JPH11202767A - ディジタル署名方式、それを用いた通信装置及び情報通信システム - Google Patents

ディジタル署名方式、それを用いた通信装置及び情報通信システム

Info

Publication number
JPH11202767A
JPH11202767A JP10006630A JP663098A JPH11202767A JP H11202767 A JPH11202767 A JP H11202767A JP 10006630 A JP10006630 A JP 10006630A JP 663098 A JP663098 A JP 663098A JP H11202767 A JPH11202767 A JP H11202767A
Authority
JP
Japan
Prior art keywords
information
signature
user
public
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10006630A
Other languages
English (en)
Inventor
Kazuomi Oishi
和臣 大石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP10006630A priority Critical patent/JPH11202767A/ja
Priority to US09/229,440 priority patent/US6298153B1/en
Publication of JPH11202767A publication Critical patent/JPH11202767A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)

Abstract

(57)【要約】 【課題】 メンバとオーソリティのやり取りを行う必要
のない、且つグループ署名の匿名性を確実に保つ情報通
信システムを提供する。 【解決手段】 手段20は、公開パラメータPVの代わ
りにユーザjの公開情報vj を用いてディジタル情報m
に対するディジタル署名(m,r,s)を生成し、それ
をユーザjに秘密に送信する。手段30は、ディジタル
署名(m,r,s)をユーザjの秘密情報sj を用いて
変換して別の値を求め、ディジタル情報m、ディジタル
署名(m,r,s)、及び署名者の公開情報から得られ
る値を公開情報と見なし、且つ、ディジタル署名(m,
r,s)を変換した値をユーザjの秘密情報と見なすこ
とで、ディジタル署名(m,r,m’,r’,s’)を
生成する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、公開鍵暗号を用い
たディジタル署名方式、それを用いた通信装置及び情報
通信システムに関し、特に、グループ署名方式と呼ばれ
るディジタル署名方式、それを用いた通信装置及び情報
通信システムに関するものである。
【0002】
【従来の技術】例えば、コンピュータと通信ネットワー
クの発展と広範な普及に伴い、従来は通信ネットワーク
上で実現できなかった社会的活動等、多様な機能が実現
できるようになった。しかしながらその反面、誰が、い
つ、どこで、何を行ったのかを容易に把握される場合が
あった。そこで、これを防ぐために、匿名で通信処理を
行うことで、プライバシーを保護し、且つ通信ネットワ
ーク上で多様な機能を実現する方法が提案されている。
【0003】このような方法としては、例えば、公開鍵
暗号を用いた方法があり、これにより、送信者は、通信
内容を意図する受信者のみに送信でき、しかも受信者
は、受信した通信内容の送信者が誰であるかを確実に確
認することが可能となる。そして、この方法を適用した
ディジタル署名方式として、「グループ署名」と呼ばれ
る方式がある。
【0004】そこで、まず、「暗号」及び「グループ署
名」について具体的に説明する。
【0005】(1)「暗号」 まず、「暗号」とは、情報の意味が当事者以外にには認
識できないように情報を変換することをいう。そして、
この暗号においては、元の文(変換されていない文)を
「平文」といい、その平文を第三者に意味の分からない
文(暗号文)に変換することを「暗号化」といい、その
変換の手順を「暗号アルゴリズム」という。平文及び暗
号文は、テキストデータに限られるものではなく、音声
や画像等、あらゆる情報を想定している。暗号化は、
「暗号化鍵」と呼ばれるパラメータに依存する変換であ
る。そして、その暗号化で得られた暗号文を当事者が元
の平文に戻すことを「復号」といい、その復号の際に
は、「復号鍵」と呼ばれる暗号化鍵に対応するパラメー
タが用いられる。一方、当事者以外の第三者が暗号文を
元の平文に戻すこと、或いは、復号鍵を見いだすことを
「解読」という。
【0006】上述のような暗号では暗号の安全性を、暗
号化に用いる暗号化鍵或いは復号に用いる復号鍵に帰着
させており、それらの鍵を知らなければ、たとえ暗号ア
ルゴリズムを知っていても、平文は得られないようにな
っている。したがって、所定の暗号化を行う装置(暗号
装置)の製造者でも、解読不可能な暗号化を実現するこ
とができる。
【0007】また、暗号には、多くの暗号アルゴリズム
がある。そこで、例えば、暗号化鍵を公開できるか否か
の観点から、暗号を、非対称暗号(公開鍵暗号)と対称
暗号(共通鍵暗号)の2つに分類して説明する。
【0008】(1−1)「非対称暗号(公開鍵暗号)」 「非対称暗号」とは、「公開鍵暗号」とも呼ばれ、暗号
化鍵と復号鍵が異なり、暗号化鍵から復号鍵が容易に計
算して得られないようになっており、また、暗号化鍵を
公開し、復号鍵を秘密に保持して使用される暗号のこと
をいう。このような非対称暗号は、以下のような特徴を
持っている。 特徴1:暗号化鍵と復号鍵が異なり、暗号化鍵が公開さ
れるため、暗号化鍵を秘密に配送する必要がなく、その
鍵の配送が容易である。 特徴2:各利用者の暗号化鍵は公開されるため、各利用
者は、各自の復号鍵のみ秘密に保持しておけばよい。 特徴3:送信されてきた通信文の送信者が偽者でないこ
と、及びその通信文が改ざんされていないことを受信者
が確認するための認証(ディジタル署名)機能を実現で
きる。
【0009】ここで、暗号機能と上述の認証機能を実現
できる非対称暗号としては、RSA暗号(R.L.Rivest,
A.Shamir and L.Adleman,"A method of obtaining digi
tal signatures and public key cryptosystems,"Commu
nications of ACM,Vol.21,No.2,pp.120-126,1978 )
や、ElGamal暗号(T.E.ElGamal,"A public key
cryptosystem and a signature scheme based on discr
ete logarithms,"IEEE Transaction on Information Th
eory,Vol.IT-31,No.4,pp.496-472,1985 )が知られてい
る。また、認証機能を実現できる非対称暗号としては、
Fiat−Shamir暗号(A.Fiat,A.Shamir,"How t
o prove yourself:practical solutions of identifica
tion and signature problrms,"Proc.of CRYPTO'86,198
7 )や、Schnorr暗号(C.P.Schnorr,"Efficient
signature generation by smart cards,"Journal of C
ryptology,vol.4,pp.161-174,1991 )が知られている。
【0010】例えば、ElGamal暗号における暗号
化、復号、認証(ディジタル署名)の生成、及びその検
証について具体的に説明する。
【0011】まず、「Z」を整数全体の集合、「Zp
を0以上p未満の整数の集合、「Z p \{0}」をZp
から0を除いた集合、「Zp * 」をZp の要素且つpと
互いに素である整数の集合として表すものとする。ま
た、整数A,B,Cに対して、 A=BmodC なる関係が成り立つとき、BをCで割ったときの余りが
Aであること(任意の整数kが存在し、「B=k・C+
A」が成り立つこと)を意味し、 A≡B(modC) なる関係が成り立つとき、AをCで割ったときの余り
と、BをCで割ったときの余りとが等しいことを意味す
るものとする。さらに、通信相手と共通の公開パラメー
タとしては、素数p、Zp * の要素であり且つ位数p−
1のα、及び一方向性ハッシュ関数H0 :Z→Zp
{0}を用いる。また、任意のユーザiの復号鍵(秘密
鍵)を「si ∈Zp-1 」とし、暗号化鍵(公開鍵)を
「vi =αSimodp」とする。尚、「一方向性ハッシ
ュ関数」とは、衝突を起こしにくい圧縮関数のことであ
る。すなわち、「一方向性ハッシュ関数」とは、任意の
長さのビット列を出力する関数であり、同じ出力となる
入力を見つけることが困難である、という特徴を持って
いる。
【0012】暗号化 そこで、ユーザjが平文(メッセージ)m(∈Zp )を
暗号化してユーザiに対して送信する場合、ユーザj用
端末装置では、以下のステップ1〜ステップ4の手順で
その処理が行われる。尚、メッセージmがZp の要素で
ない場合、すなわちp以上の数値の場合には、そのメッ
セージmをZp の要素となるようにブロック分割され、
各ブロックに対して、以下の手順の暗号化が行われる。 ステップ1:ユーザj用端末装置は、乱数kを生成す
る。 ステップ2:ユーザj用端末装置は、 C1 =αk modp なる計算を行う。 ステップ3:ユーザj用端末装置は、 C2 =m・vi k modp なる計算を行う。 ステップ4:ユーザj用端末装置は、ステップ2及び3
の計算結果C1 及びC 2 を、ユーザi用端末装置に対し
て送信する。
【0013】復号 上記暗号化により、ユーザj用端末装置からユーザi
用端末装置には、C1及びC2 が送信される。そして、
ユーザi用端末装置は、ユーザj用端末装置から送信さ
れてきたC1 及びC2 を用いて、メッセージmを、 m=C2 /C1 Simodp なる計算により求める。
【0014】ディジタル署名の生成 上記復号により得られたメッセージm(∈Z)に対し
て、ユーザi用端末装置がディジタル署名を生成する場
合、ユーザi用端末装置では、以下のステップ1〜ステ
ップ4の手順でその処理が行われる。尚、上記暗号化
で述べたように、メッセージmをブロック分割する場合
もあるが、ここでは、一方向性ハッシュ関数を用いる場
合を説明する。 ステップ1:ユーザi用端末装置は、乱数k(∈Zp-1
* )を生成する。 ステップ2:ユーザi用端末装置は、 r=αk modp なる計算を行う。 ステップ3:ユーザi用端末装置は、 s=(H0 (m)−si ・r)・k-1mod(p−1) なる計算を行う。 ステップ4:ユーザi用端末装置は、ステップ2及び3
の計算結果r及びsを、検証者に対して送信する。
【0015】ディジタル署名の検証 そして、上記ディジタル署名の生成により得られたデ
ィジタル署名を、ユーザi用端末装置が検証する場合、
ユーザi用端末装置は、 αH0(m) ≡vi r ・rS (modp) なる関係が成り立つか否かを確認する。
【0016】(1−2)「対称暗号(共通鍵暗号)」 一方、「対称暗号」とは、「共通鍵暗号」とも呼ばれ、
暗号化鍵と復号鍵が同一である暗号のことをいう。ま
た、1970年後半に上述した非対称暗号(公開鍵暗
号)が現れてから、従来から存在するこの対称暗号は、
「慣用暗号」とも呼ばれるようになった。このような対
称暗号は、適当な長さの文字列(ブロック)毎に同じ暗
号化鍵で暗号化するブロック暗号と、文字列又はビット
毎に暗号化鍵を変えて暗号化するストリーム暗号とに分
類される。ブロック暗号としては、文字の順序を置き換
えて暗号化する転置式暗号や、文字を他の文字に換える
換字式暗号等があり、DES(Data Encryption Standa
rd)や、FEAL(Fast data Encipherment Algorith
m)といった商用暗号として広く用いられている。スト
リーム暗号は、メッセージに乱数をXOR(排他論理
和)して、その内容を攪乱する暗号であり、このストリ
ーム暗号としては、無限周期の乱数列を1回限りの使い
捨て鍵として用いるバーナム暗号が知られている。
【0017】尚、上述した(1)暗号の更なる詳細は、
「暗号理論入門」(岡本栄司著:共立出版)や、「Appl
ied cryptography second edition:protocols,algorith
ms,and source code in C 」(Schneier著)、「John W
iley&Sons,Inc 」等に述べられている。
【0018】(2)「グループ署名」 つぎに、「グループ署名」とは、「D.Chaum,E.van Heys
t,"Group Signatures,"Advances in Cryptology-EUROCR
YPT'91,pp.257-265,Springer-Verlag,1991」にて提案さ
れたディジタル署名であり、以下のような特徴を持つ。
特徴1:グループのメンバーのみが署名を行うことがで
きる。特徴2:署名を受け取ったメンバーは、それが正
当な署名であることは確認することはできるが、グルー
プのどのメンバーが署名したのかは分からない。特徴
3:後に、必要が生じた場合に、署名者を明らかにする
ために、その署名は、グループのメンバーの手助けを借
りて、或いは、借りずに、開示することができる。
【0019】このようなグループ署名の用途としては、
例えば、入札システムがある。この入札システムでは、
任意の入札に参加する応札者をメンバーとし、応札者
は、自分のつける価格や条件に対して、グループ署名を
生成する。これにより、落札しない限り、誰がどの価格
をつけたのか、どのような条件をつけたのかは分から
ず、落札の際に、その落札者、すなわち署名者を明らか
にできる。
【0020】また、グループ署名については、例えば、
特願平8−108226号にも開示されている。この特
願平8−108226号にて開示されているグループ署
名では、匿名公開鍵証明書を利用している。「匿名公開
鍵証明書」とは、上述した(1−1)非対称暗号(公開
鍵暗号)等において、任意のユーザと、そのユーザの公
開鍵(暗号化鍵)との対応を保証するものであり、印鑑
証明書のような役割を果たすものである。具体的には、
「匿名公開鍵証明書」とは、公開鍵と、その持ち主の個
人識別情報等からなるメッセージに対するディジタル署
名であり、信頼できる特別なユーザによって生成される
ものである。また、「匿名公開鍵証明書」とは、その公
開鍵に対応するユーザ(エンティティ)が、どこの誰で
あるかを分からないようにしたものでもある。このよう
な匿名公開鍵証明書は、例えば、特願平8−10822
5号に開示されている。
【0021】そこで、上述の特願平8−108226号
にて開示されているグループ署名では、任意の信頼され
たオーソリティ(以下、ZAで示す)が、グループのメ
ンバーに対して匿名公開鍵証明書を発行する。これを受
けたグループのメンバーは、その匿名公開鍵証明書と、
自分の秘密鍵とを用いて、ディジタル署名を生成する。
この匿名公開鍵証明書と、生成したディジタル署名とを
合わせたものが、グループ署名となる。このようなグル
ープ署名を受け取った者は、ZAに認められた者、すな
わちグループのメンバーの誰かが署名したを知ることが
できる。しかし、匿名公開鍵証明書の匿名性により、誰
が署名者なのかは特定することはできない。そして、そ
の特定の必要が生じた時に、署名者を開示することがで
きる。
【0022】
【発明が解決しようとする課題】ところで、上述した従
来のグループ署名では、匿名性が保たれている。この匿
名性は、匿名公開鍵証明書の匿名性に基づくものであ
り、以下の2つの仮定に基づくものである。
【0023】仮定1:離散対数問題 「G」を有限群とし、「α」をその生成元とする。ま
た、「v」をGの元とし、底αに対するvの離散対数を
「log[α]v」とする。そこで、Gの位数(元の個
数)が充分大きい場合、離散対数log[α]vを求め
ることは困難となる。
【0024】仮定2:離散対数の比較問題 「r」と「s」をGのランダムな元とする。そこで、
α、v=αs 、x=αr 、z=αrsが与えられたとき、
Gの位数が充分大きく、rとsが未知である場合、lo
g[α]vとlog[x]zが等しいか否かを判別する
ことはできない。
【0025】上述のような仮定1及び仮定2が成り立つ
ことにより、匿名公開鍵証明書は匿名性が満たされ、し
たがって、グループ署名の匿名性も満たされることにな
る。
【0026】しかしながら、従来では、仮定2のみを解
くアルゴリズムが見いだされ、仮定1は成り立つが仮定
2が成り立たず、グループ署名の匿名性が無くなる場合
があった。
【0027】具体的にはまず、仮定1の離散対数問題を
解くことは、現在までの研究成果によれば非常に難しい
とされ、安全性の根拠として用いることは妥当であると
考えられている。すなわち、このような離散対数問題が
解ければ、仮定2の離散対数の比較問題も解けることに
なる。これにより、仮定2を解くことは、仮定1を解く
ことと同じくらい易しい、或いは、仮定1を解くことよ
りも易しい、ということがわかる。したがって、この仮
定2を解くことが仮定1を解くことよりどの程度易しい
かは、現在のところ不明であるが、仮定2のみを解くア
ルゴリズムが見いだされた場合、仮定1は成り立つが仮
定2が成り立たなくなるという事態が考えられる。この
ような場合に、上述したグループ署名の匿名性が無くな
る。
【0028】一方、従来のグループ署名の中には、匿名
性の根拠として上述の仮定2を必要としないものが存在
する。例えば、「L.Chen,T.P.Pedersen,"New group sig
nature schemes,"Advanced in Cryptology-EUROCRYPT'9
4,pp.171-181,1995 」にて提案されているグループ署名
である。しかしながら、このグループ署名においては、
ZAは各メンバーの秘密鍵の一部を知る必要があり、し
たがって、新たなグループを作るとき、或いは、既存の
グループに新たなメンバーを加えるときには、メンバー
は自分の秘密鍵の一部をZAに知らせる必要があった。
【0029】そこで、本発明は、上記の欠点を除去する
ために成されたもので、如何なる場合でも匿名性を確実
に且つ効率的に保つことができるディジタル署名方式、
それを用いた通信装置及び情報通信システムを提供する
ことを目的とする。
【0030】
【課題を解決するための手段】本発明は、ElGama
l暗号等のディジタル署名を生成する手段と、上記ディ
ジタル署名を各ユーザに秘密に送信する手段と、上記デ
ィジタル署名を各ユーザの秘密情報を用いて変換する手
段と、離散対数問題に安全性の根拠を置くディジタル署
名方式を利用する手段と、上記ElGamal暗号等の
ディジタル署名に対応する乱数を記憶する手段とを少な
くとも備えている。この構成において、上記ディジタル
署名を生成する手段は、共通に使用する公開パラメータ
の代わりに各ユーザの公開情報を用いて、平文や予め定
められた固定値等のディジタル情報に対するディジタル
署名を生成する。上記ディジタル署名を各ユーザに秘密
に送信する手段は、上記ディジタル署名を各ユーザに秘
密に送信する。上記ディジタル署名を各ユーザの秘密情
報を用いて変換する手段は、上記秘密に送信する手段に
より送信されてきたディジタル署名を各ユーザの秘密情
報を用いて変換して別の値を求める。上記離散対数問題
に安全性の根拠を置くディジタル署名方式を利用する手
段は、上記ディジタル情報、上記ディジタル署名、及び
署名者の公開情報から得られる値を公開情報と見なし、
且つ、上記ディジタル署名を変換した値をそのユーザの
秘密情報と見なすことで、ディジタル署名を生成する。
そして、任意のディジタル署名が与えられたとき、上記
ディジタル署名に対応する乱数を記憶する手段に記憶さ
れた情報、すなわちそのディジタル署名に対応する乱数
を検索して署名者を特定し、署名者名を開示する。これ
により、各ユーザが公開鍵として用いる情報(公開情
報)から、それがどのユーザと対応するかを特定するこ
とは情報量的に不可能であるため、匿名性は上述の仮定
2(離散対数の比較問題)に依存していないことにな
る。すなわち、上記仮定2が成り立たなく事態が起きた
としても、グループ署名の匿名性は保たれる。また、新
たなグループを作るとき、或いは、既存のグループに新
たなメンバを加えるとき、オーソリティは、そのメンバ
の公開情報を基に生成したElGamal暗号等のディ
ジタル署名を生成し、そのディジタル署名をメンバに秘
密に送信する。これにより、メンバは、自分の秘密情報
を受け取ったディジタル署名を利用してグループ署名を
生成することができるため、オーソリティからメンバへ
の一方向通信のみ行えばよい。すなわち、従来行われて
いたような、メンバとオーソリティの間のやり取りは必
要ない。
【0031】すなわち、第1の発明は、各ユーザに共通
の公開パラメータ及び各ユーザに固有の秘密情報から各
ユーザに固有の公開情報を生成する公開情報生成ステッ
プと、グループのオーソリティがグループに所属するユ
ーザに固有の上記公開情報を基にして、新たな秘密情
報、新たなパラメータ、及び新たな公開情報をメンバ情
報として生成するメンバ情報生成ステップと、上記メン
バ情報生成ステップで生成されたメンバ情報を上記グル
ープに所属するユーザに秘密に送信する秘密通信ステッ
プと、上記メンバ情報生成ステップで生成されたメンバ
情報が予め定められた関係を満たすことを確認するメン
バ情報確認ステップと、上記メンバ情報確認ステップで
確認されたメンバ情報を用いて、ディジタル情報に対応
する署名を生成する署名生成ステップと、上記メンバ情
報確認ステップで確認されたメンバ情報と上記署名生成
ステップで生成された署名の正当性を、上記オーソリテ
ィの公開情報を用いて確認する署名確認ステップと、上
記署名生成ステップで生成された署名に用いられた乱数
から、その署名がどのユーザにより生成されたかを判別
する署名者判別ステップとを含むことを特徴とする。
【0032】第2の発明は、上記第1の発明において、
上記メンバ情報生成ステップは、上記共通の公開パラメ
ータの代わりに、ユーザに固有の公開情報を用いたEl
Gamal署名方式を利用するステップを含むことを特
徴とする。
【0033】第3の発明は、上記第1の発明において、
上記署名生成ステップは、離散対数問題に安全性の根拠
を置くディジタル署名方式を利用するステップを含むこ
とを特徴とする。
【0034】第4の発明は、任意のグループのオーソリ
ティ用通信手段及び他のユーザ用通信手段とディジタル
署名方式を用いて通信する通信装置であって、共通の公
開パラメータ及び固有の秘密情報から固有の公開情報を
生成する公開情報生成手段と、上記オーソリティ用通信
手段により、上記公開情報を基にして新たな秘密情報、
新たなパラメータ、及び新たな公開情報をメンバ情報と
して生成され秘密に送信されてきたメンバ情報が、予め
定められた関係を満たすことを確認するメンバ情報確認
手段と、上記メンバ情報確認手段で確認されたメンバ情
報を用いて、ディジタル情報に対応する署名を生成する
署名生成手段と、上記署名生成手段で生成された署名を
他のユーザに送信する送信手段と、他のユーザからの署
名の正当性を、上記オーソリティの公開情報を用いて確
認する署名確認手段とを備えることを特徴とする。
【0035】第5の発明は、任意のグループのオーソリ
ティ用通信装置であり、少なくともそのグループに所属
するユーザ用通信手段とディジタル署名方式を用いて通
信する通信装置であって、共通の公開パラメータ及び固
有の秘密情報から固有の公開情報を生成する公開情報生
成手段と、上記グループに所属するユーザに固有の公開
情報を基にして、新たな秘密情報、新たなパラメータ、
及び新たな公開情報をメンバ情報として生成するメンバ
情報生成手段と、上記メンバ情報生成手段で生成された
メンバ情報を上記グループに所属するユーザ用通信手段
に秘密に送信する秘密通信手段と、上記グループに所属
するユーザ用通信手段により、上記メンバ情報生成手段
で生成されたメンバ情報が予め定められた関係を満たす
ことが確認され、そのメンバ情報を用いて生成されたデ
ィジタル情報に対応する署名に用いられた乱数から、そ
の署名がどのユーザにより生成されたかを判別する署名
者判別手段とを備えることを特徴とする。
【0036】第6の発明は、上記第4又は第5の発明に
おいて、上記ディジタル署名方式は、請求項1〜3の何
れかに記載のディジタル署名方式であることを特徴とす
る。
【0037】第7の発明は、少なくとも請求項4〜6の
何れかに記載の通信装置を含むシステムであることを特
徴とする。
【0038】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を用いて説明する。
【0039】まず、第1の実施の形態について説明す
る。
【0040】本発明に係るディジタル署名方式は、例え
ば、図1に示すような通信システム100により実施さ
れ、この通信システム100は、本発明に係る情報通信
システムを適用したものでもある。
【0041】すなわち、通信システム100では、証明
書発行者ZA用端末装置20と、ユーザj,k,vを含
む複数のユーザ用端末装置30、40、50、・・・と
が匿名通信ネットワーク(Anonymous Communication Ne
twork )10上で接続されており、各ユーザは、通信ネ
ットワーク10を介して互いに匿名で通信できるように
なされている。また、通信システム100には、証明書
発行者ZAやユーザj,k,V等がアクセスできる公開
データベースPD(Public Database )が存在し、この
公開データベースPDに各ユーザの公開鍵や共通のパラ
メータ等が登録される。そして、公開データベースPD
に登録された各種情報は、その情報をすり替える、とい
うような不当な行為が行えないように適切に管理されて
いる。
【0042】上述のような通信システム100の概念に
ついて説明すると、まず、通信システム100におい
て、任意のグループ60の公開鍵を「vZA」とし、その
グループ60は、ユーザj及びkを含むメンバーからな
るものとする。そこで、同じグループ60に所属するユ
ーザj及びkは、証明書発行者ZAから匿名公開鍵証明
書(m,r,s)を発行してもらう。そして、例えば、
ユーザjは、匿名公開鍵証明書(m,r,s)に基づ
き、ユーザ固有の署名部分(m’,r’,s’)を生成
し、ユーザVに対して匿名通信ネットワーク10を介し
てグループ署名((m,r),m’,r’,s’)を送
る。これを受けたユーザVは、公開鍵vZAを用いて、メ
ッセージm’に対するグループ署名の正当性を検証す
る。
【0043】そこで、上述の証明書発行者ZA用端末装
置20、及び各ユーザj,k,V用端末装置30、4
0、50は、図2に示すような構成としている。
【0044】すなわち、証明書発行者ZA用端末装置2
0は、グループ60のオーソリティであり、秘密鍵sZA
(秘密情報)及び公開鍵vZA(公開情報)を生成する公
開鍵生成部21と、グループ60のユーザに固有の公開
鍵を基にして平文mに対する匿名公開鍵証明書(以下、
署名又はメンバー情報とも言う)を生成する署名生成部
22と、署名生成部22で生成された署名をグループ6
0のユーザに秘密に送信する秘密通信部23とを備えて
いる。また、証明書発行者ZA用端末装置20は、署名
の発行に対応した乱数を記憶する記憶部24と、グルー
プ60の任意のユーザで生成された署名に使用された乱
数と記憶部24の記憶情報からその署名を生成したユー
ザを特定する署名者判別部25とを備えている。
【0045】一方、ユーザ用端末装置30、40、5
0、・・・は、各々同様の構成としている。例えば、ユ
ーザj用端末装置30は、ユーザj固有の秘密鍵sj
び公開鍵v j を生成する公開鍵生成部31と、証明書発
行者ZA用端末装置20からの署名が予め定められた関
係を満たすことを確認する確認部32と、確認部32で
確認された署名を用いてディジタル情報に対応する署名
を生成する署名生成部33とを備えている。また、ユー
ザj用端末装置30は、署名の正当性を証明書発行者Z
A用端末装置20の公開鍵を用いて確認する署名確認部
34とを備えている。
【0046】以下、通信システム100におけるグルー
プ署名について、上記図2図3を用いて具体的に説明す
る。
【0047】ステップS200:先ず、通信システム1
00の共通のデータとして、大きな素数p、Zp * の要
素であり且つ位数p−1のα、一方向性ハッシュ関数H
0 :Z→Zp \{0}を用いる。尚、pは、例えば、
「p>2512 」とする。これらのパラメータ(公開パラ
メータPV(Public Values ))は、公開データベース
PDに登録されている。そこで、グループ60の信頼さ
れたオーソリティ(A Trusted Authorithy)である証明
書発行者ZA用端末装置20は、公開鍵生成部21によ
り、秘密鍵(復号鍵)sZA(∈Zp-1 * )と、公開鍵
(暗号化鍵)vZA(=αSZA modp)とを生成し、公
開鍵vZAを公開データベースPDに登録する。また、グ
ループ60の任意のユーザ用端末装置(ここではユーザ
(Member)j用端末装置30とする)は、公開鍵生成部
31により、秘密鍵(復号鍵)sj (∈Zp-1 * )と、
公開鍵(暗号化鍵)vj (=αsjmodp)とを生成
し、公開鍵vj を公開データベースPDに登録する。
【0048】ステップS201:匿名公開鍵証明書の生
成 証明書発行者ZA用端末装置20は、署名生成部22に
より、グループ60のメンバーであるユーザjの公開鍵
j を、乱数(random number )kを用いて変換したr
を求め、平文mに対する署名(例えば、ElGamal
暗号によるディジタル署名)を生成する。具体的には、
署名生成部22は、乱数(秘密の乱数)k(k∈Zp-1
* )を選択し、 r=vj k modp s=(H0 (m)−sZA・r)・k-1mod(p−1) なる計算を行う。この平文mに対するElGamal暗
号によるディジタル署名r,sが匿名公開鍵証明書であ
る。また、平文mは、その匿名公開鍵証明書の種類を示
すパラメータとして使用できる。尚、匿名公開鍵証明書
の種類を示すパラメータとしては、平文m或いはH
0 (m)の代わりに、予め決められた固定値を使用して
もよい。
【0049】ステップS202:匿名公開鍵証明書の配
送 次に、証明書発行者ZA用端末装置20は、秘密通信部
23により、署名生成部22で生成したディジタル署名
r,sと、その種類を示すパラメータmとを匿名公開鍵
証明書(m,r,s)として、ユーザj用端末装置30
に対して秘密に送信する。
【0050】ステップS203:これを受けたユーザj
用端末装置30は、確認部32により、証明書発行者Z
A用端末装置20からの匿名公開鍵証明書(m,r,
s)がユーザj自身に対して発行されたものであるか否
かを、以下のようにして判別する。すなわち、確認部3
2は、 sj ’=s・sj -1mod(p−1) を求め、 αH0(m) ≡vZA r ・rsj' (modp) が成り立つことを確認する。
【0051】ステップS204:グループ署名の生成 そして、ユーザj用端末装置30は、 αH0(m) ・vZA -r≡rsj' (modp) により、「r」を底、「αH0(m) ・vZA -rmodp」を
公開鍵、「sj ’」を秘密鍵として、離散対数問題に基
づく公開鍵暗号を利用してディジタル署名を生成する。
例えば、ElGamal暗号によるディジタル署名を生
成する場合、ユーザj用端末装置30は、署名生成部3
3により、平文(メッセージ)m’に対するディジタル
署名を以下のようにして生成する。 署名生成部33は、乱数k’(∈Zp-1 * )を生成す
る。 署名生成部33は、 r’=αk'modp を計算する。 署名生成部33は、 s’=(H0 (m’)−sj ’・r)・(k’)-1mo
d(p−1) を計算する。 そして、ユーザj用端末装置30は、m’と、署名生
成部33で得られたr’及びs’を、証明書発行者ZA
用端末装置20からの匿名公開鍵証明書(m,r)と共
に通信相手(ここではユーザV用端末装置40とする)
に対して送信する。
【0052】ステップS205:署名検証 これを受けたユーザV用端末装置50は、署名確認部4
5により、 rH0(m')≡(αH0(m) ・vZA -rr'・(r’)s'(mo
dp) なる式が成立するかを確認する。そして、ユーザV用端
末装置50は、この確認ができた場合に、m’に対する
署名は証明書発行者ZAから匿名公開鍵証明書を受け取
ったユーザ、すなわちグループ60のメンバーによって
生成された署名であることを認識する。
【0053】また、任意のグループ署名を誰が生成した
のかを明らかにすること、すなわちグループ署名の開示
は以下のようにして行われる。
【0054】例えば、対象グループの署名を((m,
r),m’,r’,s’)とし、その署名者をユーザj
とし、r=vj modpとする。この場合、証明書発行
者ZA用端末装置20は、匿名公開鍵証明書の発行の際
に、それを発行したユーザと対応する乱数kを記憶部2
4に記憶する。そして、開示するグループ署名(m,
r)が証明書発行者ZA用端末装置20に与えられる
と、証明書発行者ZA用端末装置20は、署名者判別部
25により、記憶部223の記憶情報を検索すること
で、r=vj modpであることを認識する。したがっ
て、証明書発行者ZA用端末装置20は、署名者がユー
ザjであることを知ることができる。
【0055】また、証明書発行者ZA用端末装置20
は、匿名公開鍵証明書(m,r,s)の「s」を明らか
にし、離散対数が等しいことを証明する零知識証明プロ
トコルを利用して、 log[g](gH0(m) ZA -rs-1 =log[vj
r(=k) を証明する。この離散対数が等しいことを証明する零知
識証明プロトコルの一つに以下のようなプロトコルがあ
る。
【0056】log[g]x=log[α]y(=s)
を証明する零知識証明プロトコル: ユーザV用端末装置50は、乱数aとb(a,b∈Z
q )を選択し、 c=ga αb を計算し、証明者P用端末装置(証明書発行者ZA用端
末装置20)に対して送信する。 証明者P用端末装置は、乱数t(t∈Zq )を選択
し、 h1 =c・αt2 =h1 s を計算し、h1 及びh2 をユーザV用端末装置50に対
して送信する。 ユーザV用端末装置50は、乱数a及びbを証明者P
用端末装置に対して送信する。 証明者P用端末装置は、 c=ga αb が成り立つことを確認し、乱数tをユーザV用端末装置
50に対して送信する。 ユーザV用端末装置50は、 h1 =ga αb+t2 =xa b+t が成り立つことを確認する。
【0057】尚、log[g]x=log[α]y(=
s)を証明するプロトコルとしては、上述のからか
らなるプロトコルに限らず、他の同様のプロトコルを用
いるようにしてもよい。
【0058】つぎに、第2の実施の形態について説明す
る。
【0059】この第2の実施の形態では、上述した第1
の実施の形態における通信システム100に、ElGa
mal暗号のディジタル署名方式の変形版を適用する。
このため、第1の実施の形態では、ElGamal暗号
でp−1を用いて法演算を行うのに対して、第2の実施
の形態では、素数qを用いて法演算を行うという点が異
なる。
【0060】尚、この第2の実施の形態を実施する通信
システム100の構成については、上述した第1の実施
の形態と同様であるため、その詳細な説明は省略する。
以下、第1の実施の形態と異なる点についてのみ、図4
を用いて具体的に説明する。
【0061】ステップS300:先ず、通信システム1
00の共通のデータとして、大きな素数p、q(q|p
−1、すなわちqはp−1を割り切る)、Zp * の要素
であり且つ位数qのα、一方向性ハッシュ関数H1 :Z
→Zq \{0}、H2 :Zp ×Z→{0,・・・,2t
−1}を用いる。尚、ここでは、例えば、「p>
512 」、「q>2160 」、「t>72」とする。これ
らのパラメータ(公開パラメータPV)は、公開データ
ベースPDに登録されている。そこで、証明書発行者Z
A用端末装置20は、公開鍵生成部21により、秘密鍵
ZA(∈Zq \{0})と、公開鍵vZA(=αsZA mo
dp)とを生成し、公開鍵vZAを公開データベースPD
に登録する。また、任意のユーザ用端末装置(ここでは
ユーザ(User)j用端末装置30とする)は、秘密鍵s
j (∈Zq \{0})と、公開鍵vj (=αsjmod
p)とを生成し、公開鍵vj を公開データベースPDに
登録する。
【0062】ステップS301:匿名公開鍵証明書の生
成 証明書発行者Q用端末装置20は、署名生成部22によ
り、グループ60のメンバーであるユーザjの公開鍵v
j を、乱数(random number )kを用いて変換したrを
求め、平文mに対する署名(例えば、ElGamal暗
号によるディジタル署名)を生成する。具体的には、署
名生成部22は、乱数(秘密の乱数)k(k∈Zq
{0})を選択し、 r=vj k modp s=(H1 (m)−sZA・r)・k-1modq なる計算を行う。この平文mに対するElGamal暗
号によるディジタル署名r,sが匿名公開鍵証明書であ
る。また、平文mは、その匿名公開鍵証明書の種類を示
すパラメータとして使用できる。尚、匿名公開鍵証明書
の種類を示すパラメータとしては、平文m或いはH
1 (m)の代わりに、予め決められた固定値を使用して
もよい。
【0063】ステップS302:匿名公開鍵証明書の配
送 次に、証明書発行者Q用端末装置20は、秘密通信部2
3により、署名生成部22で生成したディジタル署名
r,sと、その種類を示すパラメータmとを匿名公開鍵
証明書(m,r,s)として、ユーザj用端末装置30
に対して秘密に送信する。
【0064】ステップS303:これを受けたユーザj
用端末装置30は、確認部32により、 sj ’=s・sj -1modq を求め、 αH1(m) ≡vZA r・rsj' (modp) が成り立つことを確認する。
【0065】ステップS304:グループ署名の生成 そして、ユーザj用端末装置30は、 αH1(m) ・vZA -r≡rsj' (modp) により、「r」を底、「αH1(m) ・vZA -rmodp」を
公開鍵、「sj ’」を秘密鍵として、離散対数問題に基
づくディジタル署名を生成する。例えば、Schono
rr暗号によるディジタル署名を生成する場合、ユーザ
j用端末装置30は、署名生成部33により、平文(メ
ッセージ)m’に対するディジタル署名を以下のように
して生成する。 署名生成部33は、乱数k’(∈Zq \{0})を生
成する。 署名生成部33は、 x=rk'modp を計算する。 署名生成部33は、 e=H2 (x,m’) を計算する。 署名生成部33は、 y=k’−e・sj ’modq を計算する。 そして、ユーザj用端末装置30は、m’と、署名生
成部33で得られたe及びyを、証明書発行者ZA用端
末装置20からの匿名公開鍵証明書(m,r)と共に通
信相手(ここではユーザV用端末装置50とする)に対
して送信する。
【0066】ステップS305:署名検証 これを受けたユーザV用端末装置50は、署名確認部5
4により、 e=H2 (ry ・(αH1(m) ・vZA -re modp,
m’) なる式が成立するかを確認する。そして、ユーザV用端
末装置50は、この確認ができた場合に、m’に対する
署名は、証明書発行者ZAから匿名公開鍵証明書を受け
取ったユーザ、すなわちグループ60のメンバーによっ
て生成された署名であることを認識する。
【0067】尚、この第2の実施の形態における「グル
ープ署名の開示」については、上述した第1の実施の形
態における「グループ署名の開示」と同様であるため、
その詳細な説明は省略する。
【0068】
【発明の効果】以上説明したように本発明によれば、グ
ループ署名の匿名性は、情報量的に保たれる。したがっ
て、離散対数の比較問題が解かれてしまう事態が起きた
としても、グループ署名の匿名性を保つことができるた
め、従来よりも確実に安全性を図ることができ、如何な
る場合でもグループ署名の匿名性を確実に保つことがで
きる。また、新たなグループを作るとき、或いは、既存
のグループに新たなメンバを加えることでも、メンバと
オーソリティのやり取りは必要ない。したがって、メン
バとオーソリティのやり取りを行うことなく、グループ
署名の匿名性を確実に且つ効率的に保つことができる。
さらに、任意のユーザがオーソリティの役目を努めるこ
ともできる。
【図面の簡単な説明】
【図1】第1の実施の形態において、本発明に係る情報
通信システムを適用した通信システムの構成を示すブロ
ック図である。
【図2】上記通信システムの構成の詳細を説明するため
のブロック図である。
【図3】上記通信システムにおけるグループ署名を説明
するための図である。
【図4】第2の実施の形態において、上記通信システム
におけるグループ署名を説明するための図である。
【符号の説明】
10 匿名通信ネットワーク 20 証明書発行者(オーソリティ)用端末装置 21 公開鍵生成部 22 署名生成部 23 秘密通信部 24 記憶部 25 署名者判別部 30〜50 ユーザ用端末装置 31 公開鍵生成部 32 確認部 33 署名生成部 34、54 署名確認部 60 グループ

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 各ユーザに共通の公開パラメータ及び各
    ユーザに固有の秘密情報から各ユーザに固有の公開情報
    を生成する公開情報生成ステップと、 グループのオーソリティがグループに所属するユーザに
    固有の上記公開情報を基にして、新たな秘密情報、新た
    なパラメータ、及び新たな公開情報をメンバ情報として
    生成するメンバ情報生成ステップと、 上記メンバ情報生成ステップで生成されたメンバ情報を
    上記グループに所属するユーザに秘密に送信する秘密通
    信ステップと、 上記メンバ情報生成ステップで生成されたメンバ情報が
    予め定められた関係を満たすことを確認するメンバ情報
    確認ステップと、 上記メンバ情報確認ステップで確認されたメンバ情報を
    用いて、ディジタル情報に対応する署名を生成する署名
    生成ステップと、 上記メンバ情報確認ステップで確認されたメンバ情報と
    上記署名生成ステップで生成された署名の正当性を、上
    記オーソリティの公開情報を用いて確認する署名確認ス
    テップと、 上記署名生成ステップで生成された署名に用いられた乱
    数から、その署名がどのユーザにより生成されたかを判
    別する署名者判別ステップとを含むことを特徴とするデ
    ィジタル署名方式。
  2. 【請求項2】 上記メンバ情報生成ステップは、上記共
    通の公開パラメータの代わりに、ユーザに固有の公開情
    報を用いたElGamal署名方式を利用するステップ
    を含むことを特徴とする請求項1記載のディジタル署名
    方式。
  3. 【請求項3】 上記署名生成ステップは、離散対数問題
    に安全性の根拠を置くディジタル署名方式を利用するス
    テップを含むことを特徴とする請求項1記載のディジタ
    ル署名方式。
  4. 【請求項4】 任意のグループのオーソリティ用通信手
    段及び他のユーザ用通信手段とディジタル署名方式を用
    いて通信する通信装置であって、 共通の公開パラメータ及び固有の秘密情報から固有の公
    開情報を生成する公開情報生成手段と、 上記オーソリティ用通信手段により、上記公開情報を基
    にして新たな秘密情報、新たなパラメータ、及び新たな
    公開情報をメンバ情報として生成され秘密に送信されて
    きたメンバ情報が、予め定められた関係を満たすことを
    確認するメンバ情報確認手段と、 上記メンバ情報確認手段で確認されたメンバ情報を用い
    て、ディジタル情報に対応する署名を生成する署名生成
    手段と、 上記署名生成手段で生成された署名を他のユーザに送信
    する送信手段と、 他のユーザからの署名の正当性を、上記オーソリティの
    公開情報を用いて確認する署名確認手段とを備えること
    を特徴とする通信装置。
  5. 【請求項5】 任意のグループのオーソリティ用通信装
    置であり、少なくともそのグループに所属するユーザ用
    通信手段とディジタル署名方式を用いて通信する通信装
    置であって、 共通の公開パラメータ及び固有の秘密情報から固有の公
    開情報を生成する公開情報生成手段と、 上記グループに所属するユーザに固有の公開情報を基に
    して、新たな秘密情報、新たなパラメータ、及び新たな
    公開情報をメンバ情報として生成するメンバ情報生成手
    段と、 上記メンバ情報生成手段で生成されたメンバ情報を上記
    グループに所属するユーザ用通信手段に秘密に送信する
    秘密通信手段と、 上記グループに所属するユーザ用通信手段により、上記
    メンバ情報生成手段で生成されたメンバ情報が予め定め
    られた関係を満たすことが確認され、そのメンバ情報を
    用いて生成されたディジタル情報に対応する署名に用い
    られた乱数から、その署名がどのユーザにより生成され
    たかを判別する署名者判別手段とを備えることを特徴と
    する通信装置。
  6. 【請求項6】 上記ディジタル署名方式は、請求項1〜
    3の何れかに記載のディジタル署名方式であることを特
    徴とする請求項4又は5に記載の通信装置。
  7. 【請求項7】 少なくとも請求項4〜6の何れかに記載
    の通信装置を含むことを特徴とする情報通信システム。
JP10006630A 1998-01-16 1998-01-16 ディジタル署名方式、それを用いた通信装置及び情報通信システム Pending JPH11202767A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP10006630A JPH11202767A (ja) 1998-01-16 1998-01-16 ディジタル署名方式、それを用いた通信装置及び情報通信システム
US09/229,440 US6298153B1 (en) 1998-01-16 1999-01-13 Digital signature method and information communication system and apparatus using such method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10006630A JPH11202767A (ja) 1998-01-16 1998-01-16 ディジタル署名方式、それを用いた通信装置及び情報通信システム

Publications (1)

Publication Number Publication Date
JPH11202767A true JPH11202767A (ja) 1999-07-30

Family

ID=11643691

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10006630A Pending JPH11202767A (ja) 1998-01-16 1998-01-16 ディジタル署名方式、それを用いた通信装置及び情報通信システム

Country Status (1)

Country Link
JP (1) JPH11202767A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008125054A (ja) * 2006-09-25 2008-05-29 Nec (China) Co Ltd 匿名選択可能認証情報のための通信システムおよびその方法
JP2011145361A (ja) * 2010-01-13 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム
JP2017059872A (ja) * 2015-09-14 2017-03-23 Kddi株式会社 入札システム、入札方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008125054A (ja) * 2006-09-25 2008-05-29 Nec (China) Co Ltd 匿名選択可能認証情報のための通信システムおよびその方法
JP4704406B2 (ja) * 2006-09-25 2011-06-15 エヌイーシー(チャイナ)カンパニー, リミテッド 匿名選択可能認証情報のための通信システムおよびその方法
JP2011145361A (ja) * 2010-01-13 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> 署名生成装置、署名検証装置、再リンク鍵生成装置、及びプログラム
JP2017059872A (ja) * 2015-09-14 2017-03-23 Kddi株式会社 入札システム、入札方法

Similar Documents

Publication Publication Date Title
US8914643B2 (en) Anonymous authentication system and anonymous authentication method
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
US5796833A (en) Public key sterilization
EP0482233B1 (en) Cryptographic system allowing encrypted communication between users with a secure mutual cipher key determined without user interaction
JP2606419B2 (ja) 暗号通信システムと暗号通信方法
US6154841A (en) Digital signature method and communication system
US8661240B2 (en) Joint encryption of data
US6122742A (en) Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys
EP2792098B1 (en) Group encryption methods and devices
US9088419B2 (en) Keyed PV signatures
Sun et al. Secure e-mail protocols providing perfect forward secrecy
Juang et al. Anonymous channel and authentication in wireless communications
Huang et al. Partially blind ECDSA scheme and its application to bitcoin
KR20040009766A (ko) 암호 시스템에서 송수신 장치 및 방법
CN116743358A (zh) 一种可否认的多接收者认证方法及系统
JPH09298537A (ja) ディジタル署名方式およびそれを用いた情報通信システム
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
JPH11202767A (ja) ディジタル署名方式、それを用いた通信装置及び情報通信システム
JP3862397B2 (ja) 情報通信システム
Boyd Enforcing traceability in software
Zheng Signcryption or how to achieve cost (signature & encryption)<< cost (signature)+ cost (encryption)
JPH11252070A (ja) 利用者認証方式
Nenadić et al. RSA-based verifiable and recoverable encryption of signatures and its application in certified e-mail delivery
van Tilburg Secret-key exchange with authentication
Suriadi et al. Conditional privacy using re-encryption