JP5679344B2 - 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム - Google Patents
署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム Download PDFInfo
- Publication number
- JP5679344B2 JP5679344B2 JP2012032945A JP2012032945A JP5679344B2 JP 5679344 B2 JP5679344 B2 JP 5679344B2 JP 2012032945 A JP2012032945 A JP 2012032945A JP 2012032945 A JP2012032945 A JP 2012032945A JP 5679344 B2 JP5679344 B2 JP 5679344B2
- Authority
- JP
- Japan
- Prior art keywords
- pke
- enc
- key
- signature
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
暗号化署名の難読化について:既存方式は、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまう。
暗号化検証可能暗号化署名について:既存方式は、ランダムオラクルモデルという非現実的モデルおよび非標準的な暗号学仮定に依存し、検証鍵のサイズがセキュリティパラメータに比例して大きくなってしまう。
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する[暗号化署名鍵生成処理]。そして、暗号化署名生成装置の暗号化署名生成部が、(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3 ←REnc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3') ←R ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5 ←R Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6 ←R Enc(pke,σ6)
7.σ7:=gr1, Cσ7←R Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8 ←R Enc(pke,σ8)
9.Cσ9 ←R Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する[暗号化署名生成処理]。そして、受信装置の復号部が、暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する[復号処理]。
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する[暗号化署名鍵生成処理]。そして、暗号化検証可能暗号化署名生成装置の暗号化検証可能暗号化署名生成部が、(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (η',ψ' ←U Zp)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(c1,1,c1,2,K1)), C1' ←R Enc(pke,K1'), C1^ ←R Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(c2,1,c2,2,K2)), C2' ←R Enc(pke,K2'), C2^ ←R Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3 ←R Enc(pke,σ3), C3' ←R Enc(pke,K3'), C3^ ←R Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3') ←R ReRand (pke,(c4,1,c4,2,K4)), C4' ←R Enc(pke,K4'), C4^ ←R Enc(pke,K4^).
5.K5:=(gb)-z2, C5 ←R Enc(pke,K5)
6.K6:=(gb)r2, C6 ←R Enc(pke,K6)
7.K7:=gr1, C7 ←R Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8 ←R Enc(pke,K8)
9.C9 ←R Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する[暗号化検証可能暗号化署名生成処理]。そして、受信装置の復号部が、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する[復号処理]。
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する[暗号化署名鍵生成処理]。
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する[暗号化署名鍵生成処理]。
まず、記法について説明する。
或る有限集合Sについて、r ←U S は、集合Sから要素rを一様ランダムに選択することを表す。
或る確率的多項式時間アルゴリズムAについて、a ←R A(x) は、アルゴリズムAはxを入力とし、乱数を用いて動作し、aを出力することを表す。
或る値a,bについて、a:=bは、aにbを代入する、または、aをbで定義することを表す。いずれであるかは文意から明らかであるから特に断らない。
双線型性を満たすペアリングと呼ばれる演算は有限体上で定義された楕円曲線上の有理点と無限遠点を元とする群構造として定義される。なお、楕円曲線上の群は通常、加法群であるが、慣習に従い乗法群として記述することにする。詳しくは例えば参考文献1を参照されたい。
(参考文献1)D. Boneh and M. K. Franklin. Identity-Based Encryption from theWeil Pairing. In CRYPTO’01, volume 2139 of Lecture Notes in Computer Science, pages 213-229. Springer, 2001.
双線型性:
任意のg,h∈Gおよび任意のa,b∈Zに対してe(ga,hb)=e(g,h)abが成立する。
非退化性:
e(g,g)≠1を満たすgが存在する。つまり、もしgがGの生成元ならばe(g,g)はGTの生成元である。
計算可能性:
任意のg,h∈Gに対して,e(g,h)は効率的に(つまり多項式時間で)計算可能である。
素数位数pの巡回群Gを考える。gを群Gの生成元とする。BMSetupを、セキュリティパラメータλを入力として(p,G,GT,e,g)を生成する、双線型写像についての標準的な群生成アルゴリズムとする。
Zpをpを法とするZの剰余類環として、Arβ DLIN(1λ)を、Γ:=(p,G,GT,e,g) ←R BMsetup(1λ)を生成し、f,h ←U G, x,y ←U Zpを選び、Q0:=gx+y、Q1 ←U Gとして(Γ,f,h,g,fx,hy,Qβ)を出力するアルゴリズムとする。β∈{0,1}である。判定線形問題とは、(Γ,f,h,g,fx,hy,Qβ) ←R Arβ DLIN(1λ)が与えられたときにβ∈{0,1}を予想する問題である。この優位性は式(1)で定義される。
AdvA DLIN(λ)=|Pr[A(I)→1|I←Ar0 DLIN(1λ)]-Pr[A(I)→1|I←Ar1 DLIN(1λ)]| (1)
判定線形仮定が成立しているとは、判定線形問題が困難である、つまり、どのような攻撃者Aに対しても式(1)で表されるAdvA DLIN(λ)が無視できることをいう。
Waters05署名の概要は下記のとおりである(参考文献2)。
鍵生成:
γ:=(q,G,GT,e,g) ←R BMSetup(1λ)、α ←U Zq、 g1:=gα, g2,u', u1, …, un ←U G, U:={ui}i∈[n], pk:=(g1,g2,u',U), sk:=(g2α,u',U)
署名生成:
m:=(m1,…,mn), x ←U Zq, σ:=(σ1,σ2):=(g2α(u'Πi∈Mu2)x,gx)
ただしMはmi=1を満たすiの集合を表す。
検証:
e(σ1,g)=e(g1,g2)e(σ2,u'Πi∈Mui)
(参考文献2)B. Waters. Efficient Identity-Based Encryption Without Random Oracles. In EUROCRYPT’05, volume 3494 of Lecture Notes in Computer Science, pages 114-127. Springer, 2005.
LGen(1λ):
セキュリティパラメータλを入力として、Γ:=(p,G,GT,e,g) ←R BMSetup(1λ)を生成し、a,b ←UZpを選択し、pk:=(f,h):=(ga,gb), dk:=(a,b)を出力する。
LEnc(pk,m):
平文m∈Gと公開鍵pk:=(f,h)を入力として、r,s ←UZp を選択して、暗号文c:=(c1,c2,c3):=(fr,hs,gr+sm)を出力する。
LDec(sk,c):
暗号文c=(c1,c2,c3)と秘密鍵dkを入力として、平文m:=c3/(c11/ac21/b)を出力する。
(参考文献3)B. Waters. Dual System Encryption: Realizing Fully Secure IBE and HIBE under Simple Assumptions. In CRYPTO’09, volume 5677 of Lecture Notes in Computer Science, pages 619-636. Springer, 2009. full version available from http://eprint.iacr.org/2009/385.
セキュリティパラメータλを入力とし、Γ:=(p,G,GT,e,g) ←R BMsetup(1λ)を生成し、生成元v,v1,v2,w,u,h ←U Gおよびa1,a2,b,α ←U Zpを選び、τ1:=vv1 a1, τ2:=vv2 a2を計算し、検証鍵VK:=(Γ,gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1 b,τ2 b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する。
平文M∈Zpと署名鍵SKを入力とし、r1, r2, z1, z2, tagk ←U Zpを選び、r:=r1+r2とし、σ1:=gαa1vr, σ2:=g-αv1rgz1, σ3:=(gb)-z1, σ4:=v2rgz2, σ5:=(gb)-z2, σ6:=(gb)r2, σ7:=gr1, σ8:=(uMwtagkh)r1を計算して、署名sig:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する。
検証鍵VK,平文M,署名sigを入力とし、s1,s2,t,tagc ←U Zpを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算する。以下を満たすとき且つそのときに限り検証成功を表す情報(例えば1という値)を出力する。ただし、θ:=1/(tagc-tagk)とする。
tagc-tagk≠0およびe(V1,σ1)・e(V2,σ2)・e(V3,σ3)・e(V4,σ4)・e(V5,σ5)=e(V6,σ6)・e(V7,σ7)・(e(E1,σ7)/e(E2,σ8))θ・(e(g,g)αa1b)s2
[暗号化署名システム]
実施形態の暗号化署名システム1は、図1に示すように、システムパラメータ生成装置500、送信装置200、受信装置300、署名鍵難読化装置600、暗号化署名生成装置700を含んで構成される。これらの各装置は、例えばインターネットなどの通信網5を経由して、相互に通信可能とされている。なお、後述のシステムパラメータが予め決まっていれば十分なので、システムパラメータ生成装置500は暗号化署名システム1の必須の構成要素ではなく、図示しない装置によって生成された当該システムパラメータが暗号化署名システム1に提供されていれば足りる。
cα:=(cα,1,cα,2,cα,3) ←R Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3) ←R Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3) ←R Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3) ←R Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3) ←R Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する(ステップS4)。
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3 ←REnc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3') ←R ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5 ←R Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6 ←R Enc(pke,σ6)
7.σ7:=gr1, Cσ7←R Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8 ←R Enc(pke,σ8)
9.Cσ9 ←R Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する(ステップS5)。
[暗号化署名システム]
実施形態の暗号化署名システム2は、図4に示すように、システムパラメータ生成装置500、調停装置100、送信装置200、受信装置300、検証可能暗号化署名鍵難読化装置800、暗号化検証可能暗号化署名生成装置900を含んで構成される。これらの各装置は、例えばインターネットなどの通信網5を経由して、相互に通信可能とされている。なお、後述のシステムパラメータが予め決まっていれば十分なので、システムパラメータ生成装置500は暗号化署名システム1の必須の構成要素ではなく、図示しない装置によって生成された当該システムパラメータが暗号化署名システム2に提供されていれば足りる。
(cα,1',cα,2',cα,3') ←R Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3') ←R Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3') ←R Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3') ←R Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3') ←R Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する(ステップS14)。
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3') ←R ReRand(pke,(c1,1,c1,2,K1)), C1' ←R Enc(pke,K1'), C1^ ←R Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3') ←R ReRand(pke,(c2,1,c2,2,K2)), C2' ←R Enc(pke,K2'), C2^ ←R Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3 ←R Enc(pke,σ3), C3' ←R Enc(pke,K3'), C3^ ←R Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3') ←R ReRand (pke,(c4,1,c4,2,K4)), C4' ←R Enc(pke,K4'), C4^ ←R Enc(pke,K4^).
5.K5:=(gb)-z2, C5 ←R Enc(pke,K5)
6.K6:=(gb)r2, C6 ←R Enc(pke,K6)
7.K7:=gr1, C7 ←R Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8 ←R Enc(pke,K8)
9.C9 ←R Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する(ステップS15)。
(c4,1,c4,2,K4)=Enc(pke,v2r・gz2・ζρ4';rηv2,rψv2), (K4',K4^)=(grρv2+ρ4,(gba2)rρv2+ρ4)=(gρ4',(gba2)ρ4')と表すことができる。
暗号化署名システムに含まれうるハードウェアエンティティ(システムパラメータ生成装置、調停装置、送信装置、受信装置、署名鍵難読化装置、暗号化署名生成装置、検証可能暗号化署名鍵難読化装置、暗号化検証可能暗号化署名生成装置)は、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit)〔キャッシュメモリやレジスタなどを備えていてもよい。〕、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。
また、この点に関する文献として、参考文献Aを挙げることができる。
(参考文献A)H. Cohen, "A Course in Computational Algebraic Number Theory", GTM 138, Springer-Verlag, 1993.
Claims (11)
- 送信装置と受信装置と署名鍵難読化装置と暗号化署名生成装置を含む暗号化署名システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成部を含み、
上記暗号化署名生成装置は、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3:=Enc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3'):=ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5:=Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6:=Enc(pke,σ6)
7.σ7:=gr1, Cσ7:=Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8:=Enc(pke,σ8)
9.Cσ9:=Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する暗号化署名生成部を含み、
上記受信装置は、さらに、
暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する復号部を含む
難読化された署名鍵を用いた暗号化署名システム。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置と暗号化検証可能暗号化署名生成装置を含む暗号化署名システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置は、
Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成部を含み、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記検証可能暗号化署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成部を含み、
上記暗号化検証可能暗号化署名生成装置は、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(c1,1,c1,2,K1)), C1':=Enc(pke,K1'), C1^:=Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(c2,1,c2,2,K2)), C2':=Enc(pke,K2'), C2^:=Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3:=Enc(pke,σ3), C3':=Enc(pke,K3'), C3^:=Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3'):=ReRand (pke,(c4,1,c4,2,K4)), C4':=Enc(pke,K4'), C4^:=Enc(pke,K4^).
5.K5:=(gb)-z2, C5:=Enc(pke,K5)
6.K6:=(gb)r2, C6:=Enc(pke,K6)
7.K7:=gr1, C7:=Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8:=Enc(pke,K8)
9.C9:=Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する暗号化検証可能暗号化署名生成部を含み、
上記受信装置は、さらに、
暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する復号部を含む
難読化された署名鍵を用いた暗号化署名システム。 - 請求項2に記載の暗号化署名システムであって、
上記受信装置は、さらに、
Zpの元s1,s2,t,tagcを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算し、tagc-K9≠0を確認し、θ:=1/(tagc-K9)として、e(K1',gb)=e(g,K1^), e(K2',gba1)=e(g,K2^), e(K3',ga1)=e(g,K3^), e(K4',gba2)=e(g,K4^), および(e(V1,K1)/e(ζs,K1^))・(e(V2,K2)/e(ζs1,K2^))・(e(V3,K3)/e(ζs1,K3^))・(e(V4,K4)/e(ζs2,K4^))・e(V5,K5)=e(V6,K6)・e(V7,K7)・(e(E1,K7)/e(E2,K8))θ・(e(g,g)αa1b)s2が成立することを確認したとき且つそのときに限り検証成功を表す検証結果を出力する検証部を含む
ことを特徴とする暗号化署名システム。 - 請求項3に記載の暗号化署名システムであって、
上記調停装置は、さらに、
Zpの元s1,s2,t,tagcを選び、s:=s1+s2とし、V1:=(gb)s, V2:=(gba1)s1, V3:=(ga1)s1, V4:=(gba2)s2, V5:=(ga2)s2, V6:=τ1s1τ2s2, V7:=(τ1b)s1(τ2b)s2w-t, E1:=(uMwtagch)t, E2:=gtを計算し、tagc-K9≠0を確認し、θ:=1/(tagc-K9)として、e(K1',gb)=e(g,K1^), e(K2',gba1)=e(g,K2^), e(K3',ga1)=e(g,K3^), e(K4',gba2)=e(g,K4^), および(e(V1,K1)/e(ζs,K1^))・(e(V2,K2)/e(ζs1,K2^))・(e(V3,K3)/e(ζs1,K3^))・(e(V4,K4)/e(ζs2,K4^))・e(V5,K5)=e(V6,K6)・e(V7,K7)・(e(E1,K7)/e(E2,K8))θ・(e(g,g)αa1b)s2が成立することを確認し、この確認ができた場合に、σ1:=K1・(K1')-β, σ2:=K2・(K2')-β, σ3:=K3・(K3')-β, σ4:=K4・(K4')-β, σ5:=K5, σ6:=K6, σ7:=K7, およびσ8:=K8を計算し、Zpの元z1',z2',r'を選び、σ1':=σ1, σ2':=σ2・gz1', σ3':=σ3・(gb)-z1', σ4':=σ4・gz2', σ5':=σ5・(gb)-z2', σ6':=σ6・(gb)-r', σ7':=σ7・gr', σ8':=σ8・(uMwtagkh)r',およびtagk:=K9を計算し、署名σ':=(σ1',σ2',σ3',σ4',σ5',σ6',σ7',σ8',tagk)を出力する復元部を含む
ことを特徴とする暗号化署名システム。 - 送信装置と受信装置と署名鍵難読化装置を含む署名鍵難読化システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成部を含む
署名鍵難読化システム。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置を含む署名鍵難読化システムであって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置は、
Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成部を含み、
上記送信装置は、
群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,α選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成部を含み、
上記受信装置は、
Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成部を含み、
上記検証可能暗号化署名鍵難読化装置は、
或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成部を含む
署名鍵難読化システム。 - 送信装置と受信装置と署名鍵難読化装置と暗号化署名生成装置を含む暗号化署名システムにおける暗号化署名方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成ステップと、
上記暗号化署名生成装置の暗号化署名生成部が、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)と表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2として、
1.(cσ1,1,cσ1,2,cσ1,3):=(cαa1,1・cv,1 r,cαa1,2・cv,2 r,cαa1,3・cv,3 r), Cσ1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(cσ1,1,cσ1,2,cσ1,3))
2.(cσ2,1,cσ2,2,cσ2,3):=(cα,1・cv1,1 r,cα,2・cv1,2 r, cα,3・cv1,3 r・gz1), Cσ2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(cσ2,1,cσ2,2,cσ2,3))
3.σ3:=(gb)-z1, Cσ3:=Enc(pke,σ3)
4.(cσ4,1,cσ4,2,cσ4,3):=(cv2,1 r,cv2,2 r,cv2,3 r・gz2), Cσ4:=(c4,1',c4,2',c4,3'):=ReRand(pke,(cσ4,1,cσ4,2,cσ4,3))
5.σ5:=(gb)-z2, Cσ5:=Enc(pke,σ5)
6.σ6:=(gb)r2, Cσ6:=Enc(pke,σ6)
7.σ7:=gr1, Cσ7:=Enc(pke,σ7)
8.σ8:=(uMwtagkh)r1, Cσ8:=Enc(pke,σ8)
9.Cσ9:=Enc(pke,tagk)
を計算して、暗号化署名ctσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)を出力する暗号化署名生成ステップと、
上記受信装置の復号部が、暗号化署名Cσ:=(Cσ1,Cσ2,Cσ3,Cσ4,Cσ5,Cσ6,Cσ7,Cσ8,Cσ9)についてCi=(ci,1,ci,2,ci,3) (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてσi:=ci,3/(ci,1)(1/xe)(ci,2)(1/ye)を計算し、復号された署名σ:=(σ1,σ2,σ3,σ4,σ5,σ6,σ7,σ8,tagk)を出力する復号ステップを有する
難読化された署名鍵を用いた暗号化署名方法。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置と暗号化検証可能暗号化署名生成装置を含む暗号化署名システムにおける暗号化署名方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置の調停者鍵生成部が、Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成ステップと、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記検証可能暗号化署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成ステップと、
上記暗号化検証可能暗号化署名生成装置の暗号化検証可能暗号化署名生成部が、
(c1・feη',c2・heψ',c3・gη'+ψ'):=ReRand(pke,c1,c2,c3) (ただし、η',ψ'はZpの任意の元)を表すこととして、Zpの元r1, r2, z1, z2, tagkを選び、r:=r1+r2とし、
1.c1,1:=cαa1,1・cv,1 r, c1,2:=cαa1,2・cv,2 r, K1:=cαa1,3・cv,3 r・ζρ1, K1':=cαa1,4・cv,4 r・gρ1, K1^:=cαa1,5・cv,5 r・(gb)ρ1, C1:=(c1,1',c1,2',c1,3'):=ReRand(pke,(c1,1,c1,2,K1)), C1':=Enc(pke,K1'), C1^:=Enc(pke,K1^).
2.c2,1:=cα,1・cv1,1 r, c2,2:=cα,2・cv1,2 r, K2:=cα,3・cv1,3 r・gz1・ζρ2, K2':=cα,4・cv1,4 r・gρ2, K2^:=cα,5・cv1,5 r・(gba1)ρ2, C2:=(c2,1',c2,2',c2,3'):=ReRand(pke,(c2,1,c2,2,K2)), C2':=Enc(pke,K2'), C2^:=Enc(pke,K2^).
3.K3:=(gb)-z1・ζρ3,K3':=gρ3,K3^:=(ga1)ρ3, C3:=Enc(pke,σ3), C3':=Enc(pke,K3'), C3^:=Enc(pke,K3')
4.c4,1:=cv2,2 r,c4,2:=cv2,3 r,K4:=cv2,3 r・gz2・ζρ4, K4':=cv2,4 r・gρ4, K4^:=cv2,5 r・(gba2)ρ4, C4:=(c4,1',c4,2',c4,3'):=ReRand (pke,(c4,1,c4,2,K4)), C4':=Enc(pke,K4'), C4^:=Enc(pke,K4^).
5.K5:=(gb)-z2, C5:=Enc(pke,K5)
6.K6:=(gb)r2, C6:=Enc(pke,K6)
7.K7:=gr1, C7:=Enc(pke,K7)
8.K8:=(uMwtagkh)r1,C8:=Enc(pke,K8)
9.C9:=Enc(pke,tagk)
を計算して、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)を出力する暗号化検証可能暗号化署名生成ステップと、
上記受信装置の復号部が、暗号化検証可能暗号化署名ctσ:=(C1,C2,C3,C4,C5,C6,C7,C8,C9,C1',C2',C3',C4',C1^,C2^,C3^,C4^)についてCi=(ci,1',ci,2',ci,3') (ただし、i=1,…,9)と分割し、各i(i=1,…,9)について復号鍵dkを用いてKi:=ci,3'/((ci,1')1/xe(ci,2')1/ye)を計算し、Cj',Cj^についてdk:=(xe,ye)を用いて復号し、復号した検証可能暗号化署名ω:=(K1,K2,K3,K4,K5,K6,K7,K8,K9,K1',K2',K3',K4',K1^,K2^,K3^,K4^)を出力する復号ステップを有する
難読化された署名鍵を用いた暗号化署名方法。 - 送信装置と受信装置と署名鍵難読化装置を含む署名鍵難読化システムにおける署名鍵難読化方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,αを選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すこととして、
cα:=(cα,1,cα,2,cα,3):=Enc(pke,g-α),
cαa1:=(cαa1,1,cαa1,2,cαa1,3):=Enc(pke,gαa1),
cv:=(cv,1,cv,2,cv,3):=Enc(pke,v),
cv1:=(cv1,1,cv1,2,cv1,3):=Enc(pke,v1), および
cv2:=(cv2,1,cv2,2,cv2,3):=Enc(pke,v2)を計算し、
難読化された暗号化署名鍵obf(SK,pke):=ctsk:=(cα,cαa1,cv,cv1,cv2)を生成する暗号化署名鍵生成ステップを有する
署名鍵難読化方法。 - 調停装置と送信装置と受信装置と検証可能暗号化署名鍵難読化装置を含む署名鍵難読化システムにおける署名鍵難読化方法であって、
pを素数、Zを整数全体を表す集合、Zpをpを法とするZの剰余類環、Zp *=Zp-{0}、G,GTをそれぞれ素数位数pの巡回乗法群、gを群Gの生成元、eを双線形写像、Γ:=(p,G,GT,e,g)を双線型写像についての標準的な群生成アルゴリズムによって生成された予め定められたシステムパラメータとして、
上記調停装置の調停者鍵生成部が、Zp *の元βを選び、調停者公開鍵apk:=ζ:=gβおよび調停者復号鍵ask:=βを出力する調停者鍵生成ステップと、
上記送信装置の鍵生成部が、群Gの元v,v1,v2,w,u,hおよびZpの元a1,a2,b,α選び、τ1:=vv1a1, τ2:=vv2a2を計算し、検証鍵VK:=(gb,ga1,ga2,gba1,gba2,τ1,τ2,τ1b,τ2b,w,u,h,e(g,g)αa1b)、署名鍵SK:=(VK,gα,gαa1,v,v1,v2)を出力する鍵生成ステップと、
上記受信装置の鍵生成部が、Zpの元xe,yeを選び、公開鍵pke:=(fe,he):=(gxe,gye), 復号鍵dk:=(xe,ye)とする鍵生成ステップと、
上記検証可能暗号化署名鍵難読化装置の暗号化署名鍵生成部が、或る値mをpkeで暗号化することを(feη,heψ,gη+ψm):=Enc(pke,m)(ただし、η,ψはZpの任意の元)と表すことにして、Zpの元ρα,ραa1,ρv,ρv1,ρv2を選び、
(cα,1',cα,2',cα,3'):=Enc(pke,g-α),
cα:=(cα,1',cα,2',cα,3'・ζρα,gρα,gba1ρα),
(cαa1,1',cαa1,2',cαa1,3'):=Enc(pke,gαa1),
cαa1:=(cαa1,1',cαa1,2',cαa1,3'・ζραa1,gραa1,gbραa1),
(cv,1',cv,2',cv,3'):=Enc(pke,v),
cv:=(cv,1',cv,2',cv,3'・ζρv,gρv,gbρv),
(cv1,1',cv1,2',cv1,3'):=Enc(pke,v1),
cv1:=(cv1,1',cv1,2',cv1,3'・ζρv1,gρv1,gba1ρv1),
(cv2,1',cv2,2',cv2,3'):=Enc(pke,v2),
cv2:=(cv2,1',cv2,2',cv2,3'・ζρv2,gρv2,gba2ρv2)
を計算し、難読化された暗号化署名鍵obf(SK,pke,apk):=ctsk:=(cα,cαa1,cv,cv1,cv2)を出力する暗号化署名鍵生成ステップを有する
署名鍵難読化方法。 - 請求項7または8に記載の暗号化署名方法もしくは請求項9または10に記載の署名鍵難読化方法の各ステップをコンピュータに実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012032945A JP5679344B2 (ja) | 2012-02-17 | 2012-02-17 | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012032945A JP5679344B2 (ja) | 2012-02-17 | 2012-02-17 | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013172178A JP2013172178A (ja) | 2013-09-02 |
JP5679344B2 true JP5679344B2 (ja) | 2015-03-04 |
Family
ID=49265895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012032945A Expired - Fee Related JP5679344B2 (ja) | 2012-02-17 | 2012-02-17 | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5679344B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112511310B (zh) * | 2020-11-20 | 2023-07-18 | 兰州交通大学 | 一种加密身份盲签名的混淆方法 |
CN112511311A (zh) * | 2020-11-20 | 2021-03-16 | 兰州交通大学 | 基于混淆技术的加密门限签名方法 |
CN113365264B (zh) * | 2021-05-31 | 2023-01-31 | 中国工商银行股份有限公司 | 一种区块链无线网络数据传输方法、装置及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101351988B (zh) * | 2005-12-28 | 2011-06-29 | 松下电器产业株式会社 | 签名生成装置、签名生成方法 |
JP2010054875A (ja) * | 2008-08-29 | 2010-03-11 | Mitsubishi Electric Corp | 演算装置、復号装置、暗号化装置、情報共有システム、2dnf演算システム、署名生成装置、署名検証装置、署名処理システム、署名検証システム、演算方法及び演算プログラム |
JP4802274B2 (ja) * | 2009-10-30 | 2011-10-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | メッセージ送信および受信方法 |
-
2012
- 2012-02-17 JP JP2012032945A patent/JP5679344B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013172178A (ja) | 2013-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6083234B2 (ja) | 暗号処理装置 | |
US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
JP5291795B2 (ja) | 暗号化装置、復号装置、暗号化方法、復号方法、セキュリティ方法、プログラム及び記録媒体 | |
KR102423885B1 (ko) | 연산 에러 검출이 가능한 준동형 암호 방법 및 그 시스템 | |
US20100329454A1 (en) | Encryption parameter setting apparatus, key generation apparatus, cryptographic system, program, encryption parameter setting method, and key generation method | |
US20150043735A1 (en) | Re-encrypted data verification program, re-encryption apparatus and re-encryption system | |
US20120323981A1 (en) | Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor | |
JP6194886B2 (ja) | 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム | |
JP2018502320A (ja) | 公開鍵暗号化システム | |
JP6059347B2 (ja) | 復号装置、復号能力提供装置、それらの方法、およびプログラム | |
CN109643504B (zh) | 加密系统、加密方法以及计算机可读的存储介质 | |
Hodowu et al. | An enhancement of data security in cloud computing with an implementation of a two-level cryptographic technique, using AES and ECC algorithm | |
JP5732429B2 (ja) | 秘密分散システム、データ分散装置、データ復元装置、秘密分散方法、およびプログラム | |
JP5679344B2 (ja) | 署名鍵難読化システム、署名鍵難読化方法、難読化された署名鍵を用いた暗号化署名システム、難読化された署名鍵を用いた暗号化署名方法とプログラム | |
KR101533950B1 (ko) | 브로드캐스트 암호화 방법 및 시스템 | |
JP5730805B2 (ja) | 格子問題に基づく階層型内積暗号システム,格子問題に基づく階層型内積暗号方法,装置 | |
CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
CN115883212A (zh) | 信息处理方法、装置、电子设备和存储介质 | |
JP5683512B2 (ja) | 検証可能暗号化署名システム、検証可能暗号化署名方法、装置、プログラム | |
JP5912281B2 (ja) | 復号結果検証装置、方法、システム及びプログラム | |
JP2013105065A (ja) | セキュリティシステム、暗号化装置、復号装置、再暗号化装置、難読化装置、それらの方法、及びプログラム | |
JP4199753B2 (ja) | オンデマンド検索方法、オンデマンド検索システム及び利用端末 | |
Patwardhan et al. | Homomorphic authenticable ring signature mechanism for public auditing on shared data in the cloud | |
WO2012176408A1 (ja) | 署名検証方法、署名検証システム及び署名検証プログラム | |
JP6000207B2 (ja) | 暗号化システム、システムパラメータ生成装置、暗号化装置、復号装置、及びその方法、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140203 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140918 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141007 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141205 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141225 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5679344 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |