JPH09204142A - 範囲認証方法 - Google Patents
範囲認証方法Info
- Publication number
- JPH09204142A JPH09204142A JP8012214A JP1221496A JPH09204142A JP H09204142 A JPH09204142 A JP H09204142A JP 8012214 A JP8012214 A JP 8012214A JP 1221496 A JP1221496 A JP 1221496A JP H09204142 A JPH09204142 A JP H09204142A
- Authority
- JP
- Japan
- Prior art keywords
- verifier
- prover
- range
- sent
- receives
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 演算回数を少なくし、高速かつ通信量を削減
する。 【解決手段】 p,g,G,qを公開し、かつ素数pを
法とする乗法群のg及びGの位数をqとし、証明者はn
ビットの秘密情報sからI=gs mod pを生成して公開
する。乱数t1 ∈Z<2n+m >,r1 ∈Z<q>,r2
∈Z<q>を生成し、t2=t1−2n+m ,T1 =gt1
Gr1mod p,T2 =gt2Gr2mod pを演算してT1 ,T
2 を検証者へ送る。z<q>は0以上q−1以下の整数
の集合、mに検証者の送るメッセージのサイズである。
検証者は乱数eを生成して証明者へ送り、i=1,2に
対し、yi=ti+seを計算し、y1,y2中のyi
∈Z<2n+m >を満すyiとriを検証者へ送る。検証
者はyi∈Z<2n+m >,g yiGri≡Ti Ie (mod
p)を満すかを検証し、合格すれば、高い確率でsがn
+d(dはマージン)以下であると認定する。
する。 【解決手段】 p,g,G,qを公開し、かつ素数pを
法とする乗法群のg及びGの位数をqとし、証明者はn
ビットの秘密情報sからI=gs mod pを生成して公開
する。乱数t1 ∈Z<2n+m >,r1 ∈Z<q>,r2
∈Z<q>を生成し、t2=t1−2n+m ,T1 =gt1
Gr1mod p,T2 =gt2Gr2mod pを演算してT1 ,T
2 を検証者へ送る。z<q>は0以上q−1以下の整数
の集合、mに検証者の送るメッセージのサイズである。
検証者は乱数eを生成して証明者へ送り、i=1,2に
対し、yi=ti+seを計算し、y1,y2中のyi
∈Z<2n+m >を満すyiとriを検証者へ送る。検証
者はyi∈Z<2n+m >,g yiGri≡Ti Ie (mod
p)を満すかを検証し、合格すれば、高い確率でsがn
+d(dはマージン)以下であると認定する。
Description
【0001】
【発明の属する技術分野】この発明は、電気通信システ
ムで秘密・署名交換や電子現金などのプロトコルにおい
て使われ、秘密情報の登録された範囲を認証する範囲認
証方法に関する。
ムで秘密・署名交換や電子現金などのプロトコルにおい
て使われ、秘密情報の登録された範囲を認証する範囲認
証方法に関する。
【0002】
【従来の技術】従来の範囲認証方法は、Brickellら
(“Gradual and Verifiable Release ofa Secret, ”
Proc. of Crypto'87, LNCS, Springer Verlag, 1988)
及びDamgard (“Practical and Provably Secure Rele
ase of a Secret and Exchange ofSignatures, ”Proc.
of Eurocrypt'93, LNCS, Springer Verlag, 1994)に
よって提案されている。これら論文において、範囲認証
方法は、秘密・署名交換に用いられている。一方、岡本
(“An Efficient Divisible Cash Scheme, ”Proc.of
Crypto'95, LNCS, Springer Verlag, 1995 )は、範囲
認証方法を電子現金方式に適用している。
(“Gradual and Verifiable Release ofa Secret, ”
Proc. of Crypto'87, LNCS, Springer Verlag, 1988)
及びDamgard (“Practical and Provably Secure Rele
ase of a Secret and Exchange ofSignatures, ”Proc.
of Eurocrypt'93, LNCS, Springer Verlag, 1994)に
よって提案されている。これら論文において、範囲認証
方法は、秘密・署名交換に用いられている。一方、岡本
(“An Efficient Divisible Cash Scheme, ”Proc.of
Crypto'95, LNCS, Springer Verlag, 1995 )は、範囲
認証方法を電子現金方式に適用している。
【0003】
【この発明が解決しようとする課題】上記で示した従来
提案された範囲認証方法は、いずれも、基本的な3回の
やりとりのプロトコルにおいて、検証者が証明者に1ビ
ット送るだけであった。そのため、安全性を高めるた
め、基本プロトコルを多くの回数(例えば、40回)繰
り返す必要があり、通信量、計算量が膨大になる。つま
り基本プロトコルを例えば40回も繰り返すことにより
証明者が悪さをしてもばれない確率が1/240と小さく
なり、悪さをすれば直にわかるようにしたものである。
提案された範囲認証方法は、いずれも、基本的な3回の
やりとりのプロトコルにおいて、検証者が証明者に1ビ
ット送るだけであった。そのため、安全性を高めるた
め、基本プロトコルを多くの回数(例えば、40回)繰
り返す必要があり、通信量、計算量が膨大になる。つま
り基本プロトコルを例えば40回も繰り返すことにより
証明者が悪さをしてもばれない確率が1/240と小さく
なり、悪さをすれば直にわかるようにしたものである。
【0004】この発明の目的は、従来の方法に比べ、通
信量、計算量の少ない効率的な範囲認証方法を実現する
ことにある。
信量、計算量の少ない効率的な範囲認証方法を実現する
ことにある。
【0005】
【課題を解決するための手段】請求項1の発明によれば
証明者はパラメータnで指定される範囲にある秘密情報
sより剰余演算fを用いてI=f(s)を生成し、その
Iを公開(登録)し、証明者はn及びm(mは検証者の
送るメッセージのサイズ)で関係づけられた2つの乱数
t1,t2及び、更に2つの乱数r1,r2から剰余演
算gを用いて、T1 =g(t1,r1),T2 =g(t
2,r2)を生成し、それらT1 ,T2を検証者に送
り、検証者はT1 ,T2 を受け取ると、mビットの乱数
eを証明者に送り、証明者はeを受け取ると、演算hを
用いてy1=h1(s,e,t1),h2=(s,e,
t2)を演算し、その演算結果中のn及びmによって定
まる一定の範囲に入る方を選択し(それをyi,iは1
又は2とし)、そのyi,riを検証者へ送り、検証者
は、yi,riを受け取ると、yiがn及びmによって
定められた一定の範囲に入っていることを確認した後、
検証式vを用いて、v(yi,ri,Ti,I)=0を
満足することを確認し、満足していれば、sがほぼnの
範囲に入っていることを認証する。
証明者はパラメータnで指定される範囲にある秘密情報
sより剰余演算fを用いてI=f(s)を生成し、その
Iを公開(登録)し、証明者はn及びm(mは検証者の
送るメッセージのサイズ)で関係づけられた2つの乱数
t1,t2及び、更に2つの乱数r1,r2から剰余演
算gを用いて、T1 =g(t1,r1),T2 =g(t
2,r2)を生成し、それらT1 ,T2を検証者に送
り、検証者はT1 ,T2 を受け取ると、mビットの乱数
eを証明者に送り、証明者はeを受け取ると、演算hを
用いてy1=h1(s,e,t1),h2=(s,e,
t2)を演算し、その演算結果中のn及びmによって定
まる一定の範囲に入る方を選択し(それをyi,iは1
又は2とし)、そのyi,riを検証者へ送り、検証者
は、yi,riを受け取ると、yiがn及びmによって
定められた一定の範囲に入っていることを確認した後、
検証式vを用いて、v(yi,ri,Ti,I)=0を
満足することを確認し、満足していれば、sがほぼnの
範囲に入っていることを認証する。
【0006】請求項2の発明によれば証明者はパラメー
タnで指定される範囲にある秘密情報sより剰余演算f
を用いてI=f(s)を生成し、そのIを公開(登録)
し、証明者はn及びm(mは検証者の送るメッセージの
サイズ)で関係づけられた2つの乱数t1,t2及び、
更に2つの乱数r1,r2から剰余演算gを用いて、T
1 =g(t1,r1),T2 =g(t2,r2)を生成
し、更に乱数uから剰余演算g′を用いてJを生成し、
それらT1 ,T2 ,Jを検証者に送り、検証者はT1 ,
T2 ,Jを受け取ると、mビットの乱数eと別の乱数w
を証明者に送り、証明者はe,wを受け取ると、演算h
を用いてy1=h1(s,e,t1),h2=(s,
e,t2)を演算し、その演算結果中のn及びmによっ
て定まる一定の範囲に入る方を選択し(それをyi,i
は1又は2とし)、更に剰余演算h′を用いてzi=
h′(u,w,ri)を計算し、これらyi,ri,z
iを検証者へ送り、検証者は、yi,ri,ziを受け
取ると、yiがn及びmによって定められた一定の範囲
に入っていることを確認した後、検証式vを用いて、v
(yi,zi,Ti,I,J)=0を満足することを確
認し、満足していれば、sがほぼnの範囲に入っている
ことを認証する。
タnで指定される範囲にある秘密情報sより剰余演算f
を用いてI=f(s)を生成し、そのIを公開(登録)
し、証明者はn及びm(mは検証者の送るメッセージの
サイズ)で関係づけられた2つの乱数t1,t2及び、
更に2つの乱数r1,r2から剰余演算gを用いて、T
1 =g(t1,r1),T2 =g(t2,r2)を生成
し、更に乱数uから剰余演算g′を用いてJを生成し、
それらT1 ,T2 ,Jを検証者に送り、検証者はT1 ,
T2 ,Jを受け取ると、mビットの乱数eと別の乱数w
を証明者に送り、証明者はe,wを受け取ると、演算h
を用いてy1=h1(s,e,t1),h2=(s,
e,t2)を演算し、その演算結果中のn及びmによっ
て定まる一定の範囲に入る方を選択し(それをyi,i
は1又は2とし)、更に剰余演算h′を用いてzi=
h′(u,w,ri)を計算し、これらyi,ri,z
iを検証者へ送り、検証者は、yi,ri,ziを受け
取ると、yiがn及びmによって定められた一定の範囲
に入っていることを確認した後、検証式vを用いて、v
(yi,zi,Ti,I,J)=0を満足することを確
認し、満足していれば、sがほぼnの範囲に入っている
ことを認証する。
【0007】請求項3の発明によれば証明者はパラメー
タnで指定される範囲にある秘密情報s,uより剰余演
算fを用いてI=f(s,u)を生成し、そのIを公開
(登録)し、証明者はn及びm(mは検証者の送るメッ
セージのサイズ)で関係づけられた2つの乱数t1,t
2及び、更に2つの乱数r1,r2から剰余演算gを用
いて、T1 =g(t1,r1),T2 =g(t2,r
2)を生成し、それらT 1 ,T2 を検証者に送り、検証
者はT1 ,T2 を受け取ると、mビットの乱数eを証明
者に送り、証明者はeを受け取ると、演算hを用いてy
1=h1(s,e,t1),h2=(s,e,t2)を
演算し、その演算結果中のn及びmによって定まる一定
の範囲に入る方を選択し(それをyi,iは1又は2と
し)、更に剰余演算h′を用いてzi=h′(u,e,
ri)を計算し、これらyi,ziを検証者へ送り、検
証者は、yi,ziを受け取ると、yiがn及びmによ
って定められた一定の範囲に入っていることを確認した
後、検証式vを用いて、v(yi,zi,Ti,I)=
0を満足することを確認し、満足していれば、sがほぼ
nの範囲に入っていることを認証する。
タnで指定される範囲にある秘密情報s,uより剰余演
算fを用いてI=f(s,u)を生成し、そのIを公開
(登録)し、証明者はn及びm(mは検証者の送るメッ
セージのサイズ)で関係づけられた2つの乱数t1,t
2及び、更に2つの乱数r1,r2から剰余演算gを用
いて、T1 =g(t1,r1),T2 =g(t2,r
2)を生成し、それらT 1 ,T2 を検証者に送り、検証
者はT1 ,T2 を受け取ると、mビットの乱数eを証明
者に送り、証明者はeを受け取ると、演算hを用いてy
1=h1(s,e,t1),h2=(s,e,t2)を
演算し、その演算結果中のn及びmによって定まる一定
の範囲に入る方を選択し(それをyi,iは1又は2と
し)、更に剰余演算h′を用いてzi=h′(u,e,
ri)を計算し、これらyi,ziを検証者へ送り、検
証者は、yi,ziを受け取ると、yiがn及びmによ
って定められた一定の範囲に入っていることを確認した
後、検証式vを用いて、v(yi,zi,Ti,I)=
0を満足することを確認し、満足していれば、sがほぼ
nの範囲に入っていることを認証する。
【0008】このようにこの発明ではT1 ,T2 又はT
1 ,T2 ,Jと、e又はe,wと、yi,ri又はy
i,ziとの基本的な3回のやりとりにおいて、検証者
は証明者にmビット(例えば、m=50)送ることが可
能となり、繰り返し実行しなくても証明者の悪さがばれ
ない確率に1/2m 、例えば1/250程度であり十分な
安全性を保証できるため、基本的なプロトコルを繰り返
し実行する必要が無くなった。このことにより、処理
量、通信量を圧倒的に小さくすることが可能になった。
1 ,T2 ,Jと、e又はe,wと、yi,ri又はy
i,ziとの基本的な3回のやりとりにおいて、検証者
は証明者にmビット(例えば、m=50)送ることが可
能となり、繰り返し実行しなくても証明者の悪さがばれ
ない確率に1/2m 、例えば1/250程度であり十分な
安全性を保証できるため、基本的なプロトコルを繰り返
し実行する必要が無くなった。このことにより、処理
量、通信量を圧倒的に小さくすることが可能になった。
【0009】
【発明の実施の形態】図1に示すように証明者100と
検証者200とは例えば通信回線等を介して接続されて
いる。請求項1の発明の実施例における証明者、検証者
間の処理手順を図1B,図2を用いて説明する。
検証者200とは例えば通信回線等を介して接続されて
いる。請求項1の発明の実施例における証明者、検証者
間の処理手順を図1B,図2を用いて説明する。
【0010】まず、システムであらかじめ情報、p,
g,G,qが公開され、pを素数とし、pを法とする乗
法群におけるg及びGの位数をqとする。証明者100
は、nビットの秘密情報sからIを生成する。 I=gs mod p ……(1) この剰余演算の結果Iを公開(登録)する。(上記の剰
余演算等については、池野、小山著「現代暗号理論」電
子情報通信学会、等を参照。なお、以下でZ<q>は、
0以上q−1以下の整数の集合を意味する。)1.証明
者100は、乱数生成器101を用いて、乱数t1∈Z
<2n+m >,r1∈Z<q>,r2∈Z<q>を生成し
て、減算器102、剰余演算器103を用いて、以下を
計算する。mは検証者200が送るメッセージの長さで
ある。
g,G,qが公開され、pを素数とし、pを法とする乗
法群におけるg及びGの位数をqとする。証明者100
は、nビットの秘密情報sからIを生成する。 I=gs mod p ……(1) この剰余演算の結果Iを公開(登録)する。(上記の剰
余演算等については、池野、小山著「現代暗号理論」電
子情報通信学会、等を参照。なお、以下でZ<q>は、
0以上q−1以下の整数の集合を意味する。)1.証明
者100は、乱数生成器101を用いて、乱数t1∈Z
<2n+m >,r1∈Z<q>,r2∈Z<q>を生成し
て、減算器102、剰余演算器103を用いて、以下を
計算する。mは検証者200が送るメッセージの長さで
ある。
【0011】 t2=t1−2n+m ……(2) T1 =gt1Gr1mod p ……(3) T2 =gt2Gr2mod p ……(4) 証明者100は、T1 ,T2 を順番を決めずに検証者2
00に送る。ここで送る順を固定するとそれだけ秘密が
破られるおそれがある。2.検証者200は、T1 ,T
2 を受けとると、乱数生成器201を用いて、乱数e∈
Z<2m >を生成して、eを証明者100に送る。3.
証明者100は、eを受け取ると、i=1,2に対し
て、乗算器104、加算器105を用いて、 yi=ti+se ……(5) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(6) を満足するものを検証者200に送る。また、同時にr
iも送る。この場合(6)式を満すのはy1,y2の一
方だけである。4.検証者200は、yi,riを受け
取ると、剰余演算器203、比較器204を用いて、以
下の検証式を満足するかどうか検証する。
00に送る。ここで送る順を固定するとそれだけ秘密が
破られるおそれがある。2.検証者200は、T1 ,T
2 を受けとると、乱数生成器201を用いて、乱数e∈
Z<2m >を生成して、eを証明者100に送る。3.
証明者100は、eを受け取ると、i=1,2に対し
て、乗算器104、加算器105を用いて、 yi=ti+se ……(5) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(6) を満足するものを検証者200に送る。また、同時にr
iも送る。この場合(6)式を満すのはy1,y2の一
方だけである。4.検証者200は、yi,riを受け
取ると、剰余演算器203、比較器204を用いて、以
下の検証式を満足するかどうか検証する。
【0012】 yi∈Z<2n+m > ……(7) gyiGri≡Ti Ie (mod p) ……(8) 検証者は、検証に合格すれば、高い確率で、sがn+d
bit 以下であると認定する。(dは、適当なマージン)
(7)式は、証明者100が悪さをしていないことの確
認である。
bit 以下であると認定する。(dは、適当なマージン)
(7)式は、証明者100が悪さをしていないことの確
認である。
【0013】次に請求項2の発明の実施例における証明
者、検証者間の処理手順を図3,図4を用いて説明す
る。まず、システムであらかじめ以下の情報、p,g,
G,qが公開されているものとする。pを素数とし、p
を法とする乗法群におけるg及びGの位数をqとする。
者、検証者間の処理手順を図3,図4を用いて説明す
る。まず、システムであらかじめ以下の情報、p,g,
G,qが公開されているものとする。pを素数とし、p
を法とする乗法群におけるg及びGの位数をqとする。
【0014】証明者100は、nビットの秘密情報sか
ら次式によりIを生成する。 I=gs mod p ……(9) このIを公開(登録)する。1.証明者100は、乱数
生成器101を用いて、乱数t1∈Z<2n+m >,r1
∈Z<q>,r2∈Z<q>,u∈Z<q>を生成し
て、減算器102、剰余演算器103を用いて、以下を
計算する。
ら次式によりIを生成する。 I=gs mod p ……(9) このIを公開(登録)する。1.証明者100は、乱数
生成器101を用いて、乱数t1∈Z<2n+m >,r1
∈Z<q>,r2∈Z<q>,u∈Z<q>を生成し
て、減算器102、剰余演算器103を用いて、以下を
計算する。
【0015】 t2=t1−2n+m ……(10) T1 =gt1Gr1mod p ……(11) T2 =gt2Gr2mod p ……(12) J=Gu mod p ……(13) 証明者100は、T1 ,T2 を順番を決めずに、検証者
200に送る。また、同時にJも送る。2.検証者20
0は、T1 ,T2 ,Jを受け取ると、乱数生成器201
を用いて、乱数e∈Z<2m >,w∈Z<q>を生成し
てe,wを証明者100に送る。3.証明者100は、
e,wを受け取ると、i=1,2に対して、乗算器10
4、加算器105を用いて、 yi=ti+se ……(14) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(15) を満足するものを検証者200に送る。さらに、剰余演
算器103を用いて zi=ri+uw modq ……(16) を計算し、ziも送る。4.検証者200は、yi,z
iを受け取ると、剰余演算器203、比較器204を用
いて、以下の検証式を満足するかどうか検証する。
200に送る。また、同時にJも送る。2.検証者20
0は、T1 ,T2 ,Jを受け取ると、乱数生成器201
を用いて、乱数e∈Z<2m >,w∈Z<q>を生成し
てe,wを証明者100に送る。3.証明者100は、
e,wを受け取ると、i=1,2に対して、乗算器10
4、加算器105を用いて、 yi=ti+se ……(14) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(15) を満足するものを検証者200に送る。さらに、剰余演
算器103を用いて zi=ri+uw modq ……(16) を計算し、ziも送る。4.検証者200は、yi,z
iを受け取ると、剰余演算器203、比較器204を用
いて、以下の検証式を満足するかどうか検証する。
【0016】 yi∈Z<2n+m > ……(17) gyiGzi≡Ti Ie Jw (mod p) ……(18) 検証者は、検証に合格すれば、高い確率で、sがn+d
bit 以下であると認定する(dは、適当なマージン)。
次に請求項3の発明の実施例における証明者、検証者間
の処理手順を図5,図6を用いて説明する。
bit 以下であると認定する(dは、適当なマージン)。
次に請求項3の発明の実施例における証明者、検証者間
の処理手順を図5,図6を用いて説明する。
【0017】まず、システムであらかじめ以下の情報、
p,g,G,qが公開されているものとする。pを素数
とし、pを法とする乗法群におけるg及びGの位数をq
とする。証明者100は、nビットの秘密情報s及び乱
数u∈Z<q>から I=gs Gu mod p ……(19) を生成し、このIを公開(登録)する。1.証明者10
0は、乱数生成器101を用いて、乱数t1∈Z<2
n+m >,r1∈Z<q>,r2∈Z<q>を生成して、
減算器102、剰余演算器103を用いて、以下を計算
する。
p,g,G,qが公開されているものとする。pを素数
とし、pを法とする乗法群におけるg及びGの位数をq
とする。証明者100は、nビットの秘密情報s及び乱
数u∈Z<q>から I=gs Gu mod p ……(19) を生成し、このIを公開(登録)する。1.証明者10
0は、乱数生成器101を用いて、乱数t1∈Z<2
n+m >,r1∈Z<q>,r2∈Z<q>を生成して、
減算器102、剰余演算器103を用いて、以下を計算
する。
【0018】 t2=t1−2n+m ……(20) T1 =gt1Gr1mod p ……(21) T2 =gt2Gr2mod p ……(22) 証明者100は、T1 ,T2 を順番を決めずに、検証者
200に送る。2.検証者200は、T1 ,T2 を受け
取ると、乱数生成器201を用いて、乱数e∈Z<2m
>を生成して、eを証明者100に送る。3.証明者1
00は、eを受け取ると、i=1,2に対して、乗算器
104、加算器105を用いて、 yi=ti+se ……(23) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(24) を満足するものを検証者200に送る。さらに、剰余演
算器103を用いて zi=ri+ue modq ……(25) を計算し、ziも送る。4.検証者200は、yi,z
iを受け取ると、剰余演算器203、比較器204を用
いて、以下の検証式を満足するかどうか検証する。
200に送る。2.検証者200は、T1 ,T2 を受け
取ると、乱数生成器201を用いて、乱数e∈Z<2m
>を生成して、eを証明者100に送る。3.証明者1
00は、eを受け取ると、i=1,2に対して、乗算器
104、加算器105を用いて、 yi=ti+se ……(23) を計算し、y1,y2の中、比較器106を用いて、 yi∈Z<2n+m > ……(24) を満足するものを検証者200に送る。さらに、剰余演
算器103を用いて zi=ri+ue modq ……(25) を計算し、ziも送る。4.検証者200は、yi,z
iを受け取ると、剰余演算器203、比較器204を用
いて、以下の検証式を満足するかどうか検証する。
【0019】 yi∈Z<2n+m > ……(26) gyiGzi≡Ti Ie (mod p) ……(27) 検証者200は、検証に合格すれば、高い確率で、sが
n+dbit 以下であると認定する(dは、適当なマージ
ン)。
n+dbit 以下であると認定する(dは、適当なマージ
ン)。
【0020】
【発明の効果】例えば、従来のDamgardらの方法
では、基本的な3回のやりとりにおいて証明者、検証者
のそれぞれの計算量は、べき乗剰余演算を少なくとも2
回行う必要があるが、1ビットづつ送るため、証明者が
悪さをしてもそれがばれない確率が十分小さく、つまり
悪さをすれば直ぐわかるように3回の基本的やりとりを
多数繰り返すが、その繰り返し回数を40回とした場
合、べき乗剰余演算を少なくとも40回行う必要があ
る。
では、基本的な3回のやりとりにおいて証明者、検証者
のそれぞれの計算量は、べき乗剰余演算を少なくとも2
回行う必要があるが、1ビットづつ送るため、証明者が
悪さをしてもそれがばれない確率が十分小さく、つまり
悪さをすれば直ぐわかるように3回の基本的やりとりを
多数繰り返すが、その繰り返し回数を40回とした場
合、べき乗剰余演算を少なくとも40回行う必要があ
る。
【0021】この発明の方法では(いずれの請求項の発
明においても)、証明者、検証者のいずれでも、mを例
えば50にすれば証明者が悪さをするとばれない確率は
1/250程度と十分小さくなり、基本的やりとりを繰り
返す必要がないから、べき乗剰余演算の回数は2回程度
である。従って、従来の方式に比べ、数10倍高速で、
かつ同時に通信量が数10分の1になる。
明においても)、証明者、検証者のいずれでも、mを例
えば50にすれば証明者が悪さをするとばれない確率は
1/250程度と十分小さくなり、基本的やりとりを繰り
返す必要がないから、べき乗剰余演算の回数は2回程度
である。従って、従来の方式に比べ、数10倍高速で、
かつ同時に通信量が数10分の1になる。
【図1】Aはこの発明の原理構成における証明者と検証
者との接続を示す図、Bは請求項1の発明の実施例の処
理手順を示す図である。
者との接続を示す図、Bは請求項1の発明の実施例の処
理手順を示す図である。
【図2】請求項1の発明の実施例の構成図。
【図3】請求項2の発明の実施例の処理手順を示す図。
【図4】請求項2の発明の実施例の構成を示す図。
【図5】請求項3の発明の実施例の処理手順を示す図。
【図6】請求項3の発明の実施例の構成を示す図。
Claims (3)
- 【請求項1】 秘密情報を保持する証明者は、パラメー
タnで指定される範囲にある秘密情報sより剰余演算f
を用いてI=f(s)を生成し、そのIを公開(登録)
し、 上記証明者は、n及びm(mは検証者の送るメッセージ
のサイズ)で関係づけられた2つの乱数t1,t2及び
さらに2つの乱数r1,r2から剰余演算gを用いて、
T1 =g(t1,r1),T2 =g(t2,r2)を生
成し、それを上記検証者に送り、 上記検証者は、上記T1 ,T2 を受信すると、mビット
の乱数eを上記証明者に送り、 上記証明者は、上記eを受信すると演算hを用いて、y
1=h(s,e,t1),y2=h(s,e,t2)を
演算し、その演算結果中のn及びmによって定まる一定
の範囲に入る方を選び(それをyi,i=1又は2とす
る)、yi,riを上記検証者に送り、 上記検証者は、そのyi,riを受信すると、上記yi
が上記n及びmによって定められた一定の範囲に入って
いることを確認した後、検証式vを用いて、v(yi,
ri,Ti,I)=0を満足することを確認し、満足し
ていれば、上記sが上記ほぼnの範囲に入っていると認
証することを特徴とする範囲認証方法。 - 【請求項2】 秘密情報を保持する証明者は、パラメー
タnで指定される範囲にある秘密情報sより剰余演算f
を用いてI=f(s)を生成し、そのIを公開(登録)
し、 上記証明者は、n及びm(mは検証者の送るメッセージ
のサイズ)で関係づけられた2つの乱数t1,t2及び
さらに2つの乱数r1,r2から剰余演算gを用いて、
T1 =g(t1,r1),T2 =g(t2,r2)を生
成し、さらに乱数uから剰余演算g′を用いてJを生成
し、上記T1 ,T2 ,Jを上記検証者に送り、 上記検証者は、T1 ,T2 ,Jを受信してmビットの乱
数eと別の乱数wを上記証明者に送り、 上記証明者は、上記e,wを受信すると、演算hを用い
て、y1=h(s,e,t1),y2=h(s,e,t
2)を演算し、その演算結果中の、n及びmによって定
まる一定の範囲に入る方を選び(それをyi,i=1又
は2とする)、さらに剰余演算h′を用いてzi=h′
(u,w,ri)を計算し、yi,ziを上記検証者に
送り、 上記検証者は、上記yi,ziを受信すると、yiが上
記n及びmによって定められた一定の範囲に入っている
ことを確認した後、検証式vを用いて、v(yi,z
i,Ti,I,J)=0を満足することを確認し、満足
していれば上記sがほぼ上記nの範囲に入っていると認
証することを特徴とする範囲認証方法。 - 【請求項3】 秘密情報を保持する証明者は、パラメー
タnで指定される範囲にある秘密情報s,uより剰余演
算fを用いてI=f(s,u)を生成し、Iを公開(登
録)し、 上記証明者は、n及びm(mは検証者の送るメッセージ
のサイズ)で関係づけられた2つの乱数t1,t2及び
さらに2つの乱数r1,r2から剰余演算gを用いて、
T1 =g(t1,r1),T2 =g(t2,r2)を生
成し、これらT 1 ,T2 を上記検証者に送り、 上記検証者は、上記T1 ,T2 を受けると、mビットの
乱数eを上記証明者に送り、 上記証明者は、上記eを受信すると演算hを用いて、y
1=h(s,e,t1),y2=h(s,e,t2)を
演算し、これら演算結果中の上記n及びmによって定ま
る一定の範囲に入る方を選び(それをyi,i=1又は
2とする)、さらに剰余演算h′を用いてzi=h′
(u,e,ri)を計算し、これらyi,ziを上記検
証者に送り、 上記検証者は、上記yi,ziを受信すると、yiが上
記n及びmによって定められた一定の範囲に入っている
ことを確認した後、検証式vを用いて、v(yi,z
i,Ti,I)=0を満足することを確認し、満足して
いれば上記s,uがほぼ上記nの範囲に入っていると認
証することを特徴とする範囲認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01221496A JP3285190B2 (ja) | 1996-01-26 | 1996-01-26 | 範囲認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01221496A JP3285190B2 (ja) | 1996-01-26 | 1996-01-26 | 範囲認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH09204142A true JPH09204142A (ja) | 1997-08-05 |
| JP3285190B2 JP3285190B2 (ja) | 2002-05-27 |
Family
ID=11799140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP01221496A Expired - Fee Related JP3285190B2 (ja) | 1996-01-26 | 1996-01-26 | 範囲認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3285190B2 (ja) |
-
1996
- 1996-01-26 JP JP01221496A patent/JP3285190B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP3285190B2 (ja) | 2002-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7747865B2 (en) | Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols | |
| Boyd et al. | Off-line fair payment protocols using convertible signatures | |
| JP4545831B2 (ja) | データカード検証装置 | |
| US9160530B2 (en) | Method and apparatus for verifiable generation of public keys | |
| US8433897B2 (en) | Group signature system, apparatus and storage medium | |
| EP3079300B1 (en) | Self-signed implicit certificates | |
| US8116451B2 (en) | Key validation scheme | |
| JP5205398B2 (ja) | 鍵認証方式 | |
| KR0144086B1 (ko) | 인증교환과 전자서명 방법 | |
| Saeednia | A note on Girault's self-certified model | |
| WO2006070682A1 (ja) | 制限付ブラインド署名システム | |
| CN115834056A (zh) | 一种无证书有序聚合签名方法、系统及相关装置 | |
| Goyal | How to re-initialize a hash chain | |
| KR101802826B1 (ko) | Id 기반 인증 및 키 교환 방법 | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| JP4679163B2 (ja) | デジタル署名情報生成装置、デジタル署名情報生成方法及びプログラム | |
| JPH11174957A (ja) | 認証プロトコル | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| JPH09204142A (ja) | 範囲認証方法 | |
| JP3484069B2 (ja) | 秘密情報認証方法及び合同多項式認証方法並びに当該認証プログラムを記録した記録媒体 | |
| Monnerat et al. | Efficient Deniable Authentication for Signatures: Application to Machine-Readable Travel Document | |
| Goyal | More efficient server assisted one time signatures | |
| JP3435472B2 (ja) | 秘密保持認証方法及びシステム | |
| US20040205337A1 (en) | Digital message signature and encryption | |
| Pavlovski et al. | Attacks based on small factors in various group structures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090308 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090308 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100308 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110308 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |