JP5488596B2 - 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム - Google Patents

署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム Download PDF

Info

Publication number
JP5488596B2
JP5488596B2 JP2011515994A JP2011515994A JP5488596B2 JP 5488596 B2 JP5488596 B2 JP 5488596B2 JP 2011515994 A JP2011515994 A JP 2011515994A JP 2011515994 A JP2011515994 A JP 2011515994A JP 5488596 B2 JP5488596 B2 JP 5488596B2
Authority
JP
Japan
Prior art keywords
attribute
signature
public key
key
set expression
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011515994A
Other languages
English (en)
Other versions
JPWO2010137508A1 (ja
Inventor
潤 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011515994A priority Critical patent/JP5488596B2/ja
Publication of JPWO2010137508A1 publication Critical patent/JPWO2010137508A1/ja
Application granted granted Critical
Publication of JP5488596B2 publication Critical patent/JP5488596B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Description

本発明は匿名認証技術に関し、特に署名装置、署名検証装置、匿名認証システムに関する。
匿名認証とは、複数の属性を持つ匿名認証証明書と、これにより裏付けられた署名鍵とを認証局から与えられて所持するユーザ(署名者)が、これらを利用して与えられた文書に対して匿名認証証明書の属性を一部開示する署名を生成することができるという技術である。この署名からは開示された属性と、署名がある匿名認証証明書に基づく署名鍵で生成されたことしか分からない。
この匿名認証技術を利用すれば、たとえばオンラインショップなどで、ユーザが事業者に対して署名を開示しさえすれば、クレジットカード番号などの重要な個人情報を事業者に対して明かすことなくサービスを利用することが可能である。事業者はこの署名から該ユーザの個人情報を知ることはできないが、その認証局(カード会社など)から認証を受けたメンバーであると知ることはできるので、安心して該ユーザにサービスを提供でき、その認証局を通じて安全に利用代金を回収することができる。
ユーザは、個人情報の漏洩などに対して敏感になっているので、事業者に対して開示する個人情報をできるだけ少なくしようとしている。また事業者は、個人情報の管理にかかるコストが増大しているので、保有するユーザの個人情報をできるだけ少なくしようとしている。そのため、匿名認証技術は、ユーザと事業者の両方に対して有用な個人情報の利用方法を提供することができるものとして期待されている。
非特許文献1に記載された既存の匿名認証署名方式について説明する。図9は、この方式の中心的な要素である署名装置500の構成について示す説明図である。図10は、同じく中心的な要素である署名検証装置600の構成について示す説明図である。
pは、ある素数であり、無作為に選ばれた体(Z/pZ)の元γは、認証秘密鍵であると設定する。公開変数は、自然数Nと、素数pと、位数pである群1(Group 1)と群2(Group 2)と群T(Group T)と、群1と群2から群Tへの双線形写像eと、群2から群1への同型写像πと、文字列を体(Z/pZ)へと写像するハッシュ関数Hashとを記述する文字列を含む。さらに、公開変数は、群2の生成子g[2]と、π(g[2])=g[1]となる群1の生成子g[1]と、ハッシュ関数の出力から生成された群2の元h、h[1],…,h[N]とを含む。また、認証局公開鍵yは、y=g[1]γと設定する。
署名者の属性はN個のZ/pZの要素からなる。今、ある署名者Sのそれを、θ[1],…,θ[N]と表現する。この署名者の匿名認証証明書と署名鍵は、署名者と認証局が通信回線を用いて対話して生成されるのであるが、これは数1に示す関係を満たす匿名認証証明書(a、ω)および署名鍵ξである(a∈群2、ω∈Z/pZ、ξ∈Z/pZ)。
Figure 0005488596
 図9に示す署名装置500は、非対話的ゼロ知識証明生成手段501を有する。非対話的ゼロ知識証明生成手段501には、署名をする文書mと、認証局公開鍵y=g[1]γと、署名鍵ξと、匿名認証証明書(a、ω)と、署名者が所持する全ての属性θ[1],…,θ[N]と、どの属性を開示するかの情報である集合O∈{1,…,N}と、乱数とが外部から入力される。
これらの入力に対して、非対話的ゼロ知識証明生成手段501は、g[1]、g[2]、h、h[i]、θ[i]、yに対して、数2に示す関係を満たす知識の非対話的ゼロ知識証明prfを生成する。このprfが選択的属性開示署名(署名)である。
Figure 0005488596
 図10に示す署名検証装置600は、非対話的ゼロ知識証明検証手段601を有する。非対話的ゼロ知識証明検証手段601には、認証局公開鍵y=g[1]γ、g[1]、g[2]、h、h[i](i=1,…,N)、開示された属性θ[i](i∈O)、文書m、署名prfが入力される。
これらの入力に対して、非対話的ゼロ知識証明検証手段601は、非対話的ゼロ知識証明である署名prfが、数3に示す関係を満たす知識の非対話的ゼロ知識証明であるか否かを示す受理/不受理信号を出力する。
Figure 0005488596
 この技術に関連して、次の特許文献が開示されている。特許文献1は、鍵利用者があらかじめ登録した条件に基づいて、その鍵を非利用者も利用できるようにしたという電子署名代行方法を記載している。特許文献2は、正規の公開鍵から匿名公開鍵を作成し、この匿名公開鍵と正規の秘密鍵とから認証を行うという匿名認証技術を記載している。特許文献3は、公開鍵と共に属性証明書、有効性証明書、タイムスタンプなどを利用して、認証に係る認証局の負担を減らすというデジタル署名技術を記載している。
特開2002−341762号公報 特開2005−064791号公報 特開2006−108917号公報
Man Ho Au,Willy Susilo,Yi Mu:Constant−Size Dynamic k−TAA.Security and Cryptography for Networks,5th International Conference,SCN 2006,Maiori,Italy,September 6−8,2006,Proceedings(SCN)pp.111−125,Springer,Lecture Notes in Computer Science,volume 4116,ISBN 3−540−38080−9.
前述の匿名認証技術は、署名者が持つことのできる属性の数をあらかじめ限定している。これは、匿名認証証明書が生成された時点でN個の属性が固定されることを意味し、また、このN個を越える新たな属性を獲得することができないことを意味する。すなわち、新たな属性を獲得するためには、従来の匿名認証証明書を一旦失効し、新たに匿名認証証明書を発行する必要がある。この失効処理は、公開鍵に影響を与え、他の署名者にも処理を課すため頻繁に実行することはできない。
しかしながら、実社会の一員である署名者に、有効期限付の属性を付与し、期限に至るとさらに次の有効期限までの属性をさらに付与すると言う処理は、たとえば署名者が新たなクレジットカードに加入する、そのクレジットカードの有効期限を更新するなどのように、実社会においては頻繁に発生しうる。これらの処理を迅速に行うためには署名者の持つ属性の追加が容易であることが必要であるが、前述の匿名認証技術では属性の追加が難しいので、そのような頻繁に発生しうる処理に対して利便性に欠けている。
また、前述の匿名認証技術は、開示しない属性それぞれの知識をゼロ知識によって証明するので、それぞれの属性に対応する証明に必要なデータと計算それぞれが重なり、選択属性開示署名の長さが長くなる。このため、選択属性開示署名の長さが開示しない属性に比例することになるので、処理に必要な計算量も大きくなる。これは、大きなNを選び、頻繁に用いない属性も全て取り込んだ匿名認証証明書を保持し、少数の必要な属性だけを開示する選択属性開示署名を生成するという運用が、非効率的であるということを意味する。
以上で示した問題点を解決しうる構成は、前述の非特許文献1、および特許文献1〜3には記載されていない。
本発明の目的は、署名者が任意の個数の属性を持つことができ、かつ署名の長さが開示しない属性の個数や開示する個数に影響を受けない匿名認証証明書を発行することを可能とする署名装置、署名検証装置、匿名認証システム、署名方法、署名検証方法およびそれらのプログラムを提供することにある。
本発明の署名装置は、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける手段と、入力された前記属性証明集合および前記属性公開鍵から、属性集合表現値を生成する属性集合表現値生成手段と、前記属性証明集合から、属性集合表現鍵を生成する属性集合表現鍵生成手段と、入力された前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、前記属性集合表現値生成手段が生成した前記属性集合表現値および前記属性集合表現鍵生成手段が生成した前記属性集合表現鍵から非対話的ゼロ知識証明を生成する非対話的ゼロ知識証明生成手段と、前記非対話的ゼロ知識証明を前記署名データとして出力する署名出力手段とを有することを特徴とする。
本発明の署名検証装置は、認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける手段と、入力された前記属性および前記属性公開鍵から属性集合表現値を生成する属性集合表現値生成手段と、前記認証局公開鍵、前記文書、および前記属性集合表現値生成手段が生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断してその結果を出力する非対話的ゼロ知識証明検証手段とを有することを特徴とする。
本発明の匿名認証システムは、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける手段と、前記属性証明集合および前記属性公開鍵から、属性集合表現値を生成する属性集合表現値生成手段と、前記属性証明集合から、属性集合表現鍵を生成する属性集合表現鍵生成手段と、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、前記属性集合表現値生成手段が生成した前記属性集合表現値および前記属性集合表現鍵生成手段が生成した前記属性集合表現鍵から非対話的ゼロ知識証明を生成する非対話的ゼロ知識証明生成手段と、前記非対話的ゼロ知識証明を前記署名データとして出力する署名出力手段とを有することを特徴とする署名装置と、認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける手段と、前記属性および前記属性公開鍵から属性集合表現値を生成する属性集合表現値生成手段と、前記認証局公開鍵、前記文書、および前記属性集合表現値生成手段が生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断してその結果を出力する非対話的ゼロ知識証明検証手段とを有することを特徴とする署名検証装置と、を含む。
本発明の署名方法は、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付け、前記属性証明集合および前記属性公開鍵から属性集合表現値を生成し、前記属性証明集合から属性集合表現鍵を生成し、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、生成した前記属性集合表現値および前記属性集合表現鍵から非対話的ゼロ知識証明を生成し、この非対話的ゼロ知識証明を前記署名データとして出力する処理をコンピュータに行わせることを特徴とする。
認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付け、
前記属性および前記属性公開鍵から属性集合表現値を生成し、
前記認証局公開鍵、前記文書、および生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断してその結果を出力する処理をコンピュータに行わせることを特徴とする署名検証方法。
本発明の署名プログラムは、コンピュータに、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける手順と、前記属性証明集合および前記属性公開鍵から属性集合表現値を生成する手順と、前記属性証明集合から属性集合表現鍵を生成する手順と、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、生成した前記属性集合表現値および前記属性集合表現鍵から非対話的ゼロ知識証明を生成する手順と、生成した前記非対話的ゼロ知識証明を前記署名データとして出力する手順とを実行させることを特徴とする。
本発明の署名検証プログラムは、コンピュータに、認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける手順と、前記属性および前記属性公開鍵から属性集合表現値を生成する手順と、前記認証局公開鍵、前記文書、および生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断し、判断した結果を出力する手順とを実行させることを特徴とする。
本発明は、上述したように全ての属性に対してただ1つの公開鍵を割り当て、各属性に対応する匿名認証証明書から非対話的ゼロ知識証明を生成して署名データとして出力するように構成したので、公開鍵は1つのみで済み、かつこの非対話的ゼロ知識証明のデータが各属性に対応する値を含まないものとなる。これによって、署名者が任意の個数の属性を持つことができ、かつ署名の長さが開示しない属性の個数や開示する個数に影響を受けない匿名認証証明書を発行することを可能であるという特徴を持つ署名装置、署名検証装置、匿名認証システム、署名方法、署名検証方法およびそれらのプログラムを提供することができる。
本発明の実施形態に係る匿名認証システム全体の構成を示す説明図である。 図1で示した署名者装置、事業者装置、および認証局装置の、ハードウェアとしての概略的な構成を示す説明図である。 図1で示した署名者装置、事業者装置、および認証局装置が備える各動作部の概略的な構成を示す説明図である。 図1および図3で示した署名装置のより詳しい構成を示す説明図である。 図4で示した署名装置の動作を示すフローチャートである。 図1および図3で示した署名検証装置のより詳しい構成を示す説明図である。 図6で示した署名検証装置の動作を示すフローチャートである。 図1および図3で示した匿名認証システムの各動作部の動作に係る構成を示す説明図である。 非特許文献1に記載された既存の匿名認証署名方式に係る署名装置の構成について示す説明図である。 非特許文献1に記載された既存の匿名認証署名方式に係る署名検証装置の構成について示す説明図である。
1 匿名認証システム
10 署名者装置
20 事業者装置
30 認証局装置
40 ネットワーク
100 コンピュータ装置
11、21、31、101 CPU
102 RAM
32、103 HDD
104 NIC
200 選択的属性開示署名部
201 属性集合表現値生成手段
202 属性集合表現鍵生成手段
203 追跡用暗号文生成手段
204 連携識別子生成手段
205 非対話的ゼロ知識証明生成手段
206 署名出力手段
210 署名装置
300 選択的属性開示署名検証部
301 属性集合表現値生成手段
302 連携識別子・文字列入力手段
303 非対話的ゼロ知識証明検証手段
310 署名検証装置
410 属性追加部
420 属性獲得部
430 追跡部
440 失効部
450 鍵更新部
460 メンバーリストL
(実施形態)
以下、本発明の実施形態の構成について添付図1〜4、6、8に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
まず、本実施形態に係る署名装置(たとえば、図3における匿名認証システム1の署名装置210)は、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付け、そこから署名データを生成する。この署名装置210は、たとえば、図4に示すように、選択的属性開示署名部200で構成される。この場合、署名装置210(選択的属性開示署名部200)は、属性集合表現値生成部201と、属性集合表現鍵生成部202と、非対話的ゼロ知識証明生成部205と、署名出力部206とを含む。属性集合表現値生成部201は、入力された属性証明集合および属性公開鍵から、属性集合表現値を生成する。属性集合表現鍵生成部202は、入力された属性証明集合から、属性集合表現鍵を生成する。非対話的ゼロ知識証明生成部205は、入力された認証局公開鍵、匿名認証証明書、署名鍵、文書と、生成した属性集合表現値および属性集合表現鍵から非対話的ゼロ知識証明(non−interactive zero−knowledge proof)を生成する。署名出力部206は、非対話的ゼロ知識証明を署名データとして出力する。
詳細は後述するが、ここで、属性証明集合は、開示する属性と該属性に対応する属性鍵の組の集合である。属性公開鍵は、一度に開示できる属性の数に比例する個数の巡回群の要素からなる。属性集合表現値は、属性公開鍵の各要素に、属性証明集合に含まれる属性の値から計算される係数を乗じた後に、これらの結果を足し合わせたものである。属性集合表現鍵は、属性証明集合に含まれる属性鍵の各要素に、属性証明集合に含まれる属性の値から計算される係数を乗じた後に、これらの結果を足し合わせたものである。
署名装置210はさらに、入力された乱数、追跡公開鍵、認証局公開鍵および署名鍵から、追跡用暗号文を生成する追跡用暗号文生成部203を備えてもよい。この場合、非対話的ゼロ知識証明生成部は、認証局公開鍵、匿名認証証明書、署名鍵、文書、属性集合表現値、属性集合表現鍵と、追跡用暗号文および乱数から非対話的ゼロ知識証明を生成する。
また、署名装置210は、入力された認証局公開鍵、連携識別子を生成するか否かを示す判断子、連携文字列から連携識別子を生成する連携識別子生成部204を備えてもよい。この場合、非対話的ゼロ知識証明生成部は、認証局公開鍵、匿名認証証明書、署名鍵、文書、属性集合表現値、属性集合表現鍵と、連記文字列、連携識別子、および乱数から非対話的ゼロ知識証明を生成する。
続いて、本実施形態に係る署名検証装置(たとえば、図3における匿名認証システム1における署名検証装置310)は、認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付け、そこから署名データが正当であるか否かを検証してその結果を出力する。この署名検証装置310は、たとえば、図6に示すように、選択的属性開示署名検証部300で構成される。この場合、署名検証装置310(選択的属性開示署名検証部300)は、属性集合表現値生成部301と、非対話的ゼロ知識証明検証部303とを含む。属性集合表現値生成部301は、入力された属性および属性公開鍵から属性集合表現値を生成する。非対話的ゼロ知識証明検証部303は、認証局公開鍵、属性集合表現値、および文書から、署名データが属性を開示した下での文書に対する正当な署名であるか否かを判断してその結果を出力する。
前述したように、属性公開鍵は、一度に開示できる属性の数に比例する数の複数個の巡回群の要素からなり、属性集合表現値は、属性公開鍵の各要素に属性の値から計算される係数を乗じた後に、これらの結果を足し合わせたものである。
非対話的ゼロ知識証明検証部303は、認証局公開鍵、属性集合表現値、文書と、追跡公開鍵、および追跡用暗号文から、署名データが文書に対する正当な署名であるか否かを判断する。
そして、署名検証装置310(図6の選択的属性開示署名検証部300)は、連携識別子・文字列入力部302を備える。連携識別子・文字列入力部302は、連携識別子、連携文字列および連携識別子を生成するか否かを示す判断子を入力し、その判断子の値に応じて連携識別子および連携文字列を非対話的ゼロ知識証明検証部303に出力する。この場合、非対話的ゼロ知識証明検証部303は、認証局公開鍵、属性集合表現値、文書と、連携識別子および連携文字列から、署名データが文書に対する正当な署名であるか否かを判断する。
図3に示すように、本実施形態に係る匿名認証システム1は、前述したように、署名装置210と、署名検証装置310とを備える。前述したように、署名装置210は、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵についての入力を受け付け、そこから署名データを生成する。署名検証装置310は、認証局公開鍵、属性公開鍵、属性、文書、および署名装置210署名データの入力を受け付け、そこから署名データが正当であるか否かを検証してその結果を出力する。
匿名認証システム1はさらに、署名装置210および署名検証装置310と相互に接続された認証局装置30を備えても良い。この認証局装置30は、図8に示すように、属性追加部410と、属性獲得部420とを含む。属性追加部410は、入力された認証局公開鍵、属性秘密鍵、属性公開鍵と、メンバーリスト、署名者情報と属性から、属性証明を生成する。属性獲得部420は、入力された認証局公開鍵、属性公開鍵、属性証明から、拒否あるいは受理を表すデータを出力する。
そして匿名認証システム1の署名装置210は、入力された乱数、追跡公開鍵、認証局公開鍵および署名鍵から、追跡用暗号文を生成する追跡用暗号文生成部203を備えるてもよい。この場合、非対話的ゼロ知識証明生成部205は、認証局公開鍵、匿名認証証明書、署名鍵、文書、属性集合表現値、属性集合表現鍵と、追跡用暗号文および乱数から非対話的ゼロ知識証明を生成する。また、署名検証装置310の非対話的ゼロ知識証明検証部303は、認証局公開鍵、属性集合表現値、文書と、追跡公開鍵、および追跡用暗号文から、署名データが文書に対する正当な署名であるか否かを判断する。また、認証局装置30は、追跡部430と、失効部440と、鍵更新部450とを含む。追跡部430は、認証局公開鍵、属性公開鍵、追跡秘密鍵、追跡公開鍵と、メンバーリスト、署名、属性、およびメッセージから、署名者情報を生成する。失効部440は、認証局秘密鍵、認証局公開鍵、メンバーリスト、および署名者情報の一部から、失効情報を生成する。鍵更新部450は、認証局公開鍵、属性公開鍵、署名鍵、匿名認証証明書および失効情報から、匿名認証証明書を更新する。
以上の構成を備えることにより、匿名認証システム1は署名者が任意の個数の属性を持つことができ、かつ署名の長さが開示しない属性の個数や開示する個数に影響を受けない匿名認証証明書を発行することが可能となる。
以下、これをより詳細に説明する。
(本実施形態の基本動作)
以下、本明細書では、pは素数であり、Nは自然数である。群1(Group 1)と群2(Group 2)と群Tと群Eは、それぞれ位数pの群であり、群1と群2から群Tへの双線形写像eが存在する。群Eは、素体上の乗法群や、一般の楕円曲線等でディフィヘルマン判別問題を解くことが困難な群である。πは、群2から群1への同型写像である。
Hashは文字列を体(Z/pZ)へと写像するハッシュ関数である。Hash[E]は文字列から群Eへのハッシュ関数である。g[2]は群2の生成子、g[1]はπ(g[2])=g[1]となる群1の生成子である。gは群Eの生成子である。f、hはランダムに選ばれた群1の元である。公開変数paramは、p、Nと、群1、群2、群T、双線形写像e、同型写像π、文字列からZ/pZへのハッシュ関数Hash、文字列から群Eへのハッシュ関数Hash[E]を記述する文字列と、g[1]、g[2]、g、f、hである。
認証局秘密鍵φは、ランダムに選ばれた体Z/pZの元である。認証局公開鍵は、y=g[2]φである。ψはランダムに選ばれたZ/pZの元である。dはランダムに選ばれた群1の元である。i=1,…,Nに関して、ψ[i]=ψi、z[i]=g[2]ψ[i]が成立する。属性秘密鍵がψ、属性公開鍵がd、z[i](i=1,…,N)である。
σおよびτは、無作為に選ばれた体Z/pZ上の2点である。また、sとtは各々、s=gσ、t=gτであるとする。追跡秘密鍵を(σ、τ)、追跡公開鍵を(s、t)と各々定義する。
それぞれの署名者は、ランダムに選ばれた署名鍵ξ∈Z/pZと、数4を満たす匿名認証証明書(a、ω、η)と、数5を満たす識別子qとを、予め認証局から与えられている。
Figure 0005488596
Figure 0005488596
 また、識別者毎に、署名者情報(q、ω)、属性証明集合attrが生成され、後述のメンバーリストLに格納される。属性証明集合attrの初期値は空集合である。
(匿名認証システム)
図1は、本発明の実施形態に係る匿名認証システム1全体の構成の例を示す説明図である。匿名認証システム1は、署名者装置10と、事業者装置20と、認証局装置30とが、ネットワーク40を介して相互に接続されて構成される。署名者装置10は、ユーザである署名者が操作するコンピュータ装置である。事業者装置20は、署名者から受け取った匿名認証証明書および署名鍵からこの署名が正当なものであるかを検証しようとする事業者が備えるコンピュータ装置である。認証局装置30は、署名者に対して匿名認証証明書および署名鍵を発行した認証局が備えるコンピュータ装置である。
図2は、図1で示した署名者装置10、事業者装置20、および認証局装置30の、ハードウェアとしての概略的な構成を示す説明図である。これらの装置は、それぞれ一般的なコンピュータ装置100である。コンピュータ装置100は、コンピュータプログラムを実施する主体であるCPU(Central Processing Unit)101と、作業中のプログラムおよびデータを一時的に記憶する主記憶装置であるRAM(Random Access Memory)102と、プログラムを記憶するハードディスク装置などの不揮発性記憶装置であるHDD(Hard Disk Drive)103と、ネットワーク40と接続して他のコンピュータとのデータ通信を行うNIC(Network Interface Card)104とで構成される。
以後、署名者装置10、事業者装置20、および認証局装置30の各々が備えるCPUを、それぞれCPU11、CPU21、CPU31という。また、認証局装置30が備えるHDD103を、HDD32という。
図3は、図1で示した署名者装置10、事業者装置20、および認証局装置30が備える各動作部の概略的な構成を示す説明図である。署名者装置10の備えるCPU11では、選択的属性開示署名部200がコンピュータプログラムとして実行されることにより、署名装置210として機能する。事業者装置20の備えるCPU21では、選択的属性開示署名検証部300がコンピュータプログラムとして実行されることにより、署名検証装置310として機能する。
図3は、署名者装置10が選択的属性開示署名装置210であり、事業者装置20が選択的属性開示署名検証装置310であるという例を示す図である。選択的属性開示署名部200および選択的属性開示署名検証部300が認証局装置30で動作して、署名者装置10および事業者装置20はネットワーク40を介してそこにデータを入力し、そこからの出力を受けるように構成することもできる。
認証局装置30の備えるCPU31では、属性追加部410、属性獲得部420、追跡部430、失効部440、鍵更新部450の各々がコンピュータプログラムとして実行されることにより、それぞれ属性追加装置、属性獲得装置、追跡装置、失効装置、鍵更新装置として機能する。また、HDD32には、前述のメンバーリストL460が記憶されている。
(署名装置)
図4は、図1および図3で示した署名装置210のより詳しい構成を示す説明図である。図5は、図4で示した署名装置210の動作を示すフローチャートである。署名装置210は、前述のように選択的属性開示署名部200を備える。選択的属性開示署名部200には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、追跡公開鍵tpk=(s、t)の各々が入力される。ここでi=1,…,Nである。
選択的属性開示署名部200にはさらに、匿名認証証明書(a、ω、η)、署名鍵(ξ)、開示する属性証明集合attr=(Θ[i]、x[i])、文書mの各々も入力される。ここでi=1,…,Mであり、かつM≦Nである。そして選択的属性開示署名部200には、連携識別子生成をするかを表す判断子D∈{0、1}、が入力される。D=1の場合には、連携文字列refも同時に入力される。
選択的属性開示署名部200は、属性集合表現値生成部201、属性集合表現鍵生成部202、追跡用暗号文生成部203、連携識別子生成部204、非対話的ゼロ知識証明生成部205、および署名出力部206を備える。これら各部の動作については次に示す。
属性集合表現値生成部201は、変数ψに関する数6に示す多項式の全ての係数を求める。ここで、ψ[k]はψのk次の係数である。そして、この係数とz[i](i=1,…,M)から、数7で表される属性集合表現値Ψを生成する(図5:ステップS251)。
Figure 0005488596
Figure 0005488596
 属性集合表現鍵生成部202は、数8で表される属性集合表現鍵x’を生成する(図5:ステップS252)。
Figure 0005488596
 追跡用暗号文生成部203は、ランダムにZ/pZの元μ、ν、λを選び、数9で表される追跡用暗号文(c、u、v)を生成し、さらに数10で示されるbおよびΔを生成する。ここで、数11で示される関係が成立する(図5:ステップS253)。
Figure 0005488596
Figure 0005488596
Figure 0005488596
 連携識別子生成部204は、D=1である場合に、数12で示される連携識別子tagを生成する(図5:ステップS254〜255)。
Figure 0005488596
 非対話的ゼロ知識証明生成部205は、前述の数9、数12、数13に示した各々の関係を満たす(ω、ξ、ζ、ν、λ)の非対話的ゼロ知識証明を生成する。ただし、D=1である場合に限って、数12について考える(図5:ステップS256)。
Figure 0005488596
 より具体的には、非対話的ゼロ知識証明生成部205はまず、ランダムにZ/pZの要素ω’、ξ’、ζ’、ν’、λ’を選び、数14で表されるΩ’、Γ’、(c’、u’、v’)およびtag’を生成する。ただし、D=1である場合に限って、tag’を生成する。
Figure 0005488596
 これに続いて、非対話的ゼロ知識証明生成部205は、数15で表されるγを生成する。ただし、D=1である場合のみ数15のHash関数の引数にtag’が含まれる。
Figure 0005488596
 そして非対話的ゼロ知識証明生成部205は、数16で表されるω’’、ξ’’、ζ’’、ν’’、λ’’を生成する。
Figure 0005488596
 署名出力部206は最終的に、数21で表されるgsを、属性Θ[i](i=1,…,M)を開示した文書mに対する署名として出力する(図5:ステップS257)。ただし、D=1である場合のみ数17の引数に連携識別子tagが含まれる。
Figure 0005488596
 (署名検証装置)
図6は、図1および図3で示した署名検証装置310のより詳しい構成を示す説明図である。図7は、図6で示した署名検証装置310の動作を示すフローチャートである。署名検証装置310は、前述のように選択的属性開示署名検証部300を備える。選択的属性開示署名検証部300には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、追跡公開鍵tpk=(s、t)の各々が入力される。ここでi=1,…,Nである。
選択的属性開示署名検証部300にはさらに、開示された属性Θ[i](i=1,…,M)、判断子D∈{0、1}、連携文字列ref、数21に示した署名gsの各々も入力される。ここでM≦Nである。また、D=1のときのみ連携文字列refが入力され、署名は連携識別子tagを含む。
選択的属性開示署名検証部300は、属性集合表現値生成部301、連携識別子・文字列入力部302、非対話的ゼロ知識証明検証部303を備える。これら各部の動作については次に示す。
属性集合表現値生成部301は、変数ψに関する数18に示す多項式の全ての係数を求める。ここで、ψ[k]はψのk次の係数である。そして、この係数とz[i](i=1,…,M)から、数19で表される属性集合表現値Ψを生成する(図7:ステップS351)。
Figure 0005488596
Figure 0005488596
 非対話的ゼロ知識証明検証部303は、入力されたgsに含まれる(γ、ω’’、ξ’’、ζ’’、ν’’、λ’’)が、以下の数20〜数22を満たす(ω、ξ、ζ、ν、λ)の非対話的ゼロ知識証明であるか否かを検証する。もって署名検証装置310は、この検証結果を検証結果として出力する。ただし、D=1である場合に限って、数22について計算する。
Figure 0005488596
Figure 0005488596
Figure 0005488596
 より具体的には、非対話的ゼロ知識証明検証部303は数20〜数22に示した計算を数23の各式に従って、各々の数値を生成することによって検証を行う(図7:ステップS354)。ただし、D=1である場合に限って、連携識別子・文字列入力部302が連携文字列refおよび連携識別子tagを非対話的ゼロ知識証明検証部303に入力する(図7:ステップS352〜353)。非対話的ゼロ知識証明検証部303は、入力されたref及びtagからtag’を生成する。
Figure 0005488596
 非対話的ゼロ知識証明検証部303は、これらの数値が、数24に示す条件を満たすか否かを検証する(図7:ステップS355)。ただし、D=1である場合に限って、tag’が数24に示すHash関数の引数に含まれる。数24に示す条件を満たしていれば「受理」(図7:ステップS356)、出なければ「不受理」を表すデータを出力する(図7:ステップS357)。
Figure 0005488596
 (認証局装置)
図3に示した認証局装置30で動作する、属性追加部410、属性獲得部420、追跡部430、失効部440、鍵更新部450の各々の動作について説明する。まず属性追加部410には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、属性秘密鍵、と属性Θ∈{0、1}*、署名者情報(q、ω)の各々が入力される。属性追加部410はそれらの入力情報から、θ=Hash(Θ)を生成し、数25に示す計算で属性鍵xを生成して、属性証明(Θ、x)を出力する。
Figure 0005488596
 属性獲得部420には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、署名者情報(q、ω)、属性証明(Θ、x)の各々が入力される。属性獲得部420は、数26に示す条件が成立することを確認した後、この属性証明(Θ、x)を保存する。
Figure 0005488596
 追跡部430には、公開変数paramである諸文字列と(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=d、z[i](i=1,…,N)、追跡公開鍵tpk=(s、t)、追跡秘密鍵tsk=(σ、τ)の各々と、さらに数27で示す署名gs、そしてメンバーリストL460が入力される。ここでM≦Nである。
Figure 0005488596
 追跡部430は、数28で示すqを生成し、これを含む署名者情報をメンバーリストL460から探して出力する。そして、数29で示す条件を満たすσの存在の、非対話的ゼロ知識証明prfを生成し、これを出力する。
Figure 0005488596
Figure 0005488596
 失効部440には、公開変数paramである諸文字列と(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=y、認証局秘密鍵sk=φの各々と、さらにメンバーリストL460と、失効する署名者に対応する署名者情報(q’、ω’)が入力される。
失効部440は、メンバーリストL460の中にとなるU’およびattr’が存在することを確認してから、それらについて数30に示す各データを生成する。そしてω’と(g’[1]、f’、h’)を失効情報として出力する。
Figure 0005488596
 鍵更新部450には、公開変数paramである諸文字列と(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)の各々と、さらに匿名認証証明書(a、ω、η)、署名鍵(ξ)、そして失効情報(ω’、(g’[1]、f’、h’))が入力される。
鍵更新部450は、数31に示すa’を生成し、匿名認証証明書(a、ω、η)の更新先として、新しい匿名認証証明書(a’、ω、η)を出力する。
Figure 0005488596
 図8は、図1および図3で示した匿名認証システム1の各動作部の動作に係る構成を示す説明図である。公開変数param(p、N、g[1]、g[2]、g、f、h)、属性公開鍵apk=(d、z[i])、認証局公開鍵mpk=(y)、追跡公開鍵tpk=(s、t)は、あらかじめ匿名認証システム1全体に対して公開されており、各装置が所持しているか、もしくは必要に応じて参照できる。
メンバーリストL460、認証局秘密鍵、属性秘密鍵、追跡秘密鍵は、認証局装置30のみが記憶し、署名者装置10および事業者装置20には開示されない。署名鍵(ξ)は、署名者装置10にあらかじめ与えられている。
属性追加部410には、前述したように公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性秘密鍵、属性公開鍵apk=(d、z[i])が入力されている。
図6で示した署名検証装置310には、前述のように公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、追跡公開鍵tpk=(s、t)の各々が入力される。
追跡部430には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、追跡秘密鍵、追跡公開鍵tpk=(s、t)の各々が入力される。
失効部440には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局秘密鍵、認証局公開鍵mpk=(y)の各々が入力される。
属性獲得部420には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、署名者情報(q、ω)、属性証明(Θ、x)の各々が入力される。
図4で示した署名装置210には、前述のように公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵属性公開鍵apk=(d、z[i])、追跡公開鍵tpk=(s、t)の各々が入力される。
鍵更新部450には、公開変数param(p、N、g[1]、g[2]、g、f、h)、認証局公開鍵mpk=(y)、属性公開鍵apk=(d、z[i])、追跡公開鍵tpk=(s、t)、の各々が入力される。
属性追加部410は、ある署名者情報(q、ω)と属性Θ∈{0、1}*が入力されると、前述の数25に示した計算を行って属性証明(Θ、x)を出力する。この属性証明(Θ、x)は、入力された署名者情報(q、ω)に対応して準備されている属性獲得部420に送られる。属性獲得部420は入力された属性証明(Θ、x)について、前述の数26に示した条件が成立することを確認する。
署名者情報(q、ω)に対応して、属性追加部410が属性証明(Θ、x)を生成し、属性獲得部420がこの属性証明(Θ、x)を確認して保存する。このようにして確認および保存された属性証明を複数組み合わせて構成された属性証明集合attr=(Θ[i]、x[i])が、この署名者情報(q、ω)に対応して署名装置210に入力される。
署名装置210は、文書m、連携文字列ref、判断子D、開示する属性証明集合attr=(Θ[i]、x[i])、匿名認証証明書(a、ω、η)、署名鍵(ξ)が入力されると、前述した動作によって署名gsを生成する。
署名装置210により生成された署名gsと、開示された属性Θ[i]と文書mが署名検証装置310に入力されると、署名検証装置310は前述した動作によって受理もしくは不受理を表すデータを出力する。
追跡部430は、メンバーリストL460、署名装置210により生成された署名gs、開示された属性Θ[i]が入力されると、前述した動作によって数28で示すqを含む署名者情報(q、ω)をメンバーリストL460の中から探して出力する。
失効部440に、メンバーリストL460および失効するメンバー(署名者)に対応する署名者情報(q’、ω’)が入力されると、前述した動作によって数30に示すω’および(g’[1]、f’、h’)を失効情報として出力する。
鍵更新部450に、前述した匿名認証証明書(a、ω、η)と失効情報ω’および(g’[1]、f’、h’)が入力されると、前述した動作によって数31に示す演算を行い、新しい匿名認証証明書(a’、ω、η)を出力する。この新しい匿名認証証明書(a’、ω、η)は、改めて署名装置210に入力される。
(本実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。以下に示す本発明に係る署名方法は、署名装置210により署名データを生成する方法である。まず、署名装置210は、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける。次に署名装置210は、入力された属性証明集合および属性公開鍵から属性集合表現値を生成する(図5:ステップS251)。また、署名装置210は、属性証明集合から属性集合表現鍵を生成する(図5:ステップS252)。署名装置210は、さらに、入力された認証局公開鍵、匿名認証証明書、署名鍵、文書と、属性集合表現値および属性集合表現鍵から非対話的ゼロ知識証明を生成する(図5:ステップS256)。署名装置210は、この非対話的ゼロ知識証明を署名データとして出力する(図5:ステップS257)。
そして、以下に示す本発明に係る署名検証方法は、署名検証装置310により署名データが正当であるか否かを検証してその結果を出力する署名検証方法である。まず、署名検証装置310は、認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける。次に、署名検証装置310は、入力された属性および属性公開鍵から属性集合表現値を生成する(図7:ステップS351)。さらに、署名検証装置310は、認証局公開鍵、属性集合表現値、および文書から、署名データが属性を開示した下での文書に対する正当な署名であるか否かを判断して(図7:ステップS354〜355)その結果を出力する(図7:ステップS356〜357)。
ここで、上記各動作ステップをコンピュータで実行可能にプログラム化したプログラムを、前記各ステップを直接実行する主体である署名装置210もしくは署名検証装置310が実行するようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
本実施形態に係る匿名認証システム1は、属性追加部410によって、(q、ω)に対応する属性証明(Θ、x)を無制限に生成することができる。そして、この属性証明(Θ、x)を属性獲得部420で受け取った署名者は、署名装置210を用いて、その生成する署名gsとともにattr=(Θ[i]、x[i])の中の任意の属性Θ[i]を開示することが可能となる。
署名検証装置310は、署名gsと、開示された属性Θ[i]と文書mが正当なものであるか否かを検証可能である。そして、追跡部430は署名gsから署名者情報(q、ω)をメンバーリストL460の中から探して取り出すことが可能である。
本実施形態で、署名装置210の生成する署名gsは、開示する属性の数に比例してその生成のための計算量が増えるのみで、署名長が署名者情報に関連づけられた属性の数には依存して増加することはない。一回に開示できる属性の数はあらかじめ決められた数N以下に制限されているが、これは匿名認証システムを利用する操作の上では特に問題とはならない。
本実施形態に係る署名装置の最小構成は、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける部と、属性集合表現値生成部201と、属性集合表現鍵生成部202と、非対話的ゼロ知識証明生成部205と、署名出力部206とを有する構成である。属性集合表現値生成部201は、入力された属性証明集合および属性公開鍵から、属性集合表現値を生成する。属性集合表現鍵生成部202は、属性集合表現値生成部201が生成した属性証明集合から、属性集合表現鍵を生成する。非対話的ゼロ知識証明生成部205は、入力された認証局公開鍵、匿名認証証明書、署名鍵、文書と、前記属性集合表現値および前記属性集合表現鍵から非対話的ゼロ知識証明を生成する。署名出力部206は、非対話的ゼロ知識証明を署名データとして出力する。
以上の構成をもつ署名装置は、開示する全ての属性及び対応する属性公開鍵を一つの値で表す属性集合表現値と、属性集合表現値に対応する属性集合表現鍵とを生成する。署名装置は、生成した属性集合表現値及び属性集合表現鍵を含むデータから、非対話的ゼロ知識証明を生成し、署名データとして出力する。この非対話的ゼロ知識証明はそれぞれの属性に対応する値を含まないので、非対話的ゼロ知識証明のデータのサイズは属性の個数の影響を受けない。
従って、上記の最小構成の署名装置には、署名の長さが属性の個数の影響を受けないという効果がある。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない、本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
この出願は、2009年5月29日に出願された日本国出願特願2009−130644を基礎とする優先権を主張し、その開示の全てをここに取り込む。
匿名認証を利用するシステムおよび装置において利用できる。

Claims (15)

  1. 認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける手段と、
    入力された前記属性証明集合および前記属性公開鍵から、属性集合表現値を生成する属性集合表現値生成手段と、
    前記属性証明集合から、属性集合表現鍵を生成する属性集合表現鍵生成手段と、
    入力された前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、前記属性集合表現値生成手段が生成した前記属性集合表現値および前記属性集合表現鍵生成手段が生成した前記属性集合表現鍵から非対話的ゼロ知識証明を生成する非対話的ゼロ知識証明生成手段と、
    前記非対話的ゼロ知識証明を前記署名データとして出力する署名出力手段とを有することを特徴とする署名装置。
  2. 前記属性証明集合は、属性と属性鍵の組の集合であり、
    前記属性公開鍵は、一度に開示できる属性の数に比例する個数の巡回群の要素からなり、
    前記属性集合表現値は、前記属性公開鍵の各要素に、前記属性証明集合に含まれる属性の値から計算される係数を乗じた後に、これらの結果を足し合わせたものであり、
    前記属性集合表現鍵は、前記属性証明集合に含まれる属性鍵の各要素に、前記属性証明集合に含まれる属性の値から計算される係数を乗じた後に、これらの結果を足し合わせたものであることを特徴とする、請求項1に記載の署名装置。
  3. 入力された乱数、追跡公開鍵、認証局公開鍵および前記署名鍵から、追跡用暗号文を生成する追跡用暗号文生成手段を備え、
    前記非対話的ゼロ知識証明生成手段は、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書、前記属性集合表現値、前記属性集合表現鍵と、前記追跡用暗号文および前記乱数から前記非対話的ゼロ知識証明を生成することを特徴とする、請求項1もしくは2に記載の署名装置。
  4. 入力された前記認証局公開鍵、連携識別子を生成するか否かを示す判断子、連携文字列から連携識別子を生成する連携識別子生成手段を備え、
    前記非対話的ゼロ知識証明生成手段は、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書、前記属性集合表現値、前記属性集合表現鍵と、前記連記文字列、前記連携識別子、および前記乱数から前記非対話的ゼロ知識証明を生成することを特徴とする、請求項1もしくは2に記載の署名装置。
  5. 認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける手段と、
    入力された前記属性および前記属性公開鍵から属性集合表現値を生成する属性集合表現値生成手段と、
    前記認証局公開鍵、前記文書、および前記属性集合表現値生成手段が生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断してその結果を出力する非対話的ゼロ知識証明検証手段とを有することを特徴とする署名検証装置。
  6. 前記属性公開鍵は、一度に開示できる属性の数に比例する数の複数個の巡回群の要素からなり、
    前記属性集合表現値は、前記属性公開鍵の各要素に属性の値から計算される係数を乗じた後に、これらの結果を足し合わせたものであることを特徴とする、請求項5に記載の署名検証装置。
  7. 前記非対話的ゼロ知識証明検証手段が、前記認証局公開鍵、前記属性集合表現値、前記文書と、追跡公開鍵、および追跡用暗号文から、前記署名データが前記文書に対する正当な署名であるか否かを判断することを特徴とする、請求項5もしくは6に記載の署名検証装置。
  8. 連携識別子、連携文字列および連携識別子を生成するか否かを示す判断子が入力され、前記判断子の値に応じて前記連携識別子および前記連携文字列を前記非対話的ゼロ知識証明検証手段に入力する連携識別子・文字列入力手段を備え、
    前記非対話的ゼロ知識証明検証手段が、前記認証局公開鍵、前記属性集合表現値、前記文書と、前記連携識別子および前記連携文字列から、前記署名データが前記文書に対する正当な署名であるか否かを判断することを特徴とする、請求項5もしくは6に記載の署名検証装置。
  9. 認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける手段と、
    前記属性証明集合および前記属性公開鍵から、属性集合表現値を生成する属性集合表現値生成手段と、
    前記属性証明集合から、属性集合表現鍵を生成する属性集合表現鍵生成手段と、
    前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、前記属性集合表現値生成手段が生成した前記属性集合表現値および前記属性集合表現鍵生成手段が生成した前記属性集合表現鍵から非対話的ゼロ知識証明を生成する非対話的ゼロ知識証明生成手段と、
    前記非対話的ゼロ知識証明を前記署名データとして出力する署名出力手段とを有することを特徴とする署名装置と、
    認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける手段と、
    前記属性および前記属性公開鍵から属性集合表現値を生成する属性集合表現値生成手段と、
    前記認証局公開鍵、前記文書、および前記属性集合表現値生成手段が生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断してその結果を出力する非対話的ゼロ知識証明検証手段とを有することを特徴とする署名検証装置と、
    を含む匿名認証システム。
  10. 前記署名装置および署名検証装置と相互に接続された認証局装置を有し、
    前記認証局装置が、
    入力された前記認証局公開鍵、属性秘密鍵、前記属性公開鍵と、メンバーリスト、署名者情報と属性から、属性証明を生成する属性追加部と、
    入力された前記認証局公開鍵、前記属性公開鍵、前記属性証明から、拒否あるいは受理を表すデータを出力する属性獲得部とを有することを特徴とする、請求項9に記載の匿名認証システム。
  11. 前記署名装置が、入力された乱数、追跡公開鍵、認証局公開鍵および前記署名鍵から、追跡用暗号文を生成する追跡用暗号文生成手段を備えると共に、前記非対話的ゼロ知識証明生成手段が、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書、前記属性集合表現値、前記属性集合表現鍵と、前記追跡用暗号文および前記乱数から前記非対話的ゼロ知識証明を生成し、
    前記署名検証装置の前記非対話的ゼロ知識証明検証手段が、前記認証局公開鍵、前記属性集合表現値、前記文書と、前記追跡公開鍵、および追跡用暗号文から、前記署名データが前記文書に対する正当な署名であるか否かを判断し、
    前記認証局装置が、
    前記認証局公開鍵、前記属性公開鍵、前記追跡秘密鍵、前記追跡公開鍵と、前記メンバーリスト、前記署名、属性、およびメッセージから、前記署名者情報を生成する追跡部と、
    認証局秘密鍵、前記認証局公開鍵、前記メンバーリスト、および前記署名者情報の一部から、失効情報を生成する失効部と、
    前記認証局公開鍵、前記属性公開鍵、前記署名鍵、前記匿名認証証明書および前記失効情報から、前記匿名認証証明書を更新する鍵更新部とを有することを特徴とする、請求項10に記載の匿名認証システム。
  12. 入力を受け付ける手段が、認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付け、
    属性集合表現値生成手段が、前記属性証明集合および前記属性公開鍵から属性集合表現値を生成し、
    属性集合表現鍵生成手段が、前記属性証明集合から属性集合表現鍵を生成し、
    非対話的ゼロ知識証明生成手段が、前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、生成した前記属性集合表現値および前記属性集合表現鍵から非対話的ゼロ知識証明を生成し、
    署名出力手段が、この非対話的ゼロ知識証明を前記署名データとして出力する処理を、プログラムによる制御によって、前記入力を受け付ける手段と、前記属性集合表現値生成手段と、前記属性集合表現鍵生成手段と、前記非対話的ゼロ知識証明生成手段と、前記署名出力手段として動作するコンピュータに行わせることを特徴とする署名方法。
  13. 入力を受け付ける手段が、認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付け、
    属性集合表現値生成手段が、前記属性および前記属性公開鍵から属性集合表現値を生成し、
    非対話的ゼロ知識証明検証手段が、前記認証局公開鍵、前記文書、および生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断してその結果を出力する処理を、プログラムによる制御によって、前記入力を受け付ける手段と、前記属性集合表現値生成手段と、前記非対話的ゼロ知識証明検証手段として動作するコンピュータに行わせることを特徴とする署名検証方法。
  14. コンピュータを、
    認証局公開鍵、匿名認証証明書、署名鍵、文書および属性証明集合、属性公開鍵の入力を受け付ける手段と
    前記属性証明集合および前記属性公開鍵から属性集合表現値を生成する属性集合表現値生成手段と
    前記属性証明集合から属性集合表現鍵を生成する属性集合表現鍵生成手段と、
    前記認証局公開鍵、前記匿名認証証明書、前記署名鍵、前記文書と、生成した前記属性集合表現値および前記属性集合表現鍵から非対話的ゼロ知識証明を生成する非対話的ゼロ知識証明生成手段と
    生成した前記非対話的ゼロ知識証明を前記署名データとして出力する署名出力手段として動作させることを特徴とする署名プログラム。
  15. コンピュータを
    認証局公開鍵、属性公開鍵、属性、文書、および非対話的ゼロ知識証明を含む署名データの入力を受け付ける手段と
    前記属性および前記属性公開鍵から属性集合表現値を生成する属性集合表現値生成手段と
    前記認証局公開鍵、前記文書、および生成した前記属性集合表現値から、前記署名データが前記属性を開示した下での前記文書に対する正当な署名であるか否かを判断し、判断した結果を出力する非対話的ゼロ知識証明検証手段として動作させることを特徴とする署名検証プログラム。
JP2011515994A 2009-05-29 2010-05-13 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム Active JP5488596B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011515994A JP5488596B2 (ja) 2009-05-29 2010-05-13 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009130644 2009-05-29
JP2009130644 2009-05-29
PCT/JP2010/058482 WO2010137508A1 (ja) 2009-05-29 2010-05-13 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム
JP2011515994A JP5488596B2 (ja) 2009-05-29 2010-05-13 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム

Publications (2)

Publication Number Publication Date
JPWO2010137508A1 JPWO2010137508A1 (ja) 2012-11-15
JP5488596B2 true JP5488596B2 (ja) 2014-05-14

Family

ID=43222619

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011515994A Active JP5488596B2 (ja) 2009-05-29 2010-05-13 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム

Country Status (4)

Country Link
US (1) US8583932B2 (ja)
EP (1) EP2437427A4 (ja)
JP (1) JP5488596B2 (ja)
WO (1) WO2010137508A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8914643B2 (en) * 2007-05-24 2014-12-16 Nec Corporation Anonymous authentication system and anonymous authentication method
US8868910B2 (en) 2012-02-09 2014-10-21 Hewlett-Packard Development Company, L.P. Elliptic curve cryptographic signature
KR20130098007A (ko) * 2012-02-27 2013-09-04 전용덕 개인 익명화 코드를 이용한 인증 통합 관리/운용 시스템 및 그 방법과 준 공공적 통합인증센터
JP5651631B2 (ja) * 2012-03-23 2015-01-14 日本電信電話株式会社 鍵交換システム、鍵交換方法、要求装置、応答装置、およびプログラム
CN104125199B (zh) * 2013-04-25 2019-04-02 中国科学院软件研究所 一种基于属性的匿名认证方法及系统
FR3018378A1 (fr) * 2014-03-12 2015-09-11 Enrico Maim Systeme et procede transactionnels a architecture repartie fondees sur des transactions de transferts d'unites de compte entre adresses
JP6167990B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 署名検証システム、検証装置、及び署名検証方法
EP3149985A1 (en) 2014-06-02 2017-04-05 Antique Books Inc. Advanced proof of knowledge authentication
US11265165B2 (en) * 2015-05-22 2022-03-01 Antique Books, Inc. Initial provisioning through shared proofs of knowledge and crowdsourced identification
US10057261B2 (en) * 2015-11-09 2018-08-21 Fotonation Limited Method for configuring access for a limited user interface (UI) device
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes
US11451519B2 (en) * 2019-11-25 2022-09-20 Electronics And Telecommunications Research Institute Anonymous credential authentication system and method thereof
JP7348848B2 (ja) 2020-01-16 2023-09-21 株式会社国際電気通信基礎技術研究所 統合属性ベースグループ署名処理方法、統合属性ベースグループ署名処理システム、および、プログラム
CN111698090B (zh) * 2020-05-22 2022-09-27 哈尔滨工程大学 一种应用于威胁情报交易联盟链中的环签名方法
CN112118253B (zh) * 2020-09-16 2023-04-28 北方工业大学 一种基于区块链的云服务日志匿名系统及匿名方法
CN113271209B (zh) * 2021-04-21 2022-06-07 山东大学 一种基于非交互式零知识证明的可托管公钥加密系统及方法
WO2023056352A1 (en) * 2021-10-01 2023-04-06 Changefly Inc. Anonymous authentication systems for obscuring authentication information

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2404161C (en) * 2000-03-24 2006-05-23 Votehere, Inc. Verifiable, secret shuffles of encrypted data, such as elgamal encrypteddata for secure multi-authority elections
US7035403B2 (en) * 2001-02-12 2006-04-25 Lucent Technologies Inc. Encryption method and apparatus with escrow guarantees
JP3793042B2 (ja) 2001-05-14 2006-07-05 日本電信電話株式会社 電子署名代行方法、その装置、そのプログラム及びその記録媒体
JP2004005643A (ja) 2002-05-30 2004-01-08 Internatl Business Mach Corp <Ibm> 定義されたパーティにより検証可能な匿名支払方法
JP4230311B2 (ja) 2003-08-11 2009-02-25 Kddi株式会社 属性認証システム、コンピュータプログラム
JP2006108917A (ja) 2004-10-01 2006-04-20 Ntt Data Corp デジタル署名装置およびデジタル署名プログラム
JP4548223B2 (ja) * 2005-05-27 2010-09-22 日本電気株式会社 擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システム及び方法
JP4940592B2 (ja) * 2005-08-11 2012-05-30 日本電気株式会社 否認可能零知識対話証明に適用される証明装置及び検証装置
EP2030364B1 (en) 2006-05-21 2015-08-12 International Business Machines Corporation Assertion message signatures
JP2009130644A (ja) 2007-11-22 2009-06-11 Sharp Corp 通信装置、通信方法、プログラム、および記憶媒体

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200200121010; 崔 浩晢 他: '効率的な匿名権限委託' コンピュータセキュリティシンポジウム2000 情報処理学会シンポジウムシリーズ Vol.2000 No.12, 20001026, p.61〜66, 社団法人情報処理学会 Information Processing Socie *
CSNG200500294011; 沼尾 雅之 他: '属性指定型動的コミュニティ生成のためのセキュリティとプライバシー' 情報処理学会論文誌 IPSJ Journal 第45巻 第1号, 20040115, p.103〜111, 社団法人情報処理学会 *

Also Published As

Publication number Publication date
US8583932B2 (en) 2013-11-12
US20120060028A1 (en) 2012-03-08
EP2437427A1 (en) 2012-04-04
WO2010137508A1 (ja) 2010-12-02
JPWO2010137508A1 (ja) 2012-11-15
EP2437427A4 (en) 2017-07-12

Similar Documents

Publication Publication Date Title
JP5488596B2 (ja) 署名装置、署名検証装置、匿名認証システム、署名方法、署名認証方法およびそれらのプログラム
CN110637441B (zh) 应用于数据重复数据删除的加密密钥生成
Wei et al. Security and privacy for storage and computation in cloud computing
JP5532048B2 (ja) 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム
US8121290B2 (en) Pseudo-random function calculating device and method and number-limited anonymous authentication system and method
JP4818663B2 (ja) 同種写像ベースの署名の生成および検証のためのシステムおよび方法
JP6451938B2 (ja) 暗号文照合システム、方法、およびプログラム
WO2020160391A1 (en) An efficient, environmental and consumer friendly consensus method for cryptographic transactions
Akinyele et al. Machine-generated algorithms, proofs and software for the batch verification of digital signature schemes
Maddali et al. VeriBlock: A novel blockchain framework based on verifiable computing and trusted execution environment
CN116170144B (zh) 智能电网匿名认证方法、电子设备及存储介质
WO2013153628A1 (ja) 演算処理システムおよび演算結果認証方法
Rehman et al. Securing cloud storage by remote data integrity check with secured key generation
JP2004228958A (ja) 署名方法および署名プログラム
JP6634171B2 (ja) 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム
KR102122773B1 (ko) 복원가능 기능을 가지는 리댁터블 서명 시스템 및 방법
JP6261493B2 (ja) ゼロ知識証明システム及び方法、証明者装置、検証者装置並びにプログラム
Gomaa et al. Automated security assessment for IDaas framework
JP7348848B2 (ja) 統合属性ベースグループ署名処理方法、統合属性ベースグループ署名処理システム、および、プログラム
WO2020241817A1 (ja) 公開鍵の信頼性を証明するための装置、方法及びそのためのプログラム
KR102005946B1 (ko) 동형암호를 이용한 익명 아이디 기반 서명 시스템 및 방법
Park et al. A Blockchain-based Protocol of Trusted Setup Ceremony for Zero-Knowledge Proof
CN115659398A (zh) 基于云辅助下可验证的安全预测方法及相关设备
Kurkowski et al. Parallel bounded model checking of security protocols
Sfyrakis et al. GSL: A Cryptographic Library for the strong RSA Graph Signature Scheme

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140210

R150 Certificate of patent or registration of utility model

Ref document number: 5488596

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150