JP7238977B2 - 匿名署名システム及び匿名署名方法 - Google Patents

匿名署名システム及び匿名署名方法 Download PDF

Info

Publication number
JP7238977B2
JP7238977B2 JP2021521586A JP2021521586A JP7238977B2 JP 7238977 B2 JP7238977 B2 JP 7238977B2 JP 2021521586 A JP2021521586 A JP 2021521586A JP 2021521586 A JP2021521586 A JP 2021521586A JP 7238977 B2 JP7238977 B2 JP 7238977B2
Authority
JP
Japan
Prior art keywords
signature
agent
system parameter
generating
signer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021521586A
Other languages
English (en)
Other versions
JPWO2020240654A1 (ja
Inventor
文学 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2020240654A1 publication Critical patent/JPWO2020240654A1/ja
Application granted granted Critical
Publication of JP7238977B2 publication Critical patent/JP7238977B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Description

本発明は、匿名署名システム及び匿名署名方に関する。
署名者の匿名性を守りつつ電子署名を行う方法として匿名署名が知られている。このような匿名署名の1つとして、リング署名が知られている。リング署名では、署名がグループのメンバにより作成されたことを第三者が検証することができるが、グループのどのメンバにより署名が作成されたかは特定することができず、また、グループ管理者も存在しない。
また、リング署名の拡張として匿名化可能署名(Anonymizable Signature)が知られている。匿名化可能署名では、署名されたメッセージを持つ者は誰でも後からその署名を匿名署名に変換することができる。このため、或るグループ(リング)に属する署名者は、自身の秘密鍵を用いて署名したメッセージを或るエージェント(例えば、署名を預かって、管理する第三者)に渡しておけば、当該署名の匿名化に関与する必要がない。言い換えれば、エージェントのみで当該署名を匿名化することができる。
ところで、匿名化可能署名では署名者がエージェントに渡す署名は通常の署名であり、例えば、漏洩等によって攻撃者がこの署名を入手した場合、当該攻撃者は、エージェント同様に、署名者がこの署名を行ったことを確認できてしまう。これに対して、予め指定したエージェント以外は署名者を確認することができないようにするエージェント指定匿名化可能署名が知られている(非特許文献1参照)。エージェント指定匿名化可能署名では、署名者は、指定したエージェントが公開するシステムパラメタを用いて秘密鍵及び公開鍵を生成した上で、この秘密鍵によりメッセージに署名を行う。これにより、当該エージェントのみで署名検証及び匿名化が可能となり、仮に署名が漏洩したとしても当該エージェント以外の者が署名者を確認することができないようにしている。
小林 鉄太郎,星野 文学,「エージェント指定匿名化可能署名」,SCIS2019, 2019.
しかしながら、上述したように、エージェント指定匿名化可能署名では、署名者は、指定したエージェントが公開するシステムパラメタを用いて公開鍵を生成する必要がある。このため、例えば、公開鍵を生成した後に、他のエージェントを指定したくなった場合には、署名者は、当該他のエージェントが公開するシステムパラメタを用いて公開鍵を生成し直す必要がある。すなわち、エージェントの指定を変更するたびに、署名者には公開鍵を再生成する手間が生じていた。
本発明の実施の形態は、上記の点に鑑みてなされたもので、エージェントの指定変更に伴う鍵生成の手間を削減することを目的とする。
上記目的を達成するため、本発明の実施の形態における匿名署名システムは、署名者が指定したエージェントにより署名σを匿名化する匿名署名システムであって、安全パラメタを入力として、前記エージェントに依存しないシステムパラメタρを生成するシステムパラメタ生成手段と、前記システムパラメタρを入力として、エージェント秘密鍵wとエージェント公開鍵gとを生成するセットアップ手段と、前記システムパラメタρを入力として、前記署名者の秘密鍵xと公開鍵yとを生成する鍵生成手段と、前記秘密鍵xと、前記署名σが付与される対象のメッセージmと、前記署名者が指定したエージェントのエージェント公開鍵gとを入力として、前記メッセージmに対する署名σを生成する署名生成手段と、前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名σと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmとを入力として、前記署名σを匿名化したリング署名σ´を生成する匿名化手段と、前記リングLと、前記リストyと、前記メッセージmと、前記リング署名σ´とを入力として、前記メッセージmの検証結果bを出力する検証手段と、を有することを特徴とする。
エージェントの指定変更に伴う鍵生成の手間を削減することができる。
本発明の実施の形態における匿名署名システムの全体構成の一例を示す図である。 本発明の実施の形態におけるシステムパラメタ生成処理の一例を示すフローチャートである。 本発明の実施の形態におけるセットアップ処理の一例を示すフローチャートである。 本発明の実施の形態における鍵生成処理の一例を示すフローチャートである。 本発明の実施の形態における署名生成処理の一例を示すフローチャートである。 本発明の実施の形態における匿名化処理の一例を示すフローチャートである。 本発明の実施の形態における検証処理の一例を示すフローチャートである。 本発明の実施の形態における署名生成装置、匿名署名生成装置、署名検証装置及びシステムパラメタ生成装置のハードウェア構成の一例を示す図である。
以下、本発明の実施の形態について説明する。本発明の実施の形態では、エージェント指定匿名化可能署名において、エージェントの指定変更に伴う鍵(署名者の公開鍵)の再生成が不要な匿名署名システム1について説明する。
<表記>
本発明の実施の形態では、以下の表記を導入する。
・集合Xから一様ランダムに選択された要素をxとすることを、
Figure 0007238977000001
 と表記する。これを以降では、「x←X」又は「X→x」とも表す。
・確率的多項式時間アルゴリズムAlg()の出力をxとすることを、
Figure 0007238977000002
 と表記する。これを以降では、「x←Alg()」又は「Alg()→x」とも表す。
・yをxで定義する又はyにxを代入することを、y←x又はx→yと表す。ただし、「→」又は「←」は文脈によっては写像(又は関数)を表す。「→」又は「←」が写像を表す場合は、写像(又は関数)であることを明記する。
<匿名化可能署名>
まず、従来技術である匿名化可能署名について説明する。k∈N(Nは自然数全体の集合)を安全パラメタとし、M={0,1,・・・}を署名者集合とする。署名者集合の部分集合L⊂Mはリングと呼ばれる。また、署名者の識別子(例えば、署名者ID等)をiとして、識別子iの署名者の秘密鍵をx,公開鍵をyとする。ただし、署名者の識別子iを考えない場合は、単に、秘密鍵をx、公開鍵をyと表す。
更に、以降では、簡単のため、任意の記号aとリングLとに対してa=(ai∈Lと定義する。すなわち、例えば、L={L0,L1,・・・}である場合、a=(aL0,aL1,・・・)である。
このとき、匿名化可能署名方式Σは、次の構文を満たす4つの確率的多項式時間アルゴリズム(KeyGen,Sign,Anonymize,Verify)により構成される。
・鍵生成アルゴリズムKeyGen(1)→(x,y):安全パラメタ1を入力として、秘密鍵xと公開鍵yとを出力とする確率的多項式時間アルゴリズム。
・署名アルゴリズムSign(x,m)→r:秘密鍵xとメッセージmとを入力として、署名rを出力とする確率的多項式時間アルゴリズム。なお、メッセージmは、署名rが付与される対象である。
・匿名化アルゴリズムAnonymize(i,r,L,y,m)→σ又は⊥:署名者の識別子iと、リングL⊂Mと、リングLに属する署名者の公開鍵のリストyと、メッセージmとを入力として、リング署名σ又は拒絶⊥を出力とする確率的多項式時間アルゴリズム。リング署名σは匿名署名σとも称される。なお、公開鍵のリストyは、y=(yk∈Lである。
・検証アルゴリズムVerify(L,y,m,σ)→0又は1:リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σとを入力として、単一ビットb∈{0,1}を出力する確率的多項式時間アルゴリズム。なお、例えば、b=0が検証失敗を表し、b=1が検証成功を表す。
・構文:任意の多項式長のメッセージm∈{0,1}と、任意の多項式長のリングL⊂Mと、任意の署名者の識別子i∈Lとに対して、確率
Figure 0007238977000003
 がkに関して無視可能である。
上述したように、署名者の匿名性を担保するため、署名rは、署名者とエージェントとの間で秘密にしなければならない。すなわち、仮に、漏洩によって攻撃者が署名rを入手した場合、当該攻撃者は、エージェント同様に、署名者がこの署名rを行ったことを確認できてしまう。このため、エージェントは、署名者から託された署名を秘密として安全に管理する必要がある。通常、エージェントは、多くの署名者から多くの署名を託される場合が多く、託された署名の数に比例して安全に管理すべき秘密の量も大きくなる。ここで、エージェントとは、例えば、署名を預かって、管理する第三者のことである。
なお、上記の従来の匿名化可能署名の具体的な構成については、例えば、上記の非特許文献1を参照されたい。
<エージェント指定匿名化可能署名>
次に、従来技術であるエージェント指定匿名化可能署名について説明する。エージェント指定匿名化可能署名方式Σは、次の構文を満たす5つの確率的多項式時間アルゴリズム(Setup,KeyGen,Sign,Anonymize,Verify)により構成される。
・エージェント鍵生成アルゴリズムSetup(1)→(w,ρ):安全パラメタ1を入力として、エージェント秘密鍵wとシステムパラメタρとを出力とする確率的多項式時間アルゴリズム。なお、システムパラメタρは、エージェント指定匿名化署名方式Σに参加している参加者(署名者)が知っている共通参照情報であり、エージェント毎に生成及び公開される。また、エージェント秘密鍵wは、エージェントが署名rの匿名化に用いる秘密情報である。
・鍵生成アルゴリズムKeyGen(ρ)→(x,y):システムパラメタρを入力として、秘密鍵xと公開鍵yとを出力とする確率的多項式時間アルゴリズム。すなわち、鍵生成アルゴリズムKeyGen(ρ)は、1以上のエージェントのうち、署名者が指定したエージェントにより公開されているシステムパラメタρを入力として、秘密鍵xと公開鍵yとを出力する。
・署名アルゴリズムSign(x,m)→r:秘密鍵xとメッセージmとを入力として、署名rを出力とする確率的多項式時間アルゴリズム。
・匿名化アルゴリズムAnonymize(i,w,r,L,y,m)→σ又は⊥:署名者の識別子iと、当該署名者の署名rと、リングL⊂Mと、リングLに属する署名者の公開鍵のリストyと、当該署名rに対応するメッセージmと、エージェント秘密鍵wとを入力として、リング署名σ又は拒絶⊥を出力とする確率的多項式時間アルゴリズム。なお、リング署名σは匿名署名とも称される。
・検証アルゴリズムVerify(L,y,m,σ)→0又は1:リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σとを入力として、単一ビットb∈{0,1}を出力する確率的多項式時間アルゴリズム。なお、例えば、b=0である場合はメッセージmが正当でないことを表し、b=1である場合はメッセージmが正当であることを表す。
・構文:任意の多項式長のメッセージm∈{0,1}と、任意の多項式長のリングL⊂Mと、任意の署名者の識別子i∈Lとに対して、確率
Figure 0007238977000004
 がkに関して無視可能である。
上記のエージェント指定匿名化可能署名では、仮に署名rが攻撃者に漏洩したとしても、エージェント秘密鍵wが漏洩していなければ、署名rがどの秘密鍵xによって作成された署名であるのかが計算量的に識別困難となる。すなわち、エージェント指定匿名化可能署名では、署名rの匿名化にエージェント秘密鍵wが必要であるため、署名者が指定したエージェントでのみ署名検証及び匿名化が可能となる。したがって、エージェント指定匿名化可能署名では、エージェント秘密鍵wが漏洩しなければ、署名rの匿名性が担保される。
なお、上記のエージェント指定匿名化可能署名の具体的な構成については、例えば、上記の非特許文献1を参照されたい。
<エージェント独立エージェント指定匿名化可能署名>
本発明の実施の形態では、上記のエージェント指定匿名化可能署名を改良して、エージェントの指定変更に伴う鍵(署名者の公開鍵)の再生成が不要なエージェント指定匿名化可能署名(これを「エージェント独立エージェント指定匿名化可能署名」とも表す。)について説明する。
ところで、例えば、上記の非特許文献1に記載されているエージェント指定匿名化可能署名の具体的構成では、エージェントが生成した生成元gを用いてシステムパラメタρを構成し、署名者は、このシステムパラメタρを用いて秘密鍵x及び公開鍵yの生成と署名rの生成とを行っている。このため、エージェントの指定を変更した場合、署名者は公開鍵yを再生成し直す必要がある。
そこで、エージェント独立エージェント指定匿名化可能署名では、エージェントに依存しない共通参照文字列crsのハッシュ値によって誰も離散対数を知らない生成元gを生成し、この生成元gからシステムパラメタρを構成するようにする。これにより、エージェント独立エージェント指定匿名化可能署名では、エージェントの指定を変更した場合であっても公開鍵yの再生成を不要とすることができる。
エージェント独立エージェント指定匿名化可能署名方式Σは、次の構文を満たす6つの確率的多項式時間アルゴリズム(CrsGen,Setup,KeyGen,Sign,Anonymize,Verify)により構成される。
・共通参照情報生成アルゴリズムCrsGen(1)→ρ:安全パラメタ1を入力として、システムパラメタρを出力とする確率的多項式時間アルゴリズム。なお、このシステムパラメタρは、共通参照文字列crsのハッシュ値によって生成された生成元gから生成される。
・エージェント鍵生成アルゴリズムSetup(ρ)→(w,g):システムパラメタρを入力として、エージェント秘密鍵wとエージェント公開鍵gとを出力とする確率的多項式時間アルゴリズム。
・鍵生成アルゴリズムKeyGen(ρ)→(x,y):システムパラメタρを入力として、秘密鍵xと公開鍵yとを出力する確率的多項式時間アルゴリズム。
・署名アルゴリズムSign(x,m,g)→σ:秘密鍵xとメッセージmとエージェント公開鍵gとを入力として、署名σを出力とする確率的多項式時間アルゴリズム。
・匿名化アルゴリズムAnonymize(i,w,σ,L,y,m)→σ´又は⊥:署名者の識別子iと、エージェント秘密鍵wと、当該署名者の署名σと、リングL⊂Mと、リングLに属する署名者の公開鍵のリストyと、当該署名σに対応するメッセージmとを入力として、リング署名σ´又は拒絶⊥を出力とする確率的多項式時間アルゴリズム。なお、リング署名σは匿名署名とも称される。
・検証アルゴリズムVerify(L,y,m,σ´)→0又は1:リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σ´とを入力として、単一ビットb∈{0,1}を出力する確率的多項式時間アルゴリズム。なお、例えば、b=0である場合はメッセージmが正当でないことを表し、b=1である場合はメッセージmが正当であることを表す。
・構文:任意の多項式長のメッセージm∈{0,1}と、任意の多項式長のリングL⊂Mと、任意の署名者の識別子i∈Lとに対して、確率
Figure 0007238977000005
 がkに関して無視可能である。
なお、上記のエージェント独立エージェント指定匿名化可能署名では、従来のエージェント指定匿名化可能署名と同様に、仮に署名σが攻撃者に漏洩したとしても、エージェント秘密鍵wが漏洩していなければ、署名σがどの秘密鍵xによって作成された署名であるのかが計算量的に識別困難となる。したがって、エージェント独立エージェント指定匿名化可能署名では、署名者が指定したエージェントでのみ署名検証及び匿名化が可能となると共に、署名者がエージェントの指定を変更したとしても公開鍵yを再生成する必要がない。
ここで、上記のエージェント独立エージェント指定匿名化可能署名は、非特許文献1に記載されているエージェント指定匿名化可能署名と同様に、Trapdoor DDH群を用いて具体的に構成することができる。そこで、この具体的構成を実現するために、以降では、いくつかの概念について説明する。
<Trapdoor DDH>
例えば以下の参考文献1にはペアリングを拡張した特殊なTrapdoor DDH群の具体的構成が記載されている。
[参考文献1]
F. Hoshino, "A Variant of Diffie-Hellman Problem and How to Prove Independency." SCIS 2014 The 31st Symposium on Cryptography and Information Security Kagoshima, Japan, Jan. 21 - 24, 2014.
上記のエージェント独立エージェント指定匿名化署名の具体的構成を与えるために、このTrapdoor DDH群を用いる。Trapdoor DDH群の概略は以下の通りである。
・pを十分大きい素数とする。
・Eを有限体F上の超特異楕円曲線とし、位数が十分大きい素数qで割り切れるものとする。なお、F=Z/pZ(Zは整数環)である。
・αをE(F)[q]の生成元とする。
このとき、G:=GL(n,〈α〉)⊆〈α〉n×n,R:=GL(n,F)⊆F n×nとする。これにより、Gは成分毎の楕円加算を群演算とするアーベル群であり、このアーベル群をTrapdoor DDH群と見做すことができる。また、Rは非可換環であり、Gに関する離散対数と見做すことができる。更に、後述するように、G上で自然なペアリング写像を定義することができる。
<離散対数>
巡回群を〈α〉,位数をq(ただし、qは素数)とする。このとき、
Figure 0007238977000006
 とした場合に、
Figure 0007238977000007
 に対して、
Figure 0007238977000008
 を離散対数と呼ぶ。このとき、hをαとも表す。また、rがn×nの単位行列である場合は、αをIと表す。なお、上述したように、G=GL(n,〈α〉)は離散対数が正則な〈α〉n×nの部分群であり、成分毎の楕円加算を群演算とするアーベル群である。
一例として、n=2の場合に、以下のg,h∈Gの演算を示す。
Figure 0007238977000009
 〈α〉の群演算(楕円加算)とGの加法との両方を加法で表記した場合は以下となる。
Figure 0007238977000010
 ただし、本発明の実施の形態では、通常の離散対数の概念のアナロジーのため、以降では、〈α〉の群演算(楕円加算)とGの加法との両方を乗法で表記する。すなわち、
Figure 0007238977000011
 と表記する。
<右冪乗・左冪乗>
g,g,g∈Gとして、これらg,g,gの各成分の指数部分により構成される行列をそれぞれx,x,x∈Rとした場合、以下の関係を満たすように左冪乗と右冪乗とが定義されているものとする。
Figure 0007238977000012
 このとき、右冪乗・左冪乗に関してRが非可換環である場合、[G,R]には右冪乗・左冪乗を計算するための以下の確率的多項式時間アルゴリズムが存在する。
・G,Rに関する非退化双準同型写像rpow:G×R→G
・G,Rに関する非退化双準同型写像lpow:R×G→G
なお、rpowは右冪乗を、lpowは左冪乗を計算するための写像である。rpow及びlpowはいずれも結合律を満たす。
一例として、n=2の場合に、以下のx,y∈Rの演算を示す。この演算は離散対数上の行列乗算((α)=αxy,(α=αyx)と考える。
Figure 0007238977000013
 このとき、g,gを乗法表記した場合は以下となる。また、,I についても以下に示す。
Figure 0007238977000014
 <鍵交換>
エージェント独立エージェント指定匿名化可能署名とは直接は関係ないが、上述したように、x,y∈R、g∈Gに対して(g)=(g)が成立するため、このことから鍵交換を実現することもできる。すなわち、鍵交換は、以下の(1)~(4)により行うことが可能である。
(1)Aliceがx∈Rを生成し、gをBobに送信
(2)Bobがy∈Rを生成し、gをAliceに送信
(3)BobはK(g)を計算
(4)AliceはK=(g)を計算
上記の通り、x,y∈R、g∈Gに対して(g)=(g)が成立するため、K=Kとなり、鍵交換を行うことができる。
<ペアリング>
G上で以下の自然なペアリング写像を定義することができる。
Figure 0007238977000015
 このペアリング写像は離散対数上の行列乗算(e(α,α)=ξxy)と考える。
一例として、n=2の場合に、g,h∈Gを以下とする。
Figure 0007238977000016
 このとき、ペアリング写像e(g,h)は以下で定義できる。
Figure 0007238977000017
 <匿名署名システム1の全体構成>
以降では、上記のエージェント独立エージェント指定匿名化可能署名方式Σを実現する匿名署名システム1について、図1を参照しながら説明する。図1は、本発明の実施の形態における匿名署名システム1の全体構成の一例を示す図である。
図1に示すように、本発明の実施の形態における匿名署名システム1には、複数の署名生成装置10と、1以上の匿名署名生成装置20と、1以上の署名検証装置30と、1以上のシステムパラメタ生成装置40とが含まれる。また、署名生成装置10と、匿名署名生成装置20と、署名検証装置30と、システムパラメタ生成装置40とは、例えばインターネット等の通信ネットワーク50を介して通信可能に接続されている。
署名生成装置10は、署名者が利用するコンピュータ又はコンピュータシステムであり、秘密鍵x及び公開鍵yの生成と、署名σの生成(作成)とを行う。署名生成装置10は、鍵生成部110と、署名生成部120とを有する。
鍵生成部110は、エージェント独立エージェント指定匿名化可能署名方式Σの鍵生成アルゴリズムKeyGen(ρ)を実行する。すなわち、鍵生成部110は、エージェントに依存しないシステムパラメタρ(つまり、エージェントに独立なシステムパラメタρ、言い換えれば、各エージェントで共通に用いられるシステムパラメタρ)を入力として、秘密鍵xと公開鍵yとを出力する。出力された秘密鍵xは、例えば、署名生成装置10の補助記憶装置等に記憶される。一方で、出力された公開鍵yは任意の方法で公開される。
署名生成部120は、エージェント独立エージェント指定匿名化可能署名方式Σの署名アルゴリズムSign(x,m,g)を実行する。すなわち、署名生成部120は、秘密鍵xとメッセージmとエージェント公開鍵gとを入力として、署名σを出力する。ここで、エージェント公開鍵gは、署名者が指定したエージェントのエージェント公開鍵gを用いる。出力された署名σは、メッセージmと共に、上記で署名者が指定したエージェントの匿名署名生成装置20に送信される。
なお、鍵生成部110及び署名生成部120は、例えば、署名生成装置10にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
匿名署名生成装置20は、エージェントが利用するコンピュータ又はコンピュータシステムであり、エージェント秘密鍵w及びエージェント公開鍵gの生成と、署名σの匿名化とを行う。匿名署名生成装置20は、セットアップ部210と、匿名化部220とを有する。
セットアップ部210は、エージェント鍵生成アルゴリズムSetup(ρ)を実行する。すなわち、セットアップ部210は、エージェントに依存しないシステムパラメタρを入力として、エージェント秘密鍵wとエージェント公開鍵gとを出力する。出力されたエージェント秘密鍵wは、例えば、匿名署名生成装置20の補助記憶装置等に記憶される。一方で、出力されたエージェント公開鍵gは任意の方法で公開される。
匿名化部220は、匿名化アルゴリズムAnonymize(i,w,σ,L,y,m)を実行する。すなわち、匿名化部220は、署名者の識別子iと、エージェント秘密鍵wと、当該署名者の署名σと、リングLと、リングLに属する署名者の公開鍵のリストyと、当該署名σに対応するメッセージmとを入力として、リング署名σ´又は拒絶⊥を出力する。
なお、セットアップ部210及び匿名化部220は、例えば、匿名署名生成装置20にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
署名検証装置30は、エージェントやエージェントとは異なる第三者が利用するコンピュータ又はコンピュータシステムであり、リング署名σ´の検証を行う。署名検証装置30は、検証部310を有する。
検証部310は、検証アルゴリズムVerify(L,y,m,σ´)を実行する。すなわち、検証部310は、リングLと、リングLに属する署名者の公開鍵のリストyと、メッセージmと、リング署名σ´とを入力として、単一ビットb∈{0,1}を出力する。
なお、検証部310は、署名検証装置30にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
システムパラメタ生成装置40は、エージェントに依存しないシステムパラメタρを管理する者(例えば、各エージェントとは異なる第三者や各エージェントを代表するエージェント等)が利用するコンピュータ又はコンピュータシステムであり、システムパラメタρの生成を行う。システムパラメタ生成装置40は、システムパラメタ生成部410を有する。
システムパラメタ生成部410は、共通参照情報生成アルゴリズムCrsGenを実行する。すなわち、システムパラメタ生成部410は、安全パラメタ1を入力として、システムパラメタρを出力する。システムパラメタρは、各署名者や各エージェントに共通に参照される情報であり、任意の方法で公開される。
なお、システムパラメタ生成部410は、例えば、システムパラメタ生成装置40にインストールされた1以上のプログラムがプロセッサ等に実行させる処理により実現される。
以上により、本発明の実施の形態における匿名署名システム1は、エージェント独立エージェント指定匿名化可能署名方式Σを実現することができる。このエージェント独立エージェント指定匿名化可能署名方式Σは、上記の数5に示した構文を満たすものとする。
なお、図1に示す匿名署名システム1の構成は一例であって、他の構成であっても良い。例えば、匿名署名生成装置20と署名検証装置30とが一体で構成されていても良い。
<匿名署名システム1の処理の詳細>
Gを上記のTrapdoor DDH群、RをGに関する離散対数とし、G=GL(n,〈e(α,α)〉)とする。また、e:G×G→Gを上記のTrapdoor DDH群のペアリング写像とし、写像H:{0,1}→G及び写像H´:{0,1}→Rを互いに独立なランダムオラクルとする。更に、システムパラメタρをρ=(R,G,G,e,g,H,H´)とする。
(システムパラメタ生成処理)
まず、システムパラメタ生成部410が実行するシステムパラメタ生成処理について、図2を参照しながら説明する。図2は、本発明の実施の形態におけるシステムパラメタ生成処理の一例を示すフローチャートである。
ステップS101:まず、システムパラメタ生成部410は、安全パラメタ1を入力する。
ステップS102:次に、システムパラメタ生成部410は、以下によりシステムパラメタρを生成する。
crs←{0,1}
g←H(crs)
ρ←(R,G,G,e,g,H,H´)
ステップS103:最後に、システムパラメタ生成部410は、システムパラメタρを出力する。
これにより、エージェントに依存しないシステムパラメタρが生成される。上述したように、このシステムパラメタρは、安全パラメタ1に基づいて生成された共通参照文字列crsのハッシュ値によって誰も離散対数を知らない生成元gが生成された上で、この生成元gを用いて構成される。なお、システムパラメタρは、署名者及びエージェントに公開される。
(セットアップ処理)
次に、セットアップ部210が実行するセットアップ処理について、図3を参照しながら説明する。図3は、本発明の実施の形態におけるセットアップ処理の一例を示すフローチャートである。なお、図3に示すセットアップ処理では、各エージェントのうちの或るエージェントの匿名署名生成装置20がエージェント秘密鍵wとエージェント公開鍵gとを生成する場合について説明する。
ステップS201:まず、セットアップ部210は、システムパラメタρを入力する。
ステップS202:次に、セットアップ部210は、以下によりエージェント秘密鍵wとエージェント公開鍵gとを生成する。
Figure 0007238977000018
 ステップS203:最後に、セットアップ部210は、エージェント秘密鍵wとエージェント公開鍵gとを出力する。
これにより、エージェント秘密鍵wとエージェント公開鍵gとが生成される。なお、エージェント秘密鍵wは、例えば、匿名署名生成装置20の補助記憶装置等に記憶される。一方で、システムパラメタρは、署名者に公開される。
(鍵生成処理)
次に、鍵生成部110が実行する鍵生成処理について、図4を参照しながら説明する。図4は、本発明の実施の形態における鍵生成処理の一例を示すフローチャートである。なお、図4に示す鍵生成処理では、リングLに属する或る署名者の署名生成装置10が秘密鍵xと公開鍵yとを生成する場合について説明する。
ステップS301:まず、鍵生成部110は、システムパラメタρを入力する。なお、このとき、鍵生成部110は、システムパラメタ生成装置40により生成及び公開されたシステムパラメタρを入力する。
ステップS302:次に、鍵生成部110は、(R,G,G,e,g,H,H´)←ρとシステムパラメタρをパースする。すなわち、鍵生成部110は、システムパラメタρを(R,G,G,e,g,H,H´)とする。
ステップS303:次に、鍵生成部110は、x←Rとした後、y←gとして秘密鍵xと公開鍵yとを生成する。
ステップS304:最後に、鍵生成部110は、秘密鍵xと公開鍵yとを出力する。
これにより、リングLに属する或る署名者の秘密鍵xと公開鍵yとが生成される。このとき、上述したように、エージェントに依存しないシステムパラメタρを用いて秘密鍵xと公開鍵yとが生成される。このため、エージェントの指定を変更した場合であっても、署名者は、秘密鍵xと公開鍵yとを再生成する必要はない。なお、秘密鍵xは、例えば、署名生成装置10の補助記憶装置等に記憶される。一方で、公開鍵yは、エージェントに公開される。
(署名処理)
次に、署名生成部120が実行する署名処理について、図5を参照しながら説明する。図5は、本発明の実施の形態における署名処理の一例を示すフローチャートである。なお、図5に示す署名処理では、リングLに属する或る署名者の署名生成装置10が署名を生成(作成)する場合について説明する。
ステップS401:まず、署名生成部120は、秘密鍵xとメッセージmとエージェント公開鍵gとを入力する。なお、このとき、署名生成部120は、署名者が指定したエージェントが公開するエージェント公開鍵gを入力する。
ステップS402:次に、署名生成部120は、σ←(H(ρ,m),)として署名σを生成する。なお、このρは、システムパラメタ生成装置40が生成及び公開したシステムパラメタρである。
ステップS403:最後に、署名生成部120は、署名σを出力する。
これにより、署名σが生成される。署名σは、メッセージmと共に、署名者が指定したエージェントの匿名署名生成装置20に送信される。
(匿名化処理)
次に、匿名化部220が実行する匿名化処理について、図6を参照しながら説明する。図6は、本発明の実施の形態における匿名化処理の一例を示すフローチャートである。図6に示す匿名化処理では、識別子iの署名者の署名σを匿名化する場合について説明する。
ステップS501:まず、匿名化部220は、署名者の識別子iと、当該署名者の署名σと、リングLと、リングLに属する署名者の公開鍵リストyと、当該署名σに対応するメッセージmと、エージェント秘密鍵wとを入力する。
ステップS502:次に、匿名化部220は、h←H(ρ,m)としてランダムオラクルHの出力値hを生成する。なお、システムパラメタρは、システムパラメタ生成装置40が生成及び公開したものを用いる。
ステップS503:次に、匿名化部220は、(r,Y)←σと署名σをパースする。なお、このとき、匿名化部220は、例えば、署名生成部120でG上の元の順序対として符号化されたσを、(r,Y)なるG上の元の順序対としてパースする。
ステップS504:次に、匿名化部220は、
Figure 0007238977000019
 とする。
ステップS505:次に、匿名化部220は、e(X,g)≠e(I,y)が成立するか否かを判定する。
ステップS506:上記のステップS505でe(X,g)≠e(I,y)が成立しないと判定された場合、匿名化部220は、e(I,r)≠e(X,h)が成立するか否かを判定する。
ステップS507:上記のステップS505でe(X,g)≠e(I,y)が成立すると判定された場合、又は、上記のステップS506でe(I,r)≠e(X,h)が成立すると判定された場合、匿名化部220は、拒絶⊥を出力する。この場合は、署名σを匿名化することはできない。
ステップS508:上記のステップS506でe(I,r)≠e(X,h)が成立しないと判定された場合、匿名化部220は、(∃j∈R,e(I,r)=e(X,h))なるr及びXのゼロ知識証明を以下のステップS508-1~ステップS508-4により生成する。
ステップS508-1:匿名化部220は、
Figure 0007238977000020
 とする。
ステップS508-2:次に、匿名化部220は、任意のj∈L\{i}に対して、
Figure 0007238977000021
 とする。
ステップS508-3:また、匿名化部220は、
Figure 0007238977000022
 とする。これにより、c1,jと、z1,jと、T1,jと、Tと、T´と、Tとが得られる。
ステップS508-4:そして、匿名化部220は、
Figure 0007238977000023
 とする。以上により、c1,iと、cと、cと、z1,iと、zと、zとが得られる。
ステップS509:次に、匿名化部220は、σ´←(U,V,c1,L,c,c,z1,L,z,z)としてリング署名σ´を生成する。
ステップS510:最後に、匿名化部220は、リング署名σ´を出力する。これにより、リング署名σ´が生成される。
以上のように、エージェント独立エージェント指定匿名化可能署名方式Σでは、従来のエージェント指定匿名化可能署名と同様に、署名σの匿名化にエージェント秘密鍵wを用いる。このため、署名者が指定したエージェントのみが署名σの匿名を行うことができる。したがって、エージェント独立エージェント指定匿名化可能署名方式Σでも、仮に署名σが漏洩した場合であっても、エージェント秘密鍵wが漏洩しなければ、署名σの匿名性を担保することができる。
(検証処理)
次に、検証部310が実行する検証処理について、図7を参照しながら説明する。図7は、本発明の実施の形態における検証処理の一例を示すフローチャートである。
ステップS601:まず、検証部310は、リングLと、リングLに属する署名者の公開鍵リストyと、メッセージmと、リング署名σ´とを入力する。
ステップS602:次に、検証部310は、(U,V,c1,L,c,c,z1,L,z,z)←σ´とリング署名σ´をパースする。すなわち、検証部310は、リング署名σ´を(U,V,c1,L,c,c,z1,L,z,z)とする。
ステップS603:次に、検証部310は、h←H(ρ,m)としてランダムオラクルHの出力値hを生成する。なお、システムパラメタρは、システムパラメタ生成装置40が生成及び公開したものを用いる。
ステップS604:次に、検証部310は、任意のj∈Lに対して、
Figure 0007238977000024
 として、T1,jと、Tと、T´と、Tと、cとを生成する。
ステップS605:次に、検証部310は、H´(ρ,L,m,y,U,V,T1,L,T,T´,T)=(c,c,c)が成立するか否かを判定する。
ステップS606:上記のステップS605でH´(ρ,L,m,y,U,V,T1,L,T,T´,T)=(c,c,c)が成立すると判定された場合、検証部310は、検証結果として1を出力する。この場合、メッセージmが正当であることを表す。
ステップS607:上記のステップS605でH´(ρ,L,m,y,U,V,T1,L,T,T´,T)=(c,c,c)が成立しないと判定された場合、検証部310は、検証結果として0を出力する。この場合、メッセージmが正当でないことを表す。
<ハードウェア構成>
最後に、本発明の実施の形態における署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40のハードウェア構成について、図8を参照しながら説明する。図8は、本発明の実施の形態における署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40のハードウェア構成の一例を示す図である。なお、署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40は略同様のハードウェア構成で実現可能であるため、以降では、主に、署名生成装置10のハードウェア構成について説明する。
図8に示すように、本発明の実施の形態における署名生成装置10は、入力装置501と、表示装置502と、RAM(Random Access Memory)503と、ROM(Read Only Memory)504と、プロセッサ505と、外部I/F506と、通信I/F507と、補助記憶装置508とを有する。これら各ハードウェアは、それぞれがバス509を介して通信可能に接続されている。
入力装置501は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置502は、例えばディスプレイ等であり、ユーザに対して処理結果等を表示するのに用いられる。なお、署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40は、入力装置501及び表示装置502のうちの少なくとも一方を有していなくても良い。
RAM503は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM504は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。プロセッサ505は、例えばCPU(Central Processing Unit)等であり、ROM504や補助記憶装置408等からプログラムやデータをRAM503上に読み出して処理を実行する演算装置である。
外部I/F506は、外部装置とのインタフェースである。外部装置には、記録媒体506a等がある、記録媒体506aとしては、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。
通信I/F507は、署名生成装置10を通信ネットワーク50に接続するためのインタフェースである。署名生成装置10は、通信I/F507を介して、他の装置との間でデータ通信を行うことができる。匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40についても同様である。
補助記憶装置508は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性の記憶装置である。補助記憶装置508には、各種データやプログラム(例えば、鍵生成部110及び署名生成部120を実現する1以上のプログラム)等が記憶されている。なお、匿名署名生成装置20の補助記憶装置508には、例えば、セットアップ部210及び匿名化部220を実現する1以上のプログラム等が記憶されている。同様に、署名検証装置30の補助記憶装置508には、例えば、検証部310を実現する1以上のプログラム等が記憶されている。同様に、システムパラメタ生成装置40の補助記憶装置508には、例えば、システムパラメタ生成部410を実現する1以上のプログラム等が記憶されている。
本発明の実施の形態における署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40は、図8に示すハードウェア構成を有することにより、上述した各種処理を実現することができる。なお、図8では、署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40が1台の装置(コンピュータ)で実現されている場合について説明したが、これに限られず、署名生成装置10、匿名署名生成装置20、署名検証装置30及びシステムパラメタ生成装置40のうちの少なくとも1つが複数台の装置(コンピュータ)で実現されていても良い。また、1つの装置(コンピュータ)には、複数のプロセッサ505や複数のメモリ(例えば、RAM503やROM504、補助記憶装置508等)が含まれていてもよい。
本発明は、具体的に開示された上記の各実施形態に限定されるものではなく、請求の範囲から逸脱することなく、種々の変形や変更、組み合わせ等が可能である。
1 匿名署名システム
10 署名生成装置
20 匿名署名生成装置
30 署名検証装置
40 システムパラメタ生成装置
110 鍵生成部
120 署名生成部
210 セットアップ部
220 匿名化部
310 検証部
410 システムパラメタ生成部

Claims (3)

  1. 署名者が指定したエージェントにより署名σを匿名化する匿名署名システムであって、
    安全パラメタを入力として、前記エージェントに依存しないシステムパラメタρを生成するシステムパラメタ生成手段と、
    前記システムパラメタρを入力として、エージェント秘密鍵wとエージェント公開鍵gとを生成するセットアップ手段と、
    前記システムパラメタρを入力として、前記署名者の秘密鍵xと公開鍵yとを生成する鍵生成手段と、
    前記秘密鍵xと、前記署名σが付与される対象のメッセージmと、前記署名者が指定したエージェントのエージェント公開鍵gとを入力として、前記メッセージmに対する署名σを生成する署名生成手段と、
    前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名σと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmとを入力として、前記署名σを匿名化したリング署名σ´を生成する匿名化手段と、
    前記リングLと、前記リストyと、前記メッセージmと、前記リング署名σ´とを入力として、前記メッセージmの検証結果bを出力する検証手段と、
    を有し、
    前記システムパラメタ生成手段は、
    前記安全パラメタが表すビット長のビット列であって、前記エージェントに依存しないビット列である共通参照文字列crsを所定のハッシュ関数に入力して、前記署名者及び前記エージェントを含む参加者が離散対数を知らない生成元gを生成し、
    記生成元gと、Trapdoor DDH群Gの離散対数Rとが含まれる前記システムパラメタρを生成し、
    前記セットアップ手段は、
    前記システムパラメタρに含まれる前記離散対数Rに基づいて前記エージェント秘密鍵wを生成し、前記エージェント秘密鍵wに基づいて前記エージェント公開鍵g を生成し、
    前記鍵生成手段は、
    前記システムパラメタρに含まれる前記離散対数Rに基づいて前記秘密鍵xを生成し、前記システムパラメタρに含まれる前記生成元gに基づいて前記公開鍵yを生成する、ことを特徴とする匿名署名システム。
  2. 前記生成元gは、前記署名者及び前記エージェントを含む参加者が離散対数を知らないTrapdoor DDH群の生成元である、ことを特徴とする請求項1に記載の匿名署名システム。
  3. 署名者が指定したエージェントにより署名σを匿名化する匿名署名システムに用いられる匿名署名方法であって、
    安全パラメタを入力として、前記エージェントに依存しないシステムパラメタρを生成するシステムパラメタ生成手順と、
    前記システムパラメタρを入力として、エージェント秘密鍵wとエージェント公開鍵gとを生成するセットアップ手順と、
    前記システムパラメタρを入力として、前記署名者の秘密鍵xと公開鍵yとを生成する鍵生成手順と、
    前記秘密鍵xと、前記署名σが付与される対象のメッセージmと、前記署名者が指定したエージェントのエージェント公開鍵gとを入力として、前記メッセージmに対する署名σを生成する署名生成手順と、
    前記署名者の識別子iと、前記エージェント秘密鍵wと、前記署名σと、前記署名者が属するグループを示すリングLと、前記リングLに属する署名者の公開鍵yのリストyと、前記メッセージmとを入力として、前記署名σを匿名化したリング署名σ´を生成する匿名化手順と、
    前記リングLと、前記リストyと、前記メッセージmと、前記リング署名σ´とを入力として、前記メッセージmの検証結果bを出力する検証手順と、
    を有し、
    前記システムパラメタ生成手順は、
    前記安全パラメタが表すビット長のビット列であって、前記エージェントに依存しないビット列である共通参照文字列crsを所定のハッシュ関数に入力して、前記署名者及び前記エージェントを含む参加者が離散対数を知らない生成元gを生成し、
    記生成元gと、Trapdoor DDH群Gの離散対数Rとが含まれる前記システムパラメタρを生成し、
    前記セットアップ手順は、
    前記システムパラメタρに含まれる前記離散対数Rに基づいて前記エージェント秘密鍵wを生成し、前記エージェント秘密鍵wに基づいて前記エージェント公開鍵g を生成し、
    前記鍵生成手順は、
    前記システムパラメタρに含まれる前記離散対数Rに基づいて前記秘密鍵xを生成し、前記システムパラメタρに含まれる前記生成元gに基づいて前記公開鍵yを生成する、ことを特徴とする匿名署名方法。
JP2021521586A 2019-05-27 2019-05-27 匿名署名システム及び匿名署名方法 Active JP7238977B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/020875 WO2020240654A1 (ja) 2019-05-27 2019-05-27 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2020240654A1 JPWO2020240654A1 (ja) 2020-12-03
JP7238977B2 true JP7238977B2 (ja) 2023-03-14

Family

ID=73553108

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021521586A Active JP7238977B2 (ja) 2019-05-27 2019-05-27 匿名署名システム及び匿名署名方法

Country Status (3)

Country Link
US (1) US11973884B2 (ja)
JP (1) JP7238977B2 (ja)
WO (1) WO2020240654A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020235015A1 (ja) * 2019-05-21 2020-11-26 日本電信電話株式会社 情報処理装置、情報処理方法及びプログラム
KR102372718B1 (ko) * 2019-11-05 2022-03-11 한국전자통신연구원 발행인 익명성 인증서 시스템을 위한 분산화된 그룹 서명 방법
CN113259094B (zh) * 2021-04-21 2022-03-25 山东大学 一种通用的层级签名加密系统与构建方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003067532A (ja) 2001-08-24 2003-03-07 Nec Soft Ltd 電子投票システム及び電子投票方法
WO2015105479A1 (en) 2014-01-07 2015-07-16 Empire Technology Development Llc Anonymous signature scheme

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7957525B2 (en) * 2003-10-31 2011-06-07 Ntt Docomo, Inc. Encryption and signature schemes using message mappings to reduce the message size
JP4764447B2 (ja) * 2008-03-19 2011-09-07 株式会社東芝 グループ署名システム、装置及びプログラム
US8495362B2 (en) * 2008-07-28 2013-07-23 Nec Corporation Signature systems
KR101040588B1 (ko) * 2010-12-13 2011-06-10 한국기초과학지원연구원 익명성을 제공하는 효율적인 신원기반 환서명 방법과 그 시스템
US9191208B2 (en) * 2012-12-18 2015-11-17 Empire Technology Development Llc Schemes for signcryption
KR20140108749A (ko) * 2013-02-27 2014-09-15 한국전자통신연구원 프라이버시 보호형 문서 인증 정보 생성 장치 및 이를 이용한 프라이버시 보호형 문서 인증 방법
FR3053548B1 (fr) * 2016-06-30 2019-07-19 Ingenico Group Procede d'authentification de donnees de paiement, dispositifs et programmes correspondants.
JP2019213092A (ja) * 2018-06-06 2019-12-12 日本電信電話株式会社 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003067532A (ja) 2001-08-24 2003-03-07 Nec Soft Ltd 電子投票システム及び電子投票方法
WO2015105479A1 (en) 2014-01-07 2015-07-16 Empire Technology Development Llc Anonymous signature scheme

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
小林鉄太郎, 他,エージェント指定匿名化可能署名,2019年暗号と情報セキュリティシンポジウム(SCIS 2019),2019年01月22日,4A2-2,pp. 1-5

Also Published As

Publication number Publication date
US11973884B2 (en) 2024-04-30
JPWO2020240654A1 (ja) 2020-12-03
US20220247574A1 (en) 2022-08-04
WO2020240654A1 (ja) 2020-12-03

Similar Documents

Publication Publication Date Title
TW202101432A (zh) 實現隱私保護的數據同態加解密方法及裝置
JP2023025181A (ja) 管理者による承認を必要としない方式又はディーラーフリー方式で動作するグループ全体にわたって計算タスクを実行するためのコンピュータ実装システム及び方法
CN110637441A (zh) 应用于数据重复数据删除的加密密钥生成
TWI813616B (zh) 用以獲取數位簽署資料之電腦實行方法及系統
JP7238977B2 (ja) 匿名署名システム及び匿名署名方法
US11764943B2 (en) Methods and systems for somewhat homomorphic encryption and key updates based on geometric algebra for distributed ledger/blockchain technology
JP2021523620A (ja) 秘密を通信する方法及びシステム
Jayapandian et al. Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption
KR20200125980A (ko) 디지털 자산의 제어를 전송하기 위한 컴퓨터 구현된 방법 및 시스템
WO2020212796A1 (en) Computer implemented method and system for encrypting data
WO2019235095A1 (ja) 匿名署名システム、署名生成装置、匿名署名生成装置、検証装置、匿名署名方法及びプログラム
He et al. A fine-grained and lightweight data access control scheme for WSN-integrated cloud computing
JP6719339B2 (ja) 暗号システム、暗号方法及び暗号プログラム
Ramesh et al. PCS-ABE (t, n): a secure threshold multi authority CP-ABE scheme based efficient access control systems for cloud environment
JP2017126970A (ja) 共有鍵生成プログラム、共有鍵生成方法および情報処理端末
US8325913B2 (en) System and method of authentication
US20220385954A1 (en) Embedding information in elliptic curve base point
Chang A flexible hierarchical access control mechanism enforcing extension policies
Kanwal et al. Lightweight noncommutative key exchange protocol for IoT environments
CN116318647B (zh) 一种具有同态特性的cp-abe外包解密方法和装置
Odelu et al. DMAMA: Dynamic migration access control mechanism for mobile agents in distributed networks
JP2021015218A (ja) 匿名認証方法、プログラム、および、匿名認証システム
KR20200131688A (ko) 비밀키 생성 장치 및 방법, 연산키 생성 장치 및 방법
Zhou et al. A novel privacy protection scheme for internet of things based on blockchain and privacy set intersection technique
US20240163078A1 (en) Attribute based encryption with bounded collusion resistance

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230213

R150 Certificate of patent or registration of utility model

Ref document number: 7238977

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150