JPH09160492A - 署名方式 - Google Patents

署名方式

Info

Publication number
JPH09160492A
JPH09160492A JP7324908A JP32490895A JPH09160492A JP H09160492 A JPH09160492 A JP H09160492A JP 7324908 A JP7324908 A JP 7324908A JP 32490895 A JP32490895 A JP 32490895A JP H09160492 A JPH09160492 A JP H09160492A
Authority
JP
Japan
Prior art keywords
signature
message
mod
mapping
message restoration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP7324908A
Other languages
English (en)
Other versions
JP3540477B2 (ja
Inventor
Mitsuko Miyaji
充子 宮地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP32490895A priority Critical patent/JP3540477B2/ja
Publication of JPH09160492A publication Critical patent/JPH09160492A/ja
Application granted granted Critical
Publication of JP3540477B2 publication Critical patent/JP3540477B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 メッセージ復元が可能かつ安全の高い署名方
式を可能とする。 【解決手段】 以下の1、2を充たすGF(p) ×GF(p) か
らGF(p) への写像f をメッセージマスク式とする。 1:GF(p) ∋g, yA , m, Zq={0,1,…,q-1}∋t, j, e
に対し、f(g t y A j , my A e) 及びf(g t yAj , m
ge ) において、3変数t,j,eが2個の代数式で置き換え
られない。 2:同じく、r2=f(r1,m)の逆像はm=f -1(r1,r2) である 以下の1、2を充たすGF(p) ×GF(p) ×GF(p) からGF
(p) への写像ha, hb, hcにて署名式を作る。 1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',
ss,1) のときhb(r2',s,1)-ha(r2',s,1)≠hb(rr2',ss,1) 2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',
ss,1) のときhc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報の通信保持技
術に関し、特に、離散対数問題を安全性の根拠として用
いるデジタル署名技術に関する。
【0002】
【従来の技術】
(発明の技術的背景)本願発明に直接関係する技術は、
我国では未だ必ずしも一般に周知とは言いがたいので、
まず、間接的に関係する技術も含めて公開ディジタル通
信網を使用した暗号通信技術を広く一般的に説明する。
なお、この秘密通信方式等の一般技術については、わが
国では、学術書としては池野信一、小山謙二著「現代暗
号理論」 電子通信学会発行 1986年、一般向けと
しては、一松 信著「暗号の数理」 講談社刊1980
年に詳しい。
【0003】近年、一般に公開されたディジタル通信回
線網を使用して相互に通信を行ったり、有料で放送番組
を提供したりすることがさかんになってきている。とこ
ろで、一般に公開された通信回線網を使用する場合、第
三者による盗聴や詐称、あるいは送信者による送信先の
間違いを完全に防止することは困難である。このため、
秘密通信方式並びに署名及び認証方式と呼ばれる通信方
式が重要なものとなっている。ここに、秘密通信方式と
は、特定の通信相手以外に通信内容を漏らすことなく通
信を行う方式である。また署名及び認証通信方式とは、
通信相手に通信内容の正当性を示したり、本人であるこ
とを証明する通信方式である。さて、この秘密通信及び
署名、認証通信の方式には、公開鍵暗号とよばれる数値
を利用した方式がある。そして、この公開鍵暗号による
方式は、NTT等の公開ディジタル通信網により、国内
外の多数の相手と通信を行う等のごとく通信相手が多
数、しかも通信者が相互に暗号技術について本来的に素
人であるとき、通信相手ごとに異なる暗号鍵を容易に管
理するための方式であり、現在では多数の通信相手と通
信を行うのに不可欠な基盤技術とされている。
【0004】以下、この暗号通信技術の基本的原理と手
順と特徴を2、3簡単に説明する。 (1)有限体上の離散対数問題を使用した秘密通信方
式。 なお、これはニイルコブリッツ著 ”ア コウス イン
ナンバア セオリイアンド クリプトグラヒイ”(Nea
l koblitz , " A Course in Number Theoryand Cryptog
raphy ",Springer-Verlag,1987)に詳しく述べられてい
る。 (原理)pを素数、gをその一の原始根、uを任意の自
然数、αをgのu乗のpを法とする剰余とする。すなわ
ち、gu ≡α(mod p)とする。この場合、gとp
とuを与えられたときにαを求めるのは容易である。し
かし、pが140桁程度の素数となると、大型計算機の
発達した今日でも、gとpとαからuを求めるのは困難
である。これは丁度、2つの素数rとsがあるときrと
sからその積を求めるのは容易であるが、rとsが各1
40桁程度となれば、積は280桁となるため、これか
ら素因数分解によりrとsを求めるのは困難なことに似
る。 (2)楕円曲線上の離散対数問題を使用した秘密通信方
式。
【0005】しかしながら、近年の大型計算機の発達を
背景にして、数学の理論(類体論の高次相互律、分解法
則等)を使用して、gとpとαとから比較的少ない計算
量でuを求める方法が種々開発されつつある。その対策
の一としては、素数pを140桁程度のものでなく20
0桁等充分に大きいものとすることがあげられる。ただ
し、この場合には、桁数が大きいだけに、送受信に際し
て必要な計算の絶対量が多くなる等の不都合が生じえ
る。
【0006】これらのため、楕円曲線を使用した秘密通
信方式が開発された。 (原理)次にE{GF(q)}の性質、すなわち秘密通
信の根拠の原理について説明する。E{GF(q)}の
位数が大きな素数で割れる元BPをベースポイント、d
は任意の自然数とする。このとき、BPとdとからd・
BPを計算する(BPをd回加える)のは容易である。
しかし、E{GF(q)}の与えられた元QとBPに対
して、 Q=d・BP となる自然数dが存在するならばdを求めよという問題
は、計算機の発達した今日でもBPやq等が30桁程度
の自然数となるならば困難である。なお、ここにBP
は、pを法とする有限体GF(p)上でのgに相当する
役を担うものである。
【0007】以上で、暗号通信の一般技術の概略説明は
終了する。 (3)署名、認証通信 次に、本願発明に関係する技術たる署名、認証通信につ
いて説明する。有限体上の離散対数問題におけるユーザ
UとユーザVの共有鍵kuvを使用しての秘密通信を例に
とるならば、ユーザUあるいはユーザVにとって、一番
最初に確かに相手がユーザVあるいはユーザUであるこ
とを認証すること、すなわち第三者による詐称を排除す
る必要がある。
【0008】この場合、ユーザUとユーザVとが面談、
書留め郵便等により直接確認する手段もあるが、国際間
はもとより国内の通信においても煩雑となる。この解決
手段として、通信網による公開された数値情報を利用し
て署名、認署を行う技術が開発されている。以下この技
術について、2、3紹介する。 (通信網提供者による署名認署)最初、システム初期設
定として、通信網提供者が、その秘密鍵Xと、端末の秘
密鍵を生成するためのある秘密鍵生成関数Sを保有し、
端末の公開鍵を生成するための所定の公開鍵生成関数P
と、所定の一方向性関数Fと、秘密鍵Xを一方向性関数
Fに入力したときの出力値Y=F(X)とを端末情報発
行センターの公開情報として公開ディジタル通信網を使
用する各ユーザに通知する。
【0009】次に、送信に際して、送信者の正当性の証
明を欲するユーザUが、その端末固有の識別情報IDu
と、自分で作成した秘密鍵をもとに作成した公開値をセ
ンターに通知し、その登録を請求する。なお、秘密鍵x
と公開値との間には、x=S(x,y,k,IDu )の
関係がある。ここに、y=F(k)、またkは乱数値で
ある。
【0010】ユーザUからの請求を受けた通信網提供者
が、ユーザUの公開値yu を他のユーザに公開する。す
なわち、ユーザUは、検証用公開鍵として、その秘密鍵
xを前記一方向性関数Fに入力したときの出力値yu
F(x)を生成し、送信相手となるユーザVに対して、
自分の公開情報として、その公開値yと識別情報IDu
とyu を、公開ディジタル通信網を介して転送する。
【0011】ユーザVは、ユーザUからその端末公開情
報の転送を受けると、ユーザUの公開鍵として、網提供
者の公開情報Yと、ユーザUの公開値yと、その識別情
報IDuとを公開鍵生成関数Pに入力したときの出力値
C=P(Y,y,IDu)を生成するこの上で、生成さ
れたユーザUの公開鍵Cと前記検証用公開鍵yu を比較
し、一致するか否かを確認する。一致したならば、確か
に送信者はユーザUであると認める。
【0012】これにより、ユーザVは網提供者の発行し
た公開値Yを使用してユーザUから送信されてきた公開
鍵を入手しえ、ひいては確かにユーザUから送られてき
たものと認められる。以上の概略の手順、必要な構成を
図2に示す。なお、認証は必ずしも通信網提供者とは限
らないのも勿論である。
【0013】次に、具体的な関数式、関数値としての各
鍵の値等としては、Yは、式Y≡F(X)≡gx (mo
d p)等が用いられ、kuは乱数発生機により計算さ
れ、Yuは、式Yu≡g∧ku(mod p)により計
算し、xuは、式xu≡S(X,yu,ku,IDu)
≡X×yu+ku×IDu(mod φ)、(ここに、
φはpのオイラー関数値)等により計算され、Puは、
式Pu=P(Y,yu,IDu)≡(Y∧yu)×(y
u∧IDu)(mod p) 等により計算される。なおここに、オイラーの関数ψと
は、整数である変数の値より小さいかつその変数と互に
素な整数の個数をいい、例えばψ(p)=p−1,ψ
(6)=2(注、1と5),ψ(10)=4(注、1、
3、7、9)である。また、任意の互に素な2つの整数
uとvの間には、u∧ψ(v)−1≡0(mod v)
という関係が常に成立する。例えば、3ψ(10)−1=3
4 −1=80≡0(mod 10)である。また、素数
pについては、必ずnp −1≡0(mod P )となり、こ
の対偶として、任意の整数mについて、何か1つの整数
nに対してnm −1≡0(mod n)が成立しないなら
ば、mは素数でないことがわかる。 (第3者による署名、認証)次に、ユーザUとユーザV
との認証に第三のユーザWを介する方式ものもある。こ
の場合には、ユーザUとユーザW、ユーザVとユーザW
とは相互に認証が必要であるが、ユーザUとユーザVと
の直接の認署は不要となる。そしてこれは、銀行(ユー
ザWに相当)を介しての金銭取引等で重要である。
【0014】なお、これら署名、認証の内容、方式につ
いては別途本願出願人が、特願平2−324479号
「公開鍵生成方法及び装置」等にて開示し、また前掲の
現代暗号理論にても種々記載されている周知技術である
ため、これ以上の説明は省略する。 (4)メッセージ復元署名 次に、署名、認署についての技術の一として、本願発明
に直接関係するメッセージ復元型署名について説明す
る。
【0015】1993年にNyberg-Rueppelにより離散対
数問題に安全性の根拠をおくメッセージ復元型署名が発
表された。以下に離散対数問題を用いたメッセージ復元
型署名のひとつについて述べる。これについて詳しく
は、Nyberg and Rueppel,"A new signature scheme bas
ed on the DSA giving message recovery",1st ACM Con
f. on Comp. and Comm. Security, 1993 を参照された
い。 (メッセージ復元型署名の従来例)図3は、従来技術と
しての、上記Nyberg-Rueppel方式におけるメッセージ復
元型署名の手順及び構成を示すものである。
【0016】以下、本図を参照しながら従来例の手順を
説明する。 (1)センターによる初期設定 p を素数、GF(p) の元をg としその位数をq とする。セ
ンターは、システムパラメータとしてp ,q ,g を全ユ
ーザ、すなわち公開ディジタル通信網に接続された全端
末に公開する。 (2)ユーザAによる秘密鍵の生成と公開鍵の登録要求
の発生。
【0017】署名通信を希望するユーザAが、その端末
情報とを作成し、これを使用してしての秘密鍵と対応す
る公開鍵も作成し、公開鍵の登録をセンターに要求す
る。このためユーザAは、乱数xA を発生させ、これを
自分の秘密鍵x A とし、対応する公開鍵をy A ≡gx A
(mod P)により求める。更にセンターを経由して、全ユ
ーザにユーザAの公開鍵y A を公開する。 (3)ユーザAによる署名の生成及び送信。
【0018】ユーザBに署名、認署通信の発信を行うユ
ーザAは、以下の処理を行う。 1.乱数kを生成させる。 2.次いで、以下の演算を行う。なお、ここにmは通信
文である。 r1≡g k (mod p) r2≡m /r1 (mod p)…(a) r2’≡r2 (mod q) s ≡k −r2’x A (mod q)…(b) を計算する。
【0019】3.ユーザAは(r2 ,s)を、ユーザBに送
信する。 (4)ユーザBによる受信したメッセージの復元 ユーザBは、以下の式を計算することにより、メッセー
ジm を復元する。 1.g s y A r2' r2≡m (mod p) ここで、上記r1はコミットメントと呼ばれ、(a) はメッ
セージマスク式, (b)は署名式と呼ばれる。
【0020】上記従来例は、従来不可能であった離散対
数問題に基づくメッセージ復元型署名を可能にする。ま
た署名式(b) は以下のように6(=3!)種類の式に一
般化される。 ak = b + cx A (mod q), (a,b,c)=(1,r2',s)の置換…
(b')
【0021】
【発明が解決しようとする課題】しかしながら、この従
来例のメッセージ復元型署名に対しては、式が(a)と
(b)が簡単なため変形が容易であり、例えばyA 及ぶ
gのべき乗並びにmについての掛け算の式が、3変数よ
り2変数の式に置換しえる等のため近年幾つかの攻撃
recovery-equation attack using g and yA, signature
-equation attackusing g and yA,and homomorphism at
tack (各「gとyA を使用した再生攻撃」、「gとy
A を使用した署名攻撃」及び「準同型攻撃(選択平文攻
撃)」が発表された。これについて詳しくは、宮地 充
子、「メッセージ復元型署名の弱点1」、電子情報通信
学会、情報セキュリティ研究会、1995, 7月及びNy
bergand Rueppel, "A new signature scheme based on
the DSA giving message recovery", 1st ACM Conf.
on Comp. and Comm.Security, 1993及びNyberg andRu
eppel, "Message recovery for signature schemes bas
ed on the discretelogarithm problem", Advances in
cryptology-Proceedings of Eurocrypt'94,Lecture Not
es in Computer Science, 950(1995), Springer-Varla
g, 182-193を参照されたい。なお、参考までにその攻撃
の1つを図4に示す。
【0022】これらに加えて、次に述べる冗長性を利用
した攻撃(redundancy attack)が存在する。署名通信
等では、解読の困難性からはp、qは大きい程好ましい
が、必要な演算が少なくて済む等の面からは小さい方が
好ましい。このかねあいから実際的にはpは512ビッ
ト、1024ビット程度の素数が使用されるが、qは1
60ビット程度の数が使用される。この場合、上記
2 ′≡r2 (mod q)の式では、p以下でr2 ′以外
にこの式を充たす数rr2 が存在しうる。本読解はこれ
を利用したものである。
【0023】今、偽造者が一つの署名(r2,s)を手にいれ
たとき、容易にこの署名文mが復元できるが、このとき rr2=r2'+q (mod p) (ここに、rr2 とは
2 の偽を意味する。) mm=rr2×(m/r2) (ここに、mmとは、mの偽を意
味する) を計算し、第三者に(rr2,s) を送信する。これを受け取
った第三者は、Aの公開鍵を用いて従来例に示した復元
方法でmmを復元し、Aから送られたと思ってしまう。こ
の結果、偽造者はAになりすますことができる。
【0024】参考までに、この攻撃の概要を図5に示
す。なお、本図の「チルダー」は偽造者が署名を生成す
ることを意味する。これら6つの攻撃により、上記従来
例のメッセージ復元型署名方式は、署名式の形によら
ず、ある文の署名の偽造が一組の文と署名のペアを得る
だけで可能になり、安全な方式とはいえなくなった。
【0025】そして、これらのことは、楕円曲線を使用
した場合にもあてはまる。以上説明してきたように最近
になってメッセージ復元型署名は、その解読方法が考案
され、このためこの署名は安全でないことがわかった。
この解読方法は従来の署名(メッセージを復元できない
署名)には適応できないことがわかっている。しかし、
メッセージ復元性は有用な性質であり、この性質を保持
しつつ解読が回避できることが望ましいといって、あま
り複雑な署名式、メッセージマスク式を採用したりする
のは、必要な計算量の減少を図るという面から好ましく
ない。
【0026】本発明は、この従来例における問題点を鑑
みてなされたもので、メッセージ復元性を保ちながら、
提案された各種の解読に対して強い、しかも必要な計算
量の少ないメッセージ復元型署名方式を提供することを
目的とする。
【0027】
【課題を解決するための手段】本発明における署名方式
は、p を素数とし、有限体GF(p) の元をg とし、その位
数をq とし、GF(p) 上定義される署名方式において、署
名者A の秘密鍵をx A、公開鍵をy A =gxAとし、署名し
たい文をm ∈GF(p) とするとき、k を署名者が任意にと
る乱数とし、コミットメントr1=g kとし、r1' ≡r1 (m
od q), m' ≡m(mod q) とし、ha, hb, hcを有限環Z q
×Z q ×Z q からZ q への写像とするとき、署名式を、
ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (m
od q)からs が計算できるように構成している。これに
より、各種の攻撃を回避する。
【0028】また、本発明におけるメッセージ復元を可
能にするメッセージマスク式を使用したメッセージ復元
型署名方式は、メッセージマスク式として、p を素数と
し、有限体GF(p) の元をg とし、その位数をq とし、GF
(p) 上定義される署名方式において、署名したい文をm
∈GF(p) とするとき、k を署名者が任意にとる乱数と
し、r1≡ gk (mod p )を署名生成処理におけるコミッ
トメントとし、GF(p) ×GF(p) からGF(p) への写像をf
とするとき、r1とm をf により変換したf(r1,m)を用い
る。これにより、各種の攻撃を回避する。
【0029】また、本発明における署名方式、メッセー
ジ復元型署名方式は、EG(pr ),E(GF
(p))、E(GF(pr )上でもなされる。
【0030】
【発明の実施の形態】従来技術で記載した目的を達成す
るため、請求項1の発明では、特にGF(p) 上のメッセー
ジ復元型署名において、p を素数とし、有限体GF(p) の
元をg とし、その位数をq とし、GF(p) 上定義される署
名方式において、署名したい文をm ∈GF(p) とすると
き、k を署名者が任意にとる乱数とし、r1= gk を署名
生成処理におけるコミットメントとし、GF(p) ×GF(p)
からGF(p) への写像をf とするとき、r1とm をf により
変換したf(r1,m)を用いて署名生成処理におけるメッセ
ージ復元を可能にすることを特徴としている。
【0031】請求項2の発明では、特にGF(pr ) 上のメ
ッセージ復元型署名において、p を素数とし、r を正整
数とし、有限体GF(pr ) の元をg とし,その位数をq と
し、GF(pr ) 上定義される署名方式において、署名した
い文をm ∈GF(p r) とするとき、k を署名者が任意にと
る乱数とし,r1=g k をコミットメントとし、GF(p r)
×GF(p r) からGF(p r) への写像をf1とし,GF(p r) か
ら有限環Z pr={0,1,…,pr-1 }への写像をπとすると
き、r1とm をf1により変換し,この値を更にπを用いて
変換したπ(f1(r1,m)) を用いて署名生成処理における
メッセージ復元を可能にすることを特徴としている。
【0032】請求項3の発明では、特にGF(p) 上のメッ
セージ復元型署名において、p を素数とし、有限体GF
(p) 上定義された楕円曲線をE とし、E(GF(p))の元をG
とし、その位数をq とし、E(GF(p))上定義される署名方
式において、署名したい文をm∈GF(p) とするとき、k
を署名者が任意にとる乱数とし、R1=kG=(rx , ry) を
コミットメントとし、E(GF(p))×GF(p) からGF(p) への
写像をFとするとき、R1とm をにF より変換したF(R1
m)を用いて署名生成処理におけるメッセージ復元を可能
にすることを特徴としている。
【0033】請求項4の発明では、特にE(GF(pr ))上の
メッセージ復元型署名において、pを素数とし、r を正
整数とし、有限体GF(pr ) 上定義された楕円曲線をE と
し、E(GF(pr ))の元をG とし、その位数をq とし、E(GF
(pr ))上定義される署名方式において、署名したい文を
m ∈GF(pr ) とするとき、k を署名者が任意にとる乱数
とし、R1=kG=(rx, ry ) をコミットメントとし、E(GF
(pr ))×GF(pr ) からGF(pr ) への写像をF1とすると
し、GF(pr ) から有限環Z prへの写像をπとするとき、
R1とm をF1により変換し、この値を更にπを用いて変換
したπ(F1(R1,m)) を用いて署名生成処理におけるメッ
セージ復元を可能にすることを特徴としている。
【0034】請求項5の発明では、特にメッセージ復元
型署名の上のrecovery-equation 攻撃を回避するため、
写像f は、GF(p) ∋g, yA 及び m, 並びにZq= {0,1,
…,q-1}∋t, j及びe に対し、f(g t y A j , my
A e )及びf(g t y A j , mge ) において、3変数t,
j,e が2個の代数式で非置換である(置き換えられな
い)ことを特徴としている。
【0035】請求項6の発明では、特にメッセージ復元
型署名の上のrecovery-equation 攻撃を回避するため、
写像f は、GF(pr ) ∋g, yA 及びm 並びにZ q = {0,1,
…,q-1}∋t, j及びe に対し、f1(gt y A j ,my A e )
及びf1(gt y A j , mge ) において、3変数t,j,e が2
個の代数式で非置換である(置き換えられない)ことを
特徴としている。
【0036】請求項7の発明では、特にメッセージ復元
型署名の上のrecovery-equation 攻撃を回避するため、
写像F は、E(GF(p))∋G 及びY A , GF(p)∋m 並びにZ
q ={0,1,…,q-1}∋t, j及びe に対し、F(tG+jY A , m
×x(eYA ))及びf(tG+jy A, m ×x(eG))において、3変
数t,j,e が2個の代数式で非置換(置き換えられないこ
とを特徴としている。
【0037】請求項8の発明では、特に特にメッセージ
復元型署名の上のrecovery-equation 攻撃を回避するた
め、写像F1は、E(GF(pr ))∋G 及びY A , GF(pr ) ∋m
並びにZ q = {0,1,…,q-1}∋t, j及びe に対し、f(tG
+jY A , m ×x(eYA ))及びf(tG+jY A , m ×x(eG))にお
いて、3変数t,j,e が2個の代数式で非置換である(置
き換えられない)ことを特徴としている。
【0038】請求項9の発明では、特に特にメッセージ
復元型署名の上のhomomorphism攻撃を回避するため、写
像f は、GF(p) ∋r1, r2, m, g及びy A に対し、r2=f(r
1,m)の逆像をm=f -1(r1,r2) で定義するとき、任意の2
変数関数φ,ψに対してf -1(r1/g, r2)≠φ(m,g) 及び
f -1(r1/y A , r2) ≠ψ(m,yA ) となることを特徴とし
ている。
【0039】請求項10の発明では、特に特にメッセー
ジ復元型署名の上のhomomorphism攻撃を回避するため、
写像f1は、GF(pr ) ∋r1, r2, m, g及びy A に対し、r2
=f1(r1,m) の逆像をm=f1 -1(r1,r2) で定義するとき、任
意の2変数関数φ,ψに対してf1 -1(r1/g, r2) ≠φ
(m,g) 及びf1 -1(r1/y A , r2) ≠ψ(m,yA ) となること
を特徴としている。
【0040】請求項11の発明では、特に特にメッセー
ジ復元型署名の上のhomomorphism攻撃を回避するため、
写像F は、E(GF(p))∋R1, Y A 及びG 並びにGF(p) ∋ m
及びr2に対し、r2=f(R1,m)の逆像をm=f -1(R1,r2) で定
義するとき、任意の2変数関数φ,ψに対してf -1(R1-
G, r2)≠φ(m,G) 及びf -1(R1-Y A , r2) ≠ψ(m,YA)
となることを特徴としている。
【0041】請求項12の発明では、特に特にメッセー
ジ復元型署名の上のhomomorphism攻撃を回避するため、
写像F1は、E(GF(pr ))∋R1, Y A 及びG 並びにGF(pr )
∋ m及びr2に対し、r2=f(R1,m)の逆像をm=f -1(R1,r2)
で定義するとき、任意の2変数関数φ,ψに対してf -1
(R1-G, r2)≠φ(m,G) 及びf -1(R1-Y A , r2) ≠ψ(m,Y
A ) となることを特徴としている。
【0042】請求項13の発明では、特にメッセージ復
元型署名の上のrecovery-equation,homomorphism攻撃を
回避するため、写像f は、(r,y)→r +y(GF(p) 上の加
算)で定義されることを特徴としている。請求項14の
発明では、特にメッセージ復元型署名の上のrecovery-e
quation,homomorphism攻撃を回避するため、写像f1は、
(r,y)→r +y(GF(pr ) 上の加算) で定義されることを
特徴としている。
【0043】請求項15の発明では、特にメッセージ復
元型署名の上のrecovery-equation,homomorphism攻撃を
回避するため、写像F は、楕円曲線のx座標関数を用い
て、(R,y)→x(R)+y(GF(p) 上の加算) で定義されるこ
とを特徴としている。請求項16の発明では、特にメッ
セージ復元型署名の上のrecovery-equation,homomorphi
sm攻撃を回避するため、写像F1は、楕円曲線のx座標関
数を用いて、(R,y)→x(R)+y(GF(pr ) 上の加算) で定
義されることを特徴としている。
【0044】請求項17の発明では、特にメッセージ復
元型署名の上のrecovery-equation,homomorphism攻撃を
回避するため、写像πは、{α1 ,α2 ,…,αr }を
GF(p r ) のGF(p) 上の基底とするとき、GF(pr)の元x=
x1α1 +…+x r αr ( x1,…,xr ∈GF(p))に対し
て、π( x) =x1+x2p+ …+xr p r-1 で定義されること
を特徴としている。
【0045】請求項18の発明では、GF(p) 上のメッセ
ージ復元型署名の上の攻撃を回避するため、p を素数と
し、有限体GF(p) の元をg とし、その位数をq とし、GF
(p)上定義される署名方式において、署名者A の秘密鍵
をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈GF
(p) とするとき、k を署名者が任意にとる乱数とし、r2
をコミットメントr1=gk とm により計算されるGF(p) の
元とし、r2' ≡r2 (mod q) とし、ha, hb, hcを有限環
Z q ×Z q ×Z q からZ q への写像とするとき、署名式
を、ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A
(mod q) からsが計算できるように構成することを特徴
としている。
【0046】請求項19の発明では、特にGF(pr ) 上の
メッセージ復元型署名の上の攻撃を回避するため、p を
素数とし、r を正整数とし、有限体GF(pr ) の元をg と
し、その位数をq とし、GF(pr ) 上定義される署名方式
において、署名者A の秘密鍵をx A 、公開鍵をy A =gxA
とし、署名したい文をm ∈GF(pr ) とするとき、k を署
名者が任意にとる乱数とし、r2をコミットメントr1=g k
とm により計算される有限環Z prの元とし、r2' ≡r2
(mod q) とし、ha, hb, hcを有限環Z q ×Z q×Z q
らZ q への写像とするとき、署名式を、ha(r2',s,1)k
≡ hb(r2',s,1)+ hc(r2',s,1)x A (mod q)からs が計算
できるように構成することを特徴としている。
【0047】請求項20の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、p を
素数とし、有限体GF(p) 上定義された楕円曲線をE と
し、E(GF(p))の元をG とし、その位数をq とし、E(GF
(p))上定義される署名方式において、署名したい文をm
∈GF(p) とするとき、k を署名者が任意にとる乱数と
し、r2をコミットメントR1=kG とm により計算されるGF
(p) の元とし、r2' ≡r2 (mod q) とし、ha, hb, hcを
有限環Z q ×Z q ×Z q からZ q への写像とするとき、
署名式を、ha(r2',s,1)k ≡ hb(r 2,s,1) + hc(r2',s,
1)x A (mod q) からsが計算できるように構成すること
を特徴としている。
【0048】請求項21の発明では、特にE(GF(pr ) 上
のメッセージ復元型署名の上の攻撃を回避するため、p
を素数とし、r を正整数とし、有限体GF(pr ) 上定義さ
れた楕円曲線をE とし、E(GF(pr ))の元をG とし、その
位数をq とし、E(GF(pr ))上定義される署名方式におい
て、署名したい文をm ∈GF(pr)とするとき、k を署名者
が任意にとる乱数とし、r2をコミットメントR1=kG とm
により計算される有限環Z prの元とし、r2' ≡r2 (mod
q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ
q への写像とするとき、署名式を、ha(r2',s,1)k ≡ h
b(r2',s,1) + hc(r2',s,1)x A (mod q) からs が計算で
きるように構成することを特徴としている。
【0049】請求項22の発明では、特にメッセージ復
元型署名の上のsignature-euqaion攻撃を回避するた
め、写像ha,hb, hc は、r2',s をZ q の元とするとき、
予め固定された少数値を除く任意のZ q の元rr2', ssに
対して、次の二つの条件1. ha(r2',s,1)=ha(rr2',ss,
1), hc(r2',s,1)=hc(rr2',ss,1) のときhb(r2',s,1)-ha
(r 2',s,1) ≠hb(rr2',ss,1)2. ha(r2',s,1)=ha(rr2',s
s,1), hb(r2',s,1)=hb(rr2',ss,1)のときhc(r2',s,1)-h
a(r2',s,1)≠hc(rr2',ss,1) を満足することを特徴とし
ている。
【0050】請求項23の発明では、特にメッセージ復
元型署名の上のsignature-equation、比例攻撃を回避す
るため、写像ha,hb,hcは、ha(r2',s,1)=r2', hc(r2',s,
1)=sとし、hb(r2',s,1) は、r2'=rr2', s=ssのとき、hb
(r2',s,1)=hb(rr2',ss,1) 、r2'=rr2', hb(r2',s,1)=hb
(rr2',ss,1) のとき、s=ss、hb(0, 0, 1) ≠0,を満たす
ことを特徴としている。
【0051】請求項24の発明では、特にメッセージ復
元型署名の上のsignature-equation, 比例攻撃を回避す
るため、写像ha,hb,hcは、ha(r2',s,1)=s, hc(r2',s,1)
=r2'とし、hb(r2',s,1) は、s=ss, r2'=rr2', のとき、
hb(r2',s,1)=hb(rr2',ss,1)、s=ss, hb(r2',s,1)=hb(rr
2',ss,1) のとき、r2'=rr2'、hb(0, 0, 1) ≠0 を満た
すことを特徴としている。
【0052】請求項25の発明では、特にメッセージ復
元型署名の上のsignature-equation, 比例攻撃を回避す
るため、写像ha,hb,hcは、ha(r2',s,1)=s, hb(r2',s,1)
=r2'とし、hc(r2',s,1) は、r2'=rr2', s=ssのとき、hc
(r2',s,1)=hc(rr2',ss,1) 、s=ss, hc(r2',s,1)=hc(r
r2',ss,1) のとき、r2'=rr2'hc(0, 0, 1) ≠0 を満たす
ことを特徴としている。
【0053】請求項26の発明では、特にメッセージ復
元型署名の上のsignature-equation, 比例攻撃を回避す
るため、写像ha,hb,hcは、ha(r2',s,1)=r2', hb(r2',s,
1)=sとし、hc(r2',s,1) は、r2'=rr2', s=ssのとき、hc
(r2',s,1)=hc(rr2',ss,1) 、r2'=rr2', hc(r2',s,1)=hc
(rr2',ss,1) のとき、s=ss、hc(0, 0, 1) ≠0 を満たす
ことを特徴としている。
【0054】請求項27の発明では、特にメッセージ復
元型署名の上のsignature-equation, 比例攻撃を回避す
るため、写像ha,hb,hcは、hc(r2',s,1)=s, hb(r2',s,1)
=r2'とし、ha(r2',s,1) は、r2'=rr2', ha(r2',s,1)=ha
(rr2',ss,1) のとき、s=ss、s=ss, ha(r2',s,1)=ha(r
r2',ss,1) のとき、r2'=rr2'、ha(0,0,1) ≠0 を満たす
ことを特徴としている。
【0055】請求項28の発明では、特にメッセージ復
元型署名の上のsignature-equation、比例攻撃を回避す
るため、写像ha,hb,hcは、hc(r2',s,1)=r2', hb(r2',s,
1)=sとし、ha(r2',s,1) は、r2'=rr2', ha(r2',s,1)=ha
(rr2',ss,1) のとき、s=ss、s=ss, ha(r2',s,1)=ha(r
r2',ss,1)のとき、r2'=rr2'、ha(0,0,1) ≠0 を満たす
ことを特徴としている。
【0056】請求項29の発明では、特にメッセージ復
元型署名のsignature-equation、比例攻撃を回避するた
め、写像hb(r2',s,1) は、hb(r2',s,1)=r2' +s +1 で
定義されることを特徴としている。請求項30の発明で
は、特にメッセージ復元型署名の上のsignature-equati
on、比例攻撃を回避するため、写像hb(r2',s,1) は、hb
(r2',s,1)=r2' ×s +1 で定義されることを特徴として
いる。
【0057】請求項31の発明では、特にメッセージ復
元型署名の上のsignature-equation、比例攻撃を回避す
るため、写像hc(r2',s,1) は、hc(r2',s,1)=r2' +s +
1 で定義されることを特徴としている。請求項32の発
明では、特にメッセージ復元型署名の上のsignature-eq
uation、比例攻撃を回避するため、写像hc(r2',s,1)
は、hc(r2',s,1)=r2' ×s +1 で定義されることを特徴
としている。
【0058】請求項33の発明では、特にメッセージ復
元型署名の上のsignature-equation、比例攻撃を回避す
るため、写像ha(r2',s,1) は、ha(r2',s,1)=0 となる解
(r2',s) が有限時間(ビットデータの多項式、すなわち
非指数時間)で確定できることを特徴としている。請求
項34の発明では、特にメッセージ復元型署名の上のsi
gnature-equation、比例攻撃を回避するため、乱数k
を、メッセージマスク式で計算されるr2と署名式で計算
されるs に対して、ha(r2',s,1) ≠0 であるように取っ
てくることを特徴としている。
【0059】請求項35の発明では、特にメッセージ復
元型署名の上のsignature-equation、比例攻撃を回避す
るため、写像ha(r2',s,1) は、ha(r2',s,1)=r2'+s+1 で
あることを特徴としている。請求項36の発明では、特
にメッセージ復元型署名の上のsignature-equation、比
例攻撃を回避するため、写像ha(r2',s,1) は、ha(r2',
s,1)=r2' ×s +1 であることを特徴としている。
【0060】請求項37の発明では、特にGF(p) 上のメ
ッセージ復元型署名の上の攻撃を回避するため、p を素
数とし、q を(P/4)<qとなる正整数とし、有限体
GF(p) の位数がq となる元をg とし、GF(p) 上定義され
る署名方式において、署名したい文をm ∈GF(p) とする
とき、乱数k を、コミットメントr1=g k とm により構
成されるGF(p) の元r2が、0<r2<q となるようにと
り、上記範囲を限定されたr2を署名式に用いることを特
徴としている。
【0061】請求項38の発明では、特にGF(pr ) 上の
メッセージ復元型署名の上の攻撃を回避するため、 pを
素数とし、r を正整数とし、q を(P/4)<qとなる
正整数とし、有限体GF(pr ) の位数がq となる元をg と
し、GF(pr ) 上定義される署名方式において、署名した
い文をm ∈GF(pr ) とするとき、乱数k を、コミットメ
ントr1=g k とm により構成されるZ pr= {0,1,…,p
r-1 }の元r2が、0<r2<q となるようにとり、上記範
囲を限定されたr2を署名式に用いることを特徴としてい
る。
【0062】請求項39の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、p を
素数とし、有限体GF(p) 上定義された楕円曲線をE と
し、E(GF(p))の元をG とし、その位数をq とし、E(GF
(p))上定義される署名方式において、署名したい文をm
∈GF(p) とするとき、乱数k を、コミットメントr1=g
kとm により構成されるGF(p) の元r2が、0<r2<q と
なるようにとり、上記範囲を限定されたr2を署名式に用
いることを特徴としている。
【0063】請求項40の発明では、特にGF(pr ) 上の
メッセージ復元型署名の上の攻撃を回避するため、p を
素数とし、r を正整数とし、有限体GF(pr ) 上定義され
た楕円曲線をE とし、E(GF(pr ))の元をG とし、その位
数をq とし、E(GF(pr ))上定義される署名方式におい
て、署名したい文をm ∈GF(pr ) とするとき、乱数k
を、コミットメントr1=g k とm により構成されるZ pr
= {0,1,…,pr-1 }の元r2が、0<r2<q となるように
とり、上記範囲を限定されたr2を署名式に用いることを
特徴としている。
【0064】請求項41の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、楕円
曲線E は、元の個数がp となるGF(p) 上の楕円曲線を用
いることを特徴としている。請求項42の発明では、特
にメッセージ復元型署名の上の攻撃を回避するため、署
名したい文m に対し、m のハッシュ関数値hash(m) をm
の代わりに用いることを特徴としている。請求項43の
発明では、特にE(GF(p))上のメッセージ復元型署名の上
の攻撃を回避するため、p を素数とし、有限体GF(p) の
元をg とし、その位数をq とし、GF(p) 上定義される署
名方式において、署名者A の秘密鍵をx A 、公開鍵をy
A=gxAとし、署名したい文をm ∈GF(p) とするとき、k
を署名者が任意にとる乱数とし、コミットメントr1=g k
とし、r1' ≡r1 (mod q), m' ≡m (mod q) とし、h
a, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,
m') + hc(r1',s,m')x A (mod q) からs が計算できるよ
うに構成することを特徴としている。
【0065】請求項44の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、p を
素数とし、r を正整数とし、有限体GF(pr ) の元をg と
し、その位数をq とし、GF(pr ) 上定義される署名方式
において、署名者A の秘密鍵をx A 、公開鍵をy A =gxA
とし、署名したい文をm ∈GF(pr ) とするとき、k を署
名者が任意にとる乱数とし、コミットメントr1=g k
し、GF(pr ) から有限環Z prへの写像をπとするとき、
r1' ≡π(r1) (mod q), m' ≡π(m) (mod q)とし、h
a, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
とするとき、署名式を、ha(r1',s,m')k ≡ hb(r1',s,
m') + hc(r1',s,m')x A (mod q) からs が計算できるよ
うに構成することを特徴としている。
【0066】請求項45では、特にE(GF(p))上のメッセ
ージ復元型署名の上の攻撃を回避するため、p を素数と
し、有限体GF(p) 上定義された楕円曲線をE とし、E(GF
(p))の元をG とし、その位数をq とし、E(GF(p))上定義
される署名方式において、署名したい文をm ∈GF(p) と
するとき、k を署名者が任意にとる乱数とし、コミット
メントR1=kG とし、E(GF(p))からGF(p) への写像をρと
するとき、r1' ≡ρ(R 1) (mod q), m' ≡m (mod q)
とし、ha, hb, hcを有限環Z q ×Z q ×Z q からZ q
の写像とするとき、署名式を、ha(r1',s,m')k ≡ hb
(r1',s,m') + hc(r 1',s,m')x A (mod q) からs が計算
できるように構成することを特徴としている。
【0067】請求項46の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、p を
素数とし、r を正整数とし、有限体GF(pr ) 上定義され
た楕円曲線をE とし、E(GF(pr ))の元をG とし、その位
数をq とし、E(GF(pr ))上定義される署名方式におい
て、署名したい文をm ∈GF(pr ) とするとき、k を署名
者が任意にとる乱数とし、コミットメントR1=kG とし、
E(GF(pr ))からGF(pr )への写像をρとするとし、GF(p
r ) から有限環Z pr= {0,1,…,pr-1 }への写像をπと
するとき、r1' ≡π( ρ(R1)) (mod q), m' ≡π(m)
(mod q) とし、ha, hb, hcを有限環Z q ×Z q ×Z q
からZ q への写像とするとき、署名式を、ha(r1',s,m')
k ≡ hb(r1',s,m') + hc(r1',s,m')x A (mod q) からs
が計算できるように構成することを特徴としている。
【0068】請求項47の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、写像
ρは、楕円曲線のx座標若しくはy座標関数を用いて、
R →x(R)若しくはR→y(R)で定義されることを特徴
としている。請求項48の発明では、特にE(GF(p))上の
メッセージ復元型署名の上の攻撃を回避するため、写像
πは、{α1 ,α2 ,…,αr }をGF(pr ) のGF(p) 上
の基底とするとき、GF(pr ) の元x=x1α1 +…+x r
αr ( x1 ,…,xr ∈GF(p))に対して、π( x) =x1
+x2p+ …+xr p r-1 で定義されることを特徴としてい
る。
【0069】
【実施例】
(第1実施例)以下、本発明を実施例に基づいて説明す
る。以下、本発明の第1実施例を、図を参照しつつ説明
する。まず、公開ディジタル通信網全体の構成について
説明する。
【0070】図6は、本発明が実施される公開ディジタ
ル通信網全体の構成図である。本図において、1は通信
網提供者である。2は、公開ディジタル通信回線であ
る。2はディジタル通信回線である。3〜6は、公開デ
ィジタル通信回線2に接続されたユーザ端末(以下、単
に「ユーザ」と言う)A、ユーザB、…、ユーザU、ユ
ーザVである。本図に示すように、通信網提供者は、シ
ステムパラメータとして、2進数512ビットで表され
る素数p、 gq ≡1(mod p) となる最小の整数(位数)qが256ビットの整数qで
ある整数g、GF(p)上でf(r1,m)≡r1 +m
(mod p)そしてその逆字像f -1がf -1(r1 ,f(r
1 ,m))≡m (mod p)を充たすメッセージマスク
式f,Zg×Zg×ZgからZgへの写像で、ha(r
2 ′,s,1)=s、hb(r2 ′,s,1)≡r2
+s+1(mod q )、hc(r2 ′,s,1)r2 ′を
充たす関数ha、hb、hcをシステムパラメータと各
ユーザに公開している。
【0071】次に、図6に示す通信網提供者1とユーザ
3〜6の構成について説明する。図7は、通信網提供者
1により提供されたICカードやユーザ自身が作成した
パソコン用プログラムの要部の構成図である。本図にお
いて、11は秘密鍵作成要求受付部である。12は、秘
密鍵発生部である。13は、公開鍵作成部である。14
は、公開鍵公開部である。15は、秘密鍵通知形態作成
部である。16は、秘密鍵通知部である。
【0072】131は公開鍵作成部13内のgの2n
pを法とする剰余記憶部である。132は、同じく法取
り出し部である。133は、同じく乗算部である。13
4は、同じく割算部である。以下、上記各部の作用等に
ついて説明する。秘密鍵作成要求受付部11は、各ユー
ザ3〜6(本図ではユーザA)からの固有の秘密鍵の作
成要求を、ユーザのキーボードを使用しての操作等で受
け付ける。秘密鍵発生部12は、秘密鍵作成要求受付部
11が受け付けた要求をもとに、内蔵する乱数発生プロ
グラムにより2進数の乱数を発生させ、これを当該ユー
ザの秘密鍵とする。なお、本実施例では、乱数の発生に
際しては、同一の乱数発生を万が一にも防止し、併せて
整理の都合もあるため当該ユーザの公開ディジタル通信
網上での識別番号をも組み込んだものとしている。また
このため、乱数はpと同じく512ビットとしている。
公開鍵作成部13は、2進乱数発生部12の発生させた
乱数をもとに公開鍵を作成する。なお、この手順は、後
で詳しく説明する。
【0073】公開鍵公開部14は、公開鍵作成部13の
作成した公開鍵をその作成要求をなしたユーザ名と共
に、全ユーザに公開する。これは、通信網が正当性を承
認したユーザ名との公開鍵を対応して登録し、ROM等
で発行し、また各ユーザの問い合わせに回答する。秘密
鍵通知形態作成部15は、各ユーザの秘密鍵をその操作
ミスで外部へ漏出しないよう保護する。秘密鍵通知部1
6は、秘密鍵を共有鍵の作成等の必要に応じて使用しう
るようにする。
【0074】次に、公開鍵作成部13による公開鍵の作
成について説明する。公開鍵作成部13は、gの2n
のpを法とする剰余記憶部131と法取り出し部132
と、乗算部130と割算部134とを有する。gの2n
のnを法とする剰余記憶部131は、g、g2 、g4
8 …等gの2の累べき剰のpを法とする剰余g1 、g
2 …、gi をあらかじめ計算して、ROMに記憶してい
る。これを小さい数を例にとって、具体的に示す。p=
11、g=2ならば、i=〔log2 11〕=3となり、
3 <11となるため、g、g 2 、g4 として2、
2 、24 を、更に対応するg1 、g2 、g4 として
2、4、5を記憶している。法取り出し部132は、秘
密鍵発生部12から2進数で表現された秘密鍵の通知を
受けると、その値で1が立つ桁に対応するg1 、g2
…、gi を取り出す。これも、小さい数を例にとって具
体的にする。今xa=101(10進の5)とする。1
位と3位(各、gの2の0乗と2の2乗)に1が立って
いる。このためg1 とg4 、すなわち2と5を取り出
す。乗算部133は、法取り出し部132の取り出した
法を掛け合わせる。割算部134は、乗算部133の乗
算結果をnで割り、その剰余を求める。上記具体的数値
で示すならば、2xa=25 =2×24 ≡2×5≡10
(mod 11) となる。そして、この剰余がユーザAの公開
鍵とされる。なお、本実施例でgの累べきを剰を採用し
ているのは、g3 、g5 等の法を採用するのよりも一般
的に処理が速く、演算機等も2進で作動することにあわ
せたものである。
【0075】次に、署名付きの送信を行うユーザA側の
重要な処理の流れを図8に、重要な構成を図9と図10
に示す。図9において、31はr2 制御部である。32
は2進乱数発生部である。33はr1 演算部である。3
4は、通信文(m)入力部である。35は、f関数部で
ある。36は、q記憶部である。37は、排除部であ
る。また、331は、r1演算部内のべき剰余記憶部で
ある。また、332は、同じく法取り出し部である。3
33は、同じく乗算部である。334は、同じく割算部
である。351は、f関数部35内の和算部である。3
52は、同じく、割算部である。371は、排除部37
内のq読み出し出力部371である。372は、同じく
引き算部である。373は、同じく比較部である。
【0076】図10において、38はSK部である。3
81は、SK部38内のk−1演算部である。382
は、同じくr2 +1演算部である。383は、同じくr
2 A演算部である。384は、同じくr2 +1+r2
A 演算部である。385は、同じく、S計算部であ
る。以下、上記各部の作用等について説明する。
【0077】最初、システムパラメータの入手(a1)
と秘密鍵等の作成操作(a2)がなされ、秘密鍵の作成
及び公開鍵の登録がなされる(a3)。r2 制御部31
は、署名通信発信にあたり、2進乱数発生部32とm入
力部34の作用を調整、制御し、後に説明するが、必要
な繰り返し処理をも行う。通信文入力部34は、署名発
信のための文、例えば「私は、特発 許明です。電話番
号は03─3581─1101。確認願います。」等の
文書をユーザにより入力され、これを数値(m)化する
(a4)。
【0078】2進乱数発生部32は、コミットメント作
成のため署名発信毎に相異なる乱数を発生をさせる。ま
たこのため、発信日時等も乱数発生に使用される。(a
5) r1 演算部33は、発生された2進乱数kをもとにr1
≡gk (mod p)の演算により、r1 を求める。このた
め、通信網提供者におけるgの2n のpを法とする剰余
記憶部131、法取り出し部132、乗算部133、割
算部134と同じ構成作用をなす剰余記憶部331、法
取り出し部332、乗算部333、割算部334を有し
ている。(a6) f関数部35は、r1 演算部33で作成されたr1 と通
信文入力部34で数値化された通信文mをもとに、メッ
セージマスク式fを使用して、r2 ≡f(r1,m)(m
od p)の演算を行い、r2 を求める。(a7) このため、(mod p)上でのr2 ≡r1 +mの和算を行
う和算部351と、和のpを法とする剰余を求めるため
pでの割算を行う割算部352とを内蔵している。
【0079】q記憶部36は、あらかじめ別途ユーザに
より入力されたgをメモリーに記憶している。排除部3
7は、f関数部35から入力されたr2 とqとの大小比
較を行い(a8)、r2 がq以上となれば、前述の冗長
攻撃を回避すべくこの送信を行わず、この旨r2 制御部
31に通知する。
【0080】この通知を受けた、r2 制御部31は、2
進乱数発生部32に再度異なる乱数発生をなさしめて
(a9)先のr1 と異なるr1 を得、これと通信文入力
部34に入力されている通信文mとでf関数を部35に
f関数作用させte、先と異なるr2 を求め、更にqと
の大小比較を行わしめるというプロセスを、g−r2
正となるまで繰り返し実行させる。また、q−r2 が正
となれば、このr2 をSK部37へ出力する。またこの
ため、排除部37は、q読み出し部371と引き算部3
72と比較部373とを内蔵している。q読み出し部3
71は、r2 の入力があるとq記憶部36からqの値を
読み出し、引き算部372に通知する。引き算部372
は、通知されたqからr2 の引き算を行う。比較部37
3は、引き算部372の求めた差が0より小ならばr2
制御部31へこの旨通知するこのため、この値が正とな
るまで上述の手順を繰り返し実行されることとなる。ま
た、r2 が正ならば、入力されたr2 をそのままSK部
へ通知する。
【0081】SK部38は、署名式sK≡(r2 +s+
1)+r2 a (mod p)の演算により、送信対象とな
るメッセージを作成する(a10)。図14に示すよう
な構成である。そして、内蔵しているk−1演算部38
1は、2進乱数発生部381にて発生された、そしてそ
れを使用して計算したr2 の値ががq未満という要件を
充たすこととなった乱数kから1を引き去る。なお、こ
の差をaとする。
【0082】同じく、r2 +1演算部37は、入力され
たr2 に1を加える。同じく、r2a 演算部383
は、排除部37から入力されたr2 と図示しない秘密鍵
記憶部から入力されたxA との積を求める。r2 +1+
2 A 演算部384は、r2 +1演算部382から入
力されたr 2 +1とr2 A 演算部383から入力され
たr2 A との和を求める。なお、この和をbとする。
s計算部385は、k−1演算部381が求めたaとr
2 +1+r2 A 演算部384が求めたbとを使用し
て、s・a≡b (mod q)を充たすsをユークソッド
の互除法により求める。そしてこの結果を図示しない送
信部へ送る。
【0083】以上のもとで、署名を求める他のユーザB
へ、(r2 ,s)が署名文として送信されることとな
る。(a11) 図11は、署名文を受信したユーザ側の重要な処理の流
れを示す図であり、図12は構成図である。本図におい
て、41は受信部である。42は、拒絶部である。43
は、q記憶部である。44は、ya記憶部である。45
は、r2 記憶部である。46は、s記憶部である。47
は、g記憶部である。48は、r2 +s+1演算部であ
る。49は、yA 1/S (mod p)演算部である。410
は、gS (mod p)演算部である。411は、y
A r2/s(mod p)演算部である。412は、g (r2+1+S)/S
(mod p)演算部である。413は、r1 ≡g(r2+1+S)/S
A r2/S(mod P)演算部である。414は、f-1関数部
である。
【0084】受信部41は、認署を求める他のユーザ、
今Aとする、からの送信文(r2 ,S)を受信する(b
1)。拒絶部42は、受信があった場合、r2 −qを計
算し(b2)、正なら一応正当なものとして続行する処
理を行うべく他部にこの受信文を流すが、正でなければ
この署名を拒否する(b3)。またこのため、送信側ユ
ーザと同じくq記憶部43にあらかじめqを記憶してい
る。yA 記憶部44は、通信網提供者より公開されたy
A を、あらかじめメモリーに記憶している。
【0085】g記憶部47も、同じくあらかじめgを記
憶している。r2 記憶部45は、拒絶部42が一応認署
したr2 を記憶し、s記憶部46は同じくsを記憶す
る。なお、r2 とsの区分けは、別途定めた通信規約に
基づきなされる。r2 +s+1演算部48は、r2 記憶
部45とs記憶部46からそれぞれr2 とsを読み出
し、和算でr2 +s+1を求める。yA 1/S (mod p)演
算部49は、yA 記憶部44からyA を:S記憶部46
からsを読み出してyA 1/ S (mod p)を演算する。gS
(mod p)演算部410は、s記憶部46からsを、g記
憶部47からgを読み出して、g1/S (mod p)を演算す
る。yA r2/S(modp)演算部411は、r2 記憶部45
から読み出したr2 とyA 1/S (mod p)を演算部49か
ら読み出したyA 1/S (mod p)をもとに),
(yA 1/S )をr2 乗し、更にそのpを法とする剰余を
求める。g(r2+1+S)/S(mod p)演算部412は、r2
s+1演算部418からr2 +s+1を読み出し、g
1/S (mod p)演算部410から読み出したg1/S (mod
p)をr2 +s+1乗し、更にこのpを法とする剰余を求
める。
【0086】r1 ≡g(r2+1+S)/SA r2/S(mod p)演算
部413は、yA r2/S(mod p)演算部411の演算結果
とg(r2+1+S)/S(mod p)演算部412の演算結果とか
ら、r 1 ≡g(r2+1+S)/SA r2/S(mod p)の演算によ
り、r1 を求める(b4)。f1 関数部414は、関数
-1を使用して演算r2 −r1 を行い、mを求める(b
5)。
【0087】以上の構成により、ユーザBはユーザAの
送信文からmを入手するが、この際通信網提供者が公開
したyA に相当する秘密鍵xa を知っているのはユーザ
Aのみであり、またこのxa を使用しない限りya を使
用しての正しい復号もなしえばい。このため、送信者
は、確かにユーザAの署名であると確認する(b6)。
次に、以上の説明とかなり重複するが、以上の手順にお
ける通信文の処理、各種の数式をもとにしての、式や数
値で表現されたデータの変化の様子を中心として、この
手順を説明する。
【0088】図1は、この数値式や面で表現した手順の
基本的な構成を示すものである。以下、本図を参照しな
がら実施例の手順を説明する。 (1)センターによる初期設定 p を素数とし、GF(p) の元をg としその位数をq とす
る。ここでp 〜q ととる。
【0089】GF(p) ×GF(p) からGF(p) への写像f を、 f(r1, m)≡r1+m (mod p) f の逆写像f を f -1(r1,f(r1,m))≡ m (mod p) とし、Zq×Zq×ZqからZqへの写像 ha ,hb ,hc を、ha(r
2',s,1)=s, hc(r2',s,1)=r2'とし、 hb(r2',s,1) ≡r2' +s +1 (mod q) で定義する。また署名式を ha(r2',s,1)k≡ hb(r2',s,1) + hc(r2',s,1)x A (mod
q) で定義する。
【0090】センターは、システムパラメータとしてp
,q ,g ,f, ha, hb, hc を公開する。この状態が、
図6に示すものである。 (2)ユーザによる署名送信のための秘密鍵の作成及び
センターが認署した公開鍵の登録。
【0091】ユーザAが、メッセージ復元型署名通信を
行うため、その秘密鍵を基に公開鍵を作成し、これを通
信網提供者が正しいものとして登録する要求を行う。こ
の要求のため、ユーザAはその端末識別番号を使用して
乱数を発生させ、秘密鍵XAを生成する。次いで、その
公開値yA ≡gXA (mod p)を生成し、生成した公開値は
センターを通じて各ユーザに通知される。 (3)ユーザAによる署名の生成及び送付 1.2進乱数k を、プログラムにのっとって生成する。
【0092】2.以下の演算を順に行う。 2-1)r1≡g k (mod p) , 2-2)r2≡f(r1,m) (mod p) …(c) とする。 2-3) q≦r2の場合、再度上記1に戻り、異なる2進乱数
を生成する。 2-4)sk≡(r2+s+1)+r2xa (mod q)…(d) よりs を計算す
る。
【0093】3.上記2で生成した(r2 ,s)をユーザB
に送信する。 (4)ユーザBによる受信したメッセージの復元 1. q ≦r2ならば、署名を拒絶する。 2. r1≡g (r2+s+1)/sy A r2/s(mod p)を計算し、 f -1(r1,r2) ≡m (mod p) を計算することにより、メッセージm を復元する。
【0094】次に、以上の署名の耐攻撃性について説明
する。以上の構成のメッセージ復元型署名の場合、コミ
ットメントr1が従来例の式(a) のように直接平文m に関
与するのでなく、写像f を通して関与している。この写
像f が (*)1: GF(p)∋g, yA 及びm 並びにZq= {0,1,…,q-1}
∋t, j及びe に対し、f(g t y A j , my A e) 及びf(g
t y A j , mge ) において、3変数t,j,e が2個の代数
式で非置換である。このため、recovery equation 攻撃
を受けない。
【0095】2: GF(p)∋r1, r2, m, g及びy A に対し、
r2=f(r1,m)の逆像をm=f -1(r1,r2) で定義するとき、任
意の2変数関数φ,ψに対してf -1(r1/g, r2)≠φ(m,
g) 及びf -1(r1/y A , r2) ≠ψ(m,yA ) となることか
ら、宮地らにより提案された3つの攻撃(recovery-equa
tion attack ,using g and y A , and homomorphism a
ttack)を回避できる。
【0096】また上記実施例のように構成されたメッセ
ージ復元型署名の場合、従来例の式(b')のように署名式
の係数(a,b,c) が(r2',s,1) の置換という形ではなく、
写像ha, hb, hcを用いて決定されている。この写像ha,
hb, hcが(**)r2',s をZqの元とするとき、予め固定され
た少数値をのぞく全てのrr2', ssに対して、次の二つの
条件 1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',
ss,1) のときhb(r2',s,1)-ha(r2',s,1)≠hb(rr2',ss,1) 2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',
ss,1)のときhc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1) を満たすことから、宮地らにより提案された2つの解読
(signature-equation attack using g and yA ) を回避
できる。さらにこの署名式は従来から存在する比例関係
を用いた解読に対しても、署名式が2項に分解されるこ
とがないので強い。
【0097】なお、従来から存在する比例関係を用いた
比例攻撃に付いては、L.Harn and Y. Xu, "Design of g
eneralised ElGamal type digital signatureschemes b
ased on discrete logarithm", Electron. Lett., Vol.
30(1994),2025-2026.に詳しい。また、上記実施例のよ
うにp 〜q ととることにより、r2の値を制限するステッ
プ(署名生成ではステップ2-3,メッセージ復元ではステ
ップ1)を付加することができる。これにより宮地によ
り提案された1つの解読(redundancy attack) を回避で
きる。更にこの場合、qのpに対する比が従来のごとく
-400と小さくなく、1/3、1/2することにより、
再度乱数を発生させ繰り返しての処理を行わねばならな
い確率も低下しえる。
【0098】なお、上述の実施例はf をr1+m として行
ったが、これは勿論他の写像f で、(*) を満たすものな
ら何でもよい。またこの際、r1+m のように計算量が小
さい写像にすることが望ましい。ha, hb, hcに関して
も、上記の性質(**)をもつものなら何でもよい。またこ
の際、従来から存在する比例関係を用いた解読に対して
も強くなるように、さらに計算量が小さい写像にするこ
とが望ましい。
【0099】また、上記の従来例以外のどんなメッセー
ジ復元型署名にも上記の写像を付加すると同様に解読が
回避できる。また、上記の署名方式は、メッセージmに
署名する代わりに、m にISOで定められたRC 4、
RC 2等のハッシュ関数を施したハッシュ値に対して
署名し、署名をメッセージとともに送り、ハッシュ値が
正しく復元されることをチェックすることで署名を確認
するという署名方式としても用いることができる。
【0100】また、上記署名方式は、各ユーザの秘密鍵
等は、通信網提供者又はユーザ用の情報発行センターが
生成するものとしたが、これは勿論各ユーザが任意にそ
の秘密鍵を選定し、公開値等のみセンターへ登録するよ
うにしてもよい。更に、通信網提供者とユーザ用の情報
発行センターが異なってもよい。また、上記署名方式で
は、各種演算はGF(p)上でなされるものとしたが、
これは勿論GF(pr )上でなされてもよい、この場合
には、上記実施例における(mod p )での演算は(mod
p r )での演算となり、このため、r1 とmをGF(p
r )×GF(pr )からGF(pr )へ字像f1 を用い
て変換した後、この値を更にGF(pr )から有限環Z
p r ={0,1,…,pr-1 }への変更をなす等の手順
が付加される。
【0101】なお、この写像πは、{α1 ,α2 ,…,
αr }をGF(pr)のGF(p)上の基底とすると
き、GF(pr )の元x=x1 α1 +…+xr αr (x
1 ,x 2 ,…,xr ∈GF(p))に対してπ(x)=
1 +x2 p+…+xr r-1で定義される。この手順
を図13に示す。(注、上記実施例はr=1の場合であ
り、πは恒等写像となり、表面上でてこない。) (第2実施例)本実施例は、本発明に係るメッセージ復
元型署名方式として、楕円曲線上での演算を行うもので
ある。
【0102】本実施例も、基本的な構成、原理は先の第
1実施例と異ならない。ただし、有限体GF(p)上の
離散対数問題の困難性でなく、楕円曲線E(GF
(p))上の困難性を利用するため、これに関係する点
が異なる。このため、この相違する点を中心に説明す
る。ディジタル公開通信網におる通信網提供者1、各ユ
ーザ3〜6の接続状態及び初期設定としてのシステムパ
ラメータの概略の構成を図14に示す。
【0103】システムパラメータとしてE(GF
(p))と、gに換えてのE(GF(p))上の零元と
異なる元Gが加えられ、pは10進30桁の素数であ
る。これは、E(GF(p))上の離散対数問題は有限
体上でのそれに比較してはるかに困難であることによ
る。qがないが、これは、Gのの位数は零元を除き常に
pであることによる。また、楕円曲線を使用するため、
fはx座標関数である。
【0104】各部の構成であるが、第1実施例では、p
を法とするgk の剰余を計算するため通信網提供者1及
びユーザ側の剰余記憶部131、231等には、g,g
2 ,g4 ,…のpを法とする剰余があらかじめ記憶され
ていたがこれに換えて、G,2G,4G,…が記憶され
ているのが大きく異なる。更に、これにあわせて、各種
の演算部の乗算も足算を行う点も異なる。
【0105】図15に、通信網提供者の公開鍵作成部2
13の内部構成を示す。本図に示すように、剰余記憶部
2131は、G,2G,4G,8G…をあらかじめ計算
して記憶おり、第1実施例の乗算部13と割算部134
に換えて足算部2133を有している。また、これによ
り、公開鍵として、E(GF(p))上の点YA (=X
A G)を計算し、公開する。
【0106】図16に、署名通信を行うユーザA側の構
成を示す。本図においては、32は2進乱数発生部であ
り、34は、通信文入力部であり、これらは、先の第1
実施例と異ならない。233はR1 演算部であり、2進
乱数発生部32で発生させた乱数k回だけ元Gを加えた
値kGを求め、その値R1を出力する。このため、あら
かじめ、2G,4G,8Gに対応するG2 ,G4 ,G8
等を記憶している剰余記憶部2331、2進乱数kの1
の立つ桁を取り出す法取り出し部2332、取り出した
桁に対応する剰余記憶部2331内のG1 (ここにiは
2の乗べき)を取り出し、足し算を行う足し算部238
3を内蔵している。
【0107】235は、F関数であり、r2 ≡m/x
(R1 )(mod p)の演算によりr2 を求める。ここにx
(R1 )はR1 のX座標値である。238は、求められ
たr2と上記乱数kをもとに、演算sk≡(r2 +s+
1)+r2 A (mod p)よりsを求めるSK部である。
このため、k−1(=a)を求めるk−1演算部238
1、r2 +1を求めるr2 +1演算部2382、r2
A を求めるr2 A 演算部2383、r2 +1+r2
A (=b)を求めるr2 +1+r2 +xA 演算部23
84、式s・a≡b(mod p)よりsを求めるs計算部2
385を内蔵している。
【0108】なお、mod演算の法が、qでなくpであ
るのが第1実施例と大きく異なる。図17は、受信例ユ
ーザの構成図である。本図において、受信部41、r2
記憶部及びs記憶部46は第1実施例のものと異ならな
い。247は、あらかじめGを記憶しているG記憶部で
ある。244は、YA をあらかじめ記憶しているY A
憶部である。
【0109】248は、r2 とsから(r2 +s+1)
/sを求める(r2 +s+1)/s演算部である。24
9は、r2 /sを求めるr2 /s演算部である。241
1は、E(GF(p))上での演算r2 /sYA を行う
2 /sYA 演算部である。2412は、同じくE(G
F(p))上での演算((r2 +s+1)/s)Gを行
う((r2 +s+1)/s)G演算部である。2413
は、同じく、E(GF(p))上での演算R1 =((r
2 +s+1)/s)G+(r2 /s)YA を行ってR1
を求める演算部である。2414は、演算m=x
(R1 )r2 (ここに、x(R1 )はE(GF(p))
上の元R1 のX座標値)よりmを求めるm演算部であ
る。
【0110】このため、qとr2 の大小比較を行う構成
がないのも第1実施例と異なる。次に、以上の手順にお
けるデータそのものの処理、数式、演算を中心とした処
理の流れを図18に示す。 (1)センターによる初期設定 10進30桁の素数をpとし、GF(p) 上の元の個数がp
となる楕円曲線をE とし、E(GF(p))の元を零元以外の元
をG とする。このときその位数はp となる。
【0111】GF(p) ×GF(p) ×GF(p) からGF(p) への写
像ha, hb, hcを、ha(r2',s,1)=s, hc(r2',s,1)=r2'と
し、 hb(r2',s,1) =r2' +s +1 (mod q) で定義する。また署名式を ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod
q) で定義する。
【0112】センターは、システムパラメータとしてp
,E(GF(p)),G, ha, hb, hc を全ユーザに公開する。
なお、かかるE(GF(p))の作成手順は、別途本願
出願人が前掲の特願平6−134339号等にて開示し
ている技術であるため、その説明は省略する。(2)署
名送信を欲するユーザAによるそのための秘密鍵の作成
及びセンターが認署した公開鍵の登録。
【0113】ユーザAから、メッセージ復元型署名通信
を行うため、その秘密鍵を基に作成した公開鍵を通信網
提供者に正しいものとして登録する要求がなされる。こ
のため、ユーザAは、乱数を発生させ、これを自分の秘
密鍵をx A とし、対応する公開鍵を楕円曲線E(GF
(P))上での演算y A =x A G により求め、これをセ
ンター経由で全ユーザに公開する。
【0114】併せて秘密鍵xA は、ユーザAが自分のみ
秘密に保持するものとする。 (3)ユーザAによる署名の生成 ユーザBに署名発信を行おうとするユーザAは、以下の
処理を行う。 1.乱数k を生成する。 2.2進数の乱数kを生成する。なお、この乱数は、各
送信毎に異なる値がでるものとされている。
【0115】2-1)E(GF(p))上で、演算R1=KGに
より、R1 を作成する。 2-2)法p上の演算r2≡m /x(R1) (mod p)により、r2
を求める。ここに、X(R1)は、E(GF(p))上の
点R1のx座標値である。…(e) とする。 2-3)法p上の演算sk≡(r2 +s +1)+r2x A (mod p)…
(f) よりs を計算する。
【0116】3.(r2 ,s)をユーザBに送信する。 (4)受信したユーザBによるメッセージの復元 1. ユーザAからのメッセージ(r2 ,s)を受信した
ユーザBは((r2+s+1)/s)G+(r2/s)Y A =R1をE(GF
(p))上で計算し、R1 を求める。
【0117】2.次いで、m =x(R1)r2 を計算すること
によりm を得る。上記実施例のように構成されたメッセ
ージ復元型署名の場合、コミットメントR1が従来例の式
(a) のように直接平文m に関与するのでなく、式(e) の
ようにx座標を通して関与している。すなわち、r2=F(R
1,m)=m/x(R1)となる。このF 関数が (*)1: GF(p)∋g, yA , m, Zq = {0,1,…,q-1}∋t,
j, e に対し、F(tG+jY A , m ×x(eYA ))及びF(tG+jY
A , m ×x(eG))において、3変数t,j,e が2個の代数式
で非置換(置き換えられ)ない。すなわち、mx(eY
A )、mx(eg)の偽造攻撃を受けない。
【0118】2: E(GF(p)) ∋R1, G, YA , GF(p) ∋r2,
m に対し、r2=F(R1,m)の逆像をm=F -1(R1,r2) で定義す
るとき、任意の2変数関数φ,ψに対してF -1(R1-G, r
2) ≠φ(m,G) 及びF-1(R1-YA , r2) ≠ψ(m,YA ) とな
るを満たすことから、宮地らにより提案された3つの解
読(recovery-equation attack using g and yA, and ho
momorphism attack)を回避できる。
【0119】また上記実施例のように構成されたメッセ
ージ復元型署名の場合、従来例の式(b')のように署名式
の係数(a,b,c) が(r2',s,1) の置換という形ではなく、
写像ha, hb, hcを用いて決定されている。この写像ha,
hb, hcが(**)r2',s をZ q の元とするとき、予め固定さ
れた少数値をのぞく全てのrr2', ssに対して、次の二つ
の条件 1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',
ss,1) のときhb(r2',s,1)-ha(r2',s,1)≠hb(rr2',ss,1) 2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',
ss,1) のときhc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1) を満たすことから、宮地らにより提案された2つの解読
(signature-equation attack using g and yA)を回避で
きる。さらにこの署名式は従来から存在する比例関係を
用いた解読に対しても、署名式が2項に分解されること
がないので強い。なお、従来から存在する比例関係を用
いた比例攻撃に付いては、L.Harn and Y. Xu, "Design
of generalised ElGamal type digital signatureschem
es based on discrete logarithm", Electron. Lett.,
Vol.30(1994),2025-2026.に詳しい。
【0120】また、上記例のような楕円曲線を用いると
G の位数が定義体GF(p) のp と等しくなるので、実施例
1のようにr2の値を制限するステップを付加することな
く、宮地により提案された1つの解読(redundancy atta
ck) を回避できる。また、上述の実施例はx座標を用い
たが、これは勿論他の写像で、(*) を満たすものなら何
でもよい。この際、例えばy座標のようにx座標と同じ
ように計算量が小さい写像にすることが望ましい。ha,
hb, hcに関しても、上記の性質(**)をもつものなら何で
もよい。またこの際、従来から存在する比例関係を用い
た解読に対しても強くなるように、さらに計算量が小さ
い写像にすることが望ましい。
【0121】また、上記実施例では、定義体GF(p) のp
とG の位数が等しくなるような楕円曲線を用いたが、通
常の楕円曲線を用いてもよい。このときには、第1実施
例のようにr2を制限するステップを付加する必要があ
る。また、上記の従来例以外のどんなメッセージ復元型
署名にも上記の写像を付加すると同様に解読が回避でき
る。
【0122】また、第1実施例と同じく、メッセージm
に署名する代わりに、m にハッシュ関数を施したハッシ
ュ値に対して署名し、署名をメッセージとともに送り、
ハッシュ値が正しく復元されることをチェックすること
で署名を確認するという署名方式として用いてのよい。
また、同じく、E(GF(p))でなくE(GF
(pr ))で行ってもよい。
【0123】また、ユーザは、その秘密鍵等の生成を通
信網提供者にしてもらうようにしてもよい。これは、適
当な乱数生成器がないときに便利である。以上、本発明
を実施例に基づいて説明してきたが、本発明は何も上記
実施例に限定されないのは勿論である。
【0124】
【発明の効果】以上、説明してきたように、本発明は、
法をメッセージ復元性を保ちながら、宮地らにより提案
されている従来型のメッセージ復元署名に対する6つの
解読法を回避することが可能となり、この一方でそのた
めに付加される計算量も無視できる。このため、公開デ
ィジタル通信網において、安全なメッセージ復元型署名
方式を提供することが可能となり、その実用的価値は大
きい。
【図面の簡単な説明】
【図1】本発明に係るメッセージ復元型署名の第1実施
例の、数値や式の変換を中心とした構成、処理を示した
図である。
【図2】従来の署名、認署通信の手順の一例である。
【図3】従来のメッセージ復元型署名の構成を示した図
である。
【図4】従来の署名、認署通信に対する公開鍵によるre
caovry-equation 攻撃の概略手順を示した図である。
【図5】同じく、redundancy攻撃の概略図である。
【図6】本発明に係るメッセージ復元型署名通信が実施
される公開ディジタル通信網の概略構成図である。
【図7】上記実施例における、通信網提供者の要部の構
成図である。
【図8】同じく、署名通信を行うユーザAの重要な処理
の流れを示した図である。
【図9】同じく、署名通信を行うユーザA側のr2 計算
に係る部分の構成図である。
【図10】同じく、ユーザA側のSK部を中心とした構
成図である。
【図11】同じく、署名文を受信したユーザBの重要な
処理の流れを示した図である。
【図12】同じく、署名文を受信したユーザB側の要部
の構成図である。
【図13】第1実施例の変形例として、GF(p)でな
くGF(pr )を使用した場合の、関数πによるGF
(pr )からZpr={0,1,…,pr-1 }への変換手
順を示した図である。
【図14】本発明に係るメッセージ復元型署名通信の第
2実施例が実施される公開ディジタル通信網の概略構成
図である。
【図15】上記実施例における、通信網提供者における
E(GF(p))上での演算を実行するための構成であ
る。
【図16】上記実施例における署名文の発行を行うユー
ザAの構成図である。
【図17】同じく、署名文を受信するユーザBの構成図
である。
【図18】同じく、数、値、式の変換を中心とした構成
処理を示した図である。
【符合の説明】
1 公開ディジタル通信網提供者(各ユーザへの
端末情報発行センターを兼ねる。) 2 公開ディジタル通信網の回線 3、4、5、6、 公開ディジタル通信網に接続された
ユーザ 11 秘密鍵作成要求受付部 12 秘密鍵発生部 13 公開鍵作成部 14 公開鍵公開部 15 秘密鍵通知形態作成部 16 秘密鍵通知部 31 r2 制御部 32 2進乱数発生部 33 r1 演算部 34 通信文入力部 35 f関数部 36 q関数部 37 排除部 373 比較部 38 SK部 385 s計算部 41 受信部 42 拒絶部 43 q記憶部(ユーザB) 44 yA 記憶部 45 r2 記憶部 46 s記憶部 47 g記憶部 413 r1 ≡g(r2+s+1)/sA R2/S(mod p)演算部 414 f-1関数部 2131 剰余記憶部 2133 足算部 233 R1 演算部 235 F関数部 238 SK部 244 YA 記憶部 2413 R1 演算部 2414 m演算部

Claims (48)

    【特許請求の範囲】
  1. 【請求項1】 p を素数とし、有限体GF(p) の元をg と
    し、その位数をq とし、 GF(p) 上定義される署名方式において、署名したい文を
    m ∈GF(p) とするとき、 k を署名者が任意にとる乱数とし、r1≡ gk (mod p )
    を署名生成処理におけるコミットメントとし、GF(p) ×
    GF(p) からGF(p) への写像をf とするとき、 r1とm をf により変換したf(r1,m)を用いて署名生成処
    理におけるメッセージ復元を可能にするメッセージマス
    ク式を構成することを特徴としたメッセージ復元型署名
    方式。
  2. 【請求項2】 p を素数とし、r を正整数とし、有限体
    GF(pr ) の元をg とし,その位数をq とし,GF(pr ) 上
    定義される署名方式において,署名したい文をm ∈GF(p
    r) とするとき,k を署名者が任意にとる乱数とし,r1
    ≡g k (mod p )をコミットメントとし,GF(p r) ×GF
    (p r) からGF(p r) への写像をf1とし,GF(p r) から有
    限環Z pr={0,1,…,pr-1 }への写像をπとするとき,
    r1とm をf1により変換し,この値を更にπを用いて変換
    したπ(f1(r1,m)) を用いて署名生成処理におけるメッ
    セージ復元を可能にするメッセージマスク式を構成する
    ことを特徴としたメッセージ復元型署名方式。
  3. 【請求項3】 p を素数とし、有限体GF(p) 上定義され
    た楕円曲線をE とし、 E(GF(p))の元をG とし、その位数をq とし、 E(GF(p))上定義される署名方式において、署名したい文
    をm ∈GF(p) とするとき、 k を署名者が任意にとる乱数とし、R1=kG=(rx , ry)
    をコミットメントとし、 E(GF(p))×GF(p) からGF(p) への写像をFとするとき、R
    1とm をにF より変換したF(R1,m)を用いて署名生成処
    理におけるメッセージ復元を可能にするメッセージマス
    ク式を構成することを特徴としたメッセージ復元型署名
    方式。
  4. 【請求項4】 p を素数とし、r を正整数とし、有限体
    GF(pr ) 上定義された楕円曲線をE とし、 E(GF(pr ))の元をG とし、その位数をq とし、 E(GF(pr ))上定義される署名方式において、署名したい
    文をm ∈GF(pr ) とするとき、 k を署名者が任意にとる乱数とし、R1=kG=(rx, ry )
    をコミットメントとし、 E(GF(pr ))×GF(pr ) からGF(pr ) への写像をF1とする
    とし、GF(pr ) から有限環Z prへの写像をπとすると
    き、R1とm をF1により変換し、この値を更にπを用いて
    変換したπ(F1(R1,m)) を用いて署名生成処理における
    メッセージ復元を可能にするメッセージマスク式を構成
    することを特徴としたメッセージ復元型署名方式。
  5. 【請求項5】 写像f は、GF(p) ∋g, yA 及び m, 並び
    にZq= {0,1,…,q-1}∋t, j及びe に対し、 f(g t y A j , my A e )及びf(g t y A j , mge ) に
    おいて、3変数t,j,eが2個の代数式で非置換であるこ
    とを特徴とした請求項1記載の離散対数問題を用いた署
    名方式。
  6. 【請求項6】 写像f は、GF(pr ) ∋g, yA 及びm,並び
    に Z q= {0,1,…,q-1}∋t, j及びe に対し、 f1(gt y A j ,my A e ) 及びf1(gt y A j , mge ) にお
    いて、3変数t,j,e が2個の代数式で非置換であること
    を特徴とした請求項2記載の離散対数問題を用いた署名
    方式。
  7. 【請求項7】 写像F は、E(GF(p))∋G 及びY A , GF
    (p)∋m,並びに Zq ={0,1,…,q-1}∋t, j及びe に対
    し、 F(tG+jY A , m ×x(eYA ))及びf(tG+jy A , m ×x(eG))
    において、3変数t,j及び eが2個の代数式で非置換で
    あることを特徴とした請求項3記載の離散対数問題を用
    いた署名方式。
  8. 【請求項8】 写像F1は、E(GF(pr ))∋G 及びY A , GF
    (pr ) ∋m,並びに Z q = {0,1,…,q-1}∋t, j及びe に
    対し、 f(tG+jY A , m ×x(eYA ))及びf(tG+jY A , m ×x(eG))
    において、3変数t,j,e が2個の代数式で非置換である
    ことを特徴とした請求項4 記載の離散対数問題を用いた
    署名方式。
  9. 【請求項9】 写像f は、GF(p) ∋r1, r2, m, g及びy
    A に対し、r2=f(r1,m)の逆像をm=f -1(r1,r2) で定義す
    るとき、 任意の2変数関数φ,ψに対して f -1(r1/g, r2)≠φ(m,g) 及びf -1(r1/y A , r2) ≠ψ(m,yA ) となることを特徴とした請求項1記載の離散対数問題を
    用いた署名方式。
  10. 【請求項10】 写像f1は、GF(pr ) ∋r1, r2, m, g,
    y A に対し、r2=f1(r1,m) の逆像をm=f1 -1(r1,r2) で定
    義するとき、 任意の2変数関数φ,ψに対して f1 -1(r1/g, r2) ≠φ(m,g) 及びf1 -1(r1/y A , r2) ≠ψ(m,yA ) となることを特徴とした請求項2記載の離散対数問題を
    用いた署名方式.
  11. 【請求項11】 写像F は、E(GF(p))∋R1, Y A 及びG
    並びにGF(p) ∋ m及びr2に対し、r2=f(R1,m)の逆像をm=
    f -1(R1,r2) で定義するとき、任意の2変数関数φ,ψ
    に対して f -1(R1-G, r2)≠φ(m,G) 及びf -1(R1-Y A , r2) ≠ψ(m,YA ) となることを特徴とした請求項3記載の離散対数問題を
    用いた署名方式。
  12. 【請求項12】 写像F1は、E(GF(pr ))∋R1, Y A 及び
    G 並びにGF(pr ) ∋m及びr2に対し、r2=f(R1,m)の逆像
    をm=f -1(R1,r2)で定義するとき、任意の2変数関数
    φ,ψに対して f -1(R1-G, r2)≠φ(m,G) 及びf -1(R1-Y A , r2) ≠ψ(m,YA ) となることを特徴とした請求項4記載の離散対数問題を
    用いた署名方式。
  13. 【請求項13】 写像f は、(r,y)→r +y(GF(p) 上の
    加算) で定義されることを特徴とした請求項1記載のメ
    ッセージ復元型署名方式。
  14. 【請求項14】 写像f1は、(r,y)→r +y(GF(pr ) 上
    の加算) で定義されることを特徴とした請求項2記載の
    メッセージ復元型署名方式。
  15. 【請求項15】 写像F は、楕円曲線のx座標関数を用
    いて、(R,y)→x(R)+y(GF(p) 上の加算) で定義される
    ことを特徴とした請求項3記載のメッセージ復元型署名
    方式。
  16. 【請求項16】 写像F1は、楕円曲線のx座標関数を用
    いて、(R,y)→x(R)+y(GF(pr ) 上の加算) で定義され
    ることを特徴とした請求項4記載のメッセージ復元型署
    名方式。
  17. 【請求項17】 写像πは、{α1 ,α2 ,…,αr
    をGF(pr ) のGF(p)上の基底とするとき、GF(pr)の元x
    =x1α1 +…+x r αr ( x1 ,…,xr ∈GF(p))に対
    して、 π( x) =x1+x2p+ …+xrp r-1 で定義されることを特徴とした請求項2、同4、同6、
    同8、同10若しくは請求項12記載のメッセージ復元
    型署名方式。
  18. 【請求項18】 p を素数とし、有限体GF(p) の元をg
    とし、その位数をqとし、 GF(p) 上定義される署名方式において、署名者A の秘密
    鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈G
    F(p) とするとき、k を署名者が任意にとる乱数とし、r
    2をコミットメントr1=gk とm により計算されるGF(p)
    の元とし、r2' ≡r2 (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod
    q) からs が計算できるように構成することを特徴としたメ
    ッセージ復元型署名方式。
  19. 【請求項19】 p を素数とし、r を正整数とし、有限
    体GF(pr ) の元をgとし、その位数をq とし、 GF(pr ) 上定義される署名方式において、署名者A の秘
    密鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm
    ∈GF(pr ) とするとき、 k を署名者が任意にとる乱数とし、r2をコミットメント
    r1=g kとm により計算される有限環Z prの元とし、r2'
    ≡r2 (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod
    q) からs が計算できるように構成することを特徴としたメ
    ッセージ復元型署名方式。
  20. 【請求項20】 p を素数とし、有限体GF(p) 上定義さ
    れた楕円曲線をE とし、 E(GF(p))の元をG とし、その位数をq とし、 E(GF(p))上定義される署名方式において、署名したい文
    をm ∈GF(p) とするとき、 k を署名者が任意にとる乱数とし、r2をコミットメント
    R1=kG とm により計算されるGF(p) の元とし、r2' ≡r2
    (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r2',s,1)k ≡ hb(r 2,s,1) + hc(r2',s,1)x A (mod
    q) からs が計算できるように構成することを特徴とし
    たメッセージ復元型署名方式。
  21. 【請求項21】 p を素数とし、r を正整数とし、有限
    体GF(pr ) 上定義された楕円曲線をE とし、 E(GF(pr ))の元をG とし、その位数をq とし、 E(GF(pr ))上定義される署名方式において、署名したい
    文をm ∈GF(pr ) するとき、 k を署名者が任意にとる乱数とし、r2をコミットメント
    R1=kG とm により計算される有限環Z prの元とし、r2'
    ≡r2 (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r2',s,1)k ≡ hb(r2',s,1) + hc(r2',s,1)x A (mod
    q) からs が計算できるように構成することを特徴とし
    たメッセージ復元型署名方式。
  22. 【請求項22】 写像ha,hb, hc は、r2',s をZ q の元
    とするとき、別途予め固定された所定値を除く任意のZ
    q の元rr2', ssに対して、次の二つの条件 1. ha(r2',s,1)=ha(rr2',ss,1), hc(r2',s,1)=hc(rr2',
    ss,1) のとき hb(r2',s,1)-ha(r2',s,1)≠hb(rr2',ss,1) 2. ha(r2',s,1)=ha(rr2',ss,1), hb(r2',s,1)=hb(rr2',
    ss,1) のとき hc(r2',s,1)-ha(r2',s,1)≠hc(rr2',ss,1) を満足することを特徴とした請求項18、同19、同2
    0若しくは請求項21記載の離散対数問題を用いた署名
    方式。
  23. 【請求項23】 写像ha,hb,hcは、 ha(r2',s,1)=r2', hc(r2',s,1)=sとし、 hb(r2',s,1) は、 r2'=rr2', s=ssのとき、hb(r2',s,1)=hb(rr2',ss,1) 、 r2'=rr2', hb(r2',s,1)=hb(rr2',ss,1) のとき、s=ss、 hb(0, 0, 1) ≠0, を満たすことを特徴とした請求項22記載のメッセージ
    復元型署名方式。
  24. 【請求項24】 写像ha,hb,hcは、 ha(r2',s,1)=s, hc(r2',s,1)=r2'とし、 hb(r2',s,1) は、 s=ss, r2'=rr2', のとき、hb(r2',s,1)=hb(rr2',ss,1)
    、 s=ss, hb(r2',s,1)=hb(rr2',ss,1) のとき、r2'=rr2'、 hb(0, 0, 1) ≠0 を満たすことを特徴とした請求項22記載のメッセージ
    復元型署名方式。
  25. 【請求項25】 写像ha,hb,hcは、 ha(r2',s,1)=s, hb(r2',s,1)=r2'とし、 hc(r2',s,1) は、 r2'=rr2', s=ssのとき、hc(r2',s,1)=hc(rr2',ss,1) 、 s=ss, hc(r2',s,1)=hc(rr2',ss,1) のとき、r2'=rr2' hc(0, 0, 1) ≠0 を満たすことを特徴とした請求項22記載のメッセージ
    復元型署名方式。
  26. 【請求項26】 写像ha,hb,hcは、 ha(r2',s,1)=r2', hb(r2',s,1)=sとし、 hc(r2',s,1) は、 r2'=rr2', s=ssのとき、hc(r2',s,1)=hc(rr2',ss,1) 、 r2'=rr2', hc(r2',s,1)=hc(rr2',ss,1) のとき、s=ss、 hc(0, 0, 1) ≠0 を満たすことを特徴とした請求項22記載のメッセージ
    復元型署名方式。
  27. 【請求項27】 写像ha,hb,hcは、 hc(r2',s,1)=s, hb(r2',s,1)=r2'とし、 ha(r2',s,1) は、 r2'=rr2', ha(r2',s,1)=ha(rr2',ss,1) のとき、s=ss、 s=ss, ha(r2',s,1)=ha(rr2',ss,1) のとき、r2'=rr2'、 ha(0,0,1) ≠0 を満たすことを特徴とした請求項22記載のメッセージ
    復元型署名方式。
  28. 【請求項28】 写像ha,hb,hcは、 hc(r2',s,1)=r2', hb(r2',s,1)=sとし、 ha(r2',s,1) は、 r2'=rr2', ha(r2',s,1)=ha(rr2',ss,1) のとき、s=ss、 s=ss, ha(r2',s,1)=ha(rr2',ss,1)のとき、r2'=rr2'、 ha(0,0,1) ≠0 を満たすことを特徴とした請求項22記載のメッセージ
    復元型署名方式。
  29. 【請求項29】 写像hb(r2',s,1) は、 hb(r2',s,1)=r2' +s +1 で定義されることを特徴とした請求項23若しくは請求
    項24記載のメッセージ復元型署名方式。
  30. 【請求項30】 写像hb(r2',s,1) は、 hb(r2',s,1)=r2' ×s +1 で定義されることを特徴とした請求項23若しくは請求
    項24記載のメッセージ復元型署名方式。
  31. 【請求項31】 写像hc(r2',s,1) は、 hc(r2',s,1)=r2' +s +1 で定義されることを特徴とした請求項25若しくは請求
    項26記載のメッセージ復元型署名方式。
  32. 【請求項32】 写像hc(r2',s,1) は、 hc(r2',s,1)=r2' ×s +1 で定義されることを特徴とした請求項25若しくは請求
    項26記載のメッセージ復元型署名方式。
  33. 【請求項33】 写像ha(r2',s,1) は、ha(r2',s,1)=0
    となる解(r2',s) がビットの多項式で定まる有限時間で
    確定できることを特徴とした請求項27若しくは請求項
    28記載のメッセージ復元型署名方式。
  34. 【請求項34】 乱数k を、メッセージマスク式で計算
    されるr2と署名式で計算されるs に対して、 ha(r2',s,1) ≠0 であるように取ってくることを特徴とした請求項33記
    載のメッセージ復元型署名方式。
  35. 【請求項35】 写像ha(r2',s,1) は、 ha(r2',s,1)=r2'+s+1 であることを特徴とした請求項3
    4記載のメッセージ復元型署名方式。
  36. 【請求項36】 写像ha(r2',s,1) は、 ha(r2',s,1)=r2' ×s +1 であることを特徴とした請求
    項34記載のメッセージ復元型署名方式。
  37. 【請求項37】 p を素数とし、q の1/4以上となる
    正整数とし、有限体GF(p) の位数がq となる元をg と
    し、 GF(p) 上定義される署名方式において、署名したい文を
    m ∈GF(p) とするとき、乱数k を、コミットメントr1
    g k とm により構成されるGF(p) の元r2が、 0< r2 <q となるようにとり、 上記範囲を限定されたr2を署名式に用いることを特徴と
    したメッセージ復元型署名方式。
  38. 【請求項38】 p を素数とし、r を正整数とし、q を
    p と大きさがほぼ同じである, すなわちp 〜q となる正
    整数とし、有限体GF(pr ) の位数がq となる元をg と
    し、 GF(pr ) 上定義される署名方式において、署名したい文
    をm ∈GF(pr ) とするとき、乱数k を、コミットメント
    r1=g k とm により構成されるZ pr= {0,1,…,pr-1
    の元r2が、 0< r2 <q となるようにとり、 上記範囲を限定されたr2を署名式に用いることを特徴と
    したメッセージ復元型署名方式。
  39. 【請求項39】 p を素数とし、有限体GF(p) 上定義さ
    れた楕円曲線をE とし、 E(GF(p))の元をG とし、その位数をq とし、 E(GF(p))上定義される署名方式において、署名したい文
    をm ∈GF(p) とするとき、乱数k を、コミットメントr1
    =g k とm により構成されるGF(p) の元r2が、 0< r2 <q となるようにとり、 上記範囲を限定されたr2を署名式に用いることを特徴と
    したメッセージ復元型署名方式。
  40. 【請求項40】 p を素数とし、r を正整数とし、有限
    体GF(pr ) 上定義された楕円曲線をE とし、 E(GF(pr ))の元をG とし、その位数をq とし、 E(GF(pr ))上定義される署名方式において、署名したい
    文をm ∈GF(pr ) とするとき、乱数k を、コミットメン
    トr1=g k とm により構成されるZ pr= {0,1,…,
    pr-1 }の元r2が、 0< r2 <q となるようにとり、 上記範囲を限定されたr2を署名式に用いることを特徴と
    したメッセージ復元型署名方式。
  41. 【請求項41】 楕円曲線E は、 元の個数がp となるGF(p) 上の楕円曲線を用いることを
    特徴とした請求項39記載の署名方式。
  42. 【請求項42】 署名したい文m に対し、m のハッシュ
    関数値hash(m) をmの代わりに用いることを特徴とした
    請求項1、同2、同3、同4、同18、同19、同2
    0、同21、同37、同38、同39若しくは請求項4
    0記載の署名方式。
  43. 【請求項43】 p を素数とし、有限体GF(p) の元をg
    とし、その位数をqとし、 GF(p) 上定義される署名方式において、署名者A の秘密
    鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm ∈G
    F(p) とするとき、 k を署名者が任意にとる乱数とし、コミットメントr1=g
    kとし、 r1' ≡r1 (mod q), m' ≡m (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (m
    od q) からs が計算できるように構成することを特徴とした署
    名方式。
  44. 【請求項44】 p を素数とし、r を正整数とし、有限
    体GF(pr ) の元をgとし、その位数をq とし、 GF(pr ) 上定義される署名方式において、署名者A の秘
    密鍵をx A 、公開鍵をy A =gxAとし、署名したい文をm
    ∈GF(pr ) とするとき、 k を署名者が任意にとる乱数とし、コミットメントr1=g
    kとし、GF(pr ) から有限環Z prへの写像をπとすると
    き、 r1' ≡π(r1) (mod q), m' ≡π(m) (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (m
    od q) からs が計算できるように構成することを特徴とした署
    名方式。
  45. 【請求項45】 p を素数とし、有限体GF(p) 上定義さ
    れた楕円曲線をE とし、 E(GF(p))の元をG とし、その位数をq とし、 E(GF(p))上定義される署名方式において、署名したい文
    をm ∈GF(p) とするとき、 k を署名者が任意にとる乱数とし、コミットメントR1=k
    G とし、E(GF(p))からGF(p) への写像をρとするとき、 r1' ≡ρ(R1) (mod q), m' ≡m (mod q) とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (m
    od q) からs が計算できるように構成することを特徴とした署
    名方式。
  46. 【請求項46】 p を素数とし、r を正整数とし、有限
    体GF(pr ) 上定義された楕円曲線をE とし、 E(GF(pr ))の元をG とし、その位数をq とし、 E(GF(pr ))上定義される署名方式において、署名したい
    文をm ∈GF(pr ) とするとき、 k を署名者が任意にとる乱数とし、コミットメントR1=k
    G とし、E(GF(pr ))からGF(pr ) への写像をρとすると
    し、GF(pr ) から有限環Z pr= {0,1,…,pr-1}への写
    像をπとするとき、 r1' ≡π( ρ(R1)) (mod q), m' ≡π(m) (mod q)
    とし、 ha, hb, hcを有限環Z q ×Z q ×Z q からZ q への写像
    とするとき、署名式を、 ha(r1',s,m')k ≡ hb(r1',s,m') + hc(r1',s,m')x A (m
    od q) からs が計算できるように構成することを特徴とした署
    名方式。
  47. 【請求項47】 写像ρは、楕円曲線のx座標若しくは
    y座標関数を用いて、R →x(R)若しくはR→y(R)で
    定義されることを特徴とした請求項45若しくは請求項
    46記載のメッセージ復元型署名方式。
  48. 【請求項48】 写像πは、{α1 ,α2 ,…,αr
    をGF(pr ) のGF(p)上の基底とするとき、GF(pr ) の元
    x=x1α1 +…+x r αr ( x1 ,…,xr∈GF(p))に
    対して、 π( x) =x1+x2p+ …+xr p r-1 で定義されることを特徴とした請求項44及び請求項4
    6記載のメッセージ復元型署名方式。
JP32490895A 1995-12-13 1995-12-13 署名方式 Expired - Lifetime JP3540477B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP32490895A JP3540477B2 (ja) 1995-12-13 1995-12-13 署名方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP32490895A JP3540477B2 (ja) 1995-12-13 1995-12-13 署名方式

Publications (2)

Publication Number Publication Date
JPH09160492A true JPH09160492A (ja) 1997-06-20
JP3540477B2 JP3540477B2 (ja) 2004-07-07

Family

ID=18170970

Family Applications (1)

Application Number Title Priority Date Filing Date
JP32490895A Expired - Lifetime JP3540477B2 (ja) 1995-12-13 1995-12-13 署名方式

Country Status (1)

Country Link
JP (1) JP3540477B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110464A (ja) * 1997-10-03 1999-04-23 Nri & Ncc Co Ltd 電子証券の発行、移転、証明、消去のための処理システム及びその処理方法
JP2001523067A (ja) * 1997-11-10 2001-11-20 サーティコム コーポレーション マスクディジタル署名
JP2002519723A (ja) * 1998-06-23 2002-07-02 マイクロソフト コーポレイション 非公開に認証可能な暗号署名を生成し、かつ製品の複製に関連してそのような署名を用いるための技術
US8132024B2 (en) 2003-03-11 2012-03-06 Panasonic Corporation Digital work protection system, recording apparatus, reproduction apparatus, and recording medium

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110464A (ja) * 1997-10-03 1999-04-23 Nri & Ncc Co Ltd 電子証券の発行、移転、証明、消去のための処理システム及びその処理方法
JP2001523067A (ja) * 1997-11-10 2001-11-20 サーティコム コーポレーション マスクディジタル署名
JP2002519723A (ja) * 1998-06-23 2002-07-02 マイクロソフト コーポレイション 非公開に認証可能な暗号署名を生成し、かつ製品の複製に関連してそのような署名を用いるための技術
JP4644368B2 (ja) * 1998-06-23 2011-03-02 マイクロソフト コーポレーション 非公開に認証可能な暗号署名を生成し、かつ製品の複製に関連してそのような署名を用いるための技術
US8132024B2 (en) 2003-03-11 2012-03-06 Panasonic Corporation Digital work protection system, recording apparatus, reproduction apparatus, and recording medium

Also Published As

Publication number Publication date
JP3540477B2 (ja) 2004-07-07

Similar Documents

Publication Publication Date Title
US6341349B1 (en) Digital signature generating/verifying method and system using public key encryption
US7372961B2 (en) Method of public key generation
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
US5146500A (en) Public key cryptographic system using elliptic curves over rings
US7930549B2 (en) Accelerated signature verification on an elliptic curve
US20030120931A1 (en) Group signature generation system using multiple primes
US9800418B2 (en) Signature protocol
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
EP2082523B1 (en) Compressed ecdsa signatures
US20150006900A1 (en) Signature protocol
CN111130758B (zh) 一种适用于资源受限设备的轻量级匿名认证方法
US6097813A (en) Digital signature protocol with reduced bandwidth
Lv et al. Practical convertible authenticated encryption schemes using self-certified public keys
CN112989436B (zh) 一种基于区块链平台的多重签名方法
KR100438257B1 (ko) 메시지 복원형 서명장치
JP3540477B2 (ja) 署名方式
WO2016187689A1 (en) Signature protocol
JP2005513564A (ja) 負荷を複数のエンティティおよびそのデバイスに分散させるための暗号法
CN112613844A (zh) 一种人事合同电子签名方法
JP3316895B2 (ja) 正当性の確認システム
JP2945523B2 (ja) ネットワーク利用秘密及び署名通信方法
JPH02273779A (ja) ディジタル署名装置
JPH0548599A (ja) 秘密通信用ネツトワークシステム
Naralasetty et al. Digitally Signed Transmission Schema Through MD5
Sarlabous Introduction to cryptography

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20031209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040309

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040325

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080402

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090402

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100402

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110402

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120402

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140402

Year of fee payment: 10

EXPY Cancellation because of completion of term