JPH02275983A - Multiple digital signature system - Google Patents
Multiple digital signature systemInfo
- Publication number
- JPH02275983A JPH02275983A JP1067344A JP6734489A JPH02275983A JP H02275983 A JPH02275983 A JP H02275983A JP 1067344 A JP1067344 A JP 1067344A JP 6734489 A JP6734489 A JP 6734489A JP H02275983 A JPH02275983 A JP H02275983A
- Authority
- JP
- Japan
- Prior art keywords
- signer
- signature component
- signature
- message
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 55
- 238000012795 verification Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 abstract description 17
- 238000012545 processing Methods 0.000 abstract description 16
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 239000002131 composite material Substances 0.000 description 7
- 238000012360 testing method Methods 0.000 description 3
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 2
- 229910052802 copper Inorganic materials 0.000 description 2
- 239000010949 copper Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Abstract
Description
【発明の詳細な説明】
「産業上の利用分野」
この発明は、電子化された文書の稟議/決済、電子投票
システム等で、1つの文書に多数の者が重複して電子的
に署名/捺印を付与する多重ディジクル署名方式に関す
る。DETAILED DESCRIPTION OF THE INVENTION "Field of Industrial Application" This invention is applicable to approval/settlement of electronic documents, electronic voting systems, etc., in which multiple persons electronically sign/sign multiple documents on one document. This invention relates to a multi-digit signature method for attaching a seal.
「従来の技術」
ディジクル署名方式の代表的な例として、I?SA暗号
系(R4vest 、 R,L、 etal、 ”八
Method forObtaining Digit
al Signatures and Public−
KeyCryptosystems 、 Com
munications of the ACM
Vol、 21 、 No 2 、 pp、 120−
126.(1978))を利用した方式がある。“Prior Art” As a typical example of digital signature method, I? SA cryptosystem (R4vest, R, L, etal, ``8 Method for Obtaining Digit
al Signatures and Public-
KeyCryptosystems, Com
communications of the ACM
Vol, 21, No 2, pp, 120-
126. (1978)).
R3A暗号系は、以下の通りである。The R3A cryptosystem is as follows.
署名者Aは、署名用銅(d、N)と検査用鍵(ei N
)を
N=P×Q
eXd三i (nod L)
ただしL=LCM ((P−1)、(Q−1,))をみ
たすように生成し、検査用鍵を公開し、署名用銅を秘密
に管理する。Signer A has a signature copper (d, N) and an inspection key (ei N
) is generated so that N=P×Q eXd3i (nod L) where L=LCM ((P-1), (Q-1,)) is satisfied, the verification key is made public, and the signature copper is Manage secretly.
ここで、LCM(a、blは整数aとbの最小公倍数を
表して、PとQは相異なる2つの大きな素数とする。ま
た、a=b (mod L)は、a bがLの倍数で
あることを表す。Here, LCM (a, bl represent the least common multiple of integers a and b, and P and Q are two different large prime numbers. Also, a=b (mod L) means that a and b are multiples of L. represents that
R3A暗号系は、Nが大きいときNの素因数分解が困難
なことに安全性の根拠を持つ暗号系であり、公開された
検査用鍵(eiN)から秘密の署名用銅のd成分を求め
ることは困難である。The R3A cryptosystem is a cryptosystem whose security is based on the fact that it is difficult to decompose N into prime factors when N is large. It is difficult.
認証者Bは、利用者の検査用鍵(ei N)を個人識別
情報(ID)とrol1合わせて検査用鍵ファイルとし
て管理する。Authenticator B manages the user's test key (ei N) together with personal identification information (ID) and rol1 as a test key file.
署名関数I〕と検査関数Eを
D (P) −Pd(mod N)
E (C) =C″(mod N)
で定義すると、0≦PANをめたず整数Pに対して
E (D (p) ) −p
が成り立つことが示せる。ここで、a (mod N
)は、aをNで割ったときの余りを表す。signature function I] and verification function E as D (P) - Pd (mod N) E (C) = C'' (mod N), then E (D ( It can be shown that a (mod N
) represents the remainder when a is divided by N.
R3A暗号系を利用したディジタル署名方式は以下の通
りである。The digital signature method using the R3A cryptosystem is as follows.
署名者Aは、一方向性関数fを用いてメツセージMから
生成したf (M)に対して、秘密の署名関数りを適用
してC=1) (f (M) )で署名Cを生成し、個
人識別情報I DとMと署名Cの組(IDi M、C)
を通信文として認証者Bに送信する。Signer A generates a signature C with C=1) (f (M) ) by applying a secret signature function to f (M) generated from message M using one-way function f. A set of personal identification information ID, M, and signature C (IDi M, C)
is sent to authenticator B as a message.
認証者Bは、IDをキーに検査用鍵ファイルを検索して
検査関数Eを求めて、署名CからE (C)で復号文を
求め、Mから求めたf (M)と一致ずろか検査する。Authenticator B searches the verification key file using the ID as a key, obtains the verification function E, obtains the decrypted text from signature C using E (C), and verifies whether it matches f (M) obtained from M. do.
E (C) =f (M)が成り立てば、Dを知ってい
るのはAだけなので、Mの送信元はAであり、(IDi
M、C)は改ざんされていないと判断できる。If E (C) = f (M) holds, then only A knows D, so the source of M is A, and (IDi
It can be determined that M and C) have not been tampered with.
ここで、fが一方向性関数とは、f (x)の計算は容
易であるが、f (x)からXを求めるのが困難な関数
である。fは高速な慣用暗号化装置、例えばDBS暗号
(Data Encryption 5tandard
Federal Information Proce
ssingStandardsPublication
46 、1977)を用いて構成できる。具体的な構
成例を第3図に示す。高速な構成要素を用いれば、fの
計算時間はほとんど無視できる。Here, a unidirectional function of f is a function in which it is easy to calculate f (x), but it is difficult to calculate X from f (x). f is a high-speed conventional encryption device, such as DBS encryption (Data Encryption 5 standard
Federal Information Process
ssingStandardsPublication
46, 1977). A specific example of the configuration is shown in FIG. With fast components, the computation time for f is almost negligible.
ところで、R3A暗号で用いる整数Nは通常十進200
桁(512ビツト)程度であり、署名用鍵のd成分も5
12ヒツト程度となる。ここで、署名関数りを計算する
には、高速指数計算法を用いても、200桁同志の整数
の乗法(ただし法Nによる剰余計算を含む)が平均76
8回必要であり、送信者Aにおける署名生成の処理量が
大きい。By the way, the integer N used in R3A encryption is usually decimal 200.
digit (512 bits), and the d component of the signature key is also 5
It will be about 12 people. Here, to calculate the signature function, even if we use the high-speed exponential calculation method, the multiplication of 200-digit integers (including remainder calculation by modulo N) is 76 on average.
This requires 8 times, and the amount of processing required for signature generation by sender A is large.
(高速指数計算法は、例えば池野、小山゛°現在暗号理
論”電子通信学会、 pp、 16−17 、 (19
86L に示されている。)
署名者における署名の処理量の増加の問題を解決できる
方式として、FiatとShamirの方式がある(F
iat 、 A、 and Shamir、
八: ’ How to proveyou
rself : practical 5olutio
ns to 1dentification and
signature problems + Pro
ceedingsof Crypto 86 + 5a
nta Barbara 、 August 1986
+pp、 18−l−18−7)。(The high-speed index calculation method is described, for example, in Ikeno, Koyama, "Current Cryptography Theory," Institute of Electronics and Communication Engineers, pp. 16-17, (19
86L. ) The Fiat and Shamir methods are methods that can solve the problem of increased signature processing by the signer (F
iat, A. and Shamir,
8: 'How to prove you
rself: practical 5olutio
ns to 1 dentification and
signature problems + Pro
ceedingsof Crypto 86 + 5a
Barbara, August 1986
+pp, 18-l-18-7).
FiatとShamirのディジタル署名方式は以下の
通りである。The Fiat and Shamir digital signature schemes are as follows.
信頼できるセンタが、個人識別情報としてIDを用いる
署名者に対して、次の手順でに個の秘密情報5j(1≦
j≦k)を生成する(kは安全性を定めるパラメータで
あり、1以上の値)。The trusted center provides secret information 5j (1≦
j≦k) (k is a parameter that determines safety, and has a value of 1 or more).
5teplニ一方向性関数fを用いて
v、=f (IDij) (1≦j≦k)を計算す
る。Calculate v,=f (IDij) (1≦j≦k) using the 5-tepl one-way function f.
3tep2:各■4に対してNの素因数PとQを用いて
s J= 1177丁−(modN)
を計算する。すなわち、S ; ” −1/ V J(
modN)となる。3tep2: Calculate s J = 1177 to (mod N) using prime factors P and Q of N for each ■4. That is, S; ”−1/V J(
modN).
5tep3 :署名者に対してに個のSjを秘密に発行
し、合成数Nを公開する。5tep3: Secretly issue Sj to the signer and disclose the composite number N.
(modN)における平方根の計算は、Nの素因数(P
とQ)が分かっているときのめ実行できる。The calculation of the square root in (mod N) is the calculation of the square root in (mod N), which is a prime factor of N (P
and Q) can be executed if you know them.
その方法は、例えばRabin 、 M、O,:lID
1g1talized Signatures and
Public−KeyFunctions as I
ntractable as Factorizati
onTech、 Rep、 MIT/1.C5/TR−
212旧T Lab、 Comput。The method is described, for example, by Rabin, M.O.:lID
1g1talized Signatures and
Public-KeyFunctions as I
tractable as Factorizati
onTech, Rep, MIT/1. C5/TR-
212 Former T Lab, Compute.
Sci、 1979に示されている。平方根の計算装置
の具体的な構成例は、公開鍵暗号システム(特願昭61
−169350)に示されてt)る。Sci., 1979. A specific example of the configuration of a square root calculation device is a public key cryptographic system (patent application No. 61).
-169350).
署名者Aは、次の手順でメツセージMに対応する署名を
生成する。ここで、tは安全性を定めるパラメータであ
り、1以上の値。Signer A generates a signature corresponding to message M using the following procedure. Here, t is a parameter that determines safety, and has a value of 1 or more.
5tepl : i=1.−、 tについて、乱数r
iを生成して、
x r −r r” (mod N )を計算する
。5tepl: i=1. −, for t, the random number r
i and calculate x r −r r” (mod N).
5tep2 : k X tヒ・ントからなるビ・ント
列を((el、I−”・+ eIn! )+・・’+
(at−1+”’+ et、k ))−f (M、
XI 、 ・・・、xt)で生成する。5tep2: Create a bit sequence consisting of k
(at-1+"'+ et, k))-f (M,
XI, ..., xt).
5tep3 :署名文y8を
VI =rI nsJ (mod N)ell、・
1
を生成する。5tep3: Signature text y8 as VI =rI nsJ (mod N)ell,・
Generate 1.
5tep4:Aは、メツセージMと共にMに対する署名
(IDi (el、+、”’、el+K)+”・+
(et、+・・・+el2.k)、y、・・・、yt
)を認証者Bに送る。5step 4: A sends the signature (IDi (el, +, “', el+K) +”・+ to M along with the message M)
(et, +...+el2.k), y,..., yt
) is sent to certifier B.
認証者Bは、通信文(M、I D、(el、+、−CI
+K)+”Z (eL+1+”’l eL+k )
+3’1.”’、yt )を受信すると、次の手順でメ
ツセージMに対する署名の正当性を確認する。Authenticator B sends the message (M, ID, (el, +, -CI
+K)+”Z (eL+1+”’l eL+k)
+3'1. ``', yt), the validity of the signature for message M is confirmed in the next step.
5tep5 :Vj −r (IDi j) (1
≦j≦k)を計算する。5 step 5: Vj −r (IDi j) (1
≦j≦k).
5tep6 : i=1.・・・、tについてZi=V
+ 211vJ (mod N)ei+j−1
を計算する。5tep6: i=1. ..., Zi=V for t
+211vJ (mod N)ei+j-1 is calculated.
5tep7 : i = 1. ・・・、tについて(
(el+1=”’+ el、J+”・+ (eイl
−”’+ et−k ) )−f (M、 z
、、・・・、 Z1)がなりたつことを検査する。5step7: i = 1. ..., about t (
(el+1=”'+ el, J+”・+ (eil
−”'+ et−k ) )−f (M, z
,..., Check that Z1) holds true.
yiの作り方より
Z i −yi ” n V ;=r 、” n (S
j” X V、1)= r j ”= X i (m
od N )e (、j=1 689.H=1
なので、検査に合格すると、認証者Bは通信文改ざんさ
れていないと認める。From the method of making yi, Z i −yi ” n V ;=r , ” n (S
j”
od N )e (,j=1 689.H=1 Therefore, if the inspection is passed, authenticator B recognizes that the message has not been tampered with.
このとき、認証者Bが偽の署名を正しいと認めてしまう
確率は1/2ktである。ここで、kは利用者が秘密に
管理する秘密情報(Si)の個数であり、Lはメツセー
ジMに対応する署名成分のビット長を定めている。At this time, the probability that certifier B accepts the fake signature as correct is 1/2kt. Here, k is the number of secret information (Si) secretly managed by the user, and L defines the bit length of the signature component corresponding to the message M.
FiatとShamirの方式では、署名者における署
名処理は、平均してt(k+2)/2回の乗算(ただし
法Nにおける剰余計算を含む)で済む。特に、上記のF
iatとShamirの文献では、k=9 t=8に
選ぶことが推奨されている。この場合には、Fiatと
Shamirの署名法の乗算回数は44回となり、R3
A暗号による署名法に比較して処理量を大幅に削減でき
ることが分かる(44/768 = 0.06なので約
6%の処理量で実現できる)。In the Fiat and Shamir systems, the signature process at the signer requires t(k+2)/2 multiplications (including the remainder calculation in modulus N) on average. In particular, the above F
In the literature of iat and Shamir, it is recommended to choose k=9 and t=8. In this case, the number of multiplications between Fiat and Shamir signature methods is 44, and R3
It can be seen that the amount of processing can be significantly reduced compared to the signature method using the A cipher (44/768 = 0.06, so it can be achieved with about 6% of the amount of processing).
[発明が解決しようとする課題」
ここで、」二記の2つの方式を、複数の署名者が順次署
名する多重署名システムに適用することを考える。[Problems to be Solved by the Invention] Here, we will consider applying the two methods described in ``2'' to a multi-signature system in which multiple signers sequentially sign signatures.
R3A暗号系を用いたディジタル署名では、通信文(I
Di M、 C)の署名成分Cに順次署名を施して(
すなわちDl・・・D、(f (M)))で多重署名を
実現できる。一方、単純にFiat−3hamir法を
適用すると、署名者毎に、メツセージMに(I D、
(el、+、−、e+、* )+”’+(et、+、
”’et−K) + V +、・・・y1)の情報を
付加する方法が直接的である。ここで、e成分は(tX
k)ビット、yは512ビツトである。m人の署名者が
順次署名をするときには、最終的に(IDのビット長+
512Xt+kXt)Xmビットの情報がメッセージM
に付加される。t=iとしても、1人ノ署名者に約70
0ヒツトの情報が付加されることになり、署名成分の増
加の大きいことが問題となる(kxt=70.I]:l
)ビット数−120と仮定)。In the digital signature using the R3A cryptosystem, the message (I
Di M, C) is sequentially signed on the signature component C of (
That is, multiple signatures can be realized by Dl...D, (f (M))). On the other hand, if we simply apply the Fiat-3hamir method, for each signer, the message M is
(el, +, -, e+, *)+"'+(et, +,
``'et-K) + V +,...y1)'' is a direct method.Here, the e component is (tX
k) bits, y is 512 bits. When m signers sign sequentially, the final value is (bit length of ID +
512Xt+kXt)Xm bits of information in message M
added to. Even if t=i, it is about 70% for one signer.
0 hit information is added, and the large increase in the signature component becomes a problem (kxt=70.I]: l
) Assuming number of bits - 120).
この発明の目的は、複数の署名者が順次署名する多重署
名システ1、において、高速であり、かつ署名成分の冗
長度を削減できる、効率のよい方式を提案することにあ
る。An object of the present invention is to propose an efficient method that is fast and can reduce the redundancy of signature components in a multi-signature system 1 in which a plurality of signers sequentially sign signatures.
[課題を解決するだめの手段J
請求項(1)の発明によれば、第j番目の署名者jは、
乱数(Ri)を住成して署名者(i−1)から引き継い
だ署名成分(X=1)とR8がら署名成分1.(Xi)
を計算し、同時に署名対象であるメツセージ(M)と署
名成分1(Xi)に対して一方向性関数fを用い′(計
算したeiと署名者(11)から引き継いだ署名成分(
Ei−1)がら署名成分2 (Bi )を求め、さらに
、署名者(i−1)から引き継いだ署名成分(Yi−1
)と秘密情報S。[Means to Solve the Problem J According to the invention of claim (1), the j-th signer j:
A random number (Ri) is generated and the signature component (X=1) inherited from the signer (i-1) and R8 are used to generate the signature component 1. (Xi)
At the same time, the one-way function f is used for the message (M) to be signed and the signature component 1 (Xi).
Find the signature component 2 (Bi) from the signer (i-1), and then calculate the signature component (Yi-1) inherited from the signer (i-1).
) and confidential information S.
と乱数RiとC0から署名成分3 (Y、 )を計算し
、Mに対する署名者iの署名成分(X、、E。The signature component 3 (Y, ) is calculated from the random numbers Ri and C0, and the signature component (X,, E.) of signer i for M is calculated.
Yi )をMと共に次の署名者(i+1)に送信する。Yi) along with M to the next signer (i+1).
請求項(2)の発明によれば署名を2巡させて行い、そ
の第1巡目で、第j番目の署名者iは乱数Riを生成し
て署名者(i−1)から引き継いだ署名成分1 (Xi
−1)とR;カl”>署名成分1 (Xi )ヲ計算し
て次の署名者(i+1)に送信して、第m番目の署名者
は署名成分](Xm)を第1番目の署名者に送信し、
第2巡目で、第1番目の署名者iは、署名対象であるメ
ツセージ(M)と署名成分1(Xi)に対して一方向性
関数りを用いて署名成分2 (Ei )を計算し、さら
に、署名ff(il)から引き継いだ署名成分3 (Y
、1)と秘密情報S1と乱数RiとElから署名成分3
(Yi)を計算して、M、X。According to the invention of claim (2), signatures are made in two rounds, and in the first round, the j-th signer i generates a random number Ri and uses the signature inherited from signer (i-1). Component 1 (Xi
−1) and R;Kal”>signature component 1 (Xi ) and send it to the next signer (i+1), and the m-th signer calculates the signature component] (Xm) as the first In the second round, the first signer i calculates signature component 2 using a one-way function for the message (M) to be signed and signature component 1 (Xi). (Ei), and furthermore, signature component 3 (Y
, 1), secret information S1, and random numbers Ri and El, signature component 3 is obtained.
Calculate (Yi), M, X.
と共に次の署名@ (i +1 )に送信する。and send it to the next signature @ (i + 1).
つまり、この発明では、高速なFiat−5hamir
法を基に、署名成分の主要な成分であるy成分の値を署
名処理毎に累積ずろごとで、従来方式では署名著数だけ
のy成分が必要だったものを、y成分を1個に削減し、
署名文の蓄積に必要なメモリ星を削減する。具体的には
、m人の順次多重署名の署名成分を、請求項(1)の場
合は(IDのヒツト長+kXt)Xm+512Xt、ピ
ントに抑え、署名者毎に約200ビツトの情報が付加さ
れるだけであり、請求項(2)の場合はIDのヒツト長
Xm+kXt+512Xtヒツトに抑え、署名者毎にI
Dのビット数が増加するだけである。In other words, in this invention, the high-speed Fiat-5hamir
Based on the method, the value of the y component, which is the main component of the signature component, is accumulated for each signature processing, and the y component, which in the conventional method required as many y components as the number of signatures, is reduced to one y component. reduce,
Reduce the memory stars required to accumulate signature sentences. Specifically, in the case of claim (1), the signature components of the sequential multiple signatures of m people are kept in focus by (ID length + kXt)Xm + 512Xt, and approximately 200 bits of information are added for each signer. In the case of claim (2), the length of the ID is limited to Xm+kXt+512Xt, and the ID is
Only the number of bits in D increases.
「実施例」 以下では、この発明の実施例について説明する。"Example" Examples of the present invention will be described below.
以降では、Fiat−5hamir法でt=1を採用し
た場合について説明する。tを一般の値にしても同様で
ある。Hereinafter, a case where t=1 is adopted in the Fiat-5hamir method will be explained. The same holds true even if t is set to a general value.
第1図はこの発明の第一実施例の全体構成を示す図であ
る。信頼できるセンタ100が複数の局(署名者)20
0,300.・・・と安全な通信路400を介して結合
されているとする。複数の署名者200,300.・・
・は安全でない通信路500を介して結合されており順
次署名を行う。最後の署名者600と認証者800は安
全でない通信路700を介して結合されているとする。FIG. 1 is a diagram showing the overall configuration of a first embodiment of the present invention. A trusted center 100 has multiple stations (signers) 20
0,300. . . are connected via a secure communication path 400. Multiple signers 200, 300.・・・
. . are connected via an insecure communication path 500 and perform signatures sequentially. Assume that the last signer 600 and authenticator 800 are coupled via an insecure communication path 700.
信頼できるセンタ100ば、署名者200 、300・
・・がシステムに加入したとき、以下の手順で個人識別
情報としてIDを用いる署名者に対して、方向性関数計
算器110と逆数算出装置115と平方根算出装置12
0を用いて、k゛個の秘密情報S1 (1≦j≦k)を
生成して配送する。Trusted center 100, signers 200, 300,
When ... joins the system, the directional function calculator 110, the reciprocal calculation device 115, and the square root calculation device 12 are sent to the signer using the ID as personal identification information in the following steps.
0, k゛ pieces of secret information S1 (1≦j≦k) are generated and distributed.
第2図にセンタのブロック図を示す。Figure 2 shows a block diagram of the center.
5tepl:署名者の申請したID、に対して一方向性
関数fを計算するf−計算器110を用いてr(IDi
、j)を求め、逆数算出装置115に引き継ぐ。5tepl: r(IDi
, j) is determined and transferred to the reciprocal calculation device 115.
(110の構成例を第3図に示す)
step2 :逆数算出装置115は合成数Nを用いて
1/f (IDi、j ) mod Nを求め、平方根
算出装置120に引き継ぐ。(An example of the configuration of 110 is shown in FIG. 3) Step 2: The reciprocal calculation device 115 calculates 1/f (IDi,j) mod N using the composite number N, and passes it on to the square root calculation device 120.
5tep3 :平方根算出装W120は、合成数Nの素
因数PとQを用いて、
s、、、2El/f (I Da、 j) (mod
N)をみたすSa+jを計算して出力する。(但しN
=P×Q、1≦j≦k)
平方根の計算装置の具体的な構成例は、公開鍵暗号シス
テム(特願昭6l−169350)に示されている。5tep3: The square root calculation device W120 uses the prime factors P and Q of the composite number N to calculate s, , 2El/f (I Da, j) (mod
Calculate and output Sa+j that satisfies N). (However, N
=P×Q, 1≦j≦k) A specific configuration example of a square root calculation device is shown in Public Key Cryptography System (Japanese Patent Application No. 61-169350).
5tep4 :安全な(秘密情報の秘密が漏れる恐れの
ない)通信路400を介して、それ
ぞれの署名者にに個の秘密情報と合成
数Nと関数fを配送する。(例えば、
署名者がネットワークに加入するとき、ICカード等に
格納して渡すようにし
てもよい。)また、認証者に対して、
合成数Nと関数fを公開する。5tep4: Deliver the secret information, the composite number N, and the function f to each signer via a secure communication path 400 (there is no risk of leaking the secret of the secret information). (For example, when the signer joins the network, it may be stored in an IC card and handed over.) Also, the composite number N and the function f are disclosed to the authenticator.
以下では、署名者1の出力する通信文を(M。Below, the message output by signer 1 will be described as (M.
1+、Ei = (el+I%”+ eI+h )、
Xi 、Y+ )と表わす。第2番目の署名者2 (3
00)は、署名者1の出力した通信文を加工して署名す
る。以下では、署名対象とする通信文を送信した署名者
を署名者i、署名処理を行う署名者を署名者(j+1)
と表わして説明する。m人が順次多重署名する場合には
、iをOからm−1まで1つずつ増加して、以下の手順
を繰り返せばよい。ただし、Io=Eo−φ(空集合)
、Xo =Yo =1とおく。1+, Ei = (el+I%"+ eI+h),
Xi, Y+). Second signer 2 (3
00) processes the message output by signer 1 and signs it. In the following, the signer who sent the message to be signed is signer i, and the signer who performs the signature process is signer (j+1).
This will be explained as follows. If m people sequentially perform multiple signatures, the following procedure may be repeated by incrementing i from O to m-1 one by one. However, Io=Eo−φ (empty set)
, Xo =Yo =1.
署名者(i +、1 )は、署名者iの出力した通信文
(M、I、、Ei、X、、Y1)から、下記の手順によ
ッテ、通信文(M、 Ii、、、Ei、、、Xi、、
。The signer (i +, 1) uses the message (M, I, , Ei, Ei,,,Xi,,
.
yr、1)を作成する。Create yr, 1).
第4回に通信文の交信シーケンスを第5図に署名者(i
+1)300のブロック図を示ず。In the fourth session, the communication sequence of the message is shown in Figure 5.
+1) Block diagram of 300 is not shown.
5tepl:乱数発生器310を用いて乱数R8,。5tepl: Random number R8, using the random number generator 310.
を生成して、公開情報のNと、通信文
のX1成分と共に、剰余付き乗算器
320に入力して
X4−+ =RH4I2xx、 (mod N)を計
算する。is generated and input to the multiplier with remainder 320 together with the public information N and the X1 component of the message to calculate X4-+ = RH4I2xx, (mod N).
5tep2 : X、−をメツセージM、T、成分ID
、。、と共に、f−計算器330に人力して、
(e;−+、+、−、et−+、b)−f (M、I+
++、X;。1)を計算する(ただし、l、、 −(I
f、 lDi。1)とする)。5tep2: X, - as message M, T, component ID
,. , and manually enter the f-calculator 330 to calculate (e;-+,+,-,et-+,b)-f(M,I+
++, X;. 1) (where l,, −(I
f, lDi. 1)).
5tep3:通信文のY、成分、乱数発生器310から
引き継いだR,、、、r−旧算器
330から引き継いだ(ei。5tep3: Y, component of the message, R taken over from the random number generator 310, . . . r- taken over from the old counter 330 (ei.
ei+l+k)と、1(イ1lilの秘密情報Si。ei+l+k) and 1(i1lil's secret information Si.
jと公開情報Nを、剰余付き乗算器 340に入力して でY8,1を生成する。j and public information N, multiplier with remainder Enter 340 generates Y8,1.
5tep4 : Bai+ = (Bit(ei+I+
1.・”+ eitl、l+ ))とおいて、(1、
、、、I乙、、、、Xi。+、Y+、1)をMの署名成
分として、次の署名者(i+2)に送信する。5tep4: Bai+ = (Bit(ei+I+
1.・”+ eitl, l+ )), then (1,
,,,I B,,,,Xi. +, Y+, 1) as the signature component of M and is transmitted to the next signer (i+2).
認証者800か、安全でない通信路700を介して、第
m番目の署名者m(600)から通信文(M、I、、E
i、Y1)を受信して、メツセージMにm人の署名が正
しく施されていることを認証する手順について説明する
(認証処理には、x8構成は必要ない)。なお、認証者
はセンタが公開】 9
した合成WANと関数fを知っているとする。The message (M, I, ,E
A procedure for receiving the message M (i, Y1) and authenticating that the signatures of m people have been correctly applied to the message M will be described (the x8 configuration is not required for the authentication process). It is assumed that the authenticator knows the synthetic WAN and the function f made public by the center.
第6図に認証者800のブロック図を示ず。A block diagram of the authenticator 800 is not shown in FIG.
5tepl:通信文の1.成分(−(I D、、 −・
・、IDm))をf−計算器810に入力して、
V3.J−f (IDi、j)(1≦a≦m、1≦j
≦k)を計算する。5tepl: 1 of the correspondence. Component (-(I D,, -・
, IDm)) into the f-calculator 810, V3. J−f (IDi, j) (1≦a≦m, 1≦j
≦k).
5tep2 :通信文のY0構成+ E m成分(−(
(el+l、”’+ CI、11 )l”’l (
effl、 l、”’ei、1)))、f−計算器81
0から引き継いだv、、、j(1≦a≦m、1≦j≦k
)と公開情報Nを、剰余付き乗算
器820に入力して、
z、、 −y、”XrT nva、J (mo
d N)a eitl−1
を計算する。5tep2: Y0 composition of correspondence + E m component (-(
(el+l,"'+ CI, 11)l"'l (
effl, l, "'ei, 1))), f-calculator 81
v,,,j inherited from 0 (1≦a≦m, 1≦j≦k
) and the public information N are input to the multiplier with remainder 820, and z,, -y,"XrT nva,J (mo
Calculate dN) aeitl-1.
5tep3:剰余イ」き乗算器820から引き継いだZ
o、メツセージMと通信文の1.成
分をf−関数計算器830に入力して、f (M、I、
、Z1)を計算する。5 step 3: Z taken over from the multiplier 820 with remainder
o, Message M and Correspondence 1. Input the components into the f-function calculator 830 to calculate f (M, I,
, Z1).
step4 :通信文のE□成分中の(eヨe+n、k
)成分と、f−関数計算器830から引き組いだf
(M、l、、、Z1)を、一致検査器840に人力して
(elll+1+”・+ 0m11+ ) =f (
M、 L、 、 Zm )がなりたつことを検査す
る。2つの値か同しなら、合格”、異なれは“不合格′
を出力する。Step 4: (eyoe+n,k in the E□ component of the message)
) component and f subtracted from the f-function calculator 830
(M, l, , Z1) is manually entered into the coincidence checker 840 and (ell+1+”・+0m11+) = f (
M, L, , Zm). If the two values are the same, pass, otherwise, fail.
Output.
ここで、それぞれの通信文(M、 Ii 、 Ei
Xi 、Y1)が正当ならば、
YH2X IDmVH,−Y、−+” XR;”
(mod N)e H,J=]
となるので、最終的に
Z、I=Y、 Xll IDm V、l+j
(mod N)a=l e a、 j=1
(mad N)
(mod N)
R,xRIDm−、X−XRz xR+ (m
od N)11R,EEXIDm
a=1
(mod N)
が成り立ち、検査に合格する。このようにXイは使用し
ないから省略可能である。Here, each message (M, Ii, Ei
If Xi, Y1) is valid, then YH2X IDmVH, -Y, -+"XR;"
(mod N)e H, J=], so finally Z, I=Y, Xll IDm V, l+j
(mod N) a=le a, j=1 (mad N) (mod N) R, xRIDm-, X-XRz xR+ (m
mod N) 11R, EEXIDm a=1 (mod N) holds true and passes the test. In this way, since X-i is not used, it can be omitted.
次にこの発明の第2実施例を説明する。センタは第1実
施例と同様に構成される。ただそれぞれの署名者に1(
個の秘密情報SL、Jと合成数Nと関数fの他に関数り
も配送する。Next, a second embodiment of the invention will be described. The center is configured similarly to the first embodiment. Just 1 for each signer (
In addition to the secret information SL, J, the composite number N, and the function f, the function f is also delivered.
m人の署名者は通信文を2回巡回することにより署名文
を作成する。従って第7図に示すようにm人の署名者は
通信路500によりリンク状に接続されている。The m signers create signatures by circulating the correspondence twice. Therefore, as shown in FIG. 7, m signers are connected in a linked manner by a communication path 500.
先ず、m人の署名者が通信文(X1)を持ち回って署名
成分1(Xi)を計算する。次に、それぞれの署名者は
、m人の署名者のID、署名成分(mod N)
(X1)とメツセージmに依存させて、前の署名者の出
力した署名成分3 (Yi−1)を加工して、署名成分
3 (Yi )を計算する。以下では、前の署名者を署
名者(i−IL署名処理を行う署名者を署名者(i)と
表わして説明する。m人が順次多重署名する場合には、
iを1からmまで1つずつ増加して、以下の手順を繰り
返せばよい。但し、X、=Yo =1とおく。First, m signers rotate the message (X1) and calculate signature component 1 (Xi). Next, each signer uses the signature component 3 (Yi-1) output by the previous signer, depending on the ID of the m signers, the signature component (mod N) (X1), and the message m. The signature component 3 (Yi) is calculated by processing. In the following, the previous signer is referred to as a signer (the signer who performs i-IL signature processing is referred to as signer (i)). When m people sequentially perform multiple signatures,
The following procedure may be repeated by incrementing i by 1 from 1 to m. However, let X,=Yo=1.
先ず、第1遣口について説明する。署名者輸)は、署名
者(i−1)の出力した通信文(Xi−1)から、下記
の手順によって、通信文(×8)を作成して、次の署名
者(i=1)に送信する。但し、i=1.−、mで、署
名者mは、X、I、を署名者1に引き継ぐ。第7図に通
信文の交信シーケンスを、第8図に署名者(i ) (
300)のブロック図を示す。First, the first trick will be explained. The signer (Xi-1) creates a message (x8) from the message (Xi-1) output by the signer (i-1) according to the following procedure, and sends it to the next signer (i=1). Send to. However, i=1. At −,m, signer,m,inherits,X,I,to signer,1,. Figure 7 shows the communication sequence of the correspondence, and Figure 8 shows the signer (i) (
300) is shown.
5tepl−4:乱数発生器310を用いて乱@R4を
生成して、公開情報のNと、通信文のX +−+成分と
共に、剰余付き乗算器320に入力
(modN)
を計算する。5tepl-4: Generate random @R4 using the random number generator 310, and calculate input (modN) to the multiplier with remainder 320 together with the public information N and the X +-+ component of the message.
次に、第2遣口について説明する。署名者(i)は、署
名者(i−1)の出力した通信文(M、 Iイ。Next, the second trick will be explained. Signer (i) receives the message (M, I-i) output by signer (i-1).
Xイ、 Y4−+ )から、下記の手順によって、通信
文(M、I、、X、、Y1)を作成して、次の署名者(
i+1)に送信する。ここで、m人の署名者のIDをI
、、、署名対象のメツセージをMとする。但し、署名者
mは、(M、I7.Ei、Y1)を認証者800に引き
継く。Create a message (M, I, , X, , Y1) from the signer (
i+1). Here, the IDs of m signers are I
, , Let M be the message to be signed. However, signer m inherits (M, I7.Ei, Y1) to authenticator 800.
5tep2−i:XmをメツセージM、11成分と共に
h−計算器330に入力し、
Et−(e++・・・、eう)
−h (M、 I、 、 XIDm>を計算する。5tep2-i: Input Xm together with message M and 11 components to h-calculator 330, and calculate Et-(e++...,eu)-h(M, I, , XIDm>).
(例えば、I、−ID、、・・・、IDm)とする)。(For example, I, -ID, . . . , IDm).
5tep3− i :通信文のY8−1成分、乱数発生
器310から引き継いだRo、h−計算器330から引
き継いだ(ei.・・・、ek)と、k個の秘密情報S
i + jと公開情報Nを、剰余付き乗算器340に
入力して
でY、を生成する。5tep3-i: Y8-1 component of the message, Ro inherited from the random number generator 310, h-(ei..., ek) inherited from the calculator 330, and k pieces of secret information S
i + j and public information N are input to a multiplier with remainder 340 to generate Y.
最後に認証者800が、安全でない通信路700を介し
て、第m番目の署名者m (600)から通信文(M、
I、、 、 B、 −(e+、・、 (!h ) 、
Ylll )を受信して、メツセージMにm人の署名
が正しく施されていることを認証する手順について説明
する(認証処理には、X、成分は必要ないことに注意し
よう)。なお、認証者はセンタが公開した合成数Nと関
数fとhを知っているとする。Finally, the authenticator 800 receives the message (M,
I,, , B, −(e+,・, (!h),
The following describes the procedure for receiving the message M (Yllll) and authenticating that m signatures have been correctly applied to the message M (note that the X component is not required for the authentication process). It is assumed that the authenticator knows the composite number N and the functions f and h published by the center.
第9図に認証者800のブロック図を示す。第1実施例
と同様の構成であり、同様の処理を行う。FIG. 9 shows a block diagram of the authenticator 800. It has the same configuration as the first embodiment and performs the same processing.
すなわち、
5tepl:通信文の11成分(= l DIDm))
をr−計算器810に入力
して、
V、、J= f (l Di、j)(1≦i≦m1≦j
≦k)
を計算する。That is, 5 tepl: 11 components of the message (= l DIDm))
is input into the r-calculator 810, and V,, J= f (l Di, j) (1≦i≦m1≦j
≦k).
step2 :通信文のY、成分、Ei成分、f−計算
器810から引き継いだVi、j (1≦i≦m、1
≦j≦k)と公開情報Nを、剰余付き乗算器820に入
力して、
を計算する。step 2: Y, component, Ei component of the message, Vi, j inherited from f-calculator 810 (1≦i≦m, 1
≦j≦k) and the public information N are input to the multiplier with remainder 820 to calculate the following.
5tep3:乗算器820から引き継いだ211.メツ
セージMと通信文の10成分をに+
計算器830に入力して、h(M、1.。5tep3: 211. taken over from multiplier 820. Input the message M and the 10 components of the correspondence into the + calculator 830, h(M, 1.
Z□)を計算する。Calculate Z□).
5tep4:通信文のE11成と、h−計算器830か
ら引き継いだh(M、I、、Z□)を、一致検査器84
0に入力して
Eヨーh (M、 I、、 Z1)がなりたつこと
を検査する。2つの値
が同じなら“合格”、異なれば゛不合
格”を出力する。5tep4: The E11 composition of the message and h(M, I,, Z□) inherited from the h-calculator 830 are sent to the match checker 84
Input 0 and check that E yaw h (M, I, , Z1) is true. If the two values are the same, "pass" is output, and if they are different, "fail" is output.
ここで、それぞれの署名成分(X1)と(Y1)が手順
通りに作成されろならば、
Y、”Xn V、、4
C781
YH−,2XR;” (mod N)となるので、
最終的に
なお、上記の説明では関数fとhを区別したか、同一の
関数を用いてもよい。Here, if each signature component (X1) and (Y1) are created according to the procedure, Y, "Xn V,, 4 C781 YH-, 2XR;" (mod N),
Finally, it should be noted that in the above description, the functions f and h may be distinguished or the same function may be used.
「発明の効果」
(1)署名者の処理量
一方向性関数の計算は乗算より高速なので、署名者の処
理量を乗算(ただし法Nによる剰余計算を含む)の回数
を用いて比較する。−船釣に表すとR3A暗号を用いる
方式: (31ogz N ) / 2回F i a
tとShamirの方式を単純に適用する方式:t
(k+2)/2回
本発明:t(k+6)/2回
となる。例えば、安全性のレヘルを2−72とするとl
og2N −512のとき
R3A暗号を用いる方式ニア68回
FiatとShamirの方式を単純に適用する方式3
7回(k=72.f、=]のとき)
108回(k=l、t=72のとき)
本発明=39回(k=72.t=1のとき)を得る。本
発明では、R3A暗号を用いる方式に比べて大幅に処理
量が削減でき、Fiat−3hamirの方式を単純に
適用する方式と同等の処理量で実現できることが分かる
。"Effects of the Invention" (1) Signer's Processing Amount Since the calculation of a one-way function is faster than multiplication, the signer's processing amount is compared using the number of multiplications (including remainder calculations by modulo N). - Method using R3A code when expressed in boat fishing: (31ogz N) / 2 times Fia
A method that simply applies t and Shamir's method: t
(k+2)/2 times In the present invention: t(k+6)/2 times. For example, if the safety level is 2-72, l
Method using R3A encryption when og2N -512 Near 68 times Method 3 of simply applying Fiat and Shamir's method
7 times (when k=72.f, =]) 108 times (when k=l, t=72) Present invention = 39 times (when k=72.t=1). It can be seen that in the present invention, the amount of processing can be significantly reduced compared to the method using R3A encryption, and can be realized with the same amount of processing as a method simply applying the Fiat-3hamir method.
(ii)通信文の冗長度
R3A賄号を利用した順次多重署名法では、署名毎に、
メツセージMにIDの情報か付加される(ただし、署名
成分は、Dl・・・D、(f (M))と仮定)。(ii) Redundancy of correspondence In the sequential multiple signature method using R3A code, for each signature,
ID information is added to the message M (assuming that the signature components are Dl...D, (f (M))).
FiatとShamir法を単純に適用した方式では、
署名毎に、メツセージMに(IDm)、 (cl、・
・・eu)、y)の情報が付加される(ただし、1.=
1と仮定)。In a method that simply applies the Fiat and Shamir methods,
For each signature, send message M (IDm), (cl,・
...eu), y) information is added (however, 1.=
1).
本発明の第1実施例では、署名毎に、メツセージMに(
IDi (ei、−・、ei))の情報が、第2実施
例ではIDの情報が付加される(ただしt = 1と仮
定。処理量削減のために、新たにχX1成分を追加して
いるが、認証処理にはX、 X。In the first embodiment of the present invention, for each signature, the message M is
In the second embodiment, ID information is added to the information of IDi (ei, -., ei)) (assuming t = 1. In order to reduce the amount of processing, a new χX1 component is added. However, the authentication process requires X, X.
成分は不要なので、X、X□は保存対象にならないこと
に注意)。(Note that X and X□ are not subject to preservation because the components are unnecessary.)
ここでD (f (M) )のヒツト数はNのヒツト数
に等しく、(eJ)のヒツト数は(k×t)ヒツトで、
XとYのヒラ1−数はNのヒラI・数に等しい。Here, the number of hits of D (f (M)) is equal to the number of hits of N, and the number of hits of (eJ) is (k×t) hits,
The 1-number of X and Y is equal to the 1-number of N.
m人の署名者が多重署名するとき、署名成分として増加
するビット数を、Nが512ビツトの場合で比較すると
R3A暗号を順次適用する方式:
IDのビット長×m
Fiat−3hamir法を単純に適用する方式:(I
Dのビット長+512 Xt+kXt1)Xmヒツト第
1実施例:
(IDのビ・ント長十k X t ) Xm−1−51
2X tヒ・ント第2実施例:
IDのヒツト長x m +k X +、 +512X
tヒツト・となる。Comparing the number of bits that increases as a signature component when m signers make multiple signatures, when N is 512 bits, we can see that the R3A encryption is applied sequentially: Bit length of ID x m The Fiat-3hamir method is simply Applicable method: (I
Bit length of D + 512 Xt + kXt1)
2X T Hint Second Example: ID Hit Length x m +k X +, +512X
t hits.
例えば、k×1.−70.M)のヒツト数−120とす
ると、1回当りの署名で増加するビット数は、R5A暗
号を順次適用する方式:120ヒッ1−Fl−Flat
−5ha法を単純に適用する方式ニア02ヒツト(ただ
し、1. = 1と仮定)第1実施例:190ヒツト(
ただし、も−1と仮定)第2実施例;120ヒツト(た
だし、t=1と仮定)で、m−10のときの署名成分全
体のビット数は、R3A暗号を順次適用する方式: 1
200ビットFiat−3hamir法を単純に適用す
る方式:%式%
第1実施例:2/112ヒツト
第2実施例:1782ヒント
を得る。本発明では、F ia t −Shami r
法を単純に適用する方式に比べて大幅に通信量が削減で
きることが分かる。For example, k×1. -70. If the number of hits in M) is -120, the number of bits increased by one signature is as follows: 120 hits 1-Fl-Flat
A method that simply applies the -5ha method Near 02 hits (assuming 1. = 1) 1st example: 190 hits (
However, the number of bits of the entire signature component when 120 hits (assuming t = 1) is m-10 is a method in which R3A encryption is applied sequentially: 1
A method of simply applying the 200-bit Fiat-3hamir method: % formula % First example: 2/112 hits Second example: 1782 hints are obtained. In the present invention, Fiat-Shamir
It can be seen that the amount of communication can be significantly reduced compared to a method that simply applies the method.
なお上述の実施例では、Fiat−3hamir法を基
に説明したが、高次版のFiat−5hamir法(太
田、開本: ”Fiat−3hamir法の高次への
拡張”′、信学技報l5IiC88−13)を利用して
も同様にして実現できる。In the above embodiment, the explanation was based on the Fiat-3hamir method, but a higher-order version of the Fiat-5hamir method (Ota, Kaihon: "Higher-order extension of the Fiat-3hamir method"), IEICE Technical Report 15IiC88-13) can be used in the same manner.
第1図はこの発明の第1実施例の全体構成を示すブロッ
ク図、第2図は第1図中のセンタ100のブロック図、
第3図はf−計算器の構成例を示すブロック図、第4図
は第1実施例の通信文の交信シーケンスを示す図、第5
図は第1実施例の署名者200,300.・・・のブロ
ック図、第6図は第1実施例の認証者600のブロック
図、第7図はこの発明の第2実施例の通信文の交信シー
ケンスを示す図、第8図は第2実施例の署名者のブロッ
ク図、第9図は第2実施例の認証者のブロック図である
。FIG. 1 is a block diagram showing the overall configuration of a first embodiment of the invention, FIG. 2 is a block diagram of the center 100 in FIG.
FIG. 3 is a block diagram showing an example of the configuration of the f-calculator, FIG. 4 is a diagram showing the communication sequence of the message of the first embodiment, and FIG.
The figure shows signers 200, 300. ..., FIG. 6 is a block diagram of the authenticator 600 of the first embodiment, FIG. 7 is a diagram showing the communication sequence of the message of the second embodiment of this invention, and FIG. 8 is a block diagram of the authenticator 600 of the first embodiment. Block Diagram of Signer in Embodiment FIG. 9 is a block diagram of a certifier in the second embodiment.
Claims (2)
多重ディジタル署名システムにおいて、署名者がシステ
ムに加入する時に、センタが、署名者の個人識別情報(
ID_i)に対応した秘密情報(S_i)を一方向性関
数(f)とセンタだけが知っている2つの素数(P、Q
)から計算して署名者に配送して、その2つの素数の積
N(=P×Q)と一方向性関数(f)を公開し、 複数の署名者(署名者1、・・・、署名者m)は、署名
者1から署名者mまで、下記の操作を繰り返し、 認証者は、センタの公開情報(N、f)を用いて、最終
の署名者から受信した署名成分(E、Y)メッセージ(
M)と複数の署名者のID(ID_i、・・・、ID_
m)が、予め定めた検査式をみたす場合、複数の署名者
が多重に署名をしたメッセージが改ざんされていないこ
とを確認できる多重ディジタル署名方式。 記 第i番目の署名者iは、乱数(R_i)を生成して署名
者(i−1)から引き継いだ署名成分(X_i_−_1
)とR_iから署名成分1(X_i)を計算し、同時に
署名対象であるメッセージ(M)と署名成分1(X_i
)に対して一方向性関数fを用いて計算したe_iと署
名者(i−1)から引き継いだ署名成分(E_i_−_
1)から署名成分2(E_i)を求め、さらに、署名者
(i−1)から引き継いだ署名成分(Y_i_−_1)
と秘密情報S_iと乱数R_iとe_iから署名成分3
(Y_i)を計算し、Mに対する署名者iの署名成分(
X_i、E_i、Y_i)をMと共に次の署名者(i+
1)に送信する。(1) In a multiple digital signature system in which multiple signers sign messages (M) sequentially, when a signer joins the system, the center collects the signer's personal identification information (
The secret information (S_i) corresponding to ID_i) is divided into a one-way function (f) and two prime numbers (P, Q
) and send it to the signers, and publish the product N (=P×Q) of the two prime numbers and the one-way function (f), and then calculate it from multiple signers (signer 1,..., Signer m) repeats the following operation from signer 1 to signer m, and the authenticator uses the center's public information (N, f) to obtain the signature component (E, f) received from the final signer. Y) Message (
M) and multiple signer IDs (ID_i, ..., ID_
If m) satisfies a predetermined verification formula, it is a multiple digital signature method that can confirm that a message signed multiple times by multiple signers has not been tampered with. The i-th signer i generates a random number (R_i) and uses the signature component (X_i_-_1) inherited from the signer (i-1).
) and R_i, and at the same time calculate signature component 1 (X_i) from the message to be signed (M) and signature component 1 (X_i
) for e_i calculated using the one-way function f and the signature component (E_i_-_
Find the signature component 2 (E_i) from 1), and then calculate the signature component (Y_i_-_1) inherited from the signer (i-1).
Signature component 3 is obtained from secret information S_i and random numbers R_i and e_i.
(Y_i) and signer i's signature component (
X_i, E_i, Y_i) with M to the next signer (i+
1) Send to.
多重ディジタル署名システムにおいて、署名者がシステ
ムに加入する時に、センタが、署名者の個人識別情報(
ID_i)に対応した秘密情報(S_i)を一方向性関
数(f)とセンタだけが知っている2つの素数(P、Q
)から計算して署名者に配送して、その2つの素数の積
N(=P×Q)と一方向性関数(fとh)を公開し、複
数の署名者(署名者1、・・・、署名者m)は、署名者
1から署名者mまで、下記の操作を繰り返し、 認証者は、センタの公開情報(N、fとh)を用いて、
最終の署名者mから受信した署名成分2(E_m)、署
名成分3(Y_m)、メッセージ(M)と複数の署名者
のID(ID_i、・・・、ID_m)が、予め定めた
検査式をみたす場合、 複数の署名者が多重に署名をしたメッセージ(M)が改
ざんされていないことを確認できる多重ディジタル署名
方式。 記 第1巡目で、第i番目の署名者iは、乱数(R_i)を
生成して署名者(i−1)から引き継いだ署名成分1(
X_i_−_1)とR_iから署名成分1(X_i)を
計算して次の署名者(i+1)に送信して、第m番目の
署名者は署名成分1(Xm)を第1番目の署名者に送信
し、 第2巡目で、第i番目の署名者iは、署名対象であるメ
ッセージ(M)と署名成分1(X_m)に対して一方向
性関数hを用いて署名成分2(E_i)を計算し、さら
に、署名者(i−1)から引き継いだ署名成分3(Y_
i_−_1)と秘密情報S_iと乱数R_iとE_iか
ら署名成分3(Y_i)を計算して、M、X_mと共に
次の署名者(i+1)に送信する。(2) In a multiple digital signature system in which multiple signers sign messages (M) sequentially, when a signer joins the system, the center collects the signer's personal identification information (
The secret information (S_i) corresponding to ID_i) is divided into a one-way function (f) and two prime numbers (P, Q
) and send it to the signers, and publish the product N (=P×Q) of the two prime numbers and the one-way function (f and h), and then calculate it from multiple signers (signer 1,...・, signer m) repeats the following operation from signer 1 to signer m, and the certifier uses the center's public information (N, f and h),
Signature component 2 (E_m), signature component 3 (Y_m), message (M), and multiple signer IDs (ID_i, ..., ID_m) received from the final signer m use a predetermined verification formula. A multiple digital signature method that can confirm that a message (M) signed multiple times by multiple signers has not been tampered with. In the first round, the i-th signer i generates a random number (R_i) and signs the signature component 1 (inherited from signer (i-1)).
Signature component 1 (X_i) is calculated from In the second round, the i-th signer i creates signature component 2 (E_i) using a one-way function h for the message (M) to be signed and signature component 1 (X_m). Then, signature component 3 (Y_
Signature component 3 (Y_i) is calculated from i_-_1), secret information S_i, random numbers R_i and E_i, and is sent to the next signer (i+1) along with M and X_m.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP1173489 | 1989-01-19 | ||
| JP1-11734 | 1989-01-19 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH02275983A true JPH02275983A (en) | 1990-11-09 |
Family
ID=11786262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1067344A Pending JPH02275983A (en) | 1989-01-19 | 1989-03-17 | Multiple digital signature system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH02275983A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006057171A1 (en) * | 2004-11-29 | 2006-06-01 | Nec Corporation | Signature and verifying method, and signature and verifying device |
-
1989
- 1989-03-17 JP JP1067344A patent/JPH02275983A/en active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006057171A1 (en) * | 2004-11-29 | 2006-06-01 | Nec Corporation | Signature and verifying method, and signature and verifying device |
| JP4848957B2 (en) * | 2004-11-29 | 2011-12-28 | 日本電気株式会社 | Signature and verification method and signature and verification apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8654975B2 (en) | Joint encryption of data | |
| US5297206A (en) | Cryptographic method for communication and electronic signatures | |
| Iversen | A cryptographic scheme for computerized general elections | |
| Jakobsson et al. | An optimally robust hybrid mix network | |
| Mironov | Hash functions: Theory, attacks, and applications | |
| US20090217041A1 (en) | Provisional signature schemes | |
| CN109586919A (en) | A kind of online contract signs method automatically | |
| CN102970138A (en) | Signcryption method and device and corresponding signcryption verification method and device | |
| EP2686978B1 (en) | Keyed pv signatures | |
| US20140082361A1 (en) | Data encryption | |
| Tsai et al. | An ECC‐based blind signcryption scheme for multiple digital documents | |
| EP3462668A1 (en) | Plaintext equivalence proof techniques in communication systems | |
| CN1618200B (en) | Cipher method for distributing loads between several entities and equipments | |
| Preneel et al. | Cryptographic hash functions: an overview | |
| Dong et al. | Two extensions of the ring signature scheme of Rivest–Shamir–Taumann | |
| Blake-Wilson | Information security, mathematics, and public-key cryptography | |
| JPH02275983A (en) | Multiple digital signature system | |
| US20020188850A1 (en) | Method for accelerated transmission of electronic signature | |
| Halevi | Efficient commitment schemes with bounded sender and unbounded receiver | |
| Kim et al. | Secure verifiable non-interactive oblivious transfer protocol using RSA and Bit commitment on distributed environment | |
| Sakuraii et al. | A key escrow system with protecting user's privacy by blind decoding | |
| Hardjono et al. | Authentication via multi-service tickets in the kuperee server | |
| JP3385519B2 (en) | Validity authentication method and system | |
| Geum | 3 B (Block Byte Bit) Cipher Algorithm for Secure Socket Layer | |
| Lee et al. | On the security of fair blind signature scheme using oblivious transfer |