JP4872908B2 - メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置 - Google Patents

メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置 Download PDF

Info

Publication number
JP4872908B2
JP4872908B2 JP2007502558A JP2007502558A JP4872908B2 JP 4872908 B2 JP4872908 B2 JP 4872908B2 JP 2007502558 A JP2007502558 A JP 2007502558A JP 2007502558 A JP2007502558 A JP 2007502558A JP 4872908 B2 JP4872908 B2 JP 4872908B2
Authority
JP
Japan
Prior art keywords
group
signature
public key
commitment
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007502558A
Other languages
English (en)
Other versions
JPWO2006085430A1 (ja
Inventor
潤 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007502558A priority Critical patent/JP4872908B2/ja
Publication of JPWO2006085430A1 publication Critical patent/JPWO2006085430A1/ja
Application granted granted Critical
Publication of JP4872908B2 publication Critical patent/JP4872908B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures

Description

本発明は、グループに所属するメンバーが、グループのメンバーであることを証明するための署名を作成し、また確認するグループ署名システムに関し、特に、双線形写像を利用するグループ署名システムに関する。
従来の双線形写像を用いたグループ署名についての技術として、Dan Boneh,
Xavier Boyen: Short Group Signature. Advances in Cryptology -- CRYPTO 2004,
Lecture Notes in Computer Science 3152, pp. 41-55, 2004, Springer.に記されているグループ署名があげられる。このグループ署名の概略を以下に記す。
グループ秘密鍵は、pをある素数として無作為に選ばれた体Z/pZの元γとする。
グループ公開鍵は、素数pと、位数pである群1と群2と群Tと、群1と群2から群Tへの双線形写像eと、群2から群1への同型写像φと、文字列を体(Z/pZ)へと写像するハッシュ関数Hashと、を記述する文字列と、群2の生成子G2と、φ(G2=G1なる群1の生成子G1と、無作為に選ばれた群1の元Hと、W=[γ]G2とする。
但し、WはG2のγ倍点である。
追跡用秘密鍵は、無作為に選ばれた体Z/pZ上の2点、ξ12とする。
追跡用の公開鍵は、[ξ1]U=[ξ2]V=Hなる群2上の2点とする。メンバ秘密鍵は、無作為に選ばれた体Z/pZ上の点、xとする。
メンバ証明書は、無作為に選ばれた体Z/pZ上の点yと、A=[1/(γ+y)]([1-x]G1)なるAとする。
以下、グループ署名装置を説明する。
グループ署名装置には、署名をするメッセージと、グループ公開鍵と、追跡用公開鍵と、メンバ秘密鍵と、メンバ証明書と、乱数とが入力される。
グループ署名装置は、入力された乱数を用いて無作為にZ/pZ上の点αとβを選び、暗号文、T1=[α]U、T2=[β]V、T3=[α+β]Hを生成する。
さらに、入力された乱数を用いて無作為にZ/pZ上の点α'とβ'とδ'1とδ'2とy'を選び、コミットメントR1=[α']U、R2=[β']V、R3=e(T3,G2)^(x')・e(H,W)^(-α'-β')・e(H,G2)^(-δ'1-δ'2)・e(H,G2)^(y')、R4=[x']T1-[\delta'1]U、R5=[x']T2-[\delta'2]Vを生成する。ここで記号「^」は冪乗剰余算を意味する。
グループ署名装置は、グループ公開鍵と、追跡用公開鍵と、メッセージと、U,V,T1,T2,T3,R1,R2,R3,R4,R5のハッシュ値を生成し、これを挑戦値cとする。
グループ署名装置は、レスポンスsα=α'+cα、sβ= β'+cβ、sx=x'+cx、sδ1=δ'1+cxα、sδ2=δ'2+cxβ、sy=y'+xyを生成する。
グループ署名は、T1,T2,T3,c,sα, sβ,sx,sδ1,sδ2,syをメッセージmに対するグループ署名として出力する。
以下、グループ署名検証装置を説明する。
グループ署名検証装置には、署名がなされたメッセージと、グループ公開鍵と、追跡用公開鍵と、が入力される。
グループ署名検証装置は、R1=[sα]U-[c]T1、R2=[sβ]V-[c]T2、R3=e(T3,G2)^(sx)・e(H,W)^(-sα-sβ)・e(H,G2)^(-sδ1-sδ2)・e(H,G2)^(sy)(e(G1,G2)/e(T3,W))^(c)、R4=[sx]T1-[sδ1]U、R5=[sx]T2-[sδ2]Uを生成し、グループ公開鍵と、追跡用公開鍵と、署名がなされたメッセージと、U,V,T1,T2,T3,R1,R2,R3,R4,R5のハッシュ値を生成し、これが挑戦値cと一致するかを確認する。一致すればグループ署名は正当、一致しなければ不当と判断する。
上述した従来の技術の第一の問題点は、グループ署名で使われている暗号文の安全性が、線形ディフィヘルマン判別問題を解くことが難しいという仮定に依拠していることである。ゆえに、グループ署名方式全体の安全性もこの仮定に基づくことになる。本仮定は、文献1の論文で初めて提案グループ署名の安全性を示すために提案された仮定であり、この問題を解く方法の考案を試みた人は少ない。そのため、近い将来解放が提案される可能性が高く、提案されたグループ署名は十分な安全性を備えていない可能性がある。
第二の問題点は、グループ署名で使われている暗号文の安全性が、線形-ディフィヘルマン判別問題を解くことが難しいという仮定に加えて、一般群模型(generic group model)に依拠していることである。一般群模型で安全性が示されていても、実際には危険な暗号方式が存在するなど、この模型を用いて安全性を示された方式の安全性は単なる予想に過ぎない。そのため、近い将来解放が提案される可能性が高く、提案されたグループ署名は十分な安全性を備えていない可能性がある。
第三の問題点は、計算量と署名のデータ量が多いという点にある。グループ署名をより使いやすいものとするためには、計算量、署名のデータ量を減らすことが望まれる。
本発明のグループ署名装置は、グループ公開鍵と、追跡用公開鍵と、メンバ証明書と、メンバ秘密鍵と、メッセージと、が入力され、前記メッセージに対するグループ署名を出力するグループ署名装置であって、
位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵と、が含まれた前記グループ公開鍵と、群Eの要素からなる前記追跡用公開鍵と、前記メンバ秘密鍵とから、前記メンバ秘密鍵から生成したメンバ証拠の一部を追跡用公開鍵により暗号化した暗号文を生成する暗号化装置を有することを特徴とする。
この場合、前記暗号文に暗号化された秘密鍵と、該秘密鍵に対する署名が入力されたデータから計算できることを証明するデータである知識の証明文を生成する知識の証明文生成装置を備え、出力する前記グループ署名が前記知識の証明文生成装置による知識の証明文を含むこととしてもよい。
また、前記知識の証明文生成装置が、
前記グループ公開鍵と、前記追跡用公開鍵と、前記メンバ秘密鍵と、前記メンバ証明書と、前記乱数と、が入力され、暗号化の乱数の知識を証明するためのデータである暗号化のコミットメントと、署名およびメンバ秘密鍵の知識を証明する為のデータであるメンバ証明書のコミットメントとを生成し、前記暗号化のコミットメントと前記メンバ証明書のコミットメントをコミットメントとして出力するるコミットメント生成装置と、
前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文と、前記コミットメントとが入力され、これらの値のハッシュ値を挑戦値として出力する挑戦値生成装置と、 前記グループ公開鍵と、前記メンバ秘密鍵と、前記メンバ証明書と、前記乱数と、前記挑戦値が入力され、暗号化のレスポンスと、メンバ証明のレスポンスとをレスポンスとして出力するレスポンス生成装置と、
から構成されることとしてもよい。
さらに、前記グループ署名が、前記暗号文と、前記コミットメントと、前記レスポンスとからなるとしてもよい。
さらに、前記グループ署名が、前記暗号文と、前記挑戦値と、前記レスポンスとからなるとしてもよい。
本発明のグループ署名検証装置は、グループ公開鍵と、追跡用公開鍵と、メッセージと、グループ署名と、が入力され、前記グループ署名が前記メッセージに対する正当なグループ署名であるかを判断して、「正当」あるいは「不当」を出力するグループ署名検証装置であって、
位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵と、が含まれたグループ公開鍵と、群Eの要素からなる追跡用公開鍵と、メンバ秘密鍵から生成されるメンバ証拠の一部を追跡用公開鍵により暗号化した暗号文を含むグループ署名が入力されると、前記グループ署名が前記メッセージに対する正当なグループ署名であるかを判断して、「正当」あるいは「不当」を出力する。
この場合、前記暗号文に暗号化されたメンバ証拠の一部を生成する為に用いた秘密鍵と、この秘密鍵に対する署名がグループ署名装置に入力されたデータとグループ署名装置に含まれるデータとから計算できることを証明するデータである知識の証明文であることを検証する知識の証明文検証装置を備え、
前記グループ署名が前記証明文検証装置により検証された知識の証明文を含むこととしてもよい。
また、前記グループ署名が、前記暗号文と、前記コミットメントと、前記レスポンスとからなり、
前記知識の証明文検証装置が、
前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文と、前記コミットメントとが入力され、これらの値のハッシュ値を挑戦値として出力する挑戦値生成装置と、
前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文と、前記コミットメントと、前記挑戦値と、前記レスポンスとが入力され、これらの入力がある式を満たすかどうかに応じて正当又は不当を出力するレスポンス検証装置と、からなり、レスポンス検証装置の出力をグループ署名検証装置の出力として出力するとしてもよい。
さらに、前記グループ署名が、前記暗号文と、前記挑戦値と、前記レスポンスとからなり、
前記知識の証明文検証装置が、
前記グループ公開鍵と、前記追跡用公開鍵と、前記レスポンスと、前記挑戦値と、が入力され、暗号化のコミットメントとメンバ証明書のコミットメントをコミットメントとして出力するコミットメント生成装置と、
前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文、前記コミットメントが入力され、これらの値のハッシュ値が前記挑戦値に一致するかどうかに応じて正当又は不当を出力するレスポンス検証装置と、からなり、
前記レスポンス検証装置の出力をグループ署名検証装置の出力として出力するとしてもよい。
本発明のグループ署名システムは、グループ公開鍵と乱数とが入力され、メンバ証明書発行装置と通信することによりメンバ証明書とメンバ秘密鍵とを出力するメンバ証明書獲得装置であって、位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵とが含まれる前記グループ公開鍵が入力されると、前記位数以下の整数を含む前記メンバ秘密鍵と、前記群Eの前記生成子に前記メンバ秘密鍵を乗じた値であるメンバ証拠と、前記群1あるいは群2の前記生成子に前記メンバ秘密鍵を乗じた値である前記群1あるいは群2の要素と、を前記メンバ証明書発行装置に送信し、その後、前記メンバ証明書発行装置より前記署名公開鍵で検証可能な、前記メンバ秘密鍵に対する署名を受信すると、該署名を前記メンバ証明書とすることを特徴とし、特に群Eが群1、群2、群T、とは異なる群で、ディフィヘルマン判別問題を解くことが困難であることを特徴とするメンバ証明書獲得装置と、
グループ公開鍵とグループ秘密鍵と乱数とが入力され、メンバ証明書獲得装置と通信することによりメンバを識別するために使うメンバ証拠を出力するメンバ証明書発行装置であって、位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵とが含まれた前記グループ公開鍵と、前記群1、前記群2、前記群Tを用いた署名方式の前記署名公開鍵に対応する署名秘密鍵と、が含まれた前記グループ秘密鍵と、が入力され、前記メンバ証明書獲得装置より前記群Eの前記生成子にメンバ秘密鍵を乗じた値であるメンバ証拠と、前記群1あるいは群2の前記生成子にメンバ秘密鍵を乗じた値である前記群1あるいは群2の要素と、受信すると、前記署名秘密鍵を用いて前記メンバ秘密鍵に対する署名を生成し、該署名を前記メンバ証明書としてメンバ証明書獲得装置に送信することを特徴とし、特に群Eが群1、群2、群Tとは異なる群で、ディフィヘルマン判別問題を解くことが困難であることを特徴とするメンバ証明書発行装置と、
上記のグループ署名装置と、
上記のグループ署名検証装置と、
グループ公開鍵と、追跡用公開鍵と、グループ署名と、追跡用秘密鍵と、が入力され、グループ署名に含まれているメンバ秘密鍵から生成されたメンバ証拠の一部の暗号文を復号してメンバ秘密鍵から一意的に決定される値であるメンバ証拠の一部を出力する追跡装置とからなるグループ署名システムであって、
前記メンバ証明書獲得装置が前記メンバ証明書発行装置と通信することでメンバ証明書とメンバ秘密鍵を獲得し、獲得した前記メンバ証明書と獲得した前記メンバ秘密鍵とメッセージとグループ公開鍵と追跡用公開鍵とを前記グループ署名装置に入力し、前記メッセージに対するグループ署名を獲得し、前記メッセージと獲得した前記グループ署名を前記グループ署名検証装置に入力し、前記獲得した前記グループ署名が前記メッセージに対する正当なグループ署名であることを検証するとともに、前記グループ署名を前記追跡装置に入力してグループ署名を生成したメンバを表すメンバ証拠を出力することを特徴とする。
本発明方式では、第一の問題点を解決するため、群1、群2、群Tの他に、双線形写像が存在しない群Tを用いて、この群上でElGamal暗号文を、上述した文献で使われた暗号文の代りに用いる。このようなElGamal暗号文の安全性は、ディフィヘルマン判別問題を解くことの難しさに依存している。この問題を解く方法は長い間研究されており、現在のところ十分に難しいと考えることは妥当である.
第二の問題点を解決するため、本発明方式では、先に述べた暗号文を、単なるElGamal暗号文ではなく、選択暗号文攻撃に対しても安全なElGamal型暗号文を用いる。
第三の問題点に関しては、上記二つの問題を解決する方法を採用したところ、本発明のグループ署名方法は、従来技術よりより効率的なものとなった。
本発明によれば、安全性の根拠が線形-ディフィヘルマン判別問題を解くことが難しいという仮定に依拠しない。また、一般群模型(generic group model)にも依拠しない。これらから、より安全なグループ署名を生成, 検証することができる。
本発明におけるグループ署名装置と、グループ署名検証装置が必要とする計算量、署名長を、従来の技術と比較してみると以下の通りとなる。
本発明では、グループ署名装置が必要とする、群Eあるいは群1,群2上でのスカラー倍、群Tでの冪乗剰余算、双線形写像の計算は、それぞれ、7,4,1個、検証装置のそれらは、6,5,2個である。また、署名長はpの長さの10倍となる。
従来方法では、グループ署名装置が必要とする、群Eあるいは群1,群2上でのスカラー倍、群Tでの冪乗剰余算、双線形写像の計算は、それぞれ、13,4,1個、検証装置のそれらは、12,5,2個である。また、署名長はpの長さの12倍となる。
以上、具体的に示したように本発明は従来の方法より効率的なものとなっている。
本発明の実施の形態1におけるメンバ証明書獲得装置の構成を示す図である。 本発明の実施の形態2におけるメンバ証明書発行装置の構成を示す図である。 本発明の実施の形態3におけるグループ署名装置の構成を示す図である。 本発明の実施の形態4におけるグループ署名装置の構成を示す図である。 本発明の実施の形態5におけるグループ署名検証装置の構成を示す図である。 本発明の実施の形態6におけるグループ署名検証装置の構成を示す図である。 本発明の実施の形態7における追跡装置の構成を示す図である。 本発明の実施の形態8におけるグループ署名システムの構成を示す図である。
符号の説明
100 メンバ証明獲得装置
101 グループ公開鍵
102 乱数
103 メンバ証拠生成装置
104 メンバ証拠
107 メンバ秘密鍵
108 コミットメント生成装置
109 コミットメント
111 チャレンジ獲得装置
112 挑戦値
113 レスポンス生成装置
114 レスポンス
116 メンバ証明書源
117 メンバ証明書源検証装置
119 メンバ証明書
200 メンバ証明書発行装置
209 グループ秘密鍵
210 メンバ秘密鍵
202 メンバ証拠獲得装置
205 チャレンジ生成装置
207 レスポンス検証装置
208 メンバ証明書源生成装置
300 グループ署名装置
301 追跡用公開鍵
302 メッセージ
303 乱数
313 グループ署名
303 群Eを用いた暗号化装置
304 メンバ証拠暗号文
306 コミットメント生成装置
307 コミットメント
308 挑戦値生成装置
309 挑戦値
310 レスポンス生成装置
311 レスポンス
312 グループ署名出力装置
500 グループ署名検証装置
502 コミットメント生成装置
503 コミットメント
504 挑戦値生成装置
505 挑戦値
506 レスポンス装置
700 追跡装置
701 追跡用秘密鍵
702 乱数
703 群Eを用いた復号装置
704 メンバ証拠の一部
704’ メンバ証拠
706 コミットメント生成装置
707 コミットメント
708 挑戦値生成装置
709 挑戦値
710 レスポンス生成装置
711 レスポンス
712 出力装置
713 復号正当性証明
本発明の一実施形態について図面を参照して詳細に説明する。
最初に前提となることを説明する。
pは素数とする。
群1と群2と群Tと群Eをそれぞれ位数p群とする。
群1と群2から群Tへの双線形写像eが存在するとする。
群Eは、素体上の乗法群や、一般の楕円曲線等でディフィヘルマン判別問題を解くことが困難な群とする。
群2から群1への同型写像φとする。
文字列を体(Z/pZ)へと写像するハッシュ関数Hashとする。
G2は群2の生成子、G1はφ(G2=G1なる群1の生成子とする。
Gは群Eの生成子とする。
H,Kを無作為に選ばれた群1の元とする。
γを無作為に選ばれた体Z/pZの元とする。
Y=[γ]G2とする。
sとtを無作為に選ばれた体Z/pZ上の2点とする。
SとTをS=[s]G,T=[t]Gとする。
グループ秘密鍵をγとする。
グループ公開鍵を、pと、群1,群2,群T,双線形写像e,同型写像φ,ハッシュ関数Hashと、を記述する文字列と、G1,G2,G,H,K,Yとする。
追跡用秘密鍵を、(s,t)とする。
追跡用の公開鍵を、(S,T)とする。
[実施の形態1]
[メンバー証明書獲得装置100]
図1は本発明によるメンバ証明書獲得装置100の構成を示すブロック図である。
メンバ証明書獲得装置100はメンバ証明書発行装置200と送受信し、グループ公開鍵101および乱数102を入力し、メンバ秘密鍵107およびメンバ証明書119を出力するもので、メンバ証拠生成装置103、コミットメント生成装置108、チャレンジ獲得装置111、レスポンス生成装置113、メンバ証明書源検証装置117から構成されている。メンバ証明書獲得装置100は、メンバ証明書発行装置200との通信の過程で、メンバ証拠104とコミットメント109とレスポンス114とをメンバ証明書発行装置200に送付し、挑戦値112とメンバ証明書源116とを受信する。
なお、メンバ証明書獲得装置100は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、メンバ証拠104、メンバ秘密鍵107、コミットメント109、挑戦値112、レスポンス114、メンバ証明書源116は記憶部内に設定される、また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の構成要件のうち、コミットメント生成装置108、コミットメント109、チャレンジ獲得装置111、挑戦値112、レスポンス生成装置113、レスポンス114により、以下に説明する手続106が行なわれる。
メンバー証明書獲得装置100には、グループ公開鍵101と乱数102とが入力される。メンバ証拠生成装置103は入力された乱数102よりメンバ秘密鍵107(xU)を体(Z/pZ)よりランダムに選び、続いて、
xUより、
QU=[xU]G
HU= [xU]H+[z'U]K
を生成する。これをメンバ証拠104と呼ばれ、(QU,HU)はメンバ証明書発行装置200に送られる。
以下の手続き106により、二式、
QU= [xU]G
HU= [xU]H+[z'U]K
を満たす(xU,z'U)の知識をメンバ証明書発行装置に対して証明する。
[手続き106始め]
コミットメント生成装置108は入力された乱数102より、x'U,z'を体(Z/pZ)よりランダムに選び、以下の内容のコミットメント109を生成し、メンバ証明書発行装置200に送る。
Q'U=[x'_U]G
H'U=[x'_U]H+[z']K
この後、メンバ証明書獲得装置100はメンバ証明書発行装置200より、体Z/pZの元である挑戦値112(cU)が送られるのを待つ。
挑戦値112(cU)を受信したならば、レスポンス生成装置113は以下のレスポンス114を計算し、メンバ証明書発行装置200に送る。
rU=cUxU+x'U
sU= cUz'U+z'
[手続き106終わり]
この後、メンバ証明書獲得装置100はメンバ証明書発行装置200より、以下の内容のメンバ証明書源116が送られてくるのを待つ。
yU∈Z/pZ,
z''U∈Z/pZ,
AU∈群1,
上の値を受信したならば、メンバ証明書源検証装置117は、
zU=z'U+z''U
を計算し、
e(AU,Y+[yU]G2)・e([xU]H,G2)・e([zU]K,G2)=e(G1,G2)
が成り立つことを確認した後に、(AU,yU,zU)をメンバ証明書119とし、xUをメンバ秘密鍵107として出力する。
[実施の形態2]
[メンバー証明書発行装置200]
図2は本発明によるメンバー証明書発行装置200の構成を示すブロック図である。
メンバ証明書発行装置200はメンバー証明書獲得装置100と送受信し、グループ公開鍵101、乱数102およびグループ秘密鍵209を入力し、メンバ証拠104を出力するもので、チャレンジ生成装置205、レスポンス検証装置207、メンバ証明書源生成装置208、メンバ証拠獲得装置202から構成されている。メンバ証明書発行装置200は、メンバ証明書獲得装置100との通信の過程で、挑戦値112とメンバ証明書源116とをメンバ証明書獲得装置100に送付し、メンバ証拠104とコミットメント109とレスポンス114とを受信する。
なお、メンバ証明書発行装置200は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、メンバ証拠104、コミットメント109、挑戦値112、レスポンス114、メンバ証明書源116は記憶部内に設定される、また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の構成要件のうち、コミットメント109、挑戦値112、レスポンス114、メンバ証明書源116、チャレンジ生成装置205、レスポンス検証装置207、メンバ証明書源生成装置208により、以下に説明する手続203が行なわれる。
メンバ証明書発行装置200には、グループ公開鍵101と、グループ秘密鍵209と、乱数201とが入力され、動作開始となると、メンバ証拠104(QU,HU)∈(群E,群1)がメンバ証明書獲得装置100より送られるのを待つ。
メンバ証拠104がメンバ証明書獲得装置100より送られてくると、手続き203により、以下の二式を満たすxU,z'Uの知識をメンバ証明書獲得装置202が保持していることを検証する。
QU=[xU]G
HU=[xU]H+[z'U]K
[手続き203始め]
チャレンジ生成装置205は、コミットメント109((Q'U,H'U)∈(群E,群1))がメンバ証明書獲得装置100より送られてくるのを待つ。
コミットメント109が送られてきたならば、チャレンジ生成装置205は、入力された乱数201より、挑戦値112(cU)を体(Z/pZ)よりランダムに選び、メンバ証明書獲得装置100に送付する。
この後、レスポンス114((rU,sU)∈(Z/pZ)2)がメンバ証明書獲得装置100より送られてくると、レスポンス検証装置207は、
[rU]G=[cU]QU+Q'U
[rU]H+[sU]K=[cU]HU+H'U
が成り立つことを確認する。
[手続き203終わり]
メンバ証明書源生成装置208は、入力された乱数より、(yU,z''U)∈(Z/pZ,Z/pZ)を選び、,AU=[1/(γ+yU)](G1-HU-[z''U]Kを生成し、(AU,yU,z''U)をメンバー証明書源116として、メンバー証明書獲得装置100に送る。
メンバ証拠104(QU)を出力する。
[実施の形態3]
[グループ署名装置300]
図3は本発明によるグループ署名装置300の構成を示すブロック図である。
グループ署名装置300は、グループ公開鍵101、メンバ秘密鍵107、メンバ証明書116、追跡用公開鍵301、メッセージ302、乱数303を入力し、グループ署名313を出力するもので、群Eを用いた暗号化装置303、メンバ証拠暗号文304、コミットメント生成装置306、コミットメント307、挑戦値生成装置308、挑戦値309、レスポンス生成装置310、レスポンス311、グループ署名出力装置312から構成されている。
なお、グループ署名装置300は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、メンバ証拠暗号文304、コミットメント307、挑戦値309、レスポンス311は記憶部内に設定される、また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の構成要件のうち、コミットメント生成装置306、コミットメント307、挑戦値生成装置308、挑戦値309、レスポンス生成装置310、レスポンス311により、知識の証明文生成装置305が構成されている。
グループ署名装置300には、グループ公開鍵101と、追跡用公開鍵301と、メンバ証明書116と、メンバ秘密鍵107と、メッセージ302(m)と、乱数303とが入力される。
群Eを用いた暗号化装置303は、体Z/pZよりq,rをランダムに選び、以下の内容の暗号文304を生成する。
B=AU+[q]K
U=[xU+r]G
V=[r]S
W=[r]T
続いて、知識の証明文生成装置305で以下の処理を行う。この処理は、(AU,yU,zU,xU,q,r)の知識の証明である。
[知識の証明文生成始め]
コミットメント生成装置306を用いて、体Z/pZよりt,u,v,w,oをランダムに選び、
X'=e(H,G2)^t・e(B,G2)^u・e(K,G2)^v・e(K,Y)^w
U'=[t+o]G
V'=[o]S
W'=[o]T
を生成し、(X',U',V',W')をコミットメント307とする。
続いて、挑戦値生成装置308を用いて、以下の内容の挑戦値309を生成する。
c=Hash(p,G_1,G_2,G_T,G,ψ,Y,S,T,H,K,B,U,V,W,X',V',W',U',m)
次に、レスポンス生成装置310を用いて、
x'=cxU+t
y'=cyU+u
z'=c(zU-qyU)+v
q'=-cq+w
r'=cr+o
を生成し、(x,y',z',q',r')をレスポンス311とする。
[知識の証明文生成終わり]
グループ署名装置300は、(B,U,V,W,c,x',y',z',q',r')をメッセージmに対するグループ署名313としてグループ署名出力装置312より出力する。
[実施の形態4]
[グループ署名装置400]
図4は本発明によるグループ署名装置400の構成を示すブロック図である。
グループ署名装置400は、図3に示したグループ署名装置300と同様の構成の装置であり、出力するグループ署名がコミットメントを含む(B,U,V,W,X',U',V',W',x',y',z',q',r')
である点のみが異なる。
[実施の形態5]
[グループ署名検証装置500]
図5は本発明によるグループ署名検証装置500の構成を示すブロック図である。
グループ署名検証装置500は、グループ公開鍵101、追跡用公開鍵301、メッセージ302、グループ署名313を入力し、正当/不当507を出力するもので、コミットメント生成装置502、コミットメント503、挑戦値生成装置504、挑戦値505、レスポンス装置506から構成されている。
なお、グループ署名検証装置500は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、コミットメント503、挑戦値505は記憶部内に設定される、また、これら以外の装置もコンピュータシステム内に仮想的に構成される。
グループ署名検証装置500には、グループ公開鍵101と、追跡用公開鍵301と、メッセージ302(m)と、グループ署名313(B,U,V,W,c,x',y',z',q',r')とが入力される。
コミットメント生成装置502は、以下の内容のコミットメント503(X',U',V',W')を生成する。
X'=e(H,G2)^(x')e(B,G2)^(y')e(K,G2)^(z')e(K,Y)^(q')(e(G1,G2)/e(B,Y))^(c)
U'=[x'+r']G-[c]U
V'=[r']S-[c]V
W'=[r']T-[c]W
挑戦値生成装置504は、以下の内容の挑戦値505を計算する。
c'=Hash(p,G_1,G_2,G_T,G,ψ,Y,S,T,H,K,B,U,V,W,X',V',W',U',m)
レスポンス装置506は、挑戦値生成装置504が生成した挑戦値c'がグループ署名に含まれるcに一致するかを確認し、一致すれば正当/不当507の出力として「正当」を出力し、一致しなければ「不当」を出力する。
[実施の形態6]
[グループ署名検証装置600]
図6は本発明によるグループ署名検証装置600の構成を示すブロック図である。
グループ署名検証装置600は、グループ公開鍵101、追跡用公開鍵301、メッセージ302、グループ署名313を入力し、正当/不当605を出力するもので、コミットメント601、挑戦値生成装置602、挑戦値603、レスポンス装置604から構成されている。コミットメント601、挑戦値生成装置602、挑戦値603、レスポンス装置604は図5に示したコミットメント503、挑戦値生成装置504、挑戦値505、レスポンス装置506と同様のものである。
グループ署名検証装置600が図5に示したグループ署名検証装置500と異なる点は、入力されるグループ署名が(B,U,V,W,X',U',V',W',x',y',z',q',r')であることと、コミットメント生成装置を用いずに、グループ署名に含まれる(X',U',V',W')をコミットメント601とすることと、レスポンス装置604が挑戦値生成装置602を用いて生成した挑戦値603(c')を用いて、
X'=e(H,G2)^(x')e(B,G2)^(y')e(K,G2)^(z')e(K,Y)^(q')(e(G1,G2)/e(B,Y))^(c')
U'=[x'+r']G-[c']U
V'=[r']S-[c']V
W'=[r']T-[c']W
が全てなり立てば、正当/不当605の出力として「正当」を出力し、一つでも成り立たなければ「不当」を出力することである。
[実施の形態7]
[追跡装置700]
図7は本発明による追跡装置700の構成を示すブロック図である。
追跡装置700は、グループ公開鍵101、追跡用公開鍵301、メッセージ302、グループ署名313、追跡用秘密鍵701、乱数702を入力し、メンバ証拠704’、復号正当性証明713を出力するもので、群Eを用いた復号装置703、メンバ証拠の一部704、コミットメント生成装置706、コミットメント707、挑戦値生成装置708、挑戦値709、レスポンス生成装置710、レスポンス711、出力装置712から構成されている。
なお、追跡装置700は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、メンバ証拠の一部704、コミットメント707、挑戦値709、レスポンス711は記憶部内に設定される、また、これら以外の装置もコンピュータシステム内に仮想的に構成される。
また、上記の構成要件のうち、コミットメント生成装置706、コミットメント707、挑戦値生成装置708、挑戦値709、レスポンス生成装置710、レスポンス711により、復号照明装置705が構成されている。
追跡装置700には、グループ公開鍵101と、追跡用公開鍵301と、追跡用秘密鍵701と、メッセージ302(m)と、グループ署名313(B,U,V,W,c,x',y',z',q',r')と、乱数702とが入力される。
群Eを用いた復号装置703は、メンバ証拠の一部の暗号文と追跡用秘密鍵701から以下の内容のメンバ証拠の一部704を生成する。
Q=U-[1/s]V
コミットメント生成装置706は、乱数702を用いて体Z/pZの元rを選び、以下の内容のコミットメント707を生成する。
V''=[r]V
G''=[r]G
挑戦値生成装置708は以下の内容の挑戦値709を生成する。
c''=Hash(p,G_1,G_2,G_T,G,ψ,Y,S,T,H,K,B,U,V,W,X',V',W',U',m,V'',G'')
レスポンス生成装置710は以下の内容のレスポンス711を生成する。
r''=c''/s+r
出力装置712は(V'',G'',r'')を復号正当性証明713とし、メンバ証拠の一部704(Q)をメンバ証拠704’として出力する。
[実施の形態8]
[グループ署名システム800]
図8は本発明によるグループ署名システム800の構成を示すブロック図である。
本実施例は、図1に示したメンバ証明書獲得装置100、図2に示したメンバ証明書発行装置200、図3に示したグループ署名装置300、図5に示したグループ署名検証装置500、図7に示した追跡装置700からなるシステムである。グループ署名装置300は図4に示したグループ署名装置400としてもよく、また、グループ署名検証装置500は図6に示したグループ署名検証装置600としてもよい。
メンバ証明書獲得装置100がメンバ証明書発行装置200と通信することで、メンバ証明書116とメンバ秘密鍵107とを獲得する。
グループ署名装置300には、メッセージ302、グループ公開鍵101、追跡用公開鍵301とともに、メンバ証明書獲得装置100が獲得したメンバ証明書116と獲得したメンバ秘密鍵107とが入力され、グループ署名装置300はメッセージ302に対するグループ署名313を出力する。
グループ署名検証装置500には、メッセージ302、グループ公開鍵101、追跡用公開鍵301、メッセージ302、グループ署名313とが入力され、グループ署名検証装置500はグループ署名313がメッセージに対する正当なグループ署名であるかを検証し、その結果を示す正当/不当605を出力する。
追跡装置700には、追跡用公開鍵301、グループ署名313、追跡用秘密鍵701が入力され、追跡装置700はグループ署名を生成したメンバを表すメンバ証拠704を出力する。

Claims (10)

  1. グループ公開鍵と、追跡用公開鍵と、メンバ証明書と、メンバ秘密鍵と、メッセージと、が入力され、前記メッセージに対するグループ署名を出力するグループ署名装置であって、
    位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵と、が含まれた前記グループ公開鍵と、群Bの要素からなる前記追跡用公開鍵と、前記メンバ秘密鍵とから、前記メンバ秘密鍵から生成したメンバ証拠の一部を追跡用公開鍵により暗号化した暗号文を生成する暗号化装置を有することを特徴とし、特に群Eが群1、群2、群Tとは異なる群で、ディフィヘルマン判別問題を解くことが困難であることを特徴とするグループ署名装置。
  2. 請求項1に記載のグループ署名装置において、
    前記暗号文に暗号化された秘密鍵と、該秘密鍵に対する署名が入力されたデータから計算できることを証明するデータである知識の証明文を生成する知識の証明文生成装置を備え、出力する前記グループ署名が前記知識の証明文生成装置による知識の証明文を含むことを特徴とするグループ署名装置。
  3. 請求項2に記載のグループ署名装置において、
    前記知識の証明文生成装置が、
    前記グループ公開鍵と、前記追跡用公開鍵と、前記メンバ秘密鍵と、前記メンバ証明書と、前記乱数と、が入力され、暗号化の乱数の知識を証明するためのデータである暗号化のコミットメントと、署名およびメンバ秘密鍵の知識を証明する為のデータであるメンバ証明書のコミットメントとを生成し、前記暗号化のコミットメントと前記メンバ証明書のコミットメントをコミットメントとして出力するコミットメント生成装置と、
    前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文と、前記コミットメントとが入力され、これらの値のハッシュ値を挑戦値として出力する挑戦値生成装置と、
    前記グループ公開鍵と、前記メンバ秘密鍵と、前記メンバ証明書と、前記乱数と、前記挑戦値が入力され、暗号化のレスポンスと、メンバ証明のレスポンスとをレスポンスとして出力するレスポンス生成装置と、
    から構成されることを特徴とするグループ署名装置。
  4. 請求項3に記載のグループ署名装置において、
    前記グループ署名が、前記暗号文と、前記コミットメントと、前記レスポンスとからなることを特徴とするグループ署名装置。
  5. 請求項3に記載のグループ署名装置において、
    前記グループ署名が、前記暗号文と、前記挑戦値と、前記レスポンスとからなることを特徴とするグループ署名装置。
  6. グループ公開鍵と、追跡用公開鍵と、メッセージと、グループ署名と、が入力され、前記グループ署名が前記メッセージに対する正当なグループ署名であるかを判断して、「正当」あるいは「不当」を出力するグループ署名検証装置であって、
    位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵と、が含まれたグループ公開鍵と、群Eの要素からなる追跡用公開健と、メンバ秘密鍵から生成されるメンバ証拠の一部を追跡用公開鍵により暗号化した暗号文を含むグループ署名が入力されると、前記グループ署名が前記メッセージに対する正当なグループ署名であるかを判断して、「正当」あるいは「不当」を出力することを特徴とし、特に群Eが群1、群2、群Tとは異なる群で、ディフィヘルマン判別問題を解くことが困難であることを特徴とするグループ署名検証装置。
  7. 請求項6に記載のグループ署名検証装置において、
    前記暗号文に暗号化されたメンバ証拠の一部を生成する為に用いた秘密鍵と、この秘密鍵に対する署名がグループ署名装置に入力されたデータとグループ署名装置に含まれるデータとから計算できることを証明するデータである知識の証明文であることを検証する知識の証明文検証装置を備え、
    前記グループ署名が前記証明文検証装置により検証された知識の証明文を含むことを特徴とするグループ署名検証装置。
  8. 請求項7に記載のグループ署名装置において、
    前記グループ署名が、前記暗号文と、前記コミットメントと、前記レスポンスとからなり、
    前記知識の証明文検証装置が、
    前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文と、前記コミットメントとが入力され、これらの値のハッシュ値を挑戦値として出力する挑戦値生成装置と、
    前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文と、前記コミットメントと、前記挑戦値と、前記レスポンスとが入力され、これらの入力がある式を満たすかどうかに応じて正当又は不当を出力するレスポンス検証装置と、からなり、レスポンス検証装置の出力をグループ署名検証装置の出力として出力することを特徴とするグループ署名検証装置。
  9. 請求項7に記載のグループ署名検証装置において、
    前記グループ署名が、前記暗号文と、前記挑戦値と、前記レスポンスとからなり、
    前記知識の証明文検証装置が、
    前記グループ公開鍵と、前記追跡用公開鍵と、前記レスポンスと、前記挑戦値と、が入力され、暗号化のコミットメントとメンバ証明書のコミットメントをコミットメントとして出力するコミットメント生成装置と、
    前記グループ公開鍵と、前記追跡用公開鍵と、前記暗号文、前記コミットメントが入力され、これらの値のハッシュ値が前記挑戦値に一致するかどうかに応じて正当又は不当を出力するレスポンス検証装置と、からなり、
    前記レスポンス検証装置の出力をグループ署名検証装置の出力として出力することを特徴とするグループ署名検証装置。
  10. グループ公開鍵と乱数とが入力され、メンバ証明書発行装置と通信することによりメンバ証明書とメンバ秘密鍵とを出力するメンバ証明書獲得装置であって、位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵とが含まれる前記グループ公開鍵が入力されると、前記位数以下の整数を含む前記メンバ秘密鍵と、前記群Eの前記生成子に前記メンバ秘密鍵を乗じた値であるメンバ証拠と、前記群1あるいは群2の前記生成子に前記メンバ秘密鍵を乗じた値である前記群1あるいは群2の要素と、を前記メンバ証明書発行装置に送信し、その後、前記メンバ証明書発行装置より前記署名公開鍵で検証可能な、前記メンバ秘密鍵に対する署名を受信すると、該署名を前記メンバ証明書とすることを特徴とし、特に群Eが群1、群2、群T、とは異なる群で、ディフィヘルマン判別問題を解くことが困難であることを特徴とするメンバ証明書獲得装置と、
    グループ公開鍵とグループ秘密鍵と乱数とが入力され、メンバ証明書獲得装置と通信することによりメンバを識別するために使うメンバ証拠を出力するメンバ証明書発行装置であって、位数が同じである群1、群2、群T、群Eの4個の群に対する記述と、群1と群2から群Tへの双線形写像の記述と、群1、群2、群T、群Eの各生成子と、前記群1、前記群2、前記群Tを用いた署名方式の署名公開鍵とが含まれた前記グループ公開鍵と、前記群1、前記群2、前記群Tを用いた署名方式の前記署名公開鍵に対応する署名秘密鍵と、が含まれた前記グループ秘密鍵と、が入力され、前記メンバ証明書獲得装置より前記群Eの前記生成子にメンバ秘密鍵を乗じた値であるメンバ証拠と、前記群1あるいは群2の前記生成子にメンバ秘密鍵を乗じた値である前記群1あるいは群2の要素と、受信すると、前記署名秘密鍵を用いて前記メンバ秘密鍵に対する署名を生成し、該署名を前記メンバ証明書としてメンバ証明書獲得装置に送信することを特徴とし、特に群Eが群1、群2、群Tとは異なる群で、ディフィヘルマン判別問題を解くことが困難であることを特徴とするメンバ証明書発行装置と、
    請求項1に記載のグループ署名装置と、
    請求項6に記載のグループ署名検証装置と、
    グループ公開鍵と、追跡用公開鍵と、グループ署名と、追跡用秘密鍵と、が入力され、グループ署名に含まれているメンバ秘密鍵から生成されたメンバ証拠の一部の暗号文を復号してメンバ秘密鍵から一意的に決定される値であるメンバ証拠の一部を出力する追跡装置とからなるグループ署名システムであって、
    前記メンバ証明書獲得装置が前記メンバ証明書発行装置と通信することでメンバ証明書とメンバ秘密鍵を獲得し、獲得した前記メンバ証明書と獲得した前記メンバ秘密鍵とメッセージとグループ公開鍵と追跡用公開鍵とを前記グループ署名装置に入力し、前記メッセージに対するグループ署名を獲得し、前記メッセージと獲得した前記グループ署名を前記グループ署名検証装置に入力し、前記獲得した前記グループ署名が前記メッセージに対する正当なグループ署名であることを検証するとともに、前記グループ署名を前記追跡装置に入力してグループ署名を生成したメンバを表すメンバ証拠を出力することを特徴とするグループ署名システム。
JP2007502558A 2005-02-10 2006-01-16 メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置 Active JP4872908B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007502558A JP4872908B2 (ja) 2005-02-10 2006-01-16 メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2005034961 2005-02-10
JP2005034961 2005-02-10
PCT/JP2006/300428 WO2006085430A1 (ja) 2005-02-10 2006-01-16 メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置
JP2007502558A JP4872908B2 (ja) 2005-02-10 2006-01-16 メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置

Publications (2)

Publication Number Publication Date
JPWO2006085430A1 JPWO2006085430A1 (ja) 2008-08-07
JP4872908B2 true JP4872908B2 (ja) 2012-02-08

Family

ID=36793008

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007502558A Active JP4872908B2 (ja) 2005-02-10 2006-01-16 メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置

Country Status (4)

Country Link
US (1) US8074067B2 (ja)
EP (1) EP1848143A4 (ja)
JP (1) JP4872908B2 (ja)
WO (1) WO2006085430A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4771053B2 (ja) * 2005-05-27 2011-09-14 日本電気株式会社 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
JP2007004461A (ja) * 2005-06-23 2007-01-11 Nec Corp サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム
CN101689993B (zh) * 2007-07-11 2013-02-27 株式会社东芝 组署名系统、装置和方法
JP5287727B2 (ja) * 2007-11-21 2013-09-11 日本電気株式会社 情報通信システム、オーガニゼーション装置およびユーザ装置
CN100581169C (zh) * 2008-08-21 2010-01-13 西安西电捷通无线网络通信有限公司 一种基于单播会话密钥的组播密钥分发方法及其更新方法
EP2384562B1 (en) * 2009-01-31 2013-07-17 International Business Machines Corporation Management of cryptographic credentials in data processing systems
JP2012516604A (ja) * 2009-01-31 2012-07-19 インターナショナル・ビジネス・マシーンズ・コーポレーション データ処理システム内でデータ項目の集合を示す暗号アキュムレータを提供するための方法、装置、コンピュータ・プログラム、およびデータ処理システム(データ処理システム内のデータ項目の検証)
JP5532048B2 (ja) * 2009-07-13 2014-06-25 日本電気株式会社 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム
US8499158B2 (en) * 2009-12-18 2013-07-30 Electronics And Telecommunications Research Institute Anonymous authentication service method for providing local linkability
FR3003713B1 (fr) * 2013-03-25 2016-10-07 Morpho Signature de groupe utilisant un pseudonyme
EP2846492A1 (en) * 2013-09-05 2015-03-11 Thomson Licensing Cryptographic group signature methods and devices
US9590956B1 (en) 2015-12-18 2017-03-07 Wickr Inc. Decentralized authoritative messaging

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004228958A (ja) * 2003-01-23 2004-08-12 Nec Corp 署名方法および署名プログラム

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE492088T1 (de) * 1995-06-05 2011-01-15 Cqrcert Llc Verfahren und einrichtung zur digitalen unterschrift in mehreren schritten
JPH096236A (ja) 1995-06-26 1997-01-10 Nippon Telegr & Teleph Corp <Ntt> 公開鍵暗号の鍵生成・証明書発行方法及びそのシステム
US5901229A (en) * 1995-11-06 1999-05-04 Nippon Telegraph And Telephone Corp. Electronic cash implementing method using a trustee
WO1998033159A1 (fr) * 1997-01-28 1998-07-30 Matsushita Electric Industrial Co., Ltd. Dispositif d'identification du type a reproduction de message
JPH1115373A (ja) * 1997-06-20 1999-01-22 Fuji Xerox Co Ltd 公開鍵暗号方式
JP3622433B2 (ja) * 1997-08-05 2005-02-23 富士ゼロックス株式会社 アクセス資格認証装置および方法
CA2237678C (en) 1998-05-14 2003-08-05 Ibm Canada Limited-Ibm Canada Limitee Secure flexible electronic submission acceptance system
JP2000124887A (ja) * 1998-10-14 2000-04-28 Fuji Xerox Co Ltd グループ単位の暗号化・復号方法および署名方法ならびに装置
JP2000148012A (ja) 1998-11-12 2000-05-26 Fuji Xerox Co Ltd 認証装置および方法
US6446205B1 (en) 1998-12-10 2002-09-03 Citibank, N.A. Cryptosystems with elliptic curves chosen by users
JP2001166687A (ja) 1999-09-29 2001-06-22 Hitachi Software Eng Co Ltd グループ署名生成方法及びシステム
EP1801143B1 (en) 2000-06-26 2009-03-11 Agfa-Gevaert Redispersible latex comprising a polythiophene
JP2002207694A (ja) 2001-01-05 2002-07-26 Nec Corp 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体
US7093133B2 (en) * 2001-12-20 2006-08-15 Hewlett-Packard Development Company, L.P. Group signature generation system using multiple primes
US7543139B2 (en) * 2001-12-21 2009-06-02 International Business Machines Corporation Revocation of anonymous certificates, credentials, and access rights
FR2834403B1 (fr) * 2001-12-27 2004-02-06 France Telecom Systeme cryptographique de signature de groupe
FR2834598B1 (fr) * 2002-01-04 2004-02-20 France Telecom Procede et dispositif de signature anonyme au moyen d'une cle privee partagee
JP2003298576A (ja) 2002-03-29 2003-10-17 Fuji Xerox Co Ltd グループ署名装置および方法
CN1633776A (zh) * 2002-04-15 2005-06-29 美国多科摩通讯研究所股份有限公司 利用双线性映射的签名方案
KR100453113B1 (ko) 2002-08-12 2004-10-15 학교법인 한국정보통신학원 결정적 디피-헬만군에서id에 기반한 디지털 서명 및 그인증 방법
JP2004221800A (ja) 2003-01-14 2004-08-05 Sony Corp 暗号処理システムにおける不正エンティティ追跡方法、暗号処理システム、および不正エンティティ追跡処理装置、並びにコンピュータ・プログラム
JP2004320562A (ja) 2003-04-17 2004-11-11 Toshiba Corp 匿名認証システム、装置及びプログラム
JP4648684B2 (ja) 2003-11-28 2011-03-09 ダイセル化学工業株式会社 分散体及び着色された有機固体粒子の製造方法
US7590236B1 (en) * 2004-06-04 2009-09-15 Voltage Security, Inc. Identity-based-encryption system
WO2007001329A2 (en) * 2004-07-29 2007-01-04 Infoassure, Inc. Cryptographic key management
JP4546231B2 (ja) * 2004-12-09 2010-09-15 株式会社日立製作所 Idベース署名及び暗号化システムおよび方法
DE102005016727A1 (de) 2005-04-11 2006-10-26 H.C. Starck Gmbh Elektrolytkondensatoren mit polymerer Außenschicht und Verfahren zu ihrer Herstellung

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004228958A (ja) * 2003-01-23 2004-08-12 Nec Corp 署名方法および署名プログラム

Also Published As

Publication number Publication date
US8074067B2 (en) 2011-12-06
EP1848143A4 (en) 2010-04-14
US20090074188A1 (en) 2009-03-19
WO2006085430A1 (ja) 2006-08-17
EP1848143A1 (en) 2007-10-24
JPWO2006085430A1 (ja) 2008-08-07

Similar Documents

Publication Publication Date Title
JP4872908B2 (ja) メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
US9509492B2 (en) Authentication device, output device, verification device and input device
EP3681093B1 (en) Secure implicit certificate chaining
EP1687931B1 (en) Method and apparatus for verifiable generation of public keys
JP4776906B2 (ja) 署名生成方法及び情報処理装置
JP4546231B2 (ja) Idベース署名及び暗号化システムおよび方法
JP4899867B2 (ja) グループ署名方式
US9698984B2 (en) Re-encrypted data verification program, re-encryption apparatus and re-encryption system
EP2533460A1 (en) Digital signatures with implicit certificate chains
JP2001513227A (ja) ネットワーク環境における秘密最新乱数の管理および使用
WO2007074836A1 (ja) 署名生成装置、署名生成方法及び署名生成プログラム
JP2004208263A (ja) バイリニアペアリングを用いた個人識別情報に基づくブラインド署名装置及び方法
JP4250429B2 (ja) 連鎖型署名作成装置、及びその制御方法
WO2008026345A1 (fr) Système de signature électronique et procédé de vérification de signature électronique
JP5327223B2 (ja) 署名システム
WO2006092909A1 (ja) シャッフル復号正当性証明装置と方法、シャッフル復号検証装置と方法、プログラムと記録媒体
JP5434925B2 (ja) 多者分散乗算装置、多者分散乗算システム及び方法
KR20010000738A (ko) 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
WO2010013571A2 (ja) グループ署名システム及び方法
CN112733176B (zh) 基于全域哈希的标识密码加密方法
Kwon Virtual software tokens-a practical way to secure PKI roaming
Modares et al. Make a Secure Connection Using Elliptic Curve Digital Signature
JP5101535B2 (ja) 認証方法、認証システム、プログラムおよび共有鍵生成方法
JP4861134B2 (ja) 公開鍵暗号方法、暗号化装置、復号化装置、公開鍵暗号システム、プログラムおよび記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111025

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111107

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141202

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4872908

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150