JPH02273779A - ディジタル署名装置 - Google Patents

ディジタル署名装置

Info

Publication number
JPH02273779A
JPH02273779A JP1095763A JP9576389A JPH02273779A JP H02273779 A JPH02273779 A JP H02273779A JP 1095763 A JP1095763 A JP 1095763A JP 9576389 A JP9576389 A JP 9576389A JP H02273779 A JPH02273779 A JP H02273779A
Authority
JP
Japan
Prior art keywords
output
signature
section
value
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP1095763A
Other languages
English (en)
Inventor
Natsume Matsuzaki
なつめ 松崎
Toshiharu Harada
俊治 原田
Makoto Tatebayashi
誠 館林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP1095763A priority Critical patent/JPH02273779A/ja
Publication of JPH02273779A publication Critical patent/JPH02273779A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 産業上の利用分野 本発明は名前や住所などのユーザ固有の情報である認証
子(IdentitY、  以下IDと称す)を用いて
、あるテキストに対して付加する署名(又は捺印に値す
るもの)を生成するディジタル署名装置に関する。
従来の技術 ディジタル署名とは、あるテキストに対してなされる捺
印に相当するもので、テキストおよび署名する本人に依
存した値である。第3者に偽造できず、あとでその署名
を認証できることが必要である。
一方、近年、名前や住所などのユーザ固有の情報である
IDを鍵の代わりに用いるというrIDに基づく暗号方
式J  (ID−based  CrYptosyst
em)が提案され盛んに研究されている。
IDに基づく暗号方式の基本概念は、シャミア(Sha
mi r)による”アイデンティティ−ペイスト クリ
プトシステムズ アンド シグネチャスキームズ(A、
Sha*ir、 ’Identlty−based C
ryptosysyteo+s and slgnat
ure schemes’、  Proc、。
f Crypto 84.Lecture Notes
 ln Computer 5clence 19G、
Sprlnger Verlarg、1985 )に詳
しい。
IDに基づく暗号方式の特徴として次のことが上げられ
る。
1、信頼のおけるセンターを備える。
2、センターは各ユーザがシステムへ加入する時に、そ
のIDに対応する秘密鍵を生成して個人ベースで使用す
るICカード等に記録して発行する。
各ユーザはこのカードに格納されている秘密情報により
センターとは独立に自分の送信するメツセージを暗号化
したりメツセージに署名したりできる。
3、各ユーザに配られたICカードは新規ユーザが加入
する際にも更新する必要がない。
シャミアは前記の文献において具体的にIDに基づく署
名方法も同時に提案している。
以下、この方法について説明する。
まず、センターはユーザiのID情報であるよりiから
秘密情報gを生成する。
第3図にセンターによる秘密情報生成方法の構成図を示
す。100の関数h−1は次のような性質をもつ関数り
の逆関数である。
1、関数りは公開の一方向性関数である。一方向性関数
とは入力から出力を計算することはたやすいが出力から
入力を逆算することは困難である関数のことである。言
い換えればhよりその逆関数を求めることは困難である
関数のことである。
2、関数りの逆関数h−1はセンターの秘密である。
センターのみがhの出力から入力を逆算することができ
る。
3、  hは乗算に対して早開型である。従って、h 
(aXb)=h (a)Xh (b)  ・” (1)
を滴たす。
センターはこのh−1を用いてIDiよりユーザiの秘
密情報gを求める。従って次の式が成り立つ。
hす(IDi)=g  ・・・(2) h(g)=IDi   ・・・(3) 第4図はユーザiがテキス)mに署名する場合の構成図
である。
101は乱数発生部、102は乱数rを入力とする一方
向性関数り、103は対象とするテキストITh  1
04は入力である前記一方向性関数りの出力tとテキス
トmに依存した値Xを出力するハツシュ関数fである。
105は前記乱数rのX乗を計算するべき乗演算部、1
06は前記のようにセンターの生成した秘密情報gを格
納する秘密情報格納部、107はべき乗演算部105の
出力と秘密情報gを掛け合わせる乗算部である。この乗
算部107の出力Uと前記関数りの出力tがテキストm
の署名となる。なお、前記関数りはセンターにおいて定
めた一方向性関数と同じものである。
次に、この第4図を用いて従来の署名作成手順を説明す
る。
1、乱数発生部101において乱数rを生成する。
2、一方向性関数部102において t=h (r)  ・・・(4) を計算する。
3、ハツシュ関数部104において、103に格納され
ているテキストmと前記tを入力としてx = f (
ml  t )  ・・・(5)を求める。出力値Xは
入力のmとtの双方に依存した値である。入力のm、 
 tがわずかでも変化したとき、Xにその変化の影響が
現れる。
4、べき乗演算部105において、前記乱数rとXを用
いて y= r”  ・・・(6) を求める。
5、乗算部107において106に格納されている秘密
情報gと前記(6)式におけるyを用いてn=yxg 
 ・・・(7) を求める。
以上(4)式と(7)式で求めた(u、t)をテキスト
mの署名とする。
なお、この署名の認証法を以下に示°す。
1、認証者はテキストmと署名tより公開のハツシュ関
数fを用いて、 Xl=f(m、t) ・・・(8) を計算する。
2、署名u、t、ユーザiのIDであるIDiを入力と
して次の式が成り立つことを確認する。
h (u)=txXIDi  =(9)正しい署名の場
合、 (5)、(8)式よりXとX′は同じ値になる。
さらに次の式により(9)式が成り立つ。
h (u)=h (r” Xg)((E3)、(7)式
より)=h (r) xXh (g)((1)式より)
=t”XID1   ((3)、(4)式ヨリ)前記の
シャミアの方法では一方向性関数りを具体的に次のよう
に定めている。
1.256ビツト程度の素数p、qを定める。n=px
qとする。
p、qはセンターの秘密とし、nを公開する。
2、  LCM(p−1,q−1)と互いに素な正数e
を定める。
3、eXd=1   (mod  LCM(p−1,Q
−1))なるdを求める。
なお、modはその数で除したときの剰余を示す。
この式よりeからdへはp、qをそれぞれ知らなければ
求めることができない。
4、h (x)=x@ modnと定義する。 (e−
+n)は公開値である。
センターのみが知っているhの逆関数はh−I(y)ニ
ア’  modnとなる。 (d、  1)、  Q)
はセンターの秘密の値である。
以上のことより、前記、ユーザiの秘密情報gは、g=
IDi’  modn  ”(10)または g”=  IDi  modn  ・ (11)を満た
す値となる。
このとき、テキストmのユーザiによる署名はそれぞれ
modn’の剰余環上で計算し、t=r・ modn 
 ・ (12) u=r  C(―ltI Xg    modn   
 e噛骨 (13)となる。
また、署名の認証は、 U・=tCC”’XID1  modn  ・”(14
)が成り立つことを確認することによって行う。
発明が解決しようとする課題 しかしながら以上述べた従来のディジタル署名方法によ
れば、署名する際に(6)式のべき乗演算と(7)式の
乗算演算が必要であり、また署名の確認を行う際にも、
やはりべき乗演算が必要となる。シャミアが述べた具体
的な例では512ビット幅程度の長語長のべき乗剰余演
算が必要であり、署名を行う場合にも署名を確認する場
合にも相当の処理時間が掛かることになる。本発明では
この点を鑑み、べき乗演算部を削減することにより、署
名を作成する場合に、あるいは署名を認証する場合に従
来の方法に比べて高速な処理ができるディジタル署名装
置を提供することを目的とする。
課題を解決するための手段 第1の本発明は、それぞれが他と重複しない認証子を持
った端末と各端末固有の秘密情報を生成するセンターか
らなるシステムlこおいて、センターだけが、2項の加
真結果を入力としたときの出力値がそれぞれを入力とし
たときの出力値を乗算したものと同じになる公開の一方
向性関数の逆関数を秘密に持ち、その逆関数に各端末の
認証子を入力することによって各端末固有の秘密情報を
生成し、この生成した秘密情報を各端末に配送し、署名
を行う端末は、乱数を発生する乱数発生部と、前記乱数
発生部の出力である乱数を入力としてその一方向性関数
値を出力する第1の一方向性関数部と、テキストを格納
するテキスト格納部と、前記第1の一方向性関数部の出
力と前記テキスト格納部に格納されているテキストを入
力としてそれぞれの値に依存した値を生成する第1のハ
ツシュ関数部と、前記秘密情報を格納する秘密情報格納
部と、前記乱数発生部の出力である乱数と前記第1のハ
ツシュ関数部の出力を入力としてこれらを掛け合わせる
第1の乗算部と、前記第1の乗算部の出力と前記秘密情
報を入力としてこれらを加算する加算部を備え、前記第
1の一方向性関数部の出力と前記第1の乗算部の出力を
それぞれ前記テキストの第1、第2の署名とし、この署
名の認証を行う端末は、第1の署名と前記テキストを入
力としてそれぞれの値に依存した値を出力とする第2の
ハツシュ関数部と、前記第2のハツシュ関数部の出力値
をべきとする第1の署名のべき乗値を計算するべき乗演
算部と、前記べき乗演算部の出力と署名者の認証子を掛
け合わせる第2の乗算部と、第2の署名を入力としてそ
の一方向性関数値を出力とする第2の一方向性関数部と
、前記第2の乗算部の出力と前記第2の一方向性関数部
の出力を比較する比較部を備え、比較の結果、両者が一
致したときにその署名を認証することを特徴とするディ
ジタル署名装置である。
第2の本発明はそれぞれが他と重複しない認証子を持っ
た端末と各端末固有の秘密情報を生成するセンターから
なるシステムにおいて、センターだけが、2項の乗算結
果を入力としたときの出力値がそれぞれを入力としたと
きの出力値を加算したものと同じになる公開の一方向性
関数の逆関数を秘密に持ち、その逆関数に各端末の認証
子を入力することによって各端末固有の秘密情報を生成
し、この生成した秘密情報を各端末に配送し、署名を行
う端末は、乱数を発生する乱数発生部と、前記乱数発生
部の出力である乱数を入力としてその一方向性関数値を
出力する第1の一方向性関数部と、テキストを格納する
テキスト格納部と、前記第1の一方向性関数部の出力と
前記テキスト格納部に格納されているテキストを入力と
してそれぞれの値に依存した値を生成する第1のハツシ
ュ関数部と、前記秘密情報を格納する秘密情報格納部と
、前記第1のハツシュ関数部の出力をべきとする前記乱
数のべき乗値を算出するべき乗演算部と、前記べき乗演
算部の出力と前記秘密情報を入力としてこれらを乗算す
る第1の乗算部を備え、前記第1の一方向性関数部の出
力と前記第1の乗算部の出力をそれぞれ前記テキストの
第1、第2の署名とし、この署名の認証を行う端末は、
第1の署名と前記テキストを入力としてそれぞれの値に
依存した値を出力とする第2のハツシュ関数部と、前記
第2のハツシュ関数部の出力値と前記第1の署名を掛け
合わせる第2の乗算部と、前記第2の乗算部の出力と署
名者の認証子を加算する加算部と、第2の署名を入力と
してその一方向性関数値を出力とする第2の一方向性関
数部と、前記加算部の出力と前記第2の一方向性関数部
の出力を比較する比較部を備え、比較の結果、両者が一
致したときにその署名を認証することを特徴とするディ
ジタル署名装置である。
作用 第1の本発明は前記した性質を持つ一方向性関数を用い
ることにより、署名を作成する際に一方向性関数部の演
算とハツシュ関数部の計算の他には乗算部による乗算と
加算部における加算を行うだけで良い。従来のように、
前記2つの演算の他にべき乗演算を行う必要がない。従
って、従来に比べて署名を行うための処理時間が大幅に
短縮される。
また、第2の本発明は前記した性質を持つ一方向性関数
を用いることにより、署名を認証する際に一方向性関数
部の演算とハツシュ関数部の計算の他には乗算部による
乗算と加算部による加算を行うだけで良い。
実施例 本発明のディジタル署名装置に付いての4つの実施例に
おけるディジタル署名方法を、1、センターによるユー
ザの秘密情報生成2、ユーザによる署名生成 3、ユーザによる署名認証 の各フェーズに分けて説明する。
く第1の実施例〉 1、センターはユーザiのID情報であるIDiから秘
密情報g1を生成する。生成には以下の性質を持つ一方
向性関数h1の逆関数h1−1を用いる。
[1]関数h1は公開の一方向性関数である。
[2丁関数h1の逆関数h1−はセンターの秘密である
。センターのみがhlの出力から入力を逆算することが
できる。
[:3] h 1は次の式を満たす。
hl (a+b)=hl (a)Xhl (b)・・・
(21) センターはこのhl−1を用いてIDiよりユーザIの
秘密情報g1を求める。従って 次の式が成り立つ。
hl−I(IDi)=gl   ・・・(22)hl 
 (gl)=IDi     ・・・(23)2、第1
図はユーザiがテキストmに署名する場合の構成図であ
る。
1は乱数発生部、2は乱数rを入力とする一方向性関数
h1.3は対象とするテキストm14は入力である前記
一方向性関数h1の出力tとテキストmに依存した値X
を出力するハツシュ関数fである。5は前記のようにセ
ンターが生成した秘密情報g1を格納する秘密情報格納
部、6は乱数rと前記ハツシュ関数の出力Xを乗して出
力yを得る乗算部、7は乗算部8の出力yと前記秘密情
報gを加算して出力Sを得る加算部である。この加算部
7の出力Sと前記関数h1の出力tがテキストmの署名
となる。なお、前記関数h1はセンタにおいて定めた一
方向性関数と同じものである。
次に、この第1図を用いて本実施例の署名作成手順を説
明する。
[1]乱数発生部1において乱数rを生成する。
[2コ一方向性関数部2において t=hl (r)        ”(24)を計算す
る。
[3コハッシュ関数部4において、3に格納されている
テキストmと前記tを入力として x=f (m、t)       ・・・(25)を求
める。ハツシュ関数の出力Xは入力mとを双方に依存し
た値である。入力のm、  tがわずかでも変化したと
き、Xにその変化の影響が現れる。
[4コ乗算部6において、前記乱数rとXを用いてy=
rxx          ・・・(26)を求める。
[5コ加算部7において前記yと秘密情報g1を用いて
、 s=y+g1          ・・・(27)を求
める。
以上の(24)式と(27)式で求めた(t、s)をテ
キストmの署名とする。
3、この署名(Ls)の認証法を以下に示す。
なお、認証者はこの署名以外に、一方向性関数h1.ハ
ツシュ関数r、テキストm、署名者のよりを知っている
とする。
[11認証者はテキストmと署名tより公開の)\ツシ
ュ関数fを用いて、 x’ =f (m、t)    −(28)を計算する
[2]署名L  S+  ユーザiのIDであるIDi
を入力として次の式が成り立つことを確認する。
hl (s)=t×XID1   ・・・(29)正し
い署名の場合、 (25)(28)式よりXとX゛は同
じ値になる。さらに次の式により(29)式が成り立つ
hl (s)=hl (rXx+gl)((26)(2
7)式より) =h1 (r+・+r)Xhl (gl)((21)式
より) =hl (r)” Xhl (gl) ((21)式より) =tlI XID1 ((23)、 (24)式より) く第2の実施例〉 1、センターはユーザiのID情報であるIDiから秘
密情報g1を生成する。生成方法は第1の実施例と同じ
である。従って前記(22)(23)の各式が成り立つ
2、第2図はユーザiがテキス)mに署名する場合の構
成図である。
11は乱数発生部、12は乱数rを入力とする一方向性
関数h1.13は対象とするテキス) rrh14は入
力である前記一方向性関数h1の出力tとテキストmに
依存した値Xを出力するハシュ関数fである。15は前
記のようにセンターが生成した秘密情報g1を格納する
秘密情報格納部、16は前記秘密情報g1と前記ハツシ
ュ関数の出力Xを乗して出力yを得る乗算部、17は乗
算部16の出力yと乱数発生部11の出力である乱数を
加算して出力Sを得る加算部である。この加算部17の
出力Sと前記関数h1の出力tがテキストmの署名とな
る。なお、前記関数h1はセンタにおいて定めた一方向
性関数と同じものである。
次に、この第2図を用いて本実施例の署名作成手順を説
明する。
[1]乱数発生部11において乱数rを生成する。
[2]一方向性関数部12において t=h 1 (r)        ・(31)を計算
する。
[3]ハツシュ関数部14において、13に格納されて
いるテキストmと前記tを入力としてx= f (m、
  t)       ・・・(32)を求める。ハツ
シュ関数の出力Xは入力mとt双方に依存した値である
。入力のm、  tがわずかでも変化したとき、Xにそ
の変化の影響が現れる。
[4コ乗算部16において、前記秘密情報g1とXを用
いて y:=g1xx         ・・・(33)を求
める。
[5コ加算部17において前記yと乱数rを用いて、s
=y十r          ・・・(34)を求める
以上の(31)式と(34)式で求めた(t、  s)
をテキストmの署名とする。
3、この署名(t、s)の認証法を以下に示す。
なお、認証者はこの署名以外に、一方向性関数h1. 
 ハツシュ関数f、テキストm、署名者のIDを知って
いるとする。
[1]認証者はテキス)mと署名tより公開のハツシュ
関数fを用いて、 x’ = f (m、  t)      ・(35)
を計算する。
[2]署名L  S、  :L−ザiのIDであるID
iを入力として次の式が成り立つことを確認する。
hl (s)=IDi×Xt ・・・(36) 正しい署名の場合、 (32)(35)式よりXとX”
は同じ値になる。さらに次の式により(36)式が成り
立つ。
hl (s)=hl (glXx+r)((33)(3
4)式より) =h 1 (g 1+・+g 1) Xh 1 (r)
((21)式より) =hl (gl)” Xhl (r) ((21)式より) =IDi翼 ×t ((23)、 (31)式より) く第3の実施例〉 1、センターはユーザiのID情報であるIDiから秘
密情報g1を生成する。生成方法は第1の実施例と同じ
である。従って前記(22)、  (23)の各式が成
り立つ。
2、ユーザiがテキストmに署名する場合の構成は第2
の実施例と同じである。ただし、第2図における一方向
性関数部の出力を署名としていたのに代えて、ハツシュ
関数14の出力Xをテキストmの署名とする。もう1つ
の署名は第2の実施例と同じである。
3、この署名(X+S)の認証法を以下に示す。
なお、認証者はこの署名以外に、一方向性関数h1、ハ
ツシュ関数f、テキストm、署名者のIDを知っている
とする。
[l]認証者は署名L  Xと署名者のIDより公開の
一方向性関数h1を用いて、 t’ =hl (s)/IDx   ・ (41)を計
算する。
[2](41)で求めたt′とテキストmより公開のハ
ツシュ関数fを用いて次の式が成り立つことを確認する
x= f (m、  t ’ )       = (
42)正しい署名の場合、次の式より(31)式で求め
たtと(41)式で求めたt’は同じ値になる。
hl (s)=hl (glXx+r)((33)(3
4)式より) =hl (gl+−+gl)Xhl (r)((21)
式より) =hl (gl)” Xhl (r) ((21)式より) =IDi  翼 × t ((23)、 (31)式より) 従って(32)式より(42)式が成り立つ。
く第4の実施例〉 1、センターはユーザiのID情報であるIDiから秘
密情報g2を生成する。生成には以下の性質を持つ一方
向性関数h2の逆関数h2りを用いる。
El]関数h2は公開の一方向性関数である。
[2]関数h2の逆関数h2−1はセンターの秘密であ
る。センターのみがh2の出力から入力を逆算すること
ができる。
[3]h2は次の式を滴たす。
h2 (aXb)=h2 (a)+h2 (b)・・・
(51) センターはこのh2−1を用いてIDiよりユーザiの
秘密情報g2を求める。従って次の式が成り立つ。
h2−’ (IDi)=g2      ・・・(52
)h2   (g2)   =IDi     ・・・
(53)2、ユーザiのテキス)mに対する署名は従来
の方法(すなわち(4)〜(7)式)と全く同様にして
次の様に遂行する。
[1]乱数発生部において乱数rを生成する。
[2コ一方向性関数部において t=h2 (r)        ・・・(54)を計
算する。
[3コハッシュ関数部において、格納されているテキス
トmと前記tを入力として x=f  (m、  t)          ”・ 
(55)を求める。ハツシュ関数の出力Xは入力mとt
双方に依存した値である。入力のml  tがわずかで
も変化したとき、Xにその変化の影響が現れる。
[4]乗算部において、前記乱数r&xを用いて7 =
= r X           ・・・(56)を求
める。
[5コ加算部において前記yと秘密情報g2を用いて、 s=yXg2            ・・・(57)
を求める。
以上の(54)式と(57)式で求めた(1゜S)をテ
キストmの署名とする。
3、この署名(Ls)の認証法を以下に示す。
なお、認証者はこの署名以外に、一方向性関数h2. 
 ハツシュ関数f、テキスF ml  署名者のIDを
知っているとする。
〔!コ認証者はテキストmと署名tより公開のハツシュ
関数fを用いて、 x’  = f  (m、  t)       ・・
・(58)を計算する。
[2コ署名to  3.  ユーザiのIDであるID
iを入力として次の式が成り立つことを確認する。
h2 (s)=tXx  +IDi ・・・ (59) 正しい署名の場合、(55)、(58)式よりXとX゛
は同じ値になる。さらに次の式により(59)式が成り
立つ。
h2 (s)=h2 (r”Xg2) ((5B)(57)式より) =h2 (rX・・・Xr)+h2 (g2)((51
)式より) =h2 (r)Xx+h2 (g2) ((51)式より) =tXx+ID1 ((54L  (53)式より) なお第4の実施例における署名手順[4]、[5]を、
次に示す手順[4’]、[5’]に変更して用いること
ができる。署名手順[l]〜[3]はそのまま用いる。
[4′]乗算部において秘密情報g2とXを用いてY=
g2”           ・・・(60)を求める
[5″]]加算おいて前記yと乱数rを用いて、5=−
7Xr           ・・・(61)を求める
。以上の(61)式と(57)式で求めた(t、s)を
テキストmの署名とする。
この署名(t、s)に対する認証法は、第4の実施例の
認証手順[2コを次に示す手順[2′]のように変更す
る。認証手順[1]はそのまま用いる。このとき認証者
は署名以外に一方向性関数h2.  ハツシュ関数f、
テキストm。
署名者のIDを知っているとする。
[2′]署名L  B、  ユーザiのIDであるID
iを入力として次の式が成り立つことを確認する。
h2 (s)=IDiXx  +t ・・・ (62) 正しい署名の場合、 (55)(58)式よりXとX′
は同じ値になる。さらに次の式により(62)式が成り
立つ。
h2  (s)=h2  (g2”Xr)((80)(
81)式より) =h2  (g2X・ xg2)+h2  (r)((
51)式より) =h2  (g2)Xx+h2  (r)((51)式
より) =IDiXx+t ((54)、 (53)式より) なお第4の実施例およびその変形において、第3の実施
例と同様に(Xl S)をその署名とすることも考えら
れる。ここでは第4の実施例において、この署名(Xt
S)を認証する方法を以下に示す。なお、認証者はこの
署名以外に、一方向性関数h2.  ハツシュ関数f、
テキストm+  署名者のIDを知っているとする。
[1]認証者は署名L  Xと署名者のIDより公開の
一方向性関数h2を用いて、 t’ =h2 (s) −ID”     ・・・(6
3)を計算する。
[2](80)で求めたt′とテキストmより公開のハ
ツシュ関数fを用いて次の式が成り立つことを確認する
x=f (m、t’ )        ・・・(64
)以上のように本実施例1〜4によれば従来署名部と認
証部の双方において一方向性関数の演算とハツシュ関数
の演算以外にべき乗演算が必要であったが、それが実施
例1、実施例2、および実施例3では、署名部は一方向
性関数の演算とハツシュ関数の演算以外に乗算と加算の
みとなるため処理時間が大幅に短縮できる。また実施例
4では認証部が、一方向性関数の演算とハツシュ関数の
演算以外に乗算と加算のみとなるため処理時間が大幅に
短縮できる。
次にこのディジタル署名装置の安全性について説明する
。なお以下の説明では、具体的に実施例1の場合につい
て述べている。
1、第3者が署名とテキストから署名者の秘密情報を知
ることは困難である。
IDiより署名者の秘密情報を得るためには一方向性関
数を逆算する必要がある。またハツシュ関数の出力Xを
得ることは出来るが、署名Sより秘密情報を求めるため
にはさらに乱数rを知る必要がある。ところが署名tよ
り乱数rを知るにはやはり一方向性関数を逆算する必要
がある。
2、第3者が偽の署名を行うことは困難である。
Xがtに依存して決まるハツシュ関数の出力値なので、
それぞれの実施例における認証式を満たすL  sを得
ることは困難である。
また、正当な署名者が生成した(t、s)を用いて第3
者が偽の署名を生成することも各実施例におけるSの生
成に第3者には不定な乱数と秘密情報と加算と乗算を組
み合わせて結合されているため、困難である。
3、同一テキストに複数回署名した場合その署名部から
秘密情報を得ることは、乱数が毎回変化するため、困難
である。
以上の解析は第1の実施例以外にも同様に適用でき、こ
れらのことよりこのディジタル署名装置の安全性は十分
であると言える。
なお、テキストと署名を得た第3者がその作成者になり
すまして、再度その署名をそのまま繰り返して用いるの
を防ぐためには、テキストまたは乱数発生部の出力に日
付も付加しておくと良い。
日付の部分を書き直すと関数fの出力Xが元と違ってく
るために認証時の等号が成り立たずこれを間違って受は
入れることがない。
また、以上の実施例ではすべて整数上の四則演算を用い
て説明したが、これをある整数を法とした有限体上の演
算に置き換えても良い。有限体上の演算を用いることに
よって乗算やべき乗演算による数値の拡大を抑えること
ができ、実用的である。
発明の詳細 な説明したように第1の本発明は、2項の加算結果を入
力としたときの出力値がそれぞれを入力としたときの出
力を乗算したものと同じになる一方向性関数を用いるこ
とによって、署名する際には一方向性関数の演算とハツ
シュ関数の演算の他には乗算と加算だけが必要となる。
また、第2の本発明は、2項の乗算結果を入力としたと
きの出力値がそれぞれを入力としたときの出力を加算し
たものと同じになる一方向性関数を用いることによって
、署名する際には一方向性関数の演算とハツシュ関数の
演算の他には乗算と加算だけが必要となる。従って、処
理の高速化が実現できる。
本発明のディジタル署名装置の安全性は次のことより保
証できる。
1、第3者が署名とテキストから署名者の秘密情報を知
ることは困難である。
2、第3者が偽の署名を行うことは困難である。
3、同一テキストに複数回署名した場合その署名部から
秘密情報を知ることは困難である4、乱数またはテキス
トに毎回変わる日付や時刻を付加することによってなり
すましを防ぐことかできる。
以上のことより、本発明による実用的効果は大きい。
【図面の簡単な説明】 第1図は本発明の第1の実施例におけるディジタル署名
作成の構成図、第2図は本発明の第2の実施例における
ディジタル署名作成の構成図、第3図はセンターによる
ユーザの秘密情報作成の構成図、第4図は従来のディジ
タル署名作成の構成図である。 100・・・一方向性関数の逆関数、1,11,101
・・・乱数発生部、2.12,102・・・一方向性関
数、3. 13.103・・・テキスト格納部、4゜1
4.104・・・ハツシュ関数、5. 15. 108
・・・秘密情報格納部、105・・・べき乗演算部、6
゜18.107・・・乗算部、7.17・・・加算部。 代理人の氏名 弁理士 粟野重孝 はか1名図 第 図

Claims (7)

    【特許請求の範囲】
  1. (1)それぞれが他と重複しない認証子を持った端末と
    、各端末固有の秘密情報を生成するセンターからなるシ
    ステムにおいて、前記センターだけが、2項の加算結果
    を入力としたときの出力値がそれぞれを入力としたとき
    の出力値を乗算したものと同じになる公開の一方向性関
    数の逆関数を秘密に持ち、その逆関数に各端末の認証子
    を入力することによって各端末固有の秘密情報を生成し
    、この生成した秘密情報を各端末に配送し、署名を行う
    端末は、乱数を発生する乱数発生部と、前記乱数発生部
    の出力である乱数を入力としてその一方向性関数値を出
    力する第1の一方向性関数部と、テキストを格納するテ
    キスト格納部と、前記第1の一方向性関数部の出力と前
    記テキスト格納部に格納されているテキストを入力とし
    てそれぞれの値に依存した値を生成する第1のハッシュ
    関数部と、前記秘密情報を格納する秘密情報格納部と、
    前記乱数発生部の出力である乱数と前記第1のハッシュ
    関数部の出力を入力としてこれらを掛け合わせる第1の
    乗算部と、前記第1の乗算部の出力と前記秘密情報を入
    力としてこれらを加算する加算部を備え、前記第1の一
    方向性関数部の出力と前記加算部の出力をそれぞれ前記
    テキストの第1、第2の署名とし、この署名の認証を行
    う端末は、第1の署名と前記テキストを入力としてそれ
    ぞれの値に依存した値を出力とする第2のハッシュ関数
    部と、前記第2のハッシュ関数部の出力値をべきとする
    第1の署名のべき乗値を計算するべき乗演算部と、前記
    べき乗演算部の出力と署名者の認証子を掛け合わせる第
    2の乗算部と、第2の署名を入力としてその一方向性関
    数値を出力とする第2の一方向性関数部と、前記第2の
    乗算部の出力と前記第2の一方向性関数部の出力を比較
    する比較部を備え、比較の結果、両者が一致したときに
    その署名を認証することを特徴とするディジタル署名装
    置。
  2. (2)署名を行う端末の、乱数と第1のハッシュ関数部
    の出力を入力としてこれらを掛け合わせる第1の乗算部
    に代えて秘密情報と第1のハッシュ関数部の出力を入力
    としてこれらを掛け合わせる乗算部と、第1の乗算部の
    出力と秘密情報を入力としてこれらを加算する加算部に
    代えて第1の乗算部の出力と乱数発生部の出力である乱
    数を入力としてこれらを加算する加算部と、署名の認証
    を行う端末の、第2のハッシュ関数部の出力値をべきと
    する第1の署名のべき乗値を計算するべき乗演算部に代
    えて第2のハッシュ関数部の出力値をべきとする署名者
    の認証子のべき乗値を計算するべき乗演算部と、べき乗
    演算部の出力と署名者の認証子を掛け合わせる第2の乗
    算部に代えてべき乗演算部の出力と第1の署名を掛け合
    わせる乗算部とを備えた特許請求の範囲第1項記載のデ
    ィジタル署名装置。
  3. (3)署名を行う端末の第1の一方向性関数部の出力に
    代えて第1のハッシュ関数の出力を第1の署名とし、署
    名を認証する端末は、第2の署名を入力としてその一方
    向性関数値を出力とする第2の一方向性関数部と、第1
    の署名値をべきとする署名者の認証子のべき乗値を計算
    するべき乗演算部と、前記第2の一方向性関数部の出力
    を前記べき乗演算部の出力値で除する除算部と、前記除
    算部の出力とテキストを入力としてそれぞれの値に依存
    した値を出力とする第2のハッシュ関数部と、前記第2
    のハッシュ関数部の出力と第1の署名を比較する比較部
    を備え、比較の結果、両者が一致した場合にその署名を
    認証することを特徴とする特許請求の範囲第2項記載の
    ディジタル署名装置。
  4. (4)それぞれが他と重複しない認証子を持った端末と
    各端末固有の秘密情報を生成するセンターからなるシス
    テムにおいて、前記センターだけが、2項の乗算結果を
    入力としたときの出力値がそれぞれを入力としたときの
    出力値を加算したものと同じになる公開の一方向性関数
    の逆関数を秘密に持ち、その逆関数に各端末の認証子を
    入力することによって各端末固有の秘密情報を生成し、
    この生成した秘密情報を各端末に配送し、署名を行う端
    末は、乱数を発生する乱数発生部と、前記乱数発生部の
    出力である乱数を入力としてその一方向性関数値を出力
    する第1の一方向性関数部と、テキストを格納するテキ
    スト格納部と、前記第1の一方向性関数部の出力と前記
    テキスト格納部に格納されているテキストを入力として
    それぞれの値に依存した値を生成する第1のハッシュ関
    数部と、前記秘密情報を格納する秘密情報格納部と、前
    記第1のハッシュ関数部の出力をべきとする前記乱数の
    べき乗値を算出するべき乗演算部と、前記べき乗演算部
    の出力と前記秘密情報を入力としてこれらを乗算する第
    1の乗算部を備え、前記第1の一方向性関数部の出力と
    前記第1の乗算部の出力をそれぞれ前記テキストの第1
    、第2の署名とし、この署名の認証を行う端末は、第1
    の署名と前記テキストを入力としてそれぞれの値に依存
    した値を出力とする第2のハッシュ関数部と、前記第2
    のハッシュ関数部の出力値と前記第1の署名を掛け合わ
    せる第2の乗算部と、前記第2の乗算部の出力と署名者
    の認証子を加算する加算部と、第2の署名を入力として
    その一方向性関数値を出力とする第2の一方向性関数部
    と、前記加算部の出力と前記第2の一方向性関数部の出
    力を比較する比較部を備え、比較の結果、両者が一致し
    たときにその署名を認証することを特徴とするディジタ
    ル署名装置。
  5. (5)署名を行う端末の、第1のハッシュ関数部の出力
    をべきとする前記乱数のべき乗値を算出するべき乗演算
    部に代えて第1のハッシュ関数部の出力をべきとする前
    記秘密情報のべき乗値を算出するべき乗演算部と、べき
    乗演算部の出力と秘密情報を入力としてこれらを掛け合
    わせる第1の乗算部に代えて前記べき乗演算部の出力と
    乱数発生部の出力である乱数を入力としてこれらを掛け
    合わせる乗算部と、署名の認証を行う端末の、第2のハ
    ッシュ関数部の出力値と第1の署名を掛け合わせる第2
    の乗算部に代えて第2のハッシュ関数部の出力値と署名
    者の認証子を掛け合わせる乗算部と、前記乗算部の出力
    と署名者の認証子を加算する加算部に代えて前記乗算部
    の出力と第1の署名を加算する加算部を備えた特許請求
    の範囲第4項記載のディジタル署名装置。
  6. (6)署名を行う端末の第1の一方向性関数部の出力に
    代えて第1のハッシュ関数部の出力を第1の署名とし、
    署名を認証する端末は、第2の署名を入力としてその一
    方向性関数値を出力とする第2の一方向性関数部と、前
    記第2の一方向性関数部の出力から署名者の認証子を減
    算する減算部と前記減算部の出力を第1の署名で除する
    除算部と、前記除算部の出力とテキストを入力としてそ
    れぞれの値に依存した値を出力する第2のハッシュ関数
    部と、前記第2のハッシュ関数部の出力と第1の署名を
    比較する比較部を備え、比較の結果、両者が一致した場
    合にその署名を認証することを特徴とする特許請求の範
    囲第4項記載のディジタル署名装置。
  7. (7)署名を行う端末の第1の一方向性関数部の出力に
    代えて第1のハッシュ関数部の出力を第1の署名とし、
    署名を認証する端末は、第2の署名を入力としてその一
    方向性関数値を出力する第2の一方向性関数部と、第1
    の署名と署名者の認証子を掛け合わせる第2の乗算部と
    、前記第2の一方向性関数部の出力から前記第2の乗算
    部の出力を減算する減算部と、前記減算部の出力とテキ
    ストを入力としてそれぞれの値に依存した値を出力する
    第2のハッシュ関数部と、前記第2のハッシュ関数部の
    出力と第1の署名を比較する比較部を備え、比較の結果
    、両者が一致した場合にその署名を認証することを特徴
    とする特許請求の範囲第5項記載のディジタル署名装置
JP1095763A 1989-04-14 1989-04-14 ディジタル署名装置 Pending JPH02273779A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP1095763A JPH02273779A (ja) 1989-04-14 1989-04-14 ディジタル署名装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP1095763A JPH02273779A (ja) 1989-04-14 1989-04-14 ディジタル署名装置

Publications (1)

Publication Number Publication Date
JPH02273779A true JPH02273779A (ja) 1990-11-08

Family

ID=14146530

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1095763A Pending JPH02273779A (ja) 1989-04-14 1989-04-14 ディジタル署名装置

Country Status (1)

Country Link
JP (1) JPH02273779A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001203687A (ja) * 2000-01-18 2001-07-27 Hitachi Ltd データ伝送方法
JP2006023839A (ja) * 2004-07-06 2006-01-26 Toshiba Corp ファイル管理装置及びファイル管理方法
WO2010131563A1 (ja) * 2009-05-11 2010-11-18 日本電気株式会社 タグ生成装置、タグ検証装置、通信システム、タグ生成方法、タグ検証方法および記録媒体
JP2011521553A (ja) * 2008-05-14 2011-07-21 ネーデルランツ オルガニサティー フォール トゥーゲパストナトゥールヴェテンシャッペリーク オンデルズーク テーエンオー 共有の秘密の確認の方法およびシステム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001203687A (ja) * 2000-01-18 2001-07-27 Hitachi Ltd データ伝送方法
JP2006023839A (ja) * 2004-07-06 2006-01-26 Toshiba Corp ファイル管理装置及びファイル管理方法
JP2011521553A (ja) * 2008-05-14 2011-07-21 ネーデルランツ オルガニサティー フォール トゥーゲパストナトゥールヴェテンシャッペリーク オンデルズーク テーエンオー 共有の秘密の確認の方法およびシステム
WO2010131563A1 (ja) * 2009-05-11 2010-11-18 日本電気株式会社 タグ生成装置、タグ検証装置、通信システム、タグ生成方法、タグ検証方法および記録媒体
US8543820B2 (en) 2009-05-11 2013-09-24 Nec Corporation Tag generation apparatus, tag verification apparatus, communication system, tag generation method, tag verification method, and recording medium

Similar Documents

Publication Publication Date Title
Hellman An overview of public key cryptography
US6446207B1 (en) Verification protocol
US9990796B2 (en) Data card verification system
US4633036A (en) Method and apparatus for use in public-key data encryption system
EP1687931B1 (en) Method and apparatus for verifiable generation of public keys
CN110545279A (zh) 兼具隐私和监管功能的区块链交易方法、装置及系统
US20100166174A1 (en) Hash functions using elliptic curve cryptography
US6480606B1 (en) Elliptic curve encryption method and system
Jeng et al. An ECC-based blind signature scheme
WO2002041138A1 (en) Automatically solving quatratic equations in finite fields
Daniel et al. A forward secure signcryption scheme with ciphertext authentication for e-payment systems using conic curve cryptography
CN108055134B (zh) 椭圆曲线点数乘及配对运算的协同计算方法及系统
CN110798313B (zh) 基于秘密动态共享的包含秘密的数的协同生成方法及系统
JP4307589B2 (ja) 認証プロトコル
US20090138718A1 (en) Method of generating a signature with "tight" security proof, associated verification method and signature scheme based on the diffie-hellman model
JPH02273779A (ja) ディジタル署名装置
Andreevich et al. On Using Mersenne Primes in Designing Cryptoschemes
JP2904818B2 (ja) 公開鍵暗号・認証方式
Ezziri et al. A zero-knowledge identification scheme based on the discrete logarithm problem and elliptic curves
Omondi et al. Elliptic-Curve Cryptosystems
Schaefer An introduction to cryptography
Namdeo et al. Prime Numbers and Its Applications in Security: Case Study
Han et al. A new proxy signature scheme as secure as EIGamal signature
Karim Cryptanalysis and Modification of Certificateless Blind Signature Scheme using Elliptic Curve Cryptography
Yadav et al. A method for obtaining digital signatures and public-key cryptosystems: a review