JP5486454B2 - ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム - Google Patents
ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム Download PDFInfo
- Publication number
- JP5486454B2 JP5486454B2 JP2010236809A JP2010236809A JP5486454B2 JP 5486454 B2 JP5486454 B2 JP 5486454B2 JP 2010236809 A JP2010236809 A JP 2010236809A JP 2010236809 A JP2010236809 A JP 2010236809A JP 5486454 B2 JP5486454 B2 JP 5486454B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- verification
- generator
- message
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電気通信システムに関し、暗号プロトコル中で利用しやすい効率的なディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラムに関する。
ディジタル署名はメッセージmに対して、公開鍵pkに対応する秘密鍵skを知る署名者が、メッセージmに対して秘密鍵skを正しく使ったときにのみ計算できる値sを算出し、これを電子的な署名として用いるものである。正しく計算された署名は誰でも公開鍵pkを用いてその正当性を検証することが可能であり、秘密鍵skを知らないいかなる第三者も正当な署名sを算出することはできない。
ディジタル署名は電子現金やクレデンシャルシステムなど、様々な暗号プロトコルにおいて基本的な構成要素として利用されている。特に、利用者のプライバシーを必要とする応用においては、ゼロ知識証明と組み合わせることにより、署名sを明かさないまま、あるメッセージmに対する正しい署名sを保持しているという事実を任意の第三者に納得させるなど、高度な利用形態がしばしば見受けられる。
近年のペアリング技術の進展により、群の要素がある関係を満たすという事実を効率的に証明するゼロ知識証明が構成可能となった(非特許文献1参照)。これによって、署名sが効率的なペアリングを持つ群Gの要素である場合、すなわちs∈Gである場合に、前述のように署名sを明かさないまま正しい署名sを保持しているという事実を証明することが可能となった。
例えば、非特許文献2で開示されているCL-Signatureと呼ばれる方法では、メッセージm∈Zqに対する署名sは3つの群要素(a,b,c)∈G3から構成されている。
しかしながらCL-Signatureのように、ランダムオラクルモデル等の理想化された構成要素を用いず、数論的な仮定のみにより安全性が証明できる既存の署名方法では、メッセージmが群Gの要素ではないため、メッセージmを秘匿した状態でその秘匿したメッセージに対する正しい電子署名を保持していることを証明するという応用には適さない。
メッセージmが群Gの要素である場合にも安全な署名方法として、CL-Signatureを改良した方法が非特許文献3で開示されている。この方法はランダムメッセージ攻撃に対しても安全である。ただし、より強い攻撃である選択メッセージ攻撃に対する安全性は不明である。
メッセージが群要素である場合に、選択メッセージ攻撃に強いことが保証されている方法(AHO方式)が非特許文献4で開示されている。このAHO方式による従来のディジタル署名・検証システム200について、以下、説明する。
図1にディジタル署名・検証システム200の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
ディジタル署名・検証システム200は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
ディジタル署名・検証システム200は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の群であるとして、生成元g1とG1から、g2をG2から、grとhuを単位元を除くG1から、それぞれランダムに選択する(S1)。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数α、β、γz、δz、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、δi、ζ、ρ、τ、ψ及びωを生成する(S3)。
鍵生成部114は、(gr,g2α)をランダマイズしてa00、a01、a10、a11を計算し、(hu,g2β)をランダマイズしてb00、b01、b10、b11を計算し、更に、
鍵生成部114は、(gr,g2α)をランダマイズしてa00、a01、a10、a11を計算し、(hu,g2β)をランダマイズしてb00、b01、b10、b11を計算し、更に、
を計算して、公開鍵vk=(gz,hz,gr,hu,g1,・・・,gk,h1,・・・,hk,a00,a01,a10,a11,b00,b01,b10,b11)及び秘密鍵sk=(vk,α,β,γz,δz,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u,v,w)を生成し、メッセージm=(m1,・・・,mk)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータkに依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u,v,w)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(gz,hz,gr,hu,g1,・・・,gk,h1,・・・,hk,a00,a01,a10,a11,b00,b01,b10,b11)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
Jens Groth and Amit Sahai, "Efficient Non-interactive Proof Systems for Bilinear Groups", Eurocrypt2008, LNCS 2965, p.415-432
Jan Camenisch and Anna Lysyanskaya,"Signature Schemes and Anonymous Credentials from Bilinear Maps", Crypto 2004, LNCS 3152, p.56-72
Matthew Green and Susan Hohenberger,"Universally Composable Adaptive Oblivious Transfer", IACR e-Print archive, 2008, [2010年10月4日検索]、インターネット<URL: http://eprint.iacr.org/2008/163.pdf>
Masayuki Abe, Kristiyan Haralambiev, Miyako Ohkubo,"Signing on Elements in Bilinear Groups for Modular Protocol Design", IACR e-Print archive, 2010, [2010年10月4日検索]、インターネット<URL: http://eprint.iacr.org/2010/133.pdf>
従来技術(AHO方式)では、署名が7つの群要素からなることに加え、検証時には10+2k個のペアリング演算を要するため、署名長、演算量共に多い。
本発明の目的は、群要素メッセージに対するディジタル署名・検証方式において、従来より公開鍵、署名の長さが短く、検証式の計算量が少なく、かつ、高い安全性が証明可能なディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそのプログラムを提供することにある。
本発明のディジタル署名・検証システムは、署名装置と検証装置とからなる。 署名装置は、生成元選択部と公開情報生成部と乱数生成部と鍵生成部と署名生成部とを備える。
生成元選択部は、G1、G2がそれぞれ位数pの群(pは素数)であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する。
生成元選択部は、G1、G2がそれぞれ位数pの群(pは素数)であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する。
公開情報生成部は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部は、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する。
鍵生成部は、
乱数生成部は、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する。
鍵生成部は、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する。
署名生成部は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
署名生成部は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する。
検証装置は、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)を用いて、2つの検証式
検証装置は、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する。
本発明のディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそのプログラムによれば、群要素メッセージに対するディジタル署名・検証方式について、従来より公開鍵、署名の長さが短く、検証式の計算量が少なく、かつ、高い安全性が証明可能な、効率のよいディジタル署名・検証方式を提供することができる。
以下、本発明の実施の形態について、詳細に説明する。
本発明の特徴は、従来技術(AHO方式)における2つの検証式で共通して使用される署名要素の個数が多くなるように検証式を構成する点にある。これにより、攻撃者が署名要素の一部を改ざんしても、両方の検証式を同時に満たすことが一層困難になるため、署名の偽造に対する安全性を損なうことなく、検証式の一方から公開鍵の一部を除去して検証式を簡略化することが可能となる。そして、検証式の簡略化により、公開鍵、署名ともに不必要な要素を除去することができ、従来より公開鍵、署名の長さを短くすることができる。
以下、具体的な構成例について説明する。
図1に本発明のディジタル署名・検証システム100の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
図1に本発明のディジタル署名・検証システム100の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。なお、G1とG2は同一の群でも異なる群でも構わない。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。なお、G1とG2は同一の群でも異なる群でも構わない。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、δi、ζ,ρ,及びτを生成する(S3)。
鍵生成部114は、
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、δi、ζ,ρ,及びτを生成する(S3)。
鍵生成部114は、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータkに依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
以上のように、本発明においては、2つの検証式で共通して使用される署名要素を増やしたため、攻撃者が署名要素の一部を改ざんしても、両方の検証式を同時に満たすことが一層困難となる。そのため、署名の偽造に対する安全性を損なうことなく、検証式の一方から公開鍵の一部を除去して検証式を簡略化できる。そして、この簡略化により、公開鍵、署名ともに不必要な要素を除去することができ、署名の群要素の数を7個から5個に、検証時のペアリング演算の個数を10+2k個から6+2k個に減らすことができる。これにより、従来より公開鍵、署名の長さが短く、検証式の計算量が少なく、かつ、高い安全性が証明可能な、効率のよい署名方式を提供することができる。具体的には、署名長が短くなることで、通信帯域及びメモリを削減することができ、また、検証の計算量が少ないことにより、高速な署名検証が可能となる。
なお、検証式で用いるペアリング演算e(a,g2)について、予め署名装置110の鍵生成部114でA=e(a,g2)と計算しておき、このAをaの代わりに公開鍵vkに含め、これをそのまま検証式で用いてもよい。このように構成することで、検証時に行うペアリング演算をさらに1個減らすことができる。ただし、この場合、aよりもAの方が表現が長いため、公開鍵vkの長さが長くなる。また、この署名をゼロ知識証明と組み合わせる場合、検証式はG1、G2の要素のみから成り立っていることが望ましいため、Aを直接検証式に使うことができず、e(a,g2)のようにaとg2とをバラにして提供する必要が生じる。もっとも、ゼロ知識証明よりもやや弱い証明系であるWitness-Indistinguishable証明を組み合わせる場合には、検証式にGTの要素が入っていても構わないため、その場合にはAのまま利用が可能である。従って、公開鍵としてaを含めるかAを含めるかは、ユーザが本発明の署名方式をどのように使いたいかにより任意に選択すればよい。
実施例1は、2つの群G1、G2は同一の群である場合も異なる群である場合も適用可能な構成である。一方、実施例2は、G1、G2が異なる群である場合に限定することで、更に鍵長の短縮、検証式の計算量の低減を図った構成である。
以下、具体的な構成例について説明する。
図1に本発明のディジタル署名・検証システム100' の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100' は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
図1に本発明のディジタル署名・検証システム100' の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100' は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の異なる群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の異なる群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、ζ,ρ,及びτを生成する(S3)。
鍵生成部114は、
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、γi(i=1,・・・,k、kはセキュリティパラメータで2以上の整数)、ζ,ρ,及びτを生成する(S3)。
鍵生成部114は、
を計算し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)及び秘密鍵sk=(vk,α,γz,δu,γ1,・・・,γk)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
署名生成部115は、G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータkに依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
以上より、本発明によれば、実施例1より更に公開鍵、秘密鍵の長さの短縮(要素が各1+k個減)、及び検証式の計算量の低減(ペアリング演算の個数が1+k個減)を図ることができるため、より効率的なディジタル署名方式を提供することができる。なお、実施例2においても実施例1と同様に、検証式で用いるペアリング演算e(a,g2)について、予め署名装置110の鍵生成部114でA=e(a,g2)と計算しておき、このAをaの代わりに公開鍵vkに含め、これをそのまま検証式で用いてもよい。
実施例1は、群要素メッセージmがG2に属する要素のみから成るものに対して適用可能な構成である。一方、実施例3は、群要素メッセージmがG1、G2の両方にまたがるものであっても適用可能な構成である。
以下、具体的な構成例について説明する。
図1に本発明のディジタル署名・検証システム100'' の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
図1に本発明のディジタル署名・検証システム100'' の機能構成例を、図2にその処理フロー例(S1〜6)をそれぞれ示す。
本発明のディジタル署名・検証システム100'' は、署名装置110と検証装置120とからなる。署名装置110と検証装置120との間は、任意のネットワーク50で結ばれる。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の異なる群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。
署名装置110は、生成元選択部111と公開情報生成部112と乱数生成部113と鍵生成部114と署名生成部115とを備える。
生成元選択部111は、G1、G2がそれぞれ位数p(pは素数)の異なる群であるとして、生成元g1をG1から、g2をG2から、それぞれランダムに選択する(S1)。
公開情報生成部112は、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する(S2)。ここで、eはバイリニアマップであり、e:G1×G2→GTである。
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はセキュリティパラメータでk1より大きい整数)、ζ,ρ,τ,及びωを生成する(S3)。
鍵生成部114は、
乱数生成部113は、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はセキュリティパラメータでk1より大きい整数)、ζ,ρ,τ,及びωを生成する(S3)。
鍵生成部114は、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk1,δk1+1,・・・,δk2)を生成し、公開鍵vkを公開する(S4)。なお、秘密鍵skは署名装置内に安全に格納される。
署名生成部115は、G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
署名生成部115は、G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
を計算して、署名σ=(z,r,s,t,u,v)を生成し、メッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)とともに送信する(S5)。メッセージmの長さは、セキュリティパラメータk2に依存して決定され、短いメッセージに対しては明示的に1でパディングされるものとする。
検証装置120は、署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しく、改ざんされていないとの検証結果(例えばそれを意味する数値である1)を出力し、それ以外の場合は署名は正しくないとの検証結果(例えばそれを意味する数値である0)を出力する(S6)。
以上より、本発明によれば、群要素メッセージmがG1、G2の両方にまたがるものである場合においても、実施例1と同様に、従来より効率的なディジタル署名方式を提供することができる。なお、実施例3においても実施例1と同様に、検証式で用いるペアリング演算e(a,g2)について、予め署名装置110の鍵生成部114でA=e(a,g2)と計算しておき、このAをaの代わりに公開鍵vkに含め、これをそのまま検証式で用いてもよい。
上記各実施例のディジタル署名・検証システムにおける各処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本発明のディジタル署名・検証システムの各機能は必要に応じ、併合・分割しても構わない。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
本発明のディジタル署名・検証システムの署名装置と検証装置をコンピュータによって実現する場合、装置及びその各部が有す機能の処理内容はプログラムによって記述される。そのプログラムは、例えば、ハードディスク装置に格納されており、実行時には必要なプログラムやデータがRAM(Random Access Memory)に読み込まれる。その読み込まれたプログラムがCPUにより実行されることにより、コンピュータ上で各処理内容が実現される。なお、処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
Claims (13)
- G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する乱数生成部と、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する鍵生成部と、
G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する署名生成部と、
を備える署名装置と、
署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証装置と、
を備えるディジタル署名・検証システム。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、γi(i=1,・・・,k、kは2以上の整数)、ζ,ρ,及びτを生成する乱数生成部と、
を計算し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)及び秘密鍵sk=(vk,α,γz,δu,γ1,・・・,γk)を生成し、公開鍵vkを公開する鍵生成部と、
G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する署名生成部と、
を備える署名装置と、
署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証装置と、
を備えるディジタル署名・検証システム。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを生成する乱数生成部と、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk1,δk1+1,・・・,δk2)を生成し
、公開鍵vkを公開する鍵生成部と、
G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
を計算して、署名σ=(z,r,s,t,u,v)を生成し、メッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)とともに送信する署名生成部と、
を備える署名装置と、
署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証装置と、
を備えるディジタル署名・検証システム。 - G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名装置の生成元選択部が、生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択ステップと、
署名装置の公開情報生成部が、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成ステップと、
署名装置の乱数生成部が、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する乱数生成ステップと、
署名装置の鍵生成部が、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する鍵生成ステップと、
署名装置の署名生成部が、入力されたG2の1以外の元であるメッセージm=(m1,・・・,mk)を用いて、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する署名生成ステップと、
検証装置が、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証ステップと、
を実効するディジタル署名・検証方法。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名装置の生成元選択部が、生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択ステップと、
署名装置の公開情報生成部が、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成ステップと、
署名装置の乱数生成部が、1以上p−1以下のランダムな整数δu、α、γz、γi(i=1,・・・,k、kは2以上の整数)、ζ,ρ,及びτを生成する乱数生成ステップと、
署名装置の鍵生成部が、
を計算し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)及び秘密鍵sk=(vk,α,γz,δu,γ1,・・・,γk)を生成し、公開鍵vkを公開する鍵生成ステップと、
署名装置の署名生成部が、入力されたG2の1以外の元であるメッセージm=(m1,・・・,mk)を用いて、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する署名生成ステップと、
検証装置が、署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証ステップと、
を実行するディジタル署名・検証方法。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
署名装置の生成元選択部が、生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択ステップと、
署名装置の公開情報生成部が、公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成ステップと、
署名装置の乱数生成部が、1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを生成する乱数生成ステップと、
署名装置の鍵生成部が、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk1,δk1+1,・・・,δk2)を生成し、公開鍵vkを公開する鍵生成ステップと、
署名装置の署名生成部が、入力されたG2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を用いて、
を計算して、署名σ=(z,r,s,t,u,v)を生成し、メッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)とともに送信する署名生成ステップと、
検証装置が、署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証ステップと、
を実行するディジタル署名・検証方法。 - G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k、kは2以上の整数)、δi、ζ,ρ,及びτを生成する乱数生成部と、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk,δ1,・・・,δk)を生成し、公開鍵vkを公開する鍵生成部と、
G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する署名生成部と、
を備える署名装置。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、γi(i=1,・・・,k、kは2以上の整数)、ζ,ρ,及びτを生成する乱数生成部と、
を計算し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)及び秘密鍵sk=(vk,α,γz,δu,γ1,・・・,γk)を生成し、公開鍵vkを公開する鍵生成部と、
G2の1以外の元であるメッセージm=(m1,・・・,mk)が入力され、
を計算して、署名σ=(z,r,s,t,u)を生成し、メッセージm=(m1,・・・,mk)とともに送信する署名生成部と、
を備える署名装置。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、
生成元g1をG1から、g2をG2から、それぞれランダムに選択する生成元選択部と、
公開情報Λ=(p,G1,G2,GT,e,g1,g2)を生成する公開情報生成部と、
1以上p−1以下のランダムな整数δu、α、γz、δz、γi(i=1,・・・,k1、k1は2以上の整数)、δj(j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを生成する乱数生成部と、
を計算し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)及び秘密鍵sk=(vk,α,γz,δz,δu,γ1,・・・,γk1,δk1+1,・・・,δk2)を生成し、公開鍵vkを公開する鍵生成部と、
G2の1以外の元であるm1,・・・,mk1とG1の1以外の元であるmk1+1,・・・,mk2とからなるメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)が入力され、
を計算して、署名σ=(z,r,s,t,u,v)を生成し、メッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)とともに送信する署名生成部と、
を備える署名装置。 - G1、G2をそれぞれ位数pの群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、g1を群G 1 の生成元とし、g2を群G 2 の生成元とし、Λ=(p,G 1 ,G 2 ,G T ,e,g1,g2)とし、δ u 、α、γ z 、δ z 、γ i (i=1,・・・,k、kは2以上の整数)、δ i 、ζ,ρ,及びτを1以上p−1以下のランダムな整数とし、m 1 ,・・・,m k をG 2 の1以外の元とし、
とし、
署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,a,g1,・・・,gk,h1,・・・,hk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証装置。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、g1を群G 1 の生成元とし、g2を群G 2 の生成元とし、Λ=(p,G 1 ,G 2 ,G T ,e,g1,g2)とし、δ u 、α、γ z 、γ i (i=1,・・・,k、kは2以上の整数)、ζ,ρ,及びτを1以上p−1以下のランダムな整数とし、m 1 ,・・・,m k をG 2 の1以外の元とし、
とし、
署名σ=(z,r,s,t,u)とメッセージm=(m1,・・・,mk)を受信し、公開鍵vk=(Λ,gz,gr,hu,a,g1,・・・,gk)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正いとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証装置。 - G1、G2をそれぞれ位数pの異なる群(pは素数)、バイリニアマップeをe:G1×G2→GTとし、g1を群G 1 の生成元とし、g2を群G 2 の生成元とし、Λ=(p,G 1 ,G 2 ,G T ,e,g1,g2)とし、δ u 、α、γ z 、δ z 、γ i (i=1,・・・,k1、k1は2以上の整数)、δ j (j=k1+1,・・・,k2、k2はk1より大きい整数)、ζ,ρ,τ,及びωを1以上p−1以下のランダムな整数とし、m 1 ,・・・,m k1 をG 2 の1以外の元とし、m k1+1 ,・・・,m k2 をG 1 の1以外の元とし、
とし、
署名σ=(z,r,s,t,u,v)とメッセージm=(m1,・・・,mk1,mk1+1,・・・,mk2)を受信し、公開鍵vk=(Λ,gz,hz,gr,hu,hv,a,g1,・・・,gk1,hk1+1,・・・,hk2)を用いて、2つの検証式
の成否を計算し、共に成立すれば署名は正しいとの検証結果を出力し、それ以外の場合は署名は正しくないとの検証結果を出力する検証装置。 - 請求項7乃至9のいずれかに記載の署名装置又は請求項10乃至12のいずれかに記載の検証装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010236809A JP5486454B2 (ja) | 2010-10-21 | 2010-10-21 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010236809A JP5486454B2 (ja) | 2010-10-21 | 2010-10-21 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012090181A JP2012090181A (ja) | 2012-05-10 |
| JP5486454B2 true JP5486454B2 (ja) | 2014-05-07 |
Family
ID=46261296
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010236809A Active JP5486454B2 (ja) | 2010-10-21 | 2010-10-21 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5486454B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5457991B2 (ja) * | 2010-10-21 | 2014-04-02 | 日本電信電話株式会社 | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム |
-
2010
- 2010-10-21 JP JP2010236809A patent/JP5486454B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012090181A (ja) | 2012-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Koblitz et al. | The random oracle model: a twenty-year retrospective | |
| Camenisch et al. | Batch verification of short signatures | |
| US20030120929A1 (en) | Digital signature and authentication method and apparatus | |
| Kiltz et al. | Identity-based signatures | |
| CN115834056A (zh) | 一种无证书有序聚合签名方法、系统及相关装置 | |
| López-García et al. | A pairing-based blind signature e-voting scheme | |
| Ming et al. | Proxy signcryption scheme in the standard model | |
| Jalaja et al. | New digital signature scheme on non-commutative rings using double conjugacy | |
| Chen et al. | Certificateless signatures: structural extensions of security models and new provably secure schemes | |
| Sepahi et al. | Lattice-based certificateless public-key encryption in the standard model | |
| Stallings | Digital signature algorithms | |
| Tso | A new way to generate a ring: Universal ring signature | |
| Xu et al. | An ID-based blind signature from bilinear pairing with unlinkability | |
| JP5486454B2 (ja) | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム | |
| Yang et al. | On-line/off-line threshold proxy re-signature scheme through the simulation approach | |
| JP5457991B2 (ja) | ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム | |
| Wang et al. | Perfect ambiguous optimistic fair exchange | |
| Fan et al. | Strongly secure certificateless signature scheme supporting batch verification | |
| JP4146252B2 (ja) | 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置 | |
| JP2006203660A (ja) | デジタル署名情報生成装置、デジタル署名情報生成方法及びプログラム | |
| Chen et al. | Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains | |
| JP5815754B2 (ja) | 署名検証システム、署名装置、検証装置、署名検証方法 | |
| JP3484069B2 (ja) | 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体 | |
| Constantinescu | Authentication protocol based on ellipitc curve cryptography | |
| Wang | Signer‐admissible strong designated verifier signature from bilinear pairings |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121212 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131113 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131126 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140221 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5486454 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |