JP6125459B2 - Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program - Google Patents

Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program Download PDF

Info

Publication number
JP6125459B2
JP6125459B2 JP2014098445A JP2014098445A JP6125459B2 JP 6125459 B2 JP6125459 B2 JP 6125459B2 JP 2014098445 A JP2014098445 A JP 2014098445A JP 2014098445 A JP2014098445 A JP 2014098445A JP 6125459 B2 JP6125459 B2 JP 6125459B2
Authority
JP
Japan
Prior art keywords
key
signature
verification
tag
cmt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014098445A
Other languages
Japanese (ja)
Other versions
JP2015216514A (en
Inventor
陵 西巻
陵 西巻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014098445A priority Critical patent/JP6125459B2/en
Publication of JP2015216514A publication Critical patent/JP2015216514A/en
Application granted granted Critical
Publication of JP6125459B2 publication Critical patent/JP6125459B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、電気通信システムで用いられるディジタル署名方式に関し、特に、使い捨て署名方式に関する。   The present invention relates to digital signature schemes used in telecommunications systems, and more particularly to disposable signature schemes.

従来の使い捨て署名の構成には、大きく分けて、以下の2つが存在する。   The configuration of the conventional disposable signature is roughly divided into the following two.

1.具体的な数論などに基づいた構成
2.他の暗号プリミティブに基づいた一般的構成
本発明は、2.の一般的構成に相当するので、以下、こちらに絞って説明をする。 1. Configuration based on specific number theory, etc. General configuration based on other cryptographic primitives. Since this corresponds to the general configuration of, I will focus on this description below.

これまでに提案されてきた一般的構成には、以下の2つが存在する。   There are the following two general configurations that have been proposed so far.

1.通常の使い捨て署名(非特許文献1)
2.部分使い捨て署名(非特許文献2)
しかし、通常の使い捨て署名は、署名を生成するたびに鍵全体(全ての検証鍵および署名鍵)を更新する必要があるという欠点がある。また、部分使い捨て署名は、検証鍵および署名鍵のほとんどの部分は継続的に利用可能であるが、一部の検証鍵および署名鍵を更新する必要があるという欠点がある。 1. Normal disposable signature (Non-Patent Document 1)
2. Partially disposable signature (Non-Patent Document 2)
However, a normal disposable signature has a drawback that the entire key (all verification keys and signature key) needs to be updated each time a signature is generated. In addition, the partial disposable signature has a drawback that most of the verification key and the signature key can be continuously used, but a part of the verification key and the signature key needs to be updated.

これに対して、通常の署名の派生であるタグ使い捨て署名は、使い捨て部分がタグだけであり、検証鍵および署名鍵を継続的に利用可能である。ただし、署名を生成するときには使い捨てのタグを必ず生成する。このタグは、部分使い捨て署名における使い捨ての検証鍵に相当する。タグ使い捨て署名は、使い捨ての署名鍵が必要ないところが、部分使い捨て署名と異なるところである。   On the other hand, the tag disposable signature, which is a derivation of the normal signature, has only the tag as the disposable portion, and the verification key and the signature key can be continuously used. However, a disposable tag is always generated when generating a signature. This tag corresponds to the disposable verification key in the partial disposable signature. A tag disposable signature is different from a partially disposable signature in that a disposable signature key is not required.

これまでタグ使い捨て署名の一般的構成はあまり知られていなかったが、非特許文献3,4において、タグ使い捨て署名の具体的な構成方法が提案された。   Until now, the general configuration of the tag disposable signature has not been well known, but in Non-Patent Documents 3 and 4, a specific configuration method of the tag disposable signature has been proposed.

L. Lamport. Constructing Digital Signatures from a One Way Function. Technical report, SRI Intl., 1979. CSL 98.L. Lamport. Constructing Digital Signatures from a One Way Function. Technical report, SRI Intl., 1979. CSL 98. M. Bellare and S. Shoup. Two-Tier Signatures, Strongly Unforgeable Signatures, and Fiat-Shamir without Random Oracles. In Public Key Cryptography, volume 4450 of Lecture Notes in Computer Science, pages 201{216. Springer, 2007.M. Bellare and S. Shoup. Two-Tier Signatures, Strongly Unforgeable Signatures, and Fiat-Shamir without Random Oracles.In Public Key Cryptography, volume 4450 of Lecture Notes in Computer Science, pages 201 {216. Springer, 2007. M. Abe, M. Chase, B. David, M. Kohlweiss, R. Nishimaki, and M. Ohkubo. Constant-Size Structure-Preserving Signatures: Generic Constructions and Simple Assumptions. In ASIACRYPT, volume 7658 of Lecture Notes in Computer Science, pages 4{24. Springer, 2012.M. Abe, M. Chase, B. David, M. Kohlweiss, R. Nishimaki, and M. Ohkubo. Constant-Size Structure-Preserving Signatures: Generic Constructions and Simple Assumptions. In ASIACRYPT, volume 7658 of Lecture Notes in Computer Science , pages 4 {24. Springer, 2012. M. Abe, B. David, M. Kohlweiss, R. Nishimaki, and M. Ohkubo. Tagged One-Time Signatures: Tight Security and Optimal Tag Size. In Public Key Cryptography, volume 7778 of Lecture Notes in Computer Science, pages 312{331. Springer, 2013.M. Abe, B. David, M. Kohlweiss, R. Nishimaki, and M. Ohkubo.Tagged One-Time Signatures: Tight Security and Optimal Tag Size.In Public Key Cryptography, volume 7778 of Lecture Notes in Computer Science, pages 312 {331. Springer, 2013. V. Lyubashevsky. Lattice-Based Identi_cation Schemes Secure Under Active Attacks. In Public Key Cryptography, volume 4939 of Lecture Notes in Computer Science, pages 162{179. Springer, 2008.V. Lyubashevsky. Lattice-Based Identi_cation Schemes Secure Under Active Attacks. In Public Key Cryptography, volume 4939 of Lecture Notes in Computer Science, pages 162 {179. Springer, 2008.

上述したように、非特許文献3,4において、タグ使い捨て署名の具体的な構成方法が提案されているが、他の暗号プリミティブに基づいた、一般的なタグ使い捨て署名の構成方法は知られていない。   As described above, in Non-Patent Documents 3 and 4, a specific method for configuring a tag disposable signature is proposed, but a general method for configuring a tag disposable signature based on other cryptographic primitives is known. Absent.

そこで、本発明の目的は、他の暗号プリミティブに基づいた、一般的なタグ使い捨て署名の構成方法を実現することができる技術を提供することにある。   Therefore, an object of the present invention is to provide a technique capable of realizing a general method for constructing a tag disposable signature based on other cryptographic primitives.

本発明の署名システムは、
署名を生成する署名生成装置と、前記署名生成装置が生成した署名を検証する署名検証装置と、を有する署名システムであって、
前記署名生成装置は、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとし、該検証鍵VKを前記署名検証装置に送信し、
乱数を用いて前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとし、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、アルゴリズムStRvを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、アルゴリズムId.Pを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとし、該タグtag、該文書m、および該署名σを前記署名検証装置に送信し、
前記署名検証装置は、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、前記ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該署名σをレスポンスResとし、該検証鍵VKである公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する。 The signature system of the present invention
A signature system comprising: a signature generation device that generates a signature; and a signature verification device that verifies a signature generated by the signature generation device,
The signature generation device includes:
Using the security parameter λ as an input, a public key pk and a secret key sk of the other party authentication method are generated, the public key pk is used as the verification key VK, the secret key sk is used as the signature key SK, and the verification key VK is used as the signature verification device. To
Using random numbers as input the verification key VK, choose from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, the commitment Cmt and tag tag,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and an algorithm StRv Is used to calculate an internal state State from the public key pk that is the verification key VK, the secret key sk that is the signature key SK, and the commitment Cmt, and an algorithm Id. P is used to calculate a response Res from the public key pk, the secret key sk, the internal state State, and the hash value Cha, and the response Res is a signature σ, and the tag tag, the document m, and Sending the signature σ to the signature verification device;
The signature verification device includes:
Using the verification key VK, the tag tag, the document m, and the signature σ as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and The signature σ is set as the response Res, the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk which is the verification key VK, and the signature σ is set according to the verification result. Accept or reject.

本発明の署名生成装置は、
署名を生成する署名生成装置であって、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとする鍵生成部と、
乱数を用いて前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとするタグ生成部と、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、アルゴリズムStRvを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、アルゴリズムId.Pを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとする署名生成部と、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを署名検証装置に送信する送信部と、
を有する。 The signature generation apparatus of the present invention
A signature generation device for generating a signature,
A key generation unit that generates a public key pk and a secret key sk of the counterpart authentication method with the security parameter λ as an input, uses the public key pk as a verification key VK, and uses the secret key sk as a signature key SK;
Using random numbers as input the verification key VK, choose from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, a tag generator to tag tag the commitment Cmt ,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and an algorithm StRv Is used to calculate an internal state State from the public key pk that is the verification key VK, the secret key sk that is the signature key SK, and the commitment Cmt, and an algorithm Id. A signature generation unit that calculates a response Res from the public key pk, the secret key sk, the internal state State, and the hash value Cha using P as a signature σ;
A transmission unit that transmits the verification key VK, the tag tag, the document m, and the signature σ to a signature verification device;
Have

本発明の署名検証装置は、
署名を検証する署名検証装置であって、
署名生成装置から、検証鍵VK、タグtag、文書m、および署名σを受信する受信部と、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、該タグtagをコミットメントCmtとし、ハッシュ関数Hを用いて、該コミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該検証鍵VKを公開鍵pkとし、該署名σをレスポンスResとし、該公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する検証部と、
を有する。 The signature verification apparatus of the present invention
A signature verification device for verifying a signature,
A receiving unit that receives the verification key VK, the tag tag, the document m, and the signature σ from the signature generation device;
Using the verification key VK, the tag tag, the document m, and the signature σ as inputs, the tag tag as a commitment Cmt, and using the hash function H, a hash value Cha is calculated from the commitment Cmt and the document m The verification key VK is the public key pk, the signature σ is the response Res, and the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk, and the verification A verification unit that accepts or rejects the signature σ according to a result;
Have

本発明の署名生成/検証方法は、
署名を生成する署名生成装置と、前記署名生成装置が生成した署名を検証する署名検証装置と、を有する署名システムによる署名生成/検証方法であって、
前記署名生成装置が、セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとし、該検証鍵VKを前記署名検証装置に送信し、
前記署名生成装置が、乱数を用いて前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとし、
前記署名生成装置が、前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、アルゴリズムStRvを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、アルゴリズムId.Pを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとし、該タグtag、該文書m、および該署名σを前記署名検証装置に送信し、
前記署名検証装置が、前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、前記ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該署名σをレスポンスResとし、該検証鍵VKである公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する。 The signature generation / verification method of the present invention includes:
A signature generation / verification method by a signature system, comprising: a signature generation device that generates a signature; and a signature verification device that verifies a signature generated by the signature generation device,
The signature generation apparatus receives the security parameter λ as an input, generates a public key pk and a secret key sk of the other party authentication method, uses the public key pk as a verification key VK, and uses the secret key sk as a signature key SK. Send VK to the signature verification device;
The signature generating apparatus, wherein an input verification key VK using a random number, select from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, tag tag the commitment Cmt age,
The signature generation device receives the verification key VK, the signature key SK, the tag tag, and the document m, and uses the hash function H to obtain the hash value Cha from the commitment Cmt and the document m as the tag tag. And using the algorithm StRv, the internal state State is calculated from the public key pk that is the verification key VK, the secret key sk that is the signature key SK, and the commitment Cmt, and the algorithm Id. P is used to calculate a response Res from the public key pk, the secret key sk, the internal state State, and the hash value Cha, and the response Res is a signature σ, and the tag tag, the document m, and Sending the signature σ to the signature verification device;
The signature verification device receives the verification key VK, the tag tag, the document m, and the signature σ as inputs, and uses the hash function H to obtain a hash value from the commitment Cmt that is the tag tag and the document m. Cha is calculated, the signature σ is set as the response Res, the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk which is the verification key VK, and the verification result is In response, the signature σ is accepted or rejected.

本発明の署名生成方法は、
署名を生成する署名生成装置による署名生成方法であって、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとし、該検証鍵VKを署名検証装置に送信し、
乱数を用いて前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとし、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、アルゴリズムStRvを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、アルゴリズムId.Pを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとし、該タグtag、該文書m、および該署名σを前記署名検証装置に送信する。 The signature generation method of the present invention includes:
A signature generation method by a signature generation device that generates a signature,
Using the security parameter λ as an input, a public key pk and a secret key sk of the other party authentication method are generated, the public key pk is used as the verification key VK, the secret key sk is used as the signature key SK, and the verification key VK is used as the signature verification apparatus. Send
Using random numbers as input the verification key VK, choose from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, the commitment Cmt and tag tag,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and an algorithm StRv Is used to calculate an internal state State from the public key pk that is the verification key VK, the secret key sk that is the signature key SK, and the commitment Cmt, and an algorithm Id. P is used to calculate a response Res from the public key pk, the secret key sk, the internal state State, and the hash value Cha, and the response Res is a signature σ, and the tag tag, the document m, and The signature σ is transmitted to the signature verification device.

本発明の署名検証方法は、
署名を検証する署名検証装置による署名検証方法であって、
署名生成装置から、検証鍵VK、タグtag、文書m、および署名σを受信し、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、該タグtagをコミットメントCmtとし、ハッシュ関数Hを用いて、該コミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該検証鍵VKを公開鍵pkとし、該署名σをレスポンスResとし、該公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する。 The signature verification method of the present invention includes:
A signature verification method by a signature verification device for verifying a signature,
A verification key VK, a tag tag, a document m, and a signature σ are received from the signature generation device;
Using the verification key VK, the tag tag, the document m, and the signature σ as inputs, the tag tag as a commitment Cmt, and using the hash function H, a hash value Cha is calculated from the commitment Cmt and the document m The verification key VK is the public key pk, the signature σ is the response Res, and the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk, and the verification The signature σ is accepted or rejected depending on the result.

本発明の第1のプログラムは、
署名を生成するコンピュータを、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとする鍵生成手段と、
乱数を用いて前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとするタグ生成手段と、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、アルゴリズムStRvを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、アルゴリズムId.Pを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとする署名生成手段と、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを署名検証装置に送信する送信手段と、
として機能させるためのプログラムである。 The first program of the present invention is:
The computer that generates the signature
A key generation means for generating a public key pk and a secret key sk of the other party authentication method with the security parameter λ as an input, using the public key pk as a verification key VK and the secret key sk as a signature key SK;
As input the verification key VK using a random number, select from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, a tag generating means for the commitment Cmt and tag tag ,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and an algorithm StRv Is used to calculate an internal state State from the public key pk that is the verification key VK, the secret key sk that is the signature key SK, and the commitment Cmt, and an algorithm Id. A signature generation means that calculates a response Res from the public key pk, the secret key sk, the internal state State, and the hash value Cha using P, and uses the response Res as a signature σ;
Transmitting means for transmitting the verification key VK, the tag tag, the document m, and the signature σ to a signature verification device;
It is a program to make it function as.

本発明の第2のプログラムは、
署名を検証するコンピュータを、
署名生成装置から、検証鍵VK、タグtag、文書m、および署名σを受信する受信手段と、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、該タグtagをコミットメントCmtとし、ハッシュ関数Hを用いて、該コミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該検証鍵VKを公開鍵pkとし、該署名σをレスポンスResとし、該公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する検証手段と、
として機能させるためのプログラムである。 The second program of the present invention is:
The computer that verifies the signature
Receiving means for receiving the verification key VK, the tag tag, the document m, and the signature σ from the signature generation device;
Using the verification key VK, the tag tag, the document m, and the signature σ as inputs, the tag tag as a commitment Cmt, and using the hash function H, a hash value Cha is calculated from the commitment Cmt and the document m The verification key VK is the public key pk, the signature σ is the response Res, and the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk, and the verification Verification means for accepting or rejecting the signature σ depending on the result;
It is a program to make it function as.

本発明によれば、他の暗号プリミティブに基づいた、一般的なタグ使い捨て署名の構成方法を実現することができるという効果が得られる。   According to the present invention, it is possible to realize a general method for constructing a tag disposable signature based on another cryptographic primitive.

本実施形態の署名システムの構成を示す図である。It is a figure which shows the structure of the signature system of this embodiment. 図1に示した署名生成装置の構成を示すブロック図である。It is a block diagram which shows the structure of the signature production | generation apparatus shown in FIG. 図1に示した署名検証装置の構成を示すブロック図である。It is a block diagram which shows the structure of the signature verification apparatus shown in FIG. 図1に示した署名システムの動作シーケンスを示すシーケンス図である。It is a sequence diagram which shows the operation | movement sequence of the signature system shown in FIG.

(1)本明細書で利用する記法
本発明は、相手認証方式を利用してタグ使い捨て署名を実現する。 (1) Notation used in the present specification The present invention realizes a tag disposable signature using a partner authentication method.

まず、本明細書で利用する記法を説明する。   First, the notation used in this specification will be described.

本明細書では、λはセキュリティパラメータを表すものとする。ある有限集合Sについて、   In this specification, λ represents a security parameter. For a finite set S,

Figure 0006125459
Figure 0006125459

と書いたとき、集合Sから要素rを一様ランダムに選んだことを表す。ある確率的多項式時間アルゴリズムAについて、 Indicates that the element r is uniformly selected from the set S. For a probabilistic polynomial time algorithm A,

Figure 0006125459
Figure 0006125459

と書いたとき、アルゴリズムAは、xを入力にとり、乱数を用いて動作し、aを出力したことを表す。入力xに対して乱数rを使用して動作し、aを出力することを明示するときは、a:=A(x;r)と書くことにする。記号:=に関して、ある値a,bについて、a:=bと書いたとき、aにbを代入すること、または、aをbで定義することを表す。
(2)典型的な相手認証方式
次に、典型的な相手認証方式を説明する。この典型的な相手認証方式は、証明者と検証者との間で対話的通信をして行うものである。 The algorithm A takes x as an input, operates using a random number, and indicates that a is output. When operating using the random number r for the input x and clearly indicating that a is to be output, a: = A (x; r) is written. Regarding the symbol: =, when a: = b is written with respect to certain values a and b, it means that b is substituted for a or that a is defined by b.
(2) Typical partner authentication method Next, a typical partner authentication method will be described. This typical partner authentication method is performed through interactive communication between a prover and a verifier.

鍵生成:
事前に証明者は、1λを入力にとり、公開鍵および秘密鍵の対(pk,sk)を生成する。ここでの処理は、 Key generation:
In advance, the prover takes 1 λ as an input and generates a public key and private key pair (pk, sk). The processing here is

Figure 0006125459
Figure 0006125459

と表される。公開されるのは、公開鍵pkのみである。 It is expressed. Only the public key pk is made public.

コミット:
証明者は、乱数Rを選び、乱数Rを用いて公開鍵pkを入力し、コミットメント(Cmt)を生成して検証者に送る。コミットメント生成時には同時に内部状態の情報(State)も出力する。ここでの処理は、 commit:
The prover selects the random number R, inputs the public key pk using the random number R, generates a commitment (Cmt), and sends it to the verifier. At the same time when the commitment is generated, the internal state information (State) is also output. The processing here is

Figure 0006125459
Figure 0006125459

と表される。 It is expressed.

ただし、検証者に送られるのはコミットメントのみである。典型的には、内部状態はコミットメント生成時の乱数のことを指す。   However, only commitments are sent to the verifier. Typically, the internal state refers to a random number at the time of commitment generation.

チャレンジ:
検証者は、証明者からコミットメントを受け取ると、ランダムなチャレンジChaを送る。このチャレンジとして選ぶ値は公開鍵pkによって決まる空間(Cpk)から一様ランダムに選ぶ。ここでの処理は、 Challenge:
When the verifier receives the commitment from the prover, the verifier sends a random challenge Cha. The value chosen as this challenge is chosen uniformly at random from the space (C pk ) determined by the public key pk. The processing here is

Figure 0006125459
Figure 0006125459

と表される。ここで、 It is expressed. here,

Figure 0006125459
Figure 0006125459

である。 It is.

レスポンス:
証明者は、検証者からチャレンジChaを受け取ると、保持していた内部状態Stateと秘密鍵skを利用してレスポンス(Res)を生成する。ここでの処理は、Res:=P(pk,sk,State,Cha)と表される。 response:
When the prover receives the challenge Cha from the verifier, the prover generates a response (Res) using the held internal state State and the secret key sk. The processing here is expressed as Res: = P (pk, sk, State, Cha).

検証:
検証者は、証明者からレスポンスResを受け取ると、公開鍵pkによって決まる検証式Vrfyを用いて、これまでに生成された系列(Cmt,Cha,Res)の正当性を検証する。ここでの処理は、V(pk,Cmt,Cha,Res)→0/1で表される。検証者は、正当性を検証できれば(計算結果が1であれば)、通信している証明者を、公開鍵pkに対応するパーティとして認証する。 Verification:
When the verifier receives the response Res from the prover, the verifier verifies the validity of the sequence (Cmt, Cha, Res) generated so far using the verification expression Vrfy determined by the public key pk. The processing here is expressed as V (pk, Cmt, Cha, Res) → 0/1. If the verifier can verify the validity (if the calculation result is 1), the verifier authenticates the communicating prover as the party corresponding to the public key pk.

以下、相手認証方式のアルゴリズムを(Id.Gen,Id.P,Id.V)と書くことにする。
(3)本発明が典型的な相手認証方式に追加する性質
本発明では、上述した典型的な相手認証方式に、次の新たな性質を追加したものを考える。 Hereinafter, the algorithm of the other party authentication method is written as (Id.Gen, Id.P, Id.V).
(3) Properties added by the present invention to a typical partner authentication method In the present invention, the following new property is added to the above-described typical partner authentication method.

コミットメント一様性:
コミットメントを正しく生成した時、コミットメントの値が、公開鍵pkによって決まる空間Tpk上に一様に分布している。 Commitment uniformity:
When the commitment is correctly generated, the value of the commitment is uniformly distributed on the space Tpk determined by the public key pk.

状態復元:
コミットメントの値Cmtおよび秘密鍵skが与えられた時、あるアルゴリズムStRvによって、内部状態Stateを復元できる。つまり、State:=StRv(pk,sk,Cmt)である。 State restoration:
When the commitment value Cmt and the secret key sk are given, the internal state State can be restored by a certain algorithm StRv. That is, State: = StRv (pk, sk, Cmt).

なお、コミットメント一様性および状態復元の性質を考慮した相手認証方式は、非特許文献5で提案されている。
(4)本発明の実施形態
(4−1)本実施形態の構成
図1に、本実施形態の署名システムの構成を示す。 Note that Non-Patent Document 5 proposes a partner authentication method that takes into account the uniformity of commitment and the nature of state restoration.
(4) Embodiment of the Present Invention (4-1) Configuration of the Present Embodiment FIG. 1 shows the configuration of the signature system of the present embodiment.

図1に示すように、本実施形態の署名システムは、署名を生成する署名生成装置10と、署名生成装置10が生成した署名を検証する署名検証装置20と、から構成される。   As shown in FIG. 1, the signature system of this embodiment includes a signature generation device 10 that generates a signature, and a signature verification device 20 that verifies the signature generated by the signature generation device 10.

図2に、署名生成装置10の構成を示す。   FIG. 2 shows the configuration of the signature generation apparatus 10.

図2に示すように、署名生成装置10は、鍵生成部11と、乱数生成部12と、タグ生成部13と、署名生成部14と、記憶部15と、送信部16と、を有している。   As shown in FIG. 2, the signature generation device 10 includes a key generation unit 11, a random number generation unit 12, a tag generation unit 13, a signature generation unit 14, a storage unit 15, and a transmission unit 16. ing.

鍵生成部11は、セキュリティパラメータλを入力として、相手認証方式を使って検証鍵VKおよび署名鍵SKの鍵対を生成する。   The key generation unit 11 receives the security parameter λ and generates a key pair of the verification key VK and the signature key SK using the other party authentication method.

乱数生成部12は、乱数を生成する。   The random number generation unit 12 generates a random number.

タグ生成部13は、乱数生成部12が生成した乱数を用いて検証鍵VKを入力として、タグtagを生成する。   The tag generation unit 13 generates a tag tag using the random number generated by the random number generation unit 12 as an input and the verification key VK.

署名生成部14は、タグ生成部13が生成したタグtag、鍵生成部11が生成した検証鍵VKおよび署名鍵SK、および文書mを入力として、署名σを生成する。   The signature generation unit 14 receives the tag tag generated by the tag generation unit 13, the verification key VK and signature key SK generated by the key generation unit 11, and the document m, and generates a signature σ.

記憶部15は、検証鍵VK、署名鍵SK、およびタグtagを記憶する。   The storage unit 15 stores a verification key VK, a signature key SK, and a tag tag.

送信部16は、検証鍵VK、タグtag、文書m、および署名σを署名検証装置20に送信する。   The transmission unit 16 transmits the verification key VK, the tag tag, the document m, and the signature σ to the signature verification device 20.

図3に、署名検証装置20の構成を示す。   FIG. 3 shows the configuration of the signature verification apparatus 20.

図3に示すように、署名検証装置20は、受信部21と、記憶部22と、検証部23と、を有している。   As illustrated in FIG. 3, the signature verification apparatus 20 includes a reception unit 21, a storage unit 22, and a verification unit 23.

受信部21は、署名生成装置10から、検証鍵VK、タグtag、文書m、および署名σを受信する。   The receiving unit 21 receives the verification key VK, the tag tag, the document m, and the signature σ from the signature generation device 10.

記憶部22は、受信部21が受信した検証鍵VK、タグtag、文書m、および署名σを記憶する。   The storage unit 22 stores the verification key VK, the tag tag, the document m, and the signature σ received by the receiving unit 21.

検証部23は、検証鍵VK、文書m、タグtag、および署名σを入力とし、署名σを検証する。
(4−2)本実施形態の動作
図4に、本実施形態の署名システムの動作シーケンスを示す。 The verification unit 23 receives the verification key VK, the document m, the tag tag, and the signature σ, and verifies the signature σ.
(4-2) Operation of this Embodiment FIG. 4 shows an operation sequence of the signature system of this embodiment.

図4に示すように、まず、ステップS1において、署名生成装置10の鍵生成部11は、セキュリティパラメータλを入力とし、相手認証方式を使って検証鍵VKおよび署名鍵SKの鍵対を生成する。具体的には、まず、鍵生成部11は、   As shown in FIG. 4, first, in step S1, the key generation unit 11 of the signature generation apparatus 10 receives the security parameter λ and generates a key pair of the verification key VK and the signature key SK using the other party authentication method. . Specifically, first, the key generation unit 11

Figure 0006125459
Figure 0006125459

を実行し、相手認証方式の公開鍵pkおよび秘密鍵skを生成する。そして、鍵生成部11は、VK:=pkを検証鍵として設定し、SK:=skを署名鍵として設定する。検証鍵VKおよび署名鍵SKは記憶部15に記憶される。 To generate a public key pk and a secret key sk for the partner authentication method. Then, the key generation unit 11 sets VK: = pk as a verification key and sets SK: = sk as a signature key. The verification key VK and the signature key SK are stored in the storage unit 15.

次に、ステップS2において、署名生成装置10の送信部16は、検証鍵VKのみを署名検証装置20に送信する。検証鍵VKは、署名検証装置20の受信部21で受信され、記憶部22に記憶される。   Next, in step S <b> 2, the transmission unit 16 of the signature generation apparatus 10 transmits only the verification key VK to the signature verification apparatus 20. The verification key VK is received by the reception unit 21 of the signature verification device 20 and stored in the storage unit 22.

次に、ステップS3において、署名生成装置10のタグ生成部13は、乱数生成部12が生成した乱数を用いて、検証鍵VK(=pk)を入力とし、タグtagを生成する。具体的には、タグ生成部13は、相手認証方式の公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、このコミットメントCmtをタグtagとして出力する。つまり、タグ生成部13は、tag:=Cmtを出力する。タグtagは、記憶部15に記憶される。 Next, in step S <b> 3, the tag generation unit 13 of the signature generation device 10 uses the random number generated by the random number generation unit 12 as an input, and generates a tag tag using the verification key VK (= pk). Specifically, the tag generator 13, selects from the space T pk commitment determined by the public key pk of the partner authentication method commitment Cmt uniformly random, and outputs the commitment Cmt as tags tag. That is, the tag generation unit 13 outputs tag: = Cmt. The tag tag is stored in the storage unit 15.

次に、ステップS4において、署名生成装置10の署名生成部14は、タグtag(=Cmt)、検証鍵VK(=pk)、署名鍵SK(=sk)、および文書mを入力とし、署名σを生成する。具体的には、署名生成部14は、文書mに署名するために、ハッシュ関数Hを用いて、ハッシュ値Cha:=H(Cmt,m)を計算し、内部状態State:=StRv(pk,sk,Cmt)を計算し、レスポンスRes:=Id.P(pk,sk,State,Cha)を計算する。そして、署名生成部14は、σ:=Resを署名として出力する。   Next, in step S4, the signature generation unit 14 of the signature generation apparatus 10 receives the tag tag (= Cmt), the verification key VK (= pk), the signature key SK (= sk), and the document m, and inputs the signature σ. Is generated. Specifically, the signature generation unit 14 calculates a hash value Cha: = H (Cmt, m) using the hash function H to sign the document m, and the internal state State: = StRv (pk, sk, Cmt) and response Res: = Id. P (pk, sk, State, Cha) is calculated. Then, the signature generation unit 14 outputs σ: = Res as a signature.

次に、ステップS5において、署名生成装置10の送信部16は、タグtag、文書m、および署名σを署名検証装置20に送信する。タグtag、文書m、および署名σは、署名検証装置20の受信部21で受信され、記憶部22に記憶される。   Next, in step S <b> 5, the transmission unit 16 of the signature generation apparatus 10 transmits the tag tag, the document m, and the signature σ to the signature verification apparatus 20. The tag tag, the document m, and the signature σ are received by the reception unit 21 of the signature verification apparatus 20 and stored in the storage unit 22.

次に、署名検証装置20の検証部23は、署名σを受信した後に、ステップS6において、署名σを検証する。具体的には、検証部23は、検証鍵VK(=pk)、タグtag(=Cmt)、文書m、および署名σ(=Res)を入力とし、ハッシュ関数Hを用いて、ハッシュ値Cha:=H(Cmt,m)を計算し、相手認証方式の公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証する。つまり、検証部23は、Id.V(pk,Cmt,Cha,Res)→0/1を計算する。   Next, after receiving the signature σ, the verification unit 23 of the signature verification apparatus 20 verifies the signature σ in step S6. Specifically, the verification unit 23 receives a verification key VK (= pk), a tag tag (= Cmt), a document m, and a signature σ (= Res), and uses a hash function H to generate a hash value Cha: = H (Cmt, m) is calculated, and the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk of the partner authentication method. That is, the verification unit 23 determines whether the Id. V (pk, Cmt, Cha, Res) → 0/1 is calculated.

その後、ステップS7において、署名検証装置20の検証部23は、Id.V(pk,Cmt,Cha,Res)の計算結果が1であれば、署名σを受理して1を出力するが、そうでなければ、署名σを拒否して0を出力する。   Thereafter, in step S7, the verification unit 23 of the signature verification apparatus 20 determines whether the Id. If the calculation result of V (pk, Cmt, Cha, Res) is 1, the signature σ is accepted and 1 is output. Otherwise, the signature σ is rejected and 0 is output.

以上の方式では、文書mを相手認証方式のチャレンジとみなしている。
(4−3)本実施形態の効果
本実施形態は、他の暗号プリミティブ(コミットメント一様性および状態復元の性質を考慮した相手認証方式を利用するもの)に基づいた、一般的なタグ使い捨て署名の構成方法を実現することができる。 In the above method, the document m is regarded as a challenge of the partner authentication method.
(4-3) Effects of the present embodiment The present embodiment is a general tag disposable signature based on other cryptographic primitives (using a partner authentication method that takes into account the characteristics of commitment uniformity and state restoration). This configuration method can be realized.

また、コミットメント一様性および状態復元の性質を考慮した相手認証方式は、非特許文献5で提案されているため、非特許文献5で提案されたような既存の方式にも、本実施形態で提案した構成方法を利用できるという利点がある。   In addition, since the other party authentication method that takes into account the uniformity of commitment and the nature of state restoration has been proposed in Non-Patent Document 5, this embodiment can be applied to the existing method as proposed in Non-Patent Document 5. There is an advantage that the proposed configuration method can be used.

また、非特許文献3,4で提案された方式は、離散対数系の問題を利用しているため、量子コンピュータが実現した場合、安全でなくなる。これに対して本実施形態は、非同期攻撃に対して安全でかつコミットメント一様性および状態復元の性質を考慮した相手認証方式を利用している。この方式は、非特許文献5で提案された相手認証方式を用いて実現した場合、格子問題に基づいた方式となる。そのため、量子コンピュータが実現したとしても、安全なタグ使い捨て署名を実現することができる。非特許文献3,4で提案された、離散対数系の問題を利用する方式では量子コンピュータに対して安全ではない。   In addition, the methods proposed in Non-Patent Documents 3 and 4 use the problem of discrete logarithmic systems, and thus are not safe when a quantum computer is realized. On the other hand, this embodiment uses a partner authentication method that is safe against asynchronous attacks and that takes into account the uniformity of commitment and the nature of state restoration. This method is based on the lattice problem when implemented using the counterpart authentication method proposed in Non-Patent Document 5. Therefore, even if a quantum computer is realized, a safe tag disposable signature can be realized. The methods using the problem of discrete logarithmic systems proposed in Non-Patent Documents 3 and 4 are not safe for quantum computers.

なお、本発明の署名生成装置10および署名検証装置20は、コンピュータとプログラムとによっても実現することができ、このプログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。   The signature generation device 10 and the signature verification device 20 of the present invention can be realized by a computer and a program, and the program can be recorded on a recording medium or provided through a network.

10 署名生成装置
11 鍵生成部
12 乱数生成部
13 タグ生成部
14 署名生成部
15 記憶部
16 送信部
20 署名検証装置
21 受信部
22 記憶部
23 検証部 DESCRIPTION OF SYMBOLS 10 Signature generation apparatus 11 Key generation part 12 Random number generation part 13 Tag generation part 14 Signature generation part 15 Storage part 16 Transmission part 20 Signature verification apparatus 21 Reception part 22 Storage part 23 Verification part

Claims (5)

署名を生成する署名生成装置と、前記署名生成装置が生成した署名を検証する署名検証装置と、を有する署名システムであって、
前記署名生成装置は、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとし、該検証鍵VKを前記署名検証装置に送信し、
乱数前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとし、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、前記公開鍵pk、前記秘密鍵sk、および前記コミットメントCmtが与えられると内部状態Stateを出力するアルゴリズムを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、前記公開鍵pk、前記秘密鍵sk、内部状態State、および前記ハッシュ値Chaが与えられるとレスポンスResを出力するアルゴリズムを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとし、該タグtag、該文書m、および該署名σを前記署名検証装置に送信し、
前記署名検証装置は、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、前記ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該署名σをレスポンスResとし、該検証鍵VKである公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する、
署名システム。 A signature system comprising: a signature generation device that generates a signature; and a signature verification device that verifies a signature generated by the signature generation device,
The signature generation device includes:
Using the security parameter λ as an input, a public key pk and a secret key sk of the other party authentication method are generated, the public key pk is used as the verification key VK, the secret key sk is used as the signature key SK, and the verification key VK is used as the signature verification device. To
And random number and the input and the verification key VK, select from the space T pk of commitment that is determined by the public key pk is the verification key VK commitment Cmt uniformly random, the commitment Cmt and tag tag,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and the publication key pk, the secret key sk, and the using and commitment Cmt is given an algorithm to output the internal state state, public key pk is the verification key VK, secret key sk is the signing key sK, and the commitments Cmt, it calculates the internal state state, the public key pk, the secret key sk, the internal state state, and the the hash value Cha is given using a algorithm that outputs a response Res, the public key pk, A response Res is obtained from the secret key sk, the internal state State, and the hash value Cha. Calculated, and the response Res a signature sigma, and sends the tag tag, the document m, and the signing sigma to the signature verification device,
The signature verification device includes:
Using the verification key VK, the tag tag, the document m, and the signature σ as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and The signature σ is set as the response Res, the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk which is the verification key VK, and the signature σ is set according to the verification result. Accept or reject,
Signature system. 署名を生成する署名生成装置であって、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとする鍵生成部と、
乱数前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとするタグ生成部と、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、前記公開鍵pk、前記秘密鍵sk、および前記コミットメントCmtが与えられると内部状態Stateを出力するアルゴリズムを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、前記公開鍵pk、前記秘密鍵sk、内部状態State、および前記ハッシュ値Chaが与えられるとレスポンスResを出力するアルゴリズムを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとする署名生成部と、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを署名検証装置に送信する送信部と、
を有する署名生成装置。 A signature generation device for generating a signature,
A key generation unit that generates a public key pk and a secret key sk of the counterpart authentication method with the security parameter λ as an input, uses the public key pk as a verification key VK, and uses the secret key sk as a signature key SK;
And the random number and the input and the verification key VK, choose from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, a tag generator to tag tag the commitment Cmt ,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and the publication key pk, the secret key sk, and the using and commitment Cmt is given an algorithm to output the internal state state, public key pk is the verification key VK, secret key sk is the signing key sK, and the commitments Cmt, it calculates the internal state state, the public key pk, the secret key sk, the internal state state, and the the hash value Cha is given using a algorithm that outputs a response Res, the public key pk, A response Res is obtained from the secret key sk, the internal state State, and the hash value Cha. Calculated by the signature generation unit to sign the response Res sigma,
A transmission unit that transmits the verification key VK, the tag tag, the document m, and the signature σ to a signature verification device;
A signature generation device. 署名を生成する署名生成装置と、前記署名生成装置が生成した署名を検証する署名検証装置と、を有する署名システムによる署名生成/検証方法であって、
前記署名生成装置が、セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとし、該検証鍵VKを前記署名検証装置に送信し、
前記署名生成装置が、乱数前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとし、
前記署名生成装置が、前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、前記公開鍵pk、前記秘密鍵sk、および前記コミットメントCmtが与えられると内部状態Stateを出力するアルゴリズムを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、前記公開鍵pk、前記秘密鍵sk、内部状態State、および前記ハッシュ値Chaが与えられるとレスポンスResを出力するアルゴリズムを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとし、該タグtag、該文書m、および該署名σを前記署名検証装置に送信し、
前記署名検証装置が、前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを入力とし、前記ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、該署名σをレスポンスResとし、該検証鍵VKである公開鍵pkによって決まる検証式Vrfyを用いて、系列(Cmt,Cha,Res)の正当性を検証し、該検証結果に応じて該署名σを受理または拒否する、
署名生成/検証方法。 A signature generation / verification method by a signature system, comprising: a signature generation device that generates a signature; and a signature verification device that verifies a signature generated by the signature generation device,
The signature generation apparatus receives the security parameter λ as an input, generates a public key pk and a secret key sk of the other party authentication method, uses the public key pk as a verification key VK, and uses the secret key sk as a signature key SK. Send VK to the signature verification device;
The signature generation apparatus, as an input and the verification key VK and the random number, select from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, tag tag the commitment Cmt age,
The signature generation device receives the verification key VK, the signature key SK, the tag tag, and the document m, and uses the hash function H to obtain the hash value Cha from the commitment Cmt and the document m as the tag tag. the calculated, the public key pk, said by using the algorithm that outputs a secret key sk, and when the commitment Cmt is given internal state state, public key pk is the verification key VK, is a signing key SK secret key sk, and from the commitment Cmt, calculates the internal state state, the public key pk, the secret key sk, using the algorithm for outputting the response Res internal state state, and the hash value Cha given , The public key pk, the secret key sk, the internal state State, and the hash value Cha Calculates a response Res, the response Res a signature sigma, and sends the tag tag, the document m, and the signing sigma to the signature verification device,
The signature verification device receives the verification key VK, the tag tag, the document m, and the signature σ as inputs, and uses the hash function H to obtain a hash value from the commitment Cmt that is the tag tag and the document m. Cha is calculated, the signature σ is set as the response Res, the validity of the sequence (Cmt, Cha, Res) is verified using the verification expression Vrfy determined by the public key pk which is the verification key VK, and the verification result is Accept or reject the signature σ accordingly
Signature generation / verification method. 署名を生成する署名生成装置による署名生成方法であって、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとし、該検証鍵VKを署名検証装置に送信し、
乱数前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとし、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、前記公開鍵pk、前記秘密鍵sk、および前記コミットメントCmtが与えられると内部状態Stateを出力するアルゴリズムを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、前記公開鍵pk、前記秘密鍵sk、内部状態State、および前記ハッシュ値Chaが与えられるとレスポンスResを出力するアルゴリズムを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとし、該タグtag、該文書m、および該署名σを前記署名検証装置に送信する、
署名生成方法。 A signature generation method by a signature generation device that generates a signature,
Using the security parameter λ as an input, a public key pk and a secret key sk of the other party authentication method are generated, the public key pk is used as the verification key VK, the secret key sk is used as the signature key SK, and the verification key VK is used as the signature verification apparatus. Send
And random number and the input and the verification key VK, select from the space T pk of commitment that is determined by the public key pk is the verification key VK commitment Cmt uniformly random, the commitment Cmt and tag tag,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and the publication key pk, the secret key sk, and the using and commitment Cmt is given an algorithm to output the internal state state, public key pk is the verification key VK, secret key sk is the signing key sK, and the commitments Cmt, it calculates the internal state state, the public key pk, the secret key sk, the internal state state, and the the hash value Cha is given using a algorithm that outputs a response Res, the public key pk, A response Res is obtained from the secret key sk, the internal state State, and the hash value Cha. Calculated, and the response Res a signature sigma, and transmits the tag tag, the document m, and the signing sigma to the signature verification device,
Signature generation method. 署名を生成するコンピュータを、
セキュリティパラメータλを入力として、相手認証方式の公開鍵pkおよび秘密鍵skを生成し、該公開鍵pkを検証鍵VK、該秘密鍵skを署名鍵SKとする鍵生成手段と、
乱数前記検証鍵VKを入力とし、該検証鍵VKである公開鍵pkによって決まるコミットメントの空間TpkからコミットメントCmtを一様ランダムに選び、該コミットメントCmtをタグtagとするタグ生成手段と、
前記検証鍵VK、前記署名鍵SK、前記タグtag、および文書mを入力とし、ハッシュ関数Hを用いて、該タグtagであるコミットメントCmtおよび該文書mから、ハッシュ値Chaを計算し、前記公開鍵pk、前記秘密鍵sk、および前記コミットメントCmtが与えられると内部状態Stateを出力するアルゴリズムを用いて、該検証鍵VKである公開鍵pk、該署名鍵SKである秘密鍵sk、および該コミットメントCmtから、内部状態Stateを計算し、前記公開鍵pk、前記秘密鍵sk、内部状態State、および前記ハッシュ値Chaが与えられるとレスポンスResを出力するアルゴリズムを用いて、該公開鍵pk、該秘密鍵sk、該内部状態State、および該ハッシュ値Chaから、レスポンスResを計算し、該レスポンスResを署名σとする署名生成手段と、
前記検証鍵VK、前記タグtag、前記文書m、および前記署名σを署名検証装置に送信する送信手段と、
として機能させるためのプログラム。 The computer that generates the signature
A key generation means for generating a public key pk and a secret key sk of the other party authentication method with the security parameter λ as an input, using the public key pk as a verification key VK and the secret key sk as a signature key SK;
And the random number and the input and the verification key VK, choose from the space T pk commitment determined by the public key pk is the verification key VK commitment Cmt uniformly random, a tag generating means for the commitment Cmt and tag tag ,
Using the verification key VK, the signature key SK, the tag tag, and the document m as inputs, using the hash function H, a hash value Cha is calculated from the commitment Cmt that is the tag tag and the document m, and the publication key pk, the secret key sk, and the using and commitment Cmt is given an algorithm to output the internal state state, public key pk is the verification key VK, secret key sk is the signing key sK, and the commitments Cmt, it calculates the internal state state, the public key pk, the secret key sk, the internal state state, and the the hash value Cha is given using a algorithm that outputs a response Res, the public key pk, A response Res is obtained from the secret key sk, the internal state State, and the hash value Cha. Calculated by the signature generating means for the signature of the response Res sigma,
Transmitting means for transmitting the verification key VK, the tag tag, the document m, and the signature σ to a signature verification device;
Program to function as.
JP2014098445A 2014-05-12 2014-05-12 Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program Active JP6125459B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014098445A JP6125459B2 (en) 2014-05-12 2014-05-12 Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014098445A JP6125459B2 (en) 2014-05-12 2014-05-12 Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program

Publications (2)

Publication Number Publication Date
JP2015216514A JP2015216514A (en) 2015-12-03
JP6125459B2 true JP6125459B2 (en) 2017-05-10

Family

ID=54753015

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014098445A Active JP6125459B2 (en) 2014-05-12 2014-05-12 Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program

Country Status (1)

Country Link
JP (1) JP6125459B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6225097B2 (en) * 2014-11-06 2017-11-01 日本電信電話株式会社 Signature / Verification System, Signature Device, Verification Device, Signature / Verification Method, Program
CN107507434B (en) * 2016-06-14 2020-03-17 北京数码视讯科技股份有限公司 Traffic control method and device and traffic management system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003324425A (en) * 2002-05-08 2003-11-14 Nippon Telegr & Teleph Corp <Ntt> Electronic signing method, apparatus therefor, program and recording medium therefor

Also Published As

Publication number Publication date
JP2015216514A (en) 2015-12-03

Similar Documents

Publication Publication Date Title
CN111066285B (en) SM2 signature based public key recovery method
US9166957B2 (en) Digital file authentication using biometrics
CN108667626A (en) The two sides cooperation SM2 endorsement methods of safety
JP5790319B2 (en) Signature verification apparatus, signature verification method, program, and recording medium
JP5593850B2 (en) Authentication device, authentication method, program, and signature generation device
CN106936584B (en) Method for constructing certificateless public key cryptosystem
JP2014158265A (en) Cryptographic devices and methods for generating and verifying commitments from linearly homomorphic signatures
TWI455555B (en) Authentication device, authentication method, and program
WO2007105749A1 (en) Group signature system and information processing method
US20230037491A1 (en) Cryptographic Operation
KR101382626B1 (en) System and method for id-based strong designated verifier signature
CN116349203A (en) Identifying denial of service attacks
TWI511517B (en) Information processing apparatus, information processing method, program and recording medium
TW202318833A (en) Threshold signature scheme
WO2008026345A1 (en) Electronic signature system and electronic signature verifying method
TWI593267B (en) Certificateless public key management method with timestamp verification
Shankar et al. Improved Multisignature Scheme for Authenticity of Digital Document in Digital Forensics Using Edward‐Curve Digital Signature Algorithm
JP6125459B2 (en) Signature system, signature generation apparatus, signature generation / verification method, signature generation method, and program
KR20230002941A (en) (EC)DSA Threshold Signature with Secret Sharing
JP2014157354A (en) Cryptographic devices and methods for generating and verifying linearly homomorphic structure-preserving signatures
KR101523053B1 (en) System and method for verifiably encrypted signatures from lattices
CN108768634A (en) Verifiable Encryptosystem signature generating method and system
JP5227816B2 (en) Anonymous signature generation device, anonymous signature verification device, anonymous signature tracking determination device, anonymous signature system with tracking function, method and program thereof
JP2009224997A (en) Signature system, signature method, certifying apparatus, verifying apparatus, certifying method, verifying method, and program
WO2011033642A1 (en) Signature generation device and signature verification device

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170321

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170405

R150 Certificate of patent or registration of utility model

Ref document number: 6125459

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150