JP5532048B2 - 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム - Google Patents

匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム Download PDF

Info

Publication number
JP5532048B2
JP5532048B2 JP2011522786A JP2011522786A JP5532048B2 JP 5532048 B2 JP5532048 B2 JP 5532048B2 JP 2011522786 A JP2011522786 A JP 2011522786A JP 2011522786 A JP2011522786 A JP 2011522786A JP 5532048 B2 JP5532048 B2 JP 5532048B2
Authority
JP
Japan
Prior art keywords
user
signature
attribute
public key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011522786A
Other languages
English (en)
Other versions
JPWO2011007697A1 (ja
Inventor
勇 寺西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011522786A priority Critical patent/JP5532048B2/ja
Publication of JPWO2011007697A1 publication Critical patent/JPWO2011007697A1/ja
Application granted granted Critical
Publication of JP5532048B2 publication Critical patent/JP5532048B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

本発明は、匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラムに関し、特に匿名認証証明書の生成と検証に必要な計算量を削減しうる匿名認証署名システム等に関する。
匿名認証署名技術(Anonymous Credential)とは、とは、複数の属性を持つ匿名認証証明書と、これにより裏付けられた署名鍵とを権限者から与えられて所持するユーザ(署名者)が、これらを利用して与えられた文書に対して匿名認証証明書の属性を一部開示する署名を生成することができるという技術である。この署名からは開示された属性と、署名がある匿名認証証明書に基づく署名鍵で生成されたことしか分からない。
この匿名認証署名技術を利用すれば、たとえばユーザがレンタカーを借りる場合、自らの「運転免許書を持っている」という属性のみを事業者であるレンタカー会社に開示し、時刻情報に署名する事で匿名のまま車を借りることができる。このユーザが借りたレンタカーで事故や犯罪事件を起こされたなどのように、該ユーザの属性を明確にする必要のある事態が生じた場合には、事業者は権限者(例えば警察や公安委員会)に問い合わせることによって、該ユーザの属性を特定できる。
ユーザは、個人情報の漏洩などに対して敏感になっているので、事業者に対して開示する個人情報をできるだけ少なくしようとしている。また事業者は、個人情報の管理にかかるコストが増大しているので、保有するユーザの個人情報をできるだけ少なくしようとしている。そのため、匿名認証技術は、ユーザと事業者の両方に対して有用な個人情報の利用方法を提供することができるものとして期待されている。
非特許文献1には、そのような匿名認証署名を実現する技術の一つである、カメニッシ−リジアンスカヤ(Camenisch-Lysyanskaya)署名について記載されている。ここで、各ユーザに割り振られている属性をχ[1],…,χ[n]とし、その中でユーザはχ[i1],…,χ[im]を開示しつつも残りの属性χ[j1],…,χ[jn−m]を隠して、匿名のまま署名データを生成する。ただしnおよびmは自然数であり、n>mである。i1〜imは、1≦i≦nを満たすm個の相異なる自然数の組である。j1〜jn−mは、1≦j≦nを満たしかつi1〜imに含まれないn−m個の相異なる自然数の組である。
各ユーザは自身の秘密鍵δと、属性χ[1],…,χ[n]に対するカメニッシ−リジアンスカヤ署名(β,E,κ)とを持つ。ここで(β,E,κ)は、下の数1に示す条件を満たすデータである。Ω,Φ,Ψ,H[1],…,H[n],Nは公開情報であり、かつNはRSAモジュラス(RSA Modulus、RSA=Rivest, Shamir and Adleman)である。
Figure 0005532048
ユーザはχ[i1],…,χ[im]を公開し、前述の数1に示す条件を満たすデータ(δ,β,χ[j1],…,χ[jn−m])を知っている事を示す知識の署名文Signatureを作成する(第1の方法)。
他には、以下の方法でも匿名認証署名技術を実現できる。各ユーザは自身の持つ複数の秘密鍵の各々に対応したカメニッシ−リジアンスカヤ署名を持つ。この秘密鍵とカメニッシ−リジアンスカヤ署名の組を、秘密鍵(δ,χ[1])に対するカメニッシ−リジアンスカヤ署名(β[1],E[1],κ[1])、…(δ,χ[n])に対するカメニッシ−リジアンスカヤ署名(β[n],E[n],κ[n])とする。
ユーザは属性の一部χ[i1],…,χ[im]を公開し,(δ,χ[i1])に対するカメニッシ−リジアンスカヤ署名(β[1],E[1],κ[1]),…, (δ,χ[im])に対するカメニッシ−リジアンスカヤ署名(β[n],E[n],κ[n])を全て知っている事を示す知識の署名文Signatureを作る(第2の方法)。
また、これに関連する技術文献としては、次の各々がある。特許文献1には、適切な保証人装置を介して特性を証明する証明書を発行してもらいこれを交換することにより、匿名で相互に交渉を行うことができるというサービス提供方法が記載されている。特許文献2には、証明書からユーザのプライバシ情報を取り除いた代替証明書を発行し、これを利用するという証明書検証システムが記載されている。特許文献3には、受信した属性証明書を変形もしくは暗号化して利用し、サーバはこれを検証することができるという属性認証システムが記載されている。非特許文献2には、カメニッシ−リジアンスカヤ署名方式と類似の署名方式の一例が記載されている。
特開2001−188757号公報 特開2005−159463号公報 特開2008−131058号公報
JanCamenisch, Anna Lysyanskaya: A Signature Scheme with Efficient Protocols. SCN2002: 268-289 JunFurukawa, Hideki Imai: An Efficient Group Signature Scheme from Bilinear Maps.ACISP 2005: 455-467.
背景技術で説明した2つの方法で、第1の方法ではn−m個に比例する個数のデータ(δ,β,χ[j1],…,χ[jn−m])の知識を証明することになる。第2の方法では、mに比例する個数のデータ(β[1],E[1],κ[1]),…,(β[n],E[n],κ[n])の知識を証明することになる。
いずれの方法も、RSAをベースにしているので、署名長が長い。そのため、1回あたりの冪乗剰余の計算に大量の計算を必要とする。証明すべきゼロ知識の個数だけ、この計算を行わなければならないので、署名文を生成する際の冪乗剰余の計算回数が、第1の方法ではn−m、第2の方法ではmに比例することになる。いずれにせよ、大量の計算を必要とすることには変わりはない。また、この問題を解決しうる構成は、前述の特許文献1〜3および非特許文献1〜2には記載されていない。
本発明の目的は、署名文を生成する際の冪乗剰余の計算回数を少なくし、より少ない量の計算で匿名認証証明書の生成と検証を行うことを可能とする匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラムを提供することにある。
上記目的を達成するため、本発明に係る匿名認証署名システムは、ユーザから入力された文書に対する署名データを生成して出力するユーザ装置と、ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証装置とが相互に接続されて構成された匿名認証署名システムであって、ユーザ装置が、あらかじめ与えられた各々の第1パラメータである第1のシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および属性証明書を記憶している第1の記憶部と、ユーザからの文書とユーザが開示しようとする属性の入力を受け付ける入出力部と、入力された文書と開示しようとする属性、および各々の第1パラメータから暗号文を作成する暗号文作成手段と、作成された暗号文からゼロ知識署名文を作成する署名文作成手段と、暗号文およびゼロ知識署名文とを署名データとして出力する署名出力手段とを有し、検証装置が、あらかじめ与えられた各々の第2パラメータである第2のシステムパラメータ、開示公開鍵、グループ公開鍵および属性証明書を記憶している第2の記憶部と、ユーザ装置からの文書および署名データの入力を受け付ける入力受け取り手段と、各々の第2パラメータを用いて署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、受理できると判断されれば署名データを受理するゼロ知識証明検証手段とを有し、ユーザ秘密鍵および属性証明書は同一の冪を使って作成されたものであり、ユーザ装置の署名文作成手段は、ユーザ公開鍵の一部と開示されなかった属性に対応する属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示すゼロ知識署名文を作成することを特徴とする。
上記目的を達成するため、本発明に係るユーザ装置は、ユーザから入力された文書に対する署名データを生成して出力するユーザ装置であって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および属性証明書を記憶している記憶部と、ユーザからの文書とユーザが開示しようとする属性の入力を受け付ける入出力部と、入力された文書と開示しようとする属性、および各々のパラメータから暗号文を作成する暗号文作成手段と、作成された暗号文からゼロ知識署名文を作成する署名文作成手段と、暗号文およびゼロ知識署名文とを署名データとして出力する署名出力手段とを有し、ユーザ公開鍵および属性証明書は同一の冪を使って作成されたものであり、署名文作成手段は、ユーザ公開鍵の一部と開示されなかった属性に対応する属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示すゼロ知識署名文を作成することを特徴とする。
上記目的を達成するため、本発明に係る検証装置は、ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証装置であって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、グループ公開鍵および属性証明書を記憶している記憶部と、ユーザからの文書および署名データの入力を受け付ける入力受け取り手段と、各々のパラメータを用いて署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、受理できると判断されれば署名データを受理するゼロ知識証明検証手段とを有し、ユーザ秘密鍵および属性証明書は同一の冪を使って作成されたものであることを特徴とする。
上記目的を達成するため、本発明に係る署名方法は、ユーザから入力された文書に対する署名データを生成して出力する署名方法であって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、およびユーザ秘密鍵と同一の冪を使って作成された属性証明書を事前に記憶し、ユーザからの文書とユーザが開示しようとする属性の入力を受け付け、入力された文書と開示しようとする属性、および各々のパラメータから暗号文を作成し、ユーザ公開鍵の一部と開示されなかった属性に対応する属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示すゼロ知識署名文を作成し、暗号文およびゼロ知識署名文とを署名データとして出力することを特徴とする。
上記目的を達成するため、本発明に係る検証方法は、ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証方法であって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、グループ公開鍵およびユーザ秘密鍵と同一の冪を使って作成された属性証明書を事前に記憶し、ユーザからの文書および署名データの入力を受け付け、各々のパラメータを用いて署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、受理できると判断されれば署名データを受理することを特徴とする。
上記目的を達成するため、本発明に係る署名プログラムは、ユーザから入力された文書に対する署名データを生成して出力する署名プログラムであって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、およびユーザ秘密鍵と同一の冪を使って作成された属性証明書が事前に記憶されているコンピュータに、ユーザからの文書とユーザが開示しようとする属性の入力を受け付ける手順と、入力された文書と開示しようとする属性、および各々のパラメータから暗号文を作成する手順と、ユーザ公開鍵の一部と開示されなかった属性に対応する属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示すゼロ知識署名文を作成する手順と、暗号文およびゼロ知識署名文とを署名データとして出力する手順とを実行させることを特徴とする。
上記目的を達成するため、本発明に係る検証プログラムは、ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証プログラムであって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、グループ公開鍵およびユーザ秘密鍵と同一の冪を使って作成された属性証明書が事前に記憶されているコンピュータに、ユーザからの文書および署名データの入力を受け付ける手順と、各々のパラメータを用いて署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断する手順と、受理できると判断されれば署名データを受理する手順とを実行させることを特徴とする。
本発明は、上述したように同一の冪を使って作成されたユーザ公開鍵および属性証明書を用いて、ユーザが開示しようとする属性に対応して暗号文を作成し、その暗号文から属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事の知識の署名文であるゼロ知識署名文を作成するように構成したので、証明しなければならないデータの数を少なく済ませることができる。これによって、署名文を生成する際の冪乗剰余の計算回数を少なくし、より少ない量の計算で匿名認証証明書の生成と検証を行うことが可能であるという、優れた特徴を持つ匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラムを提供することができる。
本発明の実施形態に係る匿名認証署名システム全体の構成を示す説明図である。 図1に示した開示装置、ユーザ装置、検証装置として機能するコンピュータ装置のハードウェアとしての構成を示す説明図である。 図1で示したユーザ装置で動作する署名部の動作を示すフローチャートである。 図1で示した検証装置で動作する検証部の動作を示すフローチャートである。 図1で示した開示装置で動作する開示部の動作を示すフローチャートである。 本発明の第2の実施形態に係る匿名認証署名システムの全体の構成を示す説明図である。 図6で示した発行装置で動作するグループ鍵生成部の動作を示すフローチャートである。 図6で示した開示装置で動作する開示鍵生成部の動作を示すフローチャートである。 図6で示したユーザ装置で動作するユーザ装置鍵作成部の動作を示すフローチャートである。 図6で示した発行装置とユーザ装置とで各々動作する発行部と所属部の動作を示すフローチャートである。 図6で示した属性認証装置で動作する属性認証部の動作を示すフローチャートである。 図6で示したユーザ装置で動作する検証部の動作を示すフローチャートである。
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1、2に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る匿名認証署名システム1は、ユーザから入力された文書に対する署名データを生成して出力するユーザ装置22と、ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証装置23とが相互に接続されて構成された匿名認証署名システムである。ユーザ装置22は、あらかじめ与えられた各々の第1パラメータである第1のシステムパラメータ、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および属性証明書を記憶している第1の記憶部13と、ユーザからの文書とユーザが開示しようとする属性の入力を受け付ける入出力部12と、入力された文書と開示しようとする属性、および各々の第1パラメータから暗号文を作成する暗号文作成手段221aと、作成された暗号文からゼロ知識署名文を作成する署名文作成手段221bと、暗号文およびゼロ知識署名文とを署名データとして出力する署名出力手段221cとを有する。検証装置23は、あらかじめ与えられた各々の第2パラメータである第2のシステムパラメータ、開示公開鍵、ユーザ公開鍵および属性証明書を記憶している第2の記憶部13と、ユーザ装置からの文書および署名データの入力を受け付ける入力受け取り手段231aと、各々の第2パラメータを用いて署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、受理できると判断されれば署名データを受理するゼロ知識証明検証手段231bとを有する。ここで、ユーザ公開鍵および属性証明書は同一の冪を使って作成されたものであり、ユーザ装置の署名文作成手段221aは、ユーザ公開鍵の一部と開示されなかった属性に対応する属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事の知識の署名文を作成する。
ここで、ユーザ装置の記憶部13は、あらかじめ与えられた各々のパラメータであるグループ公開鍵およびグループ秘密鍵を記憶していて、暗号文作成手段221aは、属性証明書の中で開示しようとする属性に対応するデータと、ユーザ公開鍵、ユーザ秘密鍵、グループ公開鍵、およびグループ秘密鍵から暗号文を作成する。さらに、署名文作成手段221bは、暗号文作成手段が作成した暗号文がユーザ公開鍵に含まれるデータの暗号文であることに対するゼロ知識署名文を作成する。
また、検証装置の入力受け取り手段231aは、ユーザが開示する属性のデータの入力を受け付け、ゼロ知識証明検証手段231bは、このユーザが開示する属性と各々のパラメータとを用いて署名データに含まれるゼロ知識証明文を検証する。さらに、記憶部13は、グループ公開鍵をあらかじめ与えられたパラメータとして記憶していて、ゼロ知識証明検証手段231bは、ユーザが開示した属性に対応するデータと、ユーザ公開鍵、グループ公開鍵、およびグループ秘密鍵からゼロ知識証明文を検証する。
以上の構成を備えることにより、匿名認証署名システムは署名文を生成する際の冪乗剰余の計算回数を少なくし、より少ない量の計算で匿名認証証明書の生成と検証を行うことが可能となる。
以下、これをより詳細に説明する。
図1は、本発明の実施形態に係る匿名認証署名システム1全体の構成を示す説明図である。匿名認証署名システム1は、発行署名鍵に基づいて署名を生成するユーザ装置22、生成された署名が特定の署名鍵によって生成されたことを検証する検証装置23、および署名を行った人物を特定する開示装置21が、ネットワーク30によって相互に接続されて構成される。開示装置21、ユーザ装置22、検証装置23は、いずれもコンピュータ装置である。
図2は、図1に示した開示装置21、ユーザ装置22、検証装置23として機能するコンピュータ装置10のハードウェアとしての構成を示す説明図である。コンピュータ装置10は、コンピュータプログラムを実行する主体となるプロセッサである演算部11と、データの入出力を行う入出力部12と、コンピュータプログラムおよびデータを記憶する記憶部13と、ネットワーク30を介して他のコンピュータ装置とのデータ通信を行う通信部14とを備える。
演算部11で各々のコンピュータプログラムが実行されることにより、コンピュータ装置10は図1に示す開示装置21、ユーザ装置22、検証装置23の各々として機能する。即ち、開示装置21の備える演算部11では、開示部211が動作する。ユーザ装置221の備える演算部11では、署名部221が動作する。検証装置23の備える演算部11では、検証部231が動作する。各々の機能手段は、各々のコンピュータ装置10が備える記憶部13に予め記憶されており、演算部11に読み込まれて動作する。これらの各機能部の機能及び動作については後述する。
署名部221はさらに、暗号文Cipherを作成する暗号文作成手段221a、署名文Proofを作成する署名文作成手段221b、暗号文Cipherと署名文Proofとを合わせて署名Signatureを出力する署名出力手段221cといった機能手段に分かれる。また、検証部231は署名文Signatureを入力として受け取る入力受け取り手段231aと、ゼロ知識証明文を検証するゼロ知識証明検証手段231bとを備える。これらの各手段の機能及び動作についても後述する。
本実施形態では、匿名認証署名システム1を構成する全装置に予め周知され、各装置の記憶部13に記憶されているデータをシステムパラメータという。より具体的には、ここでいうシステムパラメータとは、
(1)素数q、
(2)位数qの群GRP[1]の上の群演算を行う為に十分な情報、
(3)位数qの群GRP[2]の上の群演算を行う為に十分な情報、
(4)位数qの群GRP[3]の上の群演算を行う為に十分な情報、
(5)位数qの群GRP’の上の群演算を行う為に十分な情報、
(6)GRP[1]×GRP[2]からGRP[3]への双線形写像e:GRP[1]×GRP[2]→GRP[3]を計算する為に十分な情報、
(7)GRP’の生成元Θ、
以上の各々である。
安全性上の観点から言えば、GRP[1]、GRP[2]、GRP[3]上の離散対数問題を解くことが困難である事が望ましい。このような群の例として例えば楕円曲線群ないしその素数位数部分群がある。楕円曲線群は必ずY^2=X^3+aX+(b mod p)という代数方程式により特徴づけられるので、(a,b,p)さえあれば楕円曲線群上の群演算を行う事ができる。楕円曲線群の素数位数部分群を使う場合は、その部分群の生成元も必要である。なお、本明細書では、数式以外の行ではたとえば「Yの2乗」を「Y^2」などと表記する。
また双線形写像eとしては、例えばWeilペアリングやTateペアリングを用いる事ができる。安全性上の観点から言えば、GRP’上のDDH問題(Computational Diffie-Hellman)が困難である事が望ましい。このような群の例として例えば楕円曲線群、巡回群、ないしそれらの素数位数部分群がある。
開示装置21には、これらのシステムパラメータに加えて、公開鍵および秘密鍵が付与されている。これらをそれぞれ開示装置公開鍵、開示装置秘密鍵という。開示装置公開鍵および開示装置秘密鍵は事前に生成され、開示装置21の記憶部13に記憶されている。また開示装置公開鍵は予めユーザ装置22にも配布され、ユーザ装置22の記憶部13にも記憶されている。本実施形態では、開示装置公開鍵はGRP’の2元Γ,Λの組で、開示装置秘密鍵はZ/qZの2元γ,λの組であり、数2を満たすものを用いる。
Figure 0005532048
ユーザ装置22には、前述のシステムパラメータに加えて、公開鍵および秘密鍵が付与されている。これらをそれぞれユーザ装置公開鍵、ユーザ装置秘密鍵という。ユーザ装置公開鍵およびユーザ装置秘密鍵は事前に生成され,ユーザ装置22の記憶部13に記憶されている。また開示装置21は各ユーザ装置22のユーザ装置公開鍵をすべて知っており、各ユーザ装置22のIDとそのユーザ装置22のユーザ装置公開鍵との組からなるリスト212が開示装置21の記憶部13に記憶されている。本実施形態では、ユーザ装置公開鍵はGRP’の元Δで,ユーザ装置秘密鍵はZ/qZの元δであり、数3を満たすものを用いる。
Figure 0005532048
また、本実施形態では、ユーザ装置22(を管理している個人・団体)からなる何らかのグループが運営されており、このグループには固有の公開鍵が付与されている。この公開鍵をグループ公開鍵という。グループ公開鍵は事前に各ユーザ装置22に配布され、ユーザ装置22の記憶部にも記憶されている。以下、説明を簡単にするため、グループの数が一つであるものとして説明を行うが、グループが複数存在する場合も同様である。
本実施形態では、グループ公開鍵はGRP[1]の3元Φ,Ψ,Ω、GRP[2]の2元Υ,Πからなる組である。πは数4を満たす元とであり、このπがグループ秘密鍵である。
Figure 0005532048
グループに属しているユーザ装置22には、グループに属している事を証明する情報が付与されている。この情報をメンバー証明書という。本実施形態では、メンバー証明書はZ/qZの2元β,κ,およびGRP[1]の元Eからなる組で、数5を満たすものを用いる。ここでρ=π+κである。
Figure 0005532048
またグループに属している各ユーザ装置22には、そのユーザ装置22(を管理している個人もしくは団体)の属性χ[1],…,χ[n]が付与されており、さらにそれらの属性を証明する情報が付与されている。この情報を属性証明書という。この属性証明書に対して付与されている具体的な属性は、たとえば名前、性別、年齢、住所、電話番号、運転免許証の有無、クレジットカードの加入状況、年金情報などが考えられる。
属性証明書はこれらの属性に依存して作られ、従ってn個の属性が付与されているユーザ装置22にはn個の属性証明書が付与されることになる。本実施形態では、属性は任意のビット列として表される。ユーザ装置22のメンバー証明書が(β,κ,E)である場合、そのユーザ装置22の属性χ[i]に対応する属性証明書G[i]はGRP[1]の元であり、数6を満たすものである。ここでHashはGRP[1]に値をとるハッシュ関数であり、ρ=π+κである。
Figure 0005532048
本実施形態では、グループに属しているユーザ装置22しか使う事ができないので、以下とくに断りがなければ、ユーザ装置22はグループに属していて、メンバー証明書(β,κ,E)が予め与えられているものとする。
ユーザ装置22は、入出力部12を介して文書Mが入力されると、署名部221を実行し、この文書Mに対する署名文Signatureを作成する。署名部221に対しては、文書Mと、ユーザが開示しようとする属性χ[i1],…,χ[im]が入力される。
ここで、各ユーザに割り振られている全ての属性をχ[1],…,χ[n]とし、その中でユーザはχ[i1],…,χ[im]を開示しつつも残りの属性χ[j1],…,χ[jn−m]を隠そうとしている。ただしnおよびmは自然数であり、n>mである。i1〜imは、1≦i≦nを満たすm個の相異なる自然数の組である。j1〜jn−mは、1≦j≦nを満たしかつi1〜imに含まれないn−m個の相異なる自然数の組である。ユーザ装置22に付与されている属性の中でいずれの属性をχ[i1],…,χ[im]として開示するかは、各々のユーザが任意に決定することができる。
生成された署名文Signatureは文書Mおよびχ[i1],…,χ[im]とともに、検証装置23に送られる。検証装置23は検証部231を実行して、この署名文Signatureが正当な方法で作成されたか否か、即ち文書Mに対する署名文Signatureが属性χ[i1],…,χ[im]を持つ事が認証されているユーザ装置22により作成されたか否かを確認する。
また、文書Mと署名文Signatureは必要に応じて開示装置21にも送られる。開示装置21は、開示部211を実行して署名文を作成した署名者を特定することができる。
図3は、図1で示したユーザ装置22で動作する署名部221の動作を示すフローチャートである。まず署名部221の暗号文作成手段221aは、ユーザ装置22の入出力部12を介して、文書Mとユーザが開示しようとする属性χ[i1],…,χ[im]を入力として受け取る(ステップS41)。暗号文作成手段221aは同時に、予め与えられているシステムパラメータ、グループ公開鍵ipk=(Φ,Ψ,Ω,Υ,Π)、開示公開鍵opk=(Γ,Λ)、ユーザ装置公開鍵Δ、ユーザ装置秘密鍵δ、メンバー証明書(β,κ,E)、属性証明書G[i1],…,G[im]も、ユーザ装置22の記憶部13から読み出す。
暗号文作成手段221aは、これらの値から、まずτをZ/qZからランダムに選び、数7に示すUを算出する。そして数8に示すΔを暗号化した暗号文Cipherを署名文作成手段221bに出力する(ステップS42)。
Figure 0005532048
Figure 0005532048
署名文作成手段221bは、暗号文作成手段221aから出力された値から、数9の条件を満たす(δ,β,κ,F’)を知っており、かつCipherがΔを暗号化した暗号文である事を示す知識の署名文proofを数10に示す手順で作成する(ステップS43)。その際、署名文作成手段221bはまずξ,d,t,b,x,kをZ/qZからランダムに選び、その後で数10に示す演算を行う。ここでHash’はZ/qZに値を取るハッシュ関数である。また、e(・,・)は双線形ペアリングである。
Figure 0005532048
Figure 0005532048
署名出力手段221cは、数8に示した演算で暗号文作成手段221aが出力した暗号文Cipherと、数10に示した演算で署名文作成手段221bが出力した署名文proofとから、数11に示す演算で署名Signatureを作成して、文書M、属性χ[i1],…,χ[im]と共に検証装置23に出力する。
Figure 0005532048
なお、Δ=Θ^δであるので、前述の数7でUをU=Θ^(δ+τ)として算出してもよい。
図4は、図1で示した検証装置23で動作する検証部231の動作を示すフローチャートである。まず入力受け取り手段231aが、ユーザ装置22の署名部221から出力された文書M、属性χ[i1],…,χ[im]、署名文Signatureを入力として受け取る(ステップS51)。入力受け取り手段231aは同時に、システムパラメータ、グループ公開鍵ipk=(Φ,Ψ,Ω,Υ,Π)、開示公開鍵opk=(Γ,Λ)を、検証装置23の記憶部13から読み出す。
ゼロ知識証明検証手段231bは、これらの数値から数12で示す演算を行い、ゼロ知識証明文(F,c,D,T,B,X,K)を検証する(ステップS52)。そして、数13で示す条件によって、このゼロ知識証明文が受理できるか否かを判断する(ステップS53)。受理できれば署名文Signatureを受理する旨を検証装置23の入出力部12に出力して処理を終了し(ステップS54)、そうでなければ拒否する旨を出力して終了する(ステップS55)。
Figure 0005532048
Figure 0005532048
図5は、図1で示した開示装置21で動作する開示部211の動作を示すフローチャートである。まず入力受け取り手段211aが、ユーザ装置22の署名部221から出力された文書M、属性χ[i1],…,χ[im]、署名文Signatureを入力として受け取る(ステップS61)。入力受け取り手段211aは同時に、システムパラメータ、グループ公開鍵ipk=(Φ,Ψ,Ω,Υ,Π)、開示公開鍵opk=(Γ,Λ)を、開示装置21の記憶部13から読み出す。
ゼロ知識証明検証手段231bは、これらの数値から数12で示す演算を行い、ゼロ知識証明文(F,c,D,T,B,X,K)を検証する(ステップS62)。そして、数13で示す条件によって、このゼロ知識証明文が受理できるか否かを判断する(ステップS63)。なお、ここまでで説明したステップS61〜63は、図4のステップS51〜53と同一の処理である。
このゼロ知識証明文が受理できれば、暗号文Cipher=(U,V,W)の復号結果Δを数14で計算し(ステップS64)、この復号結果Δに対応するIDをリスト212から探し出して開示装置21の入出力部12に出力する(ステップS65)。ステップS63でゼロ知識証明文が受理できなければ、拒否を出力してそのまま終了する(ステップS66)。
Figure 0005532048
(第2の実施形態)
本発明の第2の実施形態の構成について添付図6に基づいて説明する。
本実施形態に係る匿名認証署名システム1は、前述したユーザ装置22と検証装置23とが相互に接続されて構成されるのに加えて、それらのユーザ装置および検証装置と相互に接続された属性認証装置25を有し、この属性認証装置は、ユーザに与えられた属性に対応するデータとユーザ秘密鍵およびユーザ装置に依存して決まるデータに基づいて属性証明書を生成する属性認証部251を有する。
また、このシステムはユーザ装置、検証装置および属性認証装置と相互に接続された属性検証装置(ユーザ装置22b)を有し、属性検証装置は、ユーザに与えられた属性に対応するデータとユーザの属するグループに対応するデータから属性証明書が正当なものであるか否かを検証する属性検証部(属性認証子検証部223)を有する。
図6は、本発明の第2の実施形態に係る匿名認証署名システム301の全体の構成を示す説明図である。匿名認証署名システム301は、第1の実施形態で説明した匿名認証署名システム1と比べて、開示装置21およびユーザ装置22が第1の実施形態と異なる開示装置21bおよびユーザ装置22bに置き換わっている。検証装置23は、第1の実施形態と同一である。さらに、開示装置21b、ユーザ装置22b、検証装置23に加えて、発行装置24および属性認証装置25が、同一のネットワーク30によって相互に接続されて構成されている。
発行装置24および属性認証装置25は、いずれも図2で説明したものと同一のコンピュータ装置である。また、発行装置24および属性認証装置25は、開示装置21と同一の装置でもよいし、異なる装置であってもよい。さらに、属性認証装置25は属性に依存して複数台存在してもよい。
発行装置24の備える演算部11では、グループ鍵生成部241と発行部242とが動作する。また、属性認証装置25の備える演算部11では、属性認証部251が動作する。さらに、開示装置21bの備える演算部11では、開示部211の他に開示鍵生成部213が動作する。ユーザ装置22bの備える演算部11では、署名部221の他に、所属部222、属性認証子検証部223、ユーザ装置鍵作成部224が動作する。これらの機能部は、いずれもコンピュータプログラムとして各々の演算部11で動作する。
発行部242は、グループにメンバーを追加および削除する。属性認証部251は、属性証明書を生成する。所属部222は、ユーザが特定のグループに所属する機能を持つ。属性認証子検証部223は、属性認証部251が生成した属性証明書の正当性を検証する。開示鍵生成部213は、開示公開鍵と開示秘密鍵とを生成する。
グループ鍵生成部241は、グループ公開鍵とそれに対応するグループ秘密鍵を生成する。本実施形態では、グループ鍵生成部241が発行装置24で動作する例を説明するが、これが属性認証装置25で動作していてもよい。
図7は、図6で示した発行装置24で動作するグループ鍵生成部241の動作を示すフローチャートである。動作を開始すると、グループ鍵生成部241はまずΦ,Ψ,ΩをGRP[1]の中からランダムに選び、ΥをGRP[2]の中からランダムに選び、πをZ/qZの中からランダムに選び、そして数15のようにΠを定義する(ステップS411)。
Figure 0005532048
そしてグループ鍵生成部241は、Φ,Ψ,Ω,Υ,Πからなる組をグループ公開鍵として、匿名認証署名システム301全体に公開する(ステップS412)。そしてπをグループ秘密鍵として、発行装置24と属性認証装置25のみに送信および記憶させる(ステップS413)。
図8は、図6で示した開示装置21bで動作する開示鍵生成部213の動作を示すフローチャートである。動作を開始すると、開示鍵生成部213はまず、γ,λをZ/qZの中からランダムに選び、数16のようにΓおよびΛを定義する(ステップS421)。そしてΓとΛからなる組を開示公開鍵として、匿名認証署名システム301全体に公開する(ステップS422)。γとλからなる組を開示秘密鍵として、開示装置21bの記憶部13のみに記憶させる(ステップS423)。
Figure 0005532048
図9は、図6で示したユーザ装置22bで動作するユーザ装置鍵作成部224の動作を示すフローチャートである。動作を開始すると、ユーザ装置鍵作成部224はまず、γ,λをZ/qZの中からランダムに選び、数17のようにΔを定義する(ステップS431)。そして、Δをユーザ装置公開鍵として、匿名認証署名システム301全体に公開する(ステップS432)。ステップS431で選択したδはユーザ装置秘密鍵として、ユーザ装置22bの記憶部13のみに記憶する(ステップS433)。
なお、ユーザ装置鍵作成部224は、ユーザ装置22bと異なるコンピュータで動作して、作成されたユーザ装置公開鍵およびユーザ装置秘密鍵をユーザ装置22bが受け取るように構成してもよい。
Figure 0005532048
図10は、図6で示した発行装置24とユーザ装置22bとで各々動作する発行部242と所属部222の動作を示すフローチャートである。動作を開始すると、所属部222はまず、μをZ/qZからランダムに選び、数18のようにCを定義する(ステップS441)。そして所属部222は、δ’,μ’をZ/qZからランダムに選んで、数19に示すΔ’とC’を計算した後、数20に示す手順で、ゼロ知識証明文prfを生成し(ステップS442)、(Δ,C,prf)を発行装置24に送信する(ステップS443)。
Figure 0005532048
Figure 0005532048
Figure 0005532048
(Δ,C,prf)を受信した発行装置24の発行部242は、まず数21の計算を行って、数22の条件からprfの正当性を検証し(ステップS444〜445)、正当であればこれを受理して数23の計算をして(ν,κ,E)をユーザ装置22bに返し(ステップS446〜7)、さらに開示装置21にユーザ装置22bのIDとΔとの組を送信してリスト212に記憶させる(ステップS448)。ステップS445でprfが正当でなければユーザ装置22bにエラーを返して処理を終了する(ステップS449)。
Figure 0005532048
Figure 0005532048
Figure 0005532048
ステップS447で発行装置24から(ν,κ,E)を返信されたユーザ装置22bは、数24に示すβを計算し、数25に示す条件を満たすか否かを判断する(ステップS450〜451)。条件を満たしていれば(β,κ,E)をメンバー証明書としてプロトコルを正常終了し(ステップS452)、そうでなければプロトコルを異常終了する(ステップS453)。
Figure 0005532048
Figure 0005532048
図11は、図6で示した属性認証装置25で動作する属性認証部251の動作を示すフローチャートである。属性認証部251は、属性χ[i]を持つユーザ装置22bに対して、この属性χに対応する属性証明書を発行する。その際、属性認証部251は、数26として示した処理でG[i]を算出し、これをメンバー証明書として出力する(ステップS461)。ここでκはユーザ装置22bのメンバー証明書の一部である。
Figure 0005532048
属性認証装置25がいかなる方法でκを手に入れるのかは特に問わないが、安全性上の観点から言えば、属性認証装置25はκが実際にユーザ装置22bのメンバー証明書の一部である事を何らかの方法で確認することが望ましい。より具体的には、発行装置24がκに署名を付与してその署名を属性認証装置25が確認するか、もしくは発行装置24がユーザ装置22bとκとの対応表を事前に公開しておくなどの方法がある。
図12は、図6で示したユーザ装置22bで動作する属性認証子検証部223の動作を示すフローチャートである。ユーザ装置22bは属性認証子検証部223を実行して、属性認証装置25が発行した属性証明書の正当性を検証する。その際、属性認証子検証部223は、数27として示した条件が成立するか否かでG[i]の正当性を判断し(ステップS471)、正当であればG[i]を受理し(ステップS472)、そうでなければ拒否する(ステップS473)。
Figure 0005532048
(第1・第2の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本発明に係る署名方法は、ユーザから入力された文書に対する署名データを生成して出力する署名方法であって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、およびユーザ公開鍵と同一の冪を使って作成された属性証明書を事前に記憶し、ユーザからの文書とユーザが開示しようとする属性の入力を受け付け(図3:ステップS41)、入力された文書と開示しようとする属性、および各々のパラメータから暗号文を作成し(図3:ステップS42)、作成された暗号文からゼロ知識署名文を作成し(図3:ステップS43)、暗号文およびゼロ知識署名文とを署名データとして出力する(図3:ステップS44)。
そして本発明に係る検証方法は、ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証方法であって、あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵および属性証明書を事前に記憶し、ユーザからの文書および署名データの入力を受け付け(図4:ステップS51)、各々のパラメータを用いて署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し(図4:ステップS52〜53)、受理できると判断されれば署名データを受理する(図4:ステップS54)。
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行する主体であるユーザ装置22もしくは検証装置23に実行させるようにしてもよい。
この構成および動作により、本実施形態(第1・第2の実施形態)は以下のような効果を奏する。
本実施形態では、RSAではなく双線形ペアリングを持つ群を使用しているので、署名長を短くでき、処理をより効率的にすることができる。また、署名文(β,E,κ)とは別個に、前述の数6で属性χ[i]ごとにG[i]を生成し、そのG[i]をユーザが属性χ[i]を持っている事の証明書として用いる。
なお,Π=Υ^πを満たす(Υ,Π)を使えば、前述の数6が以下の数28と等価であることを示せる。
Figure 0005532048
数29に示す各々は同一の冪π+κを用いている。これらの式を掛け合わせて数30のようにすることにより、数31が成立する。
Figure 0005532048
Figure 0005532048
Figure 0005532048
従って、ユーザはχ[i1],…,χ[im]を開示する属性として、前述の数31を満たす(δ,β,F’,κ)の知識の署名を生成する事ができる。ここで証明しなければならないデータはδ、β、F’の3つだけであり、開示する属性の数に比例した多量の計算を必要としない。
以上のように、本実施形態では同一の冪π+κを用いた数29に示す各式をかけ合わせることによって、開示する属性の数に比例した個数のデータE,G[i1],…,G[im]を数30に示す一つのデータF’=EG[i1]…G[im]に縮約している。これによって、匿名認証において証明しなければならないデータの数を削減し、必要な計算量を大幅に削減することができる。
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
この出願は2009年7月13日に出願された日本出願特願2009−164884を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、匿名認証を利用するシステムおよび装置において利用できる。
1、301 匿名認証署名システム
10 コンピュータ装置
11 演算部
12 入出力部
13 記憶部
14 通信部
21、21b 開示装置
22、22b ユーザ装置
23 検証装置
24 発行装置
25 属性認証装置
30 ネットワーク
211 開示部
212 リスト
213 開示鍵生成部
221 署名部
221a 暗号文作成手段
221b 署名文作成手段
221c 署名出力手段
222 所属部
223 属性認証子検証部
224 ユーザ装置鍵作成部
231 検証部
231a 入力受け取り手段
231b ゼロ知識証明検証手段
241 グループ鍵生成部
242 発行部
251 属性認証部

Claims (13)

  1. ユーザから入力された文書に対する署名データを生成して出力するユーザ装置と、前記ユーザ装置によって生成された前記署名データが正当であるか否かを検証してその結果を出力する検証装置とが相互に接続されて構成された匿名認証署名システムであって、
    前記ユーザ装置が、
    あらかじめ与えられた各々の第1パラメータである第1のシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および属性証明書を記憶している第1の記憶部と、
    ユーザからの文書と前記ユーザが開示しようとする属性の入力を受け付ける入出力部と、
    入力された前記文書と前記開示しようとする属性、および前記各々の第1パラメータから暗号文を作成する暗号文作成手段と、
    作成された前記暗号文からゼロ知識署名文を作成する署名文作成手段と、
    前記暗号文および前記ゼロ知識署名文とを前記署名データとして出力する署名出力手段とを有し、
    前記検証装置が、
    あらかじめ与えられた各々の第2パラメータである第2のシステムパラメータ、前記開示公開鍵、前記グループ公開鍵および前記属性証明書を記憶している第2の記憶部と、
    前記ユーザ装置からの前記文書および前記署名データの入力を受け付ける入力受け取り手段と、
    前記各々の第2パラメータを用いて前記署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、受理できると判断されれば前記署名データを受理するゼロ知識証明検証手段とを有し、
    前記ユーザ秘密鍵および前記属性証明書は同一の冪を使って作成されたものであり、
    前記ユーザ装置の前記署名文作成手段は、前記ユーザ公開鍵の一部と開示されなかった前記属性に対応する前記属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示す前記ゼロ知識署名文を作成することを特徴とする匿名認証署名システム。
  2. 前記ユーザ装置の前記第1の記憶部は、あらかじめ与えられた各々のパラメータであるグループ公開鍵およびグループ秘密鍵を記憶していて、
    前記ユーザ装置の前記暗号文作成手段は、前記属性証明書の中で前記開示しようとする属性に対応するデータと、前記ユーザ公開鍵、前記ユーザ秘密鍵、前記グループ公開鍵、および前記グループ秘密鍵から前記暗号文を作成することを特徴とする、請求項1に記載の匿名認証署名システム。
  3. 前記ユーザ装置の前記署名文作成手段は、前記暗号文作成手段が作成した暗号文が前記ユーザ公開鍵に含まれるデータの暗号文であることに対するゼロ知識署名文を作成することを特徴とする、請求項1に記載の匿名認証署名システム。
  4. 前記検証装置の前記入力受け取り手段は、前記ユーザが開示する属性のデータの入力を受け付け、
    前記検証装置の前記ゼロ知識証明検証手段は、このユーザが開示する属性と前記各々のパラメータとを用いて前記署名データに含まれる前記ゼロ知識証明文を検証することを特徴とする、請求項1に記載の匿名認証署名システム。
  5. 前記検証装置の前記第2の記憶部は、グループ公開鍵をあらかじめ与えられた前記パラメータとして記憶していて、
    前記検証装置の前記ゼロ知識証明検証手段は、前記ユーザが開示した属性に対応するデータと、前記ユーザ公開鍵、前記グループ公開鍵、および開示公開鍵から前記ゼロ知識証明文を検証することを特徴とする、請求項4に記載の匿名認証署名システム。
  6. 前記ユーザ装置および前記検証装置と相互に接続された属性認証装置を有し、
    前記属性認証装置は、前記ユーザに与えられた属性に対応するデータとグループ秘密鍵および前記ユーザ装置に依存して決まるデータに基づいて前記属性証明書を生成する属性認証部を有することを特徴とする、請求項1に記載の匿名認証署名システム。
  7. 前記ユーザ装置、前記検証装置および前記属性認証装置と相互に接続された属性検証装置を有し、
    前記属性検証装置は、前記ユーザに与えられた属性に対応するデータと前記ユーザの属するグループに対応するデータから前記属性証明書が正当なものであるか否かを検証する属性検証部を有することを特徴とする、請求項6に記載の匿名認証署名システム。
  8. ユーザから入力された文書に対する署名データを生成して出力するユーザ装置であって、
    あらかじめ与えられた各々のパラメータであるシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および属性証明書を記憶している記憶部と、
    ユーザからの文書と前記ユーザが開示しようとする属性の入力を受け付ける入出力部と、
    入力された前記文書と前記開示しようとする属性、および前記各々のパラメータから暗号文を作成する暗号文作成手段と、
    作成された前記暗号文からゼロ知識署名文を作成する署名文作成手段と、
    前記暗号文および前記ゼロ知識署名文とを前記署名データとして出力する署名出力手段とを有し、
    前記ユーザ公開鍵および前記属性証明書は同一の冪を使って作成されたものであり、
    前記署名文作成手段は、前記ユーザ公開鍵の一部と開示されなかった前記属性に対応する前記属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示す前記ゼロ知識署名文を作成することを特徴とするユーザ装置。
  9. ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証装置であって、
    あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、グループ公開鍵および属性証明書を記憶している記憶部と、
    ユーザからの文書および前記署名データの入力を受け付ける入力受け取り手段と、
    前記各々のパラメータを用いて前記署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、受理できると判断されれば前記署名データを受理するゼロ知識証明検証手段とを有し、
    前記ユーザ公開鍵および前記属性証明書は同一の冪を使って作成されたものであることを特徴とする検証装置。
  10. ユーザから入力された文書に対する署名データを生成して出力する署名方法であって、
    あらかじめ与えられた各々のパラメータであるシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および前記ユーザ秘密鍵と同一の冪を使って作成された属性証明書を事前に記憶し、
    ユーザからの文書と前記ユーザが開示しようとする属性の入力を受け付け、
    入力された前記文書と前記開示しようとする属性、および前記各々のパラメータから暗号文を作成し、
    前記ユーザ公開鍵の一部と開示されなかった前記属性に対応する前記属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示すゼロ知識署名文を作成し、
    前記暗号文および前記ゼロ知識署名文とを前記署名データとして出力する
    ことを特徴とする署名方法。
  11. ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証方法であって、
    あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、グループ公開鍵およびユーザ秘密鍵と同一の冪を使って作成された属性証明書を事前に記憶し、
    ユーザからの文書および前記署名データの入力を受け付け、
    前記各々のパラメータを用いて前記署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断し、
    受理できると判断されれば前記署名データを受理する
    ことを特徴とする検証方法。
  12. ユーザから入力された文書に対する署名データを生成して出力する署名プログラムであって、
    あらかじめ与えられた各々のパラメータであるシステムパラメータ、グループ公開鍵、開示公開鍵、ユーザ公開鍵、ユーザ秘密鍵、メンバー証明書、および前記ユーザ秘密鍵と同一の冪を使って作成された属性証明書が事前に記憶されているコンピュータに、
    ユーザからの文書と前記ユーザが開示しようとする属性の入力を受け付ける手順と、
    入力された前記文書と前記開示しようとする属性、および前記各々のパラメータから暗号文を作成する手順と、
    前記ユーザ公開鍵の一部と開示されなかった前記属性に対応する前記属性証明書の一部とをかけ合わせ、このかけ合わせたデータが事前に定められた式を満たす事を示すゼロ知識署名文を作成する手順と、
    前記暗号文および前記ゼロ知識署名文とを前記署名データとして出力する手順と
    を実行させることを特徴とする署名プログラム。
  13. ユーザ装置によって生成された署名データが正当であるか否かを検証してその結果を出力する検証プログラムであって、
    あらかじめ与えられた各々のパラメータであるシステムパラメータ、開示公開鍵、グループ公開鍵およびユーザ秘密鍵と同一の冪を使って作成された属性証明書が事前に記憶されているコンピュータに、
    ユーザからの文書および前記署名データの入力を受け付ける手順と、
    前記各々のパラメータを用いて前記署名データに含まれるゼロ知識証明文を検証してこのゼロ知識証明文が受理できるか否かを判断する手順と、
    受理できると判断されれば前記署名データを受理する手順と
    を実行させることを特徴とする検証プログラム。
JP2011522786A 2009-07-13 2010-07-06 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム Expired - Fee Related JP5532048B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011522786A JP5532048B2 (ja) 2009-07-13 2010-07-06 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009164884 2009-07-13
JP2009164884 2009-07-13
JP2011522786A JP5532048B2 (ja) 2009-07-13 2010-07-06 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム
PCT/JP2010/061449 WO2011007697A1 (ja) 2009-07-13 2010-07-06 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム

Publications (2)

Publication Number Publication Date
JPWO2011007697A1 JPWO2011007697A1 (ja) 2012-12-27
JP5532048B2 true JP5532048B2 (ja) 2014-06-25

Family

ID=43449306

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011522786A Expired - Fee Related JP5532048B2 (ja) 2009-07-13 2010-07-06 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム

Country Status (4)

Country Link
US (1) US8949609B2 (ja)
EP (1) EP2456119B1 (ja)
JP (1) JP5532048B2 (ja)
WO (1) WO2011007697A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11451519B2 (en) 2019-11-25 2022-09-20 Electronics And Telecommunications Research Institute Anonymous credential authentication system and method thereof

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4764447B2 (ja) * 2008-03-19 2011-09-07 株式会社東芝 グループ署名システム、装置及びプログラム
US8464058B1 (en) 2008-04-08 2013-06-11 Hewlett-Packard Development Company, L.P. Password-based cryptographic method and apparatus
US9075958B2 (en) * 2009-06-24 2015-07-07 Uniloc Luxembourg S.A. Use of fingerprint with an on-line or networked auction
JP5606344B2 (ja) * 2011-01-25 2014-10-15 三菱電機株式会社 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
GB2490483B (en) 2011-04-26 2019-05-29 Hewlett Packard Entpr Dev Lp Digital signature method and system
WO2012174427A2 (en) 2011-06-16 2012-12-20 OneID Inc. Method and system for determining authentication levels in transactions
JP5790289B2 (ja) * 2011-08-12 2015-10-07 ソニー株式会社 情報処理装置、情報処理方法、プログラム、及び記録媒体
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
US9203819B2 (en) 2012-01-18 2015-12-01 OneID Inc. Methods and systems for pairing devices
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
US9985966B2 (en) 2014-01-07 2018-05-29 Empire Technology Development Llc Anonymous signature scheme
JP5807887B1 (ja) * 2015-05-07 2015-11-10 株式会社制御システム研究所 プログラマブルロジックデバイス、プログラマブルロジックデバイスのエラー検証方法、及びプログラマブルロジックデバイスの回路形成方法
US9853817B2 (en) * 2015-11-23 2017-12-26 Lockheed Martin Corporation Generating enhanced digital signatures for artifacts
US11108562B2 (en) 2016-05-05 2021-08-31 Neustar, Inc. Systems and methods for verifying a route taken by a communication
US11277439B2 (en) 2016-05-05 2022-03-15 Neustar, Inc. Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
US10958725B2 (en) 2016-05-05 2021-03-23 Neustar, Inc. Systems and methods for distributing partial data to subnetworks
US10404472B2 (en) 2016-05-05 2019-09-03 Neustar, Inc. Systems and methods for enabling trusted communications between entities
US11025428B2 (en) 2016-05-05 2021-06-01 Neustar, Inc. Systems and methods for enabling trusted communications between controllers
CN109450645B (zh) * 2018-11-29 2021-04-13 中国电子科技集团公司第三十研究所 一种基于零知识证明的可监管匿名认证方法
US11997205B2 (en) 2019-02-25 2024-05-28 Tbcasoft, Inc. Credential verification and issuance through credential service providers
JP7272436B2 (ja) * 2019-06-25 2023-05-12 富士通株式会社 検証方法、検証システム及び証明プログラム
KR102460299B1 (ko) * 2019-11-25 2022-10-28 한국전자통신연구원 익명 크리덴셜 인증 시스템 및 그 방법
EP4080817B1 (en) * 2019-12-18 2023-11-15 Fujitsu Limited Guarantee control method, information processing device, and guarantee control program
CN114189340B (zh) * 2021-12-09 2023-05-23 电子科技大学 一种基于素数阶群的基于属性签名方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006330462A (ja) * 2005-05-27 2006-12-07 Nec Corp 擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システム及び方法
WO2009008069A1 (ja) * 2007-07-11 2009-01-15 Kabushiki Kaisha Toshiba グループ署名システム、装置及びプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001188757A (ja) 1999-12-28 2001-07-10 Nippon Telegr & Teleph Corp <Ntt> 証明書を用いたサービス提供方法
JP4057995B2 (ja) 2003-11-20 2008-03-05 株式会社日立製作所 Pki認証システムにおける代替証明書発行・検証システム
EP1848143A4 (en) * 2005-02-10 2010-04-14 Nec Corp MEMBER CERTIFICATE PURCHASING, MEMBER CERTIFICATE DISCHARGE, GROUP SIGNATURE DEVICE, AND GROUP SIGNATURE VERIFICATION DEVICE
JP4933223B2 (ja) 2006-11-16 2012-05-16 株式会社Kddi研究所 属性認証システム、同システムにおけるユーザの行動履歴検索方法およびプログラム
US7975142B2 (en) * 2006-12-04 2011-07-05 Electronics And Telecommunications Research Institute Ring authentication method for concurrency environment
JP4468456B2 (ja) 2008-01-07 2010-05-26 富士通メディアデバイス株式会社 弾性波デバイス及びその製造方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006330462A (ja) * 2005-05-27 2006-12-07 Nec Corp 擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システム及び方法
WO2009008069A1 (ja) * 2007-07-11 2009-01-15 Kabushiki Kaisha Toshiba グループ署名システム、装置及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11451519B2 (en) 2019-11-25 2022-09-20 Electronics And Telecommunications Research Institute Anonymous credential authentication system and method thereof

Also Published As

Publication number Publication date
JPWO2011007697A1 (ja) 2012-12-27
US20120124379A1 (en) 2012-05-17
EP2456119A4 (en) 2015-04-08
EP2456119A1 (en) 2012-05-23
US8949609B2 (en) 2015-02-03
WO2011007697A1 (ja) 2011-01-20
EP2456119B1 (en) 2016-09-28

Similar Documents

Publication Publication Date Title
JP5532048B2 (ja) 匿名認証署名システム、ユーザ装置、検証装置、署名方法、検証方法およびそれらのプログラム
Camenisch et al. An accumulator based on bilinear maps and efficient revocation for anonymous credentials
CN103081398B (zh) 用于保护密码资产免受白盒攻击的系统和方法
JP5201136B2 (ja) 匿名認証システムおよび匿名認証方法
Herranz Deterministic identity-based signatures for partial aggregation
Kaaniche et al. Attribute-based signatures for supporting anonymous certification
US9882890B2 (en) Reissue of cryptographic credentials
US20040165728A1 (en) Limiting service provision to group members
EP2792098B1 (en) Group encryption methods and devices
Rass et al. Cryptography for security and privacy in cloud computing
Meshram et al. An efficient online/offline ID-based short signature procedure using extended chaotic maps
Han et al. Accountable mobile E-commerce scheme via identity-based plaintext-checkable encryption
CN102301643B (zh) 数据处理系统中的密码证书的管理方法和系统
Singh et al. A novel credential protocol for protecting personal attributes in blockchain
WO2007105749A1 (ja) グループ署名システムおよび情報処理方法
Al-Riyami et al. Escrow-free encryption supporting cryptographic workflow
Garcia-Rodriguez et al. Implementation and evaluation of a privacy-preserving distributed ABC scheme based on multi-signatures
KR20230002941A (ko) 비밀 공유를 갖는 (ec)dsa 임계값 서명
JP3513324B2 (ja) ディジタル署名処理方法
Tso A new way to generate a ring: Universal ring signature
JP4791828B2 (ja) グループ署名システム、装置、プログラム及び方法
CN102301644B (zh) 数据处理系统中的数据项的验证
Kumar Cryptanalysis of protocol for enhanced threshold proxy signature scheme based on elliptic curve cryptography for known signers
Sayid et al. Certificateless public key cryptography: A research survey
Rajasree Generation of dynamic group digital signature

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140325

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140407

R150 Certificate of patent or registration of utility model

Ref document number: 5532048

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees