JPH06118873A - ディジタル署名装置 - Google Patents
ディジタル署名装置Info
- Publication number
- JPH06118873A JPH06118873A JP4271271A JP27127192A JPH06118873A JP H06118873 A JPH06118873 A JP H06118873A JP 4271271 A JP4271271 A JP 4271271A JP 27127192 A JP27127192 A JP 27127192A JP H06118873 A JPH06118873 A JP H06118873A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- data
- input
- message data
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【目的】 高速に複数の署名データの正当性を同時に一
括して検査するディジタル署名装置を提供する。 【構成】 複数のメッセージデータとこの複数のメッセ
ージデータの各メッセージデータに対する各署名データ
と、各署名データの生成に用いられた各秘密鍵データに
1対1に対応する各公開鍵データを入力する入力手段2
10と、各入力メッセージデータと各入力署名データ
と、各入力公開鍵データを用いて、各入力署名データの
生成に用いられた各署名生成式に1対1に対応する署名
検査式と複数のランダム変数とで決定され、その各ラン
ダム変数に対する恒等式であるように決定された一括署
名検査式にしたがって、各入力署名データの正当性を一
括して検査する署名検査手段220と、検査結果を出力
する出力手段230を備えた署名検査部200とで構成
される。なお署名生成部は従来のディジタル署名装置と
同じ手段を備えている。
括して検査するディジタル署名装置を提供する。 【構成】 複数のメッセージデータとこの複数のメッセ
ージデータの各メッセージデータに対する各署名データ
と、各署名データの生成に用いられた各秘密鍵データに
1対1に対応する各公開鍵データを入力する入力手段2
10と、各入力メッセージデータと各入力署名データ
と、各入力公開鍵データを用いて、各入力署名データの
生成に用いられた各署名生成式に1対1に対応する署名
検査式と複数のランダム変数とで決定され、その各ラン
ダム変数に対する恒等式であるように決定された一括署
名検査式にしたがって、各入力署名データの正当性を一
括して検査する署名検査手段220と、検査結果を出力
する出力手段230を備えた署名検査部200とで構成
される。なお署名生成部は従来のディジタル署名装置と
同じ手段を備えている。
Description
【0001】
【産業上の利用分野】数値データ化された種々のビジネ
ス文書をコンピュータや通信ネットワークを介して電子
的にやり取りしたり蓄積するときに、その電子文書の作
成者や承認者を確認したり、電子文書の内容の正当性を
確認したりするためのディジタル署名装置に係わる。
ス文書をコンピュータや通信ネットワークを介して電子
的にやり取りしたり蓄積するときに、その電子文書の作
成者や承認者を確認したり、電子文書の内容の正当性を
確認したりするためのディジタル署名装置に係わる。
【0002】
【従来の技術】コンピュータネットワークの発達に伴っ
て、さまざまな契約文書や取引文書がコンピュータネッ
トワークを介して電子的にやり取りされたり、蓄積され
るようになってきている。しかし、このようなネットワ
ークを介してやり取りされる電子文書の内容の正しさ
や、その作成者の確認に、従来の紙をベースとした文書
のやり取りにおいて、その文書の正しさや作成者などの
確認に用いられている捺印やサインをそのまま数値デー
タ化して用いることはできない。なぜなら、捺印やサイ
ンをそのまま数値データ化したデータは容易にコピーで
きるためである。
て、さまざまな契約文書や取引文書がコンピュータネッ
トワークを介して電子的にやり取りされたり、蓄積され
るようになってきている。しかし、このようなネットワ
ークを介してやり取りされる電子文書の内容の正しさ
や、その作成者の確認に、従来の紙をベースとした文書
のやり取りにおいて、その文書の正しさや作成者などの
確認に用いられている捺印やサインをそのまま数値デー
タ化して用いることはできない。なぜなら、捺印やサイ
ンをそのまま数値データ化したデータは容易にコピーで
きるためである。
【0003】この問題を解決する手段として、公開鍵暗
号技術を利用したディジタル署名法がある。このディジ
タル署名法のしくみは次の通りである。まず、ある数値
データ化された電子文書に対してその文書の正当性を保
証したい人(署名者)が、本人しか知らない秘密鍵と呼
ばれる秘密データを用いて、ディジタル署名と呼ばれる
データを作成する。一方このディジタル署名の正当性を
確認したい人は、その生成に用いられた秘密鍵に1対1
に対応する公開鍵と呼ばれるすべての人に公開されたデ
ータを用いることで、ディジタル署名の正当性の確認を
行うことができる。このようにこのディジタル署名と呼
ばれるデータを捺印やサインの代わりに用いる。
号技術を利用したディジタル署名法がある。このディジ
タル署名法のしくみは次の通りである。まず、ある数値
データ化された電子文書に対してその文書の正当性を保
証したい人(署名者)が、本人しか知らない秘密鍵と呼
ばれる秘密データを用いて、ディジタル署名と呼ばれる
データを作成する。一方このディジタル署名の正当性を
確認したい人は、その生成に用いられた秘密鍵に1対1
に対応する公開鍵と呼ばれるすべての人に公開されたデ
ータを用いることで、ディジタル署名の正当性の確認を
行うことができる。このようにこのディジタル署名と呼
ばれるデータを捺印やサインの代わりに用いる。
【0004】具体的な従来のディジタル署名装置の構成
を示すブロック図を図2に示す。同図において100は
署名生成部であり、110は署名生成部100にメッセ
ージデータを入力する入力手段、120は署名データを
生成する署名生成手段、130は120で生成された署
名データを出力する出力手段である。また200は署名
検査部であり、210は署名検査部200にメッセージ
データと署名データと公開鍵データを入力する入力手
段、220は入力署名データの正当性を検査する署名検
査手段、230は220で検査した結果を出力する出力
手段である。
を示すブロック図を図2に示す。同図において100は
署名生成部であり、110は署名生成部100にメッセ
ージデータを入力する入力手段、120は署名データを
生成する署名生成手段、130は120で生成された署
名データを出力する出力手段である。また200は署名
検査部であり、210は署名検査部200にメッセージ
データと署名データと公開鍵データを入力する入力手
段、220は入力署名データの正当性を検査する署名検
査手段、230は220で検査した結果を出力する出力
手段である。
【0005】以上のように構成されたディジタル署名装
置にける動作は次のとおりである。まず、署名生成部1
00においてメッセージデータに対する署名データを生
成する場合の動作について説明する。 (1)入力手段110はメッセージデータを入力すると
その入力メッセージデータを署名生成手段120に渡
す。 (2)署名生成手段120は、入力メッセージデータと
あらかじめ定められている秘密鍵データを用いて、あら
かじめ定まっている署名生成式にしたがって署名データ
を生成し、その署名データを出力手段130に渡す。 (3)出力手段130は署名データを出力する。次に、
署名検査部200においてメッセージデータに対する署
名データの正当性を検査する場合の動作について説明す
る。 (1)入力手段210はメッセージデータと、そのメッ
セージデータに対して生成された署名データと、その署
名データ生成に用いられた秘密鍵データに1対1に対応
する公開鍵データとを入力するとこれらの各入力データ
を署名検査手段220に渡す。 (2)署名検査手段220は、各入力データに対して、
あらかじめ定められている署名検査式にしたがって署名
データが正当であるかどうかを検査し、その検査結果を
出力手段に渡す。ここで、署名検査式は、署名データの
生成に用いられた署名生成式に1対1に対応する。 (3)出力手段230は検査結果を出力する。
置にける動作は次のとおりである。まず、署名生成部1
00においてメッセージデータに対する署名データを生
成する場合の動作について説明する。 (1)入力手段110はメッセージデータを入力すると
その入力メッセージデータを署名生成手段120に渡
す。 (2)署名生成手段120は、入力メッセージデータと
あらかじめ定められている秘密鍵データを用いて、あら
かじめ定まっている署名生成式にしたがって署名データ
を生成し、その署名データを出力手段130に渡す。 (3)出力手段130は署名データを出力する。次に、
署名検査部200においてメッセージデータに対する署
名データの正当性を検査する場合の動作について説明す
る。 (1)入力手段210はメッセージデータと、そのメッ
セージデータに対して生成された署名データと、その署
名データ生成に用いられた秘密鍵データに1対1に対応
する公開鍵データとを入力するとこれらの各入力データ
を署名検査手段220に渡す。 (2)署名検査手段220は、各入力データに対して、
あらかじめ定められている署名検査式にしたがって署名
データが正当であるかどうかを検査し、その検査結果を
出力手段に渡す。ここで、署名検査式は、署名データの
生成に用いられた署名生成式に1対1に対応する。 (3)出力手段230は検査結果を出力する。
【0006】そして署名生成式および署名検査式として
は例えばエルガマル(ElGamal) の提案したElGamal 署名
法と呼ばれる方式を用いることができる。この場合署名
生成式はつぎの通りである。
は例えばエルガマル(ElGamal) の提案したElGamal 署名
法と呼ばれる方式を用いることができる。この場合署名
生成式はつぎの通りである。
【0007】 rj≡g^kj modp (1) sj≡(mj-xj×rj)×kj^(-1) modp (2) ここでmjはメッセージデータ、(rj,sj)はmjに対
する署名データ、pは素数、gはこの素数pを法とする
剰余体における原始根、kjは(1,p-1)の範囲でランダム
に選ばれた乱数値、xjは(1,p-1)の範囲でランダムに選
ばれた秘密鍵データとする。そして式(rj≡g^kj mo
dp)は数値gを数値kjでべき乗した結果を数値pで割
ったときの余りをrjとすることを意味する。 また原始
根gとは、g^(p-1)≡1 modp かつ(0<i<p-1)なる任
意のiに対してg^i≠1 modpを満たす整数値であ
る。一方署名検査式は次のとおり。
する署名データ、pは素数、gはこの素数pを法とする
剰余体における原始根、kjは(1,p-1)の範囲でランダム
に選ばれた乱数値、xjは(1,p-1)の範囲でランダムに選
ばれた秘密鍵データとする。そして式(rj≡g^kj mo
dp)は数値gを数値kjでべき乗した結果を数値pで割
ったときの余りをrjとすることを意味する。 また原始
根gとは、g^(p-1)≡1 modp かつ(0<i<p-1)なる任
意のiに対してg^i≠1 modpを満たす整数値であ
る。一方署名検査式は次のとおり。
【0008】 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (3) ここで、秘密鍵データxjと公開鍵データyjは次の式で
1対1に対応づけられる。
1対1に対応づけられる。
【0009】 yj≡g^xj modp (4) このとき(1)、(2)式にしたがって生成された正当な署名
データ(rj,sj)は (3)式の左辺=(yj^rj)×(rj^sj)×(g^(-mj)) ≡((g^xj)^rj)×((g^kj)^((mj-xj×rj)×kj^(-1)))× (g^(-mj)) ((1)(2)(4)式を代入) ≡(g^(xj×rj))×(g^(kj×(mj-xj×rj)×kj^(-1)))× (g^(-mj)) ≡(g^(xj×rj))×(g^(mj-xj×rj))×(g^(-mj)) ≡1 modp =(3)式の右辺 となることから、(3)式を満たすことがわかる。
データ(rj,sj)は (3)式の左辺=(yj^rj)×(rj^sj)×(g^(-mj)) ≡((g^xj)^rj)×((g^kj)^((mj-xj×rj)×kj^(-1)))× (g^(-mj)) ((1)(2)(4)式を代入) ≡(g^(xj×rj))×(g^(kj×(mj-xj×rj)×kj^(-1)))× (g^(-mj)) ≡(g^(xj×rj))×(g^(mj-xj×rj))×(g^(-mj)) ≡1 modp =(3)式の右辺 となることから、(3)式を満たすことがわかる。
【0010】なおエルガマル署名方式は、”ア パブリ
ック キー クリプトシステム アンド シグニチャス
キーム ベイスト オン ディスクリート ロガリズ
ム”プロシーディング オブ クリプト84(T.E.ElGama
l:"A public key crypto systemand signature scheme
based on discrete logarithm",Proc.Crypto84) に詳し
く述べられている。
ック キー クリプトシステム アンド シグニチャス
キーム ベイスト オン ディスクリート ロガリズ
ム”プロシーディング オブ クリプト84(T.E.ElGama
l:"A public key crypto systemand signature scheme
based on discrete logarithm",Proc.Crypto84) に詳し
く述べられている。
【0011】
【発明が解決しようとする課題】しかしながら前記のよ
うな構成では、複数のディジタル署名データの正当性を
同時に検査する必要がある場合に、個々に逐次的に検査
する必要があり、その検査時間が大きいという問題点を
有していた。また特に従来のElGamal 署名法を利用する
場合には、署名検査式である(3)式の計算(3項のべき乗
積演算)に、上述の原論文にあるように素数pを法とす
る剰余体上の乗算演算を、平均1.875×[log2p] 回実行
する必要がある。ここで素数pは、第3者による署名の
偽造を防止するために、500ビット程度以上の素数に選
ぶよう推奨されている。いま仮にpを500ビットの素数
とすると、1組の署名データ(rj,sj)を検査するため
に、500ビットの素数pを法とする剰余体上の乗算演算
を、平均1.875×500=938 回実行することが必要とな
り、特に、複数組の署名データ(rj,sj)(j=1,2,…,N)
を同時に検査する必要のある場合には、各署名データに
対して上記署名検査式を逐次実行することが必要とな
り、署名検査時の処理量がその署名データの数に比例し
て大きくなってしまう。本発明はかかる点に鑑み、高速
に複数の署名データの正当性を同時に一括して検査する
ディジタル署名装置を提供することを目的とする。
うな構成では、複数のディジタル署名データの正当性を
同時に検査する必要がある場合に、個々に逐次的に検査
する必要があり、その検査時間が大きいという問題点を
有していた。また特に従来のElGamal 署名法を利用する
場合には、署名検査式である(3)式の計算(3項のべき乗
積演算)に、上述の原論文にあるように素数pを法とす
る剰余体上の乗算演算を、平均1.875×[log2p] 回実行
する必要がある。ここで素数pは、第3者による署名の
偽造を防止するために、500ビット程度以上の素数に選
ぶよう推奨されている。いま仮にpを500ビットの素数
とすると、1組の署名データ(rj,sj)を検査するため
に、500ビットの素数pを法とする剰余体上の乗算演算
を、平均1.875×500=938 回実行することが必要とな
り、特に、複数組の署名データ(rj,sj)(j=1,2,…,N)
を同時に検査する必要のある場合には、各署名データに
対して上記署名検査式を逐次実行することが必要とな
り、署名検査時の処理量がその署名データの数に比例し
て大きくなってしまう。本発明はかかる点に鑑み、高速
に複数の署名データの正当性を同時に一括して検査する
ディジタル署名装置を提供することを目的とする。
【0012】
【課題を解決するための手段】以上の目的を達成するた
めに請求項1に係わる発明においては、複数のメッセー
ジデータとこの複数のメッセージデータの各メッセージ
データに対する各署名データと、各署名データの生成に
用いられた各秘密鍵データに1対1に対応する各公開鍵
データを入力する入力手段と、各入力メッセージデータ
と各入力署名データと、各入力公開鍵データを用いて、
各入力署名データの生成に用いられた各署名生成式に1
対1に対応する署名検査式と複数のランダム変数とで決
定され、その各ランダム変数に対する恒等式であるよう
に決定された一括署名検査式にしたがって、各入力署名
データの正当性を一括して検査する署名検査手段と、検
査結果を出力する出力手段を備えた署名検査部とで構成
される。なお署名生成部は従来のディジタル署名装置と
同じ手段を備えるものとする。
めに請求項1に係わる発明においては、複数のメッセー
ジデータとこの複数のメッセージデータの各メッセージ
データに対する各署名データと、各署名データの生成に
用いられた各秘密鍵データに1対1に対応する各公開鍵
データを入力する入力手段と、各入力メッセージデータ
と各入力署名データと、各入力公開鍵データを用いて、
各入力署名データの生成に用いられた各署名生成式に1
対1に対応する署名検査式と複数のランダム変数とで決
定され、その各ランダム変数に対する恒等式であるよう
に決定された一括署名検査式にしたがって、各入力署名
データの正当性を一括して検査する署名検査手段と、検
査結果を出力する出力手段を備えた署名検査部とで構成
される。なお署名生成部は従来のディジタル署名装置と
同じ手段を備えるものとする。
【0013】請求項2に係わる発明においては、入力メ
ッセージデータmjと、あらかじめ設定されている秘密
鍵データxjを用いて、あらかじめ定められている大き
な素数pと、この素数pを法とする剰余体における原始
根gと、乱数kjとで決定される次の署名生成式、 rj≡g^kj modp sj≡(mj−xj×rj)×kj^(-1) mod(p-1) にしたがって入力メッセージデータmjに対する署名デ
ータ(rj,sj)を生成する署名生成手段を備えたディジ
タル署名生成部と、N個の入力メッセージデータmj(j=
1,2…,N)とN個の入力署名データ(rj,sj)(j=1,2…,
N)と、その各署名データ(rj,sj)の生成に用いられた
各秘密鍵データxj(j=1,2…,N)に1対1に対応する各
入力公開鍵データyj(j=1,2…,N)を用いて、各入力署
名データ(rj,sj)の生成に用いられた各署名生成式に
1対1に対応する次の署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N) とランダム変数Tj(j=1,2…,N)とで決定され、このラ
ンダム変数Tjの恒等式であるように決定された次の一
括署名検査式 ((y1^r1)×(r1^s1)×(g^(-m1)))^T1× ((y2^r2)×(r2^s2)×(g^(-m2)))^T2×… ((yN^rN)×(rN^sN)×(g^(-mN)))^TN≡1 modp が成り立つかどうかで、N個のメッセージmj(j=1,2…,
N)に対する署名データ(rj,sj)(j=1,2…,N)の正当性
を一括検査する署名検査手段を備えた署名検査部とで構
成される。
ッセージデータmjと、あらかじめ設定されている秘密
鍵データxjを用いて、あらかじめ定められている大き
な素数pと、この素数pを法とする剰余体における原始
根gと、乱数kjとで決定される次の署名生成式、 rj≡g^kj modp sj≡(mj−xj×rj)×kj^(-1) mod(p-1) にしたがって入力メッセージデータmjに対する署名デ
ータ(rj,sj)を生成する署名生成手段を備えたディジ
タル署名生成部と、N個の入力メッセージデータmj(j=
1,2…,N)とN個の入力署名データ(rj,sj)(j=1,2…,
N)と、その各署名データ(rj,sj)の生成に用いられた
各秘密鍵データxj(j=1,2…,N)に1対1に対応する各
入力公開鍵データyj(j=1,2…,N)を用いて、各入力署
名データ(rj,sj)の生成に用いられた各署名生成式に
1対1に対応する次の署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N) とランダム変数Tj(j=1,2…,N)とで決定され、このラ
ンダム変数Tjの恒等式であるように決定された次の一
括署名検査式 ((y1^r1)×(r1^s1)×(g^(-m1)))^T1× ((y2^r2)×(r2^s2)×(g^(-m2)))^T2×… ((yN^rN)×(rN^sN)×(g^(-mN)))^TN≡1 modp が成り立つかどうかで、N個のメッセージmj(j=1,2…,
N)に対する署名データ(rj,sj)(j=1,2…,N)の正当性
を一括検査する署名検査手段を備えた署名検査部とで構
成される。
【0014】なお署名生成部の構成はElGamalの方式を
用いた従来のディジタル署名装置の構成と同じである。
用いた従来のディジタル署名装置の構成と同じである。
【0015】請求項3に係わる発明においては、入力メ
ッセージデータmjと、あらかじめ定められている秘密
鍵データxjを用いて、あらかじめ定められているある
楕円曲線上の点gと、点gに依存して定まる位数と呼ば
れる数値Lと、数値L未満の乱数kjと、楕円曲線上の
点xを入力すると数値L未満の整数値D(x)を出力する関
数D(x)とで決定されるを次の署名生成式 rj=g×kj sj≡(mj−xj×D(rj))×kj^(-1) modL にしたがって入力メッセージデータmjに対する署名デ
ータ(rj,sj)を生成する署名生成手段を備えたディジ
タル署名生成部と、N個の入力メッセージデータmj(j=
1,2…,N)とN個の入力署名データ(rj,sj)(j=1,2…,
N)と、その各署名データ(rj,sj)の生成に用いられた
秘密鍵データxj(j=1,2…,N)に1対1に対応する公開
鍵データyj(j=1,2…,N)を用いて、各入力署名データ
(rj,sj)の生成に用いられた各署名生成式に1対1に
対応する次の署名検査式 ((yj×rj)+(rj×sj)+(g×(-mj)))×Tj=0 (j=1,2…,N) とランダム変数Tj(j=1,2…,N)とで決定され、このラ
ンダム変数Tjの恒等式であるように決定された次の一
括検査式 ((y1×r1)+(r1×s1)+(g×(-m1)))×T1+ ((y2×r2)+(r2×s2)+(g×(-m2)))×T2+… ((yN×rN)+(rN×sN)+(g×(-mN)))×TN=0 が成り立つかどうかで、N個のメッセージmj(j=1,2…,
N)に対する署名データ(rj,sj)(j=1,2…,N)の正当性
を一括検査する署名検査手段を備えた署名検査部とで構
成される。
ッセージデータmjと、あらかじめ定められている秘密
鍵データxjを用いて、あらかじめ定められているある
楕円曲線上の点gと、点gに依存して定まる位数と呼ば
れる数値Lと、数値L未満の乱数kjと、楕円曲線上の
点xを入力すると数値L未満の整数値D(x)を出力する関
数D(x)とで決定されるを次の署名生成式 rj=g×kj sj≡(mj−xj×D(rj))×kj^(-1) modL にしたがって入力メッセージデータmjに対する署名デ
ータ(rj,sj)を生成する署名生成手段を備えたディジ
タル署名生成部と、N個の入力メッセージデータmj(j=
1,2…,N)とN個の入力署名データ(rj,sj)(j=1,2…,
N)と、その各署名データ(rj,sj)の生成に用いられた
秘密鍵データxj(j=1,2…,N)に1対1に対応する公開
鍵データyj(j=1,2…,N)を用いて、各入力署名データ
(rj,sj)の生成に用いられた各署名生成式に1対1に
対応する次の署名検査式 ((yj×rj)+(rj×sj)+(g×(-mj)))×Tj=0 (j=1,2…,N) とランダム変数Tj(j=1,2…,N)とで決定され、このラ
ンダム変数Tjの恒等式であるように決定された次の一
括検査式 ((y1×r1)+(r1×s1)+(g×(-m1)))×T1+ ((y2×r2)+(r2×s2)+(g×(-m2)))×T2+… ((yN×rN)+(rN×sN)+(g×(-mN)))×TN=0 が成り立つかどうかで、N個のメッセージmj(j=1,2…,
N)に対する署名データ(rj,sj)(j=1,2…,N)の正当性
を一括検査する署名検査手段を備えた署名検査部とで構
成される。
【0016】請求項4に係わる発明においては、ランダ
ム変数のいくつかを固定の数値とする一括署名検査式を
用いる署名検査手段を備えた署名検査部とで構成され
る。
ム変数のいくつかを固定の数値とする一括署名検査式を
用いる署名検査手段を備えた署名検査部とで構成され
る。
【0017】
【作用】上記請求項1に示した構成により、複数のメッ
セージデータの各メッセージデータに対する各署名デー
タの検査が、署名検査部においてあらかじめ定められた
一括署名検査式によって同時に一括して検査されるた
め、各署名データの正当性を逐次検査する従来の方法に
よる場合より署名の検査時間を削減できる。また署名検
査部において用いる一括署名検査式は、各署名データの
生成に用いられた署名生成式に1対1に対応する署名検
査式とランダム変数とを用いてこのランダム変数に対す
る恒等式であるように決定される。このため、この一括
署名検査式を満たすように攻撃者が署名を偽造すること
は、攻撃者が個々の署名検査式を満たすように署名を偽
造することとほぼ同等に困難といえる。
セージデータの各メッセージデータに対する各署名デー
タの検査が、署名検査部においてあらかじめ定められた
一括署名検査式によって同時に一括して検査されるた
め、各署名データの正当性を逐次検査する従来の方法に
よる場合より署名の検査時間を削減できる。また署名検
査部において用いる一括署名検査式は、各署名データの
生成に用いられた署名生成式に1対1に対応する署名検
査式とランダム変数とを用いてこのランダム変数に対す
る恒等式であるように決定される。このため、この一括
署名検査式を満たすように攻撃者が署名を偽造すること
は、攻撃者が個々の署名検査式を満たすように署名を偽
造することとほぼ同等に困難といえる。
【0018】また上記請求項2に示した構成により、N
組の署名データ(rj,sj)(j=1,2…,N)の正当性を(2N+
1)項のべき乗積演算で判定できる。なぜなら一括署名検
査式は次のように変形できるためである。
組の署名データ(rj,sj)(j=1,2…,N)の正当性を(2N+
1)項のべき乗積演算で判定できる。なぜなら一括署名検
査式は次のように変形できるためである。
【0019】 (y1^(r1×T1))×(y2^(r2×T2))×…×(yN^(rN×TN))× (r1^(s1×T1))×(r2^(s2×T2))×…×(rN^(sN×TN))× (g^(-m1×T1-m2×T2-…-mN×TN))≡1 modp ところでこのような多項のべき積演算は、例えば原田、
館林提案の「n変数のべき乗剰余演算の効率的な計算法
とその一応用」電子情報通信学会技術報告ISEC91-40、
などに効率的な計算法が発表されている。これらの方法
を用いると、N組の署名データ(rj,sj)(j=1,2…,N)の
を一括検査するための処理量は、従来のディジタル署名
装置の構成でN組の署名データ(rj,sj)(j=1,2…,N)の
正当性を逐次検査する場合より約1/3〜1/2にできる。
館林提案の「n変数のべき乗剰余演算の効率的な計算法
とその一応用」電子情報通信学会技術報告ISEC91-40、
などに効率的な計算法が発表されている。これらの方法
を用いると、N組の署名データ(rj,sj)(j=1,2…,N)の
を一括検査するための処理量は、従来のディジタル署名
装置の構成でN組の署名データ(rj,sj)(j=1,2…,N)の
正当性を逐次検査する場合より約1/3〜1/2にできる。
【0020】また上記請求項3に示した構成により、N
組の署名データ(rj,sj)(j=1,2…,N)の正当性を(2N+
1)項の積和演算で判定できる。なぜなら一括署名検査式
は次のように変形できるためである。
組の署名データ(rj,sj)(j=1,2…,N)の正当性を(2N+
1)項の積和演算で判定できる。なぜなら一括署名検査式
は次のように変形できるためである。
【0021】 (y1×(r1+T1))×(y2×(r2+T2))+…+(yN×(rN+TN))+ (r1×(s1+T1))×(r2×(s2+T2))+…+(rN×(sN+TN))+ (g×(-m1+T1-m2+T2-…-mN+TN))≡1 このような多項の楕円曲線上の積和演算は、前述の多項
のべき積演算を効率的に計算する方法を応用して実行で
きる。これらの方法を用いると、N組の署名データ(rj,
sj)(j=1,2…,N)を一括検査するための処理量は、従来
のディジタル署名装置の構成でN組の署名データ(rj,s
j)(j=1,2…,N)の正当性を逐次検査する場合より約1/3
〜1/2にできる。
のべき積演算を効率的に計算する方法を応用して実行で
きる。これらの方法を用いると、N組の署名データ(rj,
sj)(j=1,2…,N)を一括検査するための処理量は、従来
のディジタル署名装置の構成でN組の署名データ(rj,s
j)(j=1,2…,N)の正当性を逐次検査する場合より約1/3
〜1/2にできる。
【0022】また上記請求項4に示した構成により一括
署名検査式におけるランダム変数のいくつかを固定な数
値とすることで署名検査部の処理量をより削減すること
ができる。
署名検査式におけるランダム変数のいくつかを固定な数
値とすることで署名検査部の処理量をより削減すること
ができる。
【0023】
【実施例】図1は本発明の第1の実施例におけるディジ
タル署名装置の構成を示すブロックを示すものである。
図1において、100は署名生成部であり、110は署
名生成部100にメッセージデータを入力する入力手
段、120は署名データを生成する署名生成手段、13
0は120で生成された署名データを出力する出力手段
である。また200は署名検査部であり、210は、そ
れぞれ複数のメッセージデータと署名データと公開鍵デ
ータを入力する入力手段であり、220は入力された複
数のディジタル署名の正当性を一括検査する署名検査手
段、230は220で検査した結果を出力する出力手段
である。
タル署名装置の構成を示すブロックを示すものである。
図1において、100は署名生成部であり、110は署
名生成部100にメッセージデータを入力する入力手
段、120は署名データを生成する署名生成手段、13
0は120で生成された署名データを出力する出力手段
である。また200は署名検査部であり、210は、そ
れぞれ複数のメッセージデータと署名データと公開鍵デ
ータを入力する入力手段であり、220は入力された複
数のディジタル署名の正当性を一括検査する署名検査手
段、230は220で検査した結果を出力する出力手段
である。
【0024】以上のように構成されたディジタル署名装
置にける動作は次のとおりである。まず、署名生成部1
00においてあるメッセージデータに対する署名データ
を生成する場合の動作は、従来のディジタル署名装置の
動作と同じである。すなわち、 (1)入力手段110はメッセージデータを入力すると
その入力メッセージデータを署名生成手段120に渡
す。 (2)署名生成手段120は、入力メッセージデータと
あらかじめ定められている秘密鍵データを用いて、あら
かじめ定まっている署名生成式にしたがってディジタル
署名データを生成し、そのディジタル署名データを出力
手段130に渡す。 (3)出力手段130はディジタル署名データを出力す
る。
置にける動作は次のとおりである。まず、署名生成部1
00においてあるメッセージデータに対する署名データ
を生成する場合の動作は、従来のディジタル署名装置の
動作と同じである。すなわち、 (1)入力手段110はメッセージデータを入力すると
その入力メッセージデータを署名生成手段120に渡
す。 (2)署名生成手段120は、入力メッセージデータと
あらかじめ定められている秘密鍵データを用いて、あら
かじめ定まっている署名生成式にしたがってディジタル
署名データを生成し、そのディジタル署名データを出力
手段130に渡す。 (3)出力手段130はディジタル署名データを出力す
る。
【0025】次に、署名検査部200において複数のメ
ッセージデータに対する各ディジタル署名データを一括
検査する場合の動作について説明する。 (1)入力手段210は、複数のメッセージデータと、
各メッセージデータに対して生成された各署名データ
と、各署名データ生成に用いられた各秘密鍵データに1
対1に対応する各公開鍵データを入力すると、各入力デ
ータを署名検査手段220に渡す。 (2)署名検査手段220は、入力手段210から渡さ
れた各入力データに対して、あらかじめ定められている
一括署名検査式にしたがって複数の署名データが正当で
あるかどうかを一括して検査判定し、その検査結果を出
力手段230に渡す。ここで、一括署名検査式は、各署
名データの生成に用いられた署名生成式に1対1に対応
する署名検査式とランダムに定められたランダム変数を
用いて定められ、このランダム変数に対する恒等式とな
っている。 (3)出力手段230は検査結果を出力する。
ッセージデータに対する各ディジタル署名データを一括
検査する場合の動作について説明する。 (1)入力手段210は、複数のメッセージデータと、
各メッセージデータに対して生成された各署名データ
と、各署名データ生成に用いられた各秘密鍵データに1
対1に対応する各公開鍵データを入力すると、各入力デ
ータを署名検査手段220に渡す。 (2)署名検査手段220は、入力手段210から渡さ
れた各入力データに対して、あらかじめ定められている
一括署名検査式にしたがって複数の署名データが正当で
あるかどうかを一括して検査判定し、その検査結果を出
力手段230に渡す。ここで、一括署名検査式は、各署
名データの生成に用いられた署名生成式に1対1に対応
する署名検査式とランダムに定められたランダム変数を
用いて定められ、このランダム変数に対する恒等式とな
っている。 (3)出力手段230は検査結果を出力する。
【0026】以上のようにこの実施例によれば、複数の
署名データを入力する入力手段210と、一括署名検査
式にしたがって複数の署名データの正当性を一括して検
査する署名検査手段220を設けることにより、複数の
署名を同時に一括して検査できる。
署名データを入力する入力手段210と、一括署名検査
式にしたがって複数の署名データの正当性を一括して検
査する署名検査手段220を設けることにより、複数の
署名を同時に一括して検査できる。
【0027】なお署名生成式としてElGamalが提案した
署名生成式 rj≡g^kj modp (5) sj≡(mj-xj×rj)×kj^(-1) modp (6) を用いることができる。ここでmjはメッセージデー
タ、(rj,sj)はmjに対する署名データ、kjは(1,p-1)
の範囲でランダムに選ばれた乱数、xjは(1,p-1)の範囲
でランダムに選ばれた秘密鍵データ、pは素数、gはこ
の素数pを法とする剰余体における原始根とする。ここ
で原始根gは、g^(p-1)≡1 modp かつ(0<i<p-1)な
る任意のiに対してg^i≠1 modpを満たす整数値で
ある。一方、一括署名検査式としては ((y1^r1)×(r1^s1)×(g^(-m1)))^T1× ((y2^r2)×(r2^s2)×(g^(-m2)))^T2×… ((yN^rN)×(rN^sN)×(g^(-mN)))^TN≡1 modp (7) を用いる。この一括署名検査式は、従来のElGamal法に
おける署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N)(8) と、ランダム変数Tj(j=1,2…,N)とで決定され、ラン
ダム変数Tjに対する恒等式となっている。このとき一
括署名検査式で署名の正当性が確認できるのは各署名デ
ータ(rj,sj)(j=1,2…,N)が正当な署名であれば、そ
れぞれ(8)式を満たすことより明らかである。そしてこ
の一括署名検査式は(2N+1)項のべき積演算で実行でき
る。なぜなら一括署名検査式は次のように変形できるた
めである。
署名生成式 rj≡g^kj modp (5) sj≡(mj-xj×rj)×kj^(-1) modp (6) を用いることができる。ここでmjはメッセージデー
タ、(rj,sj)はmjに対する署名データ、kjは(1,p-1)
の範囲でランダムに選ばれた乱数、xjは(1,p-1)の範囲
でランダムに選ばれた秘密鍵データ、pは素数、gはこ
の素数pを法とする剰余体における原始根とする。ここ
で原始根gは、g^(p-1)≡1 modp かつ(0<i<p-1)な
る任意のiに対してg^i≠1 modpを満たす整数値で
ある。一方、一括署名検査式としては ((y1^r1)×(r1^s1)×(g^(-m1)))^T1× ((y2^r2)×(r2^s2)×(g^(-m2)))^T2×… ((yN^rN)×(rN^sN)×(g^(-mN)))^TN≡1 modp (7) を用いる。この一括署名検査式は、従来のElGamal法に
おける署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N)(8) と、ランダム変数Tj(j=1,2…,N)とで決定され、ラン
ダム変数Tjに対する恒等式となっている。このとき一
括署名検査式で署名の正当性が確認できるのは各署名デ
ータ(rj,sj)(j=1,2…,N)が正当な署名であれば、そ
れぞれ(8)式を満たすことより明らかである。そしてこ
の一括署名検査式は(2N+1)項のべき積演算で実行でき
る。なぜなら一括署名検査式は次のように変形できるた
めである。
【0028】 (y1^(r1×T1))×(y2^(r2×T2))×…×(yN^(rN×TN))× (r1^(s1×T1))×(r2^(s2×T2))×…×(rN^(sN×TN))× (g^(-m1×T1-m2×T2-…-mN×TN))≡1 modp そしてこのような多項のべき積演算は前述した参考文献
に示されたような効率的な計算法を用いると、N組の署
名データ(rj,sj)(j=1,2…,N)のを一括検査するため
の処理量は、従来のElGamalが提案した署名法における
署名検査式をN回くり返す場合に、全体で素数pを法と
する剰余体上の乗算演算が平均1.875×[log2 p]×N 回
実行する必要があったのに比較して約1/3〜1/2にでき
る。
に示されたような効率的な計算法を用いると、N組の署
名データ(rj,sj)(j=1,2…,N)のを一括検査するため
の処理量は、従来のElGamalが提案した署名法における
署名検査式をN回くり返す場合に、全体で素数pを法と
する剰余体上の乗算演算が平均1.875×[log2 p]×N 回
実行する必要があったのに比較して約1/3〜1/2にでき
る。
【0029】また、素数pは第3者による署名の偽造を
防ぐために500〜1000ビット程度とすることを推奨す
る。
防ぐために500〜1000ビット程度とすることを推奨す
る。
【0030】また署名生成式として次式 rj≡g×kj (8) sj≡(mj−xj×D(rj))×kj^(-1) modL (9) を用いることができる。ただしここでmjはメッセージ
データ、(rj,sj)はmjに対する署名データ、kjは(1,
L-1)の範囲でランダムに選ばれた乱数、xjは(1,L-1)
の範囲でランダムに選ばれた秘密鍵データ、gは楕円曲
線上の点、Lは点gの位数と呼ばれる数値で、g×L=
0 かつ(0<i<L)なる任意のiに対してg×i≠0を満
たす整数値である。一方、このとき一括署名検査式とし
ては ((y1×r1)+(r1×s1)+(g×(-m1)))×T1+ ((y2×r2)+(r2×s2)+(g×(-m2)))×T2+… ((yN×rN)+(rN×sN)+(g×(-mN)))×TN=0 (10) を用いる。この一括署名検査式は、各署名データ(rj,
sj)に対する署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N) (11) と、ランダム変数Tj(j=1,2…,N)とで決定され、Tjに
対する恒等式となっている。
データ、(rj,sj)はmjに対する署名データ、kjは(1,
L-1)の範囲でランダムに選ばれた乱数、xjは(1,L-1)
の範囲でランダムに選ばれた秘密鍵データ、gは楕円曲
線上の点、Lは点gの位数と呼ばれる数値で、g×L=
0 かつ(0<i<L)なる任意のiに対してg×i≠0を満
たす整数値である。一方、このとき一括署名検査式とし
ては ((y1×r1)+(r1×s1)+(g×(-m1)))×T1+ ((y2×r2)+(r2×s2)+(g×(-m2)))×T2+… ((yN×rN)+(rN×sN)+(g×(-mN)))×TN=0 (10) を用いる。この一括署名検査式は、各署名データ(rj,
sj)に対する署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N) (11) と、ランダム変数Tj(j=1,2…,N)とで決定され、Tjに
対する恒等式となっている。
【0031】この一括署名検査式で署名の正当性が確認
できるのは各署名データ(rj,sj)が正当な署名であれ
ば、それぞれ(8)式を満たすことより明らかである。
できるのは各署名データ(rj,sj)が正当な署名であれ
ば、それぞれ(8)式を満たすことより明らかである。
【0032】そしてこの一括署名検査式はN組の署名デ
ータ(rj,sj)(j=1,2…,N)の正当性を(2N+1)項の積和
演算で実行できる。なぜなら一括署名検査式は次のよう
に変形できるためである。
ータ(rj,sj)(j=1,2…,N)の正当性を(2N+1)項の積和
演算で実行できる。なぜなら一括署名検査式は次のよう
に変形できるためである。
【0033】 (y1×(r1+T1))×(y2×(r2+T2))+…+(yN×(rN+TN))+ (r1×(s1+T1))×(r2×(s2+T2))+…+(rN×(sN+TN))+ (g×(-m1+T1-m2+T2-…-mN+TN))≡1 このような多項の楕円曲線上の積和演算は、前述の多項
のべき積演算を効率的に計算する方法を応用して実行で
きる。これらの方法を用いると、N組の署名データ(rj,
sj)(j=1,2…,N)を一括検査するための処理量は、従来
の方法で各署名データを個々に検査するための署名検査
式(11)をN回くり返す場合に楕円曲線上の積和演算が平
均1.875×[log2 L]×N 回実行する必要があったのに比
較して、約1/3〜1/2にできる。
のべき積演算を効率的に計算する方法を応用して実行で
きる。これらの方法を用いると、N組の署名データ(rj,
sj)(j=1,2…,N)を一括検査するための処理量は、従来
の方法で各署名データを個々に検査するための署名検査
式(11)をN回くり返す場合に楕円曲線上の積和演算が平
均1.875×[log2 L]×N 回実行する必要があったのに比
較して、約1/3〜1/2にできる。
【0034】また、位数Lは、第3者による署名の偽造
を防ぐために100〜200ビット程度とすることを推奨す
る。
を防ぐために100〜200ビット程度とすることを推奨す
る。
【0035】なお上記それぞれの構成において一括署名
検査式におけるランダム変数Tjのうちのいくつかを固
定値にするように構成することができる。この場合署名
検査時の処理量が削減できる。
検査式におけるランダム変数Tjのうちのいくつかを固
定値にするように構成することができる。この場合署名
検査時の処理量が削減できる。
【0036】
【発明の効果】以上説明したように本発明によれば以下
に記載されるような効果を奏する。
に記載されるような効果を奏する。
【0037】請求項1のディジタル署名装置において
は、従来のディジタル署名装置に、複数のディジタル署
名を入力する入力手段210と、一括署名検査式にした
がって複数のディジタル署名の正当性を一括して検査す
る署名検査手段220を設けることにより、複数のディ
ジタル署名を一括して検査でき、従来より高速に署名検
査できる。
は、従来のディジタル署名装置に、複数のディジタル署
名を入力する入力手段210と、一括署名検査式にした
がって複数のディジタル署名の正当性を一括して検査す
る署名検査手段220を設けることにより、複数のディ
ジタル署名を一括して検査でき、従来より高速に署名検
査できる。
【0038】また請求項2のディジタル署名装置におい
ては、一括署名検査式が(2N+1)項のべき乗積演算で実行
できる。このべき積演算には、前述の原田、館林提案の
「効率的なn変数べき乗剰余演算法の提案とその一応
用」電子情報通信学会技術報告ISEC91-40、などのべき
乗積演算法が利用でき、従来のディジタル署名装置を用
いる場合より処理量1/3〜1/2に削減できる。
ては、一括署名検査式が(2N+1)項のべき乗積演算で実行
できる。このべき積演算には、前述の原田、館林提案の
「効率的なn変数べき乗剰余演算法の提案とその一応
用」電子情報通信学会技術報告ISEC91-40、などのべき
乗積演算法が利用でき、従来のディジタル署名装置を用
いる場合より処理量1/3〜1/2に削減できる。
【0039】また請求項3のディジタル署名装置におい
ては、特に署名検査式が(2N+1)項の積和演算で実行でき
る。この積和演算にも、上述のべき乗積演算法を応用で
き、各署名毎に3項の積和演算をN回くり返す場合より
処理量1/3〜1/2に削減できる。
ては、特に署名検査式が(2N+1)項の積和演算で実行でき
る。この積和演算にも、上述のべき乗積演算法を応用で
き、各署名毎に3項の積和演算をN回くり返す場合より
処理量1/3〜1/2に削減できる。
【0040】また請求項4のディジタル署名装置におい
ては、署名検査式における複数のランダム変数のいくつ
かを固定値とすることで署名検査時の処理量をよりいっ
そう削減できる。
ては、署名検査式における複数のランダム変数のいくつ
かを固定値とすることで署名検査時の処理量をよりいっ
そう削減できる。
【図1】本発明の一実施例におけるディジタル署名装置
のブロック図
のブロック図
【図2】従来のディジタル署名装置のブロック図
100 署名生成部 110 入力手段 120 署名生成手段 130 出力手段 200 署名検査部 210 入力手段 220 一括署名検査手段 230 出力手段
Claims (4)
- 【請求項1】メッセージデータを入力するとそのメッセ
ージデータに対する署名データを生成出力する署名生成
部と、複数のメッセージデータとこの複数のメッセージ
データの各メッセージデータに対する各署名データを入
力すると各署名データの正当性を一括して検査しその結
果を出力する署名検査部を備えたディジタル署名装置で
あって、 前記署名生成部に、メッセージデータを入力する入力手
段と、前記入力メッセージデータとあらかじめ定められ
ている秘密鍵データとを用いて、あらかじめ定められて
いる署名生成式にしたがって、前記入力メッセージデー
タに対する署名データを生成する署名生成手段と、生成
された前記署名データを出力する出力手段を設け、 前記署名検査部に、複数のメッセージデータと、この複
数のメッセージデータの各メッセージデータに対する各
署名データと、各署名データの生成に用いられた各秘密
鍵データに1対1に対応する各公開鍵データとを入力す
る入力手段と、前記各入力メッセージデータと、前記各
入力署名データと、前記各入力公開鍵データを用いて、
前記各入力署名データの生成に用いられた各署名生成式
に1対1に対応する各署名検査式と複数のランダム変数
とで決定され、前記各ランダム変数に対する恒等式であ
るように決定された一括署名検査式にしたがって、前記
各入力署名データの正当性を一括して検査する署名検査
手段と、その検査結果を出力する出力手段を設けること
を特徴とするディジタル署名装置。 - 【請求項2】前記署名生成部に、メッセージデータmj
を入力する入力手段と、前記入力メッセージデータmj
とあらかじめ定められている秘密鍵データxjとを用い
て、あらかじめ定められている大きな素数pと、この素
数pを法とする剰余体における原始根gと、乱数kjと
で決定される次の署名生成式 rj≡g^kj modp sj≡(mj-xj×rj)×kj^(-1) mod(p-1) にしたがって、前記入力メッセージデータmjに対する
署名データ(rj,sj)を生成する署名生成手段と、生成
された前記署名データ(rj,sj)を出力する出力手段を
設け、 前記署名検査部に、N個のメッセージデータmj(j=1,2
…,N)と、この各メッセージデータmj(j=1,2…,N)に対
するN組の署名データ(rj,sj)(j=1,2…,N)と、前記各
署名データ(rj,sj)(j=1,2…,N)の生成に用いられたN
個の秘密鍵データxj(j=1,2…,N)に1対1に対応するN
個の公開鍵データyj(j=1,2…,N)とを入力する入力手
段と、前記各入力メッセージデータmj(j=1,2…,N)
と、前記各入力署名データ(rj,sj)(j=1,2…,N)と、
前記各入力公開鍵データyj(j=1,2…,N)を用いて、前
記各入力署名データの生成に用いられた前記各署名生成
式に1対1に対応する次のN個の署名検査式 ((yj^rj)×(rj^sj)×(g^(-mj)))≡1 modp (j=1,2…,N) とN個のランダム変数Tj(j=1,2…,N)とで決定され前記
N個のランダム変数Tj(j=1,2…,N)に対する恒等式であ
るように決定された次の一括署名検査式 ((y1^r1)×(r1^s1)×(g^(-m1)))^T1× ((y2^r2)×(r2^s2)×(g^(-m2)))^T2×… ((yN^rN)×(rN^sN)×(g^(-mN)))^TN×≡1 mod
p が成り立つかどうかにしたがって、N組の前記入力署名
データ(rj,sj)(j=1,2…,N)の正当性を一括して検査
する署名検査手段と、この検査結果を出力する出力手段
を設けることを特徴とする請求項1記載のディジタル署
名装置。 - 【請求項3】前記署名生成部に、メッセージデータmj
を入力する入力手段と、前記入力メッセージデータmj
とあらかじめ定められている秘密鍵データxjとを用い
て、あらかじめ定められているある楕円曲線上の点g
と、点gに依存して定まる位数と呼ばれる数値Lと、乱
数kjと、楕円曲線上の点xを入力すると整数値D(x)を
出力する関数D(x)とで決定される次の署名生成式 rj=g×kj sj≡(mj-xj×D(rj))×kj^(-1) modL にしたがって、前記入力メッセージデータmjに対する
署名データ(rj,sj)を生成する署名生成手段と、生成
された前記署名データ(rj,sj)を出力する出力手段を
設け、 前記署名検査部に、N個のメッセージデータmj(j=1,2
…,N)と、この各メッセージデータmj(j=1,2…,N)に対
するN組の署名データ(rj,sj)(j=1,2…,N)と、各署名
データ(rj,sj)(j=1,2…,N)の生成に用いられたN個の
秘密鍵データxj(j=1,2…,N)に1対1に対応するN個の
公開鍵データyj(j=1,2…,N)とを入力する手段と、前
記各入力メッセージデータmj(j=1,2…,N)と、前記各
入力署名データ(rj,sj)(j=1,2…,N)と、前記各入力
公開鍵データyj(j=1,2…,N)を用いて、前記各入力署
名データの生成に用いられた前記各署名生成式に1対1
に対応する次のN個の署名検査式 ((yj^×rj)+(rj×sj)+(g×(-mj)))=0 (j=1,2…,N) とN個のランダム変数Tj(j=1,2…,N)とで決定され前記
N個のランダム変数Tj(j=1,2…,N)に対する恒等式であ
るように決定された次の一括署名検査式 ((y1×r1)+(r1×s1)+(g×(-m1)))×T1+ ((y2×r2)+(r2×s2)+(g×(-m2)))×T2+… ((yN×rN)+(rN×sN)+(g×(-mN)))×TN=0 が成り立つかどうかにしたがって、前記N組の入力署名
データ(rj,sj)(j=1,2…,N)の正当性を一括して検査
する署名検査手段と、その検査結果を出力する出力手段
を設けることを特徴とする請求項1記載のディジタル署
名装置。 - 【請求項4】署名検査部において利用する複数のランダ
ム変数のいくつかを固定の数値とすることを特徴とする
請求項1記載のディジタル署名装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP27127192A JP3221090B2 (ja) | 1992-10-09 | 1992-10-09 | ディジタル署名装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP27127192A JP3221090B2 (ja) | 1992-10-09 | 1992-10-09 | ディジタル署名装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH06118873A true JPH06118873A (ja) | 1994-04-28 |
| JP3221090B2 JP3221090B2 (ja) | 2001-10-22 |
Family
ID=17497763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP27127192A Expired - Fee Related JP3221090B2 (ja) | 1992-10-09 | 1992-10-09 | ディジタル署名装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3221090B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117574448A (zh) * | 2024-01-16 | 2024-02-20 | 确信信息股份有限公司 | 基于事件的电子签名方法、系统、介质及设备 |
-
1992
- 1992-10-09 JP JP27127192A patent/JP3221090B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117574448A (zh) * | 2024-01-16 | 2024-02-20 | 确信信息股份有限公司 | 基于事件的电子签名方法、系统、介质及设备 |
| CN117574448B (zh) * | 2024-01-16 | 2024-04-09 | 确信信息股份有限公司 | 基于事件的电子签名方法、系统、介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3221090B2 (ja) | 2001-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8654975B2 (en) | Joint encryption of data | |
| US8811608B2 (en) | Attack-resistant multivariate signature scheme | |
| US20140281538A1 (en) | Accelerated signature verification on an elliptic curve | |
| Nist | The digital signature standard | |
| CN113159762B (zh) | 基于Paillier和博弈论的区块链交易方法 | |
| TW201320701A (zh) | 資訊處理裝置、資訊處理方法及程式 | |
| KR20060043347A (ko) | 신규의 공정한 은닉 서명을 위한 서명 방법, 컴퓨터 프로그램, 장치 및 서명 시스템 | |
| CN102883321A (zh) | 一种面向移动微技的数字签名认证方法 | |
| US6480606B1 (en) | Elliptic curve encryption method and system | |
| CN106209377B (zh) | 一种基于多变量的可抗合谋攻击的代理重签名方法 | |
| EP0374225B1 (en) | Method and device for authentication | |
| CN117220891A (zh) | 基于非交互分布式密钥的门限ecdsa签名方法及系统 | |
| JP2000155524A (ja) | 電子検印システム | |
| KR102070061B1 (ko) | 묶음 검증 방법 및 장치 | |
| CN105447710A (zh) | 一种电子商务中基于二维码的商品真实性验证系统及方法 | |
| JP3221090B2 (ja) | ディジタル署名装置 | |
| Yang et al. | A novel construction of SDVS with secure disavowability | |
| CN102013983A (zh) | 一种基于强rsa假设的数字签名方法 | |
| KR980010837A (ko) | 메시지 부가형 디지털서명 방법 및 그에 대한 검증 방법 | |
| Bashir | Analysis and Improvement of Some Signcryption Schemes Based on Elliptic Curve | |
| Zhang et al. | Efficient Non-Interactive Polynomial Commitment Scheme in the Discrete Logarithm Setting | |
| JPH0695590A (ja) | 電子署名システム及び電子署名方法 | |
| Turdimatov et al. | WAYS TO EXCHANGE INFORMATION THROUGH AN ELECTRONIC DIGITAL SIGNATURE | |
| Hsu | A group digital signature technique for authentication | |
| CA2306282C (en) | Accelerated signature verification on an elliptic curve |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |