1の一覧の中の(IDi,H1−coin,bi0,b’i0,bi1,b’i1)にログインする。
3.Bは、H1(IDi,j)=Pij=bijP+b’ijP’ H1(IDi,j)=Pij=bijP+b’ijP’で応答する。
wkについてのAのH2クエリに対して、
1.wkが、前のH2クエリにあった場合、Bは、H2一覧からckを回復する。
1.wkが、前のH2クエリにあった場合、Bは、H2一覧からckを回復する。
2.その他、後で決定するδ2に対して、Pr[H1−coini=0]=δ2となるように、Bは、ランダムなH2−coini∈{0,1}を生成し、ランダムなck∈(Z/qZ)*を生成する。Bは、H2一覧の中の(wk,H2−coink)にログインする。
3.H1−coink=0であれば、Bは、H2(wk)=Pwk=ckP’で応答するか、H2(wk)=Pwk=ckPで応答する。
(IDi,Mj,wk)についてのAのH3クエリに対して、
1.(IDi,Mj,wk)が、前のH3クエリにあった場合、Bは、H3一覧からdijkを回復する。
1.(IDi,Mj,wk)が、前のH3クエリにあった場合、Bは、H3一覧からdijkを回復する。
2.その他、Bは、(IDi,0)についてのH1クエリを作動させ、H3一覧からb’i0及びb’i1を回復する。Bは、後で決定するδ3に対して、Pr[H3−coinijk=0]=δ3であるように、ランダムなH3−coinいjk∈{0,1}を生成する。
(a) H1−coini=1、H2−coink=1、H3−coinijk=0であれば、Bは、H3一覧2が、
を有するタプル
を含むかどうかを確認する。含む場合、Bは中断する。含まない場合、H3一覧2に(IDi,Mj,wk)を置き、
を設定する。
(b) H1−coini=0、H2−coink=0、H3−coinijk=1である場合、Bは、ランダムなdijk∈(Z=qZ)*を生成する。
(c) Bは、H3一覧の中の(IDi,Mj,wk,H3−coinijk,dijk)にログインする。
3.Bは、H3(IDi,Mj,wk)=dijkで応答する。
(抽出クエリ)
Aが、IDiに対応する秘密鍵を要求すると、Bは、(H1−coini,bi0,b’i0)を回復する。
Aが、IDiに対応する秘密鍵を要求すると、Bは、(H1−coini,bi0,b’i0)を回復する。
H1−coini=0の場合、Bは、(sPi,0,sPi,1)=(bi0Q,bi1Q)で応答する。H1−coini=1の場合、Bは、中断する。
(署名クエリ)
Aが、(IDi,Mj,wk)における(新規の)署名を要求すると、Bは、まず、Aが、前にwkにおけるIDiによって署名を要求していなかったことを確認する(要求していた場合、それは、不適当なクエリである)。そして、Bは、以下のように続ける。
Aが、(IDi,Mj,wk)における(新規の)署名を要求すると、Bは、まず、Aが、前にwkにおけるIDiによって署名を要求していなかったことを確認する(要求していた場合、それは、不適当なクエリである)。そして、Bは、以下のように続ける。
1. H1−coini=H2−coink=H1−coinijk=1であれば、Bは、中断する。
2. H1−coini=0であれば、Bは、ランダムなr∈Z/qZを生成し、署名(wk,S’i,T’i)を出力する。ここで、
である。
3. H1−coini=1及びH2−coink=0の場合、Bは、ランダムなr∈Z/qZを生成し、署名(wk,S’i,T’i)を出力する。ここで、
である。
4. H1−coini=H2−coink=1及びH3−coinijk=0の場合、Bは、ランダムなr∈Z/qZを生成し、署名(wk,S’i,T’i)を出力する。ここで、
である。
以下、シミュレーションの様々な側面について分析する。分析では、Aが、重複クエリを作らず、Aに関する署名クエリを作る前に、タプル(IDi,Mj,wk)に関するH3クエリを作らなくてはならないと仮定する。
Eは、Bが、シミュレーションにおける特定のポイントに対して、これ迄に作成してきた抽出クエリ応答の集合を表すものとする。
同様に、Sが、署名クエリ応答の集合であるとし、Hiが、i∈{1,2,3}に対するHiクエリ応答の集合であるとする。
E1,*,*を、H1−coini=1の事象であるとする。ここで、「*」は、H2−coink及びH3−coinijkが、それぞれ、0又は1であってもよいことを意味する。E1,1,*、E1,1,1、E1,1,0は、明らかな方法によって対応する事象を表す。
(完璧なシミュレーション)
我々が主張するものは、Bが、中断しなければ、Aの概念は、「本物の」攻撃におけるものと同じであるということである。
我々が主張するものは、Bが、中断しなければ、Aの概念は、「本物の」攻撃におけるものと同じであるということである。
「本物の」攻撃においては、ハッシュ関数Hiのそれぞれが、ランダム関数のように振る舞う。
そして、Pi,j=H1(IDi,j)、Pwk=H2(wk)、dijk=H3(IDi,j,Mj,wk)の値が与えられている場合、署名は、集合
から一様に選択される。
同様に、シミュレーションでは、署名は、Pi,j=H1(IDi,j)、Pwk=H2(wk)、dijk=H3(IDi,j,Mj,wk)の値が与えられている場合、集合
から一様に選択される。
また、Hiは、ランダム関数のように振る舞う。すなわち、1対1であり、出力は、一様な分布で選択される。
唯一、このことが明らかでないのは、H1−coini=H2−coink=1及びH3−coinijk=0の場合である。
この場合、H1−coini=H2−coink=1及びH3−coinijk=0(この場合、Bは中断する)に対する
に関して、Aが、H3クエリを未だ作っていなければ、Bは、(H3の出力を一様にランダムに選択するよりも)、H3(IDi,Mj,wk)を
に設定する。
しかしながら、
の値は、それ自体一様にランダムである。
より具体的には、(IDi,Mj,wk)に関するH3クエリ迄の、つまり、E、S、{Hi}の集合迄のAのビューが与えられているとすると、Bが、中断しない限りは、全てのc∈Z/qZに対して、
を有する。
最も驚くことには、H1(IDi)=bijP+b’ijP’であっても、値
は、IDiに関するH1クエリ応答からは独立である。
なぜならば、H1(IDi,0)=bi0P+b’i0P’が与えられている場合、
を有するペア(bi0,b’i0)は、同等にあり得るからである。
なお、H3(IDi,Mj,wk)の値も、IDiの以外のアイデンティティに関するH1クエリ、全ての抽出クエリ応答(これらは、完全に、H1クエリ応答に従属であるため)、全てのH2クエリ、(IDi,Mj,wk)以外のタプルに関する全てのH3クエリ(ここでも、Bは、中断しないと仮定する)、及び、(IDi,Mj,wk)以外のタプルに関する全ての署名クエリから独立であることを明らかにしなければならない。
(Bが中断しない確率)
Bは、3つの状況において中断する。
Bは、3つの状況において中断する。
Aが、H1−coin1=1に対して、ID1に関する抽出クエリを作成する。
Aが、H1−coin1=H2−coink=H3−coinijk=1
に対して、タプル(IDi,Mj,wk)に関する署名クエリを作成する。
に対して、タプル(IDi,Mj,wk)に関する署名クエリを作成する。
Aが、H1−coin1=1、H2−coink=H2−coink’=1、及び、H3−coinijk=H3−coinij’k’=0に対して、2つのH3クエリタプル(IDi,Mj,wk)及び(IDi,Mj’,wk’)を作成する。
以下に、これら3つの状況のそれぞれの確率を分析する。
まず、シミュレーションにおいて所与のポイントにおいて、IDiに関する抽出クエリが、Bに中断させる、すなわち、Pr[E1,*,*|E,S,H1,H2,H3]である確率を考えてみる。ここで、それぞれのコインの確率(δ1,δ2,δ3)は、陰関数的である。ベイズの公式から、
を得る。
我々が主張するものは、Pr[E1,*,*|E,S,H1,H2,H3]は、せいぜいPr[E1,*,*]=1−δ1であるという結論を導く
である。
シミュレーションにおいて、H2の計算処理は、全てのH1コインの値からは完全に独立である。
H1(IDi)の出力は、H1コインの値に関係なく、一様にランダムであるため、H1出力も、H1コインからは独立である。さらには、IDiに関連する抽出クエリEが無いので、Eも、E1,*,*からは独立である。
最後に、全ての署名クエリ応答、又は、IDi以外のアイデンティティに関連する全てのH3クエリ応答は、E1,*,*からは独立である。
よって、上述した我々の主張は、Pr[Si,H3,i|E1,*,*]≦Pr[Si,H3,i]であるという主張と同等である。ここで、Si及びH3,iは、IDiに関するS及びH3の部分集合を表す。
しかしながら、H1−coin1=0である時、署名クエリ、又は、(IDi,Mj,wk)に関するH3クエリの間に、Bは、決して中断しない、つまり、Bは、H1−coin1=1の時、(時々)中断するだけであるから、この主張は、明らかに真である。
よって、Aが、せいぜいqE個の抽出クエリを作成することが許されていれば、抽出クエリ中に、Bが中断しない確率は、少なくとも
である。
第3の状況を考えるにあたって、Aが、Aに関する署名クエリを実行する前に、タプルに関するH3クエリを実行しなければならないと仮定する。
第1の状況と同様に、我々は、Pr[E1,1,0|E,S,H1,H2,H3]が、せいぜいPr[E1,1,0]=(1−δ1)(1−δ2)δ3であることを意味する
であることを主張する。
上述した理由と同様に、H1応答、及び、H2応答は、コイン値からは独立であり、IDiに関係しない抽出応答は、E1,1,0からは独立であり、Bが、IDiに関連する抽出クエリに対して首尾よく応答できる確率は、0である。
さらに、((IDi,Mj,wk)に関連する先行する署名クエリの確率を除外しているので)、S及びH3における全てのものが、H3−coinijk=0からは独立であり、任意の署名クエリ、又は、IDi及びwkも含まないH3クエリは、E1,1,0からは独立である。
よって、上述した我々の主張は、
であるという主張と同等である。
ここで、SiVk及びH3,iVkは、IDi又はwkを含むS及びH3の部分集合である。
しかし、H1−coini=1又はH2−coink=1が、アプリオリ(a priori)である時、署名クエリ、又は、(IDi’,Mj’,wk’)に関するH3クエリの間に、Bが中断する確率は高いので、この主張もまた、明らかに真である。
第3の状況の確率を制限するために、任意のIDiに対応するH1−coini=H2−coink=1及びH3−coinijk=0の2つ以上の発生がない確率を計算処理する。
とする。(Bが中断しなければ)、Aは、IDiを含む
クエリを作るものとする。
H1−coini=H2−coink=1及びH3−coinijk=0の発生がゼロである確率は、少なくとも
である。また、一つが発生する確率は、少なくとも
である。これら2つの確率の和は、
である。
よって、Bが、いかなるH3クエリにおいて中断しない確率は、すくなくとも
である。この確率は、少なくとも
である。ここで、
は、H3クエリの総数である。
最後に、我々は、Bが、署名クエリ中に中断しない確率の境界を下げる。上述した分析で、全てのクエリ応答が、E1,1,0の条件付き確率を下げた(E1,1,0の条件付き確率に影響を与えなかった)だけであることを、我々は見出した。
ここで、(IDi,Mj,wk)に関するH3クエリという1つのクエリのタイプを除いて、状況は同じである。
Bが、(IDi,Mj,wk)に関するH3クエリに首尾よく応答すれば、Bは、H1−coini=H2−coink=1及びH3−coinijk=0である確率を減らし、それに対応して他の全てのコインの組み合わせの条件付き確率を高める。
しかしながら、H1−coini=H2−coink=1及びH3−coinijk=0というケースではないことが確かであっても、このことは、確かに、H1−coini=H2−coink=H3−coinijk=1の条件付き確率を
の割合だけ増加させる。
その結果、任意の単一の署名クエリ中に、Bが中断しない確率は、少なくとも、
である。
qS個の署名クエリまでの何れかの間に、Aが中断しない確率は、少なくとも、
である。
全体で、Bが中断しない確率は、少なくとも、
である。
(Bが中断しない場合のBの成功率)
Aが、H1−coini=H2−coink=H3−coinijk=1に対して、タプル(IDi,Mj,wk)に関する有効な署名偽造を生成し、
Aが、H1−coini=H2−coink=H3−coinijk=1に対して、タプル(IDi,Mj,wk)に関する有効な署名偽造を生成し、
である場合には、Bは、成功、すなわち、(計算処理によるDiffie−Hellmanの実現値を解く)sP’を計算処理することができる。
この場合、Aの偽造は、形式(Sl,Tl)を有する。ここで、
であり、ci’=H3(IDi’,Mj’,wk)を、アイデンティティIDiを有するエンティティによって「署名された」タプルのハッシュとする。H2−coink=1であるので、Bは、Pに対するPwkの離散対数ckを知っている。よって、Bは、
を計算することができる。
署名されたタプルのうち少なくとも1つに対してH1−coini=H2−coink=1であれば、
である確率は、1−1/qであり、
であれば、Bは、上述の式からsP’を容易に引き出すことができる。
Pr[E1,1,1|E,S,H1,H2,H3]に関する下限を計算することが残っている。
上述の理由と同様に、この確率は、H1及びH2から独立である。この確率は、IDi’≠IDiに関する全ての抽出クエリからも独立であり、Aは、対象アイデンティティIDiに関する抽出クエリを作ることが許されていない。よって、
である。ベイズの公式から、
を得る。
Pr[S,H3|E1,1,1]/Pr[S,H3]の値は、Bが、H1−coini=H2−coink=H3−coinijk=1であるというアプリオリ知識無しのクエリ
の集合の間にBが中断しない確率に対する、アプリオリ知識を与えられた
の間にBが中断しない確率に等しい。この比率は、少なくとも、前者の確率に等しい。この確率については、後で分析する。
我々は、Pr[E1,1,1|S,H3]に関する下限、つまり、どの署名クエリ及びH3クエリが、Bの中断の確率を最大化させるのかについて見出したいと考えている。
H3クエリに関しては、Aが、署名クエリを作るための全てのタプルに関するH3クエリを作成すると仮定する。
これらを除いては、Bが中断する確率は、j’≠jに対する(IDi,Mj’,wk)のクエリによって最大化されている。署名クエリに関しては、Aは、勿論、(IDi,Mj,wk)の署名クエリを実行できない。
しかしながら、Aは、IDi及びwk、つまり、(IDi,Mj,wk)を含む(少なくとも)1つの署名クエリを実行することはできる。
Bが中断する確率を最大化するために、署名クエリの残りは、IDi又はwkのどちらかを含まなければならない。
(IDi,Mj’’,wk)の署名及びハッシュクエリの間に中断するのを避けるために、H3−coinijk=0でなければならない。
よって、Aがクエリを作成する他の任意のタプルに対して、H3−coinij’’k=0であれば、Bは中断する。結果として、Bがこれらのクエリの間に中断しない確率は、
である。
他のクエリの間の中断の確率は、署名クエリが、IDi又はwkを含むかどうかによる。
IDiに関する更なるハッシュ及び署名クエリに関して、H2−coink=1であれば、Bは中断する。その結果、Bがそのようなクエリの間に中断しない確率は、δ2である。
wkは含むがIDiを含まないハッシュ及び署名クエリペアに関しては、Bは、H1−coini=H3−coinijk=1である時だけ中断する。その結果、確率1−(1−δ1)(1−δ3)では中断しない。δ4=min(δ2,1−(1−δ1)(1−δ3))とする。
Bが中断しない全体の確率は、少なくとも
である。よって、
である。
(計算結果)
全体として、Bの成功の確率は、少なくともεの積である。Bが中断しない確率における下限は、
全体として、Bの成功の確率は、少なくともεの積である。Bが中断しない確率における下限は、
であり、Aが偽造を生成する場合に、Bが成功する確率における下限は、
である。
この成功の確率の境界を下げるために、(δ1,δ2,δ3)の値を選択する。特に、
に対して、
のそれぞれが少なくとも2であると仮定すると、この積が、少なくとも、
であることが得られる。
(6.多重署名スキーム)
上述したように、アイデンティティに基づく多重署名スキームは、本質的に、相異なる署名者が同じメッセージに署名する(縮退した)アイデンティティに基づくアグリゲート署名スキームである。
上述したように、アイデンティティに基づく多重署名スキームは、本質的に、相異なる署名者が同じメッセージに署名する(縮退した)アイデンティティに基づくアグリゲート署名スキームである。
その結果、アイデンティティに基づく多重署名スキームは、アイデンティティに基づくアグリゲート署名スキームよりも自由度が低いことを要求するので、アイデンティティに基づくアグリゲート署名の好ましい実施形態よりも、より良い性能的特徴及びより良い安全性特徴を有するアイデンティティに基づく多重署名スキームを実現することができる。
ここで、アイデンティティに基づく多重署名スキームの好ましい実施形態を説明する。
(設定)
秘密鍵ジェネレータ(PKG)は、本質的には、前のペアリングに基づいたスキームと同じように、パラメータ及び鍵を生成する。具体的には、
1. ある素数位数qの群G1及びG2、及び、双線型非縮退ペアリング
秘密鍵ジェネレータ(PKG)は、本質的には、前のペアリングに基づいたスキームと同じように、パラメータ及び鍵を生成する。具体的には、
1. ある素数位数qの群G1及びG2、及び、双線型非縮退ペアリング
を生成する(これは、許可ペアリングであってもよく、幾つかの実施形態においては、q>3であり、他の実施形態においては、G1は、楕円曲線群、又は、他のタイプの群であり、q>2160である)。
2. 任意のジェネレータP∈G1を選択する。
3. s∈Z/qZを取り、Q=sPを設定する。
4. 暗号論的ハッシュ関数H1,H2:{0,1}*→G1を選択する。
PKGの公開鍵は、
である。根PKGの秘密は、s∈Z/qZである。
(秘密鍵生成)
アイデンティティIDiを有するクライアントは、PKGからsPiの値を受け取る。ここで、Pi=H1(IDi)∈G1である。
アイデンティティIDiを有するクライアントは、PKGからsPiの値を受け取る。ここで、Pi=H1(IDi)∈G1である。
(個別の署名)
Dを署名するために、アイデンティティIDiを有する署名者は、1. PD=H2(D)∈G1を計算する
2. ランダムなri∈Z/qZを生成する。
Dを署名するために、アイデンティティIDiを有する署名者は、1. PD=H2(D)∈G1を計算する
2. ランダムなri∈Z/qZを生成する。
3. 署名(S’i,T’i)を計算する。ここで、S’i=riPD+sPi及びT’i=riPである。
(アグリゲーション)
誰もが、同じ文書Dに署名する個別の署名のコレクションを集約することができる。
誰もが、同じ文書Dに署名する個別の署名のコレクションを集約することができる。
例えば、1≦i≦nに対する個別の署名(S’i,T’i)を、個別の署名(Sn,Tn)に集約することができる。ここで、
である。
アイデンティティに基づくアグリゲート署名スキームに関しては、同じ文書Dを使用する署名は、署名者が相異なる秘密鍵を有する相異なるPKGを有する場合でも、PKGが同じパラメータ
を使用する限り、集約され得る。以下のセクション7を参照。
(検証)
(Sn,Tn)をアイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。検証者は、
(Sn,Tn)をアイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。検証者は、
を確認する。ここで、上述したように、Pi=H1(IDi)及びPD=H2(D)である。
(7.複数のPKGの拡張)
(7.1 アグリゲート署名)
上記セクション3で説明した、アイデンティティに基づくアグリゲート署名スキームは、署名者が、1つ以上のPKGから署名者の秘密鍵を得られるように拡張することができる。
(7.1 アグリゲート署名)
上記セクション3で説明した、アイデンティティに基づくアグリゲート署名スキームは、署名者が、1つ以上のPKGから署名者の秘密鍵を得られるように拡張することができる。
以下に、2つのPKGを有するアイデンティティに基づくアグリゲート署名を説明する。2つのPKGから、それ以上のPKGへの拡張は、明らかである。
(設定)
PKG1及びPKG2は共に、次のように、幾つかの同じパラメータを使用する。
PKG1及びPKG2は共に、次のように、幾つかの同じパラメータを使用する。
1. ある素数位数qの群G1及びG2、及び、許可ペアリング
2. 任意のジェネレータP∈G1
3. 暗号論的ハッシュ関数H2:{0,1}→G1
PKG1は、ランダムなs1∈z/qZを取り、Q1=s1Pを設定する。同様に、PKG2は、S2及びQ2を生成する。
3. 暗号論的ハッシュ関数H2:{0,1}→G1
PKG1は、ランダムなs1∈z/qZを取り、Q1=s1Pを設定する。同様に、PKG2は、S2及びQ2を生成する。
2つのPKGが、H1の代わりに使用するハッシュ関数は、同じでも異なってもよい。
以下の好適な実施形態において、ハッシュ関数は同じであると仮定するが、以下に明らかにするように、PKG1が、この関数を使用する時は、H1への入力としてQ1の値を含み、一方、PKG2が、この関数を使用する時は、H1への入力としてQ2の値を含むことによって、その出力が異なっていることを(高い確率で)保証する。
当業者であれば、同様な効果を有する異なった手法を、直ちに認識するであろう。
PKG1の公開鍵は、
であり、一方、PKG2の公開鍵は、Q1の代わりにQ2を使用する。秘密は、それぞれs1及びs2である。
(秘密鍵生成)
アイデンティティIDiを有する署名者が、PKG1のクライアントであるとすると、署名者は、PKG1から、j∈{0,1}に対するs1P1,i,jの値を受け取る。ここで、P1,i,j=H1(Q1,IDi,j)∈G1である。
アイデンティティIDiを有する署名者が、PKG1のクライアントであるとすると、署名者は、PKG1から、j∈{0,1}に対するs1P1,i,jの値を受け取る。ここで、P1,i,j=H1(Q1,IDi,j)∈G1である。
署名者が、PKG2のクライアントであるとすると、j∈{0,1}に対するs2P2,i,jを受け取る。ここで、P2,i,j=H1(Q2,IDi,j)∈G1である。
このスキームは、上述した注釈3Bのケース(kは、wのものを使用する)まで拡張することができる。
各秘密鍵は、上述したように生成することができるが、k+1ポイント、すなわち、j∈{0,k}を含んでいる。
(個別の署名)
第1の署名者は、前に自分が決して使用していない文字列wを選択する。それに続く各署名者は、第1の署名者によって選択された文字列wを自分が使用していないことを確認する(或いは、例えば、予め計画されたスケジュールによって署名を発行する場合、異なる署名者が、個別に同じwに到達してもよい)。
第1の署名者は、前に自分が決して使用していない文字列wを選択する。それに続く各署名者は、第1の署名者によって選択された文字列wを自分が使用していないことを確認する(或いは、例えば、予め計画されたスケジュールによって署名を発行する場合、異なる署名者が、個別に同じwに到達してもよい)。
Diに署名するために、(a∈{1,2}に対して)、PKGaのクライアントであるアイデンティティIDiを有する署名者は、
1. Pw=H2(w)∈G1を計算する。
1. Pw=H2(w)∈G1を計算する。
2. ci=H2(Q,Di,IDi,w)∈Z/qZを計算する。
3. ランダムなri∈Z/qZを生成する。
4. その署名(w,S’i,T’i)を計算する。ここで、
である。
(アグリゲーション)
誰もが、同じ文字列wを使用する個別の署名のコレクションを集約することができる。例えば、1≦i≦nに対して、個別の署名(w,S’i,T’i)を、(w,Sn,Tn)に集約することができる。ここで、
誰もが、同じ文字列wを使用する個別の署名のコレクションを集約することができる。例えば、1≦i≦nに対して、個別の署名(w,S’i,T’i)を、(w,Sn,Tn)に集約することができる。ここで、
である。
(検証)
(w,Sn,Tn)を、アイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。
(w,Sn,Tn)を、アイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。
I1を、i番目の署名者が、PKG2のクライアントである[1,n]における指数iの集合とする。I2を、PKG2に対する指数の対応する(かつ、補足的な)集合とする。検証者は、
を確認する。
検証者は、ここでは、1つではなく、2つのPKGの公開鍵を知る必要があることに留意されたい。
当業者であれば、この複数のPKGのアイデンティティに基づくアグリゲート署名スキームにおけるPKGが、上述したように、非階層的クライアント構造に対する秘密鍵生成を監視する独立したPKGだけではなく、階層的なアイデンティティに基づく暗号システムにおいてレベルの低いPKGであってもよいことに気がつくであろう。
また、複数PKGスキームは、上記セクション3、注釈3Bに説明したケースまで拡張することができる(倍数は、wのものを使用する)。
(注釈7.1A)
ある単一PKGの実施形態及び複数のPKG実施形態において、G2及び
ある単一PKGの実施形態及び複数のPKG実施形態において、G2及び
は、検証のためだけに使用されており(上記等式(2)及び(4)を参照)、PKGによって生成される必要はない。それらは、検証者によって生成され得る。
複数PKGの場合、群G2及びペアリング
が、PKGによって生成されているならば、相異なるPKGは、相異なるペア
を生成することができる。
検証者は、署名の検証(4)のために、ペア
の何れかを選択するか、又は、等式(4)が相異なる(可能であれば全ての)ペア
に対しても成り立つかどうかを検証することによって署名を検証することができる。
(7.2 多重署名)
上記セクション6において説明した多重署名スキームは、拡張され、署名者に1つ以上のPKGから署名者の秘密鍵を得ることができるようにすることができる。
上記セクション6において説明した多重署名スキームは、拡張され、署名者に1つ以上のPKGから署名者の秘密鍵を得ることができるようにすることができる。
以下に、2つのPKGを有する多重署名スキームを説明する。2つのPKGから、それ以上のPKGへの拡張は、明らかである。
(設定)
PKG1及びPKG2は共に、次のように同じパラメータの多くを使用する。例えば、
1. ある素数位数qの群G1及びG2、及び、許可ペアリング
PKG1及びPKG2は共に、次のように同じパラメータの多くを使用する。例えば、
1. ある素数位数qの群G1及びG2、及び、許可ペアリング
2. 任意のジェネレータP∈G1
3. 暗号論的ハッシュ関数H2:{0,1}→G1
PKG1は、ランダムなs1∈Z/qZを取り、Q1=s1Pを設定する。同様に、PKG2は、s2及びQ2を生成する。
3. 暗号論的ハッシュ関数H2:{0,1}→G1
PKG1は、ランダムなs1∈Z/qZを取り、Q1=s1Pを設定する。同様に、PKG2は、s2及びQ2を生成する。
2つのPKGが、H1の代わりに使用するハッシュ関数は、同じでも異なってもよい。
下に説明する好適な実施形態では、我々は、ハッシュ関数が同じであると仮定するが、PKG1が、この関数を使用する時は、H1への入力としてQ1の値を含み、一方、PKG2が、この関数を使用する時は、H1への入力としてQ2の値を含むことによって、その出力が異なっていることを(高い確率で)保証する。
PKG1の公開鍵は、
であり、一方、PKG2の公開鍵は、Q1の代わりにQ2を使用する。これらの秘密は、それぞれs1及びs2である。
(秘密鍵生成)
アイデンティティIDiを有する署名者が、PKG1のクライアントであるとすると、署名者は、PKG1から、s1P1,iの値を受け取る。ここで、P1,i=H1(Q1,IDi)∈G1である。
アイデンティティIDiを有する署名者が、PKG1のクライアントであるとすると、署名者は、PKG1から、s1P1,iの値を受け取る。ここで、P1,i=H1(Q1,IDi)∈G1である。
署名者が、PKG2のクライアントであるとすると、s2P2,iを受け取る。ここで、P2,i=H1(Q2,IDi)∈G1である。
(個別の署名)
Dに署名するために、(a∈{1,2}に対して)、PKGaのクライアントであるアイデンティティIDiを有する署名者は、
1. PD=H2(D)を計算する。
Dに署名するために、(a∈{1,2}に対して)、PKGaのクライアントであるアイデンティティIDiを有する署名者は、
1. PD=H2(D)を計算する。
2. ランダムなri∈Z/qZを生成する。
3. その署名(S’i,T’i)を計算する。ここで、S’i=riPD+saPa,i及びT’i=riPである。
(アグリゲーション)
誰もが、同じ文書Dを使用する個別の署名のコレクションをアグリゲートすることができる。
誰もが、同じ文書Dを使用する個別の署名のコレクションをアグリゲートすることができる。
例えば、1≦i≦nに対する個別の署名(w,S’i,T’i)を、(Sn,Tn)に集約することができる。ここで、
である。
(検証)
(Sn,Tn)をアイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。
(Sn,Tn)をアイデンティティに基づくアグリゲート署名とする(ここで、nは、署名者数である)。
I1を、i番目の署名者が、PKG2のクライアントである[1,n]における指数iの集合とする。I2を、PKG2に対する指数の対応する(かつ、補足的な)集合とする。検証者は、
を確認する。
この複数PKGの多重署名スキームにおけるPKGは、上述したように、非階層的クライアント構造に対する秘密鍵生成を監視する独立したPKGだけではなく、階層的なアイデンティティに基づく暗号システムにおいてレベルの低いPKGであってもよい。注釈7.1Aは、多重署名に適用することができる。
(8.安全性が証明されていない決定論的なアイデンティティに基づくアグリゲート署名スキーム)
ここで、アグリゲート署名が決定論的である(すなわち、所与のPKG、アイデンティティの集合、文書の集合に対して一意的である)、アイデンティティに基づくアグリゲート署名スキームの他の実施形態について説明する。
ここで、アグリゲート署名が決定論的である(すなわち、所与のPKG、アイデンティティの集合、文書の集合に対して一意的である)、アイデンティティに基づくアグリゲート署名スキームの他の実施形態について説明する。
本実施形態の欠点は、1つ前のものと比較して、このスキームに対しては、厳密な安全性の立証を見出すことができないことである。
(設定)
秘密鍵ジェネレータ(PKG)は、適切なRSAタイプのモジュラスnを生成する。但し、例えば、nが、2つのランダムに選択された適当に大きな素数q0及びq1の積であり、q0及びq1のそれぞれは、ある実施形態において、少なくとも512ビットの長さを有する。
秘密鍵ジェネレータ(PKG)は、適切なRSAタイプのモジュラスnを生成する。但し、例えば、nが、2つのランダムに選択された適当に大きな素数q0及びq1の積であり、q0及びq1のそれぞれは、ある実施形態において、少なくとも512ビットの長さを有する。
また、PKGは、ハッシュ関数H1:{0,1}*→Z/qZ及びH2:{0,1}*→{0,1}kも生成する。但し、kは、適当に長い、例えば、128である。
また、PKGは、許可ペアリング
を有する位数nの群G1及びG2を生成する。PKGは、ジェネレータP∈G1を選択する。
例えば、楕円曲線群の位数が、あるLに対してpL+1であるように、素数pを法とする整数のフィールドFp上の超特異な楕円曲線を得ることは簡単なことである。
n|(pL+1)ならば(すなわち、nがpL+1を割り切るのであれば)、位数nの部分集合が存在する。PKGの秘密は、q0及びq1である。PKGの公開鍵は、(n,H1,H2)である。
(秘密鍵生成)
アイデンティティIDiを有するクライアントは、PKGから、1≦j≦kに対する秘密値ai,j=H1(IDi,j)1/2(mod n)を受け取る。明らかに、Z/nZにおける全ての数が平方剰余であるというわけではない。
アイデンティティIDiを有するクライアントは、PKGから、1≦j≦kに対する秘密値ai,j=H1(IDi,j)1/2(mod n)を受け取る。明らかに、Z/nZにおける全ての数が平方剰余であるというわけではない。
しかしながら、これを処理する当技術分野において公知である標準的な技術がある。例えば、bi,j=H1(IDi,j)1/2(mod n)とする。そうすれば、bi,j、2bi,j、−bi,j、−2bi,jの1つが、nを法とする平方剰余である。
ci,jbi,jが、平方剰余であるように、ci,jを、数1、−1、2、−2のリストにおける1番目とする。そうすれば、PKGは、1≦j≦kに対して、ai,j=[ci,jH1(IDi,j)1/2(mod n)を設定する。
なお、誰もが、1≦j≦kに対する「公開鍵」bi,j=H1(IDi,j)1/2(mod n)を計算することができることに留意されたい。
(署名)
Si−1∈G1を、文書(D1,…,Di−1)の第1のi―1署名者によって生成されたアイデンティティに基づくアグリゲート署名とする(S0=Pと設定する)。
Si−1∈G1を、文書(D1,…,Di−1)の第1のi―1署名者によって生成されたアイデンティティに基づくアグリゲート署名とする(S0=Pと設定する)。
Diの署名を含むために、i番目の署名者は、ei=H2(Di)を計算する。ei,j=(i,j)を、eiのj番目のビットとする。署名者は、
を計算する。
(検証)
mが、署名者数であるとすれば、
mが、署名者数であるとすれば、
を確認する。ここで、
であり、ei,jは、上述したように計算される。
検証者は、この検証を行うために複数のci,jを必要とする。各ci,jは、2ビットの数値である。
幾つかの実施形態において、署名者1(第1の署名者)は、その係数c1,j(1≦j≦k)を、次の署名者2に提供する。
署名者2は、その係数c1,j及びc2,j(1≦j≦k)を、署名者3に提供する。
これを繰り返す。最後の署名者は、係数ci,jの全てを検証者に提供する。これらの係数は、全体の長さでせいぜい2mkビット(2つのビット毎に、mk個の係数)である。
他の実施形態は、検証者が、積
だけを必要とするという観察に基づいている。
この実施形態において、署名者1は、積
を署名者2に提供する。
署名者2は、積
を次の署名者に提供する。
その後、このプロセスを繰り返す。最後の署名者は、積
を計算し、この積を検証者に提供する。
Cの大きさは、(各|ci,j|≦2であるので)、せいぜい2mkであり、2の累乗である。
その結果、Cの署名及び値log2|C|だけを検証者に提供する必要がある。この情報の大きさは、log2|C|≦mkであるので、せいぜい2+log2mkビットである。
本発明は、上述した実施形態に限定されるものではない。特に、本発明は、特定の群G1又はG2の何れにも限定されるものではない。
幾つかの実施形態において、G1又はG2は、
(素数の冪pを法とする整数のガロア域Fpの単元群)、又は、
(素数の冪pの既約多項式を法とする多項式のガロア域
の単元群)であることが可能である。
幾つかの実施形態において、p=2である。幾つかの実施形態において、群G1は、
、又は、Fp、又は、他の領域の楕円曲線、又は、上述した領域の何れかのアーベルバラエティである。
公知のように、フィールドFの楕円曲線は、次のものから構成される。
(1) x及びyがFの中にあるペア(x,y)の集合
定義済み整数のaとbに対して、f(x,y)=y2−x3−ax−b=0である。
定義済み整数のaとbに対して、f(x,y)=y2−x3−ax−b=0である。
(2) 以下のように定義された群演算によって「無限大」でのポイントO
1.O+O=O
2.(x,y)+O=(x,y)
3.(x,y)+(x,−y)=O
4.x1≠x2のような任意の相異なる点(x1,y1)及び(x2,y2)に対して、その和(x3,y3)が、以下のように定義されている。
1.O+O=O
2.(x,y)+O=(x,y)
3.(x,y)+(x,−y)=O
4.x1≠x2のような任意の相異なる点(x1,y1)及び(x2,y2)に対して、その和(x3,y3)が、以下のように定義されている。
L=(y2−y1)/(x2−x1)
x3=L2−x1−x2,
y3=L(x1−x2)−y1
5.任意の点(x1,y1)に対して、その倍加(x1,y1)+(x1,y1)=(x2,y2)は、以下のように定義される。
x3=L2−x1−x2,
y3=L(x1−x2)−y1
5.任意の点(x1,y1)に対して、その倍加(x1,y1)+(x1,y1)=(x2,y2)は、以下のように定義される。
例えば、共に、この参照により引用に含まれる、1999年7月17日に公開されたPCT出願番号WO9930458、及び、2004年8月17日に発行された米国特許第6778666B1を参照されたい。
楕円曲線は、f(x,y)の微分が、曲線のあるポイントで同時に零になれば、超特異と呼ばれる。この条件は、4a3+27b2=0と同等である。
幾つかの実施形態においては、超特異及び非超特異な楕円曲線の両方を、群G1及びG2に使用することができる。また、楕円曲線の多次元の一般化であるアーベルバラエティも使用することができる。
幾つかの実施形態において、双線型ペアリング
は、Weilペアリング、又は、Tateペアリングである。
これらのペアリングは、Dan Boneh及びMatthew Franklin著のこの参照により引用に含まれる「Identity−Based Encryption from the Weil Pairing」(SIAMJ of Computing.32巻、No.3、pp.586−615、2003年)において定義されている。
本発明は、如何なる特定のハッシュ関数にも限定されない。ハッシュ関数に関して、衝突耐性を反転できないことが望ましいが、必須ではない。
適切な非制限的な例には、この参照により引用に含まれる「SECURE HASH SIGNATURE STANDARD」(Federal Information Processing Standard Publication、2002年8月1日、National Institute of Standards and Technology、米国)に特定されているSHA−1、SHA−256、SHA−384、SHA−512が含まれる。
本発明は、コルモゴロフ計算量の低い署名スキームにも、またアイデンティティに基づく署名スキームにも限定されない。
アイデンティティに基づくスキームにおいて、署名者のアイデンティティは、人間、法人、他の企業、又は、他のエンティティであってよい。
アイデンティティには、人又は企業の名前、通り、電子メールアドレス、電話番号、ウェブページアドレス、署名者によって提供されなくても検証者によって解明することができるその他の情報の全て又は一部を含むことができる。
上述したアルゴリズムにおいて、Z/qZ(例えば、PKGの秘密鍵s)等の剰余類の要素は、単に整数として表すことができる。
それは、任意の整数、例えば、[1,q−1]又は[2,q−1]、或いは、[−(q−1)/2,(q−1)/2]であってよい。
また、本発明は、有限群である群G1及びG2に制限されない。他の実施形態及び変形例は、添付した特許請求の範囲により定義される本発明の範囲内である。
104…コンピュータシステム
110…プロセッサ
120…メモリ
130…ネットワーク
110…プロセッサ
120…メモリ
130…ネットワーク
Claims (22)
- 第1のアグリゲートデジタル署名を生成するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの第1生成部が、文書D_iの署名である複数の個別のデジタル署名IS_i(i=1,…n)を生成する工程Aと、
前記コンピュータシステムの第2生成部が、前記第1生成部によって生成された前記複数の個別のデジタル署名IS_iに基づいて、前記第1のアグリゲートデジタル署名を生成する工程Bとを含み、
nは、1より大きい整数であり、
前記工程Aは、
前記コンピュータシステムの算出部が、前記デジタル署名IS_iに関連付けられた署名者のアイデンティティの関数である要素P1_i,…,Pk_iに基づいて、前記デジタル署名IS_iに含まれるk個の項を以下の式に基づいて算出する工程と、
前記第1生成部が、前記算出部によって算出された前記k個の項に基づいて、前記複数の個別のデジタル署名IS_iを生成する工程とを含み、
k>1であり、
C1_i,…Ck_iは、整数であり、
C1_i,…Ck_iのうちの少なくとも2つは、互いに異なり、
C1_i,…Ck_iのうちの少なくとも1つは、前記文書D_iによって決まり、
P1_i,…Pk_iは、前記文書D_iから独立した定義済み巡回群G1のk個の相異なる要素であり、
「*」は、前記定義済み巡回群G1の要素の整数による乗法を示し、
前記デジタル署名IS_iは、前記k個の項の和を表す第1のコンポーネントS_iを含むことを特徴とする方法。 - 前記デジタル署名IS_iは、第2のコンポーネントT_i=r_i*Pを更に含み、
r_iは、整数であり、Pは、前記群G1の定義済み要素であり、
Pは、iから独立であり、
前記第1のアグリゲート署名は、前記コンポーネントT_iの和を表す第2のコンポーネントを更に含み、
前記工程Aは、
前記コンピュータシステムの取得部が、前記コンポーネントTの項を受け取る工程と、
前記コンピュータシステムの加算部が、前記コンポーネントTの前記項を加算する工程とを有することを特徴とする請求項1に記載の方法。 - 第1のアグリゲートデジタル署名を検証するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの判断部が、文書D_iの署名である複数の個別のデジタル署名IS_i(i=1,…n)が前記第1のアグリゲートデジタル署名に含まれるか否かを判断する工程Aを含み、
nは、1より大きい整数であり、
前記デジタル署名IS_iは、以下の式によって表されるk個の項を含み、
kは、前記文書D_iからから独立であり、
kは、前記デジタル署名IS_iの全てに対して同じであり、
前記デジタル署名IS_iに対して、
(i)sは、前記文書D_iから独立した定義済み整数であり、
(ii)C1_i,…Ck_iは、非負整数であり、
C1_i,…Ck_iのうちの少なくとも2つは、互いに異なっており、
C1_i,…Ck_iのうちの少なくとも1つは、前記文書D_iによって決まり、
(iii)P1_ii,…Pk_iは、前記文書D_iから独立した定義済み巡回群G1のk個の相異なる要素であり、
「*」は、前記定義済み巡回群G1の要素の整数による乗法を示し、
前記個別のデジタル署名のアグリゲートは、前記和S_iの和Sであるコンポーネント
前記第1のアグリゲートデジタル署名は、対応するコンポーネントSnを含み、
前記工程Aは、
前記コンピュータシステムの算出部が、前記デジタル署名IS_iに関連付けられた署名者のアイデンティティに基づいて、前記デジタル署名IS_iに対応する要素P1_i,…,Pk_iを算出する工程と、
前記コンピュータシステムの検証部が、前記算出部によって算出された前記要素P1_i,…,Pk_iに基づいて、以下の等式が満たされているか否かを検証する工程とを含み、
Pは、前記群G1のジェネレータであり、
f1は、前記群G2の要素であり、
「&」は、前記群G2の群演算であり、
条件(A)又は条件(B)のどちらかが真であり、
前記条件(A)は、前記パラメータが、前記個別のデジタル署名IS_iの全てに対して同じ値を有し、
Q=s*Pであり、
前記条件(B)は、前記パラメータが、L個の相異なる値s_1,…s_Lに分布し、
L>1であり、
各値s=s_j(j=1,…L)が、1つ以上の前記個別のデジタル署名IS_iに対応し、
各j=1,…Lに対して、Q_j=s_j*Pであり、
前記判断部は、前記検証部によって前記等式が満たされると検証された場合に、前記複数の個別のデジタル署名IS_iが前記第1のアグリゲートデジタル署名に含まれると判断することを特徴とする方法。 - G1及びG2は、3より大きい同じ素数位数を有する有限群であり、
各個別の署名IS_iに対して、s,C1_i,…,Ck_iのそれぞれは、G1の前記位数より小さいことを特徴とする請求項3に記載の方法。 - 文書Dに第1のアグリゲートデジタル署名を生成するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの第1生成部が、前記文書Dの署名である複数の個別のデジタル署名IS_i(i=1,…n)を生成する工程Aと、
前記コンピュータシステムの第2生成部が、前記第1生成部によって生成された前記複数の個別のデジタル署名IS_iに基づいて、前記第1のアグリゲートデジタル署名を生成する工程Bとを含み、
nは、1より大きい整数であり、
前記工程Aは、
前記コンピュータシステムの算出部が、前記デジタル署名IS_iに関連付けられた署名者のアイデンティティの関数である要素P_iに基づいて、前記デジタル署名IS_iに含まれる項r_i*PD及び(s_i*P_i)を算出する工程と、
前記第1生成部が、前記算出部によって算出された前記項r_i*PD及び(s_i*P_i)に基づいて、前記複数の個別のデジタル署名IS_iを生成する工程とを含み、
r_i及びs_iは、前記文書Dから独立した整数であり、
PD及びP_iは、定義済み巡回群G1の要素であり、
PDは、前記文書Dによって決まり、全ての前記デジタル署名IS_iに対して同じであり、
P_iは、前記文書Dから独立であり、
「*」は、前記定義済み巡回群G1の要素の整数による乗法を表し、
前記第1のアグリゲートデジタル署名は、前記和S_iの和Sを表すコンポーネントを含むことを特徴とする方法。 - G1は、3より大きい素数位数を有し、
s_i及びr_iのそれぞれは、G1の前記位数より小さいことを特徴とする請求項5に記載の方法。 - 第1のアグリゲートデジタル署名を検証するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの判断部が、文書D_の署名である複数の個別のデジタル署名IS_i(i=1,…n)が前記第1のアグリゲートデジタル署名に含まれるか否かを判断する工程Aを含み、
nは、1より大きい整数であり、
前記デジタル署名IS_iは、r_i*PD及び(s*P_i)を含む項を含み、
r_i及びsは、前記文書Dから独立した整数であり、
PD及びP_iは、定義済み巡回群G1の要素であり、
PDは、前記文書Dによって決まり、前記デジタル署名IS_iの全てに対して同じであり、
P_iは、前記文書Dから独立であり、
「*」は、前記定義済み巡回群G1の要素の整数による乗法を表し、
前記第1のアグリゲートデジタル署名は、前記和S_iの和Sに対応するコンポーネントSnを含み、
前記個別のデジタル署名の前記アグリゲートは、前記和S1_iの和であるコンポーネント
前記第1のアグリゲートデジタル署名は、対応するコンポーネントSnを含み、
前記工程Aは、
前記工程Aは、前記コンピュータシステムの算出部が、前記デジタル署名IS_iに関連付けられた署名者のアイデンティティに基づいて、前記デジタル署名IS_iに対応する要素P_iを算出する工程と、
前記コンピュータシステムの検証部が、前記算出部によって算出された前記要素P_iに基づいて、以下の等式が満たされているか否かを検証する工程とを含み、
Pは、前記群G1のジェネレータであり、
f1は、前記群G2の要素であり、
「&」は、前記群G2の群演算であり、
条件(A)又は(B)のどちらかが真であり、
前記条件(A)は、前記sパラメータが、前記個別のデジタル署名IS_iの全てに対して同じ値を有し、
Q=s*Pであり、
前記条件(B)は、前記sパラメータが、L個の相異なる値s_1,…s_Lに分布し、
L>1であり、
各値s=s_j(j=1,…L)は、1つ以上の前記個別のデジタル署名IS_jに対応し、
各j=1,…Lに対して、Q_j=s_j*Pであり、
前記判断部は、前記検証部によって前記等式が満たされると検証された場合に、前記複数の個別のデジタル署名IS_iが前記第1のアグリゲートデジタル署名に含まれると判断することを特徴とする方法。 - 前記条件(A)は、真であることを特徴とする請求項7に記載の方法。
- G1は、3より大きい素数位数を有し、
G2は、G1と同じ位数の巡回群であり、
前記整数s及びr_iのそれぞれは、G1の前記位数より小さいことを特徴とする請求項7に記載の方法。 - m人の署名者の署名を表す第1のデジタル署名を生成するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの第1生成部が、署名者mに関連付けられた文書D_mの関数であるkビット(e_1,…e_k)を生成する工程Aと、
前記コンピュータシステムの第2生成部が、定義済み巡回群G1の項を生成する工程Bとを含み、
mは、正の整数であり、
各署名者j(j=1,…m)は、鍵(a_j,1,…a_j,k)に関連付けられたエンティティであり、
kは、正の整数であり、
a_j,1,…a_j,kは、整数であり、
前記工程Bは、前記コンピュータシステムの算出部が、前記第1生成部によって生成されたkビット及び前記署名者jのアイデンティティの関数である各鍵(a_i,1,…,a_i,k)に基づいて、以下の式によって表される前記項を算出する工程を含み、
S_PREV_mは、前記群G1の要素であり、
「*」は、前記群G1の要素の整数による乗法を表すことを特徴とする方法。 - m=1であり、
S_PREV_mは、前記群G1のジェネレータであることを特徴とする請求項10に記載の方法。 - m>1であり、
S_PREV_mは、署名者1,…,m−1のそれぞれ及び前記それぞれの文書D_1,…,D_(m−1)に対して、前記工程A及び前項工程Bを実行することによって求められることを特徴とする請求項10に記載の方法。 - G1は、前記整数nと等しい位数の有限であることを特徴とする請求項10に記載の方法。
- nは、それぞれが1より大きい2つの素数の積であることを特徴とする請求項10に記載の方法。
- 第1のアグリゲートデジタル署名Snを検証するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの判断部が、前記第1のアグリゲートデジタル署名が文書D_1,…D_mに対するm人の署名者の署名を表すか否かを判断する工程Aを含み、
m>1であり、
各署名者j(j=1,…m)が、鍵(b_j,1,…b_j,k)に関連付けられたエンティティであり、
k,b_j,11,…b_j,kは、整数であり、
Snは、ジェネレータPを有する定義済み巡回群G1の要素であり、
前記工程Aは、前記コンピュータシステムの検証部が、前記署名者jのアイデンティティの関数である各鍵(b_j,1,…,b_j,k)に基づいて、等式bp1(Sn,Sn)=bp1(P,P)bが満たされるか否かを検証する工程を含み、
bp1は、G1×G1から巡回群G2への双線型写像であり、
bは、定義済みモジュラスnnを法とする全ての前記整数b_j,iの積であり、
前記判断部は、前記検証部によって前記等式が満たされると検証された場合に、前記第1のアグリゲートデジタル署名が文書D_1,…D_mに対するm人の署名者の署名を表すと判断することを特徴とする方法。 - 各b_j,iは、nを法とする平方であることを特徴とする請求項15に記載の方法。
- nは、それぞれが1より大きい2つの素数の積であることを特徴とする請求項15に記載の方法。
- 第1のアグリゲートデジタル署名を生成するコンピュータシステムによって実行される方法であって、
前記コンピュータシステムの第1生成部が、複数の個別のデジタル署名を生成する工程Aと、
前記コンピュータシステムの第2生成部が、前記第1生成部によって生成された前記複数の個別のデジタル署名に基づいて、前記第1のアグリゲートデジタル署名を生成する工程Bとを含み、
各個別のデジタル署名は、少なくとも1つの署名コンポーネントを含み、
前記工程Bは、
前記コンピュータシステムの算出部が、前記署名者のアイデンティティの関数である複数の相異なる鍵コンポーネントを含む署名者の鍵に基づいて、複数の第1の項を算出する工程と、
前記第2生成部が、前記複数の第1の項に基づいて、前記第1のアグリゲートデジタル署名のコンポーネントを生成する工程とを含み、
各第1の項は、前記個別のデジタル署名のうちの1つの署名コンポーネント、又は、前記個別の署名の2つ以上の署名コンポーネントの和のどちらかであり、
前記第1の項の前記署名コンポーネントのうちの少なくとも1つは、前記署名者の鍵の関数であることを特徴とする方法。 - 前記第1のアグリゲートデジタル署名の前記コンポーネントは、前記第1の項を含む複数の項の和であることを特徴とする請求項18に記載の方法。
- 前記署名者の鍵の前記関数は、前記鍵コンポーネントのうち少なくとも2つが相異なる係数を有して存在する一次結合を含むことを特徴とする請求項18に記載の方法。
- 請求項1、3、5、7、10、15、18のいずれか一項に記載された各工程を実行することを特徴とするコンピュータシステム。
- 請求項1、3、5、7、10、15、18のいずれか一項に記載に記載された各工程をコンピュータに実行させることを特徴とするコンピュータプログラム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US57365104P | 2004-05-20 | 2004-05-20 | |
| US60/573,651 | 2004-05-20 | ||
| US11/134,723 | 2005-05-19 | ||
| US11/134,723 US7664957B2 (en) | 2004-05-20 | 2005-05-19 | Digital signatures including identity-based aggregate signatures |
| PCT/US2005/017887 WO2005114900A2 (en) | 2004-05-20 | 2005-05-20 | Digital signatures including identity-based aggregate signatures |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008508836A JP2008508836A (ja) | 2008-03-21 |
| JP4785851B2 true JP4785851B2 (ja) | 2011-10-05 |
Family
ID=35376592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007527505A Active JP4785851B2 (ja) | 2004-05-20 | 2005-05-20 | アイデンティティに基づくアグリゲート署名を含むデジタル署名 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7664957B2 (ja) |
| JP (1) | JP4785851B2 (ja) |
| WO (1) | WO2005114900A2 (ja) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2415579B (en) * | 2004-06-23 | 2006-12-20 | Hewlett Packard Development Co | Cryptographic method and apparatus |
| JP4899867B2 (ja) * | 2005-01-21 | 2012-03-21 | 日本電気株式会社 | グループ署名方式 |
| US7788484B2 (en) * | 2005-11-30 | 2010-08-31 | Microsoft Corporation | Using hierarchical identity based cryptography for authenticating outbound mail |
| US8180047B2 (en) * | 2006-01-13 | 2012-05-15 | Microsoft Corporation | Trapdoor pairings |
| US8341226B2 (en) * | 2006-03-15 | 2012-12-25 | Intel Corporation | Techniques to control electronic mail delivery |
| JP4456137B2 (ja) * | 2007-07-11 | 2010-04-28 | 富士通株式会社 | 電子文書管理プログラム、該プログラムを記録した記録媒体、電子文書管理装置、および電子文書管理方法 |
| US8347277B2 (en) * | 2007-08-17 | 2013-01-01 | International Business Machines Corporation | Verifying that binary object file has been generated from source files |
| EP2244243B1 (en) * | 2008-02-20 | 2017-12-13 | Mitsubishi Electric Corporation | Verifying device |
| US8479006B2 (en) | 2008-06-20 | 2013-07-02 | Microsoft Corporation | Digitally signing documents using identity context information |
| US8806590B2 (en) | 2008-06-22 | 2014-08-12 | Microsoft Corporation | Signed ephemeral email addresses |
| US20100082974A1 (en) * | 2008-09-26 | 2010-04-01 | Microsoft Corporation | Parallel document processing |
| JP5183401B2 (ja) * | 2008-09-29 | 2013-04-17 | Kddi株式会社 | アグリゲート署名生成システム、アグリゲート署名生成方法、およびアグリゲート署名生成プログラム |
| JP5314449B2 (ja) * | 2009-02-12 | 2013-10-16 | 日本電信電話株式会社 | 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム |
| US9286281B2 (en) * | 2009-10-21 | 2016-03-15 | Citrix Systems, Inc. | Computer form action zone summary system and method |
| KR101045804B1 (ko) | 2010-07-05 | 2011-07-04 | 한국기초과학지원연구원 | 신원기반 집합서명의 빠른 검증 방법 및 시스템 |
| ES2400894B1 (es) | 2011-05-13 | 2014-03-11 | Telefónica, S.A. | Procedimiento para una firma digital múltiple |
| US8763093B2 (en) * | 2011-09-12 | 2014-06-24 | Microsoft Corporation | Access control management |
| US9154302B2 (en) * | 2012-01-25 | 2015-10-06 | CertiVox Ltd. | System and method for secure two-factor authenticated ID-based key exchange and remote login using an insecure token and simple second-factor such as a PIN number |
| US10148285B1 (en) | 2012-07-25 | 2018-12-04 | Erich Schmitt | Abstraction and de-abstraction of a digital data stream |
| US10795858B1 (en) | 2014-02-18 | 2020-10-06 | Erich Schmitt | Universal abstraction and de-abstraction of a digital data stream |
| US9652633B2 (en) | 2014-11-25 | 2017-05-16 | Certify Global Inc. | Systems and methods of verifying an authenticated document biosignature |
| US10581843B2 (en) | 2014-11-25 | 2020-03-03 | Certify Global Inc. | Systems and methods of verifying an authenticated document biosignature encoding restricted access information |
| US10726113B2 (en) | 2014-11-25 | 2020-07-28 | Certify Global Inc. | Systems and methods of verifying an authenticated document biosignature glyph containing a selected image |
| JP2016127532A (ja) * | 2015-01-07 | 2016-07-11 | 日本電信電話株式会社 | 楽観的公平交換方法、楽観的公平交換システム、署名者装置、検証者装置、裁定者装置、およびプログラム |
| US10333696B2 (en) | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
| CN107579826B (zh) | 2016-07-04 | 2022-07-22 | 华为技术有限公司 | 一种网络认证方法、中转节点及相关系统 |
| EP3379766B1 (en) * | 2017-03-20 | 2019-06-26 | Huawei Technologies Co., Ltd. | A wireless communication device for communication in a wireless communication network |
| CN106888096B (zh) * | 2017-03-23 | 2019-10-08 | 西安电子科技大学 | 基于混淆技术的安全广播多重签名方法 |
| CN107046465B (zh) * | 2017-04-28 | 2020-07-17 | 安徽大学 | 入侵容忍的云存储数据审计方法 |
| WO2019113838A1 (zh) * | 2017-12-13 | 2019-06-20 | 杭州全视软件有限公司 | 一种智能终端认证管理的方法 |
| CN108650097B (zh) * | 2018-04-28 | 2021-03-09 | 上海扈民区块链科技有限公司 | 一种高效的聚合数字签名方法 |
| CN111385096B (zh) * | 2018-12-28 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 一种区块链网络系统、签名处理方法、终端及存储介质 |
| CN109714153B (zh) * | 2019-02-01 | 2022-04-08 | 铜陵学院 | 一种高效的聚合签名方法 |
| US11025643B2 (en) * | 2019-04-02 | 2021-06-01 | International Business Machines Corporation | Mobile multi-party digitally signed documents and techniques for using these allowing detection of tamper |
| US11601284B2 (en) * | 2019-06-14 | 2023-03-07 | Planetway Corporation | Digital signature system based on a cloud of dedicated local devices |
| CN110995443B (zh) * | 2019-12-02 | 2022-03-25 | 联想(北京)有限公司 | 数据处理方法及装置 |
| CN111262704A (zh) * | 2020-01-15 | 2020-06-09 | 江苏芯盛智能科技有限公司 | Sm9数字签名生成方法、装置、计算机设备和存储介质 |
| US20240056312A1 (en) * | 2020-12-14 | 2024-02-15 | Hewlett-Packard Development Company, L.P. | Authenticating packaged products |
| WO2022187369A1 (en) * | 2021-03-02 | 2022-09-09 | Sri International | Attribute based encryption with bounded collusion resistance |
| CN116108497B (zh) * | 2023-04-17 | 2023-06-23 | 武汉盛博汇信息技术有限公司 | 一种基于身份匿名的医疗数据轻量级云存储方法及装置 |
| CN116861390B (zh) * | 2023-08-09 | 2024-03-22 | 之江实验室 | 基于聚合签名的跨区块链批量交易认证方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03103961A (ja) * | 1989-09-19 | 1991-04-30 | Fujitsu Ltd | Id情報を用いたデジタル多重署名方式 |
| JPH08328472A (ja) * | 1995-05-26 | 1996-12-13 | Korea Telecommun Authority | 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 |
| JPH103257A (ja) * | 1996-06-18 | 1998-01-06 | Toshiba Corp | 電子署名付加方法及び電子署名装置並びに電子署名検証方法 |
| JP2000047582A (ja) * | 1997-07-04 | 2000-02-18 | Nippon Telegr & Teleph Corp <Ntt> | 複数のディジタル署名を一括して検証する方法及びそのための装置とその方法を記録した記録媒体 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6212637B1 (en) | 1997-07-04 | 2001-04-03 | Nippon Telegraph And Telephone Corporation | Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon |
| CN1280726A (zh) | 1997-12-05 | 2001-01-17 | 保密信息技术公司 | 优化椭圆曲线密码计算的变换方法 |
| US6778666B1 (en) | 1999-03-15 | 2004-08-17 | Lg Electronics Inc. | Cryptographic method using construction of elliptic curve cryptosystem |
| CN1633776A (zh) | 2002-04-15 | 2005-06-29 | 美国多科摩通讯研究所股份有限公司 | 利用双线性映射的签名方案 |
| WO2004021638A1 (en) | 2002-08-28 | 2004-03-11 | Docomo Communications Laboratories Usa, Inc. | Certificate-based encryption and public key infrastructure |
| JP2006500814A (ja) | 2002-09-20 | 2006-01-05 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 共通の秘密鍵を生成する方法及びシステム |
| AU2004201807A1 (en) | 2003-05-09 | 2004-11-25 | Nor Azman Bin Abu | Method and apparatus for the generation of public key based on a user-defined ID in a cryptosystem |
-
2005
- 2005-05-19 US US11/134,723 patent/US7664957B2/en active Active
- 2005-05-20 JP JP2007527505A patent/JP4785851B2/ja active Active
- 2005-05-20 WO PCT/US2005/017887 patent/WO2005114900A2/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03103961A (ja) * | 1989-09-19 | 1991-04-30 | Fujitsu Ltd | Id情報を用いたデジタル多重署名方式 |
| JPH08328472A (ja) * | 1995-05-26 | 1996-12-13 | Korea Telecommun Authority | 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 |
| JPH103257A (ja) * | 1996-06-18 | 1998-01-06 | Toshiba Corp | 電子署名付加方法及び電子署名装置並びに電子署名検証方法 |
| JP2000047582A (ja) * | 1997-07-04 | 2000-02-18 | Nippon Telegr & Teleph Corp <Ntt> | 複数のディジタル署名を一括して検証する方法及びそのための装置とその方法を記録した記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005114900A3 (en) | 2009-04-09 |
| WO2005114900A2 (en) | 2005-12-01 |
| US20050262353A1 (en) | 2005-11-24 |
| JP2008508836A (ja) | 2008-03-21 |
| US7664957B2 (en) | 2010-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4785851B2 (ja) | アイデンティティに基づくアグリゲート署名を含むデジタル署名 | |
| KR101098701B1 (ko) | 암호체계의 설계를 위한 아이소지니의 사용 | |
| Chang et al. | RKA security for identity-based signature scheme | |
| Gupta et al. | Design of lattice‐based ElGamal encryption and signature schemes using SIS problem | |
| CN112446052B (zh) | 一种适用于涉密信息系统的聚合签名方法及系统 | |
| Lu et al. | Provably secure certificateless proxy signature scheme in the standard model | |
| Dhakad et al. | EPPDP: an efficient privacy-preserving data possession with provable security in cloud storage | |
| Zhao et al. | Certificateless public auditing scheme with designated verifier and privacy-preserving property in cloud storage | |
| Tian et al. | DIVRS: Data integrity verification based on ring signature in cloud storage | |
| Rezaeibagha et al. | Secure and privacy-preserved data collection for IoT wireless sensors | |
| Shankar et al. | Improved Multisignature Scheme for Authenticity of Digital Document in Digital Forensics Using Edward-Curve Digital Signature Algorithm | |
| CN112380579A (zh) | 一种基于格的前向安全无证书数字签名方案 | |
| Li et al. | A forward-secure certificate-based signature scheme | |
| Shao et al. | Certificate‐based verifiably encrypted RSA signatures | |
| CN109787773B (zh) | 基于私钥池和Elgamal的抗量子计算签密方法和系统 | |
| Wei et al. | Ensuring file authenticity in private DFA evaluation on encrypted files in the cloud | |
| Li et al. | A verifiable multi-secret sharing scheme based on short integer solution | |
| Lu et al. | A forward-secure certificate-based signature scheme with enhanced security in the standard model | |
| Xu et al. | An Improved Identity-Based Multi-Proxy Multi-Signature Scheme. | |
| Tso et al. | Practical strong designated verifier signature schemes based on double discrete logarithms | |
| Liu et al. | An efficient and practical public key cryptosystem with CCA-security on standard model | |
| Dayong et al. | Research on Blockchain: Privacy Protection of Cryptography Blockchain-Based Applications | |
| Rasslan | A Stamped Hidden-signature Scheme Utilizing The Elliptic Curve Discrete Logarithm Problem. | |
| Asbullah et al. | A proposed CCA-secure encryption on an ElGamal variant | |
| Liu et al. | Public auditing scheme for shared data in the cloud storage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080306 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110412 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110610 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110705 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110712 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4785851 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140722 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |