JPH09200198A - メッセージ認証システム - Google Patents
メッセージ認証システムInfo
- Publication number
- JPH09200198A JPH09200198A JP8005489A JP548996A JPH09200198A JP H09200198 A JPH09200198 A JP H09200198A JP 8005489 A JP8005489 A JP 8005489A JP 548996 A JP548996 A JP 548996A JP H09200198 A JPH09200198 A JP H09200198A
- Authority
- JP
- Japan
- Prior art keywords
- verification
- sender
- party
- data
- verifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 本発明では、送信者が電子文書に対してメッ
セージ認証を行うシステムにおいて、検証者と送信者が
あらかじめ相互に交信することなく、送信者が特定した
検証者のみが認証データの検証ができるメッセージ認証
システムを提供することを目的とする。 【解決手段】 本発明のメッセージ認証システムは送信
者サブシステム101と検証者サブシステム102から
なる。送信者は認証データ作成手段12において、検証
者の公開情報と自分の秘密情報に基づいた認証データを
生成する。検証者は認証手段22において、送信者の公
開情報と、認証データに基づき、メッセージと認証デー
タの正当性を検証する。認証データ作成手段12におい
て、検証者の公開情報が用いられており、対応する秘密
情報を知っている検証者は任意の検証データを作成でき
る。したがって、検証者が認証データを第三者に転送し
ても、送信者が作成した正しい認証データか、検証者が
偽造した認証データか判定できないため、検証できない
という当初の性質を持たせることができる。
セージ認証を行うシステムにおいて、検証者と送信者が
あらかじめ相互に交信することなく、送信者が特定した
検証者のみが認証データの検証ができるメッセージ認証
システムを提供することを目的とする。 【解決手段】 本発明のメッセージ認証システムは送信
者サブシステム101と検証者サブシステム102から
なる。送信者は認証データ作成手段12において、検証
者の公開情報と自分の秘密情報に基づいた認証データを
生成する。検証者は認証手段22において、送信者の公
開情報と、認証データに基づき、メッセージと認証デー
タの正当性を検証する。認証データ作成手段12におい
て、検証者の公開情報が用いられており、対応する秘密
情報を知っている検証者は任意の検証データを作成でき
る。したがって、検証者が認証データを第三者に転送し
ても、送信者が作成した正しい認証データか、検証者が
偽造した認証データか判定できないため、検証できない
という当初の性質を持たせることができる。
Description
【0001】
【発明の属する技術分野】本発明では、送信者が電子文
書に対してメッセージ認証を行う方式において、検証者
と送信者があらかじめ相互に交信することなく、送信者
が特定した検証者のみが認証データの検証ができるメッ
セージ認証システムを提案することを目的とする。
書に対してメッセージ認証を行う方式において、検証者
と送信者があらかじめ相互に交信することなく、送信者
が特定した検証者のみが認証データの検証ができるメッ
セージ認証システムを提案することを目的とする。
【0002】
【従来の技術】メッセージ認証とは送信者が検証者を限
定でき、検証者が第三者に認証データを転送しても、第
三者は認証データが正しいかどうかを検証できないとい
う点で、だれでも署名データを検証できるデジタル署名
と異なる。古典的なメッセージ認証方式は、たとえば岡
本栄司著の暗号理論入門(共立出版)の129〜131
頁に記載されている。すなわち、送信者と検証者があら
かじめ暗号鍵Kを共有しており、認証データとして、メ
ッセージと暗号鍵Kから生成したハッシュ値をメッセー
ジと共に送信する。検証者は、受信したメッセージと共
有している暗号鍵Kから同様にハッシュ値を計算し、そ
の結果が受信した認証データと等しければ、正しい認証
データとして受理する。この認証データを第三者に転送
しても、第三者はこの認証データが本当に送信者が認証
したものなのか、検証者が独自に認証データを作成した
のか区別がつかないため、検証できない。
定でき、検証者が第三者に認証データを転送しても、第
三者は認証データが正しいかどうかを検証できないとい
う点で、だれでも署名データを検証できるデジタル署名
と異なる。古典的なメッセージ認証方式は、たとえば岡
本栄司著の暗号理論入門(共立出版)の129〜131
頁に記載されている。すなわち、送信者と検証者があら
かじめ暗号鍵Kを共有しており、認証データとして、メ
ッセージと暗号鍵Kから生成したハッシュ値をメッセー
ジと共に送信する。検証者は、受信したメッセージと共
有している暗号鍵Kから同様にハッシュ値を計算し、そ
の結果が受信した認証データと等しければ、正しい認証
データとして受理する。この認証データを第三者に転送
しても、第三者はこの認証データが本当に送信者が認証
したものなのか、検証者が独自に認証データを作成した
のか区別がつかないため、検証できない。
【0003】また、このようなメッセージ認証方法をあ
らかじめ秘密鍵を共有せずに実現する方法として、岡本
らの方式がある。これらはOkamoto,Ohtaの
論文“How to Utilize Randomn
ess of Zero−Knowledge Pro
ofs”(Lecture Notes in Com
puter Science 537,Advance
s in Cryptology−Crypto’90
456頁−475頁 Springer−Verla
g社)に示されている。この方式は、零知識証明による
送信者の個人認証プロトコルにおいて、メッセージから
求まる値を乱数情報成分に組み合わせることにより実現
している。
らかじめ秘密鍵を共有せずに実現する方法として、岡本
らの方式がある。これらはOkamoto,Ohtaの
論文“How to Utilize Randomn
ess of Zero−Knowledge Pro
ofs”(Lecture Notes in Com
puter Science 537,Advance
s in Cryptology−Crypto’90
456頁−475頁 Springer−Verla
g社)に示されている。この方式は、零知識証明による
送信者の個人認証プロトコルにおいて、メッセージから
求まる値を乱数情報成分に組み合わせることにより実現
している。
【0004】
【発明が解決しようとする課題】あらかじめ共通鍵を共
有するメッセージ認証方式では、共通鍵の設定を行う為
に、相互に通信する必要がでてくる。一方、岡本らの方
式でも、個人認証プロトコルは対話的に行わなくてはな
らないため、相互通信が必要である。この個人認証プロ
トコルをFiat−Shamir式に非対話的にする
と、この時の送信データはデジタル署名と同じように、
だれでも検証できてしまうという問題点がある。なお、
Fiat−Shamir式については、Fiat,Sh
amir著の“How to prove yours
elf: Practical solutions
to identification and sig
nature problems”(Advances
in Cryptology−Crypto 86,
pages186−199)に記載されている。
有するメッセージ認証方式では、共通鍵の設定を行う為
に、相互に通信する必要がでてくる。一方、岡本らの方
式でも、個人認証プロトコルは対話的に行わなくてはな
らないため、相互通信が必要である。この個人認証プロ
トコルをFiat−Shamir式に非対話的にする
と、この時の送信データはデジタル署名と同じように、
だれでも検証できてしまうという問題点がある。なお、
Fiat−Shamir式については、Fiat,Sh
amir著の“How to prove yours
elf: Practical solutions
to identification and sig
nature problems”(Advances
in Cryptology−Crypto 86,
pages186−199)に記載されている。
【0005】本発明では送信者と検証者が相互に交信す
ることなく、送信者から検証者に認証データを送信する
だけで実現できるメッセージ認証システムを提案するこ
とを目的とする。
ることなく、送信者から検証者に認証データを送信する
だけで実現できるメッセージ認証システムを提案するこ
とを目的とする。
【0006】
【課題を解決するための手段】本第一発明では、送信者
サブシステムが認証データを生成する際に検証者サブシ
ステム固有の公開情報を用いている。検証者サブシステ
ムの公開情報は公開されているので、相互に通信する必
要がない。さらに、これによりその公開情報に対応する
秘密情報を保持する検証者サブシステムと、それを持た
ない第三者とを区別することができるので、第三者が検
証できないメッセージ認証方式を実現できる。
サブシステムが認証データを生成する際に検証者サブシ
ステム固有の公開情報を用いている。検証者サブシステ
ムの公開情報は公開されているので、相互に通信する必
要がない。さらに、これによりその公開情報に対応する
秘密情報を保持する検証者サブシステムと、それを持た
ない第三者とを区別することができるので、第三者が検
証できないメッセージ認証方式を実現できる。
【0007】本第二発明では認証データを生成する際
に、検証者サブシステム固有の公開情報を用いて作成す
るカメレオンコミットメントを利用している。これも公
開情報を用いているので、相互に通信する必要がない。
また、カメレオンコミットメントを利用しているため、
その公開情報に対応する秘密情報を知らない送信者サブ
システムから検証者サブシステムが受信する認証データ
と、その秘密情報を知っている検証者サブシステムから
転送されて第三者が受信する認証データでは、性質が異
なってくる。なぜならば、カメレオンコミットメントに
より、秘密情報を知っている検証者サブシステムがつじ
つまのあうような不正認証データを自由に作成できる
が、秘密情報を知らない送信者サブシステムは正しい認
証データしか作成できない。したがって、送信者サブシ
ステムが生成した認証データを用いた検証結果は信頼で
きるが、検証者サブシステムから転送された認証データ
は不正かもしれないので第三者は検証結果を信頼できな
い。上記の理由で、第三者は転送された認証データを正
しく検証できないので、メッセージ認証方式になってい
る。
に、検証者サブシステム固有の公開情報を用いて作成す
るカメレオンコミットメントを利用している。これも公
開情報を用いているので、相互に通信する必要がない。
また、カメレオンコミットメントを利用しているため、
その公開情報に対応する秘密情報を知らない送信者サブ
システムから検証者サブシステムが受信する認証データ
と、その秘密情報を知っている検証者サブシステムから
転送されて第三者が受信する認証データでは、性質が異
なってくる。なぜならば、カメレオンコミットメントに
より、秘密情報を知っている検証者サブシステムがつじ
つまのあうような不正認証データを自由に作成できる
が、秘密情報を知らない送信者サブシステムは正しい認
証データしか作成できない。したがって、送信者サブシ
ステムが生成した認証データを用いた検証結果は信頼で
きるが、検証者サブシステムから転送された認証データ
は不正かもしれないので第三者は検証結果を信頼できな
い。上記の理由で、第三者は転送された認証データを正
しく検証できないので、メッセージ認証方式になってい
る。
【0008】なお、カメレオンコミットメントについて
は、Brassard,Chaum,Crepeau著
の“Minimum Disclosure Proo
fsof Knowledge”(Journal o
f Computer and System Sci
ence,pages156−189)に記載されてい
る。ここでは、簡単の為に、送信者と受信者間の1ビッ
トのカメレオンコミットメントについて説明する。これ
は送信者から受信者へは受信者の公開鍵を用いて正しく
0あるいは1のコードを(u,r)に符号化して送る方
式である。この方式は秘密鍵を知っている受信者は同じ
uを用いて、(u,r′)と逆の符号化が可能という特
徴を持つ。
は、Brassard,Chaum,Crepeau著
の“Minimum Disclosure Proo
fsof Knowledge”(Journal o
f Computer and System Sci
ence,pages156−189)に記載されてい
る。ここでは、簡単の為に、送信者と受信者間の1ビッ
トのカメレオンコミットメントについて説明する。これ
は送信者から受信者へは受信者の公開鍵を用いて正しく
0あるいは1のコードを(u,r)に符号化して送る方
式である。この方式は秘密鍵を知っている受信者は同じ
uを用いて、(u,r′)と逆の符号化が可能という特
徴を持つ。
【0009】まず、送信者が、乱数発生器にて乱数ビッ
トbと乱数rを発生させ、 u=yb ・ar mod p によりuを生成し、(u,r)を受信者に送る。ここで
y,a,pは受信者の公開情報である。なおmod p
とはpで割ったあまりをさす。
トbと乱数rを発生させ、 u=yb ・ar mod p によりuを生成し、(u,r)を受信者に送る。ここで
y,a,pは受信者の公開情報である。なおmod p
とはpで割ったあまりをさす。
【0010】受信者は、公開情報y,a,pと y=ax mod p という関係のある秘密鍵xを秘密に所持している。
【0011】受信者は、u/ar mod pの結果が1
に等しければb=0、yに等しければb=1とする。こ
の場合は正しく復元できる。
に等しければb=0、yに等しければb=1とする。こ
の場合は正しく復元できる。
【0012】次に、秘密鍵を知っている受信者がカメレ
オンコミットメントを反対に復元する方法を説明する。
前提として、受信者は、送信者からrを送ってもらって
おり、受信者は、y=ax mod pを満たすようなx
を知っている。
オンコミットメントを反対に復元する方法を説明する。
前提として、受信者は、送信者からrを送ってもらって
おり、受信者は、y=ax mod pを満たすようなx
を知っている。
【0013】このとき、まず受信者は、u/ar mod
pの結果が1に等しければb=0、yに等しければb
=1と、ただしく復元する。その結果、b=0のとき、
r′=r−xとおく。b=1のとき、r′=r+xとお
く。
pの結果が1に等しければb=0、yに等しければb
=1と、ただしく復元する。その結果、b=0のとき、
r′=r−xとおく。b=1のとき、r′=r+xとお
く。
【0014】このようにして、第三者に(u,r′)を
送る。
送る。
【0015】第三者は、(u,r′)から、u/ar'm
od p の結果が1に等しければb′=0、yに等し
ければb′=1と復元する。この時、bとb′は常に反
対の値になっている。
od p の結果が1に等しければb′=0、yに等し
ければb′=1と復元する。この時、bとb′は常に反
対の値になっている。
【0016】以上、説明した通り、送信者から送られた
(u,r)からは一通りのbしか復元できないが、受信
者は秘密鍵xを用いて、正しいbも不正なbも復元でき
るような(u,r)のペアを生成できる。受信者が操作
した(u,r′)か、操作していない(u,r)かは第
三者は区別がつかないため、第三者は受信者からのデー
タを信用することができない。
(u,r)からは一通りのbしか復元できないが、受信
者は秘密鍵xを用いて、正しいbも不正なbも復元でき
るような(u,r)のペアを生成できる。受信者が操作
した(u,r′)か、操作していない(u,r)かは第
三者は区別がつかないため、第三者は受信者からのデー
タを信用することができない。
【0017】なお、カメレオンコミットメントの実現例
は上記以外にも前記文献に数多く記載されている。
は上記以外にも前記文献に数多く記載されている。
【0018】
【発明の実施の形態】次に、図1から図4を参照して本
発明の第1の実施形態について説明する。ここでは、本
発明を、図2のように、送信者サブシステム101及び
検証者サブシステム102が相互に安全な通信チャネル
(例えばデータ回線)103で結ばれており、さらに送
信者サブシステムや検証者サブシステムの公開情報を管
理する公開情報管理センタ100が存在し、送信者サブ
システム及び検証者サブシステムがそれぞれ安全な通信
チャネル104及び105で相手の公開情報を入手する
ことができる場合のメッセージ検証システムに実施する
形態を述べる。なお、以下簡単のために公開情報管理セ
ンタをセンタ、送信者サブシステム及び検証者サブシス
テムをそれぞれ送信者、検証者と呼ぶことにする。
発明の第1の実施形態について説明する。ここでは、本
発明を、図2のように、送信者サブシステム101及び
検証者サブシステム102が相互に安全な通信チャネル
(例えばデータ回線)103で結ばれており、さらに送
信者サブシステムや検証者サブシステムの公開情報を管
理する公開情報管理センタ100が存在し、送信者サブ
システム及び検証者サブシステムがそれぞれ安全な通信
チャネル104及び105で相手の公開情報を入手する
ことができる場合のメッセージ検証システムに実施する
形態を述べる。なお、以下簡単のために公開情報管理セ
ンタをセンタ、送信者サブシステム及び検証者サブシス
テムをそれぞれ送信者、検証者と呼ぶことにする。
【0019】このメッセージ認証システムは準備フェー
ズ、認証データ作成フェーズと、検証フェーズからな
る。
ズ、認証データ作成フェーズと、検証フェーズからな
る。
【0020】図1を参照しながら準備フェーズを説明す
る。
る。
【0021】本メッセージ認証システムを実施するため
の準備として、送信者101及び検証者102はセンタ
100に自分の公開情報を登録し、対応する秘密鍵を各
自厳重に保管する。例えば、送信者は2素数の合成数n
と公開鍵zを登録し、秘密鍵sを送信者秘密情報保持手
段11にて秘密に保管する。このとき、公開鍵zと秘密
鍵sの間には z=s-2mod n という関係がある。
の準備として、送信者101及び検証者102はセンタ
100に自分の公開情報を登録し、対応する秘密鍵を各
自厳重に保管する。例えば、送信者は2素数の合成数n
と公開鍵zを登録し、秘密鍵sを送信者秘密情報保持手
段11にて秘密に保管する。このとき、公開鍵zと秘密
鍵sの間には z=s-2mod n という関係がある。
【0022】一方、検証者は素数pと生成元a及び公開
鍵yを登録し、秘密鍵xを検証者秘密情報保持手段21
にて秘密に保管する。このとき、公開鍵yと秘密鍵xの
間には y=ax mod p という関係がある。
鍵yを登録し、秘密鍵xを検証者秘密情報保持手段21
にて秘密に保管する。このとき、公開鍵yと秘密鍵xの
間には y=ax mod p という関係がある。
【0023】これらの公開情報(n,z),(p,a,
y)はセンタ100にアクセスすることにより両者が入
手できる情報とする。また、送信者と検証者が安全に公
開情報を受渡しできれば、このようなセンタはなくても
よい。
y)はセンタ100にアクセスすることにより両者が入
手できる情報とする。また、送信者と検証者が安全に公
開情報を受渡しできれば、このようなセンタはなくても
よい。
【0024】また、送信者と検証者はあらかじめ共通の
ハッシュ関数hを知っているものとする。
ハッシュ関数hを知っているものとする。
【0025】以上が準備フェーズである。
【0026】さらに、図1、図3を参照しながら認証デ
ータ作成フェーズを説明する。
ータ作成フェーズを説明する。
【0027】送信者は認証すべき電子文書メッセージm
に対して、認証データを認証データ作成手段12にて以
下のように生成する。
に対して、認証データを認証データ作成手段12にて以
下のように生成する。
【0028】まず、乱数発生器14にて20個の乱数ビ
ットb1 ,b2 ,…,b20と乱数r1 ,r2 ,…,r20
を発生させ、カメレオンコミットメント作成手段15に
て u(i)=ybi・arimod p によりカメレオンコミットメントu(1),u(2),
…,u(20)を生成する。ここでy,a,pは検証者
の公開情報である。
ットb1 ,b2 ,…,b20と乱数r1 ,r2 ,…,r20
を発生させ、カメレオンコミットメント作成手段15に
て u(i)=ybi・arimod p によりカメレオンコミットメントu(1),u(2),
…,u(20)を生成する。ここでy,a,pは検証者
の公開情報である。
【0029】次に、再度乱数発生器14にて乱数t1 ,
t2 ,…,t20を発生させ、第一のデータ作成手段16
において v(i)=ti 2h(m) mod n によりv(1),v(2),…,v(20)を計算す
る。
t2 ,…,t20を発生させ、第一のデータ作成手段16
において v(i)=ti 2h(m) mod n によりv(1),v(2),…,v(20)を計算す
る。
【0030】次に、チャレンジ作成手段17において以
下のようにチャレンジfi を作成する。u(i),v
(i)(i=1,2,…,20)のすべての値をハッシ
ュ化し、その求めたハッシュ値の先頭の20ビットをそ
れぞれc1 ,c2 ,…,c20とする。各iについて、c
i とbi の排他的論理和fi を計算し、出力する。
下のようにチャレンジfi を作成する。u(i),v
(i)(i=1,2,…,20)のすべての値をハッシ
ュ化し、その求めたハッシュ値の先頭の20ビットをそ
れぞれc1 ,c2 ,…,c20とする。各iについて、c
i とbi の排他的論理和fi を計算し、出力する。
【0031】次に、第二データ作成手段18において
は、以下のようにチャレンジfi に依存してデータd
(i)を作成する。
は、以下のようにチャレンジfi に依存してデータd
(i)を作成する。
【0032】d(i)=ti ・sfimod n ここでsは送信者秘密情報保持手段11から読み出した
秘密情報である。
秘密情報である。
【0033】以上のように生成したu(i),v
(i),d(i),ri (i=1,2,…,20)を認
証データとして、送出手段13によりメッセージmと共
にチャンネル103を経由して検証者102に送付す
る。
(i),d(i),ri (i=1,2,…,20)を認
証データとして、送出手段13によりメッセージmと共
にチャンネル103を経由して検証者102に送付す
る。
【0034】以下、図1、図4を参照しながら検証者1
02が認証データの正当性を確認する検証フェーズを説
明する。
02が認証データの正当性を確認する検証フェーズを説
明する。
【0035】検証者は、この受信手段31で受信した認
証データをデータ検証手段22にて以下のように検証す
る。
証データをデータ検証手段22にて以下のように検証す
る。
【0036】まず、コミットメント復元手段23にて送
付されたu(i)とri からbi ′を求める。これは、 u(i)/arimod p の結果が1に等しければbi ′=0、yに等しければb
i ′=1とする。どちらの場合でもない場合は不正検証
データとみなす。
付されたu(i)とri からbi ′を求める。これは、 u(i)/arimod p の結果が1に等しければbi ′=0、yに等しければb
i ′=1とする。どちらの場合でもない場合は不正検証
データとみなす。
【0037】次に、チャレンジ復元手段24にて、以下
のようにチャレンジfi ′を復元する。まず、u
(i),v(i)(i=1,2,…,20)のすべての
値をハッシュ化し、その求めたハッシュ値の先頭の20
ビットのc1 ′,c2 ′,…,c20′を求める。各iに
ついて、ci ′とbi ′の排他的論理和を計算し、その
結果をfi ′とする。
のようにチャレンジfi ′を復元する。まず、u
(i),v(i)(i=1,2,…,20)のすべての
値をハッシュ化し、その求めたハッシュ値の先頭の20
ビットのc1 ′,c2 ′,…,c20′を求める。各iに
ついて、ci ′とbi ′の排他的論理和を計算し、その
結果をfi ′とする。
【0038】最後に以上のデータを用いてデータ確認手
段25にて、以下のような確認を行う。各iについて、 d(i)2 =v(i)・(zh(m))fi' mod n が成り立つことを確かめる。
段25にて、以下のような確認を行う。各iについて、 d(i)2 =v(i)・(zh(m))fi' mod n が成り立つことを確かめる。
【0039】成り立たないiが1つでもあれば、不正認
証データとみなし、すべて成り立てば正しい認証データ
と判定する。
証データとみなし、すべて成り立てば正しい認証データ
と判定する。
【0040】以上のように行えば、送信者から検証者へ
送信した認証データが正しいかどうかの検証が可能にな
る。
送信した認証データが正しいかどうかの検証が可能にな
る。
【0041】次にこの認証データが転用不可、すなわち
第三者にとっては検証できない性質を有することを説明
する。簡単にいえば、検証者が自分の秘密鍵を用いて、
つじつまの合う認証データを自由に作成できるからであ
る。したがって、第三者に認証データを渡しても第三者
にとっては、認証者が作成した本当の認証データか、検
証者自身で作成したうその認証データなのか判別がつか
ない。
第三者にとっては検証できない性質を有することを説明
する。簡単にいえば、検証者が自分の秘密鍵を用いて、
つじつまの合う認証データを自由に作成できるからであ
る。したがって、第三者に認証データを渡しても第三者
にとっては、認証者が作成した本当の認証データか、検
証者自身で作成したうその認証データなのか判別がつか
ない。
【0042】検証者がつじつまの合う認証データを作成
できるのは、認証データ作成手段において、カメレオン
コミットメントを用い、これに基づきチャレンジを作成
しているからである。カメレオンコミットメントとは、
コミットメント作成者は一意にしかある数値を選択でき
ないが、コミットメント復元者は作成者が別の数字を選
択したようにみせかけることのできる方式である。した
がって、コミットメント復元者である検証者は、u
(i)とri と自分の秘密鍵x2 から自由にbi ′の値
を操作でき、これによりチャレンジを変更することがで
きる。したがって、自分の都合のいいように認証データ
を作成できるのである。
できるのは、認証データ作成手段において、カメレオン
コミットメントを用い、これに基づきチャレンジを作成
しているからである。カメレオンコミットメントとは、
コミットメント作成者は一意にしかある数値を選択でき
ないが、コミットメント復元者は作成者が別の数字を選
択したようにみせかけることのできる方式である。した
がって、コミットメント復元者である検証者は、u
(i)とri と自分の秘密鍵x2 から自由にbi ′の値
を操作でき、これによりチャレンジを変更することがで
きる。したがって、自分の都合のいいように認証データ
を作成できるのである。
【0043】次に、図1、図5を参照しながら本発明の
第2の実施形態について述べる。このメッセージ認証シ
ステムは準備フェーズ、認証データ作成フェーズと、検
証フェーズからなる。準備フェーズは第1の実施例と同
じであるので、説明を省く。
第2の実施形態について述べる。このメッセージ認証シ
ステムは準備フェーズ、認証データ作成フェーズと、検
証フェーズからなる。準備フェーズは第1の実施例と同
じであるので、説明を省く。
【0044】図1、図5を参照しながら認証データ作成
フェーズを説明する。
フェーズを説明する。
【0045】送信者は認証すべき電子文書メッセージm
に対して、認証データを認証データ作成手段12にて以
下のように生成する。
に対して、認証データを認証データ作成手段12にて以
下のように生成する。
【0046】まず、乱数発生器14にて乱数t1 ,
t2 ,…,t20を発生させ、第一のデータ作成手段36
において v(i)=ti 2h(m) mod n によりv(1),v(2),…,v(20)を計算す
る。nのビット数をkとすると、各v(i)はkビット
の数である。以下、v(i,j)を、v(i)のj番目
のビット値とする。
t2 ,…,t20を発生させ、第一のデータ作成手段36
において v(i)=ti 2h(m) mod n によりv(1),v(2),…,v(20)を計算す
る。nのビット数をkとすると、各v(i)はkビット
の数である。以下、v(i,j)を、v(i)のj番目
のビット値とする。
【0047】次に、各v(i,j)について、乱数発生
器14にて乱数r(i,j)を発生させ、カメレオンコ
ミットメント作成手段15にて c(i,j)=yv(i,j)・ar(i,j)mod p によりc(i,j)を生成する。ここでy,a,pは検
証者の公開情報である。
器14にて乱数r(i,j)を発生させ、カメレオンコ
ミットメント作成手段15にて c(i,j)=yv(i,j)・ar(i,j)mod p によりc(i,j)を生成する。ここでy,a,pは検
証者の公開情報である。
【0048】次に、チャレンジ作成手段37において以
下のようにチャレンジfi を作成する。c(i,j)を
すべての(i,j)に関して連結したものをハッシュ化
し、その求めたハッシュ値の先頭の20ビットをそれぞ
れf1 ,f2 ,…,f20とする。
下のようにチャレンジfi を作成する。c(i,j)を
すべての(i,j)に関して連結したものをハッシュ化
し、その求めたハッシュ値の先頭の20ビットをそれぞ
れf1 ,f2 ,…,f20とする。
【0049】次に、第二データ作成手段38において
は、以下のよすにチャレンジfi に依存してデータd
(i)を作成する。
は、以下のよすにチャレンジfi に依存してデータd
(i)を作成する。
【0050】d(i)=ti ・sfimod n ここでsは送信者秘密情報保持手段11から読み出した
秘密情報である。
秘密情報である。
【0051】以上のように生成したc(i,j),d
(i),r(i,j)(i=1,2,…,20,j=
1,2,…,k)を認証データとして、送出手段13に
よりメッセージmと共にチャンネル103を経由して検
証者102に送付する。
(i),r(i,j)(i=1,2,…,20,j=
1,2,…,k)を認証データとして、送出手段13に
よりメッセージmと共にチャンネル103を経由して検
証者102に送付する。
【0052】以下、図1及び図6を参照しながら検証者
102が検証データの正当性を確認する検証フェーズを
説明する。
102が検証データの正当性を確認する検証フェーズを
説明する。
【0053】検証者は、この受信手段31で受信した認
証データをデータ検証手段22にて以下のように検証す
る。
証データをデータ検証手段22にて以下のように検証す
る。
【0054】まず、コミットメント復元手段43にて送
付されたc(i,j)とr(i,j)からv′(i)を
求める。これは、 c(i,j)/ar(i,j)mod p の結果が1に等しければv′(i,j)=0、yに等し
ければv′(i,j)=1とする。どちらの場合でもな
い場合は不正検証データとみなす。
付されたc(i,j)とr(i,j)からv′(i)を
求める。これは、 c(i,j)/ar(i,j)mod p の結果が1に等しければv′(i,j)=0、yに等し
ければv′(i,j)=1とする。どちらの場合でもな
い場合は不正検証データとみなす。
【0055】次に、チャレンジ復元手段44にて、以下
のようにチャレンジfi ′を復元する。すなわち、c
(i,j)をすべての(i,j)に関して連結したもの
をハッシュ化し、その求めたハッシュ値の先頭の20ビ
ットをそれぞれf1 ′,f2 ′,…,f20′として求め
る。
のようにチャレンジfi ′を復元する。すなわち、c
(i,j)をすべての(i,j)に関して連結したもの
をハッシュ化し、その求めたハッシュ値の先頭の20ビ
ットをそれぞれf1 ′,f2 ′,…,f20′として求め
る。
【0056】最後に以上のデータを用いてデータ確認手
段45にて、以下のような確認を行う。各iについて、 d(i)2 =v′(i)・(zh(m))fi' mod n が成り立つことを確かめる。
段45にて、以下のような確認を行う。各iについて、 d(i)2 =v′(i)・(zh(m))fi' mod n が成り立つことを確かめる。
【0057】成り立たないiが1つでもあれば、不正認
証データとみなし、すべて成り立てば正しい認証データ
と判定する。
証データとみなし、すべて成り立てば正しい認証データ
と判定する。
【0058】以上のように行えば、送信者から検証者へ
送信した認証データが正しいかどうかの検証が可能にな
る。
送信した認証データが正しいかどうかの検証が可能にな
る。
【0059】このシステムも第1の実施例と同様に、r
(i,j)の値を操作することにより、検証者サブシス
テムが不正認証データを生成できるので、第三者への転
用不可性が満たされる。
(i,j)の値を操作することにより、検証者サブシス
テムが不正認証データを生成できるので、第三者への転
用不可性が満たされる。
【0060】なお、ここで述べた以外にも、カメレオン
コミットメントの性質を認証データの正当性に反映させ
るという本提案の着眼点を実現するシステムは多く考え
られる。
コミットメントの性質を認証データの正当性に反映させ
るという本提案の着眼点を実現するシステムは多く考え
られる。
【0061】
【発明の効果】以上詳細に説明したように、本発明を用
いれば、送信者から検証者に認証データを送付するだけ
で、相互に交信しなくても第三者に転用されないメッセ
ージ認証が実現できる。
いれば、送信者から検証者に認証データを送付するだけ
で、相互に交信しなくても第三者に転用されないメッセ
ージ認証が実現できる。
【図1】発明メッセージ認証システムの一実施形態を示
す機能ブロック図。
す機能ブロック図。
【図2】メッセージ認証システムを示すブロック図。
【図3】認証データ作成手段の詳細機能ブロック図。
【図4】データ検証手段の詳細機能ブロック図。
【図5】認証データ作成手段の詳細機能ブロック図。
【図6】データ検証手段の詳細機能ブロック図。
11 送信者秘密情報保持手段 12 認証データ作成手段 13 送信手段 21 検証者秘密情報保持手段 22 データ検証手段 31 受信手段 100 公開鍵管理センタ 101 送信者サブシステム 102 検証者サブシステム
Claims (3)
- 【請求項1】送信者サブシステムがデジタル文書に対し
て認証データを生成し、特定の検証者サブシステムが前
記認証データを検証するメッセージ認証システムにおい
て、 前記送信者サブシステムは、前記検証者サブシステム固
有の公開情報と、前記送信者サブシステムの秘密情報に
依存して前記認証データを生成し、 前記検証者サブシステムは、前記認証データを前記送信
者サブシステムの公開情報に基づいて検証することを特
徴とするメッセージ認証システム。 - 【請求項2】前記送信者サブシステムが、前記検証者サ
ブシステム固有の公開情報に依存したカメレオンコミッ
トメントを作成し、当該カメレオンコミットメントを用
いて第三者に検証できない認証データを生成することを
特徴とする請求項1に記載のメッセージ認証システム。 - 【請求項3】前記送信者サブシステムが、前記カメレオ
ンコミットメントを用いて前記認証データを検証するこ
とを特徴とする請求項1に記載のメッセージ認証システ
ム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8005489A JPH09200198A (ja) | 1996-01-17 | 1996-01-17 | メッセージ認証システム |
| US08/767,633 US5963649A (en) | 1995-12-19 | 1996-12-17 | Message authorization system for authorizing message for electronic document |
| EP96120537A EP0781004B1 (en) | 1995-12-19 | 1996-12-19 | Message authorization system for authorizing message for electronic document |
| DE69637767T DE69637767D1 (de) | 1995-12-19 | 1996-12-19 | Nachrichtenberechtigungssystem zur Berechtigung einer Nachricht für ein elektronisches Dokument |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8005489A JPH09200198A (ja) | 1996-01-17 | 1996-01-17 | メッセージ認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09200198A true JPH09200198A (ja) | 1997-07-31 |
Family
ID=11612669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8005489A Pending JPH09200198A (ja) | 1995-12-19 | 1996-01-17 | メッセージ認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09200198A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002502186A (ja) * | 1998-01-30 | 2002-01-22 | サーティコム コーポレーション | 1方向認証通信システム |
| JP2003018149A (ja) * | 2001-06-27 | 2003-01-17 | Innovation & Initiative:Kk | 情報公開方法 |
| JP2008544405A (ja) * | 2005-06-23 | 2008-12-04 | 昌美 吉岡 | 通信ネットワーク上でのクライアントとサーバ間の安全なデータ通信 |
| US8356182B2 (en) | 2006-09-01 | 2013-01-15 | Nec Corporation | Electronic signature system and electronic signature verifying method |
| JP2021064891A (ja) * | 2019-10-16 | 2021-04-22 | 株式会社日立製作所 | コンソーシアムブロックチェーンシステム、計算機、トランザクション承認方法 |
-
1996
- 1996-01-17 JP JP8005489A patent/JPH09200198A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002502186A (ja) * | 1998-01-30 | 2002-01-22 | サーティコム コーポレーション | 1方向認証通信システム |
| JP2003018149A (ja) * | 2001-06-27 | 2003-01-17 | Innovation & Initiative:Kk | 情報公開方法 |
| JP2008544405A (ja) * | 2005-06-23 | 2008-12-04 | 昌美 吉岡 | 通信ネットワーク上でのクライアントとサーバ間の安全なデータ通信 |
| US8356182B2 (en) | 2006-09-01 | 2013-01-15 | Nec Corporation | Electronic signature system and electronic signature verifying method |
| JP2021064891A (ja) * | 2019-10-16 | 2021-04-22 | 株式会社日立製作所 | コンソーシアムブロックチェーンシステム、計算機、トランザクション承認方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967239B2 (en) | Method and apparatus for verifiable generation of public keys | |
| US8583928B2 (en) | Portable security transaction protocol | |
| AU705406B2 (en) | Secret-key certificates | |
| US4881264A (en) | Digital signature system and method based on a conventional encryption function | |
| US6108783A (en) | Chameleon hashing and signatures | |
| Boyd et al. | Off-line fair payment protocols using convertible signatures | |
| US6119227A (en) | Methods and apparatus for authenticating an originator of a message | |
| JP3522447B2 (ja) | 認証交換方法および付加型公衆電子署名方法 | |
| JP2002534701A (ja) | 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム | |
| US20080141035A1 (en) | Limited Blind Signature System | |
| Gao et al. | Quantum election protocol based on quantum public key cryptosystem | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| JPH09200198A (ja) | メッセージ認証システム | |
| JP3123916B2 (ja) | デジタル署名システム | |
| KR100349418B1 (ko) | 은닉서명의 남용 방지방법 | |
| JP3331329B2 (ja) | 公開検証可依頼復元ブラインド署名方法、その装置及びプログラム記録媒体 | |
| JPH04213243A (ja) | 利用者認証方法 | |
| JP2000231330A (ja) | ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 | |
| Dall'Olio et al. | Voting with Designated Verifier Signature-Like Protocol. | |
| JP2001147983A (ja) | 匿名電子投票装置および匿名電子投票処理方法および当該方法を記述したプログラムを記録した記録媒体 | |
| CN117253312A (zh) | 一种可验证选票有效性的电子投票系统 | |
| JPH07273757A (ja) | 鍵管理センタへのユーザ登録方法 | |
| Yao et al. | A mobile agent system providing offer privacy | |
| Bruyninckx et al. | Arbitrated Secure Authentication realized by using quantum principles | |
| Pfitzmann | History of digital signature schemes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20000829 |