JPH07131455A - 相互証明システム - Google Patents

相互証明システム

Info

Publication number
JPH07131455A
JPH07131455A JP5278057A JP27805793A JPH07131455A JP H07131455 A JPH07131455 A JP H07131455A JP 5278057 A JP5278057 A JP 5278057A JP 27805793 A JP27805793 A JP 27805793A JP H07131455 A JPH07131455 A JP H07131455A
Authority
JP
Japan
Prior art keywords
prover
certifier
exp
knowledge
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP5278057A
Other languages
English (en)
Inventor
Genji Nishioka
玄次 西岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP5278057A priority Critical patent/JPH07131455A/ja
Publication of JPH07131455A publication Critical patent/JPH07131455A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【目的】証明者A側装置の証明者Aと証明者B側装置の
証明者Bが同じ知識xを所有し、互いに同時に知識xの
所有を証明する相互証明システムを提供する。 【構成】証明者A(または、証明者B)は共通知識xに
乱数を施して証明者B(または、証明者A)に送り、同
じ共通知識xを持つ証明者B(または、証明者A)だけ
がその乱数を言い当てることができることを利用して証
明を行う。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、互いに同じ知識xを所
有する二者が同時にその知識の所有を知識xを漏らすこ
となく証明する相互証明システムに関する
【0002】
【従来の技術】従来より、証明者が確認者に対して、命
題の正当性を証明する証明システムは数多く知られてい
る。例えば、証明者がある知識xの所有を確認者に対し
て証明したい場合、一番簡単な方法は知識xを確認者に
見せてしまえばよい。しかし、この証明方法では、証明
後に確認者は知識xを手に入れることができる。これに
対して、証明者は知識xの所有を確認者に対して証明し
たいが、知識xを確認者に対して教えたくないという要
求が出て来る。
【0003】このような要求を満足する証明方式に零知
識証明がある。零知識証明は、文献ザ ナリジ コンプ
レクシティ オブ インタラクティブ プルーフ シス
テムズ(The knowledge complexity of interactive pr
oof systems)プロシーディングズ オブ セブンティー
ンス エスティーオーシー(Proc.17th STOC)1985,pp
291−304.)に記載されている。
【0004】零知識証明を用いると、知識xの所有のみ
を証明でき、その他の情報を一切漏らさない証明が可能
となる。現在、零知識証明は、暗号の分野で、特に認証
技術に応用されている。
【0005】以下に、平方剰余問題の零知識証明プロト
コルを零知識証明の一例として挙げる。
【0006】証明者は、公開情報
【0007】
【数17】y≡x2 (mod n) に対して、知識xの所有を確認者に証明する。ただし、
n=p・q(p,qは素数)は公開情報とする。
【0008】次のステップ1から4をi=1,…,tま
で繰り返し、全てのiについてステップ4の等式が成立
すれば、確認者は証明者を受理する。すなわち、確認者
は証明者が知識xを所有していることを認める。
【0009】1)証明者は、乱数ri∈Znを選び、ui
≡ri 2(mod n)を確認者に送る。
【0010】2)確認者は、ランダムビットeiを証明
者に送る。
【0011】3)証明者は、
【0012】
【数18】 wi≡ri (mod n) if ei=0, ≡x・ri (mod n) if ei=1 を確認者に送る。
【0013】4)確認者は、
【0014】
【数19】 ui≡wi 2 (mod n) if ei=0, ≡wi 2/y (mod n) if ei=1 を検査する。
【0015】
【発明が解決しようとする課題】従来の技術で述べた証
明方式は、証明者が確認者に対して証明を行うものであ
る。よって、証明者は正しい確認者に対して証明を行っ
ているのかどうかは分からない。しかし、このような証
明系を暗号システムへ応用する場合、不正者が確認者に
なりすましている場合等も考えられ、この問題をクリア
することは重要である。
【0016】本発明の目的は、次に挙げる条件を満足す
る証明系を提案することにある。
【0017】(1)同じ知識xを所有する二者が互いに
同時に知識xの所有を証明する。
【0018】(2)この相互証明システムにおいては、
知識xを持たない者が知識xを持つ者から、いかなる手
段によっても知識xを引き出すことは困難である。
【0019】(3)知識xを所有する証明者が知識xを
所有しない確認者に知識xの所有を証明する証明方式、
例えば零知識証明、を証明者Aが証明者Bに証明を行っ
た後、証明者Bが証明者Aに証明を行う、と言ったよう
に証明を2回行うよりも効率が良い。
【0020】
【課題を解決するための手段】上記目的を達成するため
に、本発明は、証明者間の共通知識xに乱数を施して相
手に送り、同じ共通知識xを持つ者だけがその乱数を言
い当てることができることを利用している。
【0021】具体的には、公開情報である二つの素数
p,q(ただし、qはp−1を割り切る。)と正定数α
に対して、同じ共通知識xを持つ証明者Aと証明者Bは
次のプロトコルに従い、互いに共通知識xの所有の証明
を行う。
【0022】証明者Aは、r1∈Zqをランダムに選び、
【0023】
【数20】u1≡r1・x (mod q) を計算して、証明者Bに送る。証明者Bは、r2∈Zq
ランダムに選び、
【0024】
【数21】 u2≡r2・x (mod q), w1≡exp(α,u1/x) (mod p) を計算して、証明者Aに送る。証明者Aは、
【0025】
【数22】exp(w1,x)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、
【0026】
【数23】w2≡exp(α,u2/x) (mod p) を証明者Bに送る。証明者Bは、
【0027】
【数24】exp(w2,x)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、証明者Aを受理する。
【0028】ただし、ここで、Zp は素数pを法とする
剰余体を意味し、exp(a,x)はaのx乗を意味するも
のとする。
【0029】
【作用】本発明では、同じ共通知識xを持つ二者間で同
時に共通知識xの所有を証明しているために、双方とも
相手の正当性を確認することができる。
【0030】また、証明者間の共通知識xに乱数を施し
て相手に送り、同じ共通知識xを持つ者だけがその乱数
を言い当てることができることを利用して証明を行って
いるため、共通知識xを知らない者は不正に共通知識x
を手に入れることは困難である。
【0031】さらに、共通知識xの所有を前提に証明方
式を構築しているので、従来方式である知識xを所有す
る証明者が知識xを所有しない確認者に知識xの所有を
証明する証明方式、例えば零知識証明、を証明者Aが証
明者Bに証明を行った後、証明者Bが証明者Aに証明を
行う、と言ったように証明を2回行うよりも効率が良い
証明が可能となる。
【0032】
【実施例】(実施例1)図1は、本発明の実施例1のシ
ステム構成を示す図である。同図のシステムは、証明者
A側装置100と証明者B側端末200とから構成され
ている。証明者A側装置200と証明者B側端末300
は、互いに通信回線300を介して接続されている。
【0033】図2は、証明者A側装置100の内部構成
を示す。証明者A側装置100は、入力装置101,メ
モリ102,乱数生成装置103,演算装置104,出
力装置105,通信装置106を備えている。
【0034】図3は、証明者B側装置200の内部構成
を示す。証明者A側装置200は、入力装置201,メ
モリ202,乱数生成装置203,演算装置204,出
力装置205,通信装置206を備えている。
【0035】図4は、本発明の実施例1の概要を示す説
明図である。
【0036】図中、Zは整数環を表わし、Zpは素数p
を法とする剰余体を表わす。また、a∈Zpのオーダー
がnであるとは、|〈a〉|=nを意味し、ord(a)=n
と書く。ここで、〈a〉はaで生成される巡回群を表わ
し、|S|は集合Sの元の個数を表わす。
【0037】証明者Aと証明者Bは、共通知識xを所有
していて、互いに同時に共通知識xの所持を証明する。
ただし、ここで、p:素数(512ビット程度),q:
p−1を割り切る素数(160ビット程度)として、
【0038】
【数25】α∈Zq s.t ord(α)=q は公開情報とする。
【0039】〔プロトコル〕 1)証明者Aは、証明者A側装置100内の乱数生成装
置103を用いて、r1∈Zqをランダムに選び、メモリ
102,演算装置104を用いて、
【0040】
【数26】u1≡r1・x (mod q) を計算して、出力装置105及び通信装置106を用い
て、通信回線300を介して証明者Bに送る。
【0041】2)証明者Bは、証明者B側装置200内
の乱数生成装置203を用いて、r2∈Zq をランダム
に選び、メモリ202,演算装置204を用いて、
【0042】
【数27】 u2≡r2・x (mod q), w1≡exp(α,u1/x) (mod p) を計算して、出力装置205及び通信装置206を用い
て、通信回線300を介して証明者Aに送る。
【0043】3)証明者Aは、証明者A側装置100内
のメモリ102,演算装置104を用いて、
【0044】
【数28】exp(w1,x)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、
【0045】
【数29】w2≡exp(α,u2/x) (mod p) を出力装置105及び通信装置106を用いて、通信回
線300を介して証明者Bに送る。
【0046】4)証明者Bは、証明者B側装置200内
のメモリ202,演算装置204を用いて、
【0047】
【数30】exp(w2,x)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、証明者Aを受理する。
【0048】ただし、ここで、exp(a,x)はaのx乗
を意味するものとする。
【0049】(実施例2)本発明を通信ネットワーク上
での利用者の認証に適用した場合の実施例について以下
に述べる。
【0050】図5は、本発明の実施例2のシステム構成
を示すブロック図である。同図のシステムは、利用者が
所持するICカード400とセンタ側装置500と複数
の端末600とから構成されている。センタ側装置50
0と複数の端末600は、互いに通信回線700を介し
て接続されている。
【0051】図6はICカード400の内部構成を示
す。ICカード400は、入力装置401,メモリ40
2,乱数生成装置403,演算装置404,出力装置4
05を備えている。
【0052】図7は、センタ側装置500の内部構成を
示す。センタ側装置500は、入力装置501,メモリ
502,乱数生成装置503,演算装置504,出力装
置505,通信装置506を備えている。
【0053】図8は、端末600の内部構成を示す図で
ある。端末600は、入力装置601,ICカード読み取
り装置602,通信装置603,出力装置604を備え
ている。
【0054】登録処理 利用者は自分の暗証番号xをセンタに登録する。センタ
は、xを搭載したICカード400を利用者に配布す
る。
【0055】認証処理 利用者は自分のICカード400を端末600のICカ
ード読み取り装置602に差し込み、次のステップ1から
ステップ4のプロトコルを実行することでセンタのセン
タ側装置500との間で通信回線700を介して認証処
理を行う。
【0056】1)利用者は、ICカード400内の乱数
生成装置403を用いて、r1∈Zqをランダムに選び、
メモリ402,演算装置404を用いて、
【0057】
【数31】u1≡r1・x (mod q) を計算して、出力装置405、及び端末600内の通信
装置603を用いて、通信回線700を介してセンタ側
装置500に送る。
【0058】2)センタは、センタ側装置500内のセ
ンタ側装置500の乱数生成装置503を用いて、r2∈Z
qをランダムに選び、メモリ502,演算装置504を
用いて、
【0059】
【数32】 u2≡r2・x (mod q), w1≡exp(α,u1/x) (mod p) を計算して、出力装置505及び通信装置506を用い
て、通信回線700を介して利用者に送る。
【0060】3)利用者は、ICカード400内のメモ
リ402、演算装置404を用いて、
【0061】
【数33】exp(w1,x)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、センタを受理して、
【0062】
【数34】w2≡exp(α,u2/x) (mod p) を端末600内の通信装置603を用いて、通信回線7
00を介してセンタ側装置500に送る。
【0063】4)センタは、センタ側装置500内のメ
モリ502,演算装置504を用いて、
【0064】
【数35】exp(w2,x)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、利用者を受理する。
【0065】ただし、ここで、exp(a,x)はaのx乗
を意味するものとする。
【0066】従来方式では、利用者は本当に正しいセン
タを相手に認証を行っているかが分からなかったが、本
方式では、相手の正当性も同時に証明されるのでより安
全な認証が可能となる。
【0067】(実施例3)本発明をグループ内の認証に
適用した場合の実施例について以下に述べる。
【0068】本実施例のシステム構成は実施例2のシス
テム構成と同じである。ただし、本実施例ではセンタ側
装置500は不要である。
【0069】登録処理 あるグループに属する各メンバーはグループに特有の秘
密情報xをICカード400に搭載して所持する。
【0070】認証処理 グループに属するメンバーは、自分のICカード400
を端末600のICカード差し込み口602に差し込
み、実施例1で説明したステップ1からステップ4のプ
ロトコルを実行することで、通信回線700を介して他
の端末600の同一のグループに属する他のメンバーと
の間で認証処理を行う。
【0071】(実施例4)本発明を、鍵共有方式に適用
した場合の実施例について以下に述べる。
【0072】本実施例のシステム構成は実施例1のシス
テム構成と同じである。ただし、本実施例では、証明者
A側端末100が鍵配送者A側装置100に代わり、証
明者B側端末200が鍵受取者B側装置200に代わ
る。
【0073】鍵配送 鍵配送者Aは、鍵受取者Bの公開鍵KBを用いて、共有
したい鍵K(∈Zq)を暗号化して鍵受取者Bに送る。
【0074】この操作のみでも、鍵共有は実現できる
が、鍵受取者Bは鍵Kが誰から送られてきたものである
かは確認する事はできない。また、本当に正しい値で鍵
共有が行われているかも確認する事はできない。そこ
で、鍵配送の後、次の認証処理を行うことにより、これ
らの問題をクリアする。
【0075】認証処理 1)鍵配送者Aは、鍵配送者A側装置100内の乱数生
成装置103を用いて、r1∈Zqをランダムに選び、メ
モリ102,演算装置104を用いて、
【0076】
【数36】u1≡r1・K (mod q) を計算して、u1 を鍵受取者Bの公開鍵で暗号化した暗
号文を出力装置105及び通信装置106を用いて、通
信回線300を介して鍵受取者Bに送る。
【0077】2)鍵受取者Bは、鍵受取者B側装置20
0内の乱数生成装置203を用いて、r2∈Zqをランダ
ムに選び、自分の秘密鍵とメモリ202,演算装置20
4を用いて、
【0078】
【数37】 u2≡r2・K (mod q), w1≡exp(α,u1/K) (mod p) を計算して、u1,w1を鍵配送者Aの公開鍵KA で暗号
化した暗号文を出力装置205及び通信装置206を用
いて、通信回線300を介して鍵配送者Aに送る。
【0079】3)鍵配送者Aは、自分の秘密鍵と鍵配送
者A側装置100内のメモリ102,演算装置104を
用いて、
【0080】
【数38】exp(w1,K)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、
【0081】
【数39】w2≡exp(α,u2/K) (mod p) を出力装置105及び通信装置106を用いて、通信回
線300を介して鍵受取者Bに送る。
【0082】4)鍵受取者Bは、鍵受取者B側装置20
0内のメモリ202、演算装置204を用いて、
【0083】
【数40】exp(w2,K)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、鍵配送者Aを受理する。
【0084】(実施例5)本実施例では、証明者のラン
クが複数の階層からなる場合の相互証明方式について述
べる。
【0085】システム構成は図1のシステム構成と同じ
である。
【0086】記号は実施例1と同様であるが、さらに、
nを二つの素数の積として公開する(nは512ビット
程度とする)。
【0087】図10の様に証明者はk(>1)層のラン
クに分けられている。各階層毎の証明者の共通知識は次
のように定める。
【0088】
【数41】 ・ランク1:(x1,s) s.t x1,s∈Zn and exp
(2,k−1)|s, ・ランク2:(x2,s) s.t x2≡x1 2 (mod
n), ・ランク3:(x2,s) s.t x3≡x2 2 (mod
n),・・・・・・・・・ ・ランクk:(xk,s) s.t xk≡xk-1
2 (mod n) このことから、上位の階層に属する証明者は下位の階層
に属する証明者の知識を簡単に計算できるので、上位の
証明者は下位の証明者として証明することは可能であ
る。逆に、下位の証明者が上位の証明者の知識を得るた
めには、離散対数問題を解く必要があり、これは計算量
的に困難なために下位の証明者は上位の証明者として証
明することは困難である。
【0089】次に証明者間で行われる相互証明プロトコ
ルについて説明する。
【0090】〔プロトコル〕 (1)同じランクに属する証明者として相互証明を行う
場合。
【0091】証明者A,Bはランクmに属しているもの
とする。
【0092】1)証明者Aは、証明者A側装置100内
の乱数生成装置103を用いて、r1∈Zqをランダムに
選び、メモリ102,演算装置104を用いて、
【0093】
【数42】u1≡r1・xm (mod q) を計算して、出力装置105,通信装置106を用い
て、通信回線300を介して証明者Bに送る。
【0094】2)証明者Bは、証明者B側装置200内
の乱数生成装置203を用いて、r2∈Zqをランダムに
選び、メモリ202,演算装置204を用いて、
【0095】
【数43】 u2≡r2・xm (mod q), w1≡exp(α,u1/xm) (mod p) を計算して、出力装置205,通信装置206を用い
て、通信回線300を介して証明者Aに送る。
【0096】3)証明者Aは、証明者A側装置100内
のメモリ102,演算装置104を用いて、
【0097】
【数44】exp(w1,xm)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、 w2≡exp(α,u2/xm) (mod p) を出力装置105,通信装置106を用いて、通信回線
300を介して証明者Bに送る。
【0098】4)証明者Bは、証明者B側装置200内
のメモリ202,演算装置204を用いて、
【0099】
【数45】exp(w2,xm)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、証明者Aを受理する。
【0100】ただし、ここで、exp(a,x)はaのx乗
を意味するものとする。
【0101】(2)異なるランクに属する証明者間で相
互証明を行う場合。
【0102】ここでは、証明者Aはランクfに属し、証
明者Bはランクgに属すると仮定する(f<g)。
【0103】1)証明者Aは、証明者A側装置100内
の乱数生成装置103を用いて、ri∈Zn(i=1,2,
…,t),rt+1∈Zqをランダムに選び、メモリ10
2,演算装置104を用いて、
【0104】
【数46】 ui≡exp(ri,s・exp(2,g−f)) (mod n), ut+1≡rt+1・exp(xf,exp(2,g−f)) (mod
q) を計算して、出力装置105及び通信装置106を用い
て、通信回線300を介して証明者Bに送る。
【0105】2)証明者Bは、証明者B側装置200内
の乱数生成装置203を用いて、e1,…,et∈{0,
1},r2∈Zqをランダムに選び、メモリ202,演算
装置204を用いて、
【0106】
【数47】w1≡exp(α,ut+1/xg) (mod p) を計算して、出力装置205及び通信装置206を用い
て、通信回線300を介してe1,…,etと共に証明者A
に送る。
【0107】3)証明者Aは、証明者A側装置100内
のメモリ102,演算装置104を用いて、
【0108】
【数48】 exp(w1,exp(xf,exp(2,g−f))≡exp(α,ut+1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、
【0109】
【数49】zi≡ri・exp(xf,ei) (mod n) を出力装置105及び通信装置106を用いて(i=
1,2,…,t)、通信回線300を介して証明者Bに
送る。
【0110】4)証明者Bは、証明者B側装置200内
のメモリ202,演算装置204を用いて、
【0111】
【数50】 exp(zi,s・exp(2,g−f))≡ui・exp(xg,s・ei) (mod n) の成立を確かめ(i=1,2,…,t)、成立すれば、証
明者Aを受理する。ただし、ここで、exp(a,x)はa
のx乗を意味するものとする。
【0112】
【発明の効果】本発明における相互証明システムでは、 (1)互いに同じ共通知識を所有している2者間で、互
いに同時に共通知識の所有を証明することが可能であ
る。
【0113】また、この際、共通知識を持たない第3者
はいかなる手段によっても共通知識を持つ証明者から共
通知識を引き出すことは困難であるので、安全な相互証
明が実現できる。
【0114】(2)上記の実施例では、通信系列がシュ
ミレートできるかどうかの意味において、零知識ではな
い。よって、離散対数問題(実施例5においては、さら
に平方剰余問題)の困難性を仮定すれば、証明者間の通
信系列は証明を行った証拠となる。
【0115】(3)知識xを所持する証明者が知識xを
所持しない確認者に一方的に証明する証明方式、例えば
零知識証明、を2回用いて相互証明をするより、通信回
数が少なくて済むので、効率が良い証明が可能となる。
【0116】(4)証明者のランクが複数の階層に分か
れており、同じ階層に属する証明者は同一の知識を所有
している。ランク分けされた証明者間で相互証明を行う
際、上位の階層に所属する証明者は下位の階層に所属す
る証明者として証明をすることが可能であり、下位の階
層に所属する証明者は上位の階層に所属する証明者とし
て証明をすることは困難であるような階層化されたグル
ープにおける証明システムにも適用が可能である。
【図面の簡単な説明】
【図1】本発明の実施例1におけるシステム構成を示す
ブロック図。
【図2】実施例1のシステム構成内の証明者A側装置内
部構成を示すブロック図。
【図3】実施例1のシステム構成内の証明者B側装置内
部構成を示すブロック図。
【図4】実施例1の概要を示す説明図。
【図5】実施例2のシステム構成を示すブロック図。
【図6】実施例2のシステム構成内のICカード内部構
成を示すブロック図。
【図7】実施例2のシステム構成内のセンタ側装置内部
構成を示すブロック図。
【図8】実施例2のシステム構成内の端末内部構成を示
すブロック図。
【図9】実施例4の概要を示す説明図。
【図10】実施例5における証明者の階層化を示す説明
図。
【符号の説明】 100…証明者A側端末、200…証明者B側端末、3
00…通信回線。

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】証明者が、ある知識を所持することを確認
    者に対して証明する証明システムにおいて、 証明者Aと証明者Bが同一の知識xを所有し、証明者A
    と証明者Bの二者間で互いに同時に知識xの所有を証明
    することを特徴とする相互証明システム。
  2. 【請求項2】請求項1において、証明者Aと証明者B以
    外の第三者が証明者Aと証明者B間の証明過程における
    通信系列から知識xを推測することが困難である相互証
    明システム。
  3. 【請求項3】請求項1または2において、 知識xを所有する正当な証明者Aに対して、知識xを所
    有しない不正な証明者Cは如何なる方法によっても、証
    明者Aがプロトコルに従っている限り、証明者Cは知識
    xを証明者Aから引き出すことが困難である相互証明シ
    ステム。
  4. 【請求項4】請求項1,2または3において、 同一の知識xを所有する証明者Aと証明者Bの間で、知
    識xを所有する証明者が知識xを所有しない確認者に証
    明する証明方式を、証明者Aから証明者Bに証明した
    後、証明者Bから証明者Aに証明する場合に比べて、通
    信回数が少ない相互証明システム。
  5. 【請求項5】証明者が、ある知識を所持することを確認
    者に対して証明を行う証明システムにおいて、 証明者Aと証明者Bは同じ共通知識xを持ち、公開情報
    である二つの素数p,qと正定数αを用いて、互いに共
    通知識xの所有の証明を同時に行う目的で、 証明者Aは、乱数r1を選び、 【数1】u1≡r1・x (mod q) を計算して、証明者Bに送り、証明者Bは、乱数r2
    選び、 【数2】 u2≡r2・x (mod q), w1≡exp(α,u1/x) (mod p) を計算して、証明者Aに送り、証明者Aは、 【数3】exp(w1,x)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、 【数4】w2≡exp(α,u2/x) (mod p) を証明者Bに送り、証明者Bは、 【数5】exp(w2,x)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、証明者Aを受理すること
    により、相互証明を行うことを特徴とする相互証明シス
    テム(ただし、ここで、exp(a,x)はaのx乗を意味
    するものとする。)。
  6. 【請求項6】証明者が、ある知識を所持することを確認
    者に対して証明を行う証明システムにおいて、 証明者のランクが複数の階層に分かれており、同じ階層
    に属する証明者は同一の知識を所有し、ランク分けされ
    た証明者間で相互証明を行う際、上位の階層に所属する
    証明者は下位の階層に所属する証明者として証明をする
    ことが可能であり、下位の階層に所属する証明者は上位
    の階層に所属する証明者として証明をすることは困難で
    あることを特徴とする階層化されたグループにおける相
    互証明システム。
  7. 【請求項7】請求項5において、互いに証明を行ってい
    る証明者以外の第3者が証明者間の証明過程における通
    信系列から他の証明者の知識を推測することが困難であ
    る相互証明システム。
  8. 【請求項8】請求項5または6において、 不正な証明者は如何なる方法によっても、正当な証明者
    がプロトコルに従っている限り、不正な証明者は正当な
    証明者の知識を引き出すことが困難である相互証明シス
    テム。
  9. 【請求項9】請求項5,6または7において、 同一の知識xを所有する証明者Aと証明者Bの間で、知
    識xを所有する証明者が知識xを所有しない確認者に証
    明する証明方式を、証明者Aから証明者Bに証明した
    後、証明者Bから証明者Aに証明する場合に比べて、通
    信回数が少ない証明システム。
  10. 【請求項10】証明者が、ある知識を所持することを確
    認者に対して証明を行う証明システムにおいて、証明者
    のランクが複数の階層に分かれており、同じ階層に属す
    る証明者は同一の知識を所有し、例えば、最上位である
    ランク1に属する証明者には(x1 ,s)なる共通の知
    識が、第2上位であるランク2に属する証明者には(x
    2 ,s)なる共通の知識が、階層数kと公開情報nを用
    いて、 【数6】x2≡x1 2 (mod n),exp(2,k−1)|s と与えられて、また、以下のランクについても同様に与
    えられており、 同じランクmに属する証明者として証明者Aと証明者B
    が相互証明を行う場合は、 証明者Aは、乱数r1 を選び、 【数7】u1≡r1・xm (mod q) を計算して、証明者Bに送り、 証明者Bは、乱数r2 を選び、 【数8】 u2≡r2・xm (mod q), w1≡exp(α,u1/xm) (mod p) を計算して、証明者Aに送り、 証明者Aは、 【数9】exp(w1,xm)≡exp(α,u1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、 【数10】w2≡exp(α,u2/xm) (mod p) を証明者Bに送り、 証明者Bは、 【数11】exp(w2,xm)≡exp(α,u2) (mod p) の成立を確かめ、成立すれば、証明者Aを受理し、 異なるランクに属する証明者間で相互証明を行う場合
    は、 証明者Aはランクfに属し、証明者Bはランクgに属す
    ると仮定する(f<g)と、 証明者Aは、乱数ri(i=1,2,…,t+1)を選び、 【数12】 ui≡exp(ri,s・exp(2,g−f)) (mod n), ut+1≡rt+1・exp(xf,exp(2,g−f)) (mod
    q) を計算して、証明者Bに送り、 証明者Bは、e1,…,et∈{0,1},r2をランダム
    に選び、 【数13】w1≡exp(α,ut+1/xg) (mod p) を計算して、e1,…,etと共に証明者Aに送り、 証明者Aは、 【数14】 exp(w1,exp(xf,exp(2,g−f))≡exp(α,ut+1) (mod p) の成立を確かめ、成立すれば、証明者Bを受理して、 【数15】zi≡ri・exp(xf,ei) (mod n) を証明者Bに送り(i=1,2,…,t)、 証明者Bは、 【数16】 exp(zi,s・exp(2,g−f))≡ui・exp(xg,s・ei) (mod n) の成立を確かめ(i=1,2,…,t)、成立すれば、証
    明者Aを受理することにより、相互証明を行うことを特
    徴とする相互証明システム(ただし、ここで、exp(a,
    x)はaのx乗を意味するものとする)。
JP5278057A 1993-11-08 1993-11-08 相互証明システム Pending JPH07131455A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP5278057A JPH07131455A (ja) 1993-11-08 1993-11-08 相互証明システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP5278057A JPH07131455A (ja) 1993-11-08 1993-11-08 相互証明システム

Publications (1)

Publication Number Publication Date
JPH07131455A true JPH07131455A (ja) 1995-05-19

Family

ID=17592060

Family Applications (1)

Application Number Title Priority Date Filing Date
JP5278057A Pending JPH07131455A (ja) 1993-11-08 1993-11-08 相互証明システム

Country Status (1)

Country Link
JP (1) JPH07131455A (ja)

Similar Documents

Publication Publication Date Title
JP4235453B2 (ja) 検証可能な秘密のシャッフルおよびそれらの電子投票への応用
Lee et al. Receipt-free electronic voting scheme with a tamper-resistant randomizer
US5495532A (en) Secure electronic voting using partially compatible homomorphisms
Pedersen Distributed provers with applications to undeniable signatures
Ateniese et al. Efficient group signatures without trapdoors
US7913088B2 (en) Digital signature and authentication method and apparatus
US8654975B2 (en) Joint encryption of data
Chow et al. Robust Receipt-Free Election System with Ballot Secrecy and Verifiability.
Demirel et al. Improving Helios with Everlasting Privacy Towards the Public.
JP2006115550A (ja) 安全な複数オーソリティ選挙のためのエルガマル暗号化データのように暗号化されたデータの検証可能な秘密シャッフル
JP2004208263A (ja) バイリニアペアリングを用いた個人識別情報に基づくブラインド署名装置及び方法
Neji et al. Distributed key generation protocol with a new complaint management strategy
CN114255034A (zh) 一种基于区块链的可验证公平性的电子投票方法
Damgård et al. Stronger security and constructions of multi-designated verifier signatures
WO2001020562A2 (en) Multiway election method and apparatus
US7222362B1 (en) Non-transferable anonymous credentials
EP1361693B1 (en) Handle deciphering system and handle deciphering method, and program
Li et al. Cryptographic algorithms for privacy-preserving online applications.
JP3513324B2 (ja) ディジタル署名処理方法
Tian et al. A systematic method to design strong designated verifier signature without random oracles
Haghighat et al. An efficient and provably-secure coercion-resistant e-voting protocol
JPH07131455A (ja) 相互証明システム
KR20120028157A (ko) 전자투표 시스템
Ku et al. An e-voting scheme against bribe and coercion
Khader Attribute based authentication schemes