JPH03103961A - Digital multisignature system using id information - Google Patents

Digital multisignature system using id information

Info

Publication number
JPH03103961A
JPH03103961A JP1240601A JP24060189A JPH03103961A JP H03103961 A JPH03103961 A JP H03103961A JP 1240601 A JP1240601 A JP 1240601A JP 24060189 A JP24060189 A JP 24060189A JP H03103961 A JPH03103961 A JP H03103961A
Authority
JP
Japan
Prior art keywords
remainder
signer
information
signature
modulus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP1240601A
Other languages
Japanese (ja)
Inventor
Naoya Torii
直哉 鳥居
Ryota Akiyama
良太 秋山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP1240601A priority Critical patent/JPH03103961A/en
Publication of JPH03103961A publication Critical patent/JPH03103961A/en
Pending legal-status Critical Current

Links

Abstract

PURPOSE:To make it unnecessary to change the number of method of residues in each user and to attain digital multisignature requiring plural signatures whose forgery is impossible by using the number of method of residues obtained from two primes which are sufficiently large values and a number found from personal secret informa tion, personal identification (ID) information and a disclosed ID information. CONSTITUTION:A central control means 101 controls the number (n) of 1st method of residues regulated by two primes which are sufficiently large values and the number of 2nd method of residues which is an exponential value '1' obtained by raising an optional value to be a prime to a power and a remainder is found out by the number of method of residues of the product of the inverse of the personal secret information PWi and the inverses of the personal ID information IDi and disclosed ID information IDc to calculate the signature information Si. A certificator SIGi is formed from the personal secret information PWi inputted from the signatory (i) of a current termi nal 102 and signature information Si, the formed certificator SIGi is applied to a certificator obtained from the terminal 102 of the preceding signatory i-1 and the added certificator is sent to the decidor's terminal 103. Consequently, it is unnecessary to change the number of method of residues in each user and the digital nultisignature requiring plural signatures whose forgery is impossible can be attained.

Description

【発明の詳細な説明】 〔概  要〕 複数人の署名を可能とするためのデジタル多重署名装置
に関し、 各ユーザ毎に剰余の法の数を変更することが不要で、か
つ署名の偽造が不可能に近く、ユーザ毎の管理が容易な
デジタル多重署名を実現することを目的とし、 通信情報に複数の署名者が多重に署名を行って決裁者に
送信し、決裁者が前記通信情報の受信と前記各署名者の
署名の確認を行うデジタル多重署名方式において、十分
に大きな値の2つの素数の積である第1の剰余の法の数
と、該法の数上でそれと互いに素な任意の数を巾乗して
1となる指数値である第2の剰余の法の数とを管理し、
前記各署名者に対応し前記第2の剰余の法の数と互いに
7 8 素な個人秘密情報から求まる逆数と、同様の関係の個人
識別情報と、前記第2の剰余の法の数と互いに素な公開
識別情報から求まる逆数と、の3数の積に対し前記第2
の剰余の法の数で剰余をとることにより、署名情報を演
算して対応する前記各署名者に提供すると共に、前記第
1の剰余の法の数、前記各個人識別情報及び前記公開識
別情報を公開し、前記第2の剰余の法の数は非公開とす
るセンタ管理手段と、前記各署名者が操作すべき各端末
内に、1つ前の署名者の端末からの認証子付き通信情報
を圧縮変換する第1の圧縮変換手段と、前記現端末の署
名者から入力させた前記個人秘密情報と前記署名情報の
積で前記第1の圧縮変換手段の出力を巾乗し、前記第1
の剰余の法の数で剰余を演算して前記現端末の署名者の
認証子を作成し、前記1つ前の署名者の端末からの認証
子付き通信情報に付加して、次の署名者の端末があれば
該端末に送り、なければ前記決裁者が操作すべき端末に
送る第1の巾乗剰余演算手段とを有し、前記決裁者が操
作すべき端末内に、受信した前記認証子付き通信情報の
うち、署名の確認を行いたい署名者の1つ前の署名者ま
での認証子が付加された認証子付き通信情報を圧縮変換
する前記第1の圧縮変換手段と同一特性の第2の圧縮変
換手段と、前記決裁者から入力させた前記署名の確認を
行いたい署名者の個人識別情報で前記第2の圧縮変換手
段の出力を巾乗し、前記第1の剰余の法の数で剰余を演
算する第2の巾乗剰余演算手段と、前記決裁者から入力
させた前記公開識別情報で受信した前記署名の確認を行
いたい署名者の認証子を巾乗し、前記第1の剰余の法の
数で剰余を演算する第3の巾乗剰余演算手段と、前記第
2及び第3の巾乗剰余演算手段の各出力が一致した場合
に、前記認証子は正しい署名者によって付加されたと判
別する判別手段とを有するように構或する。[Detailed Description of the Invention] [Summary] Regarding a digital multiple signature device that allows multiple people to sign signatures, it is not necessary to change the modulus of the remainder for each user, and signatures cannot be forged. The aim is to realize digital multiple signatures that are as close to possible as possible and easy to manage for each user.Multiple signers sign multiple signatures on communication information and send it to the approver, and the approver receives the communication information. In the digital multiple signature system that verifies the signature of each signer, the first remainder modulus number, which is the product of two sufficiently large prime numbers, and an arbitrary number that is coprime to it on the modulus number. and the second remainder modulus number, which is an exponent value that becomes 1 when raised to the power of the number of
A reciprocal number obtained from personal secret information that is 78 prime with respect to the second modulus of the second remainder corresponding to each signer, personal identification information having a similar relationship, and the second modulus of the second remainder with each other. and the reciprocal obtained from the prime public identification information.
By taking the remainder by the modulus of the first remainder, signature information is calculated and provided to each corresponding signer, and the modulus of the first remainder, each personal identification information, and the public identification information are calculated. and a center management means for disclosing the modulus of the second remainder, and a communication with an authentication code from the previous signer's terminal in each terminal to be operated by each signer. a first compression conversion means for compressing and converting information; and multiplying the output of the first compression conversion means by the product of the personal secret information input by the signer of the current terminal and the signature information, and 1
An authentication code for the signer of the current terminal is created by calculating the remainder with the modulus of the remainder of If there is a terminal, the first exponent remainder calculation means sends the information to the terminal; if not, the first exponent remainder calculation means sends it to the terminal to be operated by the approver, and the received authentication is stored in the terminal to be operated by the approver. Among the child-attached communication information, the authentication code-attached communication information to which the authenticator of the signer immediately before the signer whose signature is to be verified is added is compressed and converted, and the compression conversion means has the same characteristics as the first compression conversion means. The output of the second compression conversion means is multiplied by the personal identification information of the signer who wants to confirm the signature input by the approver and the second compression conversion means, and the output of the second compression conversion means is multiplied by the first remainder. a second exponentiation remainder calculation means for calculating a remainder by the number of exponentiations; If the outputs of the third power remainder calculation means that calculates the remainder modulo 1 and the outputs of the second and third power remainder calculation means match, the authenticator identifies the correct signer. and a discriminating means for discriminating that it has been added by.

〔産業上の利用分野〕[Industrial application field]

本発明は、暗号技術を用いたデジタル署名装置に係り、
更に詳しくは、複数人の署名を可能とするためのデジタ
ル多重署名装置に関する。The present invention relates to a digital signature device using cryptographic technology,
More specifically, the present invention relates to a digital multiple signature device that allows multiple people to sign signatures.

9 10 〔従来の技術〕 稟議書、購入依頼伝票等、オフィス内で扱う文書には、
決裁のために複数人の承認が必要とする場合が多い。現
在の紙を用いる文書の場合、日付印や印鑑を押してなら
べている。9 10 [Conventional technology] Documents handled in the office, such as approval documents and purchase request slips, are
Approval from multiple people is often required for approval. In the case of current paper documents, they are lined up with a date stamp or seal stamped on them.

ところで、オフィスのOA化が進み、パソコン端末上で
、伝票の発行や伝票の承認を行うことが可能になってき
ている。この場合、従来の署名や捺印に変わるものが必
要となってくる。デジタル信号で署名を行う場合、容易
に複写が可能なため、暗号化技術をベースにしたデジタ
ル署名技術が用いられる。デジタル署名技術での要件は
、署名者が署名後、署名事実の否認ができない,署名の
確認をする者の偽造が不可能である.第三者が偽造が不
可能であるの3点である。その上で複数の署名を行う、
つまり多重署名を行った場合に、署名人数が増加しても
、署名ブロックの増加が少なく、容易に署名事実が確認
できるデジタル署名方式が望まれる。Incidentally, with the advancement of office automation, it has become possible to issue slips and approve slips on personal computer terminals. In this case, an alternative to traditional signatures and seals is required. When signing a digital signal, a digital signature technology based on encryption technology is used because it can be easily copied. The requirements for digital signature technology are that the signer cannot deny the fact of the signature after signing, and that the person verifying the signature cannot forge it. There are three points: it is impossible for a third party to forge it. Sign multiple signatures on it,
In other words, when performing multiple signatures, even if the number of signers increases, there is a need for a digital signature system that does not increase the number of signature blocks and allows easy verification of signatures.

従来のデジタル署名方式を、単数人の署名の場合、複数
人の署名の場合の順に説明する。Conventional digital signature systems will be explained in the order of the case of a single person's signature and the case of multiple people's signatures.

まず、単数人による従来のデジタル署名方式を第5図に
示す。この例は、送信側iから受信側jに通信文を送る
際に、デジタル的に署名を行う場合である。First, FIG. 5 shows a conventional digital signature system performed by a single person. In this example, a digital signature is applied when sending a message from sender i to receiver j.

送信者はi側より通信文(平文)Mを、i側とj側の共
通の秘密鍵k口を用い、501で圧縮変換関数h(*)
を用いて圧縮し、S=h (M)を得る。The sender receives the message (plaintext) M from the i side, uses the secret key k common to the i side and the j side, and converts it to the compression conversion function h(*) at 501.
is used to obtain S=h (M).

次に、RSA暗号のi側の秘密鍵klsを用い、502
で復号処理SIGi=D(h(M))=S”’(mod
 ni)を行い、署名文(認証子) SIGiとしてj
側に送信する。Next, using the i-side private key kls of the RSA encryption, 502
The decoding process SIGi=D(h(M))=S"'(mod
ni) and send the signature (authenticator) as SIGi.
Send to the side.

ここで、rx(mod y)」又はrxmody」は、
Xを剰余の法の数yで割った余りを求める演算であり、
以下同様とする。また、送信者は公開鍵kip及び剰余
の法の数niを公開する。Here, "rx(mod y)" or "rxmody" is
It is an operation to find the remainder when X is divided by the modulus number y of the remainder,
The same shall apply hereinafter. The sender also discloses the public key kip and the modulus number ni of the remainder.

j側では、受信したメッセージMを共通の秘密鍵klj
を用い、503で圧縮変換TI=h(M)を行い出力T
Iを得る。On the j side, the received message M is used as a common secret key klj
is used, compression conversion TI=h(M) is performed in 503 and output
Get I.

また、認証子SIGiに対しては、公開鍵ki2を用い
、504で暗号処理T2=SIG,”p(mod nl
)を11 12 行い、出力T2を得る。Further, for the authenticator SIGi, using the public key ki2, cryptographic processing T2=SIG,"p(mod nl
) is performed 11 12 to obtain output T2.

そして、505でTIとT2が一致した時署名が正しい
とする。Then, when TI and T2 match in 505, it is assumed that the signature is correct.

なお、501,503での圧縮変換技術には、DESア
ルゴリズムのCFBモードを用いている。また、剰余の
法の数n1は、大きな素数Pt+ Qiの積で、K+s
*Ktp=1 mod LCM(Pt 1+Qt 1)
とする。但し、LCM (x , y)は、x.ayの
最小公倍数を求める演算であり、以下同様とする。Note that the CFB mode of the DES algorithm is used as the compression conversion technology in 501 and 503. Also, the modulus number n1 of the remainder is the product of large prime numbers Pt+Qi, K+s
*Ktp=1 mod LCM (Pt 1+Qt 1)
shall be. However, LCM (x, y) is x. This is an operation to find the least common multiple of ay, and the same applies hereafter.

次に、複数人による従来のデジタル署名方式を第6図を
用いながら説明する。ここでは、上述のの単数によるデ
ジタル署名方式を基本として、それを縦続に積み重ねた
構成を有する。Next, a conventional digital signature system by multiple people will be explained using FIG. 6. Here, the above-mentioned digital signature method using the singular number is used as a base, and the digital signature method is stacked in series.

ここでは簡単のため、i=1〜i=kのk人の署名を、
i=1から順次求める場合について説明する。For the sake of simplicity, we will use the signatures of k people from i=1 to i=k.
The case where the values are calculated sequentially starting from i=1 will be explained.

始めに、i=1の送信者は、署名したいメッセージMを
、i=1の送信者と決裁者j(署名の確認を行う者)の
共通の秘密鍵kljで、第5図の場合と同様に圧縮変換
関数hO)を用いて圧縮し、H+=h(M)とする。i
前の送信者は、自己の秘密鍵klsを用いて第5図の場
合と同様に、剰余の法nl上で上記Hlを巾乗剰余演算
し、署名文(認証子) SIG+= H,”’ mod
 n,を求める。そして、この認証子SIG1をメッセ
ージMに付加して、次の署名者i=2に送る。以上の動
作は、第6図STEP 1で示される。First, the sender with i=1 sends the message M that he wants to sign using the private key klj shared by the sender with i=1 and the approver j (the person who confirms the signature), as in the case of FIG. is compressed using a compression conversion function hO), and H+=h(M). i
The previous sender uses his own private key kls to perform a modular exponentiation operation on the above Hl on the modulus nl of the remainder, as in the case of Fig. 5, and writes a signature text (authenticator) SIG+=H,''' mod
Find n. Then, this authenticator SIG1 is added to the message M and sent to the next signer i=2. The above operation is shown in STEP 1 in FIG.

続いて、i=2の送信者は、上記メッセージHにSIG
,が付加されたもの( ’M llsIG+Jと表す)
を電文と考え、i=1の場合と同様の操作を行う。すな
わち、i=2の送信者と決裁者jの共通の秘密鍵k2j
で、圧縮関係れ(*)を用いて圧縮し、o2=h (M
 ItSIG+ )とする。i・2の送信者は、自己の
秘密鍵k’sを用いて、剰余の法n2上で上記H2を巾
乗剰余演算し、認証子SIG2=H2k2’ mod 
n2を求める。ソシて、この認証子SIG2をメッセー
ジM II SIG,に付加してM II SIG. 
II SIG2とし、次の署名者i二3に送る。Subsequently, the sender of i=2 sends SIG to the above message H.
, is added (expressed as 'M llsIG+J)
is considered to be a message, and the same operation as in the case of i=1 is performed. In other words, the common secret key k2j of the sender of i=2 and the approver j
Then, compress using the compression relation (*), o2=h (M
ItSIG+). The sender of i.2 uses his own private key k's to perform a modular exponentiation operation on the above H2 on the modulus n2, and obtains the authenticator SIG2=H2k2' mod
Find n2. Then, this authenticator SIG2 is added to the message M II SIG, and the message M II SIG.
II SIG2 and send to the next signer i23.

以上の動作は、第6図STEP 2で示される。The above operation is shown in STEP 2 in FIG.

以下、i=3〜i=kの各署名者についても同様の操作
(第6図のSTEPkまでの操作)を行う。Hereinafter, similar operations (operations up to STEPk in FIG. 6) are performed for each signer from i=3 to i=k.

一方、決裁者j(第5図のjに対応)による上述の多重
署名されたメッセージの各署名(認証子)I3 1 4一 SIG+ (i=1〜k)の確認は、以下のようにして
行われる。On the other hand, confirmation of each signature (authenticator) I3 1 4-SIG+ (i=1 to k) of the multi-signed message described above by approver j (corresponding to j in Fig. 5) is performed as follows. It will be done.

すなわち、任意の認証子SIG. (i=l〜kの何れ
か)を確認する場合、srci以前のメソセージM I
IsIG,II SIG2 II・・・lsIGt司に
対し、署名者iと決裁者jの共通の秘密鍵kijで、第
5図503と同様に圧縮変換T1=h(M 11 SI
GI II SIG2 II・・・IIsIGI−1)
を行い、出力T1を得る。That is, any authenticator SIG. (i = any one of l to k), message MI before srci
IsIG,II SIG2 II...IsIGt is the common secret key kij of the signer i and the approver j, and compression conversion T1=h(M 11 SI
GI II SIG2 II...IIsIGI-1)
and obtain the output T1.

一方、認証子SIGIに対しては、公開鍵kipで、第
5図504と同様に暗号処理T 2 =SIGi”’(
mod n+)を行い、出力T2を得る。On the other hand, for the authenticator SIGI, the public key kip is used to perform cryptographic processing T 2 =SIGi''(
mod n+) to obtain output T2.

そして、第5図505と同様、T1とT2が一致した時
署名が正しいとする。Similarly to 505 in FIG. 5, it is assumed that the signature is correct when T1 and T2 match.

なお、第5図の場合と同様、上述の圧縮技術には、DE
SアルゴリズムのCFBモードを用いている。Note that, as in the case of FIG. 5, the above compression technique includes DE
The CFB mode of the S algorithm is used.

また、i=1〜kに対し、剰余の法の数n1は、大きな
素数p+.qiの積で、kls*klp=1 mod 
LCM(Pt−+,Q+−+)  とする。Also, for i=1 to k, the modulus number n1 of the remainder is a large prime number p+. The product of qi, kls*klp=1 mod
Let it be LCM(Pt-+, Q+-+).

〔発明が解決しようとする課題〕[Problem to be solved by the invention]

しかし、上記従来例では、署名者が通信文に署名した後
に秘密鍵kisを盗まれて署名されたと主張すれば、受
信者はそれを否定できないという問題点を有している。However, the above-mentioned conventional example has a problem in that if the signer claims that the private key kis was stolen after signing the message and the signature was signed, the recipient cannot deny this.

また、署名相手i=1〜k毎に、秘密鍵kis、公開鍵
k,..、それに対応する剰余の法の数n,を保管する
必要がある。特に、署名相手毎に、剰余の法の数ntを
変更する必要がある。なぜならば、RSA暗号は、大き
な素数の積からなるniが容易に素因数分解できないこ
とを暗号強度の根拠にしている暗号系であるが、秘密鍵
k1sと公開鍵klpの組を持つユーザは、同し剰余の
法ni上の公開鍵k仲′(零は任意、以下同し)からそ
れに対応する秘密鍵k’sをn.を素因数分解すること
なく容易に作戒することができるからである。これは、
例えば文献: J.M.DeLaurentis,”A
 FURTHER WEAKNESS INTHE C
OMMON MODULUS PROTOCOL FO
R THE RSA CRYPTOALGQTITHM
,”  CRYPTOLOGIA,  vol.8, 
 No.3,  July1983に示されている。Further, for each signing party i=1 to k, a private key kis, a public key k, . .. , it is necessary to store the corresponding modulus number n of the remainder. In particular, it is necessary to change the modulus number nt for each signing party. This is because RSA cryptography is a cryptosystem whose strength is based on the fact that ni, which is a product of large prime numbers, cannot be easily factorized, but a user with a pair of private key k1s and public key klp has the same From the public key k' (zero is arbitrary, the same applies hereinafter) on the modulus ni of the remainder, the corresponding private key k's is set to n. This is because it can be easily determined without factoring it into prime factors. this is,
For example, the literature: J. M. DeLaurentis, “A.
FURTHER WEAKNESS INTHE C
OMMON MODULUS PROTOCOL FO
R THE RSA CRYPTOALGQTITHM
,” CRYPTOLOGIA, vol.8,
No. 3, July 1983.

1 5一 16 よって、ユーザ毎に法nlを変更しなければならず、署
名相手毎にn{を用意する必要が生し、管理が大変であ
るという問題点を有している。1 5 - 16 Therefore, it is necessary to change the modulus nl for each user, and it is necessary to prepare n{ for each signing party, which poses a problem in that management is difficult.

本発明は、各ユーザ毎に剰余の法の数を変更することが
不要で、かつ署名の偽造が不可能に近く、ユーザ毎の管
理が容易なデジタル多重署名を実現することを目的とす
る。An object of the present invention is to realize a digital multiple signature that does not require changing the number of remainder moduli for each user, makes it nearly impossible to forge a signature, and is easy to manage for each user.

〔課題を解決するための手段〕[Means to solve the problem]

第1図は、本発明のブロック図である。本発明は、通信
情報旧こ、44〜kの複数の署名者が多重に署名を行っ
て決裁者に送信し、決裁者が通信情報Hの受信と各署名
者の署名SIGI〜SIGkの確認を行うデジタル多重
署名方式を前提とする。FIG. 1 is a block diagram of the present invention. In the present invention, a plurality of signers of communication information 44-k multiplexly sign their signatures and send them to the approver, and the approver receives the communication information H and confirms the signatures SIGI-SIGk of each signer. This assumes a digital multiple signature method.

まず、センタ管理手段101は、十分に大きな値の2つ
の素数p,qの積で規定される第1の剰余の法の数nと
、該法の数上でそれと互いに素な任意の数を巾乗してl
となる指数値である第2の剰余の法の数Lとを管理する
。例えばn, Lは、を満たす。ここで、LCMは最小
公倍数を求める演算である。First, the center management means 101 calculates the first remainder modulus number n defined by the product of two sufficiently large prime numbers p and q, and any number that is coprime to it on the modulus number. Cross over l
The second remainder modulus number L, which is the exponent value, is managed. For example, n and L satisfy. Here, LCM is an operation for finding the least common multiple.

そして、センタ管理千段101は、各署名者に対応し第
2の剰余の法の数Lと互いに素な個人秘密情報PW.か
ら求まる逆数PWI−’と、同様に各署名者に対応し第
2の剰余の法の数Lと互いに素な個人識別情報ID+ 
と、第2の剰余の法の数Lと互いに素な公開識別情報■
Dcから求まる逆数IDC−’と、の3数の積に対し第
2の剰余の法の数Lで剰余をとることにより署名情報S
.を演算する。すなわち、を演算する。そして、これを
対応する各署名者に提供する。Then, the center management 101 stage 101 stores personal secret information PW that is disjoint with the second remainder modulus L and corresponds to each signer. Similarly, the reciprocal number PWI-' obtained from
and public identification information that is disjoint with the modulus L of the second remainder ■
The signature information S is obtained by taking the remainder by the second remainder modulus L for the product of the three numbers of the reciprocal IDC-' found from Dc.
.. Calculate. That is, calculate. This is then provided to each corresponding signer.

また、センタ管理手段101は、第1の剰余の法の数n
、各個人識別情報ID.及び公開識別情報IDCを公開
し、第2の剰余の法の数Lは非公開とする。The center management means 101 also controls the number n of moduli of the first remainder.
, each personal identification information ID. and the public identification information IDC are made public, and the modulus number L of the second remainder is kept private.

次に、各署名者が操作すべき端末102内に、l7 18 第1の圧縮変換手段105と第1の巾乗剰余演算手段1
04を有する。第1図では、署名者iの端末102につ
いて示すが、他の署名者1〜kの各端末102について
も同様である。Next, in the terminal 102 to be operated by each signer, a first compression conversion means 105 and a first exponentiation remainder calculation means 1 are installed.
It has 04. Although FIG. 1 shows the terminal 102 of signer i, the same applies to each of the terminals 102 of other signers 1 to k.

第1の圧縮変換手段105は、1つ前の署名者i−1の
端末102からの認証子が付加された通信情報M II
 SIGI I1・・・llsIG+−+を圧縮変換す
る。The first compression conversion means 105 converts the communication information M II to which the authentication code from the terminal 102 of the previous signer i-1 is added.
SIGI I1...llsIG+-+ is compressed and converted.

すなわち、例えばhをハッシング関数として、+1i=
(M If SIG+ II・・・ll SIGt −
 I)    ・・・(0を演算する。なお、現端末1
02が署名者1の場合は、通信情報Hを圧縮変換する。That is, for example, if h is a hashing function, +1i=
(M If SIG+ II...ll SIGt -
I) ...(Calculate 0. Note that the current terminal 1
If 02 is the signer 1, the communication information H is compressed and converted.

第1の巾乗剰余演算手段104は、現端末102の署名
者iから入力させた個人秘密情報PWtと署名情報S1
の積で第1の圧縮変換手段の出力Hiを巾乗し、第1の
剰余の法の数0で剰余を演算して現端末102の署名者
iの認証子STGIを作或する。The first power remainder calculation means 104 calculates the personal secret information PWt input from the signer i of the current terminal 102 and the signature information S1.
The output Hi of the first compression conversion means is multiplied by the product of , and the remainder is calculated by the modulo number 0 of the first remainder to create the authenticator STGI of the signer i of the current terminal 102.

すなわち、 を演算する。That is, Calculate.

そして、第1の巾乗剰余演算手段104は、上記認証子
SIGiを、1つ前の署名者i−1の端末102からの
認証子が付加された通信情報M i SIG, I1・
・・IIsIG.司に付加して、M II SIG, 
II・・・11SIG.とし、次の署名者の端末102
があれば該端末に送り、なければ(署名者kの場合)、
決裁者の端末103に送る。Then, the first exponentiation remainder calculation means 104 converts the authentication code SIGi into communication information M i SIG, I1・to which the authentication code from the terminal 102 of the previous signer i-1 is added.
...IIsIG. In addition to Tsukasa, M II SIG,
II...11SIG. and the next signer's terminal 102
If there is, send it to the terminal, if not (in case of signer k),
It is sent to the terminal 103 of the approver.

次に、決裁者が操作すべき端末103内には、第2の圧
縮変換手段106、第2及び第3の巾乗剰余演算手段1
07及び10B、並びに判別手段109を有する。Next, in the terminal 103 to be operated by the approver, there is a second compression conversion means 106, second and third exponentiation remainder calculation means 1.
07 and 10B, and a discrimination means 109.

第2の圧縮変換手段106は、受信した署名者1〜kま
での認証子付き通信情報M II SIG, II・・
・11sIGhのうち、署名の確認を行いたい署名者の
1つ前の署名者までの認証子が付加された認証子付き通
信情報を圧縮変換し、第1の圧縮変換千段105と同一
特性である。すなわち、例えば署名の確認を行いたい署
名者がiの場合、前述と同様のハッシング関数hにより
、 1{,=h(M11SIG+ll=llSIGt−+)
    −−−(e)を演算する。The second compression conversion means 106 converts the received authentication code-attached communication information M II SIG, II... of the signers 1 to k.
・Among 11sIGh, the communication information with the authentication code to which the authentication code of the signer immediately before the signer whose signature is to be verified is added is compressed and converted, and the same characteristics as the first compression conversion 105 stages are performed. be. That is, for example, if the signer whose signature you want to verify is i, using the same hashing function h as described above, 1{,=h(M11SIG+ll=llSIGt-+)
--- Calculate (e).

19 20 第2の巾乗剰余演算手段107は、決裁者から入力させ
た署名の確認を行いたい署名者の個人識別情報で第2の
圧縮変換手段106の出力H,.を巾乗し、第1の剰余
の法の数nで剰余を演算する。19 20 The second exponentiation remainder calculation means 107 outputs the outputs H, . is raised to the power, and the remainder is calculated using the modulo number n of the first remainder.

すなわち、例えば署名の確認を行いたい署名者がiの場
合、個人識別情報ID1を用いて、を演算する。That is, for example, if the signer whose signature is to be verified is i, the personal identification information ID1 is used to calculate .

第3の巾乗剰余演算手段108は、決裁者から入力させ
た公開識別情報■Dcで、受信した署名の確認を行いた
い署名者の認証子を巾乗し、第1の剰余の法の数nで剰
余を演算する。すなわち、例えば署名の確認を行いたい
署名者がiの場合、認証子SIGNを用いて、 を演算する。The third power remainder calculating means 108 powers the authentication code of the signer whose received signature is to be verified by the public identification information ■Dc inputted by the approver, and calculates the modulus of the first remainder. Calculate the remainder with n. That is, for example, if the signer whose signature is to be verified is i, the following is calculated using the authenticator SIGN.

そして、判別手段109は、第2及び第3の巾乗剰余演
算手段107、108の各出力TI,T2が一致した場
合に、確認を行っている認証子例えばSIGIは正しい
署名者によって付加されたと判別する。Then, when the respective outputs TI and T2 of the second and third exponentiation remainder calculating means 107 and 108 match, the determining means 109 determines that the authenticator being verified, for example, SIGI, has been added by the correct signer. Discern.

上述の構或において、公開識別情報IDCは、例えばセ
ンタ管理手段の識別番号であるが、そのほかに署名情報
Siの発行番号、発行月日等を掛け合わせたものでもよ
い。In the above structure, the public identification information IDC is, for example, the identification number of the center management means, but it may also be a product obtained by multiplying the number of the signature information Si, the date of issue, etc.

また、公開識別情報IDCを省いて、個人秘密情報PW
Iと個人識別情報ID1のみの組合わせにしてもよく、
この場合は、第1図の第3の巾乗剰余演算手段108は
省略できる。In addition, the public identification information IDC is omitted, and the personal secret information PW
It may be a combination of only I and personal identification information ID1,
In this case, the third power remainder calculation means 108 in FIG. 1 can be omitted.

同様に、個人識別情報IDiを省いて、個人秘密情報P
Wtと公開識別情報IDCのみの組合わせにしてもよく
、この場合は、第1図の第2の巾乗剰余演算手段107
は省略できる。Similarly, by omitting the personal identification information IDi, the personal confidential information P
It is also possible to combine only Wt and the public identification information IDC; in this case, the second exponentiation remainder calculation means 107 in FIG.
can be omitted.

一方、第1及び第2の圧縮変換手段105、l06にお
いて、署名者と決裁者の間で共通の秘密鍵を用いて圧縮
を行うようにすれば更に安全性が高まる。On the other hand, if the first and second compression conversion means 105 and l06 perform compression using a common secret key between the signer and the approver, security will be further improved.

なお、第1図の第2及び第3の巾乗剰余演算手段107
及び108は、特には図示しない切り換え可能な1つの
巾乗剰余演算手段で共用されるよ21 22 うにしてもよい。Note that the second and third exponentiation remainder calculation means 107 in FIG.
and 108 may be shared by one switchable exponentiation remainder calculation means (not shown).

〔作  用〕[For production]

第1図の署名者iの端末102の第1の巾乗剰余演算手
段104で付加される認証子SIGiについて以下に考
察してみる。The authenticator SIGi added by the first exponent remainder calculation means 104 of the terminal 102 of signer i in FIG. 1 will be considered below.

まず、(a)式より、 H. mod n 4           − − 
−(h)が成り立つ。First, from equation (a), H. mod n 4 - -
-(h) holds true.

一方、(b)式より、 とおけば(yは左辺をLで割った商を表す)、一liI
 L * V ” S i )  m o d nH,
 ”ymad n  −H,S’ mod n−  −
 ・(i)となる。ここで、(h)式より、 H4”’ mod n =1 となるから、(i)式より、 が或り立つ。従って、前記(d)式は、54G,=H,
PWlmIDc  申IDi′IPI′IIIIlod
nH,IDcmlDl mOdn.  .  . (j
)となる。On the other hand, from equation (b), if we set (y represents the quotient obtained by dividing the left side by L), -liI
L * V ” S i ) m o d nH,
``ymad n -H,S' mod n- -
・(i) becomes. Here, from equation (h), H4''' mod n = 1, so from equation (i), the following holds.Therefore, equation (d) above becomes 54G,=H,
PWlmIDc IDi'IPI'IIIlod
nH, IDcmlDl mOdn. .. .. (j
).

従って、正しい署名者iにより付加される認証子は、上
述の(j)式を満たしている。Therefore, the authenticator added by the correct signer i satisfies the above equation (j).

ゆえに、第1図の決裁者の端末103の第3のlJ乗剰
余演算手段108で、前述の(g)弐の演算を行うと、
その出力T2は、正しい署名に基づく認証子SIG.が
入力する限り、(g), (j)弐より、72=H%D
c    *IDI* 夏”  mod  nH,”’
 mod n         ・・・(k)となる。Therefore, when the third lJ power remainder calculation means 108 of the approver's terminal 103 in FIG. 1 performs the above-mentioned calculation (g) 2,
The output T2 is the authenticator SIG. based on the correct signature. As long as is input, from (g), (j)2, 72=H%D
c *IDI* Summer” mod nH,”’
mod n...(k).

一方、第2の圧縮変換手段106を介して、第2の巾乗
剰余演算手段107から出力されるT1は、前述の(f
)式で求まるが、第1の圧縮変換千段105と第2の圧
縮変換手段106の特性が同しことより、通信情報が正
しく送られれば、(C), (e)式において、 Hl−H , が或り立つ。従って、(f)式は、 23 24 T1−Hl1Dl modn            
・ ・ ・(i)となる。On the other hand, T1 outputted from the second power remainder calculation means 107 via the second compression conversion means 106 is
), but since the characteristics of the first compression conversion stage 105 and the second compression conversion means 106 are the same, if the communication information is sent correctly, in equations (C) and (e), Hl- H, stands. Therefore, equation (f) is: 23 24 T1-Hl1Dl modn
・ ・ ・(i).

(k)式及び(j2)式の関係より、判別手段10っで
、T1=T2と判別されれば、認証子SIGIは、正し
い署名者iによって付加されたものであると判別できる
If the determining means 10 determines that T1=T2 from the relationship between equations (k) and (j2), it can be determined that the authenticator SIGI was added by the correct signer i.

ここで、各署名者44〜kによる署名時(認証子の作戒
時)及び決裁者による署名確認時に必要な剰余の法の数
は、第1の剰余の法の数nの1種類だけでよい。そして
、センタ管理手段101は、第2の剰余の法の数Lを公
開していないため、もし署名情報S1が盗まれても、前
述の(b)式の関係より、第1の剰余の法の数0からは
個人秘密情報PWI等を知ることができないため、認証
子SIGiの偽造は不可能に近く、非常に安全性が高い
Here, the number of remainder modulus required at the time of signature by each signer 44 to k (at the time of correcting the authenticator) and at the time of signature confirmation by the approver is only one type, which is the number n of the first remainder modulus. good. Since the center management means 101 does not disclose the second remainder modulus L, even if the signature information S1 is stolen, the first remainder modulus Since the personal secret information PWI etc. cannot be known from the number 0, it is almost impossible to forge the authenticator SIGi, and the security is extremely high.

この場合、各署名者は、比較的ガードが緩くてよい署名
情報S.と個人識別番号rD+のほかに、覚えやすいパ
スワード等の個人秘密情報PWiを管理するだけでよく
、従来例の如く各ユーザ毎に剰余の法の数を管理する必
要がないため、各ユーザによる管理が容易になる。In this case, each signer uses signature information S. In addition to personal identification number rD+, it is only necessary to manage personal secret information PWi such as an easy-to-remember password, and there is no need to manage the number of modulus of remainder for each user as in the conventional case, so management by each user is easy. becomes easier.

〔実  施  例〕〔Example〕

以下、図面を参照しながら本発明の実施例を説明する。 Embodiments of the present invention will be described below with reference to the drawings.

第2図(a). (b). (C)は本発明の実施例の
構戒図である。Figure 2(a). (b). (C) is a structural diagram of an embodiment of the present invention.

第2図(a)は、センタ201の構或図である。FIG. 2(a) is a diagram showing the structure of the center 201. FIG.

PWjD検査登録回路202は、ユーザiが入力した個
人識別番号IDtにつき、後述する条件を満たすか否か
検査し、条件を満たせばG信号(Good)を出力し、
登録情報ファイル203に登録する。The PWjD test registration circuit 202 tests whether the personal identification number IDt input by the user i satisfies the conditions described below, and outputs a G signal (Good) if the conditions are satisfied.
It is registered in the registration information file 203.

条件が満たされない場合は、NG信号(No Good
)を出力し、再入力待ちとなる。また、同しユーザiが
入力したパスワードPlt1、についても同様の処理を
行う。If the conditions are not met, an NG signal (No Good
) and waits for re-input. Further, the same process is performed for the password Plt1 input by the same user i.

秘密情報演算回路204では、登録情報ファイル203
に登録されたパスワードPW,の逆数を求め、登録情報
ファイル203へ登録する。In the secret information calculation circuit 204, the registration information file 203
The reciprocal of the password PW, registered in , is obtained and registered in the registration information file 203.

また、センタ識別番号IDCについてもセンタ225 26 01は独自に発生し、Pld,ID登録回路202で検
査を行う。そして、合格した場合は、登録情報ファイル
203へ登録した後、秘密情報演算回路204でIDC
の逆数を求め登録情報ファイル203へ格納する。Also, the center 225 26 01 independently generates the center identification number IDC, and checks it in the Pld, ID registration circuit 202. If it passes, it is registered in the registration information file 203, and then the secret information calculation circuit 204 performs IDC processing.
The reciprocal of is calculated and stored in the registration information file 203.

センタのIDCは、各ユーザのIDiおよび剰余の法の
数n (後述する)とともに公開される。The center's IDC is published along with each user's IDi and the modulus number n of the remainder (described later).

センタ201は、ユーザiから、署名情報SIの要求が
あった場合は、登録情報ファイル203、及びセンタ秘
密ファイル205に格納してあるデータを用いて後述す
る計算を行い、署名情報Stを求めてユーザiへ発行す
る。When the center 201 receives a request for the signature information SI from the user i, the center 201 calculates the signature information St using the data stored in the registration information file 203 and the center secret file 205 to obtain the signature information St. Issue to user i.

登録情報ファイル203には、個人識別番号ID+、そ
れに対応するパスワードPWi とその逆数、センタ識
別番号IDCとその逆数および、公開情報nが登録され
ている。Registered in the registration information file 203 are a personal identification number ID+, a corresponding password PWi and its reciprocal, a center identification number IDC and its reciprocal, and public information n.

センタ秘密ファイル205には、素数P.Q,LLCM
(p−1,q−1)が格納されている。The center secret file 205 contains prime numbers P. Q, LLCM
(p-1, q-1) is stored.

各ユーザのID+ .センタのIDc , nは公開す
るが、PWi 、その逆数、及びIDCの逆数は秘密情
報として公開しない。Each user's ID+. The IDc and n of the center are disclosed, but the PWi, its reciprocal, and the reciprocal of the IDC are not disclosed as secret information.

第2図(b)は、署名作或をするユーザの署名装置20
7の構或図である。FIG. 2(b) shows the signature device 20 of a user who creates a signature.
This is a diagram showing the structure of No. 7.

ユーザiが、送信メッセージM、及び情報圧縮のための
共通の秘密鍵KiJを入力すると、圧縮変換回路208
でメッセージMを圧縮変換したデータH+を得る。When user i inputs the transmission message M and the common secret key KiJ for information compression, the compression conversion circuit 208
Data H+ is obtained by compressing and converting the message M.

さらにユーザiが、秘密のパスワードPIt11 とセ
ンタ発行の署名情報S,,及び公開情報のnを入力する
と、巾乗剰余演算装置209において認証子SIGiが
演算される。Further, when the user i inputs the secret password PIt11, the signature information S issued by the center, and the public information n, the exponentiation remainder calculation device 209 calculates the authenticator SIGi.

制御回路201は、以上の処理を制御する。同回路は、
署名終了後、メッセージにSIGiを付加し、さらに署
名が必要ならば次の一ザに送り、署名が自分で終了なら
ば決裁者であるユーザjに送付する。The control circuit 201 controls the above processing. The circuit is
After the signature is completed, SIGi is added to the message, and if a signature is required, the message is sent to the next user, and if the signature is completed by the user, it is sent to the user j who is the approver.

第2図(C)は、署名確認を行うユーザの署名確認装置
211の構或図である。FIG. 2(C) is a block diagram of a user signature verification device 211 that performs signature verification.

受信した署名のための認証子付きメッセージの任意の認
証子SIG+ ( + =1−kの何れか)を確認す2
7 28 るために、先ず、署名確認装置211に、SIGz−+
までのメッセージ(i=1のときは電文Mのみ)、及び
ユーザiの個人識別番号IDi、及び圧縮情報作或のた
めの共通鍵KiJが入力される。Check the arbitrary authenticator SIG+ (+ = any one of 1-k) of the message with authenticator for the received signature 2
7 28 First, the signature verification device 211 is
The messages up to (when i=1, only the message M), the personal identification number IDi of user i, and the common key KiJ for creating compressed information are input.

そして、圧縮変換装置212でSTG+ − +までの
メッセージを圧縮変換し、H,を得る。さらに切換回路
213を介して巾乗剰余演算装N214で、Hrに対し
、ID1を巾数として法nで巾乗剰余演算を行い確認情
報T1をうる。Then, the compression conversion device 212 compresses and converts the messages up to STG+ - + to obtain H. Further, via the switching circuit 213, a power remainder calculation unit N214 performs a power remainder calculation on Hr using ID1 as the width number and modulus n to obtain confirmation information T1.

次に、巾乗剰余演算装置214には切換回路213を介
して認証子SIGfが入力され、SIGtに対して、セ
ンタ識別番号IDCを巾数として法nで巾乗剰余演算を
行い確認情報T2をうる。Next, the authentication code SIGf is inputted to the power remainder calculation device 214 via the switching circuit 213, and the power remainder calculation is performed on SIGt with the center identification number IDC as the width number, modulo n, and confirmation information T2 is obtained. sell.

TI,T2は、各記憶装置215,216に蓄えられ、
その後、比較装置217及び判定回路218で一致する
かどうか確認し、一致する場合は、G(Good)を出
力し、そうでない場合は、NG(No Good)信号
を出力する。制御回路219は、以上の処理を制御する
TI, T2 are stored in each storage device 215, 216,
Thereafter, a comparison device 217 and a determination circuit 218 check whether they match. If they match, a G (Good) signal is output, and if not, an NG (No Good) signal is output. The control circuit 219 controls the above processing.

上記第2図の実施例の動作を以下に説明する。The operation of the embodiment shown in FIG. 2 will be described below.

まず、第1段階として、會名情報配付動作につき説明す
る。この動作は以下の■,■の処理からなる。First, as a first step, the meeting name information distribution operation will be explained. This operation consists of the following processes ① and ②.

■ k人のユーザを管理する第2図(a)のセンタ20
1では、ユーザi(i=1〜k)から名前、生年月日等
からなる個人識別番号ID.及びパスワードPW,が登
録される。■ Center 20 in Figure 2 (a) that manages k users
1, a personal identification number ID.1 consisting of a name, date of birth, etc. is sent from user i (i=1 to k). and password PW, are registered.

センタ201では、特には図示しない手段により、25
6ビット程度の大きな素数p,qを発生し、n”p.q
              ・・・(1)L = L
CM ( p−1,q−1 )         ・・
・(2)を計算する。I),Q,Lはセンタ201の秘
密情報であり、センタ秘密ファイル205に記憶される
In the center 201, 25
Generate large prime numbers p and q of about 6 bits, and n”p.q
...(1) L = L
CM (p-1, q-1)...
・Calculate (2). I), Q, and L are secret information of the center 201 and are stored in the center secret file 205.

一方、nは公開される。  ゛ 次に、Pl1、 ID検査登録回路202(第2図(a
))において、ユーザiから登録されたIDi及びPW
Iの各々につき、まず、秘密情報Lと互いに素であるか
否か、及び、以・下の(3L (4)式を満足するか否
かが検査される。On the other hand, n is made public.゛Next, Pl1, ID test registration circuit 202 (Fig. 2 (a)
)), IDi and PW registered from user i
For each I, first, it is checked whether it is disjoint with the secret information L and whether it satisfies the following equation (3L (4)).

1<ID+ <L             ・・・(
3)29 30 1<PW+  <L                
 ・ ・ ・(4)上記条件を満足するならば、ID.
及びPW.を登録情報ファイル203(第2図(a))
に登録する。1<ID+<L...(
3) 29 30 1<PW+<L
・ ・ ・(4) If the above conditions are satisfied, ID.
and P.W. The registration information file 203 (Figure 2 (a))
Register.

また、センタ201は、特には図示しない手段において
、センタ識別番号■Dcを作成し、PW, ID検査登
録回路202において、上述のIDIに対する場合と同
様の検査が行われ、合格すれば登録情報ファイル203
に登録される。また、IDCは公開される。In addition, the center 201 creates a center identification number Dc by a means not particularly shown, and the PW, ID test registration circuit 202 performs a test similar to that for the above-mentioned IDI, and if it passes, a registration information file is created. 203
will be registered. Additionally, the IDC will be made public.

■ センタ201は、要求のあったユーザi(11〜k
)に下弐で示される署名情報Slを配布する。■ The center 201 sends the requested user i (11 to k
) is distributed with the signature information Sl shown in the lower part.

S+=  IDc−’ lD+−PW+−’ mod 
I−   ・・・(5)但し、IDC−’及びPltl
l−’は、以下の条件を満たすものとする。S+= IDc-'ID+-PW+-' mod
I-...(5) However, IDC-' and Pltl
It is assumed that l-' satisfies the following conditions.

IDC・IDC−’ = 1  mod L     
  ・・16)PI1li・PW+−’ = 1  m
odL 14 〜k)・・・(7)ここで、上記(6)
式及び(7)式を満たす逆数IDcPI1l.−’は、
第2図(a)の秘密情報演算回路204で演算される。IDC・IDC-' = 1 mod L
・・16) PI1li・PW+-' = 1 m
odL 14 ~k)...(7) Here, the above (6)
Reciprocal IDcPI1l. that satisfies equations and equations (7). -' is
The secret information calculation circuit 204 shown in FIG. 2(a) performs the calculation.

そして、上述の(5)式は、第2図(a)の署名情報演
算回路206で演算される。The above equation (5) is then calculated by the signature information calculation circuit 206 of FIG. 2(a).

以上のセンタ201での動作結果を第3図201として
示す。The result of the above operation at the center 201 is shown as 201 in FIG.

次に、第2段階として、多重署名の作或動作につき説明
する。ここでは、k人のユーザt(i=1〜k)が、第
2図(b)の署名装置207によって、通信メッセージ
Hに対して多重署名を行う方法を示す。各ユーザi(i
−1〜k)は、センタへID. ,及びPWiを登録し
、署名情報SI、公開情報nを得ているものとする。ま
た各ユーザiとユーザjは、事前に共通鍵k+j(i=
1〜k)を共有しているものとする。ここでの動作は以
下の■,■,■,■の処理からなる。Next, as a second step, the operation of multiple signatures will be explained. Here, a method is shown in which k users t (i=1 to k) perform multiple signatures on a communication message H using the signature device 207 shown in FIG. 2(b). Each user i (i
-1 to k) are sent to the center with ID. , and PWi have been registered, and signature information SI and public information n have been obtained. Furthermore, each user i and user j have a common key k+j (i=
1 to k) are shared. The operation here consists of the following processes (■, ■, ■, ■).

■ ユーザ1は、第2図(b)の圧縮変換回路208に
おいて、通信メッセージMを、ユーザ1と決裁者j間の
秘密の共通鍵k+jで圧縮変換する。(2) User 1 compresses and converts communication message M using a secret common key k+j between user 1 and approver j in compression conversion circuit 208 shown in FIG. 2(b).

その結果得られた情報をH1とする。圧縮変換関数をh
0)とすると、H,=h(M) となる。The information obtained as a result is assumed to be H1. The compression conversion function h
0), then H,=h(M).

続いて、巾乗剰余演算装置209において、ユーザ1の
署名情報S,及び秘密のパスワードPW,とを用いて、
署名のための認証子SIG,が次式の31 32 ようにして演算される。Subsequently, in the exponentiation remainder calculation device 209, using the signature information S of the user 1 and the secret password PW,
The authenticator SIG for the signature is calculated as shown in the following equation 31 32 .

SIG+= (H+sImod n)”’ mod n
    − ・・(6)ここで前記(1)〜(4)式よ
り、 H ’moclL = 1           ・・
17)であり、また(5)式より、 ID.  ・ID.・P唱 −L−y+S+とおける。SIG+= (H+sI mod n)"' mod n
- (6) From the above formulas (1) to (4), H'moclL = 1.
17), and from equation (5), ID.・ID.・Piano singing -L-y+S+.

ここで、yは左辺を17で割ったときの商である。これ
より、 1 1Dc  *lD{*PWi  mod n= 1
,(L*V″Sil mod n= H ”ymod 
n − H+” mod nとなる。上式に(7)式を
代入することにより、が成り立つ。従って、前記(6)
式は、SIG, =(HrIDc  iilDi*PW
i  mod n)PWI mod nH !DC”’
 mod n      ・・−(8)となる。Here, y is the quotient when the left side is divided by 17. From this, 1 1Dc *lD{*PWi mod n= 1
, (L*V″Sil mod n=H″ymod
n − H+” mod n. By substituting equation (7) into the above equation, the following holds true. Therefore, the above (6)
The formula is SIG, = (HrIDc ilDi*PW
i mod n) PWI mod nH! DC"'
mod n...-(8).

なお、前記(6)式の如く、オーハーフローを防ぐため
に、剰余演算は各巾乗の指数毎に分割して行われる。Note that, as in equation (6) above, in order to prevent overflow, the remainder calculation is performed by dividing each exponent of each exponent.

■ このようにして得られた認証子SIG+を署名とし
てメッセージ旧こ付加して、M I SIG.の如く次
のユーザ2に転送する。■ The authentication code SIG+ obtained in this way is added to the message as a signature, and MI SIG. Transfer to the next user 2 as shown below.

以上のユーザ1に係る署名装置207での動作結果を第
3図のユーザ1に関する207として示す。The operation result of the signature device 207 related to the user 1 described above is shown as 207 related to the user 1 in FIG.

■ ユーザ2は、ユーザ1の署名が付加されたメッセー
ジMIISIG,を電文とみなし、ユーザ1と同様の操
作を行う。すなわち、ユーザ2は、ユーザ1の場合と同
様、第2図(b)の圧縮変換回路208において、電文
MIISIG,を、ユーザ2と決裁者のユーザj間の共
通の秘密鍵K2jで、圧縮関数h0)を用いて圧縮し、
H2=h(M 11 SIG+)とずる。続いて、ユー
ザ2は、巾乗剰余演算装置209において、ユーザ2の
署名情報S2及び秘密のパスワードPlt!2を用いて
、剰余の法n上で上記H2を巾乗剰余演算し、前述の(
6)式→(8)式と同様にして、認証子SIG2H 2
1 D c  * I D 2 mod nを求める。(2) User 2 regards the message MIISIG, to which user 1's signature has been added, as a telegram, and performs the same operations as user 1. That is, as in the case of user 1, user 2 converts the message MIISIG, into a compression function using the common secret key K2j between user 2 and user j, who is the approver, in the compression conversion circuit 208 of FIG. 2(b). compressed using h0),
Suppose H2=h(M 11 SIG+). Subsequently, the user 2 enters the user 2's signature information S2 and the secret password Plt! in the exponentiation remainder calculation device 209. 2, perform the power remainder calculation on the above H2 on the modulus n of the remainder, and calculate the above
Similarly to formula 6) → formula (8), authenticator SIG2H 2
Find 1 D c * I D 2 mod n.

そして、この認証子SIG2をメッセージM ISIG
2に付加して、第3図の如< M II SIGI I
I SIG2とし、次のユーザ3に送る。Then, send this authenticator SIG2 to message M ISIG
In addition to 2, as shown in Fig. 3, < M II SIGI I
I SIG2 and send it to the next user 3.

33 34 以上のユーザ2に係る署名装置207での動作結果を第
3図のユーザ2に関する207として示す。33 34 The above operation result of the signature device 207 related to the user 2 is shown as 207 related to the user 2 in FIG.

■ 以下、同様に、各ユーザの認証子を各メッセージに
付加して、ユーザkまで署名を行う。途中の任意のユー
ザiでの動作は、上述の■又は■の処理より、次のよう
になる。(2) Similarly, each user's authentication code is added to each message, and signatures are performed up to user k. The operation of any user i during the process is as follows based on the process of (1) or (2) described above.

ユーザiは、第2図(b)の圧縮変換回路208におい
て、ユーザi−1から送られてきたメッセージM II
 SIG, l SIG2 I1・・・llsIGt−
+を、ユーザLJ間の秘密の共通鍵kiJで圧縮変換し
、o,=h (M IISIG+ll・・・llsIG
t−+)を得る。User i receives the message M II sent from user i-1 in the compression conversion circuit 208 of FIG. 2(b).
SIG, l SIG2 I1...llsIGt-
+ is compressed and converted using the secret common key kiJ between users LJ, and o,=h (M IISIG+ll...llsIG
t-+).

続いて、巾乗剰余演算装W209において、ユーザiの
署名情報SN及び秘密のパスワードPWiとを用いて、
署名のための認証子SIGiが次式めつうにして演算さ
れる。Next, in the exponentiation remainder calculation unit W209, using the signature information SN of the user i and the secret password PWi,
The authenticator SIGi for the signature is calculated according to the following formula.

SIG+=(Hi” mod n) ”’ mod n
    ・− ・(6)’前述の(6)式→(8)式と
同様にして、SIG+=81”c””  mod n 
     ・・18)’このようにして得られた認証子
SIGiを署名としてメッセージに付加し、M  I 
SIG+ II・・・lsIG1として次のユーザi+
1に送る。SIG+=(Hi” mod n) ”’ mod n
・- ・(6)'Similar to the above equation (6) → equation (8), SIG+=81"c"" mod n
...18) 'Add the authenticator SIGi obtained in this way to the message as a signature, and
SIG+ II...lsIG1 as the next user i+
Send to 1.

以上のユーザ1〜ユーザkまでの署名動作により第3図
の如く各ユーザの認証子つきのメッセージM IIsI
GII+・・・llsIGkが得られ、決裁者であるユ
ーザjに送られる。As a result of the above signature operations from user 1 to user k, a message M IIsI with each user's authenticator is created as shown in Fig. 3.
GII+...llsIGk is obtained and sent to user j who is the approver.

最後に、第3段階として、ユーザjが、第2図(C)の
署名確認装置211により、ユーザi (i4〜k)か
らの上記メッセージの受信及び任意の認証子SIG五(
i=l〜k)が正しい署名か否かの確認を行う手順につ
き説明する。ここでの動作は、以下の■の処理によって
表される。Finally, in the third step, user j receives the above message from user i (i4-k) and receives any authenticator SIG5 (
The procedure for confirming whether or not i=l to k) is a correct signature will be explained. The operation here is represented by the process (2) below.

■ ユーザjは、第2図(C)の圧縮変換回路212に
おいて、任意の認証子SIG. (44〜kの何れか)
を確認する場合、受信した通信メッセージのうち、SI
G+以前のメッセージM IIsIG, I1・・・l
lsIGt−+に対し、ユーザ1+j間の秘密の共通鍵
k1、で圧縮変換する。その結果得られた情報をH,と
する。圧縮変換関数をh(0とすると、}1、=h(M
 II SIG. I+・・・llsIGト+) とな
る。(2) User j inputs an arbitrary authenticator SIG. (Any one from 44 to k)
When checking the SI of the received communication message.
Message M before G+ IIsIG, I1...l
lsIGt-+ is compressed and converted using the secret common key k1 between users 1+j. Let the information obtained as a result be H. If the compression conversion function is h(0, }1,=h(M
II SIG. I+...llsIG+) becomes.

35 36 上記H,は、第2図(C)の切換回路213を介して巾
乗剰余演算装置214に入力し、ここでH,に対して、
相手ユーザのIDiによる巾乗剰余演算が行われ、署名
確認のための認証子T1が次式のようにして求まり,記
憶装置215に格納される。35 36 The above H, is input to the exponentiation remainder arithmetic unit 214 via the switching circuit 213 in FIG. 2(C), and here, for H,
A modular exponentiation operation is performed using the IDi of the other user, and an authentication code T1 for signature verification is determined as shown in the following equation, and is stored in the storage device 215.

TI = Hr”’ fflod n        
  ・・・(9)次に、巾乗剰余演算装置214に切換
回路213を介して認証子SIGiに対してセンターの
■Dcによる巾乗剰余麺算が行われ、署名確認のための
認証子T2が次式のようにして求まり、記憶装置216
に格納される。TI = Hr”' fflod n
(9) Next, the exponentiation remainder arithmetic unit 214 performs an exponentiation remainder calculation on the authenticator SIGi via the switching circuit 213 using the center ■Dc, and the exponentiation remainder arithmetic unit 214 performs an exponentiation remainder calculation on the authenticator SIGi via the switching circuit 213. is determined by the following formula, and is stored in the storage device 216.
is stored in

T2−SIGfIDcmodn・・・00)ここで、正
しい署名であれば、前述の(8)′式より上記00)式
は、 T2 = HI”” mod n          
・・・(If)となる。そして、第2図(b)及び(C
)の圧縮変換回路208及び212の圧縮変換関数h(
*)を同一とすれば、上記01)式と前述の(9)式は
等しくなり、TI=T2となる。T2-SIGfIDcmodn...00) Here, if the signature is correct, the above 00) formula is obtained from the above formula (8)' as T2 = HI"" mod n
...(If). And, Fig. 2(b) and (C
) of the compression conversion circuits 208 and 212 of the compression conversion function h(
*), the above equation 01) and the above equation (9) become equal, and TI=T2.

従って、記憶装置215及び216(第2図(C))の
T1とT2を比較装置217及び判定回路21Bで比較
判定し、一致すればユーザiから入力した認証子SIG
iは正しい署名だと判明する。Therefore, the comparison device 217 and the determination circuit 21B compare and determine T1 and T2 of the storage devices 215 and 216 (FIG. 2(C)), and if they match, the authenticator SIG input from the user i
It turns out that i is the correct signature.

以上のユーザjに係る署名確認装置211での動作結果
を第3図211として示す。The operation result of the signature verification device 211 for user j is shown as 211 in FIG. 3.

以上の動作をまとめると、ユーザ(i)は、センタ20
1からの署名情報(Si)で、入力したメッセージを圧
縮変換したもの(UZ)を巾乗剰余演算し署名のための
認証子(SIGi)としている。その結果として得られ
る認証子SIGiは、メッセージの圧縮情報(H.)に
、署名者の識別番号(IDi)とセンタ201の識別番
号(IDc)の逆数(IDc−1)を指数として巾乗剰
余演算したものである。To summarize the above operations, user (i)
Using the signature information (Si) from 1, the input message is compressed and converted (UZ), and the result is a modular exponentiation operation and used as an authentication code (SIGi) for the signature. The resulting authenticator SIGi is the compressed information (H.) of the message multiplied by the signer's identification number (IDi) and the reciprocal (IDc-1) of the center 201's identification number (IDc) as an exponent. It is calculated.

署名の確認(ユーザj)は、署名者と同様に受信したメ
ッセージを圧縮変換し(L)、署名者(i)の識別番号
(IDi)で巾乗剰余を行ったものと、受信した認証子
(SIGH)にセンタのIDCで巾乗剰余したものが一
致すればよい。To confirm the signature (user j), compress the message received in the same way as the signer (L), perform the exponentiation using the identification number (IDi) of the signer (i), and use the received authenticator. It is sufficient if the remainder obtained by multiplying (SIGH) by the IDC of the center matches.

上記実施例によれば、センタは剰余の法Lを公開してい
ないため、もし、署名情報Siが盗まれて37 38 も、前述の(5)弐の関係より、剰余の法nからは各ユ
ーザのパスワードPW.等を知ることができないため、
署名(認証子)  SIG.の偽造は不可能である。従
って、従来例のように、ユーザによって剰余の法nを変
更する必要がない。According to the above embodiment, since the center does not disclose the modulus L of the remainder, even if the signature information Si is stolen, from the relationship (5) 2 mentioned above, each User password PW. etc., because it is not possible to know
Signature (authenticator) SIG. cannot be forged. Therefore, unlike the conventional example, there is no need for the user to change the modulus n of the remainder.

また、センタの署名情報なしには、認証子の作或が不可
能なため、もし認証子を紛失、盗難された場合に、すく
にセンタに通知するように決めておけば、送信者が、送
信事実を否定することは困難である。Additionally, since it is impossible to create an authenticator without the center's signature information, if the authenticator is lost or stolen, it is possible for the sender to notify the center as soon as possible. It is difficult to deny the fact that it was sent.

さらに、多重署名する順番を変えたり、署名事実の確認
が容易である。Furthermore, it is easy to change the order of multiple signatures and to confirm the fact of signatures.

以上の実施例と、前述の第5図及び第6図に基づく従来
例とで、多重署名及びその確認のために必要なデータに
ついて比較した結果を第4図に示す。FIG. 4 shows the results of a comparison between the above embodiment and the conventional example based on FIGS. 5 and 6 described above regarding multiple signatures and the data necessary for their confirmation.

従来例では、各ユーザi( i =1〜k)の秘密鍵k
ls〜kks及び対応ずる公開鍵klp〜kkpのほか
に、巾乗剰余演算を行うための各ユーザ専用の剰余の法
の数n1〜n,,が必要であった。特に、n1〜nnは
、前述したように大きな素数として各ユーザ毎に異なら
しめる必要があり、決定及び管理が大変であった。In the conventional example, the private key k of each user i (i = 1 to k)
In addition to the public keys ls to kks and the corresponding public keys klp to kkp, the number of moduli of remainders n1 to n, , dedicated to each user for performing the exponentiation remainder calculation, was required. In particular, as described above, n1 to nn need to be different for each user as large prime numbers, making it difficult to determine and manage them.

これに対して、本実施例では、センタ発行の各ユーザi
(i=1〜k)用の署名情報S l− S kとそれに
対応ずる公開鍵ID,〜IDk(署名側)、及びセンタ
の識別情報IDC(決裁側)のほかに、剰余の法の数と
して1種類のnがあればよい。また、各ユーザはパスワ
ードPW1〜PWkを秘密鍵として管理する必要がある
が、これらは剰余の法の数の如く大きな素数である必要
はなく、センタで承認されればどのような数でもよいた
め、各ユーザによる管理が楽に行える。そして、署名情
報S1〜Skが盗まれても、パスワードPill−PW
kがわからない限り署名の偽造は行えず、安全性が非常
に高い。In contrast, in this embodiment, each user i issued by the center
In addition to the signature information Sl-Sk for (i = 1 to k), the corresponding public key ID, ~IDk (signing side), and center identification information IDC (approval side), the modulus of the remainder It is sufficient that there is only one type of n. Also, each user needs to manage passwords PW1 to PWk as private keys, but these do not need to be large prime numbers like the modulus of the remainder, and can be any number as long as it is approved by the center. , management by each user can be performed easily. Even if the signature information S1 to Sk is stolen, the password Pill-PW
Unless k is known, signatures cannot be forged, and security is extremely high.

以上の実施例では、センタの署名情報として、IDC−
’が用いられているが、第2の実施例として、これに、
日付や有効期限等の情報の逆数や、署名の発行番号の逆
数を乗算して署名を発行すれば、発行日時付き、あるい
は発行番号付きの署名情報39 40 を発行することができる。In the above embodiment, IDC-
' is used, but as a second example, in addition to this,
By multiplying the signature by the reciprocal of information such as the date and expiration date or the reciprocal of the signature issue number, it is possible to issue signature information 39 40 with the issue date and time or with the issue number.

以上に述べた第1及び第2の実施例では、署名装置20
7認証子SIGiを得るために、メッセージMを圧縮変
換回路208でハッシング関数h(本)により変換した
値H.を入力として用いている。そのほか6こも、圧縮
変換回路208は設けず、H,として予め定めた任意の
値を用いるようにしてもよい。但し、Hl と剰余の法
の数nは互いに素であるとする。この場合、署名確認装
置211側では、圧縮変換回路212は不要で、予め定
めた値It ,(一H,)に対し、ID,を指数として
法nに対する巾乗剰余演算を行って、T1とすればよい
。T2の求め方は前述の実施例と同じである。In the first and second embodiments described above, the signature device 20
7. In order to obtain the authenticator SIGi, the compression conversion circuit 208 converts the message M using the hashing function h (book) and converts the message H. is used as input. In addition to the above, the compression conversion circuit 208 may not be provided and any predetermined value may be used as H. However, it is assumed that Hl and the modulus n of the remainder are relatively prime. In this case, on the signature verification device 211 side, the compression conversion circuit 212 is not necessary, and the predetermined value It, (-H,) is subjected to a modular exponentiation operation with respect to the modulo n using ID, as an exponent, and T1 is obtained. do it. The method for determining T2 is the same as in the previous embodiment.

〔発明の効果〕〔Effect of the invention〕

本発明によれば、署名者毎に剰余の法の数を変更する必
要がなく、署名情報が盗まれても決裁者又は通信当事者
以外の第三者による署名(認証子)の偽造が不可能であ
るばかりでなく、署名を行う署名者の通信事実の否認の
不可能な、署名文(認証子)の作成が可能となる。According to the present invention, there is no need to change the number of residual moduli for each signer, and even if signature information is stolen, it is impossible for a third party other than the approver or the communication party to forge the signature (authenticator). Not only this, but it also becomes possible to create a signature text (certifier) in which the fact of communication by the signer cannot be denied.

この場合、各署名者は、比較的ガードが緩くてよい署名
情報と個人識別番号のほかに、覚えやすいパスワード等
の個人秘密情報を管理するだけでよく、従来例の如く各
ユーザ毎に剰余の法の数までも管理する必要がないため
、各ユーザによる管理を容易に行うことが可能となる。In this case, each signer only needs to manage personal secret information such as an easy-to-remember password in addition to signature information and personal identification number, which are relatively unguarded. Since there is no need to manage even the number of rules, each user can easily manage the number of rules.

また、公開識別情報として、署名情報の発行番号及び発
行月日等を用いるようにすれば、その情報をセンタ管理
手段で把握することができ、より厳格なデジタル署名が
可能となる。Furthermore, if the issue number, issue date, etc. of the signature information are used as the public identification information, the information can be grasped by the center management means, and a more strict digital signature becomes possible.

【図面の簡単な説明】[Brief explanation of drawings]

第1図は、本発明のブロック図、 第2図(a)、(b)、(C)は、本発明の実施例の構
或図、第3図は、本発明の実施例の原理説明図、第4図
は、署名及びその確認のために必要なデータ比較図、 第5図は、従来例の構戒図、 第6図は、多重署名の説明図である。 41 42 101  ・ 1 02 ・ 103  ・ 1 0 4 ・ 1 05 ・ 1 06 ・ 1 07 ・ 1 08 ・ 109  ・ センタ管理手段、 署名者の端末; 決裁者の端末、 第1の巾乗剰余演算手段、 第1の圧縮変換手段、 第2の圧縮変換手段、 第2の巾乗剰余演算手段、 第3の巾乗剰余演算手段、 判別手段.Fig. 1 is a block diagram of the present invention; Fig. 2 (a), (b), and (C) are structural diagrams of embodiments of the present invention; Fig. 3 is an explanation of the principle of the embodiment of the present invention. 4 is a comparison diagram of signatures and data necessary for their confirmation, FIG. 5 is a composition diagram of a conventional example, and FIG. 6 is an explanatory diagram of multiple signatures. 41 42 101 ・ 1 02 ・ 103 ・ 1 0 4 ・ 1 05 ・ 1 06 ・ 1 07 ・ 1 08 ・ 109 ・ Center management means, signer's terminal; approver's terminal, first exponentiation remainder calculation means, First compression conversion means, second compression conversion means, second power remainder calculation means, third power remainder calculation means, discriminating means.

Claims (1)

【特許請求の範囲】 1)通信情報(M)に複数の署名者(i=1〜k)が多
重に署名を行って決裁者に送信し、決裁者が前記通信情
報(M)の受信と前記各署名者の署名の確認を行うデジ
タル多重署名方式において、 十分に大きな値の2つの素数(p、q)の積である第1
の剰余の法の数(n)と、該法の数上でそれと互いに素
な任意の数を巾乗して1となる指数値である第2の剰余
の法の数(L)とを管理し、前記各署名者に対応し前記
第2の剰余の法の数(L)と互いに素な個人秘密情報(
PW_i)から求まる逆数(PW_i^−^1)と、同
様の関係の個人識別情報(ID_i)と、前記第2の剰
余の法の数(L)と互いに素な公開識別情報(ID_c
)から求まる逆数(ID_c^−^1)と、の3数の積
に対し前記第2の剰余の法の数(L)で剰余をとること
により、署名情報(S_i)を演算して対応する前記各
署名者に提供すると共に、前記第1の剰余の法の数(n
)、前記各個人識別情報(ID_i)及び前記公開識別
情報(ID_c)を公開し、前記第2の剰余の法の数(
L)は非公開とするセンタ管理手段(101)と、前記
各署名者が操作すべき各端末(102)内に、1つ前の
署名者の端末(102)からの認証子付き通信情報を圧
縮変換する第1の圧縮変換手段(105)と、前記現端
末(102)の署名者から入力させた前記個人秘密情報
(PW_i)と前記署名情報(S_i)の積で前記第1
の圧縮変換手段の出力(H_i)を巾乗し、前記第1の
剰余の法の数(n)で剰余を演算して前記現端末(10
2)の署名者の認証子(SIG_i)を作成し、前記1
つ前の署名者の端末(102)からの認証子付き通信情
報に付加して、次の署名者の端末(102)があれば該
端末に送り、なければ前記決裁者が操作すべき端末(1
03)に送る第1の巾乗剰余演算手段(104)とを有
し、 前記決裁者が操作すべき端末(103)内に、受信した
前記認証子付き通信情報のうち、署名の確認を行いたい
署名者の1つ前の署名者までの認証子が付加された認証
子付き通信情報を圧縮変換する前記第1の圧縮変換手段
(105)と同一特性の第2の圧縮変換手段(106)
と、前記決裁者から入力させた前記署名の確認を行いた
い署名者の個人識別情報(ID_i)で前記第2の圧縮
変換手段(106)の出力(H_r)を巾乗し、前記第
1の剰余の法の数(n)で剰余を演算する第2の巾乗剰
余演算手段(107)と、前記決裁者から入力させた前
記公開識別情報(ID_c)で受信した前記署名の確認
を行いたい署名者の認証子(SIG_i)を巾乗し、前
記第1の剰余の法の数(n)で剰余を演算する第3の巾
乗剰余演算手段(108)と、前記第2及び第3の巾乗
剰余演算手段(107、108)の各出力(T1、T2
)が一致した場合に、前記認証子(SIG_i)は正し
い署名者によって付加されたと判別する判別手段(10
9)とを有することを特徴とするID情報を用いたデジ
タル多重署名方式。 2)通信情報に複数の署名者が多重に署名を行って決裁
者に送信し、決裁者が前記通信情報の受信と前記各署名
者の署名の確認を行うデジタル多重署名方式において、 十分に大きな値の2つの素数の積である第1の剰余の法
の数と、該法の数上でそれと互いに素な任意の数を巾乗
して1となる指数値である第2の剰余の法の数とを管理
し、前記各署名者に対応し前記第2の剰余の法の数と互
いに素な個人秘密情報から求まる逆数と、同様の関係の
個人識別情報と、の2数の積に対し前記第2の剰余の法
の数で剰余をとることにより、署名情報を演算して対応
する前記各署名者に提供すると共に、前記第1の剰余の
法の数及び前記個人識別情報を公開し、前記第2の剰余
の法の数は非公開とするセンタ管理手段と、 前記各署名者が操作すべき各端末内に、1つ前の署名者
の端末からの認証子付き通信情報を圧縮変換する第1の
圧縮変換手段と、前記現端末の署名者から入力させた前
記個人秘密情報と前記署名情報の積で前記第1の圧縮変
換手段の出力を巾乗し、前記第1の剰余の法の数で剰余
を演算して前記現端末の署名者の認証子を作成し、前記
1つ前の署名者の端末からの認証子付き通信情報に付加
して、次の署名者の端末があれば該端末に送り、なけれ
ば前記決裁者が操作すべき端末に送る第1の巾乗剰余演
算手段とを有し、 前記決裁者が操作すべき端末内に、受信した前記認証子
付き通信情報のうち、署名の確認を行いたい署名者の1
つ前の署名者までの認証子が付加された認証子付き通信
情報を圧縮変換する前記第1の圧縮変換手段と同一特性
の第2の圧縮変換手段と、前記決裁者から入力させた前
記署名の確認を行いたい署名者の個人識別情報で前記第
2の圧縮変換手段の出力を巾乗し、前記第1の剰余の法
の数で剰余を演算する第2の巾乗剰余演算手段と、該手
段の出力と受信した前記署名の確認を行いたい署名者の
認証子とが一致した場合に、該認証子は正しい署名者に
よって付加されたと判別する判別手段とを有することを
特徴とするID情報を用いたデジタル多重署名方式。 3)通信情報に複数の署名者が多重に署名を行って決裁
者に送信し、決裁者が前記通信情報の受信と前記各署名
者の署名の確認を行うデジタル多重署名方式において、 十分に大きな値の2つの素数の積である第1の剰余の法
の数と、該法の数上でそれと互いに素な任意の数を巾乗
して1となる指数値である第2の剰余の法の数とを管理
し、前記各署名者に対応し前記第2の剰余の法の数と互
いに素な個人秘密情報から求まる逆数と、前記第2の剰
余の法の数と互いに素な公開識別情報から求まる逆数と
、の2数の積に対し前記第2の剰余の法の数で剰余をと
ることにより、署名情報を演算して対応する前記各署名
者に提供すると共に、前記第1の剰余の法の数及び前記
公開識別情報を公開し、前記第2の剰余の法の数は非公
開とするセンタ管理手段と、前記各署名者が操作すべき
各端末内に、1つ前の署名者の端末からの認証子付き通
信情報を圧縮変換する第1の圧縮変換手段と、前記現端
末の署名者から入力させた前記個人秘密情報と前記署名
情報の積で前記第1の圧縮変換手段の出力を巾乗し、前
記第1の剰余の法の数で剰余を演算して前記現端末の署
名者の認証子を作成し、前記1つ前の署名者の端末から
の認証子付き通信情報に付加して、次の署名者の端末が
あれば該端末に送り、なければ前記決裁者が操作すべき
端末に送る第1の巾乗剰余演算手段とを有し、 前記決裁者が操作すべき端末内に、受信した前記認証子
付き通信情報のうち、署名の確認を行いたい署名者の1
つ前の署名者までの認証子が付加された認証子付き通信
情報を圧縮変換する前記第1の圧縮変換手段と同一特性
の第2の圧縮変換手段と、前記決裁者から入力させた前
記公開識別情報で受信した前記署名の確認を行いたい署
名者の認証子を巾乗し、前記第1の剰余の法の数で剰余
を演算する第3の巾乗剰余演算手段と、前記第2の圧縮
変換手段及び前記第3の巾乗剰余演算手段の各出力が一
致した場合に、前記認証子は正しい署名者によって付加
されたと判別する判別手段とを有することを特徴とする
ID情報を用いたデジタル多重署名方式。 4)前記第2及び第3の巾乗剰余演算手段は、切り換え
可能な1つの巾乗剰余演算手段で共用されることを特徴
とする請求項1記載のID情報を用いたデジタル多重署
名方式。[Claims] 1) A plurality of signers (i=1 to k) multiplexly sign the communication information (M) and send it to the approver, and the approver receives the communication information (M). In the digital multiple signature method that verifies the signature of each signer, the first
Manage the number of moduli of the remainder (n) and the number of moduli of the second remainder (L), which is the exponent value that becomes 1 when raised to the power of any number coprime to the modulus. and personal secret information (
PW_i), personal identification information (ID_i) with a similar relationship, and public identification information (ID_c) that is disjoint with the second modulus number (L).
) and the product of three numbers, the signature information (S_i) is computed and corresponds by taking the remainder by the second remainder modulus number (L). the number of moduli of the first remainder (n
), each of the personal identification information (ID_i) and the public identification information (ID_c) are made public, and the modulus of the second remainder (
L) is a center management means (101) which is kept private, and communication information with an authentication code from the previous signer's terminal (102) is stored in each terminal (102) to be operated by each signer. The first compression conversion means (105) performs compression conversion, and the first
The output (H_i) of the compression conversion means of
2) Create a signer authenticator (SIG_i), and
It is added to the communication information with the authenticator from the previous signer's terminal (102) and sent to the next signer's terminal (102) if there is one; 1
03), and a first exponentiation remainder calculation means (104) that sends the information to the terminal (103) to be operated by the approver to confirm the signature of the received authentication code-attached communication information. a second compression and conversion means (106) having the same characteristics as the first compression and conversion means (105) for compressing and converting communication information with an authentication code to which an authentication code has been added up to the signer immediately before the signer who wants to sign;
Then, the output (H_r) of the second compression conversion means (106) is multiplied by the personal identification information (ID_i) of the signer whose signature is to be confirmed, inputted by the approver, and the output (H_r) of the second compression conversion means (106) is I would like to confirm the signature received using the second exponentiation remainder calculation means (107) that calculates the remainder using the modulus number (n) of the remainder and the public identification information (ID_c) entered by the approver. a third exponentiation remainder calculation means (108) for exponentiating the signer's authentication code (SIG_i) and calculating the remainder by the modulus number (n) of the first remainder; Each output (T1, T2
) match, determining means (10) determines that the authenticator (SIG_i) has been added by a correct signer.
9) A digital multiple signature system using ID information, characterized by having the following. 2) In a digital multiple signature method in which multiple signers sign the communication information multiple times and send it to the approver, and the approver receives the communication information and confirms the signatures of each signer, the signature is sufficiently large. The first remainder modulus is the product of two prime numbers of the value, and the second remainder modulus is the exponent value that is 1 when raised to the power of any number coprime to the modulus number. and the reciprocal obtained from personal secret information that is coprime to the second modulus number of the second remainder corresponding to each signer, and personal identification information having a similar relationship. On the other hand, by taking the remainder with the modulus of the second remainder, signature information is calculated and provided to each corresponding signer, and the first modulus of the remainder and the personal identification information are disclosed. and a center management means for keeping the second remainder modulus private; and a center management means that stores communication information with an authentication code from the previous signer's terminal in each terminal to be operated by each signer. The output of the first compression conversion means is multiplied by the product of the personal secret information input by the signer of the current terminal and the signature information, and the first compression conversion means performs compression conversion. An authentication code for the signer of the current terminal is created by calculating the remainder with the modulus of the remainder, and is added to the communication information with the authentication code from the previous signer's terminal to create the authentication code of the next signer. If there is a terminal, the first exponentiation remainder calculation means is sent to the terminal, and if not, it is sent to the terminal to be operated by the approver, and the received authentication code is stored in the terminal to be operated by the approver. One of the signers whose signatures you want to confirm among the communication information with
a second compression conversion means having the same characteristics as the first compression conversion means for compressing and converting the communication information with the authentication code to which the authentication code of up to the previous signer has been added; and the signature inputted by the approver. a second exponentiation remainder calculation means for exponentiating the output of the second compression conversion means by the personal identification information of the signer to whom confirmation is desired, and calculating the remainder by the modulo number of the first remainder; ID characterized in that it has a determining means that determines that the authenticator has been added by the correct signer when the output of the means matches the authenticator of the signer whose signature is to be verified. Digital multiple signature method using information. 3) In a digital multiple signature method in which multiple signers sign communication information multiple times and send it to an approver, and the approver receives the communication information and confirms the signatures of each signer, the signature is sufficiently large. The first remainder modulus is the product of two prime numbers of the value, and the second remainder modulus is the exponent value that is 1 when raised to the power of any number coprime to the modulus number. and a reciprocal number obtained from personal secret information that is coprime to the second modulus number corresponding to each signer, and a public identification that is disjoint to the second modulus number. The signature information is calculated and provided to each of the corresponding signers by calculating the remainder by the modulus of the second remainder for the product of the two numbers of the reciprocal obtained from the information, and the first a center management means for disclosing the number of moduli of the remainder and the public identification information, and keeping the number of the second modulus of the remainder private; a first compression conversion means for compressing and converting communication information with an authenticator from the signer's terminal; and the first compression conversion by the product of the personal secret information input by the signer of the current terminal and the signature information. The output of the means is multiplied and the remainder is calculated by the modulus of the first remainder to create an authentication code for the signer of the current terminal, and an authentication code from the previous signer's terminal is attached. a first exponentiation remainder calculation means that is added to the communication information and sent to the next signer's terminal if there is one, or to a terminal to be operated by the approver if not; In the terminal to be operated, one of the signers who wish to confirm the signature of the received communication information with authentication code.
a second compression conversion means having the same characteristics as the first compression conversion means for compressing and converting communication information with an authentication code to which an authentication code of up to the previous signer has been added; and a third exponentiation remainder calculation means for exponentiating an authentication code of a signer whose signature is to be verified using identification information, and calculating a remainder by a modulo number of the first remainder; The ID information is characterized in that it has a determining means for determining that the authenticator has been added by a correct signer when the respective outputs of the compression converting means and the third exponentiation remainder calculation means match. Digital multiple signature method. 4) The digital multiple signature system using ID information according to claim 1, wherein the second and third power remainder calculation means are shared by one switchable power remainder calculation means.
JP1240601A 1989-09-19 1989-09-19 Digital multisignature system using id information Pending JPH03103961A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP1240601A JPH03103961A (en) 1989-09-19 1989-09-19 Digital multisignature system using id information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP1240601A JPH03103961A (en) 1989-09-19 1989-09-19 Digital multisignature system using id information

Publications (1)

Publication Number Publication Date
JPH03103961A true JPH03103961A (en) 1991-04-30

Family

ID=17061919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1240601A Pending JPH03103961A (en) 1989-09-19 1989-09-19 Digital multisignature system using id information

Country Status (1)

Country Link
JP (1) JPH03103961A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008508836A (en) * 2004-05-20 2008-03-21 ドコモ コミュニケーションズ ラボラトリーズ ユー・エス・エー インコーポレーティッド Digital signatures, including identity-based aggregate signatures
US8070530B1 (en) 2010-06-04 2011-12-06 Tdk Corporation Modular jack

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008508836A (en) * 2004-05-20 2008-03-21 ドコモ コミュニケーションズ ラボラトリーズ ユー・エス・エー インコーポレーティッド Digital signatures, including identity-based aggregate signatures
JP4785851B2 (en) * 2004-05-20 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ Digital signatures, including identity-based aggregate signatures
US8070530B1 (en) 2010-06-04 2011-12-06 Tdk Corporation Modular jack

Similar Documents

Publication Publication Date Title
US9160530B2 (en) Method and apparatus for verifiable generation of public keys
US9990796B2 (en) Data card verification system
EP0639907B1 (en) Digital signature method and key agreement method
US6108783A (en) Chameleon hashing and signatures
CN107623570B (en) SM2 signature method based on addition key segmentation
US20060083370A1 (en) RSA with personalized secret
US9882890B2 (en) Reissue of cryptographic credentials
JP4615708B2 (en) Key authentication method
CN107911217B (en) Method and device for cooperatively generating signature based on ECDSA algorithm and data processing system
JP2002534701A (en) Auto-recoverable, auto-encryptable cryptosystem using escrowed signature-only keys
WO1999021320A1 (en) Accelerated signature verification on an elliptic curve
CN111447065A (en) Active and safe SM2 digital signature two-party generation method
WO2014205571A1 (en) Signature protocol
US20050240762A1 (en) Cryptographic method and apparatus
CN115941205A (en) Multiple signature method based on SM2
US20020044648A1 (en) Methods and systems for efficient chained certification
JPH03103961A (en) Digital multisignature system using id information
JPH11174957A (en) Authentication protocol
JP2513169B2 (en) User authentication method
JPH03103960A (en) Digital signature system using id information
JP3331329B2 (en) Public verification possible request restoration blind signature method, apparatus and program recording medium
JPH09200198A (en) Message verfication system
JP3316466B2 (en) Electronic secret balloting method, device thereof, and program recording medium
JPH09160492A (en) Signature system
JPH02273779A (en) Digital signature device