JP5457991B2 - ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム - Google Patents
ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム Download PDFInfo
- Publication number
- JP5457991B2 JP5457991B2 JP2010236834A JP2010236834A JP5457991B2 JP 5457991 B2 JP5457991 B2 JP 5457991B2 JP 2010236834 A JP2010236834 A JP 2010236834A JP 2010236834 A JP2010236834 A JP 2010236834A JP 5457991 B2 JP5457991 B2 JP 5457991B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- verification
- message
- generator
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電気通信システムに関し、強偽造不可能性を持つ安全なディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラムに関する。
ディジタル署名はメッセージmに対して、公開鍵pkに対応する秘密鍵skを知る署名者が、メッセージmに対して秘密鍵skを正しく使ったときにのみ計算できる値sを算出し、これを電子的な署名として用いるものである。正しく計算された署名は誰でも公開鍵pkを用いてその正当性を検証することが可能であり、秘密鍵skを知らないいかなる第三者も正当な署名sを算出することはできない。
ディジタル署名は電子現金やクレデンシャルシステムなど、様々な暗号プロトコルにおいて基本的な構成要素として利用されている。特に、利用者のプライバシーを必要とする応用においては、ゼロ知識証明と組み合わせることにより、署名sを明かさないまま、あるメッセージmに対する正しい署名sを保持しているという事実を任意の第三者に納得させるなど、高度な利用形態がしばしば見受けられる。
近年のペアリング技術の進展により、群の要素がある関係を満たすという事実を効率的に証明するゼロ知識証明が構成可能となった(非特許文献1参照)。これによって、署名sが効率的なペアリングを持つ群Gの要素である場合、すなわちs∈Gである場合に、前述のように署名sを明かさないまま正しい署名sを保持しているという事実を証明することが可能となった。
例えば、非特許文献2で開示されているCL-Signatureと呼ばれる方法では、メッセージm∈Zqに対する署名sは3つの群要素(a,b,c)∈G3から構成されている。
しかしながらCL-Signatureのように、ランダムオラクルモデル等の理想化された構成要素を用いず、数論的な仮定のみにより安全性が証明できる既存の署名方法では、メッセージmが群Gの要素ではないため、メッセージmを秘匿した状態でその秘匿したメッセージに対する正しい電子署名を保持していることを証明するという応用には適さない。
メッセージmが群Gの要素である場合にも安全な署名方法として、CL-Signatureを改良した方法が非特許文献3で開示されている。この方法はランダムメッセージ攻撃に対しても安全である。ただし、より強い攻撃である選択メッセージ攻撃に対する安全性は不明である。
メッセージが群要素である場合に、選択メッセージ攻撃に強いことが保証されている方法(AHO方式)が非特許文献4で開示されている。このAHO方式による従来のディジタル署名・検証システム200について、以下、説明する。
図1にディジタル署名・検証システム200の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
ディジタル署名・検証システム200は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の群であるとして、生成元g1とG1から、g2をG2から、grとhuを単位元を除くG1から、それぞれランダムに選択する(S1)。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数α、β、γz、δz、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、δi、ζ、ρ、τ、ψ及びωを生成する(S3)。
鍵生成部114は、(gr,g2α)をランダマイズしてa00、a01、a10、a11を計算し、(hu,g2β)をランダマイズしてb00、b01、b10、b11を計算し、更に、
を計算して、公開鍵vk=(gz,hz,gr,hu,g1,・・・,gk,h1,・・・,hk,a00,a01,a10,a11,b00,b01,b10,b11)及び秘密鍵sk=(vk,α,β,γz,δz,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u,v,w)を生成し、メッセージm=(m1,・・・,mk)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータkに依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u,v,w)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(gz,hz,gr,hu,g1,・・・,gk,h1,・・・,hk,a00,a01,a10,a11,b00,b01,b10,b11)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
Jens Groth and Amit Sahai, "Efficient Non-interactive Proof Systems for Bilinear Groups", Eurocrypt2008, LNCS 2965, p.415-432
Jan Camenisch and Anna Lysyanskaya,"Signature Schemes and Anonymous Credentials from Bilinear Maps", Crypto 2004, LNCS 3152, p.56-72
Matthew Green and Susan Hohenberger,"Universally Composable Adaptive Oblivious Transfer", IACR e-Print archive, 2008, [2010年10月4日検索]、インターネット<URL: http://eprint.iacr.org/2008/163.pdf>
Masayuki Abe, Kristiyan Haralambiev, Miyako Ohkubo,"Signing on Elements in Bilinear Groups for Modular Protocol Design", IACR e-Print archive, 2010, [2010年10月4日検索]、インターネット<URL: http://eprint.iacr.org/2010/133.pdf>
従来技術(AHO方式)では、署名が群の要素7つからなり、また、検証においては10+2k個のペアリング演算を要するため、署名長、演算量共に多い。また、あるメッセージに対する署名を入手すると、同じメッセージに対して別の署名を作り出すことが容易である。例えば、上記の検証式には署名要素s,tのみからなるペアリング演算e(s,t)が含まれており、この演算に対し攻撃者がs,tの両方を操作できる。そのため、攻撃者が一旦メッセージmに対する署名σ=(z,r,s,t,u,v,w)を入手すると、例えば偽造署名σ'=(z,r,sk,t1/k,u,v,w)を得ることができてしまう。この場合、e(s,t)=e(sk,t1/k)である結果、σ'も検証に合格してしまうため、mに対する正しい署名ということになる。すなわち、安全性のレベルについて、通常の偽造不可能性(existential unforgeability:新たなメッセージに対する署名を偽造できない)までしか満たすことができず、強偽造不可能性(strongly existential unforgeability:同一メッセージに対しても異なる署名を生成できない)はない。
本発明の目的は、群要素メッセージに対するディジタル署名・検証方式において、従来より公開鍵、署名の長さが短く、検証式の計算量が少なく、高い安全性が証明可能であり、かつ、強偽造不可能なディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそのプログラムを提供することにある。
本発明のディジタル署名・検証システムは、署名装置と検証装置とからなる。 署名装置は、生成元選択部と公開情報生成部と乱数生成部と鍵生成部と署名生成部とを備える。
生成元選択部は、G1、G2がそれぞれ位数pの群(pは素数)であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する。
公開情報生成部は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部は、1以上p−1以下のランダムな整数δu、α、γz、δz、δs、δt、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する。
鍵生成部は、
を計算し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)及び秘密鍵sk=(γz,α,γ1,・・・,γk,δz,δu,δs,δt,δ1,・・・,δk)を生成し、公開鍵vkを公開する。
署名生成部は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する。
検証装置は、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する。
本発明の本発明のディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそのプログラムによれば、群要素メッセージに対するディジタル署名・検証方式について、従来より公開鍵、署名の長さが短く、検証式の計算量が少なく、高い安全性が証明可能であり、かつ強偽造不可能なディジタル署名・検証方式を提供することができる。
以下、本発明の実施の形態について、詳細に説明する。
本発明の特徴は、従来技術(AHO方式)における2つの検証式において、両方の式で共通して使用される署名要素の個数が多くなるように、かつ、一方の検証式が署名要素のみからなるペアリングを持つときに他方の式でそれらの要素を別々のペアリング演算に入力するように、検証式を構成する点にある。共通して使用される署名要素の個数が増えることで、攻撃者が署名要素の一部を改ざんしても、両方の検証式を同時に満たすことが一層困難になるため、署名の偽造に対する安全性を損なうことなく、検証式の一方から公開鍵の一部を除去して検証式を簡略化することが可能となる。そして、検証式の簡略化により、公開鍵、署名ともに不必要な要素を除去することができ、従来より公開鍵、署名の長さを短くすることができる。また、一方の検証式が署名要素のみからなるペアリングを持つときに、他方の式でそれらの要素を別々のペアリング演算に入力するように検証式を構成することで、一方の検証式において署名要素のみからなるペアリングに入力されていた署名要素が乱数成分によりランダム化され、他方の検証式が満たされなくなる。これにより、強偽造不可能性が提供される。
以下、具体的な構成例について説明する。
図1に本発明のディジタル署名・検証システム100の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数pの群(pは素数)であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。なお、G1とG2は同一の群でも異なる群でも構わない。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、δz、δs、δt、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、δi、ζ,ρ,及びτを生成する(S3)。
鍵生成部114は、
を計算し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)及び秘密鍵sk=(γz,α,γ1,・・・,γk,δz,δu,δs,δt,δ1,・・・,δk)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータkに依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
以上のように、本発明においては、2つの検証式で共通して使用される署名要素を増やし、かつ、一方の検証式が署名要素のみからなるペアリングを持つときに、他方の式でそれらの要素を別々のペアリング演算に入力するように検証式を構成する。
これにより、攻撃者が署名要素の一部を改ざんしても両方の検証式を同時に満たすことが一層困難となり、署名の偽造に対する安全性を損なうことなく、検証式の一方から公開鍵の一部を除去して検証式を簡略化できる。そして、この簡略化により、公開鍵、署名ともに不必要な要素を除去することができ、署名の群要素の数を7個から5個に、検証時のペアリング演算の個数を10+2k個から8+2k個に減らすことができる。これにより、従来より公開鍵、署名の長さが短く、検証式の計算量が少なく、かつ、高い安全性が証明可能な、効率のよい署名方式を提供することができる。具体的には、署名長が短くなることで、通信帯域及びメモリを削減することができ、検証の計算量が少ないことにより、高速な署名検証が可能となる。
また、一方の検証式が署名要素のみからなるペアリング演算e(s,t)を含んでいるが、他方の検証式でそれらの要素を別々のペアリング演算e(s,hs)、e(ht,t)に入力するように検証式を構成することで、一方の検証式において署名要素のみからなるペアリング演算e(s,t)に入力されていた署名要素s,tが乱数成分によりランダム化され、他方の検証式が満たされなくなる。更に、hsとhtは既に生成された公開鍵を構成する値であるため、e(s,hs)やe(ht,t)を偽造することはより困難になる。以上により、強偽造不可能性が提供される。
なお、検証式で用いるペアリング演算e(a,g2)について、予め署名装置110の鍵生成部114でA=e(a,g2)と計算しておき、このAをaの代わりに公開鍵vkに含め、これをそのまま検証式で用いてもよい。このように構成することで、検証時に行うペアリング演算をさらに1個減らすことができる。ただし、この場合、aよりもAの方が表現が長いため、公開鍵vkの長さが長くなる。また、この署名をゼロ知識証明と組み合わせる場合、検証式はG1、G2の要素のみから成り立っていることが望ましいため、Aを直接検証式に使うことができず、e(a,g2)のようにaとg2とをバラにして提供する必要が生じる。もっとも、ゼロ知識証明よりもやや弱い証明系であるWitness-Indistinguishable証明を組み合わせる場合には、検証式にGTの要素が入っていても構わないため、その場合にはAのまま利用が可能である。従って、公開鍵としてaを含めるかAを含めるかは、ユーザが本発明の署名方式をどのように使いたいかにより任意に選択すればよい。
実施例1は、群要素メッセージmがG2に属する要素のみから成るものに対して適用可能な構成である。一方、実施例2は、群要素メッセージmがG1、G2の両方にまたがるものであっても適用可能な構成である。
以下、具体的な構成例について説明する。
図1に本発明のディジタル署名・検証システム100' の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100' は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の異なる群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数δu、δv、α、γz、δs、δt、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はセキュリティパラメータでk1より大きい整数)、ζ,ρ,τ,及びωを生成する(S3)。
鍵生成部114は、
を計算し、公開鍵vk=(Λ,gz,gr,hu,hv,hs,ht,a,g1,・・・,gk1,hk1+1,・・・,hk2)及び秘密鍵sk=(vk,α,γz,δu,δv,δs,δt,γ1,・・・,γk1,δk1+1,・・・,δk2)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
を計算して、署名σ=(z,r,s,t,u,v)を生成し、メッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータk2に依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,gr,hu,hv,hs,ht,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
以上より、本発明によれば、群要素メッセージmがG1、G2の両方にまたがるものである場合においても、実施例1と同様に、従来より効率的なディジタル署名方式を提供することができる。なお、実施例2においても実施例1と同様に、検証式で用いるペアリング演算e(a,g2)について、予め署名装置110の鍵生成部114でA=e(a,g2)と計算しておき、このAをaの代わりに公開鍵vkに含め、これをそのまま検証式で用いてもよい。
上記各実施例のディジタル署名・検証システムにおける各処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本発明のディジタル署名・検証システムの各機能は必要に応じ、併合・分割しても構わない。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
本発明のディジタル署名・検証システムの署名装置及び検証装置をコンピュータによって実現する場合、装置及びその各部が有す機能の処理内容はプログラムによって記述される。そのプログラムは、例えば、ハードディスク装置に格納されており、実行時には必要なプログラムやデータがRAM(Random Access Memory)に読み込まれる。その読み込まれたプログラムがCPUにより実行されることにより、コンピュータ上で各処理内容が実現される。なお、処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
Claims (9)
- G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、δz、δs、δt、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する乱数生成部と、
G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を備える署名装置と、
署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)を用いて、2つの検証式
を備えるディジタル署名・検証システム。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、δv、α、γz、δs、δt、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを生成する乱数生成部と、
G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
を備える署名装置と、
署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,gr,hu,hv,hs,ht,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
を備えるディジタル署名・検証システム。 - G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名装置の生成元選択部が、生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択ステップと、
署名装置の公開情報生成部が、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成ステップと、
署名装置の乱数生成部が、1以上p−1以下のランダムな整数δu、α、γz、δz、δs、δt、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する乱数生成ステップと、
署名装置の鍵生成部が、
署名装置の署名生成部が、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
検証装置が、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)を用いて、2つの検証式
を実行するディジタル署名・検証方法。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名装置の生成元選択部が、生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択ステップと、
署名装置の公開情報生成部が、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成ステップと、
署名装置の乱数生成部が、1以上p−1以下のランダムな整数δu、δv、α、γz、δs、δt、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを生成する乱数生成ステップと、
署名装置の鍵生成部が、
署名装置の署名生成部が、G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
検証装置が、署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,gr,hu,hv,hs,ht,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
を実行するディジタル署名・検証方法。 - G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、δz、δs、δt、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する乱数生成部と、
G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を備える署名装置。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、δv、α、γz、δs、δt、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを生成する乱数生成部と、
G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
を備える署名装置。 - G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,a,gz,gr,g1,・・・,gk,hz,hu,ht,hs,h1,・・・,hk)を用いて、2つの検証式
- G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,gr,hu,hv,hs,ht,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
- 請求項5若しくは6に記載の署名装置又は請求項7若しくは8に記載の検証装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010236834A JP5457991B2 (ja) | 2010-10-21 | 2010-10-21 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010236834A JP5457991B2 (ja) | 2010-10-21 | 2010-10-21 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012090183A JP2012090183A (ja) | 2012-05-10 |
| JP5457991B2 true JP5457991B2 (ja) | 2014-04-02 |
Family
ID=46261297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010236834A Active JP5457991B2 (ja) | 2010-10-21 | 2010-10-21 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5457991B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6225097B2 (ja) * | 2014-11-06 | 2017-11-01 | 日本電信電話株式会社 | 署名・検証システム、署名装置、検証装置、署名・検証方法、プログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5227764B2 (ja) * | 2008-12-02 | 2013-07-03 | 日本電信電話株式会社 | 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム |
| JP5314449B2 (ja) * | 2009-02-12 | 2013-10-16 | 日本電信電話株式会社 | 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム |
| JP5331027B2 (ja) * | 2010-02-22 | 2013-10-30 | 日本電信電話株式会社 | 署名・検証システム、署名・検証方法、署名装置、検証装置、プログラム、記録媒体 |
| JP5486454B2 (ja) * | 2010-10-21 | 2014-05-07 | 日本電信電話株式会社 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
-
2010
- 2010-10-21 JP JP2010236834A patent/JP5457991B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012090183A (ja) | 2012-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Koblitz et al. | The random oracle model: a twenty-year retrospective | |
| US8661240B2 (en) | Joint encryption of data | |
| Gupta et al. | Design of lattice‐based ElGamal encryption and signature schemes using SIS problem | |
| López-García et al. | A pairing-based blind signature e-voting scheme | |
| Ki et al. | Constructing Strong Identity‐Based Designated Verifier Signatures with Self‐Unverifiability | |
| Merz et al. | Another look at some isogeny hardness assumptions | |
| Wu et al. | An improved and provable self‐certified digital signature scheme with message recovery | |
| Kumar et al. | Analysis and design of protocol for enhanced threshold proxy signature scheme based on RSA for known signers | |
| Jalaja et al. | New digital signature scheme on non-commutative rings using double conjugacy | |
| Chen et al. | Certificateless signatures: structural extensions of security models and new provably secure schemes | |
| Stallings | Digital signature algorithms | |
| Sepahi et al. | Lattice-based certificateless public-key encryption in the standard model | |
| Kumar et al. | Cryptanalysis and performance evaluation of enhanced threshold proxy signature scheme based on RSA for known signers | |
| Wang et al. | An improved signature model of multivariate polynomial public key cryptosystem against key recovery attack | |
| JP5457991B2 (ja) | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム | |
| Yang et al. | On-line/off-line threshold proxy re-signature scheme through the simulation approach | |
| Nayak et al. | An ECDLP based untraceable blind signature scheme | |
| JP5486454B2 (ja) | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム | |
| Fan et al. | Strongly secure certificateless signature scheme supporting batch verification | |
| Wang et al. | Perfect ambiguous optimistic fair exchange | |
| Chen et al. | Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains | |
| Zhang et al. | Identity‐based optimistic fair exchange in the standard model | |
| Tartary et al. | Analysis of bilinear pairing-based accumulator for identity escrowing | |
| Wang | Signer‐admissible strong designated verifier signature from bilinear pairings | |
| Lin et al. | Secure universal designated verifier identity‐based signcryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121212 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5457991 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |