JPH11202766A - ディジタル署名方式、それを用いた情報通信システム及び通信装置 - Google Patents

ディジタル署名方式、それを用いた情報通信システム及び通信装置

Info

Publication number
JPH11202766A
JPH11202766A JP10006629A JP662998A JPH11202766A JP H11202766 A JPH11202766 A JP H11202766A JP 10006629 A JP10006629 A JP 10006629A JP 662998 A JP662998 A JP 662998A JP H11202766 A JPH11202766 A JP H11202766A
Authority
JP
Japan
Prior art keywords
information
user
public
new
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP10006629A
Other languages
English (en)
Other versions
JP3862397B2 (ja
Inventor
Kazuomi Oishi
和臣 大石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP00662998A priority Critical patent/JP3862397B2/ja
Priority to US09/229,440 priority patent/US6298153B1/en
Publication of JPH11202766A publication Critical patent/JPH11202766A/ja
Application granted granted Critical
Publication of JP3862397B2 publication Critical patent/JP3862397B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 如何なる場合でも匿名性を確実に保つことが
できるディジタル署名方式を用いた情報通信システムを
提供する。 【解決手段】 手段20は、共通に使用する公開パラメ
ータPVの代わりに、ユーザの公開情報vj を用い、デ
ィジタル情報mに対するディジタル署名r,sを生成す
る。手段30は、ディジタル署名r,sを秘密情報sj
を用いて変換することで別の値を求め、ディジタル情報
m、ディジタル署名r,s、公開パラメータPV、及び
公開鍵vQ から得られる値を公開情報と見なし、且つ、
ディジタル署名r,sを変換して得られた別の値をその
ユーザの秘密情報と見なすことで、離散対数問題に安全
性の根拠を置く公開鍵暗号を利用する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、公開鍵暗号を用い
たディジタル署名方式、それを用いた情報通信システム
及び通信装置に関するものである。
【0002】
【従来の技術】例えば、コンピュータと通信ネットワー
クの発展と広範な普及に伴い、従来は通信ネットワーク
上で実現できなかった社会的活動等、多様な機能が実現
できるようになった。しかしながらその反面、誰が、い
つ、どこで、何を行ったのかを容易に把握される場合が
あった。そこで、これを防ぐために、匿名で通信処理を
行うことで、プライバシーを保護し、且つ通信ネットワ
ーク上で多様な機能を実現する方法が提案されている。
【0003】このような方法としては、例えば、公開鍵
暗号を用いた方法があり、これにより、送信者は、通信
内容を意図する受信者のみに送信でき、しかも受信者
は、受信した通信内容の送信者が誰であるかを確実に確
認することが可能となる。そして、この方法を適用した
ものとしては、特願平8−108225号に開示されて
いるディジタル署名方式及びそれを用いた情報通信シス
テムがある。
【0004】ここで、「暗号」及び「匿名公開鍵証明
書」について具体的に説明する。
【0005】(1)「暗号」 まず、「暗号」とは、情報の意味が当事者以外にには認
識できないように情報を変換することをいう。そして、
この暗号においては、元の文(変換されていない文)を
「平文」といい、その平文を第三者に意味の分からない
文(暗号文)に変換することを「暗号化」といい、その
変換の手順を「暗号アルゴリズム」という。平文及び暗
号文は、テキストデータに限られるものではなく、音声
や画像等、あらゆる情報を想定している。暗号化は、
「暗号化鍵」と呼ばれるパラメータに依存する変換であ
る。そして、その暗号化で得られた暗号文を当事者が元
の平文に戻すことを「復号」といい、その復号の際に
は、「復号鍵」と呼ばれる暗号化鍵に対応するパラメー
タが用いられる。一方、当事者以外の第三者が暗号文を
元の平文に戻すこと、或いは、復号鍵を見いだすことを
「解読」という。
【0006】上述のような暗号では暗号の安全性を、暗
号化に用いる暗号化鍵或いは復号に用いる復号鍵に帰着
させており、それらの鍵を知らなければ、たとえ暗号ア
ルゴリズムを知っていても、平文は得られないようにな
っている。したがって、所定の暗号化を行う装置(暗号
装置)の製造者でも、解読不可能な暗号化を実現するこ
とができる。
【0007】また、暗号には、多くの暗号アルゴリズム
がある。そこで、例えば、暗号化鍵を公開できるか否か
の観点から、暗号を、非対称暗号(公開鍵暗号)と対称
暗号(共通鍵暗号)の2つに分類して説明する。
【0008】(1−1)「非対称暗号(公開鍵暗号)」 「非対称暗号」とは、「公開鍵暗号」とも呼ばれ、暗号
化鍵と復号鍵が異なり、暗号化鍵から復号鍵が容易に計
算して得られないようになっており、また、暗号化鍵を
公開し、復号鍵を秘密に保持して使用される暗号のこと
をいう。このような非対称暗号は、以下のような特徴を
持っている。 特徴1:暗号化鍵と復号鍵が異なり、暗号化鍵が公開さ
れるため、暗号化鍵を秘密に配送する必要がなく、その
鍵の配送が容易である。 特徴2:各利用者の暗号化鍵は公開されるため、各利用
者は、各自の復号鍵のみ秘密に保持しておけばよい。 特徴3:送信されてきた通信文の送信者が偽者でないこ
と、及びその通信文が改ざんされていないことを受信者
が確認するための認証(ディジタル署名)機能を実現で
きる。
【0009】ここで、暗号機能と上述の認証機能を実現
できる非対称暗号としては、RSA暗号(R.L.Rivest,
A.Shamir and L.Adleman,"A method of obtaining digi
tal signatures and public key cryptosystems,"Commu
nications of ACM,Vol.21,No.2,pp.120-126,1978 )
や、ElGamal暗号(T.E.ElGamal,"A public key
cryptosystem and a signature scheme based on discr
ete logarithms,"IEEE Transaction on Information Th
eory,Vol.IT-31,No.4,pp.496-472,1985 )が知られてい
る。また、認証機能を実現できる非対称暗号としては、
Fiat−Shamir暗号(A.Fiat,A.Shamir,"How t
o prove yourself:practical solutions of identifica
tion and signature problrms,"Proc.of CRYPTO'86,198
7 )や、Schnorr暗号(C.P.Schnorr,"Efficient
signature generation by smart cards,"Journal of C
ryptology,vol.4,pp.161-174,1991 )が知られている。
【0010】例えば、ElGamal暗号における暗号
化、復号、認証(ディジタル署名)の生成、及びその検
証について具体的に説明する。
【0011】まず、「Z」を整数全体の集合、「Zp
を0以上p未満の整数の集合、「Z p \{0}」をZp
から0を除いた集合、「Zp * 」をZp の要素且つpと
互いに素である整数の集合として表すものとする。ま
た、整数A,B,Cに対して、 A=BmodC なる関係が成り立つとき、BをCで割ったときの余りが
Aであること(任意の整数kが存在し、「B=k・C+
A」が成り立つこと)を意味し、 A≡B(modC) なる関係が成り立つとき、AをCで割ったときの余り
と、BをCで割ったときの余りとが等しいことを意味す
るものとする。さらに、通信相手と共通の公開パラメー
タとしては、素数p、Zp * の要素であり且つ位数p−
1のα、及び一方向性ハッシュ関数H0 :Z→Zp
{0}を用いる。また、任意のユーザiの復号鍵(秘密
鍵)を「si ∈Zp-1 」とし、暗号化鍵(公開鍵)を
「vi =αSimodp」とする。尚、「一方向性ハッシ
ュ関数」とは、衝突を起こしにくい圧縮関数のことであ
る。すなわち、「一方向性ハッシュ関数」とは、任意の
長さのビット列を出力する関数であり、同じ出力となる
入力を見つけることが困難である、という特徴を持って
いる。
【0012】暗号化 そこで、ユーザjが平文(メッセージ)m(∈Zp )を
暗号化してユーザiに対して送信する場合、ユーザj用
端末装置では、以下のステップ1〜ステップ4の手順で
その処理が行われる。尚、メッセージmがZp の要素で
ない場合、すなわちp以上の数値の場合には、そのメッ
セージmをZp の要素となるようにブロック分割され、
各ブロックに対して、以下の手順の暗号化が行われる。 ステップ1:ユーザj用端末装置は、乱数kを生成す
る。 ステップ2:ユーザj用端末装置は、 C1 =αk modp なる計算を行う。 ステップ3:ユーザj用端末装置は、 C2 =m・vi k modp なる計算を行う。 ステップ4:ユーザj用端末装置は、ステップ2及び3
の計算結果C1 及びC 2 を、ユーザi用端末装置に対し
て送信する。
【0013】復号 上記暗号化により、ユーザj用端末装置からユーザi
用端末装置には、C1及びC2 が送信される。そして、
ユーザi用端末装置は、ユーザj用端末装置から送信さ
れてきたC1 及びC2 を用いて、メッセージmを、 m=C2 /C1 Simodp なる計算により求める。
【0014】ディジタル署名の生成 上記復号により得られたメッセージm(∈Z)に対し
て、ユーザi用端末装置がディジタル署名を生成する場
合、ユーザi用端末装置では、以下のステップ1〜ステ
ップ4の手順でその処理が行われる。尚、上記暗号化
で述べたように、メッセージmをブロック分割する場合
もあるが、ここでは、一方向性ハッシュ関数を用いる場
合を説明する。 ステップ1:ユーザi用端末装置は、乱数k(∈Zp-1
* )を生成する。 ステップ2:ユーザi用端末装置は、 r=αk modp なる計算を行う。 ステップ3:ユーザi用端末装置は、 s=(H0 (m)−si ・r)・k-1mod(p−1) なる計算を行う。 ステップ4:ユーザi用端末装置は、ステップ2及び3
の計算結果r及びsを、検証者に対して送信する。
【0015】ディジタル署名の検証 そして、上記ディジタル署名の生成により得られたデ
ィジタル署名を、ユーザi用端末装置が検証する場合、
ユーザi用端末装置は、 αH0(m) ≡vi r ・rS (modp) なる関係が成り立つか否かを確認する。
【0016】(1−2)「対称暗号(共通鍵暗号)」 一方、「対称暗号」とは、「共通鍵暗号」とも呼ばれ、
暗号化鍵と復号鍵が同一である暗号のことをいう。ま
た、1970年後半に上述した非対称暗号(公開鍵暗
号)が現れてから、従来から存在するこの対称暗号は、
「慣用暗号」とも呼ばれるようになった。このような対
称暗号は、適当な長さの文字列(ブロック)毎に同じ暗
号化鍵で暗号化するブロック暗号と、文字列又はビット
毎に暗号化鍵を変えて暗号化するストリーム暗号とに分
類される。ブロック暗号としては、文字の順序を置き換
えて暗号化する転置式暗号や、文字を他の文字に換える
換字式暗号等があり、DES(Data Encryption Standa
rd)や、FEAL(Fast data Encipherment Algorith
m)といった商用暗号として広く用いられている。スト
リーム暗号は、メッセージに乱数をXOR(排他論理
和)して、その内容を攪乱する暗号であり、このストリ
ーム暗号としては、無限周期の乱数列を1回限りの使い
捨て鍵として用いるバーナム暗号が知られている。
【0017】尚、上述した(1)暗号の更なる詳細は、
「暗号理論入門」(岡本栄司著:共立出版)や、「Appl
ied cryptography second edition:protocols,algorith
ms,and source code in C 」(Schneier著)、「John W
iley&Sons,Inc 」等に述べられている。
【0018】(2)「匿名公開鍵証明書」 つぎに、「匿名公開鍵証明書」とは、上述した(1−
1)非対称暗号(公開鍵暗号)等において、任意のユー
ザと、そのユーザの公開鍵(暗号化鍵)との対応を保証
するものである。具体的には、「Certification Author
ity 」と呼ばれる信頼できる特別なユーザ(以下、CA
と言う)が、他のユーザ(以下、ユーザjとする)の身
元を、例えば、パスポートで確認し、ユーザjの識別情
報ID(氏名、性別、生年月日等の個人識別情報)、そ
の公開鍵及び有効期限等を内容とするメッセージに対す
るディジタル署名を生成する。このディジタル署名が
「匿名公開鍵証明書」である。CAの公開鍵は、誰でも
確実に入手できるようになされており、CAにて生成さ
れたディジタル署名を検証することは容易である。これ
により、例えば、ユーザkがユーザjと通信する際に、
ユーザjに対応する公開鍵を容易に且つ確実に確認する
ことができると共に、他のユーザがユーザjになりすま
すことを防ぎながら、公開鍵暗号による通信を可能とす
ることができる。
【0019】また、「匿名公開鍵証明書」とは、上述の
匿名公開鍵証明書のユーザが、どこの誰であるかを分か
らないようにしたものでもある。これにより、プライバ
シー保護を要する用途、例えば、ある特別なサービスを
受けることができる資格を有するが、身元を明かすこと
を防ぎたい場合に用いることができる。これを適用した
ものとしては、例えば、特願平8−108226号に開
示されているグループ署名と呼ばれる特殊なディジタル
署名方式がある。
【0020】上述のような匿名公開鍵証明書を適用した
ものとしては、例えば、特願平8−108225号に開
示されている通信システムがある。この通信システムで
は、図5に示すようなステップS500〜S504の処
理が行われる。以下、ステップS500〜S504につ
いて具体的に説明する。尚、以下の説明における各記号
(「Z」や「Zp 」等)は、上述したElGamal暗
号の説明での各記号と同様に定義して用いるものとす
る。
【0021】ステップS500:先ず、システム共通の
公開パラメータPV(Public Vaiues )としては、素数
p、位数q(但し、q|p−1)、Zp * の要素であり
且つ位数qのα、一方向性ハッシュ関数H1 :Zq ×Z
→{0,・・・,2t −1}を用いる。すなわち、q
は、p−1を割り切り、x∈Zq \{0}に対してαx
≡1(modp)ではなく、且つx=qに対してαx
1(modp)であり、H1 は、Zq の要素とZの要素
を入力とし2t −1以下の非負整数を出力する。そし
て、これらのパラメータは、この通信システムに参加し
ている全てのユーザがアクセスすることができ、且つ不
当な改ざん等が起こらないように適切に管理されている
公開データベースPD(Public Database )に登録され
ているものとする。そこで、証明書発行者(authority
)Q用端末装置70は、復号鍵(秘密鍵)sQ と、暗
号化鍵(公開鍵)vQ (vQ =α-sQ modp)とを生
成し、公開鍵vQ を公開データベースPDに登録する。
また、ユーザ(User)j用端末装置80は、復号鍵(秘
密鍵)sj と、暗号化鍵(公開鍵)vj (vj =α-sj
modp)とを生成し、公開鍵vj を公開データベース
PDに登録する。
【0022】ステップS501:匿名公開鍵証明書の生
成 次に、証明書発行者Q用端末装置70は、ユーザjの公
開鍵vj を、乱数(random number )rを用いて変換し
たzを求め、このzに対する署名(Schnorr暗号
によるディジタル署名)を生成する。具体的には、証明
書発行者Q用端末装置70は、乱数(秘密の乱数)r
(r∈Zq \{0})を選択し、 x=αr modp z=vj r modp e=H1 (x,zj ) y=r+e・sQ modq なる計算を行う。このSchnorr暗号によるディジ
タル署名(y,e,z)が匿名公開鍵証明書である。
【0023】ステップS502:匿名公開鍵証明書の配
送 次に、証明書発行者Q用端末装置70は、上述のステッ
プS501にて生成した匿名公開鍵証明書(y,e,
z)を、ユーザj用端末装置80に対して送信する。こ
れを受けたユーザj用端末装置80は、e及びzを、 e=H1 (αy ・vQ e modp,z) z=(αy ・vQ e modp)-Sj modp が成り立つことを確認する。尚、ここでは、x=αy
Q e modpが成り立つことにより、表記の簡略化の
ためにxを用いるものとする。
【0024】ステップS503:公開鍵暗号の利用 次に、ユーザj用端末装置80は、αとvj の代わりに
xとzを用いて、離散対数問題に基づく公開鍵暗号を利
用する。例えば、Schnorr暗号によるディジタル
署名を利用する場合、メッセージmに対して、以下のよ
うにしてディジタル署名を生成する。すなわち、ユーザ
j用端末装置80は、秘密の乱数rj (rj ∈Zq *
を選択し、 xj =xrjmodp ej =h(xj ,m) yj =rj +ej ・sj modq なる計算を行う。そして、ユーザj用端末装置80は、
メッセージmと共に、((y,e,z),yj ,ej
m)をディジタル署名として、必要な相手に対して送信
する。
【0025】ステップS504:署名確認 そして、上述のステップS503にて送信されたディジ
タル署名((y,e,z),yj ,ej ,m)の受信者
(通信相手(Verifier))i用端末装置90は、先ず、
上述のステップS502における e=H1 (αy ・vQ e modp,z) なる式を確認し、次に、 ej =H1 (xyj・zejmodp,m) なる式を確認する。これらの確認ができた場合に、受信
者i用端末装置90は、メッセージmに対するディジタ
ル署名は証明書発行者Qにより選ばれたユーザによって
生成されたディジタル署名である、と認識する。
【0026】
【発明が解決しようとする課題】ところで、上記図5の
通信システムで説明したような従来の匿名公開鍵証明書
では、匿名性が満たされている。すなわち、任意の匿名
公開鍵証明書がどのユーザに対応するものであるのかが
分からないようになっている。このような匿名性は、以
下の2つの仮定に基づくものである。
【0027】仮定1:離散対数問題 「G」を有限群とし、「α」をその生成元とする。ま
た、「v」をGの元とし、底Aに対するvの離散対数を
「log[α]v」とする。そこで、Gの位数(元の個
数)が充分大きい場合、離散対数log[α]vを求め
ることは困難となる。
【0028】仮定2:離散対数の比較問題 「r」と「s」をGのランダムな元とする。そこで、
α、v=αs 、x=αr 、z=αrsが与えられたとき、
Gの位数が充分大きく、rとsが未知である場合、lo
g[α]vとlog[x]zが等しいか否かを判別する
ことはできない。
【0029】上述のような仮定1及び仮定2が成り立つ
ことにより、匿名公開鍵証明書は匿名性が満たされる。
【0030】しかしながら、従来では、仮定2のみを解
くアルゴリズムが見いだされ、仮定1は成り立つが仮定
2が成り立たず、匿名公開鍵証明書の匿名性が無くなる
場合があった。
【0031】具体的にはまず、仮定1の離散対数問題を
解くことは、現在までの研究成果によれば非常に難しい
とされ、安全性の根拠として用いることは妥当であると
考えられている。すなわち、このような離散対数問題が
解ければ、仮定2の離散対数の比較問題も解けることに
なる。これにより、仮定2を解くことは、仮定1を解く
ことと同じくらい易しい、或いは、仮定1を解くことよ
りも易しい、ということがわかる。したがって、この仮
定2を解くことが仮定1を解くことよりどの程度易しい
かは、現在のところ不明であるが、仮定2のみを解くア
ルゴリズムが見いだされた場合、仮定1は成り立つが仮
定2が成り立たなくなるという事態が考えられる。この
ような場合に、上述した匿名公開鍵証明書の匿名性が無
くなる。
【0032】そこで、本発明は、上記の欠点を除去する
ために成されたもので、如何なる場合でも匿名性を確実
に保つことができるディジタル署名方式、それを用いた
情報通信システム及び通信装置を提供することを目的と
する。
【0033】
【課題を解決するための手段】本発明は、ElGama
l暗号等のディジタル署名を生成する手段と、その手段
で生成されるディジタル署名を各ユーザの秘密情報を用
いて変換する手段と、離散対数問題に安全性の根拠を置
く公開鍵暗号を利用する手段とを少なくとも備えてい
る。この構成において、上記ディジタル署名を生成する
手段は、共通に使用する公開パラメータの代わりに、各
ユーザの公開情報を用い、任意の平文や予め定められた
固定値等のディジタル情報に対するディジタル署名を生
成する。上記ディジタル署名を変換する手段は、上記デ
ィジタル署名を各ユーザの秘密情報を用いて変換するこ
とで、別の値を求める。上記公開鍵暗号を利用する手段
は、上記ディジタル情報、上記ディジタル署名、上記公
開パラメータ、及び署名者の公開鍵から得られる値を公
開情報と見なし、且つ、上記ディジタル署名を変換して
得られた別の値をそのユーザの秘密情報と見なすこと
で、離散対数問題に安全性の根拠を置く公開鍵暗号を利
用する。この公開鍵暗号を利用する手段を用いて、各ユ
ーザは公開鍵暗号を利用する。これにより、各ユーザが
公開鍵として用いる情報(公開情報)から、その情報が
どのユーザと対応するかを特定することが、情報量的に
不可能となるため、匿名性は、上述の仮定2(離散対数
の比較問題)に依存していない。すなわち、上記仮定2
が成り立たなくなる事態が起きたとしても、匿名性は保
たれる。
【0034】すなわち、第1の発明は、各ユーザに共通
の公開パラメータ及び各ユーザに固有の秘密情報から、
各ユーザに固有の公開情報を生成する公開情報生成ステ
ップと、ディジタル情報に対して上記秘密情報及び上記
公開パラメータを用いた変換を施すことで、上記ディジ
タル情報に対応する署名を生成する署名生成ステップ
と、上記公開パラメータ及び上記公開情報を用いて、上
記ディジタル情報と上記署名の対応関係が正しいか否か
を判別する署名判別ステップとを含むディジタル署名方
式であって、上記公開情報を用いて、ユーザに固有の新
たな秘密情報、新たなパラメータ、及び新たな公開情報
を生成するユーザ情報生成ステップと、上記ユーザ情報
生成ステップで生成された新たな秘密情報、新たなパラ
メータ、及び新たな公開情報が予め定められた関係を満
たすことを確認する確認ステップと、上記確認ステップ
で確認された新たなパラメータ及び新たな公開情報を用
いて、ディジタル情報を暗号化する暗号化ステップとを
含むことを特徴とする。
【0035】第2の発明は、上記第1の発明において、
上記確認ステップで確認された新たなパラメータ及び新
たな秘密情報を用いて、上記暗号化ステップで暗号化し
て得られた暗号文を復号する復号ステップを含むことを
特徴とする。
【0036】第3の発明は、各ユーザに共通の公開パラ
メータ及び各ユーザに固有の秘密情報から、各ユーザに
固有の公開情報を生成する公開情報生成ステップと、デ
ィジタル情報に対して上記秘密情報及び上記公開パラメ
ータを用いた変換を施すことで、上記ディジタル情報に
対応する署名を生成する第1の署名生成ステップと、上
記公開パラメータ及び上記公開情報を用いて、上記ディ
ジタル情報と上記署名の対応関係が正しいか否かを判別
する第1の署名判別ステップとを含むディジタル署名方
式であって、上記公開情報を用いて、ユーザに固有の新
たな秘密情報、新たなパラメータ、及び新たな公開情報
を生成するユーザ情報生成ステップと、上記ユーザ情報
生成ステップで生成された新たな秘密情報、新たなパラ
メータ、及び新たな公開情報が予め定められた関係を満
たすことを確認する確認ステップと、上記確認ステップ
で確認された新たなパラメータ及び新たな秘密情報を用
いて、ディジタル情報に対応する署名を生成する第2の
署名生成ステップとを含むことを特徴とする。
【0037】第4の発明は、上記第3の発明において、
上記確認ステップで確認された新たなパラメータ及び新
たな公開情報を用いて、上記第2の署名生成ステップで
生成された署名とそれに対応したディジタル情報の関係
が正しいか否かを判別する第2の署名判別ステップを含
むことを特徴とする。
【0038】第5の発明は、複数のユーザ間で共通に用
いられる底の値に対して、各ユーザの秘密情報を指数値
として指数計算した結果を、各ユーザの公開情報とする
公開情報ステップを含むディジタル署名方式であって、
ユーザの公開情報を共通の底の代わりに用いて生成した
平文に対する署名、及び上記ユーザの秘密情報を基に、
そのユーザの新たな秘密情報を生成する秘密情報生成ス
テップと、上記秘密情報生成ステップで生成された新た
な秘密情報に対応する新たなパラメータを生成するパラ
メータ生成ステップと、上記署名、上記ユーザの公開情
報、上記共通の底、及び上記平文から、上記ユーザの新
たな公開情報を生成する公開情報生成ステップと、上記
秘密情報生成ステップで生成された新たな秘密情報、上
記パラメータ生成ステップで生成された新たなパラメー
タ、及び上記公開情報生成ステップで生成された新たな
公開情報を用いて、公開鍵暗号を実行する暗号実行ステ
ップとを更に含むことを特徴とする。
【0039】第6の発明は、上記第5の発明において、
離散対数を求めることの困難性に安全性の根拠を置くデ
ィジタル署名方式を含むことを特徴とする。
【0040】第7の発明は、上記第6の発明において、
上記ディジタル署名方式は、ElGamal署名方式を
含むことを特徴とする。
【0041】第8の発明は、上記第6の発明において、
上記ディジタル署名方式は、ElGamal署名方式の
変形を含むことを特徴とする。
【0042】第9の発明は、上記第5の発明において、
上記公開鍵暗号は、離散対数を求めることの困難性に安
全性の根拠を置く暗号を含むことを特徴とする。
【0043】第10の発明は、請求項1〜9の何れかに
記載のディジタル署名方式を用いた情報通信システムで
あって、第1のユーザが第2のユーザに対して、毎回異
なる新たな秘密情報、新たなパラメータ、及び新たな公
開情報を生成可能なユーザ情報生成手段と、上記第2の
ユーザに対する情報が、上記第1のユーザが上記ユーザ
情報生成手段により生成したものであることを確認する
ユーザ情報確認手段と、上記ユーザ情報確認手段で確認
された情報を用いて、公開鍵暗号を実行する公開鍵暗号
実行手段とを含み、上記ユーザ情報生成手段により生成
された新たなパラメータ、及び新たな公開情報から、そ
れらに対応するユーザが情報量的に判定不可能であるこ
とを特徴とする。
【0044】第11の発明は、ユーザに共通の公開パラ
メータ及びユーザに固有の秘密情報からユーザに固有の
公開情報を生成する公開情報生成手段と、上記公開パラ
メータ及び上記公開情報を用いて、送信されてきたディ
ジタル情報と、そのディジタル情報に対応する署名との
対応関係が正しいか否かを判別する署名判別手段と、上
記公開情報を用いて、ユーザに固有の新たな秘密情報、
新たなパラメータ、及び新たな公開情報を生成するユー
ザ情報生成手段と、上記ユーザ情報生成手段で生成され
た新たな秘密情報、新たなパラメータ、及び新たな公開
情報が予め定められた関係を満たすことを確認する確認
手段と、上記確認手段で確認された新たなパラメータ及
び新たな公開情報を用いて、ディジタル情報を暗号化す
る暗号化手段とを備えることを特徴とする。
【0045】第12の発明は、上記第11の発明におい
て、上記確認手段で確認された新たなパラメータ及び新
たな秘密情報を用いて、ディジタル情報に対応する署名
を生成する署名生成手段を備えることを特徴とする。
【0046】第13の発明は、複数のユーザ間で共通に
用いられる底の値に対して、ユーザの秘密情報を指数値
として指数計算した結果を、ユーザの公開情報とする公
開情報手段と、上記公開情報を共通の底の代わりに用い
て生成したディジタル情報に対する署名、及び上記秘密
情報を基に、新たな秘密情報を生成する秘密情報生成手
段と、上記秘密情報生成手段で生成された新たな秘密情
報に対応する新たなパラメータを生成するパラメータ生
成手段と、上記署名、上記公開情報、上記共通の底、及
び上記ディジタル情報から、新たな公開情報を生成する
公開情報生成手段と、上記秘密情報生成手段で生成され
た新たな秘密情報、上記パラメータ生成手段で生成され
た新たなパラメータ、及び上記公開情報生成手段で生成
された新たな公開情報を用いて、公開鍵暗号を実行する
暗号実行手段とを備えることを特徴とする。
【0047】第14の発明は、上記第11〜13の何れ
かの発明において、上記ディジタル署名方式は、請求項
1〜9の何れかに記載のディジタル署名方式であること
を特徴とする。
【0048】第15の発明は、請求項11〜14の何れ
かに記載の通信装置を含むシステムであることを特徴と
する。
【0049】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を用いて説明する。
【0050】まず、第1の実施の形態について説明す
る。
【0051】本発明に係るディジタル署名方式は、例え
ば、図1に示すような通信システム100により実施さ
れ、この通信システム100は、本発明に係る情報通信
システムを適用したものでもある。
【0052】すなわち、通信システム100では、証明
書発行者Q用端末装置20と、ユーザj,i,kを含む
複数のユーザ用端末装置30、40、50、・・・とが
ネットワーク10上で接続されており、各端末装置は、
ネットワーク10を介して互いに通信するようになされ
ている。また、通信システム100には、各ユーザに共
通の公開パラメータPV(Public Values )が管理され
ている公開データベースPD(Public Database )が設
けられている。
【0053】証明書発行者Q用端末装置20は、証明書
発行者Q固有の秘密鍵sQ (秘密情報)及び公開鍵vQ
(公開情報)を生成する公開鍵生成部21と、秘密鍵s
Q 及び公開パラメータPVを用いて平文mに対する署名
(匿名公開鍵証明書)を生成する署名生成部22とを備
えている。
【0054】一方、ユーザ用端末装置30、40、5
0、・・・は、各々同様の構成としている。例えば、ユ
ーザj用端末装置30は、ユーザj固有の秘密鍵sj
び公開鍵v j を生成する公開鍵生成部31と、平文mと
上記署名の対応関係が正しいか否かを判別する判別部3
2と、新たな署名を生成する署名生成部33とを備えて
いる。また、ユーザj用端末装置30は、新たな署名を
確認する確認部35と、確認部35で確認された新たな
署名を用いて平文を暗号化する暗号化部36と、確認部
35で確認された新たな署名を用いて暗号文を復号する
復号部34とを備えている。
【0055】以下、上述のような通信システム100の
動作を上記図1及び図2を用いて説明する。尚、上記図
2中の記号は、上記図5と同様の表記規則に従うものと
する。
【0056】ステップS200:先ず、通信システム1
00の共通のデータとして、大きな素数p、Zp * の要
素であり且つ位数p−1のα、一方向性ハッシュ関数H
0 :Z→Zp \{0}を用いる。尚、pは、例えば、
「p>2512 」とする。これらのパラメータ(公開パラ
メータPV(Public Values ))は、通信システム10
0に参加している全てのユーザがアクセスすることがで
き、且つ不当な改ざん等が起こらないように適切に管理
されている公開データベースPD(Public Database )
に登録されているものとする。そこで、証明書発行者
(authority )Q用端末装置20は、公開鍵生成部21
により、秘密鍵(復号鍵)sQ (∈Zp-1 * )と、公開
鍵(暗号化鍵)vQ (=αsQmodp)とを生成し、公
開鍵vQ を公開データベースPDに登録する。また、任
意のユーザ用端末装置(ここではユーザ(User)j用端
末装置30とする)は、公開鍵生成部31により、秘密
鍵(復号鍵)sj (∈Zp-1 * )と、公開鍵(暗号化
鍵)vj (=αsjmodp)とを生成し、公開鍵vj
公開データベースPDに登録する。
【0057】ステップS201:匿名公開鍵証明書の生
成 証明書発行者Q用端末装置20は、署名生成部22によ
り、ユーザjの公開鍵vj を、乱数(random number )
kを用いて変換したrを求め、平文mに対する署名(例
えば、ElGamal暗号によるディジタル署名)を生
成する。具体的には、署名生成部22は、乱数(秘密の
乱数)k(k∈Zp-1 * )を選択し、 r=vj k modp s=(H0 (m)−sQ ・r)・k-1mod(p−1) なる計算を行う。この平文mに対するElGamal暗
号によるディジタル署名r,sが匿名公開鍵証明書であ
る。また、平文mは、その匿名公開鍵証明書の種類を示
すパラメータとして使用できる。尚、匿名公開鍵証明書
の種類を示すパラメータとしては、平文m或いはH
0 (m)の代わりに、予め決められた固定値を使用して
もよい。
【0058】ステップS202:匿名公開鍵証明書の配
送 次に、証明書発行者Q用端末装置20は、署名生成部2
2で生成したディジタル署名r,sと、その種類を示す
パラメータmとを匿名公開鍵証明書(m,r,s)とし
て、ユーザj用端末装置30に対して送信する。
【0059】ステップS203:これを受けたユーザj
用端末装置30は、判別部32により、 sj ’=s・sj -1mod(p−1) を求め、 αH0(m) ≡vQ r ・rsj' (modp) が成り立つことを確認する。
【0060】ステップS204:公開鍵暗号の利用 そして、ユーザj用端末装置30は、 αH0(m) ・vQ -r≡rsj' (modp) により、「r」を底、「αH0(m) ・vQ -rmodp」を
公開鍵、「sj ’」を秘密鍵として、離散対数問題に基
づく公開鍵暗号を利用する。
【0061】そこで、例えば、ElGamal暗号によ
るディジタル署名を利用する場合について説明する。
【0062】ステップS204(1):ディジタル署名
の生成 ユーザj用端末装置30は、署名生成部33により、平
文m’に対する署名を以下のようにして生成する。 署名生成部33は、乱数k’(∈Zp-1 * )を生成す
る。 署名生成部33は、 r’=αk'modp を計算する。 署名生成部33は、 s’=(H0 (m’)−sj ’・r)・(k’)-1mo
d(p−1) を計算する。 そして、ユーザj用端末装置30は、m’と、署名生
成部33で得られたr’及びs’を、証明書発行者Q用
端末装置20からの匿名公開鍵証明書(m,r)と共に
通信相手(ここではユーザi用端末装置40とする)に
対して送信する。
【0063】ステップS204(2):署名検証 これを受けたユーザi用端末装置40は、確認部45に
より、 rH0(m')≡(αH0(m) ・vQ -rr'・(r’)s'(mo
dp) なる式が成立するかを確認する。そして、ユーザi用端
末装置40は、この確認ができた場合に、m’に対する
署名は証明書発行者Qによって選ばれたユーザによって
生成された署名であることを認識する。
【0064】また、上述のステップS204:公開鍵暗
号の利用としては、暗号化にも利用することができる。
そこで、例えば、ユーザk用端末装置50において、E
lGamal暗号による暗号化を行う場合について説明
する。
【0065】暗号化:ユーザk用端末装置50は、暗号
化部56により、平文m”を以下のようにして暗号化す
る。 暗号化部56は、乱数k”を生成する。 暗号化部56は、 C1 =rk"modp を計算する。 暗号化部56は、 C2 =m”・(αH0(m) ・vQ -rmodp)k"modp を計算する。 そして、ユーザk用端末装置50は、暗号化部56で
得られたC1 及びC2を、ユーザj用端末装置30に対
して送信する。
【0066】復号:これを受けたユーザj用端末装置3
0は、復号部34により、 m”=C2 /C1 sj' modp なる計算を行って、平文m”を得る。
【0067】尚、上述のステップS204:公開鍵暗号
の利用として、ElGamal暗号を用いたものを説明
したが、これに限らず、離散対数問題に基づく公開鍵暗
号等を用いたものにも利用することができる。
【0068】つぎに、第2の実施の形態について説明す
る。
【0069】この第2の実施の形態では、上述した第1
の実施の形態における通信システム100に、ElGa
mal暗号のディジタル署名方式の変形版を適用する。
このため、第1の実施の形態では、ElGamal暗号
でp−1を用いて法演算を行うのに対して、第2の実施
の形態では、素数q(qはp−1を割り切る)を用いて
法演算を行うという点が異なる。
【0070】尚、この第2の実施の形態を実施する通信
システム100の構成については、上述した第1の実施
の形態と同様であるため、その詳細な説明は省略する。
以下、第1の実施の形態と異なる点についてのみ、図3
を用いて具体的に説明する。
【0071】ステップS300:先ず、通信システム1
00の共通のデータとして、大きな素数p、q(qはp
−1を割り切る)、Zp * の要素であり且つ位数qの
α、一方向性ハッシュ関数H0 :Z→Zq \{0}、H
1 :Zq ×Z→{0,・・・,2t −1}を用いる。
尚、ここでは、例えば、「p>2512 」、「q>
160 」、「t>72」とする。これらのパラメータ
(公開パラメータPV)は、通信システム100に参加
している全てのユーザがアクセスすることができ、且つ
不当な改ざん等が起こらないように適切に管理されてい
る公開データベースPDに登録されているものとする。
そこで、証明書発行者Q用端末装置20は、公開鍵生成
部21により、秘密鍵sQ (∈Zq \{0})と、公開
鍵vQ (=αsQmodp)とを生成し、公開鍵vQ を公
開データベースPDに登録する。また、任意のユーザ用
端末装置(ここではユーザ(User)j用端末装置30と
する)は、公開鍵生成部31により、秘密鍵sj (∈Z
q \{0})と、公開鍵vj (=αsjmodp)とを生
成し、公開鍵vj を公開データベースPDに登録する。
【0072】ステップS301:匿名公開鍵証明書の生
成 証明書発行者Q用端末装置20は、署名生成部22によ
り、ユーザjの公開鍵vj を、乱数(random number )
kを用いて変換したrを求め、平文mに対する署名(例
えば、ElGamal暗号によるディジタル署名)を生
成する。具体的には、署名生成部22は、乱数(秘密の
乱数)k(k∈Zq \{0})を選択し、 r=vj k modp s=(H0 (m)−sQ ・r)・k-1modq なる計算を行う。この平文mに対するElGamal暗
号によるディジタル署名r,sが匿名公開鍵証明書であ
る。また、平文mは、その匿名公開鍵証明書の種類を示
すパラメータとして使用できる。尚、匿名公開鍵証明書
の種類を示すパラメータとしては、平文m或いはH
0 (m)の代わりに、予め決められた固定値を使用して
もよい。
【0073】ステップS302:匿名公開鍵証明書の配
送 次に、証明書発行者Q用端末装置20は、署名生成部2
2で生成したディジタル署名r,sと、その種類を示す
パラメータmとを匿名公開鍵証明書(m,r,s)とし
て、ユーザj用端末装置30に対して送信する。
【0074】ステップS303:これを受けたユーザj
用端末装置30は、判別部32により、 sj ’=s・sj -1modq を求め、 αH0(m) ≡vQ r ・rsj' (modp) が成り立つことを確認する。
【0075】ステップS304:公開鍵暗号の利用 そして、ユーザj用端末装置30は、 αH0(m) ・vQ -r≡rsj' (modp) により、「r」を底、「αH0(m) ・vQ -rmodp」を
公開鍵、「sj ’」を秘密鍵として、離散対数問題に基
づく公開鍵暗号を利用する。
【0076】そこで、例えば、Schonorr暗号に
よるディジタル署名を利用する場合について説明する。
【0077】ステップS304(1):ディジタル署名
の生成 ユーザj用端末装置30は、署名生成部33により、平
文m’に対する署名を以下のようにして生成する。 署名生成部33は、乱数k’(∈Zq \{0})を生
成する。 署名生成部33は、 x=rk'modp を計算する。 署名生成部33は、 e=H1 (x,m’) を計算する。 署名生成部33は、 y=k’−e・sj ’modq を計算する。 そして、ユーザj用端末装置30は、m’と、署名生
成部33で得られたe及びyを、証明書発行者Q用端末
装置20からの匿名公開鍵証明書(m,r)と共に通信
相手(ここではユーザi用端末装置40とする)に対し
て送信する。
【0078】ステップS304(2):署名検証 これを受けたユーザi用端末装置40は、確認部45に
より、 e=H1 (ry ・(αH0(m')・vQ -re modp,
m’) なる式が成立するかを確認する。そして、ユーザi用端
末装置40は、この確認ができた場合に、m’に対する
署名は、証明書発行者Qによって選ばれたユーザによっ
て生成された署名であることを認識する。
【0079】また、上述のステップS304:公開鍵暗
号の利用としては、暗号化にも利用することができる。
そこで、例えば、ユーザk用端末装置50において、E
lGamal暗号による暗号化を行う場合について説明
する。
【0080】暗号化:ユーザk用端末装置50は、暗号
化部56により、平文m”を以下のようにして暗号化す
る。 暗号化部56は、乱数k”を生成する。 暗号化部56は、 C1 =rk"modp を計算する。 暗号化部56は、 C2 =m”・(αH0(m) ・vQ -rmodp)k"modp を計算する。 そして、ユーザk用端末装置50は、暗号化部56で
得られたC1 及びC2を、ユーザj用端末装置30に対
して送信する。
【0081】復号:これを受けたユーザj用端末装置3
0は、復号部34により、 m”=C2 /C1 sj' modp なる計算を行って、平文m”を得る。
【0082】尚、上述のステップS304:公開鍵暗号
の利用として、Schnorr暗号やElGamal暗
号を用いたものを説明したが、これに限らず、離散対数
問題に基づく公開鍵暗号等を用いたものにも利用するこ
とができる。
【0083】つぎに、第3の実施の形態について説明す
る。
【0084】この第3の実施の形態では、上述した第1
の実施の形態における通信システム100に、ElGa
mal暗号のディジタル署名方式の変形版を適用する。
すなわち、第3の実施の形態では、第1の実施の形態と
同様に、匿名公開鍵証明書において平文m(平文mを元
に計算して得たH0 (m))を用いる際に、H 0 (m)
=0とする。
【0085】尚、この第3の実施の形態を実施する通信
システム100の構成については、上述した第1の実施
の形態と同様であるため、その詳細な説明は省略する。
以下、第1の実施の形態と異なる点についてのみ、図4
を用いて具体的に説明する。
【0086】ステップS400:先ず、通信システム1
00の共通のデータとして、素数p、Zp * の要素であ
り且つ位数p−1のα、一方向性ハッシュ関数H0 :Z
→Zp \{0}を用いる。尚、pは、例えば、「p>2
512 」とする。これらのパラメータ(公開パラメータP
V)は、通信システム100に参加している全てのユー
ザがアクセスすることができ、且つ不当な改ざん等が起
こらないように適切に管理されている公開データベース
PDに登録されているものとする。そこで、証明書発行
者Q用端末装置20は、公開鍵生成部21により、秘密
鍵sQ (∈Zp-1 * )と、公開鍵vQ (=αsQmod
p)とを生成し、公開鍵vQを公開データベースPDに
登録する。また、任意のユーザ用端末装置(ここではユ
ーザ(User)j用端末装置30とする)は、公開鍵生成
部31により、秘密鍵sj (∈Zp-1 * )と、公開鍵v
j(=αsjmodp)とを生成し、公開鍵vj を公開デ
ータベースPDに登録する。
【0087】ステップS401:匿名公開鍵証明書の生
成 証明書発行者Q用端末装置20は、署名生成部22によ
り、ユーザjの公開鍵vj を、乱数(random number )
kを用いて変換したrを求め、Elgamal暗号のデ
ィジタル署名の変形版、例えば、平文mをハッシュ関数
の入力とした結果が「0」となるElGamal暗号の
署名を生成する。具体的には、署名生成部22は、乱数
(秘密の乱数)k(k∈Zp-1 * )を選択し、 r=vj k modp s=sQ ・r・k-1mod(p−1) なる計算を行う。このディジタル署名r,sが匿名公開
鍵証明書である。
【0088】ステップS402:匿名公開鍵証明書の配
送次に、証明書発行者Q用端末装置20は、署名生成部
22で生成したディジタル署名r,sを匿名公開鍵証明
書(r,s)として、ユーザj用端末装置30に対して
送信する。
【0089】ステップS403:これを受けたユーザj
用端末装置30は、判別部32により、 sj ’=s・sj -1mod(p−1) を求め、 vQ r ≡rsj' (modp) が成り立つことを確認する。
【0090】ステップS404:公開鍵暗号の利用 そして、ユーザj用端末装置30は、 vQ r ≡rsj' (modp) により、「r」を底、「vQ r modp」を公開鍵、
「sj ’」を秘密鍵として、離散対数問題に基づく公開
鍵暗号を利用する。
【0091】そこで、例えば、ElGamal暗号によ
るディジタル署名を利用する場合について説明する。
【0092】ステップS404(1):ディジタル署名
の生成 ユーザj用端末装置30は、署名生成部33により、平
文m’に対する署名を以下のようにして生成する。 署名生成部33は、乱数k’(∈Zp-1 * )を生成す
る。 署名生成部33は、 r’=αk'modp を計算する。 署名生成部33は、 s’=(H(m’)−sj ’・r)・(k’)-1mod
(p−1) を計算する。 そして、ユーザj用端末装置30は、m’と、署名生
成部33で得られたr’及びs’を、証明書発行者Q用
端末装置20からの匿名公開鍵証明書(m,r)と共に
通信相手(ここではユーザi用端末装置40とする)に
対して送信する。
【0093】ステップS404(2):署名検証 これを受けたユーザi用端末装置40は、確認部45に
より、 rH0(m')≡(vQ r r'・(r’)s'(modp) なる式が成立するかを確認する。そして、ユーザi用端
末装置40は、この確認ができた場合に、m’に対する
署名は、証明書発行者Qによって選ばれたユーザによっ
て生成された署名であることを認識する。
【0094】また、上述のステップS404:公開鍵暗
号の利用としては、暗号化にも利用することができる。
そこで、例えば、ユーザk用端末装置50において、E
lGamal暗号による暗号化を行う場合について説明
する。
【0095】暗号化:ユーザk用端末装置50は、暗号
化部56により、平文m”を以下のようにして暗号化す
る。 暗号化部56は、乱数k”を生成する。 暗号化部56は、 C1 =rk"modp を計算する。 暗号化部56は、 C2 =m”・(vQ r modp)k"modp を計算する。 そして、ユーザk用端末装置50は、暗号化部56で
得られたC1 及びC2を、ユーザj用端末装置30に対
して送信する。
【0096】復号:これを受けたユーザj用端末装置3
0は、復号部34により、 m”=C2 /C1 sj' modp なる計算を行って、平文m”を得る。
【0097】尚、上述のステップS404:公開鍵暗号
の利用として、ElGamal暗号を用いたものを説明
したが、これに限らず、離散対数問題に基づく公開鍵暗
号等を用いたものにも利用することができる。
【0098】上述のように、本発明においては、pは素
数、αの位数はp−1、r≡vj k≡αsjk (mad
p)であり、sj ∈Zp-1 * 、k∈Zp-1 * である。或
いは、pとqが素数で、qはp−1を割り切り、αの位
数がq、r≡vj k ≡αsjk (madp)であり、sj
∈Zq \{0}、k∈Zq \{0}である。したがっ
て、任意のrが与えられたとき、そのrは、どのユーザ
の公開鍵からも計算して得ることができる値であり、実
際に使用されたkの値が分からない限りは、どのユーザ
の公開鍵から計算して得られたのかは全く特定すること
ができない。換言すれば、匿名公開鍵証明書である署名
rには、どのユーザの匿名公開鍵証明書であるかを特定
するための情報が一切含まれない。これにより、計算量
的な上述した仮定2によってではなく、情報量的に匿名
性が実現されており、仮定2が成り立たなくなる事態が
起きたとしても、匿名性を確実に保つことができる。こ
のため、プライバシー保護に関する安全性を向上させる
ことができる。
【0099】また、上述した何れの実施の形態において
も、以下のように運用することで、プライバシー保護に
関する安全性をさらに向上させることができる。 証明書発行者Q用端末装置20は、任意のユーザ用端
末装置(例えば、ユーザj用端末装置30)に対して毎
回異なる乱数kを用いた匿名公開鍵証明書を生成してユ
ーザj用端末装置30に対して送信する。 これを受けたユーザj用端末装置30は、ディジタル
署名を生成せずに、1つの匿名公開証明書を異なる平文
に対して使用する。このような、匿名公開鍵証明書を使
用する方式(One-time Certificates 、使い捨て証明書
方式)により、任意のディジタル署名を生成したユーザ
と、それとは別のディジタル署名を生成したユーザと
が、同一のユーザであるか否かを判別することは、証明
書発行者Qと、上記任意のディジタル署名を生成したユ
ーザ以外のユーザとにとって、情報量的に非常に困難、
すなわち不可能である。したがって、ユーザの匿名性は
情報量的に保たれるため、プライバシー保護に関する安
全性をさらに向上させることができる。
【0100】
【発明の効果】以上説明したように本発明によれば、匿
名公開鍵証明書である署名には、どのユーザの匿名公開
鍵証明書であるかを特定するための情報が一切含まれな
い。これにより、計算量的な上述した仮定2によってで
はなく、情報量的に匿名性が実現されており、仮定2が
成り立たなくなる事態が起きたとしても、匿名性を確実
に保つことができる。したがって、プライバシー保護に
関する安全性を向上させることができる。
【図面の簡単な説明】
【図1】第1の実施の形態において、本発明に係る情報
通信システムを適用した通信システムの構成を示すブロ
ック図である。
【図2】上記通信システムにおけるディジタル署名方式
を説明するための図である。
【図3】第2の実施の形態において、上記通信システム
におけるディジタル署名方式を説明するための図であ
る。
【図4】第3の実施の形態において、上記通信システム
におけるディジタル署名方式を説明するための図であ
る。
【図5】従来のディジタル署名方式を説明するための図
である。
【符号の説明】
10 ネットワーク 20 証明書発行者用端末装置 21 公開鍵生成部 22 署名生成部 30〜50 ユーザ用端末装置 31 公開鍵生成部 32 判別部 33 署名生成部 34 復号部 35、45 確認部 36、56 暗号化部

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 各ユーザに共通の公開パラメータ及び各
    ユーザに固有の秘密情報から、各ユーザに固有の公開情
    報を生成する公開情報生成ステップと、 ディジタル情報に対して上記秘密情報及び上記公開パラ
    メータを用いた変換を施すことで、上記ディジタル情報
    に対応する署名を生成する署名生成ステップと、 上記公開パラメータ及び上記公開情報を用いて、上記デ
    ィジタル情報と上記署名の対応関係が正しいか否かを判
    別する署名判別ステップとを含むディジタル署名方式で
    あって、 上記公開情報を用いて、ユーザに固有の新たな秘密情
    報、新たなパラメータ、及び新たな公開情報を生成する
    ユーザ情報生成ステップと、 上記ユーザ情報生成ステップで生成された新たな秘密情
    報、新たなパラメータ、及び新たな公開情報が予め定め
    られた関係を満たすことを確認する確認ステップと、 上記確認ステップで確認された新たなパラメータ及び新
    たな公開情報を用いて、ディジタル情報を暗号化する暗
    号化ステップとを含むことを特徴とするディジタル署名
    方式。
  2. 【請求項2】 上記確認ステップで確認された新たなパ
    ラメータ及び新たな秘密情報を用いて、上記暗号化ステ
    ップで暗号化して得られた暗号文を復号する復号ステッ
    プを含むことを特徴とする請求項1記載のディジタル署
    名方式。
  3. 【請求項3】 各ユーザに共通の公開パラメータ及び各
    ユーザに固有の秘密情報から、各ユーザに固有の公開情
    報を生成する公開情報生成ステップと、 ディジタル情報に対して上記秘密情報及び上記公開パラ
    メータを用いた変換を施すことで、上記ディジタル情報
    に対応する署名を生成する第1の署名生成ステップと、 上記公開パラメータ及び上記公開情報を用いて、上記デ
    ィジタル情報と上記署名の対応関係が正しいか否かを判
    別する第1の署名判別ステップとを含むディジタル署名
    方式であって、 上記公開情報を用いて、ユーザに固有の新たな秘密情
    報、新たなパラメータ、及び新たな公開情報を生成する
    ユーザ情報生成ステップと、 上記ユーザ情報生成ステップで生成された新たな秘密情
    報、新たなパラメータ、及び新たな公開情報が予め定め
    られた関係を満たすことを確認する確認ステップと、 上記確認ステップで確認された新たなパラメータ及び新
    たな秘密情報を用いて、ディジタル情報に対応する署名
    を生成する第2の署名生成ステップとを含むことを特徴
    とするディジタル署名方式。
  4. 【請求項4】 上記確認ステップで確認された新たなパ
    ラメータ及び新たな公開情報を用いて、上記第2の署名
    生成ステップで生成された署名とそれに対応したディジ
    タル情報の関係が正しいか否かを判別する第2の署名判
    別ステップを含むことを特徴とする請求項3記載のディ
    ジタル署名方式。
  5. 【請求項5】 複数のユーザ間で共通に用いられる底の
    値に対して、各ユーザの秘密情報を指数値として指数計
    算した結果を、各ユーザの公開情報とする公開情報ステ
    ップを含むディジタル署名方式であって、 ユーザの公開情報を共通の底の代わりに用いて生成した
    平文に対する署名、及び上記ユーザの秘密情報を基に、
    そのユーザの新たな秘密情報を生成する秘密情報生成ス
    テップと、 上記秘密情報生成ステップで生成された新たな秘密情報
    に対応する新たなパラメータを生成するパラメータ生成
    ステップと、 上記署名、上記ユーザの公開情報、上記共通の底、及び
    上記平文から、上記ユーザの新たな公開情報を生成する
    公開情報生成ステップと、 上記秘密情報生成ステップで生成された新たな秘密情
    報、上記パラメータ生成ステップで生成された新たなパ
    ラメータ、及び上記公開情報生成ステップで生成された
    新たな公開情報を用いて、公開鍵暗号を実行する暗号実
    行ステップとを更に含むことを特徴とするディジタル署
    名方式。
  6. 【請求項6】 離散対数を求めることの困難性に安全性
    の根拠を置くディジタル署名方式を含むことを特徴とす
    る請求項5記載のディジタル署名方式。
  7. 【請求項7】 上記ディジタル署名方式は、ElGam
    al署名方式を含むことを特徴とする請求項6記載のデ
    ィジタル署名方式。
  8. 【請求項8】 上記ディジタル署名方式は、ElGam
    al署名方式の変形を含むことを特徴とする請求項6記
    載のディジタル署名方式。
  9. 【請求項9】 上記公開鍵暗号は、離散対数を求めるこ
    との困難性に安全性の根拠を置く暗号を含むことを特徴
    とする請求項5記載のディジタル署名方式。
  10. 【請求項10】 請求項1〜9の何れかに記載のディジ
    タル署名方式を用いた情報通信システムであって、 第1のユーザが第2のユーザに対して、毎回異なる新た
    な秘密情報、新たなパラメータ、及び新たな公開情報を
    生成可能なユーザ情報生成手段と、 上記第2のユーザに対する情報が、上記第1のユーザが
    上記ユーザ情報生成手段により生成したものであること
    を確認するユーザ情報確認手段と、 上記ユーザ情報確認手段で確認された情報を用いて、公
    開鍵暗号を実行する公開鍵暗号実行手段とを含み、 上記ユーザ情報生成手段により生成された新たなパラメ
    ータ、及び新たな公開情報から、それらに対応するユー
    ザが情報量的に判定不可能であることを特徴とする情報
    通信システム。
  11. 【請求項11】 ユーザに共通の公開パラメータ及びユ
    ーザに固有の秘密情報からユーザに固有の公開情報を生
    成する公開情報生成手段と、 上記公開パラメータ及び上記公開情報を用いて、送信さ
    れてきたディジタル情報と、そのディジタル情報に対応
    する署名との対応関係が正しいか否かを判別する署名判
    別手段と、 上記公開情報を用いて、ユーザに固有の新たな秘密情
    報、新たなパラメータ、及び新たな公開情報を生成する
    ユーザ情報生成手段と、 上記ユーザ情報生成手段で生成された新たな秘密情報、
    新たなパラメータ、及び新たな公開情報が予め定められ
    た関係を満たすことを確認する確認手段と、 上記確認手段で確認された新たなパラメータ及び新たな
    公開情報を用いて、ディジタル情報を暗号化する暗号化
    手段とを備えることを特徴とするディジタル署名方式の
    通信装置。
  12. 【請求項12】 上記確認手段で確認された新たなパラ
    メータ及び新たな秘密情報を用いて、ディジタル情報に
    対応する署名を生成する署名生成手段を備えることを特
    徴とする請求項11記載の通信装置。
  13. 【請求項13】 複数のユーザ間で共通に用いられる底
    の値に対して、ユーザの秘密情報を指数値として指数計
    算した結果を、ユーザの公開情報とする公開情報手段
    と、 上記公開情報を共通の底の代わりに用いて生成したディ
    ジタル情報に対する署名、及び上記秘密情報を基に、新
    たな秘密情報を生成する秘密情報生成手段と、 上記秘密情報生成手段で生成された新たな秘密情報に対
    応する新たなパラメータを生成するパラメータ生成手段
    と、 上記署名、上記公開情報、上記共通の底、及び上記ディ
    ジタル情報から、新たな公開情報を生成する公開情報生
    成手段と、 上記秘密情報生成手段で生成された新たな秘密情報、上
    記パラメータ生成手段で生成された新たなパラメータ、
    及び上記公開情報生成手段で生成された新たな公開情報
    を用いて、公開鍵暗号を実行する暗号実行手段とを備え
    ることを特徴とするディジタル署名方式の通信装置。
  14. 【請求項14】 上記ディジタル署名方式は、請求項1
    〜9の何れかに記載のディジタル署名方式であることを
    特徴とする請求項11〜13の何れかに記載の通信装
    置。
  15. 【請求項15】 請求項11〜14の何れかに記載の通
    信装置を含むことを特徴とする情報通信システム。
JP00662998A 1998-01-16 1998-01-16 情報通信システム Expired - Fee Related JP3862397B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP00662998A JP3862397B2 (ja) 1998-01-16 1998-01-16 情報通信システム
US09/229,440 US6298153B1 (en) 1998-01-16 1999-01-13 Digital signature method and information communication system and apparatus using such method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP00662998A JP3862397B2 (ja) 1998-01-16 1998-01-16 情報通信システム

Publications (2)

Publication Number Publication Date
JPH11202766A true JPH11202766A (ja) 1999-07-30
JP3862397B2 JP3862397B2 (ja) 2006-12-27

Family

ID=11643663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00662998A Expired - Fee Related JP3862397B2 (ja) 1998-01-16 1998-01-16 情報通信システム

Country Status (1)

Country Link
JP (1) JP3862397B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004100154A1 (ja) * 2003-04-30 2004-11-18 Sony Corporation データ処理方法、そのプログラム、その装置および記録媒体
JP2007089171A (ja) * 2005-09-21 2007-04-05 Nec (China) Co Ltd 順応性のある匿名証明書システム及びその方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004100154A1 (ja) * 2003-04-30 2004-11-18 Sony Corporation データ処理方法、そのプログラム、その装置および記録媒体
JP2007089171A (ja) * 2005-09-21 2007-04-05 Nec (China) Co Ltd 順応性のある匿名証明書システム及びその方法

Also Published As

Publication number Publication date
JP3862397B2 (ja) 2006-12-27

Similar Documents

Publication Publication Date Title
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
JP5201136B2 (ja) 匿名認証システムおよび匿名認証方法
US5796833A (en) Public key sterilization
CN110545279A (zh) 兼具隐私和监管功能的区块链交易方法、装置及系统
US20060083370A1 (en) RSA with personalized secret
US11870891B2 (en) Certificateless public key encryption using pairings
JPH03128541A (ja) 暗号通信システムと暗号通信方法
EP2792098B1 (en) Group encryption methods and devices
CN103155481A (zh) 具有消息恢复的数字签名的认证加密
US9088419B2 (en) Keyed PV signatures
CN110011995A (zh) 多播通信中的加密和解密方法及装置
US9544144B2 (en) Data encryption
Shen et al. Identity-based authenticated encryption with identity confidentiality
WO2022050833A1 (en) Method for electronic signing and authenticaton strongly linked to the authenticator factors possession and knowledge
KR20040009766A (ko) 암호 시스템에서 송수신 장치 및 방법
CN116346336B (zh) 一种基于多层密钥生成中心的密钥分发方法及相关系统
US20220038267A1 (en) Methods and devices for secured identity-based encryption systems with two trusted centers
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
KR100453113B1 (ko) 결정적 디피-헬만군에서id에 기반한 디지털 서명 및 그인증 방법
JP3694242B2 (ja) 署名付き暗号通信方法及びその装置
JP3862397B2 (ja) 情報通信システム
JP2004246350A (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
Zheng Signcryption or how to achieve cost (signature & encryption)<< cost (signature)+ cost (encryption)
JPH06112935A (ja) 暗号通信方法
JPH11202767A (ja) ディジタル署名方式、それを用いた通信装置及び情報通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060328

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060919

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060926

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091006

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101006

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101006

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111006

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111006

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121006

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131006

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees