JPH0695590A - 電子署名システム及び電子署名方法 - Google Patents

電子署名システム及び電子署名方法

Info

Publication number
JPH0695590A
JPH0695590A JP4241859A JP24185992A JPH0695590A JP H0695590 A JPH0695590 A JP H0695590A JP 4241859 A JP4241859 A JP 4241859A JP 24185992 A JP24185992 A JP 24185992A JP H0695590 A JPH0695590 A JP H0695590A
Authority
JP
Japan
Prior art keywords
signature
integer
station
random number
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP4241859A
Other languages
English (en)
Other versions
JP3338088B2 (ja
Inventor
Atsushi Shinpo
淳 新保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP24185992A priority Critical patent/JP3338088B2/ja
Publication of JPH0695590A publication Critical patent/JPH0695590A/ja
Application granted granted Critical
Publication of JP3338088B2 publication Critical patent/JP3338088B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【目的】 離散対数問題の困難性に安全性の根拠をおく
ElGamal 方式と同等の安全性を有し、多重署名を構成で
きる電子署名システム及び電子署名方法を提供すること
を目的とする。 【構成】 ElGamal 署名法の検査式における平文データ
Mと署名データs,rの一を入れ換える。 【効果】 複数の署名者の間でデータを2巡させる構成
と1巡させる構成の多重署名方法がそれぞれ構成でき
る。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、電子的な文書に対する
署名、捺印機能を実現する電子署名システム及び電子署
名方法に関する。
【0002】
【従来の技術】電子署名(ディジタル署名)の作成法と
して様々な方法が考案されている。この中で代表的なも
のはRSA(Rivest-Shamir-Adleman )方式とElGamal
方式である。
【0003】RSA方式は素数p,qの積からなる合成
数nを法とする代数系で構成される方式であり、署名作
成者の秘密情報はこれらの素数p,qと(2)式を満た
す整数dであり、署名作成者の公開情報はnと(2)式
のeである。
【0004】e・d=l mod L 但し、L=lcm(p-
1,q-1)…(2) 文書Mに対する電子署名(ディジタル署名)Sは次式で
作成される。
【0005】 S=Md mod n …(3) 署名検査は、S,Mが次式の関係を満たすことを確認す
ることで行なわれる。 M=Se mod n …(4) nの素因数p,qが計算できれば(2)式を満たすdを
求めることは容易である。逆にnの素因数分解を求めず
にdを求める方法は現在発見されていない。このような
状況からRSA方式の安全性は素因数分解に基づいてい
ると考えられている。素因数分解を困難にするために
は、nのサイズは512bit 以上が必要であると考えら
れている。nのサイズを仮に512bit とすると、署名
Sのサイズも512bit となる。
【0006】一方、ElGamal 方式は、素数pを法とする
代数系で構成され、署名作成者の秘密情報はp−1以下
の整数であり、署名作成者の公開情報は素数p,GF
(p)の原始元g、次式のyである。
【0007】 y=gx mod p …(5) 文書Mに対するディジタル署名は以下の手順により作成
される。まず、1からp−1までの間から(p−1)と
互いに素である乱数kを決定し、このkから次式のrを
求める。
【0008】 r=gk mod p …(6) 次に、次式のsを求める。
【0009】 s=k-1・(M−x・r) mod (p−1)…(7) 但し、k-1は法(p−1)でのkの逆元であり、ユーク
リッドの互除法により計算できる。署名データは(r,
s)のペアである。署名の検査は、M,r,sが次式を
満たすことを検査することによって行なわれる。
【0010】 gM =yr ・rs mod p …(8) ElGamal 方式においては、(5)式の公開情報yからx
を求めること(離散対数問題)ができれば署名データの
作成は容易に行えるが、それ以外に(8)式を満たす
(r,s)のペアを求める方法は発見されていない。こ
のような状況からElGamal 方式の安全性は離散対数問題
に基づいていると考えられている。ElGamal 方式におい
て離散対数問題を困難にするために必要なpのサイズは
512bit以上であると考えられている。仮にpのサイ
ズを512bit とすると、署名データ(r,s)のサイ
ズは1024bit である。このようにElGamal 方式の署
名サイズはRSA方式の2倍であるが、ElGamal 方式の
署名サイズを少なく抑える方式に米国NISTの提案し
ているDSA(Digital Signature Algorithm )があ
る。DSAによる署名サイズは320bit である。
【0011】ElGamal 方式は、“T.ElGamal ,“A publ
ic key cryptosystem and a signature scheme based o
n discrete logarithms ”,IEEE Trans . IT,Vol.IT
−31,NO.4,July 1985,pp.469−47
2”に詳しい。
【0012】以上の電子署名方法により一般の電子文書
に対する捺印機能を実現することができるが、さらに、
電子的な回覧文書に対する複数の署名者による捺印機能
も要望される。このような機能は複数の署名者による同
一の文書に対する署名データを連結することで構成でき
る。しかし、このような構成では署名者数に比例して署
名データが増加する欠点がある。署名データ量が署名者
数に依存しない方法、あるいは、単純に連結する場合に
比べて署名データの増加が少なく抑えられる方法が考案
されており、これらは多重署名法と呼ばれている。
【0013】従来RSA方式に対する多重署名法は幾つ
か考案されているが、ElGamal 方式に対する多重署名方
法は提案されていない。RSA方式に対する多重署名法
の一方式としては、例えば“T.Okamoto ,“A Digital
Multisignature scheme using bijective public-key c
ryptosystems”,ACM Trans .Computer Systems,Vol.
6,NO.8,Nov.1988,pp.432−441”に提
案されている方法が挙げられる。
【0014】
【発明が解決しようとする課題】以上述べてきたよう
に、従来においては、離散対数問題の困難性に基づくデ
ィジタル署名方法の代表であるElGamal 署名方式に基づ
く多重署名方法は示されていない。
【0015】この発明はこのような従来の課題を解決す
るためになされたもので、その目的とするところは、El
Gamal 署名方式を変形し多重署名を容易に構成できる電
子署名システム及び電子署名方法を提供することにあ
る。
【0016】
【課題を解決するための手段】上記目的を達成するた
め、本願第1の発明は、署名作成者により文書Mに対し
て作成された乱数k、及び署名作成者が保持する秘密整
数xを基に、乱数kに依存する整数r、乱数kと整数x
とに依存する整数sとを生成する手段と、公開された整
数gと、公開された素数pを法として整数gを整数xで
べき乗したけっかとしての公開整数yと、前記M,r,
sとを基に次の関係式を与える手段と、 ga =yb ・rc mod p …(1) (ただし、a≠Mであり、a,b,cはM,r,sの組
からそれぞれ割り当てたもの) 前記(1)式を満足するか否かによって電子署名が正し
いか否かを判定する手段と、を有することが特徴であ
る。
【0017】また、本願第2の発明では、電子文書Mに
対する電子署名データを作成する方法であって、素数p
を法とする有限体の演算により構成され、前記素数pお
よび整数gが公開され、署名作成者は秘密整数xを保持
し、署名作成者の公開整数yが前記素数pを法として前
記gを前記xでべき乗した結果として作成されており、
署名作成者は文書Mに対する電子署名データとして、整
数rおよび整数sを生成し、前記整数rは本署名作成処
理ごとに署名作成者により生成される乱数kに依存し、
前記整数sは前記乱数kと前記秘密整数xに依存し、署
名検査は、前記M,r,sが署名方式に固有の関係式; ga =yb ・rc mod p …(1) (但し、a≠Mであり、a,b,cはM,r,sの組か
らそれぞれ一つづつを割り当てられたもの)を満たすか
否かによって実現されることを特徴とする。
【0018】更に、本願第3の発明では、n者から構成
される複数の署名者が署名を作成する方式であって、第
iの署名者(i=1,2,3,…,n)には、請求項1
に記載の秘密整数xi と公開整数yi が割り当てられて
おり、署名作成時にはn者から成る署名作成者の間をデ
ータを巡回させて、文書Mに対する複数者による電子署
名データとして、整数rと整数sを作成し、前記整数r
は本署名作成処理ごとに署名作成者のそれぞれが生成す
る個々の乱数ki に依存し、前記整数sは前記複数の乱
数ki と署名作成者個々の秘密整数xi に依存し、署名
検査における検査式は、本願第1の発明に記載の検査式
(1)における公開整数yがn者の公開整数yi (i=
1,2,3,…,n)の積に置き換えられたものであっ
て、前記rと前記sが前記検査式を満たすか否かによっ
て、電子署名の正当性を確認することを特徴とする。
【0019】
【作用】上述の如く構成された本願第1、第2の発明は
ElGamal 方式を変形した電子署名システム、及び方法で
ある。ElGamal 方式との相違点は、署名検査式における
文書データMと署名データr,sの指数部の位置を入れ
替えたことにある。このように変形しても公開情報yに
対応する秘密情報xを保持する署名者は検査式を満たす
署名データr,sを作成できる。一方、秘密情報xを保
持しない場合に署名データr,sを求めることは、ElGa
mal 方式と同様に離散対数問題を求める以外の方法は考
案されていない。従って、電子署名方法として有効であ
る。
【0020】本願第3の発明は、本願第2の発明の電子
署名方法を多重署名方式として適用する。複数の署名者
がそれぞれ乱数kを作成し、各々の乱数kに依存したr
を最初にデータを一巡させることで作成する。その後、
各々の署名者が自身の作成した乱数kと秘密情報xから
部分署名sを作成し、これを巡回する。sの巡回におい
ては、それ以前の署名者による部分署名を融合させる。
こうして最後の署名者の処理により多重署名データr,
sが作成される。なお、r,sの作成を一巡の処理によ
り実現することもできる。
【0021】署名検査における検査式は本願第1の発明
における検査式の公開情報yを複数の署名作成者の個々
の公開情報yi の積に置き換えたものであり、個々の公
開情報yi に対応する秘密情報xi を保持する複数の署
名者により作成されたr,sは検査式を満たす。しか
し、秘密情報xi が一つでも関与しない場合には、検査
式を満たすr,sは得られない。従って、複数の署名者
による電子署名方法として有効である。
【0022】
【実施例】以下、図面を参照しながら本発明の実施例を
説明する。まず、図8のシステム構成図を参照して、シ
ステムの基本構成を説明する。図8に示すように、本シ
ステムはセンタと利用者に対応する複数の局から成る通
信ネットワークにより構成される。センタは512bit
以上の大きさの素数pを生成し、公開する。また、有限
体GF(p)の原始元gを求め、公開する。ただし一般
には、gは原始元でなくとも位数の大きな元であればよ
い。各局Ui は1からp−1までの範囲の乱数xi を定
め、xi を局秘密情報とする。さらに、局公開情報yi
を次式により定める。
【0023】yi =gxi mod p 局Ui はyi をセンタに送り、センタは公開リストの局
i のエリアにyi を登録する。公開リストの書き換え
はセンタのみが実行でき、同リストの読み出しは任意の
局が実行できる。なお、局Ui のID情報(識別情報)
をIi とする。まず、図1(a)を参照しながら、局U
i が電子文書(データ)Mに対するディジタル署名を生
成する手順を説明する。
【0024】<局Ui の手順> 1:以下の条件を満たす乱数kを定める。…(ステップ
101) gcd(k,p−1)=1かつ1<k<p−1 2:r=gk mod p を計算する。…(ステップ10
2) 3:M,r,kと秘密情報xi からs=xi ・r+k・
M mod ( p−1)を計算する。…(ステップ103) 以上により作成されたrとsが局Ui のMに対するディ
ジタル署名となる。
【0025】この署名作成手続きにおいてステップ10
1と102は、平文Mに依存しないためディジタル署名
作成の要求が生じる前に計算し、(k,r)のペアとし
て幾つか蓄積しておくことができる。このようにする
と、署名作成要求時の処理はステップ103のみとな
り、処理時間面で有効である。
【0026】次に図1(b)を参照しながら、本ディジ
タル署名の検査手順を説明する。
【0027】<署名検査手順> 1:公開リストから局Ui の公開情報yi を取り出す。
…(ステップ104) 2:r,s,M,yi が以下の2つの関係を満たすこと
を確認する。…(ステップ105) gs =yi r ・rM mod p r≠p−1 この関係が成立する場合には、(r,s)は局Ui のM
に対するディジタル署名であるものと判定する。なお、
第2の関係式r≠p−1の検査が必要な理由は以下の通
りである。
【0028】r=p−1とし、Mが偶数の場合にはs=
0(mod p−1)とし、Mが奇数の場合にはs=(p−
1)/2(mod p−1)とすると、(r,s)はステッ
プ105の第1の関係式を満たす。このことは、yi
対応する秘密情報xi を知り得ない第三者が任意の平文
Mに対応する署名を作成できることを意味する。従っ
て、r≠p−1の検査が必須となる。
【0029】ステップ101から103の手順により生
成された(r,s)がステップ105の検査式を満足す
ることは明らかである。逆に平文Mが与えられた状態
で、yi の離散対数xi を持たない局がステップ105
の検査式を満たす(r,s)の組を求めることは離散対
数問題を求めることを同等に困難であると考えられる。
例えば、最初にrを定めるとgs =const mod p なるs
を求めることになり、これは離散対数問題に他ならな
い。一方、sを先に決定するとyi r ・rM =const mo
d p なるrを求めることになり、この解法もr=p−1
の場合以外は知られていない。なお、平文Mが特定され
ない場合には、xi を持たない場合にも検査式を満たす
(r,s)を生成できることには注意を要する。例え
ば、次のようにする。r=yi a ・gb mod p として
検査式に代入すると、 aM+r=0 mod (p−1) bM=s mod (p−1) なる式が得られる。そこで、まず(a,b)を任意に定
めてrを決定し、次にMを第1の関係式から定め、最後
にsを第2の関係式から定めると検査式を満たす(r,
s)を生成できることが分かる。但し、このような性質
はElGamal 方式やRSA方式にも存在する。そこでMに
対してそのまま署名する代わりに一方向性の圧縮関数
(ハッシュ関数)による変換結果h(M)に対して署名
することが考えられる。このようにすると、一方向性関
数を攻撃できない限り、先に示した手順では(r,s)
のペアを生成できなくなる。
【0030】また、関数f(定義域:Zp-1 ={0,
1,2,……,p−2},値域:128bit 程度の整
数)を用いて次のように署名手順を変更してもよい。
【0031】<局Ui の手順> 1,2:変更なし。
【0032】3:s=xi ・f(r)+k・M mod
(p−1)を計算する。
【0033】<署名検査手順> 1:変更なし。
【0034】2:r,s,M,yi が次式の関係を満た
すことを確認する。
【0035】gs =yi f(r)・rM mod p 次に、図1に示したディジタル署名を多重署名に適用す
る手順を説明する。図2は多重署名における情報の流れ
を表し、図3は各局の処理手段を表す。
【0036】ここでは、局U1 ,U2 ,…,Un のn局
が平文Mに多重署名する場合を想定する。多重署名の作
成は図2に示すように(a)のrn の作成ラウンドと
(b)のsn の作成ラウンドの2回の巡回操作から成
る。図3(a)はrn の作成ラウンドにおける局Ui
処理手段、図3(b)はsn の作成ラウンドにおける局
i の処理手段をそれぞれ示す。
【0037】rn の作成ラウンド <局Ui の手順> 1:次の条件を満たす乱数ki を作成する。…(ステッ
プ301) gcd (ki ,p−1)=かつ1<ki <p−1 2:局Ui-1 から受信した情報ri-1 と乱数ki から次
式のri を作成する。 ri =ri-1 ・gki mod p…(ステップ302) 3:情報ri ,平文Mを局Ui+1 に送信する。…(ステ
ップ303) 以上の処理を局U1 から順番に局Un まで実行し、rn
を作成する。但し、局Un の処理においてrn =p−1
が得られた場合、局Un は別の乱数kn を選び、rn
p−1となるようにする。なお、局U1 は、r0 =1と
してステップ302の処理を行う。また、局Un は作成
した情報rn を局U1 に送信し、sn の作成ラウンドに
移る。
【0038】sn の作成ラウンド <局Ui の手順> 1:局U1 ,U2 ,…,Ui-1 の公開情報y1 ,y2
…,yi-1 を公開リストから取り出す。…(ステップ3
04) 2:局Ui-1 からrn の作成ラウンドで受信したri-1
と、このラウンドで局Ui-1 から受信したrn ,si-1
が次の関係を満たしていることを確認する。…(ステッ
プ305)
【数1】 gsi-1=(y1 ・y2 ・…・yi-1 rn・ri-1 M mod p rn ≠p−1 3:ステップ305の関係を満足していない場合には、
局Ui-1 の処理に異状があったものとして処理を打ち切
る。…(ステップ306) 4:先のラウンドで作成した乱数ki と自局の秘密情報
i を用いて次式のsi を計算する。…(ステップ30
7) si =si-1 +xi ・rn +ki ・M mod (p−1) 5:si ,rn を局Ui+1 に送る。…(ステップ30
8) 以上の処理を局U1 から順番に局Un まで実行し、sn
を作成する。なお、局U1 は、s0 =0としてステップ
307の処理を行う。
【0039】以上により作成された(rn ,sn )が局
1 からUn による平文Mに対する多重署名である。局
n は作成した情報sn を必要に応じて全ての局U1
2,…,Un-1 に送る。
【0040】なお、上記手順のうちステップ304,3
05,306は部分署名si-1 の検査を実行する部分で
あり、省略することも可能である。この部分署名の検査
を省略した場合、多重署名(rn ,sn )が作成された
後になってはじめて検査を実行することになる。署名作
成者の不正をできるだけ早期に検出するためにはステッ
プ304,305,306の部分署名の検査が有効であ
る。
【0041】図4は図3の手順により作成された多重署
名の検査手順を示す。
【0042】検査時には以下の処理を行う。署名検査に
はrn ,sn ,M及び署名作成局のID情報I1
2 ,…、In が必要である。
【0043】1:局U1 ,U2 ,…,Un の公開情報y
1 ,y2 ,…,yn を公開リストから取り出す。…(ス
テップ401) 2:rn ,sn ,Mが次の関係を満たすことを確認す
る。…(ステップ402) gsn=(y1 ・y2 ・…・yn rn・rn M mod p rn ≠p−1 この関係が成立する場合には、(rn ,sn )は正当な
多重署名であるものと判定する。
【0044】次に、ElGamal 方式を変形したディジタル
署名方法の他の例を説明する。図5(a)は、局Ui
電子文書(データ)Mに対するディジタル署名を作成す
る手順であり、図5(b)はこのディジタル署名の検査
手順である。
【0045】<局Ui の手順> 1:以下の条件を満たす乱数kを定める。…(ステップ
501) gcd(k,p−1)=1かつ1<k<p−1 2:r=gk mod p を計算する。…(ステップ50
2) 3:M,rと秘密情報xi からs=xi ・M+k・r
mod (p−1)を計算する。…(ステップ503) 以上により作成されたrとsが局Ui のMに対するディ
ジタル署名となる。この署名作成手続きでもステップ5
01と502は、平文Mに依存しないためディジタル署
名作成の要求が生じる前に計算し、(k,r)のペアを
幾つか蓄積しておくことができる。
【0046】<署名検査手順> 1:公開リストから局Ui の公開情報yi を取り出す。
…(ステップ504) 2:r,s,M,yi が次式の関係を満たすことを確認
する。…(ステップ505) gs =yi M ・rr mod p この関係が成立する場合には、(r,s)は局Ui のM
に対するディジタル署名であるものと判定する。
【0047】図5の手順に対しても平文Mをそのまま利
用する代わりに一方向性の圧縮関数(ハッシュ関数)に
よる変換結果h(M)に対して署名してもよい。
【0048】また、関数f(定義域:Zp-1 ,値域:1
28bit 程度の整数)を用いて次のように変更してもよ
い。
【0049】<局Ui の手順> 1,2:変更なし。
【0050】3:s=xi ・M+k・f(r) mod
(p−1)を計算する。
【0051】<署名検査手順> 1:変更なし。
【0052】2:r,s,M,yi が次式の関係を満た
すことを確認する。
【0053】gs =yi M ・rf(r) mod p 次に、図5に示したディジタル署名を多重署名に適用す
る手順を2つ説明する。第1の手順では、情報の流れは
図2と同じであり、複数の署名作成局間で情報を2巡さ
せることにより多重署名データを生成する。局U1 ,U
2 ,…,Un のn局が多重署名データを作成するものと
する。図6は局Ui の手順を示す。
【0054】rn の作成ラウンド <局Ui の手順> 1:次の条件を満たす乱数ki を作成する。…(ステッ
プ601) gcd (ki ,p−1)=1かつ1<ki <p−1 2:局Ui-1 から受信した情報ri-1 と乱数ki から次
式のri を作成する。 ri =ri-1 ・gki mod p…(ステップ602) 3:情報ri ,平文Mを局Ui+1 に送信する。…(ステ
ップ603) 以上の処理を局U1 から順番に局Un まで実行し、rn
を作成する。なお、局U1 は、r0 =1としてステップ
602の処理を行う。また、局Un は作成した情報rn
を局U1 に送信し、sn の作成ラウンドに移る。
【0055】sn の作成ラウンド <局Ui の手順> 1:局U1 ,U2 ,…,Ui-1 の公開情報y1 ,y2
…,yi-1 を公開リストから取り出す。…(ステップ6
04) 2:局Ui-1 からrn の作成ラウンドで受信したri-1
と、このラウンドで受信したrn ,si-1 が次の関係を
満たしていることを確認する。…(ステップ605)
【数2】 gsi-1=(y1 ・y2 ・…・yi-1 M ・ri-1 rn mod p 3:ステップ605の関係を満足していない場合には、
局Ui-1 の処理に異状があったものとして処理を打ち切
る。…(ステップ606) 4:先のラウンドで作成した乱数ki と自局の秘密情報
xi を用いて次式のsi を計算する。…(ステップ60
7)
【数3】 si =si-1 +xi ・M+ki ・rn mod (p−1) 5:si ,rn を局Ui+1 に送る。…(ステップ60
8) 以上の処理を局U1 から順番に局Un まで実行し、sn
を作成する。なお、局U1 は、s0 =0としてステップ
607の処理を行う。
【0056】以上により作成された(rn ,sn )が局
1 からUn による平文Mに対する多重署名である。
【0057】図6の手順により作成された多重署名の検
査手順を図7を参照しながら説明する。
【0058】1:局U1 ,U2 ,…,Un の公開情報y
1 ,y2 ,…,yn を公開リストから取り出す。…(ス
テップ701) 2:rn ,sn ,Mが次の関係を満たすことを確認す
る。…(ステップ702) gsn=(y1 ・y2 ・…
・yn M ・rn rn mod p この関係が成立する場合には、(rn ,sn )は正当な
多重署名であるものと判定する。
【0059】次に、図5に示したディジタル署名を多重
署名に適用する第2の手順を説明する。第2の手順にお
ける情報の流れを図11に示す。複数の署名作成局間で
情報を1巡させるだけで多重署名データを生成する。局
1 ,U2 ,…,Un のn局が多重署名データを作成す
るものとする。図12は局Ui の手順を示す。
【0060】<局Ui の手順> 1:局U1 ,U2 ,…,Ui-1 の公開情報y1 ,y2
…,yi-1 を公開リストから取り出す。…(ステップ1
201) 2:局Ui-1 から受信したr1 ,r2 ,…,ri-1 ,s
i-1 が次の関係を満たしていることを確認する。…(ス
テップ1202)
【数4】 gsi-1=(y1 ・y2 ・…・yi-1 M ・r1 r1 ,r2 r2 …ri-1 ri- 1 mod p 3:ステップ1202の関係を満足していない場合に
は、局Ui-1 の処理に異状があったものとして処理を打
ち切る。…(ステップ1203) 4:次の条件を満たす乱数ki を作成する。…(ステッ
プ1204) gcd (ki ,p−1 )=1かつ1<ki <p−1 5:局Ui-1 から受信した情報ri-1 と乱数ki から次
式のri を計算する。 ri =ri-1 ・gki mod p…(ステップ1205) 6:局Ui-1 から受信した情報si-1 と乱数ki
i 、自局の秘密情報xiから次式のsi を計算する。
【0061】
【数5】 si =si-1 +xi ・M+ki ・ri mod (p−1) …(ステップ1206) 7:情報si ,r1 ,r2 ,…ri ,平文Mを局Ui+1
に送信する。…(ステップ1207) 以上の処理を局U1 から順番に局Un まで実行し、作成
されたsn ,r1 ,r2 ,…rn が局U1 からUn によ
る平文Mに対する多重署名である。なお、局U1 は、r
0 =1,s0 =0としてステップ1205,1206の
処理を行い、ステップ1201から1203までの部分
署名の検査処理は行わない。
【0062】図12の手順により作成された多重署名の
検査手順を図13を参照しながら説明する。
【0063】1:局U1 , U2 , …,Un の 公開情報
1 , y2 , …,yn を 公開リストから取り出す。…
(ステップ1301) 2:si ,r1 , r2 , …rn , Mが次の関係を満たす
ことを確認する。…(ステップ1302)
【数6】 gsn=(y1 ・y2 ・…・yn M ・r1 r1・r2 r2…rn rn mod p この関係が成立する場合には、(sn , r1 , r2 , …
n ) は正当な多重署名であるものと判定する。
【0064】なお、図11に示した多重署名法は、図3
もしくは図6の多重署名法に比べて、データサイズと検
査時の処理量からは不利であるが、署名作成が1巡の処
理で行えるという利点を持つ。
【0065】次に、本発明の署名方法の変形例を2つ示
す。署名者の秘密鍵と公開鍵の形式は、図8と同じであ
る。
【0066】第1の変形例は、署名検査式を次式とする
ものである。
【0067】gr = yM ・rs mod p 署名作成は、以下の手順で行う。
【0068】1:以下の条件を満たす乱数kを定める。
【0069】 gcd (k,p−1 )=1かつ1<k<p−1 2:r=gk mod p を計算する。
【0070】3:M,rと秘密情報xi からr=xi
M+k・s mod (p−1) を満たすsを求める。
【0071】第2の変形例は、署名検査式を次式とする
ものである。
【0072】 gr =ys ・rM mod p (但し、r≠p−1) 署名作成は、以下の手順で行う。
【0073】1:以下の条件を満たす乱数kを定める。
【0074】 gcd (k,p−1 )=1かつ1<k<p−1 2:r=gk mod pを計算する。
【0075】3:M,rと秘密情報xi からr=xi
s+k・M mod (p−1) を満たすsを求める。
【0076】ここに示した2つの変形に対しても平文M
をそのまま利用する代わりに一方向性の圧縮関数(ハッ
シュ関数)による変換結果h(M)に対して署名しても
よい。また、関数f(定義域:Zp-1 ,値域:128bi
t 程度の整数)を用いて変形したf(r)を指数部のr
と置き換えてもよい。
【0077】第9図は、本発明の電子署名方法の作成・
検査を実行する装置の一構成を示す。演算器901は多
倍長の演算を実行する部分であり、本電子署名方式の演
算処理の大部分を実行する。乱数発生器902は署名作
成時に必要な乱数kを生成する部分である。乱数メモリ
903は乱数発生器902で発生された乱数kと、乱数
kから計算されるgk mod pの値のペアを蓄積する部
分である。乱数発生器902、演算器901は署名作成
時・検査時以外にも稼働し、乱数(k,gk mod p)
のペアを生成し、乱数メモリ903に蓄積する。秘密情
報メモリ904は局の秘密情報を格納するメモリであ
る。その他に制御部905、メモリ906、入出力部9
07から構成される。
【0078】次に、本発明による多重署名法(図3もし
くは図6の方法)の性能をRSA法の多重署名法と比較
して説明する。
【0079】(1)多重署名による署名データの増加 本発明による多重署名データ(rn ,sn )のサイズは
一般の署名データ(r,s)のサイズ(図1もしくは図
5の方法)と同じであり、多重署名による署名データの
増加はない。一方、RSA法の多重署名法でも同様の性
質を持つ方式が考案されている。
【0080】(2)多重署名生成の処理量 本発明の場合、各局における署名作成の処理量は、部分
署名の検査処理の部分を除くと512bit の剰余乗算が
3回程度となる。但し、乱数ki ,gkiの事前計算を行
うことを前提とする。部分署名si-1 の検査にはべき乗
剰余計算が高々3回(効率の良い計算法によれば2回)
と剰余乗算が(i−1)回である。
【0081】一方、RSA方式に基づく多重署名方式で
は、部分署名の検査を除いて各々の局の処理がべき乗剰
余計算1回である。部分署名の検査は局Ui (第i番目
の署名局)では(i−1)回のべき乗剰余計算が必要で
ある。
【0082】従って、本発明の多重署名法はRSA法の
多重署名法はRSA法の多重署名よりも一般に署名作成
の効率が良い。
【0083】(3)多重署名検査の処理量 本発明の場合、署名作成局の数nに対し、512bit の
剰余乗算がn−1回とべき乗剰余計算が高々3回(効率
の良い計算法によれば約2回)である。一方、RSA方
式に基づく多重署名方式では、べき乗剰余計算がn回必
要である。但し、RSA方式において署名検査用のべき
指数は3や5などの極めて小さい値に設定されることが
多いので、剰余乗算がc・n回(但し、c=2 or 3な
どの値)に相当する。
【0084】従って、署名検査に関してはRSA方式の
多重署名の方が効率が良い場合が多い。
【0085】以上で説明したディジタル署名方式および
多重署名方式は、素数pでの剰余類により定義される有
限体GF(p)で構成したが、素数pのべき乗を位数と
する有限体GF(pm )でも同様に構成できる(特に、
「GF2m 」)。GF(pm)では乗算および剰余算が
シフトレジスタで実現できるため、ハードウェア処理に
よる高速化が期待できる。
【0086】また、楕円曲線上で定義される元の個数が
有限の群に対しても、本発明の署名方式・多重署名方式
は応用できる。楕円曲線上の群で定義される演算は加算
であり、本発明における乗算を楕円曲線上の群における
加算に置き換え、「べき乗」を「繰り返し加算」に置き
換えればよい。一般の有限体GF(p)における離散対
数問題よりも楕円曲線上の群における離散対数問題の方
が難しい可能性があり、より安全性の高い方式にできる
可能性や鍵サイズを小さくできる可能性がある。
【0087】次に、本発明による多重署名方法の応用例
であるID−based システムにおけるセキュリティ・セ
ンタの複数化について説明する。
【0088】ID−based システムでは、単一のセキュ
リティ・センタが存在し、各利用局固有の秘密情報の生
成・配布を行う。具体的には、局Ui の秘密情報として
ID情報Ii に対するセキュリティ・センタのディジタ
ル署名を局Ui の秘密情報Si とするのが典型である。
このようなシステムでは、局Ui の認承は秘密情報Si
の保持を確認することによって行われ、局のID情報を
知っていれば相手局の正当性の確認やディジタル署名の
確認、暗号鍵の共有などが実現できる。ただし、このよ
うなID−based システムでは、セキュリティ・センタ
がシステム全体の特権情報を全て握ることになる。なぜ
なら、セキュリティ・センタは全ての局の秘密情報を知
り得るためである。
【0089】セキュリティ・センタであっても局の秘密
情報を知り得ない構成としてKonhfelderの公開鍵証明書
方式がある。この方式では、各局が固有の秘密情報と公
開情報を生成し、公開情報と局のID情報に対してセン
タが署名した「公開鍵証明書」を各局が保持する。すな
わち、センタは各局の公開情報に対して“お墨付き”を
発行する役割に限定される。局の秘密情報はそれぞれの
局が生成するためセキュリティ・センタであっても局秘
密情報は求められない。しかし、このようにしてもセキ
ュリティ・センタが任意の局の秘密情報と公開情報をね
つ造し、公開鍵証明書を発行する不正が可能である。Ko
nhfelder方式と同様の効果、問題点を有する方式にGira
ult のSelf-certified public key 方式、Horster とKn
oblochのTestimonial 方式がある。
【0090】以上に説明したセキュリティ・センタの不
正を防ぐ方法として、セキュリティ・センタを複数化す
ることが考えられている。このことにより全てのセキュ
リティ・センタが結託しない限り局の秘密情報の導出や
局の秘密情報・公開情報のねつ造を困難にすることがで
きる。
【0091】以降では、分散化されたセンタの処理とし
て本発明による多重署名方式を採用し、Testimonial 方
式との組み合わせにより構成されるID−based システ
ムを説明する。セキュリティ・センタをC1 , C2 ,
…,Cn のn個とする。図10は、システムの構成を示
す。
【0092】まずシステム加入時における局Ui への秘
密情報Si の配布手順を説明する。 <局Ui の手続き> 1:次の条件を満たす乱数k0 を生成する。
【0093】 gcd(k0 ,p−1)=1かつ1<k0 <p−1 2:次式のr0 を求める。
【0094】r0 =gko mod p 3 センタC1 ,C2 ,…,Cn にr0 を送る。
【0095】<センタC1 ,C2 ,…,Cn の手続き>
センタは局ID情報Ii に対して図2、図3に示した手
順で多重署名を行う。但し、センタCj による部分署名
j-1 の検査(図3ステップ305)は以下の検査式で
実行する。
【0096】
【数7】 gsj-1=(y1 ・y2 ・…・yj-1 rn・(rj-1 /r0 ij mod p センタCn は生成された多重署名データ(rn ,sn
を局Ui に送る。多重署名の生成過程において各センタ
j の生成した乱数をkj とし、センタCj の秘密情報
をxj とすると、rn ,sn は次の形式となる。
【0097】rn = g(ko+k1+…+kn) mod p
【数8】sn = rn ・ (x1 + …+xn ) +Ii ・ (k
1 + …+kn )mod (p−1)<局Ui の手続き> 4:センタからrn ,sn を受信する。
【0098】5:sn とk0 から次式のSi を求める。
【0099】
【数9】 Si =sn +Ii ・k0 mod (p−1) =rn ・(x1 +…+xn )+Ii ・(k0 +k1 +…+kn )mod ( p−1) 6:rn ,Si が次式の関係を満たすことを確認す
る。
【0100】 gSi=(y1 ・y2 ・…・yn rn・rn Ii mod p この関係が成立する場合には、Si を局Ui の秘密情報
とする。また、rn は局Ui の公開情報Ri として公開
する。
【0101】局Ui の乱数k0 が作用しているために、
n を生成するセンタCn であってもSi の値は求める
ことができない。また、多重署名の生成過程において部
分署名の検査を実施するため、あるセンタが途中で不正
を行った場合には次のセンタと結託していない限り、不
正が発覚する。従って、全てのセンタが結託しない限
り、センタの不正は発覚する。
【0102】以降ではこのようにして各局Ui に秘密情
報Si と公開情報Ri が発行されたシステムにおいて、
具体的なセキュリティ機能を実現する手段を説明する。
【0103】まず、局Ui の確認(identification) 手
続きを説明する。但し、Ui :{処理}という表現によ
って局Ui の行う処理を表す。また、検査を行う局をV
とする。さらに、以下ではY=y1 ・y2 …yn mod
p とする。
【0104】<局Ui の認証手続き> Ui :乱数tを生成する。さらに次式のXを求める。
【0105】X=gt mod p 公開情報Ri ,ID情報Ii およびXを局Vに送る。
【0106】V:乱数eを生成し、局Ui に送る。
【0107】Ui :次式のZを求め、局Vに送る。
【0108】Z=t+Si ・e mod (p−1) V:Z,X,Ri ,Ii が以下の関係を満たすことを確
認する。
【0109】gZ =X・(YRi・Ri Iie mod p この関係が成立する場合には検査局Vは相手局を局Ui
であるものと認める。
【0110】次に局Ui と局Uj が共通の秘密鍵を共有
する方法を説明する。
【0111】<局Ui と局Uj の鍵共有手続き> U1 :公開情報Ri ,ID情報Ii を局Uj に送る。
【0112】Uj :公開情報Rj ,ID情報Ij を局U
j に送る。
【0113】Ui :共有鍵Kijを次式により求める。
【0114】Kij=(YRj・Rj IjSi mod p Uj :共有鍵Kjiを次式により求める。
【0115】Kji=(YRj・ri IiSj mod p 局Ui ,Uj の双方が正当な局であれば、次式が成立
する。
【0116】Kij=Kji=gSi Sj mod p 以上のように本発明の多重署名方法をID−based 方式
のセンタ処理部に利用することによりセンタの権限を分
散したシステムを構成することができ、しかもidentifi
cationや鍵共有などの手続きが効率良く実行できる。こ
れは本発明の多重署名法が共通の法pの上で構成できる
ことに由来している。例えば、RSA方式の多重署名法
では各センタCj が個別の法nj を使用することにな
り、identificationなどのプロトコルの効率が悪くな
る。
【0117】
【発明の効果】以上のべたように本発明によれば、ElGa
mal 方式の変形であって、さらに、多重署名方法が実現
可能な電子署名システムおよび電子署名方法が得られ
る。そして、本多重署名方法では署名のサイズが署名者
数に依存しないこと、および乱数生成を事前に実行する
ことで多重署名の生成における処理量が著しく低減され
るという効果が得られる。
【図面の簡単な説明】
【図1】本発明による第1の電子署名方法の計算手順お
よび検査手順を示すフローチャートである。
【図2】本発明の2巡式の多重署名方法における情報の
流れを示す説明図である。
【図3】第1の電子署名方法に基づく2巡式の多重署名
方法の計算手順を示すフローチャートである。
【図4】第1の電子署名方法に基づく2巡式の多重署名
方法の検査手順を示すフローチャートである。
【図5】本発明による第2の電子署名方法の計算手順お
よび検査手順を示すフローチャートである。
【図6】第2の電子署名方法に基づく2巡式の多重署名
方法の計算手順を示すフローチャートである。
【図7】第2の電子署名方法に基づく2巡式の多重署名
方法の検査手順を示すフローチャートである。
【図8】本発明の電子署名システムの構成の一例を示す
図である。
【図9】本発明の電子署名システムに係る作成・検査装
置を示す説明図である。
【図10】センタを分散したシステム構成の一例を与え
る図である。
【図11】本発明の1巡式の多重署名方法における情報
の流れを示す図である。
【図12】第2の電子署名方法に基づく1巡式の多重署
名方法の計算手順を示すフローチャートである。
【図13】第2の電子署名方法に基づく1巡式の多重署
名方法の検査手順を示すフローチャートである。
【符号の説明】
901 演算器 902 乱数発生器 903 乱数メモリ 904 秘密情報メモリ 905 制御部 906 メモリ 907 入出力部

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 署名作成者により文書Mに対して作成さ
    れた乱数k、及び署名作成者が保持する秘密整数xを基
    に、乱数kに依存する整数r、乱数kと整数xとに依存
    する整数sとを生成する手段と、公開された整数gと、
    公開された素数pを法として整数gを整数xでべき乗し
    た結果としての公開整数yと、前記M,r,sとに基づ
    いて得られる関係式 ga =yb ・rc mod p (ただし、a≠Mであり、a,b,cはM,r,sの組
    からそれぞれ割り当てたもの)を満足するか否かによっ
    て電子署名が正しいか否かを判定する手段と、を有する
    ことを特徴とする電子署名システム。
  2. 【請求項2】 電子文書Mに対する電子署名データを作
    成する方法であって、 前記文書Mに対して乱数kを作成する第1のステップ
    と、この乱数kに依存する整数rを生成する第2のステ
    ップと、前記乱数kと署名作成者が保持する秘密整数x
    とに依存する整数sを生成する第3のステップと、公開
    された素数pを法として公開されたgを前記秘密整数x
    でべき乗した結果としての公開整数yを得る第4のステ
    ップと、前記g,y,M,r,sとに基づいて得られる
    関係式 ga =yb ・rc mod p (但し、a≠Mであり、a,b,cはM,r,sの組か
    らそれぞれ一つづつを割り当てられたもの)を満たすか
    否かによって電子署名が正しいか否かを判定する第5の
    ステップと、 を有することを特徴とする電子署名方法。
  3. 【請求項3】 n者から構成される複数の署名者が署名
    を作成する方法であって、 第iの署名者(i=1,2,…,n)に秘密整数xi
    公開された素数pを法として公開された整数gを前記秘
    密整数xi でべき乗した結果としての公開整数yi とを
    割り当てる第1のステップと、 署名作成時にはn者から成る署名作成者の間を巡回さ
    せ、その電子署名データとして各署名作成者が生成する
    乱数ki に依存する整数rと、乱数ki と秘密整数xi
    とに依存する整数sとを作成する第2のステップと、 前記g,yi ,M,r,sに基づいて得られる関数式 ga =(yi ・y2 ・…・yn b ・rc mod p (但し、a≠Mであり、a,b,cはM,r,sの組か
    らそれぞれ一つづつを割り当てられたもの)を満足する
    か否かによって電子署名が正しいか否かを判定する第3
    のステップと、 を有することを特徴とする電子署名方法。
JP24185992A 1992-09-10 1992-09-10 電子署名装置及び電子署名システム Expired - Fee Related JP3338088B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP24185992A JP3338088B2 (ja) 1992-09-10 1992-09-10 電子署名装置及び電子署名システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP24185992A JP3338088B2 (ja) 1992-09-10 1992-09-10 電子署名装置及び電子署名システム

Publications (2)

Publication Number Publication Date
JPH0695590A true JPH0695590A (ja) 1994-04-08
JP3338088B2 JP3338088B2 (ja) 2002-10-28

Family

ID=17080581

Family Applications (1)

Application Number Title Priority Date Filing Date
JP24185992A Expired - Fee Related JP3338088B2 (ja) 1992-09-10 1992-09-10 電子署名装置及び電子署名システム

Country Status (1)

Country Link
JP (1) JP3338088B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088798A (en) * 1996-09-27 2000-07-11 Kabushiki Kaisha Toshiba Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein
US6341349B1 (en) 1996-10-31 2002-01-22 Hitachi, Ltd. Digital signature generating/verifying method and system using public key encryption
WO2006057171A1 (ja) * 2004-11-29 2006-06-01 Nec Corporation 署名および検証方法ならびに署名および検証装置
JP2022553995A (ja) * 2020-06-22 2022-12-27 杭州趣鏈科技有限公司 フローラインフレンドリーな署名と署名検証方法、設備および記憶媒体

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088798A (en) * 1996-09-27 2000-07-11 Kabushiki Kaisha Toshiba Digital signature method using an elliptic curve, a digital signature system, and a program storage medium having the digital signature method stored therein
US6341349B1 (en) 1996-10-31 2002-01-22 Hitachi, Ltd. Digital signature generating/verifying method and system using public key encryption
WO2006057171A1 (ja) * 2004-11-29 2006-06-01 Nec Corporation 署名および検証方法ならびに署名および検証装置
JP4848957B2 (ja) * 2004-11-29 2011-12-28 日本電気株式会社 署名および検証方法ならびに署名および検証装置
JP2022553995A (ja) * 2020-06-22 2022-12-27 杭州趣鏈科技有限公司 フローラインフレンドリーな署名と署名検証方法、設備および記憶媒体

Also Published As

Publication number Publication date
JP3338088B2 (ja) 2002-10-28

Similar Documents

Publication Publication Date Title
Li et al. Universal accumulators with efficient nonmembership proofs
Saeednia et al. An efficient strong designated verifier signature scheme
Damgård et al. New convertible undeniable signature schemes
EP0786178B1 (en) Secret-key certificates
CN110545279A (zh) 兼具隐私和监管功能的区块链交易方法、装置及系统
Gu et al. New public key cryptosystems based on non‐Abelian factorization problems
TW201320701A (zh) 資訊處理裝置、資訊處理方法及程式
EP2686978B1 (en) Keyed pv signatures
Zhou et al. Shorter verifier-local revocation group signatures from bilinear maps
KR20230024369A (ko) 비밀 공유의 생성
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
Yang et al. Anonymous signature schemes
Daniel et al. A forward secure signcryption scheme with ciphertext authentication for e-payment systems using conic curve cryptography
TW202318833A (zh) 臨界簽章方案
Vitto et al. Dynamic universal accumulator with batch update over bilinear groups
Islam et al. Certificateless strong designated verifier multisignature scheme using bilinear pairings
Merz et al. Another look at some isogeny hardness assumptions
KR20230002941A (ko) 비밀 공유를 갖는 (ec)dsa 임계값 서명
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
WO2023072502A1 (en) Generating shared keys
KR20240045231A (ko) 디지털 서명 셰어의 생성
JPH0695590A (ja) 電子署名システム及び電子署名方法
Lyuu et al. Convertible group undeniable signatures
GB2610560A (en) Generating shared cryptographic keys
Hanaoui et al. MULTI-AGENT identity combined key Signature authentication PROTOCOL based schnorr signature with provable security under AVISPA

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070809

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080809

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090809

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees