JP5325126B2 - 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム - Google Patents
署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム Download PDFInfo
- Publication number
- JP5325126B2 JP5325126B2 JP2010004553A JP2010004553A JP5325126B2 JP 5325126 B2 JP5325126 B2 JP 5325126B2 JP 2010004553 A JP2010004553 A JP 2010004553A JP 2010004553 A JP2010004553 A JP 2010004553A JP 5325126 B2 JP5325126 B2 JP 5325126B2
- Authority
- JP
- Japan
- Prior art keywords
- cyclic group
- integer
- signature
- message
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
まず、実施形態で使用する記号・用語を定義する。
α∈Uβ:βからランダムにαを選ぶことを示す。
α←β:αにβを代入することを示す。
p:pは大きい素数である。
g2:g2は巡回群G2の生成元である。
Zp:Zpはpによる剰余類の加群(Z/pZ)である。実装時には、例えば、Zpの代表元からなる加群を用いる。代表元の一例は、0以上p-1以下の整数からなる集合である。
e:eは巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像(bilinear map)である。非退化双線形写像eは、例えば、
e:G1×G2→GT …(1)
として演算が行われていてもよいし、
e:G2×G1→GT …(2)
として演算が行われてもよい。
[双線形性]すべてのΓ1∈G1,Γ2∈G2及びν,κ∈Zpについて以下の関係を満たす。
e(ν・Γ1,κ・Γ2)=e(Γ1,Γ2)ν・κ …(3)
[非退化性]すべてのΓ1∈G1,Γ2∈G2を巡回群GTの単位元に写す関数ではない。
[計算可能性]あらゆるΓ1∈G1,Γ2∈G2についてe(Γ1,Γ2)を効率的に計算するアルゴリズムが存在する。
[双線形性]すべてのΓ2∈G2,Γ1∈G1及びν,κ∈Zpについて以下の関係を満たす。
e(ν・Γ2,κ・Γ1)=e(Γ2,Γ1)ν・κ …(4)
[非退化性]すべてのΓ1∈G1,Γ2∈G2を巡回群GTの単位元に写す関数ではない。
[計算可能性]あらゆるΓ1∈G1,Γ2∈G2についてe(Γ1,Γ2)を効率的に計算するアルゴリズムが存在する。
e(Γ1,Γ2)=e(Γ2,Γ1) …(5)
を満たす非退化双線形写像e(非退化対称双線形写像)が用いられてもよいし、
e(Γ1,Γ2)=e(Γ2,Γ1)-1 …(6)
を満たす非退化双線形写像e(非退化反対称双線形写像)が用いられてもよい。
H:{0,1}*→G1 …(7)
である。このような擬似的なランダム関数Hは、SHA-1などの公知のハッシュ関数を用いて容易に構成できる。
H' :{0,1}*→Zp …(8)
H'':{0,1}*→Zp …(9)
である。このような擬似的なランダム関数H',H''は、SHA-1などの公知のハッシュ関数を用いて容易に構成できる。また、擬似的なランダム関数H, H',H''は互いに独立である。
n,i,j: nは集合Lの各要素である(∀n∈L)。iは集合Lの何れかの要素である(i∈L)であり、真の署名者である構成員に対応する情報である。また、jはiを除く集合Lの各要素である(j∈L(j≠i))。
x(n): x(n)∈Zp(n∈L)は、要素n∈Lにそれぞれ対応する秘密鍵である。
y(n): y(n)=g2 x(n)∈G2 (n∈L)は、要素n∈Lにそれぞれ対応する公開鍵である。
まず、本発明の第1実施形態を説明する。
図1は、第1実施形態の匿名署名システム1の全体構成を説明するためのブロック図である。
図2は、第1実施形態の再リンク鍵生成装置12−iの機能構成を説明するための図である。
図2に例示するように、本形態の再リンク鍵生成装置12−iは、記憶部121−iと、制御部122−iと、巡回群演算部123−iと、再リンク鍵生成部124−iと、入力部125−iと、出力部126−iとを有する。
図3は、第1実施形態の署名生成装置13の機能構成を説明するための図である。
図3に例示するように、本形態の署名生成装置13は、記憶部131と、制御部132aと、任意値出力部132cと、巡回群演算部132b,132d〜132g,132iと、差分情報生成部132hと、入力部133と、出力部134とを有する。
図4は、第1実施形態の署名検証装置14の機能構成を説明するための図である。
図4に例示するように、本形態の署名検証装置14は、記憶部141と、制御部142と、巡回群演算部143,144と、判定部145と、入力部146とを有する。
匿名署名システム1でセキュリティパラメータkが定められ、セキュリティパラメータkに応じたシステムパラメータ
ρ=(p,G1,G2,GT,e,g2,H,H')
が定められる。なお、G1=G2の場合には、G1,G2の何れか一方を省略したシステムパラメータρであってもよい。システムパラメータρは、匿名署名システム1を構成するすべての装置に配布され、各装置で同じシステムパラメータρが利用される。
また、各再リンク鍵生成装置12−i(図2)の記憶部121−iには、その再リンク鍵生成装置12−iに対応する匿名署名グループの構成員に対応する情報iが格納される。
鍵生成装置11は、各再リンク鍵生成装置12−i(i∈{1,...,I})に対応する秘密鍵
x(i)∈UZp …(10)
と公開鍵
y(i)←g2 x(i)∈GG2 …(11)
とが生成される。
秘密鍵x(i)は、それぞれに対応する再リンク鍵生成装置12−iに配布される。秘密鍵x(i)は秘密情報であり、それに対応する再リンク鍵生成装置12−i(図2)の記憶部121−iに安全に格納される。一方、公開鍵y(i)は公開情報であり、必要に応じて署名生成装置13や署名検証装置14に配布される。
図5は、第1実施形態の再リンク鍵生成処理を説明するためのフローチャートである。
本形態の再リンク鍵生成処理では、まず、匿名署名グループのいずれかの構成員(真の署名者)が、何れかの再リンク鍵生成装置12−i(図2)の入力部125−iに署名対象のメッセージm∈{0,1}*を入力する。入力部125−iに入力されたメッセージmは、記憶部121−iに格納される(ステップS111)。
h=H(m)∈G1 …(12)
を生成し、記憶部121−iに格納する(ステップS112)。
r=hx(i)∈G1 …(13)
を生成し、記憶部121−iに格納する(ステップS113)。
図6は、第1実施形態の署名生成処理を説明するためのフローチャートである。
署名生成処理では、まず、何れかの再リンク鍵生成装置12−iから送られた再リンク鍵r=hx(i)∈G1とメッセージmと情報iとが、署名生成装置13(図3)の入力部133に入力(受信)され、記憶部131に格納される。また、選択された匿名署名グループの構成員の集合Lと、∀n∈Lに対応する公開鍵y(n)の集合
yL={y(n)}n∈L …(14)
とが入力部133に入力され、記憶部131に格納される。なお、集合Lは、例えば、署名生成装置13の利用者によって選択され、入力されたものである。また、公開鍵y(n)の集合yLは、前述の鍵生成装置11からネットワーク経由で送信されたものである。
i∈L …(15)
を満たすか否かを判定する(ステップS122)。i∈Lを満たさないと判定された場合、制御部132aは署名生成処理を拒絶し(ステップS123)、処理を終了する。一方、i∈Lを満たすと判定された場合、次に、巡回群演算部132bにメッセージmが読込まれ、巡回群演算部132bが、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成する。本形態では、巡回群演算部132bが、メッセージmに擬似的なランダム関数Hを作用させた巡回群G1の元
h=H(m)∈G1 …(16)
を生成して記憶部131に格納する(ステップS124)。
t∈UZp …(17)
を出力し、記憶部131に格納する(ステップS125)。
a(i)=e1 t∈GT …(18)
を生成して記憶部131に格納する。本形態の場合、巡回群演算部132dは、
a(i)←e(h,g2)t∈GT …(19)
の演算によって巡回群GTの元a(i)を生成する(ステップS126)。
c(j)∈UZp …(20)
を出力し、記憶部131に格納する(ステップS127)。
z(j)∈UG1 …(21)
を出力し、記憶部131に格納する(ステップS128)。
a(j)=e2・e3 c(j)∈GT …(22)
をj∈L(j≠i)について生成し、記憶部131に格納する。本形態の場合、巡回群演算部132gは、
a(j)←e(z(j),g2)・e(h,y(j))c(j)∈GT …(23)
の演算によって、巡回群GTの元a(j)をj∈L(j≠i)について生成する(ステップS129)。
c(i)=w-Σc(j) …(24)
をj∈L(j≠i)について生成し、記憶部131に格納する。本形態では、システムパラメータρと集合Lとメッセージmと集合yLと集合aLとのビット結合値に、擬似的なランダム関数H'を作用させた結果
H'(ρ,L,m,yL,aL) …(25)
をwとしてc(i)を生成する。なお、Σc(j)は、iを除く集合Lの要素jに対応するc(j)の総和を意味する(ステップS130)。
z(i)=ht・r-c(i)∈G1 …(26)
を生成して記憶部131に格納する(ステップS131)。
σ=(cL,zL) …(27)
とメッセージmと集合Lとを出力する(ステップS132)。出力された署名σとメッセージmと集合Lとは、例えば、ネットワーク経由で署名検証装置14に送信される。
図7は、第1実施形態の署名検証処理を説明するためのフローチャートである。
まず、署名検証装置14(図4)の入力部146に、署名σとメッセージmと集合Lとが入力され、記憶部141に格納される。また、鍵生成装置11から配送された公開鍵y(n)の集合yLが入力部146に入力され、記憶部141に格納される(ステップS141)。
h=H(m)∈G1 …(28)
を生成して記憶部141に格納する(ステップS142)。
a(n)=e4・e5 c(n)∈GT …(29)
を各n∈Lについて生成して記憶部141に格納する。本形態では、巡回群演算部144が、
a(n)←e(z(n),g2)・e(h,y(n))c(n)∈GT …(30)
の演算によって、各n∈Lに対応する巡回群GTの元a(n)を生成する(ステップS143)。
H'(ρ,L,m,yL,aL) …(31)
をwとし、
H'(ρ,L,m,yL,aL)=Σc(n) …(32)
を満たすか否かを判定する(ステップS144)。ここで、判定部145が一致すると判定された場合、判定部145は署名が合格である旨の情報を出力し(ステップS145)、判定部145が一致しないと判定した場合、判定部145は署名が不合格である旨の情報を出力する(ステップS146)。
以上のように、本形態では、再リンク鍵生成装置12−iが、メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成し、巡回群G1の元である再リンク鍵r=hx(i)∈G1を生成した。当該再リンク鍵rはメッセージmごとに対応する。よって、再リンク鍵rが悪用された場合であっても、署名者の匿名性が失われる(iが知られる)可能性がある範囲を、メッセージmに対する署名σの範囲に限定できる。これにより、再リンク鍵rが悪用された場合であっても、その再リンク鍵rに対応する署名者の匿名性が失われることを抑制できる。
w=H'(aL) …(33)
w=H'(L,yL,aL) …(34)
w=H'(L,m,yL,aL) …(35)
w=H'(m,aL) …(36)
w=H'(aL,Add) …(37)
w=H'(ρ,L,m,yL,aL,Add) …(38)
また、本形態では、ネットワーク経由で、装置間の情報のやり取りを行う例を示したが、本発明はこれに限定されない。例えば、可搬型記録媒体などを介して装置間で情報のやり取りが行われる形態であってもよい。
次に本発明の第2実施形態を説明する。
図8は、第2実施形態の匿名署名システム2の全体構成を説明するためのブロック図である。
図8に例示するように、匿名署名システム2は、鍵生成装置11と、I(Iは1以上の整数)個の再リンク鍵生成装置22−i(i∈{1,...,I})と、署名生成装置23と、署名検証装置24とを有し、これらはネットワークを通じて通信可能に構成されている。なお、鍵生成装置11の構成は第1実施形態と同じである。また、各装置の数は図8に例示するものに限定されず、鍵生成装置11や署名生成装置23や署名検証装置24が2以上存在してもよい。また、図8に例示した複数の装置の機能を1つの装置に持たせた構成であってもよいし、図8に例示した1つの装置の構成を複数の装置に分散処理させる構成であってもよい。
図9は、第2実施形態の再リンク鍵生成装置22−iの機能構成を説明するための図である。
図9に例示するように、本形態の再リンク鍵生成装置22−iは、記憶部221−iと、制御部222−iと、任意値出力部223−iと、巡回群演算部224−iと、関数演算部225−iと、演算部226−iと、再リンク鍵生成部227−iと、入力部228−iと、出力部229−iとを有する。
図10は、第2実施形態の署名生成装置23の機能構成を説明するための図である。
図10に例示するように、本形態の署名生成装置23は、記憶部231と、制御部232aと、分離部232bと、関数演算部232cと、任意値出力部232dと、巡回群演算部232e〜232gと、差分情報生成部232hと、演算部232iと、入力部233と、出力部234とを有する。署名生成装置23は、第1実施形態と同様、例えば、CPU、RAM、磁気記録装置、通信装置等を備える公知のコンピュータ又は専用のコンピュータに所定のプログラムが読み込まれて実行されることで構成される。また、署名生成装置13は、制御部132aの制御のもと各処理を実行する。
図11は、第2実施形態の署名検証装置24の機能構成を説明するための図である。
図11に例示するように、本形態の署名検証装置24は、記憶部241と、制御部242と、分離部243と、関数演算部244と、巡回群演算部245と、判定部246と、入力部247とを有する。
匿名署名システム2でセキュリティパラメータkが定められ、セキュリティパラメータkに応じたシステムパラメータ
ρ'=(p,G,g,H',H'')
が定められる。システムパラメータρ'は、匿名署名システム2を構成するすべての装置に配布され、各装置で同じシステムパラメータρ'が利用される。
また、各再リンク鍵生成装置22−i(図9)の記憶部221−iには、その再リンク鍵生成装置22−iに対応する匿名署名グループの構成員に対応する情報iが格納される。
第1実施形態と同じである。
図12は、第2実施形態の再リンク鍵生成処理を説明するためのフローチャートである。
t∈UZp …(39)
を出力し、記憶部221−iに格納する(ステップS212)。
T=gt∈G …(40)
を生成し、記憶部221−iに格納する(ステップS213)。
c←H''(T,m)∈Zp …(41)
の演算によって値cを生成する(ステップS214)。なお、(T,m)はTとmとのビット結合値である。
z=t+x(i)・c∈Zp …(42)
を生成し、記憶部221−iに格納する(ステップS215)。
r=(T, z)∈G×Zp …(43)
を生成し、記憶部221−iに格納する(ステップS216)。
図13は、第2実施形態の署名生成処理を説明するためのフローチャートである。
署名生成処理では、まず、何れかの再リンク鍵生成装置22−iから送られた再リンク鍵rとメッセージmと情報iとが、署名生成装置23(図10)の入力部233に入力(受信)され、記憶部231に格納される。また、選択された匿名署名グループの構成員の集合Lと、∀n∈Lに対応する公開鍵y(n)の集合
yL={y(n)}n∈L …(44)
とが入力部233に入力され、記憶部231に格納される。なお、集合Lは、例えば、署名生成装置23の利用者によって選択され、入力されたものである。また、公開鍵y(n)の集合yLは、前述の鍵生成装置11からネットワーク経由で送信されたものである。
i∈L …(45)
を満たすか否かを判定する(ステップS222)。i∈Lを満たさないと判定された場合、制御部232aは署名生成処理を拒絶し(ステップS223)、処理を終了する。一方、i∈Lを満たすと判定された場合、分離部232bに再リンク鍵rが読込まれる。分離部232bは、再リンク鍵rを分解し、
(T, z)←r∈G×Zp …(46)
を生成する(ステップS224)。
c=H''(T,m)∈Zp …(47)
を生成する(ステップS225)。
t(i)∈UZp …(48)
をi∈Lについて出力し、記憶部231に格納する(ステップS226)。
T(i)=gt(i)∈G …(49)
を生成し、記憶部231に格納する(ステップS227)。
c(j)∈UZp …(50)
z(j)∈UZp …(51)
をj∈L(j≠i)について出力し、記憶部231に格納する(ステップS228)。
T(j)=gz(j)・(T・y(j)c)c(j)∈G …(52)
をj∈L(j≠i)について生成し、記憶部231に格納する(ステップS229)。
c(i)=w'-Σc(j)(j∈L(j≠i)) …(53)
を生成し、記憶部231に格納する。本形態では、元Tと集合TLとメッセージmと集合yLとのビット結合値に、擬似的なランダム関数H'を作用させた結果
H'(T,TL,m,yL) …(54)
をw'として値c(i)を生成する(ステップS230)。
z(i)=t(i)-z・c(i)∈Zp …(55)
を生成し、記憶部231に格納する(ステップS231)。
図14は、第2実施形態の署名検証処理を説明するためのフローチャートである。
まず、署名検証装置24(図11)の入力部247に、署名σとメッセージmと集合Lとが入力され、記憶部241に格納される。また、鍵生成装置11から配送された公開鍵y(n)の集合yLが入力部247に入力され、記憶部241に格納される(ステップS241)。
(T, cL, zL)←σ …(56)
を生成し、これらを記憶部241に格納する(ステップS242)。
c←H''(T,m)∈Zp …(57)
の演算によって値cを生成する(ステップS243)。
T(n)=gz(n)(T・y(n)c)c(n)∈G …(58)
を各n∈Lについて生成し、記憶部241に格納する(ステップS244)。
H'(T,TL,m,yL) …(59)
をw'とし、
H'(T,TL,m,yL)=Σc(n) …(60)
を満たすか否かを判定する(ステップS245)。ここで、判定部246が一致すると判定された場合、判定部246は署名が合格である旨の情報を出力し(ステップS246)、判定部246が一致しないと判定した場合、判定部246は署名が不合格である旨の情報を出力する(ステップS247)。
以上のように、本形態では、任意値tを生成し、巡回群Gの元T=gt∈Gを生成し、元Tとメッセージmとを含む情報に対して定まる整数cを生成し、z=t+x(i)・cを生成し、現元T∈Gと整数zとを含む再リンク鍵r=(T, z)を生成した。この再リンク鍵r=(T, z)は、メッセージmごとに対応する。よって、再リンク鍵rが悪用された場合であっても、署名者の匿名性が失われる(iが知られる)可能性がある範囲を、メッセージmに対する署名σの範囲に限定できる。これにより、再リンク鍵rが悪用された場合であっても、その再リンク鍵rに対応する署名者の匿名性が失われることを抑制できる。
w=H'(T,TL) …(61)
w=H'(T,TL,yL) …(62)
w=H'(T,TL,m) …(63)
w=H'(T,TL,Add) …(64)
w=H'(T,TL,m,yL,Add) …(65)
また、本形態では、ネットワーク経由で、装置間の情報のやり取りを行う例を示したが、本発明はこれに限定されない。例えば、可搬型記録媒体などを介して装置間で情報のやり取りが行われる形態であってもよい。
本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
12−i,22−i 再リンク鍵生成装置
13,23 署名生成装置
14,24 署名検証装置
Claims (17)
- G1,G2,GTを巡回群とし、eを巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像とし、g2∈G2を巡回群G2の生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、iを除く前記集合Lの各要素をj∈L(j≠i)とし、x(n)(n∈L)を前記要素n∈Lにそれぞれ対応する整数の秘密鍵とし、巡回群G2の元y(n)=g2 x(n)∈G2(n∈L)を前記要素n∈Lにそれぞれ対応する公開鍵とした場合における、
メッセージmを含む情報に対して定まる前記巡回群G1の元h∈G1と、当該メッセージmに対応する巡回群G1の元である再リンク鍵r=hx(i)∈G1と、前記公開鍵y(n)∈G2(n∈L)の集合とを格納する記憶部と、
前記元h∈G1と前記生成元g2∈G2との組に前記非退化双線形写像eを作用させた結果をe1とし、tを任意の整数とした場合における、巡回群GTの元a(i)=e1 t∈GTを生成する第1巡回群演算部と、
巡回群G1の任意の元z(j)∈G1(j∈L(j≠i))と前記生成元g2∈G2との組に前記非退化双線形写像eを作用させた結果をe2とし、前記元h∈G1と公開鍵y(j)∈G2(j∈L(j≠i))とに前記非退化双線形写像eを作用させた結果をe3とし、c(j)(j∈L(j≠i))を任意の整数とした場合における、巡回群GTの元a(j)=e2・e3 c(j)∈GT(j∈L(j≠i))を生成する第2巡回群演算部と、
前記元a(i)∈GTと前記元a(j)∈GT(j∈L(j≠i))とからなる集合aLを含む情報に対して定まる整数wと、前記整数c(j)(j∈L(j≠i))の総和Σc(j)とを用い、整数c(i)=w-Σc(j)(j∈L(j≠i))を生成する差分情報生成部と、
前記元h∈G1と前記再リンク鍵r∈G1と前記整数tと前記整数c(i)とを用い、巡回群G1の元z(i)=ht・r-c(i)∈G1を生成する第3巡回群演算部と、
前記整数c(j)(j∈L(j≠i))と前記整数c(i)とからなる集合cLと、前記元z(j)∈G1(j∈L(j≠i))と前記元z(i)∈G1とからなる集合zLとを含む、署名σ=(cL,zL)を出力する出力部と、
を有する署名生成装置。 - 請求項1の署名生成装置であって、
前記元h∈G1は、前記メッセージmを含む情報の擬似的なランダム関数値である、
ことを特徴とする署名生成装置。 - 請求項1又は2の署名生成装置であって、
前記メッセージmを含む情報は、前記メッセージmであるか、又は、前記要素i∈Lに対応しない情報と前記メッセージmとからなる情報である、
ことを特徴とする署名生成装置。 - 請求項1から3の何れかの署名生成装置であって、
前記集合aLを含む情報は、さらに、前記集合Lと、前記公開鍵y(n)∈G2(n∈L)の集合と、を含む情報である、
ことを特徴とする署名生成装置。 - 請求項1から4の何れかの署名生成装置であって、
前記集合aLを含む情報は、さらに、前記メッセージmを含む情報である、
ことを特徴とする署名生成装置。 - G1,G2,GTを巡回群とし、eを巡回群G1,G2の元の組を巡回群GTの元に写す非退化双線形写像とし、g2∈G2を巡回群G2の生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、y(n)∈G2(n∈L)を前記要素nにそれぞれ対応する公開鍵とした場合における、
前記公開鍵y(n)∈G2(n∈L)の集合と、整数c(n)(n∈L)からなる集合cL及び巡回群G1の元z(n)∈G1(n∈L)からなる集合zLを含む署名σ=(cL,zL)と、メッセージmとを格納する記憶部と、
前記元z(n)∈G1(n∈L)と前記生成元g2∈G2との組に前記非退化双線形写像eを作用させた結果をe4とし、前記メッセージmを含む情報に対して定まる巡回群G1の元h∈G1と前記公開鍵y(n)∈G2(n∈L)との組に前記非退化双線形写像eを作用させた結果をe5とした場合における、巡回群GTの元a(n)=e4・e5 c(n)∈GT(n∈L)を生成する巡回群演算部と、
前記元a(n)(n∈L)からなる集合aLを含む情報に対して定まる整数wと、前記整数c(n)(n∈L)の総和Σc(n)(n∈L)と、が一致するか否かを判定する判定部と、
を有する署名検証装置。 - Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、x(n)(n∈L)を前記要素i∈Lに対応する整数の秘密鍵とした場合における、
メッセージmを含む情報に対して定まる巡回群G1の元h∈G1を生成する巡回群演算部と、
メッセージmに対応する巡回群G1の元である再リンク鍵r=hx(i)∈G1を生成する再リンク鍵生成部と、
前記再リンク鍵r=hx(i)∈G1を出力する出力部と、
を有する再リンク鍵生成装置。 - Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、iを除く前記集合Lの各要素をj∈L(j≠i)とし、x(n)(n∈L)を前記要素n∈Lにそれぞれ対応する整数の秘密鍵とし、y(n)=gx(n)∈G(n∈L)を前記要素n∈Lにそれぞれ対応する公開鍵とし、tを任意の整数とし、Tを巡回群Gの元T=gt∈Gとし、cを前記元Tとメッセージmとを含む情報に対して定まる整数とし、z=t+x(i)・cとした場合における、
前記メッセージmに対応する再リンク鍵r=(T, z)と、前記整数cと、前記公開鍵y(n)∈G(n∈L)の集合とを格納する記憶部と、
t(i)を任意の整数とした場合における、巡回群Gの元T(i)=gt(i)∈Gを生成する第1巡回群演算部と、
c(j)(j∈L(j≠i))を任意の整数とし、z(j)(j∈L(j≠i))を任意の整数とした場合における、巡回群Gの元T(j)=gz(j)・(T・y(j)c)c(j)∈Gを生成する第2巡回群演算部と、
前記元T(i)∈Gと前記元T(j)(j∈L(j≠i))∈Gとからなる集合TLと前記元Tとを含む情報に対して定まる整数w'と、前記整数c(j)(j∈L(j≠i))の総和Σc(j)とを用い、整数c(i)=w'-Σc(j)(j∈L(j≠i))を生成する差分情報生成部と、
整数z(i)=t(i)-z・c(i)を生成する演算部と、
前記元T∈Gと、前記整数c(j)(j∈L(j≠i))と前記整数c(i)とからなる集合cLと、前記整数z(j)(j∈L(j≠i))と前記整数z(i)∈Gとからなる集合zLとを含む、署名σ=(T,cL,zL)を出力する出力部と、
を有する署名生成装置。 - 請求項8の署名生成装置であって、
前記整数cは、前記元Tとメッセージmとを含む情報の擬似的なランダム関数値である、
ことを特徴とする署名生成装置。 - 請求項8又は9の署名生成装置であって、
前記元Tとメッセージmとを含む情報は、前記元Tとメッセージmとからなる情報であるか、又は、前記要素i∈Lに対応しない情報と前記元Tとメッセージmとからなる情報である、
ことを特徴とする署名生成装置。 - 請求項8から10の何れかの署名生成装置であって、
前記集合TLと前記元Tとを含む情報は、さらに、前記公開鍵y(n)∈G(n∈L)の集合を含む情報である、
ことを特徴とする署名生成装置。 - 請求項8から11の何れかの署名生成装置であって、
前記集合TLと前記元Tとを含む情報は、さらに、前記メッセージmを含む情報である、
ことを特徴とする署名生成装置。 - Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、y(n)∈G(n∈L)を前記要素n∈Lにそれぞれ対応する公開鍵とした場合における、
巡回群の元T∈Gと整数c(n)(n∈L)の集合cLと整数z(n)(n∈L)の集合zLとを含む署名σ=(T,cL,zL)と、前記公開鍵y(n)∈G(n∈L)の集合と、メッセージmとを格納する記憶部と、
前記元Tと前記メッセージmとを含む情報に対して定まる整数cを生成する演算部と、
巡回群Gの元T(n)=gz(n)(T・y(n)c)c(n)∈G(n∈L)を生成する巡回群演算部と、
前記元T(n)∈G(n∈L)の集合TLと前記元Tとを含む情報に対して定まる整数w'と、前記整数c(n)(n∈L)の総和Σc(n)とが、一致するか否かを判定する判定部と、
を有する署名検証装置。 - Gを巡回群とし、g∈Gを巡回群Gの生成元とし、Lを匿名署名グループの構成員に対応する情報の集合とし、nを前記集合Lの各要素とし、前記集合Lの何れかの要素をi∈Lとし、x(i)(i∈L)を前記要素i∈Lに対応する整数の秘密鍵とした場合における、
任意の整数tを出力する任意値出力部と、
巡回群Gの元T=gt∈Gを生成する巡回群演算部と、
前記元Tとメッセージmとを含む情報に対して定まる整数cを生成する第1演算部と、
整数z=t+x(i)・cを生成する第2演算部と、
前記元T∈Gと前記整数zとを含む再リンク鍵r=(T, z)を生成する再リンク鍵生成部と、
を有する再リンク鍵生成装置。 - 請求項1から5又は8から12の何れかの署名生成装置としてコンピュータを機能させるためのプログラム。
- 請求項6又は13の署名検証装置としてコンピュータを機能させるためのプログラム。
- 請求項7又は14の再リンク鍵生成装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010004553A JP5325126B2 (ja) | 2010-01-13 | 2010-01-13 | 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010004553A JP5325126B2 (ja) | 2010-01-13 | 2010-01-13 | 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011145361A JP2011145361A (ja) | 2011-07-28 |
JP5325126B2 true JP5325126B2 (ja) | 2013-10-23 |
Family
ID=44460300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010004553A Active JP5325126B2 (ja) | 2010-01-13 | 2010-01-13 | 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5325126B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11202767A (ja) * | 1998-01-16 | 1999-07-30 | Canon Inc | ディジタル署名方式、それを用いた通信装置及び情報通信システム |
JP4533636B2 (ja) * | 2004-01-26 | 2010-09-01 | 株式会社東芝 | デジタル署名システム、デジタル署名管理装置、デジタル署名管理方法及びプログラム |
JP2008199073A (ja) * | 2006-03-28 | 2008-08-28 | Eiji Okamoto | グループのメンバ間における多様な公開鍵の使用を許すことを特長とする明確な署名者数確認機能付きk−out−of−n署名方法及びk−out−of−n署名装置 |
JP4875448B2 (ja) * | 2006-10-11 | 2012-02-15 | 日本電信電話株式会社 | 鍵生成装置、匿名署名システム、管理装置、匿名署名方法及びプログラム |
JP2009225356A (ja) * | 2008-03-18 | 2009-10-01 | Toshiba Corp | デジタル署名システム、装置及びプログラム |
JP4764447B2 (ja) * | 2008-03-19 | 2011-09-07 | 株式会社東芝 | グループ署名システム、装置及びプログラム |
-
2010
- 2010-01-13 JP JP2010004553A patent/JP5325126B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011145361A (ja) | 2011-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lara-Nino et al. | Elliptic curve lightweight cryptography: A survey | |
US20220376894A1 (en) | Adaptive attack resistant distributed symmetric encryption | |
Cheon et al. | Cryptanalysis of the new CLT multilinear map over the integers | |
Campbell Sr | Evaluation of post-quantum distributed ledger cryptography | |
US8745376B2 (en) | Verifying implicit certificates and digital signatures | |
Lin et al. | A data integrity verification scheme in mobile cloud computing | |
EP2525341A1 (en) | Representative calculation system, method, request device, program and recording medium | |
EP2503729A1 (en) | Information processing device, key generating device, signature verifying device, information processing method, signature generating method, and program | |
US11804960B2 (en) | Distributed symmetric encryption | |
Carter et al. | For your phone only: custom protocols for efficient secure function evaluation on mobile devices | |
Kuang et al. | A new quantum-safe multivariate polynomial public key digital signature algorithm | |
Bashir et al. | Cryptanalysis and improvement of blind signcryption scheme based on elliptic curve | |
Olufemi Olakanmi et al. | MASHED: Security and privacy-aware mutual authentication scheme for heterogeneous and distributed mobile cloud computing services | |
Anada et al. | RSA public keys with inside structure: Proofs of key generation and identities for web-of-trust | |
JP7238977B2 (ja) | 匿名署名システム及び匿名署名方法 | |
JP6053983B2 (ja) | 暗号システム、署名システム、暗号プログラム及び署名プログラム | |
Fanfara et al. | Usage of asymmetric encryption algorithms to enhance the security of sensitive data in secure communication | |
US20150270966A1 (en) | Aggregator-oblivious encryption of time-series data | |
Tahat et al. | Hybrid publicly verifiable authenticated encryption scheme based on chaotic maps and factoring problems | |
JP5679344B2 (ja) | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム | |
JP5325126B2 (ja) | 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム | |
JP4773941B2 (ja) | 代理署名装置、署名者装置、署名検証装置及びそれらのプログラム | |
Tan et al. | Layering quantum-resistance into classical digital signature algorithms | |
Mujeerulla et al. | Demerits of Elliptic Curve Cryptosystem with Bitcoin Curves Using Lenstra–Lenstra–Lovasz (LLL) Lattice Basis Reduction | |
Kim et al. | An efficient public key functional encryption for inner product evaluations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20111121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20111121 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130719 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5325126 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |