JPH031629A - データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法 - Google Patents

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 〔産業上の利用分野〕 この発明はデータ交換システムにおける加入者のアイデ
ンティフィケーションおよび電子的署名の発生および確
認のための方法に関するものである。

〔従来の技術］ 最近の通信システムにおけるデータセキエリティのため
の重要な前提条件は、 ａ）システムに加入している通信パートナ−の相互のア
イデンティフィケーション ｂ）伝達かつ記憶されたデータの真正認証Ｃ）伝達かつ
記憶されるデータの暗号化およびｄ）伝達されたデータ
が本人によるものであることの検査である。

高度のデータセキュリティは周知のように、メツセージ
、加入者および機器のアイデンティフィケーションおよ
び真正認証を疑いなく可能にする暗号法の採用によって
のみ達成される。暗号法（クリプトグラフィ）とは一般
に秘密保持のためのデータの暗号化をいう。しかし、こ
の疑いなく重要な暗号機能とならんで、他の機能、特に
真正認証および本人によるものであることの検査または
電子的署名の発生がますます重要になってきた。

暗号機能を実現するためには対称または非対称な暗号化
アルゴリズムが使用され得る。対称なアルゴリズム、た
とえばＤＢＳアルゴリズム（データーエンクリプシッン
ースタンダード）では、暗号化および暗号解読のために
同一のコードが使用される。対称なコードシステムはな
かんずく、より大きいデータ量がより高い速度で伝達さ
れなければならないときに適している。それに対して欠
点は、コード管理が比較的困難であることにより生ずる
。なぜならば、送信者および受信者が同一のコードを有
していなければならず、またそれぞれ使用されるコード
の伝達のために１つの確実なチャネルが必要とされるか
らである。

非対称なコードシステムでは、暗号化および暗号解読の
ために異なるコードが使用される。たとえば暗号化のた
めには公開のコードが、暗号解読のためには秘密のコー
ドが使用される。後者は受信者にのみ知られている。１
つの非対称なコードシステムはたとえば発明者リベス）
　（Ｒ４ｖｅｓｔ）、シャミル（Ｓｈａｍｉｒ）および
アドレマン（Ａｄｌｅｍａｎｎ）にちなんで名付けられ
たＲ３Ａアルゴリズムである。

このアルゴリズムは比較的高い技術的費用と、使用され
るコード長さに応じて相応に長い通過時間とを必要とす
るが、特別なコードシステムにより高いセキュリティ要
求を満足する。理想的に非対称コードシステムは伝達す
べきメツセージの署名に適している。その際に、署名す
べきメツセージは署名者の秘密コードにより暗号化され
、また公開コードを知っている誰からも暗号解読され得
る。

この“電子的署名”は署名者の個人的特徴（秘密コード
の所有）を含んでいるだけでなく、署名された文書をも
含んでおり、その結果、文書のあらゆる変更が受信者に
より認識される。それによってメツセージおよび署名は
コード−アルゴリズムを介して変更不可能に結び付けら
れている。

最近の暗号手段の採用はいわゆる多機能プロセッサ−チ
ップカードの導入と密に関連している。

プロセッサ−チップカードは多面的な応用を可能にする
だけでなく、利用者のアイデンティフィケーションなら
びにカードおよび交換されるメツセージの確実な真正認
証を保証するため、必要なセキュリティ構成要素（秘密
コードおよび暗号アルゴリズム）を収容するべく考慮さ
れている。

電子的署名のためのこのような公知のアルゴリズム、特
にＲ３Ａアルゴリズム（米国特許第＾４４０５８２９号
明細書参照）およびエイ、フィアット（Ａ、Ｆｉａｔ）
およびエイ、シャミル（Ａ、Ｓｃａｍｉｒ）により開発
されたアルゴリズム（ヨーロッパ特許第ＡＯ２５２４９
９号明細書参照）は高いメモリ費用を必要とし、もしく
は、それが特にチップ内に収納され得るかぎり、広範で
複雑な計算操作、特に乗算のために、非常に長い時間を
必要とするので、チップカードに組み入れるのには制限
付きでしか適していない。

〔発明が解決しようとする課題〕

従って、本発明の課題は、１つのデータ交換システムの
加入者相互のアイデンティフィケーションのため、また
署名の発生のための方法であって、はぼ等しいセキュリ
ティ保証においてより簡単な計算操作に基づいて公知の
暗号法に比較してより短い通過時間を可能にする方法を
堤供することである。

〔課題を解決するための手段〕

この課題は、本発明によれば、請求項１または２または
３の特徴により解決される。本発明の有利な構成はその
他の従属請求項にあげられている。

このことは特に請求項４に当てはまる。請求項４による
方法では、１つの前プロセスで計算されかつ中間記憶さ
れる離散的対数により本発明による方法が加速され得る
。その際に、いったん利用された値が１つの更新プロセ
スで他の離散的対数とランダムな仕方で組み合わされる
。請求項２により発生された署名のｆｌｉ　Ｌ’２のた
めの方法は請求項ＩＯにあげられている。

本発明において解決すべき問題は、離散的対数を計算す
る困難にある。この理由に他の既に知られている非対称
暗号法が基づいている。（ティーエルガマル（Ｔ、ＥＬ
ＧＡＭＡＬ）　：　　“離散的対数に基づくパブリック
・キー暗号システムおよびシグナチュア・シェーマ”、
Ｉ　ＥＥＥ論文集情報理論編、３１　（１９８５）、第
４６９〜４７２頁；デイ−チャラム（Ｄ、ＣＨＡＵＭ）
　、ジエイ、エイチ、エバーツ工（Ｊ、Ｈ，ＥＶＥＲＴ
ＳＥ）、ジェイ、バンプグラフ（Ｊ、ｖａｎｄｅ　ＧＲ
ＡＡＦ）　：　　“離散的対数のデモンストレーション
ポゼッションに対する改良されたプロトコルおよびいく
つかの一般化”、Ｅｕｒｏｃｒｙｐｔ８７論文集、コン
ピュータサイエンスの講義ノート３０４、（１９８８）
、第１２７〜１４１頁；ティー、ベス（Ｔ、ＢＥＴＨ）
　：　　”エルガマルのシェーマに対するフィアットー
シャミルに類似の真正認証プロトコル°”、Ｅｕｒｏｃ
ｒｙｐｔ８８アブストラクト、第４１〜４７頁）　本発
明は、公知の暗号法にくらべて、計算操作がチップカー
ドのなかで比較的簡単に実行され得るという利点を有す
る。

これは特に前記の前プロセスにより行われる。この前プ
ロセスはエルガマル、チャウムーエバーツ工−バンデグ
ラフおよびベスの前記の暗号法とも組み合わされ得る。

さらに、本発明により、特に短い署名が発生され得る。

〔実施例〕

以下、本発明による方法を、部分的に図面により、−層
詳細に説明する。

第１図に示されている原理図により例として、加入者Ａ
５たとえばこの加入者に属するチップカードが加入者Ｂ
またとえばチップカード−ターミナルに対してそのアイ
デンティティをいかにして証明するかが示されている。

チップカードにより動作するデータ交換システムではそ
れぞれ利用者に関するチップカードが１つまたは場合に
よっては複数の秘密センター（政府代表部、クレジット
カード会社など）から発行され、その際にチップカード
の発行はそのつどの利用者のアイデンティティが検査さ
れたときに初めて行われる。センターは１つの適格とさ
れた利用者に１つの個人アイデンティフィケーションス
トリング！　（名前、アドレス、ＩＤ番号など）を準備
し、このアイデンティフィケーション−ストリングＩに
場合によっては利用者自体により発生されている利用者
に関する公開のコードを付加し、またアイデンティフィ
ケーション−ストリングＩおよび公開コードＶから形成
された対を１つの公開リストのなかに公開する。センタ
ーは秘密コード自体を見ず、従ってまたそれを漏らすこ
とはできない、アイデンティフィケーションストリング
！、公開および秘密コードｖ、ｓならびに取り決められ
た素数ｐはカード発行者によりチップカードのなかに記
憶される。

１つの公開リストの使用の代わりにセンターは出射■、
Ｖを署名し得る。この署名はチップカードの中に記憶さ
れており、またセンターの公開コードにより容易に事後
検査され得る。チップカードおよび（または）公開リス
トが発行された後に、センターとのその後の相互作用は
署名およびアイデンティティの発生のためにも検査のた
めにも必要ではない。

アイデンティフィケーションはいわゆる初期化で開始す
る。その際に加入者Ａまたはチップカードは１つのアイ
デンティフィケーションストリング■および公開コード
Ｖを、アイデンティティを６１！認する加入者Ｂまたは
付属のターミナルに送る。公知の暗号法と異なり、公開
コードはターミナルのなかで確認される。すなわち、タ
ーミナルが公開コードｖ７とアイデンティフィケーショ
ンストリングＩとの間の関係を検査し、またこうしてセ
ンターの署名をチエツクする。公開コードＶ＝（ｖｌ　
・・・ｖ、）は秘密コードｓ＝　（ｓ、　・・・ｓ、）
と論理的関係があり、 Ｖｊ　＝２−”ｊ（＋ｍｏｄ　ｐ）　　Ｊ−１，・・・
、　　ｋとして定義されている。その際にｐは少なくと
も５１２ビット長さの１つの素数である。秘密コード３
が選定されると直ちに、相応の公開コードＶを容易に計
算し得る。従って、秘密コードＳを公開コードＶから計
算する逆のプロセスは実行可能でない、なぜならば、こ
のような大きい素数ｐに対する離散的対数ｍｏｄｕｌｏ
　　ｐの計算は現在のコンピュータおよびアルゴリズム
の手の届く範囲の外にあるからである。秘密コードの構
成要素Ｓ、はｖ、−１の離散的対数ｍｏｄｕｌｏ　　ｐ
である。すなわち ｓ　　Ｊ　＝−１ｏｇｔ　　ｖ　ｊ（ｓｏｄ　　ｐ−１
）　　　ｊ　　＝　　１　　、　−、　　　ｋすべての
離散的対数は群″ＩＬ”　　　（乗算的群ｍｏｄｕｌｏ
　　ｐ）に関係があり、また別に指定されないかぎり、
２を底としている０群Ｔ″、の次数はＰ−１であるから
、離散的対数は値１．２゜・・・Ｐ−１をとる。

剰余額形成によりｍｏｄｕｌｏ　　Ｐが生ずる有限の群
の代わりに、離散的対数を形成するために、たとえば数
ｎに対して素数の剰余類の１つの単位群″Ｍ　（１７、
１つの有限の体の１つの単位群、１つの有限の体にわた
る１つの楕円曲線などのような他の有限の群が使用され
得る。１つの任意の有限な群への方法の転用のために群
成数の知識は必要でない、たとえば群成数２１４０の離
散的対数により計算すれば十分である。

初期化の後に第２のシテップとして加入者Ａにおいて１
つの乱数ｒ ｒε（１，・・・、ｐ−１）。

の発生が行われ、それから下記の指数値が計算される。

ｘ　：　−２’　（ｓｏｄ　ｐ） 逆計算プロセス、すなわちｙ値から乱数ｒを計算するプ
ロセスは、ｐが十分に大きいかぎり、非常に困難である
。従って、加入者Ｂは実際上、自由になる時間のうちに
乱数ｒを探し出す可能性を有していない、加入者Ａにお
いて計算されたこのｙ値は加入者Ｂに、すなわちターミ
ナルに伝達される。乱数ｒは、前記の秘密コードＳ、の
ように、１つの離散的対数である。その結果、チップカ
ード側では離散的対数により、反対側、すなわち加入者
Ｂのターミナル内ではそのつどの指数値により計算され
る。

乱数「およびそれから導き出される指数関数Ｘ：譚２’
（Ｔ＠ｏｄρ） の発生はいま有利な仕方で、チップカードのなかで各１
つの乱数ｒおよびおよびそれに付属のｙ値から成る複数
の対のストックをＹｓ備しかつ更新する前プロセスによ
り加速され得る。このストックはチップカード自体のな
かに置かれ、または外部からチップカードヘロードされ
得る。従って、１つの初期化されたアイデンティフィケ
ーシクンプロセスでは直ちにこれらの対の１つにアクセ
スされ得るので、そのつどのｘ（Ｉが遅れなしに加入者
Ｂに伝達され得る。

その次のステップでは加入者Ｂが１つのランダム−ビッ
ト列 ｅ　＝（ｅ　ｌ＋１　＋　”’　＊　ｅｔ＋ｗ　）ε（
Ｑ、１）　ｋＶを加入者Ａまたはチップカードに送る。

ランダム−ビット列ｅの受信の後にチップカードは、そ
こに記憶された秘密コードＳ、の、ランダム−ビット列
ｅのビットに関係する線形組み合わせを送り、それに現
在の乱数ｒを加え、またこうして形成された数値ｙ を加入者Ｂに送る。

加入者Ｂはいま、それに送られたｙ値が、加入者Ａがラ
ンダム−ビット列ｅの送信により行なった質問への正し
い解答であるか否かを検査する。

この検査の際に加入者Ｂは下記の式の右部を計算する。

そして比較により、計算された数値Ｘが既に前もって加
入者Ａから得られたｙ値と合致するか否かを確認する。

加入者Ｂにおいて行うべきこの計算プロセスは確かに比
較的費用がかかるが、ターミナルに常に十分に存在して
いる計算能力により比較的短時間で実行可能である。そ
れによってアイデンティフィケーション検査は終了され
、従って、加入者Ｂにおいて両Ｘ値の合致カミ１認され
ているかぎり、加入者Ａの側からその後の措置が開始さ
れ得る。

加入者への前記のアイデンティフィケーションは１つの
メンセージｍの組み入れによりメ・ンセージｍの下の加
入者Ａの電子的に発生される署名に拡張され得る。この
電子的署名は加入者ＢにＡのアイデンティティを第三者
に、たとえば裁判官に証明することを許す、それはさら
に加入者Ａが疑いなくメツセージｍを署名したという証
明を許す。

加入者Ａに、すなわちチップカードのなかに記憶された
秘密コードｓ３の利用のもとに１つのメツセージｍを署
名するため、下記のステップを行う必要がある（第２図
参照）。

１、加入者Ａが再び１つの乱数ｒを選定し、またそれか
ら、既にアイデンティフィケーション検査と関連して説
明したように、１つのＸ値を関係式 ％式％） に従って計算する。ここでも、もちろん、記憶されたス
トックにアクセスし、また乱数「および付属のＸ値を直
接に呼び出す可能性が存在する。

２、加入者Ａがいま１つのハツシュ値ｅをメツセージｍ
および求められた、またはストックから取り出されたＸ
値から関係式 ％式％） に従って形成する。ここでｈは＋０．１１”のなかの値
を存する公開のハツシュ関数である。

３、最後に加入者Ａが構成要素：秘密コードｓｊ、ラン
ダム−ビット列またはハシシュ値ｅおよび乱数ｒから１
つのｙ値を関係式 に従って計算する。

数値対Ｘ、ｙは次いでメツセージｍに対するいわゆる電
子的署名を生ずる１両セキュリティ数におよびＬは好ま
しくは１と２０との間の範囲内にある。それらはセキュ
リティーレベル２０を生ずる。すなわち、少なくとも２
ｍｔの乗算（環ｏｄｋｌｏ　ｐ）が署名またはアイデン
ティティの誤りのために必要である。たとえばに＝４お
よびも＝１８は署名に対して十分なセキュリティーレベ
ル２？１を生ずる。

数Ｘおよびｙ（ここで画数は少なくとも５１２ビット長
さである）により形成されるこの署名から出発して、署
名短縮の種々の可能性が生ずる。

可能性の１つは、数Ｘを、７２ビット長さしか有してい
ないハツシュ値ｅ＝ｈ　（ｘ、ｍ）により置換すること
である。その場合、署名はｙおよびｅからのみ成ってい
る（第４図参照）、その次のステップは、数Ｖ、　　ｒ
、　　ＳＪをもはやモジュールｐの大きさにとらず、Ｙ
、ｒ、ＳＪに対して小さい数のみ、ただしセキエリティ
ーレベル２ｆｆｔに対して少なくとも１４０ビット長さ
である数を用いることにある。短い署名を達成する１つ
の特に簡単な可能性は、素数−モジュールｐを、第２の
素数ｑが値（ｐ−１）を分割するように選定することに
ある。ここでｑ＝１４０ビット長さである０次いで底２
を数αにより置き換えると、 α喝＝　１　（ｒａａｄ　ｐ）、　ａ≠Ｈｍｏｄ　ｐ）
である、その結果、すべての離数的対数ｍｏｄｕ１ｏ　
　ｑが計算され得る。すなわち、選定された数αを底と
する対数が計算され、その際にすべての対数は１ないし
ｑの範囲内にある。これは、署名のｙ値に対してｑより
も小さい１つの数が生ずるという利点を有する。１つの
乱数ｒ ｒｅ　（１，・・・、ｑ−１）。

と、それから計算された Ｘ：工α１（請ｏｄ　ｐ） と、ランダム−ピット列 ｅ　：　＝ｈ（ｘ、ｍ）　Ｅ　（０，１１”と、それか
ら計算された とから出発して、いま数ｙおよびｅから形成されたｙ＝
１４０ビットおよびｅ−７２ビツトを有する署名に対し
て全体として２１２ビツトの長さが生ずる。１つのこの
ような短縮された署名はセキユリティーレベル２？２を
有する。すなわち、署名を偽造するためには、約２　ｔ
ｚ乗算ｍｏｄｕ−１゜Ｐが必要である。

数ｘ、ｙから成る署名の確認のためには加入者Ｂで、す
なわちターミナルで下記のステップが行われる。先ず、
第３図に示すように、 ｅ　：　＝ｈ　（ｘ＋＋＊）ε（ｏ、１）　ｈｔが計算
され、また次いで同一性検査が、関係式に従って計算さ
れたマ値が署名のＸ値と比較されるように実行される。

Ｘがｅにより置き換えられる短縮された署名では、確認
は第５図に従って、先ず を計算し、また次いで数マが正しいｅ値を与えるか否か
を検査するという仕方で行われる。後者は、ハツシュ値
ｈ（：ｘ、ｍ）が値ｅと合致するか否かを検査すること
により行われる。

アイデンティフィケーション−プロトコルの際にも署名
プロトコルの際にもチップカードのなかの計算能力を比
較的わずかですます必要がある。

数ｙの計算の際には秘密コードＳｊになお比較的小さい
数を乗算する必要があるが、この乗算は簡単な加算およ
びシフト過程に分解され得る。その際にＳＪおよびｅｌ
ｊの積がｉ−１ポジシヨンだけ左ヘシフトされればよい
、この中間結果に最後になお乱数ｒを加算により加える
必要がある。

数 ｘニー２’（鶴ｏｄ　　ｐ） の計算は確かに費用がかかるが、いくつかの乱数に対し
て相応のＸ値が予め計算され、またｒおよびＸ値から成
る複数の対がストックとして蓄積されるならば、前記の
前プロセスにより時間費用から実際上無視され得る。

規則的な間隔の対の１つの制限された数において常に再
び等しい数対が用いられることを回避するため、出射が
利用の後に続いて他の場合によってはストックのすべて
の対と再びランダムな仕方で組み合わされるかぎりにお
いて、１つの更新が行われる。その結果、ストックは次
第に常に再び更新かつ変更される。

このような更新プロセスの例として、ｔ−１，。

・・・　腎に対してπ数対（ｒｔ、ｘｔ）の１つのスト
ックが存在すると仮定する。対り、、ｘ、）を更新する
ためには、たとえばランダム−インデックスａ　（１）
、・・・、ａ（〒−１）ε（１，・・・ｋ）ならびに１
つのまさに更新された対（「２゜Ｘ、　）を選定し、ま
たａ（ｔ）＝μにより新しい対（ｒ　　、　　ｘ　　）
を規則 Ｖ　　　　　　ｖ τ 「１ＩＩＩＩ１．ユｒ１１（ｔ　　＋　Σ　ｒ　ａ　１
１）（ｓｏｄ　　ｐ−１）ヤ ｘ’、”　　：　＝ｘ”’　　・ｔｒ、　　ｘａ＋ｔ＋
（ＩＩｌｏｄ　ｐ）に従って計算する。

新しい対（ｒ、、ｘ、）に対して再び関係式χ−２”（
ｍｏｄ　　ｐ）が有効である。新しい数ｒアはｔ加算に
より、また新しい数Ｘ、７　はｔ乗算により計算する。

対（ｒ、　　、　　ｘ、　）の１つの他の更新は規則 弓・ｕ、＝　　ｒ　ｍ（Ｉ、　　　＋　Σ　　ｒ　　ａ
　ｏ、　　２’　　　（ａｏｄ　　ｐ−１）ν に従って可能である。

新しい値「１の計算はここでｔ加算およびｔシフトに向
かう、新しい値Ｘ、Ｉ　は２″を乗算により計算し得る
。そのためにｚ＝＝１で初めてステップｚ　：　ｘｚ　
　ｘａｍ（ｓｏｄ　ｐ）　、　　ｚ　：　＝ｚ’　（＋
＊ｏｄ　ｐ）をｔから１へ上昇するインデックスｉで実
行する。

新しい値Ｘ、は古い値と最後に計算された数２との積と
して、すなわち規則 ｘ；”　：　−ｘＩＩＩ”　ｚ　（＋ｗｏｄ　ｐ）　。

す に従って得られる。

この更新の際に値ａ（ｔ）＝μの結果として、まさに更
新された数ｒｐが最高２の舅により乗算される。これは
ストックの有効な更新に通ずる。

署名に対して、まさに記憶された対のランダムな組み合
わせとして形成される１つの対（ｒ、ｘ）を使用するこ
とは目的にかなっている。よく適しているのは、「１．
χ、の更新の際にいずれにせよ生ずる中間値である。

もちろん対（ｒｙ　、　　Ｘ、　）に対するこの更新プ
ロセスは組み合わされ、また変更され得る。更新ができ
るかぎり迅速に進行し、またリストに登録された署名か
ら模倣可能でないことのみが重要である。すなわち１つ
の小さい数ｔが利用されることが目的にかなっている。

更新は、数対におけるストック、すなわち数ｋ、が十分
に大きいならば、探り出し不可能にとどまる。更新の際
にコード対ｓ４．ｖＪを共に利用することは有利である
。たとえば１つの対（ｒ　ａ　（１１、Ｘ　ａ　（１１
）に対して１つのコード対（Ｓｚ、Ｖ））を選定し得る
。ｔ＝６およびに＝１０では１つのコード対の更新は、
たとえばターミナル内で他の計算操作が実行されるべき
ときに多かれ少なかれ付随的に実行され得る６または１
２の乗算しか必要としない。

数対（ｒ、、ｘ、）を更新する多面的な可能性は各チッ
プカードのなかで他の方法で利用され得る。たとえばイ
ンデックスａ　（１）、・・・、ａ（τ−１）およびス
トックのコード対の組み合わせは各チップカードのなか
で他の方法で形成され得る。

こうして更新プロセスの探り出しは実際上不可能である
。

短縮された署名の場合には乱数「喝は、署名のｙ部も小
さくとどまるように、小さくなければならない、これは
、１４０ビット長さの素数ｑが存在するような、すなわ
ちα　＝１　　ｍｏｄ　　ｐであるような１つの底αを
離散的対数に対して選定することにより簡単に達成され
る。乱数「、の更新の際にもちろんｍｏｄｕｌｏ　　ｑ
が計算される。

すなわちモジュールＰ−１がモジュールｑにより置き換
えられる。

【図面の簡単な説明】

第１図は１つの加入者の本発明によるアイデンティフィ
ケーシタンの際の原理的過程を示す図、第２図は伝達す
べきメツセージに対する署名の発生の際の本発明による
方法のステップを示す図、第３図は第２図により発生さ
れた署名の検査ステップを示す図、第４図は短縮された
署名の発生の際の本発明による方法のステップを示す図
、第５図は第４図による短縮された署名の検査ステップ
を示す図である。 Ａ、Ｂ・・・加入者 ＩＧ　２ Ａ ＩＧ　４ Ｉ０３ Ａ ＩＧ　５

Claims (1)

1. 【特許請求の範囲】 １）プロセッサ−チップカードにより動作するデータ交
   換システムにおける加入者相互のアイデンティフィケー
   ションのための方法であって、センターでそれぞれ加入
   者に関する公開コードにより暗号化され、そのつどのチ
   ップカードのなかに記憶されたアイデンティフィケーシ
   ョンデータと、これらの公開コードと論理的関係にある
   秘密コードとが使用されており、交互に加入者の間で乱
   数に関係する検査データが交換されるアイデンティフィ
   ケーションのための方法において、 ａ）チップカードが暗号化されたアイデンティフィケー
   ションデータ（Ｉ、ｖ）を、場合によってはセンターの
   署名と一緒に、チップカードにより情報交換に入る加入
   者に送り、加入者が暗号化されたアイデンティフィケー
   ションデータ（Ｉ、ｖ）の正しさを公開リストまたはセ
   ンターの署名により検査する過程と、 ｂ）チップカードが、ランダムな離散的対数に（１，・
   ・・，ｐ−１）（ここでｐは１つの取り決められた素数
   モジュール）から出発して、１つのｘ値を規則 ｘ：＝２＾ｒ（ｍｏｄ　ｐ） に従って形成し、またこのｘ値を加入者に送る過程と、 ｃ）加入者がランダムなビット列 ｅ＝（ｅ＿１＿，＿１，・・・，ｅ＿ｔ＿，＿ｋ）∈｛
   ０，１｝＾ｋ＾ｔをチップカードに送る過程と、 ｄ）チップカードが、同じく離散的対数を表す記憶され
   た秘密キーｓ＿ｊと加入者からチップカードに伝達され
   たランダムなビット列ｅのビットから形成された２進数
   との乗算により、また先に伝達されたｘ値に対応付けら
   れている乱数ｒの加算により１つの数ｙを規則 ▲数式、化学式、表等があります▼ に従って計算し、またこの数ｙを加入者に伝達する過程
   と、 ｅ）加入者が伝達された数により１つの数ｘを規則 ▲数式、化学式、表等があります▼ に従って計算し、またチップカード利用者のアイデンテ
   ィティを計算された数ｘと先に伝達されたｘ値との間の
   比較により検査する過程と を含んでいることを特徴とするデータ交換システムにお
   ける加入者相互のアイデンティフィケーションのための
   方法。 ２）請求項１によるプロセッサ−チップカードにより動
   作するデータ交換システムにおける伝達すべきメッセー
   ジに対する署名の発生のための方法において、 ａ）チップカードがチップカードのなかで発生された１
   と素数モジュール（ｐ−１）との間の範囲内に位置する
   乱数ｒから１つの ｘ値を規則 ｘ：＝２＾ｒ（ｍｏｄ　ｐ） に従って計算する過程と、 ｂ）チップカードがｘ値、メッセージｍおよび取り決め
   られたハッシュ関数ｈの関数として１つのランダム−ビ
   ット列ｅを規則 ｅ：＝ｈ（ｘ，ｍ）∈｛０，１｝＾ｋ＾ｔ に従って計算する過程と、 ｃ）チップカードが乱数に、チップカードのなかに記憶
   された秘密コードｓ＿ｊおよびランダム−ビット列ｅか
   ら１つのｙ値を規則 ▲数式、化学式、表等があります▼ に従って計算する過程と、 ｄ）チップカードがメッセージｍおよび値ｘおよびｙか
   ら形成された署名をそれとメッセージ交換関係になる加
   入者に送る過程と を含んでいることを特徴とするデータ交換システムにお
   ける伝達すべきメッセージに対する署名の発生のための
   方法。 ３）請求項１によるプロセッサ−チップカードにより動
   作するデータ交換システムにおける伝達すべきメッセー
   ジに対する短縮された署名の発生のための方法において
   、 ａ）チップカードがチップカードのなかで発生された１
   と素数モジュール（ｐ−１）との間の範囲内に位置する
   乱数ｒから１つの ｘ値を規則 ｘ：＝２＾ｒ（ｍｏｄ　ｐ） に従って計算する過程と、 ｂ）チップカードがｘ値、メッセージｍおよび取り決め
   られたハッシュ関数ｈの関数と して１つのランダム−ビット列ｅを規則 ｅ：＝ｈ（ｘ，ｍ）∈｛０，１｝＾ｋ＾ｔ に従って計算する過程と、 ｃ）チップカードが乱数ｒ、秘密コードｓ＿ｊおよびラ
   ンダム−ビット列ｅから１つのｙ値を規則 ▲数式、化学式、表等があります▼ に従って計算する過程と、 ｄ）チップカードがメッセージｍおよび値ｅおよびｙか
   ら形成された署名をそれとメッセージ交換関係になる加
   入者に送る過程と を含んでいることを特徴とするデータ交換システムにお
   ける伝達すべきメッセージに対する短縮された署名の発
   生のための方法。 ４）チップカードのなかに複数個の乱数ｒおよびそれぞ
   れ付属の１つの前プロセスで計算されたｘ値が対として
   記憶され、またアイデンティフィケーションおよび（ま
   たは）署名手続きの際に使用される対（ｒ，ｘ）が、乱
   数ｒが利用後にその他の記憶された乱数のランダムな選
   定と組み合わされるように変更され、また更新された乱
   数に対して付属のｘ値が計算され、また更新された乱数
   ｒと一緒に更新された対として記憶されかつ（または）
   利用されることを特徴とする請求項１ないし３の１つに
   記載の方法。 ５）チップカードのなかに複数個の乱数ｒ＿１，・・・
   ，ｒ＿ｋおよびそれらの付属のｘ値、ｘ＿ν＝２＾ｒ＾
   ＿ν（ｍｏｄ　ｐ）が記憶され、また１つのアイデンテ
   ィフィケーションおよび（または）署名手続きの際に使
   用される対（ｒ，ｘ）が対のｉ＝１，・・・，＠ｔ＠に
   対するランダムな選定（ｒ＿ａ＿（＿ｉ＿），ｘ＿ａ＿
   （＿ｉ＿））により▲数式、化学式、表等があります▼ ▲数式、化学式、表等があります▼ のように更新されることを特徴とする請求項４記載の方
   法。 ６）（ｐ−１）が素数ｑにより分割可能であるように素
   数モジュールｐが選定されており、離散的対数の底αが α＾ｑ＝１（ｍｏｄ　ｐ），α≠１（ｍｏｄ　ｐ）であ
   るように選定されており、離散的対数ｙ，ｒ，ｓ＿ｊ　
   ｍｏｄｕｌｏ　ｑが計算され、またコード構成要素ｓ＿
   ｊおよびｖ＿ｊがｖ＿ｊ＝α＾−＾ｓ＾ｊ（ｍｏｄ　ｐ
   ）の関係にあることを特徴とする請求項１ないし５の１
   つに記載の方法。 ７）秘密コード（ｓ＿ｊ）および乱数（ｒ）が、数ｓ＿
   ｊ，ｒおよびｙのビット長さが素数モジュールｐの全長
   よりも短いように選定されていることを特徴とする請求
   項１ないし６の１つに記載の方法。 ８）剰余類形成によりｍｏｄｕｌｏ　ｐが生ずる有限の
   群の代わりに、離散的対数を形成するために他の有限の
   群が使用されることを特徴とする請求項１ないし７の１
   つに記載の方法。 ９）有限の群として数ｎに対して素数の剰余類の単位群
   ■＾＊＿ｎ、有限の体の単位群、有限の体にわたる楕円
   曲線などが用いられることを特徴とする請求項８記載の
   方法。 １０）請求項２による方法により発生された署名（ｘ，
   ｙ）を、署名されたメッセージｍを受信する加入者にお
   いて確認するための方法において、 ａ）メッセージｍおよび署名のｘ値からランダム−ビッ
   ト列ｅが規則 ｅ：＝ｈ（ｘ，ｍ）∈｛０，１｝＾ｋ＾ｔ に従って計算される過程と、 ｂ）ランダム−ビット列ｅ、公開コードｖおよび署名の
   ｙ値から１つのｘ値が規則 ▲数式、化学式、表等があります▼ に従って計算され、また計算されたｘ値が署名のｘ値と
   合致するか否かが検査される過程と を含んでいることを特徴とするデータ交換システムにお
   ける署名の確認方法。 １１）請求項３による方法により発生された短縮された
   署名を、署名されたメッセージｍを受信する加入者にお
   いて確認するための方法において、 ａ）伝達されたメッセージｍおよび署名（ｅ，ｙ）から
   １つ数＠ｘ＠が規則 ▲数式、化学式、表等があります▼ に従って計算される過程と、 ｂ）署名のｅ値がｈ（＠ｘ＠，ｍ）と合致するか否かが
   検査される過程と を含んでいることを特徴とするデータ交換システムにお
   ける短縮された署名の確認方法。