JPH04500440A - 1回提示ブラインドサインシステム - Google Patents
1回提示ブラインドサインシステムInfo
- Publication number
- JPH04500440A JPH04500440A JP1505209A JP50520989A JPH04500440A JP H04500440 A JPH04500440 A JP H04500440A JP 1505209 A JP1505209 A JP 1505209A JP 50520989 A JP50520989 A JP 50520989A JP H04500440 A JPH04500440 A JP H04500440A
- Authority
- JP
- Japan
- Prior art keywords
- party
- box
- message
- issue
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
- G06Q20/06—Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3257—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using blind signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Collating Specific Patterns (AREA)
- Facsimile Transmission Control (AREA)
- Image Processing (AREA)
- Curtains And Furnishings For Windows Or Doors (AREA)
- Detergent Compositions (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるため要約のデータは記録されません。
Description
【発明の詳細な説明】
1回提示ブラインドサインシステム
1、発明の分野
本発明は暗号システム、特にリンクの不可能な、eブリ・ツクキーデジタルサイ
ンシステムに関するものである。
2、従来技術の説明
ブラインドサインは本田願人により米国特許出願524,898号”B11nd
signature system’に基づいた優先権主張の欧州特許公報0
.139,313号(1985年2月5日)および米国特許出願784.999
号’Llnanticipated blind signature sys
tem’に基づいた優先権主張の欧州特許公報0.218.305号(1987
年4月15日)に記載されているように技術的に知られている。
これらのサインは現金支払いシステム(例えば、1985年lO月出願のACM
通信1030乃至1044頁の”5ecurity withoutident
ification:Transaction systems Lo g+a
ke Big−Brotherobsolete”に記載されているような)を
構成するのではなく直接利用することができる。そのようなシステムでは、銀行
は1ドルをブラインドサインにするように変える。人々はそのようなサインを銀
行から購入することが可能であり(どのサインを購入したかを購入者が知ること
はブラインドによってサインを銀行以外に知られない)、店でそのサインを使う
。店はどこか他の場所ですでに利用されてない特定のサインを受けることを確か
めるようにオンライン処理で銀行でチェックする。もし店がそのようなチェック
をしなければ、誰かが1以上の店で同じ番号を利用し、ブラインドサインはそれ
らがトレースされることから防がれる。しかし、オンラインチェックは多くの適
用に費用がかかり実行不可能な場合もある。
ブラインドサインの別の利用法は信任状装置にある。これはまた上述の文献に紹
介され、さらに文献(本畠願人およびJ、H,Evertse氏によるProc
eedings of’ Crypto88.^1M。
0dlyzko、 Ed、、Sprlnger−Verlag 1987 ’A
5ecure andprivacy−protecting protoe
ol for trasnmitting persona!1nforIll
ation between organizations ’ )により紹介
されている。「デジタル筆名」がそのような装置で信任状を表示または受け取る
ために設けられるとき、同一の筆名が前に利用されてないことを識別することを
オンライン処理で実行することが必要である。
全てのこれらのシステムにおいて、(1)サイン発行パーティ、(2)第1のパ
ーティによって発行されるサインに対する複数のパーティ、(3)第2のパーテ
ィによって表示されるサインに対する複数のパーティの3つのタイプのパーティ
が存在する。「正直な」第2のパーティに対するリンク不可能さを減少せずに改
良された1方法は第3のパーティがサインを受取る前に別のまたは何等かの手形
センターでチェックを受けなければならないことである。そうでなければ、同じ
サインが1Å以上の第3のパーティにすでに示されていることがわかると、パー
ティは依頼がなくなる。
発明の目的
したがって、本発明の第1の目的は第1のパーティにより第2のパーティにサイ
ンを発行し、第2のパーティが第3のパーティにサインを与えることを許容する
パブリックキーデジタルサインシステムを提供することである。第1および第3
のパーティの協同は2回以上にわたってサインを示さない第2のパーティのトレ
ースをすることか不可能にする。
本発明の別の目的はそのような無制限の書き写し不可能さを提供する。(第2の
パーティが2回以上にわたってサインを示さないないことを仮定とすると)たと
え無制限の見積もり依頼は第1および第3のパーティに利用可能になるとしても
、書き写し不可能なままである。
本発明のさらに別の目的は第1および第3のパーティが2回以上にわたって1サ
インを示す第2のパーティを効果的に発見しトレースする(第1のパーティによ
るサインの特別の発行に逆戻りする)ことができることである。
本発明の付加的な目的はサインが2回以上示される後に前記発見およびトレース
が常時できることである。
本発明のさらに別の目的は第2のパーティが番号を示されたサインの形に書き直
すことを可能にすることである。
本発明のさらに別の目的は前記番号がある値に表示されることが可能であること
である。第2のパーティは示された値と最大値の差の値に対する払い戻しを後で
得ることを可能にする。
本発明のさらに別の目的はもとの示された特別の値が払い戻し中に表示されない
方法において、その値の払い戻しが少なくとも表示された2サイン以上に対して
得られることが可能にすることである。
本発明のさらに別の目的は本発明のその他の目的を達成する効果的で経済的で実
用的な装置および方法を提供することである。
本発明の別の目的、特徴および利点は本発明の説明および添付された請求の範囲
が図面に関連して理解することにより理解される。
図面の簡単な説明
第1図は本発明による第1の例示的な1回提示ブラインドサイン獲得プロコトー
ルの好ましい実施例のフローチャートを示す。
第2図は本発明による第1の例示的な1回提示ブラインドサイン表示プロコトー
ルの好ましい実施例のフローチャートを示す。
第3図は本発明による第1の例示的なプロコトールの多重提示の検出およびトレ
ースの好ましい実施例のフローチャートを示す。 −
第4図は本発明による第1図に対する第2の例示的な1回提示ブラインドサイン
獲得システムの拡張の好ましい実施例のフローチャートを示す。
第5図は本発明による第2図に対する第2の例示的な1回提示ブラインドサイン
表示システムの拡張の好ましい実施例のフローチャートを示す。
第6図は本発明による第4図および第5図の例示的な実施例に対する払い戻しサ
イン表示システムの好ましい実施例のフローチャートを示す。
発明の簡単な概要
本発明のこれらおよびその他の目的にしたがって、例示的な実施例の簡単な概要
を説明する。この簡単な概要についていくつかの簡単化および省略が行われ、本
発明の目的を強調させ紹介するのみであるが、その技術的範囲を制限するもので
はない。好ましい実施例の詳細な説明は当業者がその技術を利用することを可能
にし、独創的概念は後述される。
基本プロトコールは3つの部分、すなわちパーティPはパーティBから1回提示
すインを得る、パーティPは1回提示すインをパーティSに示す、およびパーテ
ィBは2回以上提示されたサインを検出しトレースする部分からなる(これらの
文字は利用制限が含まれることなく支払い人、銀行および店を明らかにする記憶
ための手段として選択された)。
サインが発行されるとき、パーティBを識別する構造がサインに組み込まれる。
サインが提示されるとき、この構造の1部分は明らかにされ、その選択部分は少
なくともPの制御外である。サインの2部分以上が明らかにされるとしても、簡
単な計算は決定されるサインの構造に組み立てられた識別子を与えることを可能
にする。サインが2回目に提示されると、構造の異なる部分が明らかにされるこ
とが予期され、したがって、識別子によってトレース可能である。
さらに、詳しく説明すると好ましい実施例の特定の場合(後の説明ではt−1と
して表示されている)は形式f (g(a、c)、g (a■u、d)の値のサ
インを含む。ここでfおよびgは1方向関数である。このサインが示されるとき
、関数gの1つからの予め表示された画像はパーティSに示されるが、他の関数
gの画像のみが表示される必要かある。このデータはパーティSによって試験さ
れ、すなわちパブリック関数を適用し、受は取るデジタル号インのメツt−ジが
どんな結果を生じるかをチェックすることにより行われる。
その他の関数gにおける予め表示された画像がまた構造の第2の提示において研
究されると仮定する。第1の注目すべき点は2つの提示が簡単に関連される。な
ぜなら関数fにおける正確に同一の画像を含むためである。識別情報は簡単にu
m H””■(aθU)を形成することによって検圧される。
■はグループ演算である。
明らかにされた論点を有する関数gの選択はシングルビットとして符号化される
ことができる。より一般的に、サインの中にtの項があり、それぞれ提示される
同一の形式である。
tビットストリングはどちらの半分が各項に対して開かれるかを決定するチャレ
ンジである。1ビツトでもこのチャレンジが異なると、Uが簡単に決められるこ
とを明らかにするのに十分である。
トレース不可能のために、関数gは予めの画像を再生するために反転されること
ができないことがもちろん必要である。
Cおよびd論点は少なくとも関数gの範囲と同一の範囲における集合からランダ
ムに選択され、関数gを反転することは不可能である。
変化はチャレンジストリングのいくつかの部分における金額を符号化にする。チ
ャレンジストリングの対応するビットがOとして表示されているときのみ、他の
サインがまたBパーティによって発行される。これらはパーティPが使用されて
いない値に対する交換を得ることが可能である。しかしながら、これらはす、f
ン庖区別することができるので、2以上のオリジナルサインからの変化は一度で
得られ、したがって支払い者に利用された厳密な量を秘密にすることが可能であ
る。
一般的な説明
ここに記載されている暗号方法および手段は基本的な第1の実施例および第2の
拡張実施例に分けられる。第1の実施例において、第1の処理(第1図)はパー
ティPがパーティBからサインを得ることができる。第2の処理(第2図)はこ
のサインが優先性をパーティPに知られていない番号Wに応答してパーティSに
よってパーティPから受け取られる。
パーティPが全く異なるWのサインを表示すると(第3図)、第3の処理はパー
ティBがU(識別子)を暴露することができるようにする。第2の実施例は変更
されていないこの第3の処理を使用することができるが、パーティPとパーティ
Bの間の変更された発行処理(第4図)、パーティPとパーティSの間の変更さ
れた提示処理(第5図)、およびパーティPとパーティBの間の未提示の返済処
理(第6図)を有する。
好ましい実施例の詳細な説明
第1図乃至第6図の表記は当業者に明らかであるが、明確に限定するためにここ
で説明される。
行わねる演算はフローチャートボックスに集まっている。
ボックスが位置するコラムはボックス内に限定された演算を実行するパーティを
示す。コラムは上方を横切るパーティの名によって分類される。記号名に基づい
て値を省く演算は等しい記号の左側の記号名および右側の値に対する式によって
表示される。別の種類の演算は均等性試験である。“?−?″記号はこの試験を
示すために使用され、試験が続行されないと、試験するパーティはプロトコール
を終了する(試験はプロトコール中にパーティによって実行される最終動作であ
ると、試験の成功または失敗はプロトコールによるパーティの成功または失敗を
決定する)。最終動作はメツセージを伝送することである。これは左側のメツセ
ージ番号によって示される。受領パーティの名前および矢印(読みやすくするた
め受領者が左側に位置するとき、各々の受領音名は左向きで示し、受領者が右側
に位置するとき、右向き矢印を示している)に続き、コロンに続き、最後に伝送
されるべきメツセージの実際値を示す式によって続かれる。
いくつかの式が使用される。1つはランダムという単語である。これは値が明細
書に限定されプロトコール以外に関係なく適切なセットから一様に選択されるの
が好ましいことを示している。故に、パーティはこれらの目的達成のために適切
な後処理によって物理的ランダム番号発生器を使用することが好ましい。
その他の式は指数法を含む。そのような全ての指数法は剰余モジュロの合成物M
が好ましい。Mの素因数分解はパーティBのみに利用可能であるのが好ましく、
そのような係数は最初に提案された文献(by Rivest、5hao+ir
and Adleman。
Co+++a+unications of the ACM、Februar
y 1978.pp、120−126)に記載されているように従来技術におい
て良く知られている。
演算が明らかに表示されていないとき、乗法モジュロMが仮定される。
異なるパブリック指数は係数Mと共に使用されることができる。第1図乃至第3
図において、パブリック指数pのみが使用される。これは適切な大きさの奇数素
数、すなわち減少された剰余システムの順序で互いに素であることが識別される
のに十分である大きさの素数である番号2または任意の他の整数が適切である。
第4図乃至第6図の拡張実施例では、p−GCD(p(1)、p(2)、、、、
p(t))およびq−q (1)、q (2)、、、、q (t))を示す。p
(i)およびQ (i)は異なった素因数および他の共通の因数をそれぞれ含
む。またはそれらは因数の多様性を増加させるかもしれない。例えば、特に、通
常は小さい指数が低い単位を表わすとき、p (i)−2’およびQ(i)−2
′は計算において保証され経済性を提供するであろう。
当業者に明らかなように偶数のパブリック指数は特別の処理を必要とし、それは
1つの事柄に対して平方根は多くの剰余に存在しないからである。したがって、
記号するべき事柄に対するパーティBの選択(以下述べられるようにVと呼ばれ
るセットによって決定される)は必然的に記号不可能を防ぐであろう。この発行
を処理する別の方法は正確な2つの因数、すなわち3モジユロ4と一致する熟知
の特定の複合形成の適用によって行われる。ブラインド因数はジャコピ記号1を
有するように調節された関数f下の画像と共にジャコピ記号1の標準パブリック
の平方でないものをランダム式に含む。
異なった偶数指数記号の各項はパーティBの選択によて記号に基づいて含まれた
パブリックの平方でないものを有するであろう。さらに注目すべき点は両パーテ
ィがノくブリ・ツクの平方でないものを挿入すると、その平方根もまた/でブリ
・ツクであるとき、パーティPによって記号から取出されることが可能である。
Sは詐欺師により研究された選択されたメツセージに関する平方根の機会が許容
できる範囲に小さくなるように十分の大きさであるように注意すべきである。
関数fが基礎において使用されるとき、倍数逆関数は最初に右側の式について計
算され、そこからこれは左側の式によって乗算にされる。パーティBによって指
数に使用されるとき、述べられたのと丁度同一の演算を示すが、計算は剰余モジ
ュロMのグループの順序のモジュロをとる。ノく−テイB以外のパーティによっ
て指数に使用されるとき、整数除法を示す。全ての演算の結果は二進整数として
符号化されるのが便利で明快であると仮定する(最も少ない正表示は剰余セ・ノ
ドと仮定する)。したがって11によって示された連鎖はビ・ノドベクトル表示
値の並置として定義される。
関数fおよび関数gは従来技術において熟知である2つの論点を有するパブリッ
ク的に一致された1方向関数であるのが好ましい。標準方法で関数gに基づく各
画像は関数fに対する論点として表示可能であり、関数fに基づく各画像は剰余
モジュロMとして表示される。同一の結果、すなわち通常暗号技術で得られた特
性を生じさせる2つ以上の前動な論点対を発見することが困難である状態では、
これらの関数は「衝突がない」のが好ましい。
さらに、関数gの望ましい特性は各特定の許容された第1の論点に対して、各可
能な出力を生成する同一の番号の第2の論点が存在する。言い換えると、第1の
論点を決定するとに対1のマツプを第2の論点から8力に与える。この新しくて
独創的な特性はトレースに対して「無条件」保護の利点を提供する、すなわち無
限の計算力がその結果のみを与えた関数gの第1の論点を決定することができな
いと思われる。いずれの場合において、そのような特性を有するか絶対意味また
は計算的意味における特性に近い関数は同様の利点を提供することができると思
われる。適切な論点の連鎖からの「ランダム」1方向関数は所望された特性に近
づくというより到達することが予期され、1方向関数が利用されることができる
であろう。
好ましい関数を構成するための1つの例示的方法は第2の論点に対するグループ
に関する「分離ログ」問題としてパブリックキー暗号技術において良く知られて
いるパイジエクチブ(bijective ) 1方向関数を適用することであ
り、さらに、第1の論点の1方向関数に基いてその結果を画像と結合するように
伴ったグループ演算を使用することである。例えば、第1の論点は第1の大きい
素数のモジュロ素数の指数として使用され、その結果(恐らく適用後、固定され
たキーまたは類似物を有するDES)は加算され、第2の素数のモジュロにより
原始的要素のモジュロの第2の論点に対する第2の素数を高くする。最終結果の
パイジェクチブ後スクランブルは最終適応、すなわち固定したキーを有するDE
Sによって与えられ、もとの2つの論点のそれぞれの類似のプレスクランプルも
また使用されることができる。
挿入辞オペレータ“O′は記載されるべき任意のUと同じ大きさのプライムの付
加モジュロのクループ動作である。当業者にはビットワイズの排他的オアまたは
任意の適当なグループ動作がどのようにして使用されるかは明瞭であろう。
記号名およびメツセージ番号の両者における下付きは明瞭にするために自然数に
わたりて取られている指標を示し、セット表記(セット差)はこれらの範囲にわ
たる整列されたセットを示すために使用される。記号名i、j、には指標として
使用される。セットのカーディナリティは通常のようにそれらを“1′記号で囲
んで示す。@とじて示した特定の動作は指標の記号名における接頭辞として明瞭
にするために使用される(例えばもしもiこf3.1,4 )およびgl、g2
.g3.g4−4.8゜1.7であるならば、gi−1,4,フおよびgi+g
@i −5,12,&である)。通常の■表記は積モジュロMに対して使用され
、ここでnに続く式中の指標はその全指標セットにわたって変化される。
2つのパラメータSおよびtは知られており、すべてのパーティでそれらを使用
することが同意されていると仮定する。
それらは使用される指標セットの大きさを決定し、それらの増加は秘密性を増加
させる。非常に高い秘密性はt−100および5−200を採用する形態と信じ
られているが、それよりはるかに小さい値が実際には使用できる。これは特に後
述するように第1図の多重例が互いに導通するとき正しい。Uの値は少なくとも
PおよびBに知られており、特定の処理または前述のような組み合わせた処理に
対してはユニークな識別子である。
第1図を参照にして好ましい実施例のフローチャートの第1の部分について詳細
に説明する。
ボックス101はランダムなP選択ri、at、ci、およびdlを示し、その
ようなランダムは前述のようなものであり、iはSから始まる自然数である。r
lはパブリック指数に上げられることにより“ブラインド係数”を形成するため
に使用され、したがってそれらは従来知られているように(1,・・・、ト1)
から選択されることが好ましい。alは2人の異なる支払い者が同じものを選択
する機会を減少するように均一であることが好ましい。C1とdiはgに対する
第2の論拠として使用され、したがってずでにgに対して説明された所望の特性
を最大にするように選択されることが好ましく、例えばgの第2の論点のドメイ
ンから均一に選択される。それからPは最初の論点として対応するalに対して
gを適用することによりxlを計算し、第2の論点としてciを計算する。次に
同様の方法でylが計算される。しかし各atはUとグループ動作Oにより結合
され、gに対する第1の論点を形成し、diは第2の論点として取られ、その結
果は記号的に対応するyiとして示される。
次に5メツセージが形成され、すでに説明した表記法によって示されるようにB
へ送られる。1番目のメツセージ[21,1]1はpに上げられたriのモジュ
ロMと第1の論点x1および第2の論点yiに対して適用されるfの積である。
ボックス102はメツセージ[11,13の受信後Bは最初にカージナリティs
−tを有する(l・・・S)のサブセットから均一にランダムにVを選択し、そ
れからこのサブセットをメツセージ[12]としてPに戻す。
ボックス103はどのようにしてPがこのメツセージ[12]として受けたサブ
セットのカーディナリティがs−tであることをチェックするかを示している。
すでに定めた表記によって要求されるように、もしもこのテストが満足されなけ
れば、Pは停止し、そうでなければPはこのセットの範囲で指標jをまず割り当
てることによって連続する。それからメツセージ[13,1] j、 [13,
2コj、 [13,3] j、 [13,4] jがそれぞれrj、 aj、
cj、 djから形成されて已に送られる。
ボックス104は、メツセージ[13,lJ j、 ri3.2] j、 [1
3,31j、 [13,4] jの受信後のCの作用を定める。セラ)vにおけ
る全ての指標に対してメツセージ[11,1] jがそれぞれgの下のイメージ
である2つの論点のf下のイメージとpに対してあげられたメツセージ[13,
1] jの積モジュロMとの積と等しいか否か比較される。gの最初の適用は第
1の論点としてメツセージ[13,2] j 、第2の論点として[13,3]
jを有する。これらの第2のものはUと動作■を使用して結合したメツセージ
[13,2] jからなる第1の論点および第2の論点[13,4] jを有す
る。このセットが全てのjをバスすると、Bは連続する。次にkがV中でない(
1・・・Sl中の全ての素子(ごわたっでランすることが可能になる。全ての[
il、i]*の積が形成され、モジュロMが177p乗に上られ、すでに説明し
たようにp乗根を示す。この値はそれからメツセージ[14] としてPに与え
られる。
ボックス105は第1の設定kが[12]中ではなく全ての素子(1,・・・、
S)をランすることを示す。受信したメツセージ[14]はp乗モジュロMに上
げられ、kによりインデックスされた全[11,1jの積モジュロMと等しいか
否か比較される。
この試験を通るとPは全rkの積の逆数とメツセージ[14]の積モジュロMの
積にnを設定する。最後にak、 ck、 xk、 ykは新しい指標を割り当
てる。整列した指標セット中の第1の素子は新しい指標1を受けるalを選択す
るj範囲を設定し、jの指標中の第2の素子はどの素子が指標2を得るかを決定
し、以下同様に指標セットの全素子に対して決定される。同じことはck、 x
k、 ykについても行われる。
第2図を参照して好ましい実施例の部分に対する第2のフローチャートについて
詳細に説明する。
ボックス201はすでに説明したようにボックス105中で計算されたnの値を
含むメツセージ[21,1]をPによりSに送信を開始する。iに対する指標セ
ットは最初のtの自然数あるように採用される。それから各iの値に対してメツ
セージ[21,2] iが第1の論点xi°および第2の論点yi’によりf下
の画像として形成された後に送られる。
ボックス202は+1.、、、、t l の全サブセットからランダムに指標セ
ットWをSがまず選択することを示す。Sは全メツセージ[21,1] iと全
モジュロの積と均等性に対してメツセージ[21,1]のp乗を試験する。もし
も試験が満足であれば、Sはメツセージ[22コの送信で続けられ、PにWを与
える。
ボックス203はPにより受信されたメツセージ[22]により定められたチャ
レンジのミーティングである。[22]中の素子jに対してa’j、e’jおよ
びy’jはメツセージ[23,13j 。
[23,2] j 、[23,3] jとしてそれぞれSに送られ、(1,・・
・、1)中であって[22]中ではない素子に対してx’に、 a’に■Uおよ
びd’にはそれぞれメツセージ[23,4] k 、[23,5] kおよび[
23,8] kとして送られる。
ボックス204は[23,1]〜[23,6]のSによる受信およびチェックを
示す。W中の各jに対して、メツセージ[21,2]jは2つの論点のf下の画
像の均等性を試験し、最初は[23,1]jおよび[23,2] jのg下の画
像であり、その順で第2のものは[23J] jである。W中ではなく(l、・
・・、il中の各kに対し、で、メツセージ[21,2] kは2つの論点のf
下の画像により均等性が試験される。MlはE23.4コにであり、第2は[2
3,5] kおよび[23,6] kのg下の画像であり、その順である。
第3図を参照して好ましい実施例の部分に対する第3のフローチャートについて
詳細に説明する。
ボックス301はどのようにしてBが各Sからまず[21,2]を得て記録する
かを示す。
ボックス302はBがボックス301中で受けた[21.2]間の重複性をサー
チする。1例では[3013中で受信されたとき、適当な方法で[21,2]を
蓄積し、これは重複を検出するように容易に構成される(当業者に明らかなよう
にいわゆる“かきまぜ″がこのため適当なデータ構造であることを認識するであ
ろう。これらはすでに1方向関数下の画像であるから、それらの幾つかのビット
はかきまぜ値として直接使用されることができる)。別の例は多数の[21,2
]に対して捜索されないバッチとして蓄積され、受信されたものを周期的に検索
し、それらをすでに受信したたのものと混合する。捜索およびサーチ技術に基づ
いたそのような重複検出の種々の方法はコンピュータ技術では広く知られている
。
ボックス303は302で反復されたように検出された[21.2]の特定の値
の少なくとも2つの例に対応しているメツセージ[23,1]および[23,5
]のいずれが得られるかを示している。
これはそれらが重複[2x、2]を供給する各Sから得られることが期待される
。例えばそれらは[2L、2]と共にSによって与えられてもよい。もしもバッ
チ捜索がボックス302で行われれば、Bは[23,1:lと[23,5]を得
ることができ、必要な重複に対応するものを検索する。或は例えば[23,1]
と[23,5]が[21,2]と共に供給されない場合には、BはSからこれら
を要求し、恐らく個々にBに知られている[23.2]をSが供給する。
ボックス304は特定の[21,2]に対応するUを再構成することができるこ
とを示し、それに対して[23,1] と[23,5]が知られている。これは
グループ動作○を使用して[23,5]と[23,11とのグループの反転を結
合する二とにより簡単に行われる。
第4図を参照して好ましい実施例の部分に対する第4のフローチャートについて
詳細に説明する。
このフローチャート中のボックスは第2の実施例の第1図に対応するボックスの
変形を表す。明瞭にし、読みゃすいように変化した部分だけが示されている。す
なわちボックス401.402,403,404,405はそれぞれボックスI
OI、102.103.104.105に対する変化を示す。
ボックス401はPに対するボックス101で定められた作用に対する変化を示
す。ボックス101中で使用された記号名aの定義はボックス401中のそれと
置換される。他方ボックス401に示された動作およびメツセージは第2の実施
例に対するボックス101に含まれる付加的作用のみを定めている。4つの記号
名の1番目の素子(1≦l≦S)に対する値はランダムに選択される。すなわち
r”iは残余モジュロMのセットから選択される。a”iは■下のグループ素子
を丁度保持できる長さのストリングである。biはa”iに付加された後gに対
する第1の入力に対する適当な長さのストリングとして選択される。eiは第1
図の01とdiとして選択される(UはBにより選択され、alに対して要求さ
れるような多くの情報を含む必要はないことが認められるであろう。それは“バ
ースディパラドックス′誘起問題に対して保護される必要はないがらである。し
たがって■下のグループ素子は適当な大きいbを含むためにgの第1の論点中で
充分な容積を残すようにすることが期待され乙。)。依然として1がらSに走行
している各指標1に対して、ajの値はa”iとbiの連鎖として計算され、b
i部分は高位桁ビット位置を占める(■により定められたモジュラ付加を残さな
い)。ビットストリングとしてこの結果の符号化は第1図のxiの形成で使用さ
れたgに対する第1の入力である。第1図中でyiの形成において示された符号
化およびグループ動作は、そのgに対する第1の論点中でbについての情報を残
さない。さらにziは第1の論点としてのbiおよび第2の論点としてのeiか
ら形成されたg下の画像として採用される。メツセージ[11,2] iはq乗
に高められた「”1とモジュロMの積であることによりブラインドにされた対応
するzlを含みBに送られる。
ボックス402はボックス102と同じであり、メツセージ[11,2] 1の
受信を暗示する。
ボックス403はボックス103に記載された3つの付加メツセージを示す。ボ
ックス103で定められた各jに対して、Bにより送られたメツセージ[13,
5] j 、[13,6コj、[13,7]jはそれぞれrlJ、 bj、 e
jを含む。
ボックス404はボックス104に対する変形で、前のメツセージ[14]が送
られないことを除けば全て含まれている。各メツセージ[11,2] jはgに
上げられた受信に対応するメツセージ[13,5] jとg下の画像の積と均等
性に対して試験される。gに対する第1の論点は受信されたメツセージ[13,
6]jであり、第1の論点は受信されたメツセージ[13,7] jである。も
しも均等性が保持されればメツセージ[14,1]と[14,2] kが形成さ
れ、Pに送られる。[14,1]を形成する積モジュロM中の各項は[11,1
] kの一つのp番目のモジュロMであり、順番のセットv(1,・・・、S)
中の第1の素子が指数である[11.11はp(1)番目の根を得る。指数がそ
のセ・ノドの第2の素子であるメツセージはp(2)番目の根を得る。
以下このセットの最後の素子まで同様である。同じ指標セットを走行するkの多
値に対してメツセージ[14,2] kはメツセージ[11,2] kのg (
@k)番目の根モジュロMとして形成され、したがってg(1)番目の根を持つ
メツセージは例えばiの指標を持ち、順序指標セットV (1,・・・、s)中
のi番目の素子が指数であるメツセージから形成される。
ボックス405はボックス105のPに対する変化を示す。すなわちボックス1
05中で使用された記号名nの定義はボ・ンクス405中に設定されたものと置
換され、他方ボックス405中に示された動作とメツセージは追加の作用につい
てのみ定められる。pに上げられた第1のメツセージ[14,1]は[11,1
]kモジュロMの指数の積と均等性に対してチェックされる。
B 105中で定められたセット中のkによりこれらを各指標値に対応する項は
指数に上げられた[11.1] kであり、その指数はp (i)により割られ
たpの整数商である。ここでiは指標セット中のk(@にで示された)の位置で
ある。それからnはメツセージ[14,1] とrkの積の逆数との積として形
成される。この積の各項はkの指標セット中の素子の1つに対応し、ここでベー
スはrkであり、その指数はp (@k)で割られたpの整数商である。それか
らmkはメツセージ[14,2]kとrkの逆数の積として形成される。これら
のそれぞれはkの指標セット中の素子の1つに対応する。ここでベースはr。
゛にであり、その指数はq (@k)で割られたqの整数商である。最後にbk
とekの素子はそれぞれb′とe゛とじて後で使用されるために再指標化され、
再ラベルされる。保持された素子の指標はkが位置する範囲の指標セット中の位
置番号である。
第5図を参照して好ましい実施例の部分に対する第5のフローチャートについて
詳細に説明する。
ボックス501はボックス201がこの第2の実施例で変更の必要がないことを
示している。
ボックス502はボックス202中の変化を示している。それは均等性試験の置
換およびランダム部分でない一部または全部を含むようにW中の可能な変化を含
み、それはそれぞれ階級に対応するWの合致素子でもよくもしもそのような素子
がW中に現れれば、それは階級に対応する量が転送されることを意味している。
新しい試験はpに上げられた[21.1]および整数p(1)乗により割られた
整数pに上げられた[21.2]1の形態のtの項の積モジュロMの間の均等性
である。
ボックス503はボックス203がすでに述べたように期待できるWのランダム
でない部分をチェックすることを除いて変化の必要がないことを示す。
ボックス504はボックス204がこの第2の実施例で変更の必要がないことを
確認するだけのものである。
第6図を参照して好ましい実施例の部分に対する第6のフローチ丁−トについて
詳細に説明する。
図はすでに述べたように第1の実施例で記載しなかったPとBとの間の処理を示
す。
ボックス801はBに対する4つのメツセージ[81,0。
[61,21、[61,3] 、[61,4]を送るPを示し、それぞれ11f
fli、b’iおよびe′iを含む。
ボックス602はBがまずこれら4つのメツセージをどのように受信し、記号名
りで[61,1]を省略するかを示す。次にBは均等性を試験する。左側はp
(h)に上げられたメツセージ[61,2]であり、右側では第1の論点メツセ
ージ[61J]と第2の論点メツセージ[61,41に適用されたgである。
最後にBは全ての前に受信した[81.3]をサーチし、含まれていると考えら
れなければならない前にこの新しい[81,33がそれら中にないことを確信す
る。同様にBはまた、受信したメツセージのサフィックス(その長さがa″の長
さであるブリフィックスを超える)が第5図に記載された第2図の変形において
受信されたメツセージ[23,13のサフィックスに等しくないことをチェック
する。
ある程度の変更および置換は当業者には明白であろう。
例えば、第2図のプロトコールによって、多分xiとyiの圧縮1方向関数はメ
ツセージ[21,2] jの代りにその順序にpを委任するのに充分である(そ
のような圧縮画像は不必要であっても、もしもf下の像の順序が第4図および第
5図に関して繰返されるようにその2進表示で辞書編集上でなければならない環
流が行われるならば)。或は別に示すようにpにより第1図と第2因の間で必要
が節約されるデータ量は例えばX゛とy゛を保持しないで、ボックス201中の
fについて行ったように単にそれらを再構成することによって図示されたものよ
り減少される。
最初に挙げたブラインドサイン刊行物のものでは本質的である。図示された特定
のブラインドの代りに第2のブラインドサインの刊行物に開示された技術が使用
されることができる。さらにパブリック指数gで示されたサイン方式は異なった
モジュラスに適用でき、或は別出願(υnanticipatedsignat
ure 5ysteIls )に記載されたような全体的に異なる種類のサイン
であってもよい。そのようなサインはまたp下のものとの項の積であり、第4図
のプロトコールの多重例は[14,2]が戻る前に特定のpにより導かれる。こ
れらの例はBが複数のチャレンジセットVを供給する前に全メツセージ〔11]
を受信する方法で行われ、制限はこれらが接続されず、連鎖tであることだけで
ある。さらにこの方法は第1図の技術を適用に採用されることもできる。また第
1の実施例のサインは第2の実施例で成されているように異なる項に対して異な
るパブリック指数を使用することができ、または第2の実施例はすでに述べられ
た辞書編集順序技術が使用されるとき単一のパブリック指数のみが必要であろう
(第4図の場合、順序は[11,3]として送らなければならず、j番目のエン
トリーに対しボックス404中で成されたこれらの試験の一部としてBによりチ
ェックされる)。
さらに別の変形は1つのfにおけるより多くのgを含む。
Uは“キー共用°、′シャドウ′または“部分キー″と呼ばれる当業者によく知
られた各種の技術によりこ:れらのgの間で分割される。これらの方式のいわゆ
る“しきい値″より1つ少ないgの数であり、その論点は提示中明らかにされな
げてばならない。
以上本発明の説明は例示として記載されたものであり、当業者は本発明の技術的
範囲から逸脱されることなく、種々の変形、変更形態および均等物が使用可能で
あることを認識するであろう。
P B
B
丁匈■τe5
1F匈tarε6
国際調査報告
Claims (1)
- 1.少なくとも暗号仮定下で、高い確率で各サインが少なくとも2つの部分に分 割された識別情報を含むことを確保するようにした複数のサインを発行し、 前記少なくとも2つの部分のそれぞれの少なくとも1つを示す方法でデジタルサ インを示してチェックし、示されたサインのセットについて試験を行い、前記発 行されたサインの少なくとも1つの異なる部分が発行されたサインを2回以上示 すならば、識別子の少なくとも1つを生成するステップを有するパブリックキー デジタルサインシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16880288A | 1988-03-16 | 1988-03-16 | |
| US168,802 | 1988-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH04500440A true JPH04500440A (ja) | 1992-01-23 |
| JP3333503B2 JP3333503B2 (ja) | 2002-10-15 |
Family
ID=22612986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP50520989A Expired - Fee Related JP3333503B2 (ja) | 1988-03-16 | 1989-03-15 | 1回提示ブラインドサインシステム |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP0407465B1 (ja) |
| JP (1) | JP3333503B2 (ja) |
| AT (1) | ATE197656T1 (ja) |
| AU (1) | AU3560989A (ja) |
| DE (1) | DE68929263T2 (ja) |
| WO (1) | WO1989008957A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021520732A (ja) * | 2018-04-13 | 2021-08-19 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | 即時オフラインのブロックチェイントランザクションのセキュリティを高めるのに適しているコンピュータにより実装されるシステム及び方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE159603T1 (de) * | 1990-01-29 | 1997-11-15 | Security Techn Corp | Wahlweise moderierte transaktionssysteme |
| US5148479A (en) * | 1991-03-20 | 1992-09-15 | International Business Machines Corp. | Authentication protocols in communication networks |
| NL9301348A (nl) * | 1993-08-02 | 1995-03-01 | Stefanus Alfonsus Brands | Elektronisch betalingssysteem. |
| US5434919A (en) | 1994-01-11 | 1995-07-18 | Chaum; David | Compact endorsement signature systems |
| US5712913A (en) * | 1994-02-08 | 1998-01-27 | Digicash Incorporated | Limited-traceability systems |
| US5901229A (en) * | 1995-11-06 | 1999-05-04 | Nippon Telegraph And Telephone Corp. | Electronic cash implementing method using a trustee |
| GB2317790B (en) * | 1996-09-26 | 1998-08-26 | Richard Billingsley | Improvements relating to electronic transactions |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4264782A (en) * | 1979-06-29 | 1981-04-28 | International Business Machines Corporation | Method and apparatus for transaction and identity verification |
| US4393269A (en) * | 1981-01-29 | 1983-07-12 | International Business Machines Corporation | Method and apparatus incorporating a one-way sequence for transaction and identity verification |
| US4759063A (en) * | 1983-08-22 | 1988-07-19 | Chaum David L | Blind signature systems |
| US4759064A (en) * | 1985-10-07 | 1988-07-19 | Chaum David L | Blind unanticipated signature systems |
-
1989
- 1989-03-15 JP JP50520989A patent/JP3333503B2/ja not_active Expired - Fee Related
- 1989-03-15 DE DE68929263T patent/DE68929263T2/de not_active Expired - Fee Related
- 1989-03-15 AT AT89905483T patent/ATE197656T1/de not_active IP Right Cessation
- 1989-03-15 EP EP89905483A patent/EP0407465B1/en not_active Expired - Lifetime
- 1989-03-15 WO PCT/US1989/001061 patent/WO1989008957A1/en active IP Right Grant
- 1989-03-15 AU AU35609/89A patent/AU3560989A/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021520732A (ja) * | 2018-04-13 | 2021-08-19 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | 即時オフラインのブロックチェイントランザクションのセキュリティを高めるのに適しているコンピュータにより実装されるシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE68929263T2 (de) | 2001-07-12 |
| JP3333503B2 (ja) | 2002-10-15 |
| WO1989008957A1 (en) | 1989-09-21 |
| AU3560989A (en) | 1989-10-05 |
| ATE197656T1 (de) | 2000-12-15 |
| DE68929263D1 (de) | 2000-12-21 |
| EP0407465A1 (en) | 1991-01-16 |
| EP0407465A4 (en) | 1992-10-07 |
| EP0407465B1 (en) | 2000-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4987593A (en) | One-show blind signature systems | |
| US4914698A (en) | One-show blind signature systems | |
| AU705406B2 (en) | Secret-key certificates | |
| Chaum | Showing credentials without identification transferring signatures between unconditionally unlinkable pseudonyms | |
| US7864952B2 (en) | Data processing systems with format-preserving encryption and decryption engines | |
| US5319705A (en) | Method and system for multimedia access control enablement | |
| Trappe | Introduction to cryptography with coding theory | |
| US5781631A (en) | Limited-traceability systems | |
| US8611530B2 (en) | Encryption via induced unweighted errors | |
| US5276736A (en) | Optionally moderated transaction systems | |
| US5113444A (en) | Random choice cipher system and method | |
| US8855296B2 (en) | Data processing systems with format-preserving encryption and decryption engines | |
| EP2751949B1 (en) | Multiple table tokenization | |
| CN108463968B (zh) | 可变长度数据的快速格式保留加密 | |
| US20140233727A1 (en) | Method for secure substring search | |
| JPH04502989A (ja) | 返送金額隠蔽符号システム | |
| AU1132199A (en) | A non-deterministic public key encryption system | |
| JPS5950068B2 (ja) | 公開キ−式の暗号装置 | |
| CA2693234C (en) | Method of providing text representation of a cryptographic value | |
| JPH031629A (ja) | データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法 | |
| US10164945B2 (en) | Method, apparatus, and computer-readable medium for masking data | |
| RU2124814C1 (ru) | Способ шифрования блоков цифровых данных | |
| JPH04500440A (ja) | 1回提示ブラインドサインシステム | |
| JP2000502196A (ja) | 制御自写像公開鍵システム | |
| Bhowmik et al. | A symmetric key based secret data sharing scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |