JPH11514752A - 命題論理から充足可能な論理式を証明するための暗号手段 - Google Patents

命題論理から充足可能な論理式を証明するための暗号手段

Info

Publication number
JPH11514752A
JPH11514752A JP9517238A JP51723897A JPH11514752A JP H11514752 A JPH11514752 A JP H11514752A JP 9517238 A JP9517238 A JP 9517238A JP 51723897 A JP51723897 A JP 51723897A JP H11514752 A JPH11514752 A JP H11514752A
Authority
JP
Japan
Prior art keywords
logical
calculating
logical expression
belonging
proof
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP9517238A
Other languages
English (en)
Inventor
ブランズ,ステファヌス・アルフォンスス
Original Assignee
ブランズ,ステファヌス・アルフォンスス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ブランズ,ステファヌス・アルフォンスス filed Critical ブランズ,ステファヌス・アルフォンスス
Publication of JPH11514752A publication Critical patent/JPH11514752A/ja
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • H04L2209/043Masking or blinding of tables, e.g. lookup, substitution or mapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Complex Calculations (AREA)
  • Lasers (AREA)
  • Cosmetics (AREA)
  • Image Processing (AREA)

Abstract

(57)【要約】 複数の秘密に関するある数字を保有する証明側が、原子命題が秘密間の論理関係式である命題論理から、充足可能な論理式を証明する暗号手段が開示されている。証明は論理式自体に含まれる以上の情報は明らかにしない。秘密に関する付加情報を明らかにせずに、そうした証明が無制限に行える手段がある。一方で、証明が前以て決められた回数以上実行される場合に、秘密全部あるいは秘密の一部が明らかになることを保証する手段もある。証明は、ゼロ知識証明あるいは署名付証明であればよい。

Description

【発明の詳細な説明】 命題論理から充足可能な論理式を証明するための暗号手段 発明の背景 1.発明の分野 本発明は個人が保持するデータの特徴を証明するための暗号手段を安全にする ことに関する。より詳細には、付加情報を明らかにせずに命題論理から論理式を 証明するための手段に関する。 2.従来技術の説明 本出願人によって1994年2月28日に出願された米国特許出願第08/20 3,231において、付加情報を明らかにせずに個人が保持するデータの特徴を 証明するための装置が記載され、特許請求されている。そこでは特に、1つかそ れ以上の秘密を保持する証明側(prover party)がどのようにして秘密における 線形関係式を安全に証明するかが記載されている。線形関係式を証明する特別な 場合は、秘密がある価値を有することを証明することに関連する。 1適用例では、個人的に保持されたデータは、ある権限を与えられた側により 発行された資格認証(credential)の集合を表し、証明側は付加情報を明らかに せずに自分の資格認証が特別な値を有することあるいは線形関係式が資格認証に 適用されることを証明する。資格認証がないことをある特別に指定した値(典型 的に0)により表し、資格認証があることを別の値(典型的に1)により表すこ とにより、証明側は、資格認証を表す秘密がそれぞれ1か0かを証明する方法で 自分が資格認証を有するか有しないかを証明することができる。同様に、秘密の 値の合計が1に等しいことを証明することにより、証明側は自分が2つのそうし た資格認証のうち1つだけを有していることを証明することができる。一般にk 個の資格認証のうちι個(ι≧0,k≧ι)を有することを証明することができ る。 米国特許出願第08/203,231に記載された資格認証発行及び更新方法 は非常に強力であるが、一方線形関係式を証明する方法は機能性の点で著しく限 定される。 2つ以上の線形関係式からなるシステムを証明するために、米国特許出願第0 8/203,231に記載された方法は、各関係式に対し1回ずつ繰り返し適用 されなければならないと考えられる。付加情報を明らかにせずにしかも効率を大 きく下げずに証明側によって証明されるいかなる線形関係システムをも許容する 方法が望ましい。 米国特許出願第08/203,231の方法は、多くの値を呈することのでき る資格認証がある値は有しないことを、その真の値を明らかにせずに証明するこ とができない。 k個の資格認証のうち正確にι個を保持することを証明する手段は、イエス/ ノー認証に対してのみ適用されるのであって、この方法ではk個の資格認証のう ち少なくともι個を有することを証明することができない。 より一般的には、米国特許出願第08/203,231の方法では、線形関係 式に対していわゆる命題論理から任意の充足可能な論理式を証明することができ ない。これらは論理連結語「AND」、「OR」、「NOT」によって原子命題 をつなぐ論理式であって、それらの原子命題は有限体(finite field)上の線形 関係式である。本文中の「充足可能(satisfiable)」とは論理式が真となるよ うに原子命題の変数に対する割り当てが存在することを意味する。そうした論理 式の例は「(S1AND S2)OR(S3AND(NOTS4))」ここで各S1,.. .,S4は数x1,...,xkを有する1個の線形関係式を表す。論理式が真とな るように(x1,...,xk)に対する割り当てがあるとき論理式は充足可能で ある。この解釈において、米国特許出願第08/203,231の方法は、論理 連結語なしで線形関係式をつなぐ論理式のみを証明することができる。この方法 では1個又はそれ以上の論理連結語を有する論理式を証明することができない。 証明側が、例えば第2と第3公開鍵に対応する、あるいは第5公開鍵に対応す る秘密鍵を自分が知っていることを、それ以上のことは明らかにせずに証明する ことができる方法は、当該分野で周知である。(1995年、スプリンガー・バ ーレグ、ユーロクリプト94、コンピュータ・サイエンスの講義ノート、暗号学 の進化、「部分知識の証明と証拠隠しプロトコルの簡単な設計」、クラマー.エ ル、ダムガード.アイ、ショーエンメーカーズ.ベーを参照)しかしながら、こ の方法では「AND」と「OR」のみを有する単調な論理式しか証明ができない 。連結語「NOT」を扱うことができない。さらに重要なのはこの方法に対する 原子命題が、秘密間の線形関係の代わりに「証明側がi番目の公開鍵に対応する 秘密鍵を知っている」形式になっていることである。 米国特許出願第08/203,231では、証明側が全く同じ線形関係式を2 度以上(あるいはより一般的に前以て決められた回数以上)証明する場合に、資 格認証の集合またはその1部を照合側(verifier party)により計算できる方法 も記載されている。この方法では証明側がどの線形関係を証明する必要があるの か前以て知っている必要があり、これは望ましくないことがよくある。さらに資 格認証の集合に対し命題論理から、論理式どれか2つ(必ずしも同じである必要 はない)あるいはそうした全ての論理式の特殊な範疇から論理式どれか2つを証 明側が証明する場合に、認証側が資格認証の集合を計算することができる方法が 望ましい。 さらに米国特許出願第08/203,231の方法は論理式のゼロ知識証明(z ero-knowledge proof)と論理式の署名付証明(signed proof)以外の区別をしない 。この方法では、署名付証明が与えられた場合、伝えることのできる照合側の確 信度の大きさ、言い換えれば署名付証明の色々な味付けの間の区別をすることが できない。証明側が秘密集合を知っているという確信を認証側が伝えることがで き、証明側によって証明された論理式のいずれも伝えることができないことが望 ましい場合もある。また証明側が秘密集合を知っており、証明側が論理式の下ク ラスから1つを、どれががを確信せずに証明したという確信度を、認証側が伝え れることが必要な場合もある。さらに証明側が証明した特定の論理式に関 する確信度と同様に、証明側が秘密集合を知っているという確信度を、認証側が 伝えられる必要がある場合もある。 米国特許出願第08/203,231に記載された線形関係式を証明するため の方法では、さらに証明側が数の集合に関する表現(representation)の知識を証 明する必要がある。この数の集合は証明すべき特定の関係式に依存する。証明す べき論理式にかかわらず数の集合が常に同じである方法が望ましい。これによっ てよく知られた同時繰り返し2乗法(simultaneous repeated squaring)を効果 的に使うことができる(例えば、アディソン・ウェスリー出版社、第2版、半数 (seminumerical)アルゴリズム第2巻465頁練習27「コンピュータプログ ラミング技術」、クヌース.ディーを参照のこと)。なぜなら数の集合の空でな い各部分集合に対し、部分集合の中に簡単に前以て計算し記憶できる、数の積を 有するテーブル1つだけ必要とされるからである。 本発明の目的 そこで、本発明の目的は、 個人的に保持する秘密に関連する線形関係式からなるいかなるシステムを、秘 密についての付加情報を明らかにせずに証明側が証明することができるようにす ること、 個人的に保持する秘密に関連しない線形関係式からなるいかなるシステムを、 秘密についての付加情報を明らかにせずに証明側が証明することができるように すること、 個人的に保持する秘密が線形関係式からなる特定の集合の少なくとも幾つかを 満足することを、秘密についての付加情報を明らかにせずに証明側が証明するこ とができるようにすること、 原子命題が、証明者が個人的に保持する秘密に関連する線形関係式である命題 論理から、任意の充足可能な論理式を、秘密についての付加情報を明らかにせず に証明側が証明することができるようにすること、 原子命題が個人的に保持する秘密に関連する線形関係式である命題論理から、 充足可能な論理式からなる前以て決められた範疇に属する論理式を証明する場合 証明側が自分の秘密集合に対し前以て決められた回数以上かかわる場合において のみ、認証側は証明側が個人的に保持する秘密集合あるいはそれらの秘密の1部 を計算することができるようにすること、 上記目的のいずれか1つにおいて、認証側は証明者によってなされる証明に対 し制限的なブラインドをかけることができるようにすること、 上記目的のいずれか1つにおいて、認証側は証明者によってなされる証明に対 し完全なブラインドをかけることができるようにすること、 上記目的のいずれか1つにおいて、証明側は自分の証明をゼロ知識証明として 実行することができるようにすること、 上記目的の最初の7つのいずれか1つにおいて、証明側が署名付証明として自 分の証明を実行し、続いて照合側は、証明側が秘密の集合を知っているという確 信と、証明側によって証明された論理式についての確信を伝えることができるよ うにすること、 上記目的の最初の7つのいずれか1つにおいて、証明側が署名付証明として自 分の証明を実行し、続いて照合側は、証明側が個人的に保持した秘密の集合を知 っているという確信を伝えることができるが、証明側によって証明された論理式 についての確信を伝えることができないようにすること、 上記目的の最初の7つのいずれか1つにおいて、証明側が署名付証明として自 分の証明を実行し、続いて照合側は、証明側が個人的に保持した秘密の集合を知 っているという確信と、どの特定の論理式かは分からないが、証明側が制限され た論理式のクラスの中から論理式1つを証明するという確信を伝えることができ るようにすること、 上3つの目的のいずれか1つにおいて、証明側は照合側と相互作用せずに、署 名付証明を行うことができるようにすること、 上記目的のいずれか1つにおいて、証明側を2つの相互対立した目的を有する 部分(sub-party)に分け、各部分が証明側の秘密の1部のみを知っているよう にすることができるようにすること、 上記目的において、前以て計算されたテーブル1つを用いた同時繰り返し2乗 法を保証することで、証明側と照合側にとって効率的な計算をすることができる ようにすること、 プライバシ保護資格認証機構(credential mechanism)において本発明の上記 目的を使用することができるようにすること、 本発明の他の目的を満たす効率的、経済的かつ実用的な装置及び方法を得るこ とである。 図と共に記載事項及び添付した請求範囲を読むことにより、本発明の他の特徴 、目的及び利点は明らかになるであろう。 図の詳細な説明 図1では、本発明の教えにしたがって、線形関係式からなるシステムが秘密集 合に属することを、秘密に関する付加情報を明らかにせずに証明するための1つ 目のプロトコルのフローチャートが示されている。 図2では、本発明の教えにしたがって、線形関係式からなるシステムが秘密集 合に属することを、秘密に関する付加情報を明らかにせずに証明するための2つ 目のプロトコルのフローチャートが示されている。 図3では、本発明の教えにしたがって、線形関係が秘密集合に対して成り立た ないことを、秘密に関する付加情報を明らかにせずに証明するためのプロトコル のフローチャートが示されている。 図4では、本発明の教えにしたがって、2つの線形関係式のうち少なくとも1 つが秘密集合に属することを、秘密に関する付加情報を明らかにせずに証明する ためのプロトコルのフローチャートが示されている。 図5では、本発明の教えにしたがって、2度以上実行する際に限って秘密に関 する付加情報を明らかにする条件のもとで、線形関係式からなるシステムが秘密 集合に属することを証明するためのプロトコルのフローチャートが示されている 。 図6では、本発明の教えにしたがって、2度以上実行する際に限って秘密に関 する付加情報を明らかにする条件のもとで、0または1つ以上の連結語「AND 」と高々1つの連結語「NOT」により秘密集合に属する線形関係式をつなげる 充足可能な論理式を証明するためのプロトコルのフローチャートが示されている 。 発明の詳細な説明 図1から図6までの標記は当業者には明らかであると考えられるが、明確さの ために最初に上記標記について復習する。図は証明側と認証側のプロトコルを示 し、図とそれに付随した説明の中に、それぞれに対応してPとνで示される。プ ロトコルに関係する側のものにより行われる動作は、フローチャートのボックス 内に一緒にまとめられている。フローチャートのボックスに記載された動作を実 行する側は、ボックスを縦に見て一番上に表示されている。ボックス内の各行は 、計算、送信又は記憶動作のような手順を記載する。フローチャートは付随した 数字に従ってボックスごとに読まれなければならないし、ボックス内では行ごと に読まれなければならない。「側(party)」という言葉は組織(entity)を示し、 時には、プロトコル内の1つの手順あるいは一連の手順を実行するエージェント として見なされることもある。この言葉はこれらの手順を実行する手段として見 なされることもあるし、某かの適当なデジタル論理回路の形態を有することもあ る。例えば、図のいかなるボックスあるいはボックスの集まりも、ボックスある いはボックスの集まりに記述される記憶、入力/出力、及び送信段階(できれば 乱数発生源の機能を除く)を実行出来る限りにおいて、ハードワイヤード配線及 び専用の結合論理、あるいは当該分野でよく知られた例えばマイクロプロセッサ のようなある種の適当なプログラムマシーン、により実現され得る。 記号「←」は、その左側の変数もしくは記号にその右側の値が割り当てられる ことを意味する、割当を表している。こうした割当は記憶スペースが確保される ことを必ずしも意味せず、RAMにおいて実行される中間計算結果であることも ある。 性を保持しない際に発生することには、本発明は関与しない。明確さのため、そ うした場合プロトコルは停止するようになっている。 記号「∈R」は、その左側の数字がほぼ一様で独立の確率分布によりその右側 の集合から選択されることを示している。実際には、できれば追加の後処理と共 に、物理的な乱数発生器を用いることができ、あるいは決定的疑似乱数発生器を 用いてもよい。後者の場合、装置により発生した全乱数は1つの秘密事項から発 生し、例えば、秘密事項を数列及び/あるいは発生する乱数を表す特性確定器( type specifier)により変化させる。 コロンと少なくとも1つの数字が続く「Send」なる語は、少なくとも1つ の数字が、動作を行う側から、フローチャートのボックス間をつなぐ線によって 示される別の側に送信されることを表す。 任意の整数ιに対し、記号Zιは数集合{0,...,ι−1}を表し、法(mo dulo)ιの整数環と呼ばれる(勿論、当業者に明らかなように、代わりに他のい かなる集合を使ってもよい。)。Zιの要素の加法及び乗法は、法ιにより定義 される。 標準的な数学標記にあるように、記号ΠとΣは、それぞれ積と和を表し、常に 同じ規則に従って1つ又はそれ以上の数字が作られる場合、標準的な数学の( 横、縦、斜め方向の)省略記号が用いられ、省略記号の前及び後の情報から論理 的に推測できる。例えば、ボックス13の最初の3行の標記は次のように解釈さ れる。k−ιが1に等しければ、1つの関係、すなわち、r1に対したものだけ が定義される。k−ιが1より大きければ、r2は、r2←cxπ(2)+w2 mo d qと計算され、そのような計算が続く。k−ιが0に等しい特殊な場合、い かなる関係も定義されない。同じように、ボックス13の第4列の標記は次のよ うに解釈される。k−ιが1に等しければ、1つの数すなわちr1だけが送信さ れ、k−ιが1より大きければ、数r1からrk- ιまで含めて送信される。k− ιが0の特殊な場合、何も送信されない。 図1から6まで、当該分野でよく知られたいわゆる離散的対数仮定に基づいた 好ましい実施形態を表している。最初に,群が決定され、q個の数字を有したGq と名付けられる。ここで、qは大きな素数である。一般性を失うことなく、Gq内 の群作用素(operator)は乗法と仮定される。効率の良いアルゴリズムが、Gqの数 字の確認、発生、等価性テスト及び乗法に用いられるべきであるが、離散的対数 の計算には用いられない。Gqに属する数字及び明示されない法作用素を含む表現 は、Gqにおける計算を表す。環Zqの計算では、法作用素は明示される。 加えて、全てGqに属し1に等しくない、いわゆる生成元g1,...,gkが選 択される。ここでk≧2。米国特許出願第08/203,231の用語を用いて 、(g1,...,gk)に関してGqに属するある数hの表現(representation)は 、 い。(g1,...,gk)に関して、すべて0となる表現(0,..,0)と異 なる数1の表現をうまく計算できないことが重要である。 これに関して、生成 元g1,...,gkは例えばνに信頼された側か、ν自身によりランダムに生成 される。この側は、群Gqを特定することもできる。当業者に明らかなように、全 ての生成元を実質ランダムな方法で選ぶ必要はない。生成元の1つは、その発生 元に関して離散的対数がうまく計算できないと考えられている限り、小集合例え ば最初の100個の素数から選んでもよい。 以後、ベクトル(x1,...,xk)をPの秘密集合と名付ける。本発明の方 法により、Pは自分の秘密集合の性質(property)を証明することができ、その 性質は命題論理の充足可能な論理式により記述され、原子論理は秘密の中で一次 方程式になる。 本発明の方法において、Pは、生成元ベクトルに関してある数の表現を証明す る必要があり、その数と各生成元が、集合{h,g1,...,gk}において生 成元のべき乗の積であり、積の特殊な定義は証明する論理式を特定する。表現の 知識を、それに関する(有益な)情報を明らかにすることなく証明するために、 米国特許出願第08/203,231の図18に記載されたプロトコルが全般的 に使用される。以後、これを「知識の基本的証明」と名付ける。表現の知識を証 明するためのこの特殊な選択は、ほとんどの適用において好ましいと考えられて いる。しかしながら、当業者に明らかなように、本発明の技術は、完全かつ確実 な周知の特性を有する、表現の知識の他のいかなる証明に基づいて実行すること ができる。これは証拠隠し(witness hiding)である(と考えられている)。こ れら代替法は、単純な変形であったり、おそらく、照合側に対する照合の関係に おける幾つかあるいは全ての指数(例えば呼びかけとその応答の位置)を相互交 換することによって得られる。一方、完全に異なった方法に依存する代替法もあ る。 当該分野において、同時繰り返し2乗法(simultaneous repeated squaring) ている。効率よくは、2k−1個の全ての空でない{g1,...,gk}の部分 集合に対し、部分集合のgiの積を前もって計算し、テーブルに記憶させるのが 好ましい。例えば、kが14に等しいければ、giは512ビット数で表され、 このテーブルは記憶スペースのほぼ1メガバイトを占めるが、現在利用できるパ ーソナルコンピュータ(テーブル全体をRAMにロードできる)の範囲に十分収 まる。kをどのように選んでも、べき乗の積を計算するのに必要なGqに属する モジーュラ乗法の数は、qの2進数長の2倍を越える必要はない。また、テーブ ル用の記憶スペースと必要とされるモジューラ乗法の数を(例えば、単独のビッ トの代わりに指数ビットのグループを考えることによって)交換する方法や、さ らに計算効率を上げる方法が、当該分野で知られている。 離散的対数を計算する際の困難に関して、実施形態の記述の選択は単なる提案 であって、いかなる方法にも制限されない。本発明の技術は、いわゆるRSA根 の計算の(推定される)困難さに基づいて実行されうる。これに関して、秘密集 合(x1,...,xk)は環Zυに属する数からなる。ここでυは大きな素数で ある。計算は群 で実行される。ここでnはランダムに生成されかつ少なくとも Pに未知の(少なくとも)2つの大きな互いに離れた素数の積である。全て に 属する数Y1,..,Yk(k≧1)と大きいのが好ましい位数が続けて決定され る。米国特許出願第08/203,231にあるように、x1,...,xk に等しければ、数hの表現と呼ばれる。nと(Y1,...,Yk,υ)の選択は 、(Y1,...,Yk,υ)に関して、「取るに足らない」表現(0,..., 1)と異なる、数1の計算を少なくともP計算することができないように考えら れたものでなくてはならない。この要件は容易に満足される。n 数)を生成することが簡単にできる。代わるものとして、nが2つの強い ものは圧倒的な確率で高位数を有する。勿論、他の適した方法を用いてもよい。 表現についての(有益な)情報を明らかにせずに表現の知識を証明するために、 米国特許出願第08/203,231の図5で記述された、知識の基本的証明を 用いることができる。各図の詳細な記述の次に、RSA根の計算の困難さに基づ いた、本発明の技術の実施方法が述べられる。RSAの場合に対する記述は、R SAに基づくプロトコル全体を書き出すよりはむしろ、離散的対数に基づくプロ トコルに対し必要な変化のみを詳細に述べてある。 ここで、図1について、秘密集合についての付加情報を明らかにすることなく 、線形関係式からなるシステムが秘密集合に適用されることを証明するための1 つ目のプロトコルのフローチャートが詳細に述べられている。 まず最初に、Pは(g1,...,gk)に関して、Gqに属するある数hの表 現(x1,...,xk)を知っている。この表現は、Pの秘密集合である。数h は秘密集合上においてPの委任(commitment)である。一般性を失うことなく、 Pはνに対しその秘密が次の独立な線形関係式を満足することを証明しなければ ならないと仮定される。 又は行列形式で、 ここで、ι≧1。 さらなる参照のために、この線形関係システムによって特定される論理式をFで 表す。αij(1≦i≦ι、1≦j≦k−ι)とbi(1≦i≦ι)はZqの要素で あり、π(・)は{1,...k}の並び替えである。x1,...,xkのいかな る線形関係システムもこの形式で記述されることは、当業者には明らかである。 すなわち、線形関係システムが独立関係を含むならば、このシステムは、ここで ι個で表された独立線形関係システムにされ得る。そこで係数行列はいわゆる行 標準形(行エチェロン形としても知られる)に変形され得る。最後に適切な並べ 替えπ(・)を用いて、係数行列の列は相互交換でき、上に示したシステムに至る 。 明らかに、前以て決定されたαij(1≦i≦ι、1≦j≦k−ι)とbi(1 ≦i≦ι)は、Fが線形関係システムからなる論理式である(つまりFは連結語「 AND」のみを有する)ことを特定する付加ビットと出来る限り併せて、論理式 Fを記述するのに使用することができる。勿論、Fを特定するのに必要な付加ビ ットがどれほど必要かは、Pが証明のため中からあるFを選ぶことができる論理 式の集合に依存する。 本発明技術は、 なる。Pは確かに、線形関係システムが成り立つ場合そのような表現すなわち (xπ(1) ,...,xπ(k-ι)を知っている。知識の基本的証明を適用し、 結果表現の拡張によって、P及びνは、集合{h,g1,...,gk}における べき乗の積の数値を求めることにより、証明の中の全てのべき乗の積値を求める ことができる。故に、2k+1+1個の入力が空でない部分集合{h,g1,... ,gk}内の数の積からなる、前以て計算したテーブルを利用することで、P及 びは例えば同時繰り返し2乗法を効果的に適用できる。プロトコルの手順は次の 通り。 ボックス11の1行目では、Pが全てZqに属するk−ι個の乱数w1,.. .,wk- ιを生成するのが示されている。2行目では、 に関して,Gqに属するある数aのランダムに生成された表現、すなわち(w1 ,...,wk-ι)をPが知っている状態で、Pがaの計算を行うことが示さ れている。数aは、知識のスリームーブ(three-move)証明技術で一般的に用い られる用語に従って、第1証拠(initial witness)と呼んでもよい。3行目で は、Pがh、hに対する認証者のデジタル認証(cert(h)と標記)、及びaをν に送信するのが示されている。認証は、Pの身元を特定するもの及び満了日付の ような情報上のものであればよいが、そのような情報は本発明技術と無関係であ るから明示しない。他の方法では、適用によってνはh及び認証を公開鍵ディレ クトリや類似したものから検索することができてもよい。あるいは、νが別の方 法でhの有効性を確かめることができるので、認証が全く必要ないこともある。 いずれの場合も、プロトコルが何度もされるようになっていても、h及び認証は νに対しせいぜい1度送るだけでよいのは明らかである。 ボックス12の1行目には、Z2tに属する呼びかけ(challenge)数cを生成 するのが示され、2行目には、νがcをPに送信するのが示される。cの選択の 仕方には幾つかの基本的に異なる方法があり、各方法は、本方法に対し重大な違 いを与える。cの生成方法に依存して、プロトコルはゼロ知識、証拠隠し又は署 名付証明(最後のものは色々味付けできる)このことは、ボックス13とボック ス14の記述後、短くまとめて記載されている。 ボックス13の最初の3行では、Pが全てZqに属するrk- ι+1,..., rkで表されるk−ι個の応答数を計算しているのが示してある。4行目には、 Pがk−ι個の応答数をνに送信するのが示されている。 ボックス14の最初の3行では、νがι個の数rk- ι+1,...,rkを計算 しているのが示してある。4行目にはPによりなされたk−ι個の応答の照合を 行っているのが示されている。照合が有効であれば、そこでνは証明を認める。 νが認めれば、Pが真にランダムなcに対しうまく騙していた確率は1/2tで 、cが少なくともaの一方向ハッシュとして計算されている場合その確率は、1 /2tに近い。 Zq上の線形関係により原子命題を表せば、図1の発明技術は、論理連結語「A ND」のみを有するいわゆる命題論理から充足可能な論理式を証明するために用 いることができる例を次に挙げる。 例1:論理式「(x1=2x3+3x4+5modq)AND(x2=6x4−7modq) に等しいかどうかを調べることにより、応答の照合を行う。(例1終わり)ボッ クス12の記述に戻って、cが決定される第1の方法は、νがある小集合(つま りtは小さくなくてはならない)からcを選択することである。Pがhの秘密集 合(つまり表現)を知っていることと、論理式FがPの秘密集合に適用されるこ とをνが確信するために、プロトコルの4つの手順は何度も繰り返さなければな らない。結果的にこれはゼロ知識証明となる。 第2の方法は、大集合(つまりtは大きい)からcをランダムに選ぶことであ る。この場合では高い確率でνを確信させるためにプロトコル手順の繰り返し は不要である。プロトコルはゼロ知識とは考えられていないにもかかわらず、が Pの秘密についての付加的な情報を得ることは不可能と考えられている。(確か に、kが少なくともι+2で、付加的な「ダミーの」秘密と共に、Pの秘密集合 を拡張することでPにより常に保証される場合、プロトコルは証拠隠しでありえ る。)他の方法では、νからプロトコルを開始させ、Pに対し、Pの呼びかけc の委任を送信することにより、プロトコルはゼロ知識になり得る。そこで、νは ボックス12において認証を開示しなければならない。(これはνがボックス1 1でPによって与えられた情報に依存してcを計算できないことを保証す Pとνによって使用される生成元集合から取った生成元である。 第3の方法では、証明を署名付証明として実行することができる。これは、証 明の後に、νが第三者に対し、νがPとプロトコルを実行したことを、プロトコ ル実行の写しを見せることにより証明することができることを意味する。この場 合、呼びかけcは、ある情報のハッシュ(tは大きいことを意味する)として計 算しなければならない。好ましくはハッシュ関数は、衝突しにくいもの(collis ion-intractable)であるべきで、古い署名付証明を新しい署名付証明に組み合 わせるのを防ぐために、ハッシュ関数における幾つかの代数関係は計算不可能で あるべきである。cを計算するためにハッシュされた情報は、少なくともaを有 するべきである。さらに、次の幾つかあるいは全てはハッシュされてもよい。h 、hのデジタル認証(ボックス11の3行目に示された特別な場合、すなわちP に対応して別の方法でhが確認できる場合、認証は省略してもよい)、νに対す るメッセージ(そこで署名付証明は、そのメッセージ上のPのデジタル署名とし て役立つ)、満了日付のような付加情報、及びPによって論証される論理式Fの 記述。次の情報は署名付証拠を構成するのに十分である。h、(r1,...,rk- ι )、c、cを計算するためにハッシュされた(他の)いかなる情報、及び例 外的にa(署名付証明はcかaのどちらか1つを有すればよい。前者の場合、署 名付証明はよりコンパクトになる。)。 Fの記述がハッシュされるかどうかは、署名付証明が正確に証明することに対 し重大な示唆を有する。すなわち、Fの記述がハッシュされるなら、プロトコル 実行の写しは、証明の後に第三者に、Pがhに対応した秘密集合を知っているこ と及び、論理式FがPの秘密集合に適用されることを確信するために使用するこ とができる。他方、Fがハッシュされないなら、一般にプロトコル実行の写しは 、Pがhに対応する秘密集合を知っていることを証明するだけである。これは、 論理式FがPの秘密集合に適用されるという事実を確実に証明するものではない 。しかしながら、Pが自身の秘密に対するいかなる線形関係システムを証明する ことができないが、少なくとも係数αijの幾つかが前以て決定された無視できる Zqの部分集合の中になければならない線形関係システムのみ証明することができ れば、Fの全記述にわたってハッシュする必要はない。Fの記述の一部のみハッ シュすれば十分であるし、(例えばαijの1部、αijに適用される線形関係式の 記述、あるいはより一般的にFについて幾つかの情報)あるいは、署名付証明が 第三者に、Pがhに対応する秘密集合を知っていることと、論理式FがPの秘密 集合に適用されることを確信させるために、Fの情報が多分全くハッシュされな いこともある。あるいは、cを計算する際に係数αijかつ/又はbiの幾つかの みハッシュされる場合、あるいはより一般的に係数αijかつ/又はbiについて 一部の情報のみ(言い換えればFの記述の一部がハッシュされる場合、署名付証 明は、制限された論理式の集合の中の1つが、そのうちのどれがかを明らかにす ることなく、Pの秘密集合に適用されていると確信させてもよい。上述したこと より、これらの署名付証明の変形がどのように構成されるかということと、いろ いろなタイプの署名付証明が、使用されるべき適用場所に応じてそれぞれ有利な 点があるということは、当業者にとって明らかであると考えられる。 よって記述される論理式の中から取り出した論理式FをPが証明しなければなら こで、cがhとaのみのハッシュならば、署名付証明(h,c,A及びrから構 成)はx2=A mod qを証明しない。それはPが(g1,g2)に関してhの表 現を知っているということを示すだけである。すなわち、Pとνは乱数 w1しかしながら、この場合Aは(ハッシュ関数が十分安全であると仮定して)Pと νの支配下にない。それで、署名付証明は、無視できるZqの部分集合にAがな ければならない特殊な場合(例えばAが0か1のみである場合)において、x2 =A mod qであることを証明する。hとaだけでなく、Fの記述をハッシュ することによって(Aが可能な論理式F全てをパラメータ化すれば、AをFを記 述するのに使用することができる)、証明される論理式の集合に対し制限が課せ られるかどうかにかかわらず、署名付証明が、FがPの秘密集合に適用されるこ とを示すことが保証される。 署名付証明の場合、Pは自分でcを計算することができる(さらにPがaをν に供給する必要がない)ことも当業者には明らかである。このことは、ハッシュ 値に含まれるべき付加情報をPが利用できるかどうか及びPがcを知っているこ とができるかどうかに依存する。つまり、νがPに対し、cの計算においてcが ハッシュされることを希望するという情報を与えれば、Pは自分でcを計算でき る。特に、Pがハッシュする必要のある情報全てを自分で決定できれば、νとの 相互作用は不要となる。他方、νがPに末知のままであるべきメッセージをハッ シュしたければ、あるいはνが署名付証明にブラインドをかけたければ、ν自身 がcの計算をおこなう。 署名付証明を完全にブラインドするために、νはボックス12内でcを次のよ うに計算できる。νはk−ι+1個のブラインド要素r0,...,rk- ιを生 成する。νはこれらを用いて、 に従って、aからブラインド形式a’を計算する。署名付証明を得るための上述 した方法の1つでハッシュすることで、νは数c’を計算し、今回だけはaの代 わりにa’をハッシュする。さらに、νはc←c’+r0mod qに従って 応答cを計算する。ボックス14ではνは に従ってr1,...,rk- ιのブラインド形式r'1,...,r'k- ιを計算す る。ここで、1≦i≦k−ι。そこで署名付証明は次のもので形成される。h、 (r'1,...,r'k- ι)、c’、c’を計算するためにハッシュされたいか なる情報及び例外的にa’(c’とa’のいずれか1つを有すれば十分である。 前者はよりコンパクトな署名付証明になる。)。制限されたブラインド形式の署 名付証明を得るために、ボックス13においてνがどのようにcを計算し、Pの 応答を調整するかは当業者には明らかである。これに関して制限ブラインドに対 する発明技術は、米国特許出願第08/203,231及び米国特許出願第08 /321,855、1994年10月14日出願において詳しく述べられている 。両者とも本出願人により図1の発明技術と容易に組み合わせることができる。 さらに、Fを証明するためのプロトコルは移譲不可能(non-transferable)に できる。すなわちνは実時間において、第三者を確信させるために第三者にプロ トコル実行を移譲することができない。(ゼロ知識はいわゆる中間人間(man-in- the-middle)攻撃を防ぐのに十分でない)これに関して、本発明技術は当該分野 で知られた技術と組み合わせすることができる(1996年、スプリンガー・バ ーレグ、ユーロクリプト96、コンピュータ・サイエンスの講義ノート、暗号学 の進化、「指定検証者証拠とその応用」、ジャコブソン.エム、サコ.ケー、イ ンパリャツォ.エルを参照)。実際において、FがSのhの表現に適用できるこ とあるいは、Pがνに関連したGqに属するある数の表現を知っていることどちら かをPは証明しなければならない。このことにより、Pは く述べた)、あるいはνの公開鍵に対応した秘密鍵をPが知っていることを証明 しなければならない。このことを得るために、当該分野で知られた別の方法を用 いることができる。(1995年、スプリンガー・バーレグ、ユーロクリプト9 4、コンピュータ・サイエンスの講義ノート、暗号学の進化、「部分知識の証明 と証拠隠しプロトコルの簡単な設計」、クラマー.エル、ダムガード.アイ、シ ョーエンメーカーズ.ベーを参照)この技術により、Pは自分が第1公開鍵の秘 密鍵か、第2公開鍵の秘密鍵かを知っていることを証明することができる。 米国特許出願第08/203,231に述べられた技術を用いて、Pは、必ず しも同じ目的で行動しない2つ(又はそれ以上)の構成要素からなることもでき る。典型的な例は、Pは人により作動するコンピュータ装置である。 発行者の ために作動する改竄防止型(tamper-resistant)計算機器T(典型はスマートカ ードやそれに類似の物)、ユーザのために作動するユーザ制御によるパーソナル コンピュータU、及びTに対してやTからの情報の全ての流れがUを通過しなけ ればならないように配置されたTとU、からPは構成される。 hの表現(x1 ,...,xk)の一部が、Tの発行者あるいは第三者に代わってプログラムさ れたTのみに既知であることを保証することにより、一般的にTが協力するとき のみ証明は行われる。これに関して、Tにのみ既知の、例えばxkのよう はその秘密鍵と見ることができる。線形関係式がxkを含まない場合、xkがTに より明らかにされないように証明を実行することができる。 このことを示すために例1を再度考える。この場合、Tはx5を知っており、 をa1に掛け合わすべきである。そこでUはr1とr2を計算し、一方Tはr3を与 える必要がある。 米国特許出願第08/203,231に詳しく述べられているように、Uはさ らにTからνへのサブリミナル通路及びその逆の通路を防ぐことができる。実際 には、Tとνの両者に既知の乱数のディベロップメントさえも防ぐことがで きる。これに関して例1では、Uは呼びかけcをTに(流入を防ぐために)送る 前に に属する乱数tをcに加えることができる。又Uはr3をνに(流出を防 ぐために)送る前にZqに属する乱数uをr3に加えることができる。同様に、 ボックス12での上述したcの計算方法、ブラインドと制限的ブラインドの技 術、証明用プロトコルを移譲不可能にする技術、及びPを対立した目的の構成要 素に分ける技術が、以後記述される本発明の他の方法にも等しくよく適用される ことは当業者には明らかである。この理由で今後の記述では、これらの技術に対 する参照のみが(適当な場合はいつでも)与えられる。 図1の発明技術は、RSA根計算の困難さにも基づいている。Pが同じ線形関 1,...,xk)に委任しなければならないと考える。(何に適用されるかに よって、xk+1は秘密かつランダムに選ばれたり選ばれなかったりする。後者の 場合計算効率の上でxk+1は1と等しくとることができる)本発明技術はPに、 ることから構成される。米国特許出願第08/203,231の図5に記述され た知識の基本的証明を用い、さらに結果表現を拡張することにより、前以て計算 されたテーブル1つが、同時繰り返し2乗法に対し使用することができる。記載 事項と共に記述に対応した図を研究することにより、当業者は簡単に図1の発明 方法を適用できると考えられるので、詳細な記述はここでは省略する。同様に、 呼びかけの計算、ブラインド、制限的ブラインド、証明用プロトコルの移譲不可 能化及びPの対立目的構成要素への分化に対して上述した技術は当業者には簡単 であると考えられている。 今度は図2について、秘密集合に関して付加情報を明らかにせずに線形関係式 からなるシステムが秘密集合に適用されることを証明する2つ目のプロトコルの フローチャートが詳細に述べられている。図1の場合のようにまず最初に、Pは (g1,...,gk)に関して,Gqに属するhの表現(x1,...,xk)を知 っている。Pはι個の次の独立線形関係式 からなるシステムを証明する必要がある。 図1の方法とは反対に、係数αij(1≦i≦ι,1≦j≦k)からなる行列は行 標準形である必要はない。この論理式Fを証明するプロトコル手順は以下の通り 。 ボックス21では1行目にPが全てZqに属するk個の乱数w1,...,wk を生成することが示される。2行目には(g1,...,gk)に関して,(w1 ,...,wk)がGqに属する数aの表現であるように、aをPが計算するの が示されている。数aを第1証拠と呼んでもよい。次の3行では線形関係システ ムに従って、全てZqに属するι個の数e1,...,eιをPが計算するのが 示される。6行目ではPがh、hのデジタル認証及びaをνに送信する。ボック ス11に対する注はここでも適用される。 ボックス22の1行目ではνがZ2tに属する呼びかけ数cを生成するのが示さ れている。2行目ではνがcをPに送信するのが示されている。 ボックス23の1行目ではPが全てZqに属しr1,...,rkで表されるk 個の応答数を計算しているのが示される。4行目ではPがk個の応答数をνに送 信するのが示されている。ボックス24の最初の4行ではι+1個の照合関係式 を調べることによりk個の応答r1 ,...,rkの照合を行うことが示されて いる。全ての照合が有効であればνは証明を認める。 図1の方法と比較して今回の方法はPからνへ送信すべき情報が更に多くな る必要がある。他方有利な点はaの計算が証明すべき線形関係式からなる特定の システムに依存しないことである。従ってPは証明すべき関係式からなるシステ ムを知る前にaを前以て計算することができる。数e1,...,eιの計算の みが証明すべき特定のシステムに依存するが、aの計算時間に比べてこれらの計 算時間は無視できる。 図1に関して記載された全ての技術が図2に関する発明技術にも適用できるこ とは当業者には明らかである。さらに署名付証明の場合、cを計算する際にFは ハッシュされるべきかどうかあるいはFに関する一部の情報をハッシュすべきか どうかの問題は にも適用される。例えばPがいかなる論理式Fを証明すること ができ、署名付証明がFがPの秘密集合に適用されることを確信すべきであれば 、(e1,...,eι)同様記述Fもハッシュされるべきである。全論理式の 集合の幾つかの論理式がPの秘密に適用されることを署名付証明が確信するだけ で十分であれば、Fについての一部の情報かつ/又は(e1,...,eι)に ついての一部の情報のみが(考慮される論理式の特定の部分集合に応じた情報の 選択と共に)ハッシュされる必要がある。(e1,...,eι)についてのい かなる情報もハッシュされなければ、署名付証明は、Pが2、3の論理式を証明 することができる場合でさえ、Pが(g1,...,gk)に関してhの表現を知 っていることを証明する。 図2の発明方法の変形は可能である。例えば後で記述される図5の発明方法は 、図1の方法の応用である。これは図2と同じ利点を有し、一方通信効率が幾ら か良くなっている。(図5の発明技術は付加的な目標に役立つ。つまりPが2度 以上証明を行うのを防ぐ。しかしこの余分な特徴はここでは関係ない。今されて いる議論に対して図5におけるPは同様にhに関する証拠が実行されるたびに自 由にaを選ぶことができる。ボックス23とボックス24に対する以下の変更に より、図2の方法は図5の方法と効率が等しくなる。ボックス23ではPは応答 数のうちk−ι個だけを計算し、それらをνに送信する。(k−ι個の位置は前 以てνの同意がなければならない)ボックス24の最後の3行に示された線形関 係式を照合する代わりに、νは残りのι個の応答数をそれらのι個の関係式 に従って計算する。最後にνはボックス24の1行目に示されたように全部でk 個の応答数を照合する。 より一般的にボックス21でPが送信した数(e1,...,eι)がある制 限を満足するように要求することで、νはPが実行することのできる論理式の集 合を下クラスに制限することができる。つまり数(e1,...,eι)は、a の調節済みの形式が特定の論理式を証明するのに用いることができることを保証 するために、aを調整するための訂正要素(correction factor)として考えるこ とができる。ボックス21でPがz(<ι)個までの訂正要素を送信することが できることかつ/又はPが(線形あるいは他の)関係式からなるシステムを満足 する訂正要素のみ送信することができることによって、Pによるaの計算は可能 な論理式の部分集合であることを予想することが可能である。図1のプロトコル はPがいかなる訂正要素を用いることをνが許さない極端な場合として考えるこ とができる。従ってPは論理式Fに直接対応してaを計算しなければならない。 RSA根の計算の困難さを基に、他の全ての上述した変形や関連した技術同様 、図2の発明技術をどのように基礎付けるかは当業者には明らかである。このた め詳細な記述は省略する。 今度は図3について、秘密集合に関する付加情報を明らかにせずに、線形関係 式が秘密集合に適用されないことを証明ためのプロトコルのフローチャートが詳 細に記述されている。最初の状況は図1に対して記述されたのと同じである。P はνに対しPの秘密集合(それがhの表現であることをPは知っている)が論理 試x π(1)≠α1+α2xπ(2)・・・+ακxπ(κ)modqを満足することを証明する必要 がある。係数αij(1≦i≦k)はZqの要素であり、それらはPが証明する必 要のある式Fの記述を形成する(もう1度言うが、Pが証明する全論理式のスペ ースに応じて、Fを記述するための付加ビットが必要になる。)。当事者には明 らかなように、{1,...k}の適切な並べ換えπ(・)に対し、いかなる線形 不等式もこの形式で書くことができる。さらにπ(・)はせいぜい2つの要素を相 互交換して残りはそのままであるように常に定義できる。 不等式が成り立てば、xπ(1)はZqに属する0でないεに対し (α1+α2xπ(2)−・・・−ακxπ(κ))−εmodq,に等しい。本発明技術は 、 に関して、数gπ(1)の表現をPが知っていることをPが証明することから構成 される。不等式が成り立つ場合、Pは確かにそうした表現、すなわち (δmodq,xπ(2)δmodq,...,xπ(κ)δmodq) を知っている。ここでδはε-1mod qを表す。知識の基本的証明を適用し、か つ結果表現を集合{h,g1,...,gk}の数のべき乗の積に拡張することで 、次のようなプロトコルが生じる。(もう1度言うが、他のいかなる知識証明も 代わりに使用できる) ボックス31の1行目では、Pが全てZqに属する乱数w1,...,wkを生成 するのが示されている。2行目には、 に関して,Gqに属する数aの、ランダムに生成された表現すなわち (w1 ,...,wk)をPが知っているという状態で、aをPが計算するのが示され る。数aは第1証拠と呼んでもよい。3行目には、Pがh、hのデジタル認証、 及びaをνに送信するのが示されている。ボックス11に対する注はここでも適 用される。 ボックス32の1行目では、νがZ2tに属する呼びかけ数cを生成しているの が示される。2行目にはνがcをPに送信するのが示されている。 ボックス33の1行目では、不等式が成り立てば0でない差異数εが示されて いる。2行目では、Pがδで表される法qに関するεの逆数を計算するのが示さ れている。次の4行はPが全てZqに属し、r1,...,rkで表されるk個の応 答数を計算するのが示される。7行目では、Pがk個の応答数をνに送信するの が示される。 ボックス34では、νがk個の応答数r1,...,rkを照合するのが示され る。照合が有効ならνは証明を認める。 Zq上の線形関係式によって原子命題を表すことで、論理連結語「NOT」1 つを有し外の論理連結語を持たない命題論理から、いかなる充足可能な論理式を 証明するために本発明技術を用いることができる。図3で記述したプロトコルは νに対し論理式「NOT(xπ(1)=α1+α2xπ(2)+・・・+ακxπ(κ)modq)」 を証明する。 図1に関して記載された技術全て図3についての本発明技術にも適用されるこ とは当業者には明らかである。また図2の発明技術により証明される訂正要素使 用の技術が、Pが証明すべき論理式に独立にPがaを計算できることを保証する ために使用される。図2で記載されているように、aと共にPによって予想され る論理式の集合を制限するために、νは訂正要素の数を制限かつ/又は訂正要素 が満足すべき関係式を制限することができる。 さらに、ι個(ι>1)の独立な線形関係式がどれも無効であることを証明す るために、Pは各不等式に対し一度ずつ、プロトコルをι回実行する必要がある 。ι個の証明全て平行に実行してもよいし、さらに同じ呼びかけcに応答しても よい。後者の場合、署名付証明を得るために証明1つ1つのデータがc内にハッ シュされなければならない。当業者に明らかなように、図1に関して記載された 署名付証明の種々の味付けもこの場合得ることができる。 図1の発明技術との組み合わせにより、Zq上の線形関係の原子命題である論理 連結語「AND」と「NOT」両方を有する命題論理からいかなる充足可能な論 理式をPは証明することができる。1つ又はそれ以上の線形関係式と1つの線形 不等式から構成されるシステムに対し、不等式はまず差異数(εによって上記さ れている)を導入することにより線形関係式として書かれる。適切な置換により システムは次の行列関係式で表すことができる。 ここでf1 ,...,fιはZιに属する数である。(明らかにf1は例えば1 に常に等しくするようにできる)Pは り立つ場合、Pは確かにそうした表現、すなわち (δ,xπ(1)δmodq,...,xπ(κ-ι)δmodq) を知っている。ここでδはε-1mod qを表す。例1に基づいて、さらに「NO T」関係1つを加えた例は次のとおり。 例2: 論理式「( x1=2x3+3x4+5modq)AND(x2=6x4−7modq) AND(NOT( x3=4x4+8modq)」 (k=5)を証明するために、Pは x1=2x3+3x4+5modq、 x2=6x4−7modq、及び0でないと証明されるべき εに対しx3=4x4+8−ε modqを証明する必要がある。置換によってPは x1 =11x4+21−2εmodq,x2=6x4−7modq 、及びx3=4x4÷8−εを証明しなけ ればならない。(δmodq,x4δmodq,x5modq) 証明を実行できる。ここでδ=ε-1mod q より明確には、Zqに属する 計算し、呼びかけcに応じて応答γ1←cδ+w1modq,r2←cδx4+w2modq及び r3−cδx5+w3mod q を与える。νはaが を照合する。 図1の発明技術に関して、Pはx5が既知であるTと(x1,x2,x3,x4) が既知であるUから構成することができる。aの計算においてw3はTによって とができる。応答を計算する際にTはUに r3=cx5+w3modq を与え、 UはそれをTに伝える前にそれにδを掛ける。より一般的には流入を防ぐために 、Pはνの呼びかけcをTに伝える前にZqに属する乱数tをcに加えることが でき、流出を防ぐためにTはZqに属する数uをδと掛けてνに伝える前にu より一般的には、図1及び図3の発明技術により、任意の数の論理連結語「A ND」及び「NOT」からなるいかなる充足可能な論理式をPは証明することが できる。論理連結語「NOT」2つ以上存在する場合、平行に処理し、同一の呼 びかけに応答する幾つかの部分論理式(sub-formula)証明に、証明を分割する ことができる。例えば、論理式「S1AND S2AND S3ANDS4AND(N OT S5)AND(NOT S6)」を証明するために、2つの部分論理式証明が 実行される。ここで S1,...,S6は論理式が充足可能な線形関係式である。 分割には多くの方法が用いることができる。Pは「S1AND S2AND S3A ND S4AND(NOT S5)」かつ「NOT S6」を証明すればよいし、「 S1AND S2AND(NOT S5)」かつ「S3AND S4 AND(NOT S6)」を証明すればよい。他にも色々ある。 論理連結語「AND」及び「NOT」を有する命題論理からいかなる充足可能 な論理式を証明するための発明技術もまたRSA根計算の困難さに基づいている 。Pが図3に対する不等式を証明しなければならないが、法qの代わりに法υを 用 とで,Pが(x1,...,xk)に委任すると仮定する。不等式1つを証明する ための本発明技術は、Pが に関して,数Yπ(1)の表現を知っていることをPに証明させることから構成さ れる。不等式が成り立てば、ε≠0 mod υでPはよく知られた拡張ユークリ ッドアルゴリズムを用いてεd=1+fυを満たすZυに属する数d及びfを計 算することができる。Pに既知の満足する表現は ここで、adiv υは余りが正であるようにaからυを引くことのできる回数 の最大値を表す。すなわちa=υ(a div υ)+a mod q 当業者に明ら かなように、システム (ここで f1 ,...,fιはZυに属する数) を証明するために、Pは が成り立つ場合、Pは確かにそうした表現、すなわち(δ,xπ(1)δmodυ,...,xπ(κ-ι) δmodυ,xκ+1)を知っている。ここでδはε-1mod qを表す。論理 連結語「AND」及び「NOT」を有する一般的な充足可能な論理式の証明に対 する応用は、離散的対数に基づくアプローチに対して記述された方法を研究すれ ば当業者には容易であるを考えられる。従ってここでは省略する。前に詳しく述 べた他の全ての技術及び変形に対し同じものが有効である。 今度は図4について、秘密集合に関する付加情報を明らかにせずに、2つの線 形関係式のうち少なくとも1つが秘密集合に適用されることを証明ためのプロト コルのフローチャートが詳細に記述されている。 最初の状況はまた図1と同じで、Pはνに対しPに既知の表現が線形関係式xπ(1) =α1+α2xπ(2)・・・+ακx( κ)modqか線形関係式xρ(1)=β1+β2xρ(2)・・・ +βκxρ(κ)modq一方あるいは両方を満たすことを証明しなけれ ばならない。係数αiとβi(1≦i≦k)は の要素でπ(・)とρ(・)はせいぜい 2つの要素を相互交換するように常に定義できる、{1,..,k}を適切に並 べ替えたものである。 最初の線形関係式(のみ)が成り立てば、Pはいかなる呼びかけc1に対し を満たす応答(r2 ,...,rk)を計算することができる。ここで、a1に生成される。同様に、2つ目の線形関係式(のみ)が成り立てば、Pはいかな る呼びかけc2に対し 満たす応答(s2 ,...,sk)を計算することができる。ここで、a2はZq 成される。証明を実行するために、自分で選んだci及びランダムに自分で選ん だ「応答」の集合から適切なaiを計算することによってPがc1、c2どちらの 呼びかけかを予想できるように、Pは呼びかけc1、c2のうち1つを自分でラン ダムに選ぶ。これを擬態証明(simulated proof)と名付ける。他の呼びかけは Pによって予想されず、それによってPに真の証明を実行させることができる。 しかしながら、Pはどの呼びかけ(及び応答の集合)を自分が選ぶかを隠すこと ができる。 より詳細には、具体的に1つ目の線形関係式が成立し、2つ目が成立しないと 仮定すると、ランダムに呼びかけc2と「応答」s2,...,skを生成し、 を計算することによりPはa2を計算する。1つ目の関係式に対し、Pは知識の 基本的証明をおこなう。せいぜい1つの呼びかけを、どれであると明らかにせず にPが正しく選ぶ(従って予想する)ことを保証するために、νはプロトコルの 中でPに乱数呼びかけcを送信し、Pは例えばc1とc2のビット上排他的(bitw ise exclusive-or)論理和がcに等しいように呼びかけc1、c2を使用する。 ボックス41の最初の2行では、上述したようにPが数a1を計算するのが示さ れる。3行目と4行目では、Pが自分でランダムに選んだ呼びかけc2及びk−1 個の自己選択応答s2,...,skを生成するのが示されている。5行目に示さ れたように、Pはc2及びS2,...,skに基づいて数a2を計算する。最後に 6行目に示されたように、Pはh,hのデジタル認証、a1及びa2をνに送信す る。ボックス11に対する注意はここでも適用される。数a1とa2は第1証拠と 呼んでもよい。 ボックス42の1行目では、νがZ2tに属する呼びかけ数cを生成するのが示 される。2行目にはνがcをPに送信するのが示される。 ボックス43の1行目には自分で選んだ呼びかけc1と呼びかけcから、それ が計算するのが示される。結果の呼びかけC1に対しPはk−1個の応答r2, ...,rkを次の3行に示されるように計算する。5行目に示されるように 、Pは呼びかけ2つ、1つ目の線形関係式に対する応答、及び2つ目の線形関係 式に対する自己選択応答をνに送信する。 ボックス44の1行目には、Pがビット上排他的論理和がに等しい呼びかけc1 とc22つを使用したことをνが照合するのが示される。これはνに対しPが自 分で c1、c2の1つだけを生成したことを保証する。2行目では、呼びかけc2 に対し1つ目の線形関係式に対す応答をνが照合しているのが示される。3行 目では、呼びかけC2に対し2つ目の線形関係式に対す応答をνが照合している のが示される。3つ全ての照合が有効なら、νは証明を認める。 Zq上の線形関係式によって原子命題を表すことで、論理連結語「OR」1つを 有し外の論理連結語を持たない命題論理から、いかなる充足可能な論理式を証明 するために本発明技術を用いることができる。図4で記述したプロトコルはνに 対し論理式 を証明する。 明らかにボックス43においてc1、c2の1つは、νが自分で計算できるので Pによって送信される必要がない。さらに、ボックス43において自分で選んだ 呼びかけとνの呼びかけから残りの呼びかけ値を計算するためのビット上排他的 作用素を使用する代わりに、他の関数を用いることができる。例えば、c1とc2 は c1+c2=cmod2t を満たすことが必要であればよい。 原子命題がZq上の線形関係である命題論理から任意の充足可能な論理式を証明 するために、図1、3、4の発明技術を組み合わせることができることが評価さ れる。これに関してそうした論理式Fは「Q1ANDQ2AND ...ANDQl 」形式で表現できる。ここで部分論理式Qiは「R1iORR2iOR...ORRli 」形式を有する。さらに部分部分論理式(subsub-formula)R1i,R2i,... ,Rliは、 「AND」連結語とせいぜい「NOT」連結語1つ(他の倫理連結語は用いない )によりZq上の線形関係式をつなげる命題論理の論理式である。ι個の表現から 1つを証明するために図4の発明技術を使用することで、Pは部分論理式Q1を証 明することができる。論理式Fを証明するために、Pは部分集合Q1,Q2, ...,Qνそれぞれを分けて証明する必要がある。これらι個の部分論理式証 明は平行に、さらに同じ呼びかけに応答して実行することができる。例2に基づ いた例は次の通り。 例3: 線形関係式 を考える。Pは論理式F=「(S1AND S2AND(NOT(S3OR S7))AN D S6)OR((NOT(S4OR S7))AND S5AND S6)」を証明する必要が ある。命題論理の規則を適用することで、Fは「(S1AND S2AND(NOT S3 ))OR((NOT S4)AND S5))AND(S6AND(NOT S7))」形式に書き直 すことができる。ここでR11=「S1AND S2AND AND(NOT S3)」 ,R12=「(NOT S4)AND S5」,R22=「S6AND(NOT S7)」 ,Q1=「R11ORR12」,Q2=R22とする。部分論理式Q1及びQ2を分けて証明 することにより、Pは論理式Fをνに 関してg1の表現の知識のどちらか又は両方を証明することができる。これに関 して図4の発明技術を容易に用いることができる。PはまずともにGqに属する数 a1及びa22つをνに与える。呼びかけCに応答してPはνに対し、呼びかけc1 に応答した1つ目の応答の集合(r1,r2,r3)及び呼びかけc2に応答した2 つ目の応答の集合(s1,s2,s3,s4)を与える。νは 合し、照合が2つとも有効であればνは証明を認める。ここで、Pは つを選択することができる。それに対応してPは自分でランダムに適切な応答の 集合を選び、νによる照合が有効であるように自分で選んだ呼びかけと応答の集 合からa1,a2の2つの数から1つをPは計算する。同様に、Q2を証明する い。これに関して、PはGqに属する数a3をνに与える。呼びかけc3に応答 する。そこでνは応答の集合を照合する。2つの証明を平行して行うことで、ν から1つの呼びかけだけが必要なようにcをc3に等しくなるようにとれる。さ らに、Fの署名付証明は(a1,a2,a3)、少なくとも(h(a1,...,a3 ))の一方向ハッシュ値として計算された呼びかけc=c3,c1とc2(の1つ )及び応答の集合3つから構成される。署名付証明がどれくらいの確信度を伝え るべきかに応じて、ハッシュがFの記述に作用すべきか、作用する必要はないか 、あるいはFについての部分情報に対してのみか、になる。(例3終わり) より一般的に本発明技術はι個の表現のうち少なくともm個の知識を証明する のに使用することができる。(ただしι≧m)これに関して、Pは自分で選んだ 呼びかけ値と応答の集合を生成することにより、成立しない高々ι−m個の線形 関係式に対し知識証明するふり(simulate)をする。成立する線形関係式に対し 真の知識証明を行う。(代わりに、Pは成立する丁度m個の関係式に対し真の知 識証明を行うことができ、残りの関係式が成立するかどうかに関係なく残りι− m個に対しては証明するふりをすることができる)そこでι個の呼びかけ値はP がι−m個(それ以上不可)なら、Pがどれを自由に選んだかを明らかにせずに 、いずれでも自由に選ぶことができるようになっていなければならない。これに 関 して、ι個の呼びかけ値は例えば前以て特定されたm個の独立な線形関係式を満 足することが必要になるようにすることができる。この一般化された方法は、1 より大きいmに対し1度も適用される必要がないことに注意。いかなる充足可能 な論理式も、0又は1個以上の連結語「AND」及び高々1個の連結語「OR」 からなる論理式を証明する本発明技術とι個の表現のうち1個の知識を証明する 本発明技術を適用することで証明することができる。しかしながら、ι個からm (≧2)個の表現の知識証明の技術は効率を上げるために使用することができる 。例えば、論理式「(R1AND R2)OR(R1AND R3)OR(R2AND R3) 」を証明するために、Pはm=2,ι=3の状況を利用できる。m=1,ι=3 の場合の適用は効率が悪くなる証明になってしまう可能性がある。(例えば、R1 、R2両方とも連結語「NOT」を有する場合) 効率を上げるために、νはι個の照合を同時に処理することができる。これは 当該分野で周知のDSA署名を照合するための1群処理(batch-processing)技 術に類似している。(1995年、スプリンガー・バーレグ、ユーロクリプト9 4、コンピュータ・サイエンスの講義ノートpp.77ー85、暗号学の進化、、 「DSAは改良されるか デジタル署名標準との複雑なトレード・オフ」、ナカ シュ.デー、ムライイ.デー、ヴァドナイ.エス、ラファエル.デーを参照)ι るために、(ここでuiとυijはPの応答に関する表現(expression)である) を照合する。piが選ばれた集合の大きさは、安全レベルを決定し、小最適化 はp1を常に1に等しくすることである。 図4の発明方法は当該分野で周知の方法に関連している。(1995年、スプ リンガー・バーレグ、ユーロクリプト94、コンピュータ・サイエンスの講義ノ ート、暗号学の進化、、「部分知識の証明と証拠隠しプロトコルの簡単な設計」 、クラマー.エル、ダムガード.アイ、ショーエンメーカーズ.ベーを参照)認めら れるように、2つの方法は2点重大な違いがあることが認められる。参照の方法 はPがk個の秘密鍵の部分集合ι(≧m)個からm個の知識を証明する状況にの み 適用される。k個の秘密鍵はそれぞれk個の公開鍵に対応する。言い換えれば、 その方法によって、Pは命題論理から単調な論理式(連結語「AND」と「OR 」のみが存在することを意味する)を証明することができる。原子論理が「Pが i番目の公開鍵に対応する秘密鍵を知っている」という形式であることから、論 理式は常に充足可能である。対照的に本発明技術では、複数の秘密鍵が対応する 公開鍵が1つだけ存在し、原子命題がZqの線形関係である命題論理から、いか なる充足可能な論理式を証明することができる。明らかに認められるように、参 照の方法は、線形関係式に対する命題論理から任意の充足可能な論理式を証明す るための本発明方法を最適化するために使用される。すなわち、参照の方法が複 数の線形関係式と高々1つの線形不等式からなるシステムである部分論理式に対 応するように、原子命題を解釈することができる。図3の記載に詳しく述べられ たように、そうした部分論理式1つに対し、Pはk個の要素に関してある数の表 現の知識証明をする必要がでてくる。言い換えれば、ねじれた(distorted)公開 鍵に対する秘密鍵の知識証明をする必要がでてくる。例えば、連結した通常の形 式「(R11 AND R21 AND...AND Rι1)OR...OR(R12 AND R22 AND...AND Rm2)」(ここで各Rijは0か1以上の 連結語「AND」及び高々1個の連結語「OR」によりZq上の線形関係式をつな げる命題論理からの部分論理式)のFは、νから与えられた呼びかけからPが自 分で選んだ呼びかけを生成する方法を制限するための、当該分野で周知の構成法 を適用することで、効率よく証明できる。(1995年、スプリンガー・バーレ グ、ユーロクリプト88、コンピュータ・サイエンスの講義ノートpp.77ー8 5、暗号学の進化、「一般化された秘密共有と単調関数」、ベナロー.ジェー、 ライヒター.ジェーを参照)例は次の通り。 式F=「(S1AND(NOT S2)AND(NOT S3))OR(S4AND S5AND(NOT S6)AND(NOT S7)」を証明する必要があると仮定 する。Fは形式「(R11AND R21)OR(R12AND R22)」に書き直せる 。ここでR11=「S1AND(NOT S2)」R21=「NOT S3 」、R12=「S4AND(NOT S6)」、R22=「S5AND(NOT S7)」 は全てFの部分論理式である。仮に例えば部分論理式R12が連結語「NOT」を 含まないなら、部分論理式R12及びR22は1つの部分論理式にまとめることができ たかもしれない。参照の方法に関してこのことはPが第1と第2秘密鍵あるいは 第3と第4秘密鍵の知識を証明しなければならないことを意味する。これに関し てR11,R12,R21,R22に応じてそれぞれ4つの数a1,...,a4を計算し た後で、(例2と比較)νの呼びかけcから4つの呼びかけc1,...,c4を 得ることによってPは証明を実行できる。4つの呼びかけは、Pが自分でc1、 c2を選択でき、c3、c4は選択しないか、あるいはc3、c4を自分で選択でき 、c1、c2は選択しないかいずれか一方でなくてはならない。例えば「R12AN D R22」のような真である論理式の一部に対し、Pは真の知識証明を実行でき 、真でない「R11AND R21」部分に対しては、自分で選んだ応答と自分で選 んだ呼びかけc1、c2を用いることにより証明を実行するふりをすることができ る。上述参照のベナローとライヒターの構成法に従って、c1,...,c4は制 限c1=c2,c3=c4及び照合過程の一部として を満たすようにとることができる。(例4終わり) 当業者に明らかなように、図1に関して記述された全技術が図4の発明技術及 びその一般化したものにも適用できる。図2の発明技術によって証明される訂正 要素使用の技術を用いることもできる。図2に対し述べられたようにPにより予 想される論理式の集合を制限するために、νは訂正要素数かつ/またはそれらが 満たすべき関係式を制限することができる。 上述した一般化、変形及び関連した技術同様RSA根計算の困難さに基づいた 本発明技術の応用は、既に述べられた詳細な記述と共に図を研究すれば当業者に は容易であると考えられる。従って詳細な記述は省略する。 今度は図5について、2度以上実行されない限り秘密集合についての付加情報 を明らかにすることなく、線形関係式からなるシステムが秘密集合に適用される ことを証明するためのプロトコルのフローチャートが詳しく述べられる。 図1に関してと同様、Pはまず(g1,...,gk)に関してGqに属する数h の表現(x1,...,xk)を知っている。本発明技術によりPはνに対し、P の表現全体を明らかにすることなく2つの異なる呼びかけに応答して証明が実行 できないように、Pの表現が図1に関して記述されたι(≧1)個の独立した線 形関係式を満たすことを証明することができる。本技術は次の通りである。 Pはまず、Zqに属するランダムに生成された数w1,...,wkに対する 認証を発行する権限を与えられた側は、証明実行の際にPによって明らかにされ なければならない、少なくとも(h,a)のデジタル認証を発行することができ る。具体的にしかし一般性を失う事なく、aを計算する際には、Pは証明すべき 関係式からなる特定のシステムを知っている必要はないと仮定される。証明実行 の際Pが全てZqに属するι個の訂正要素もνに送信する図2の発明技術を適用す る。Pに既知の「新しい」aの表現が証明実行に適するようにaを調整するため 構成される。aの役目をする調整された数と共に図1のプロトコルを実行し、結 果の表現を拡張することにより図5のプロトコルが得られる。 ボックス51の最初の3行では、Pが全てZqに属するι個の訂正要素e1, ...,eιを計算するのが示される。4行目に示されるように、Pはνに対し (h,a)、(h,a)のデジタル認証及びι個の訂正要素を送信する。適用に 応じて、νは公開鍵ディレクトリや類似したものから(h,a)及びその認証を 検索することができてもよいし、あるいは別の何かの方法で(h,a)の正しさ をνが調べることができるために認証が不必要であってもよい。 ボックス52の1行目では、νがZqに属する呼びかけ数cを生成するのが示 される。2行目では、νがcをPに送信するのが示される。 ボックス53の最初の3行では、Pがk−ι個の応答数(r1,...,rk- ι )を計算するのが示される。4行目では、Pがこれらをνに送信するのが示さ れる。 ボックス54の最初の3行では、νがι個の数rk- ι+1,...,rkを計算 するのが示される。4行目では、νがPにより与えられたk−ι個の応答を照合 するのが示される。照合が有効であれば、νは証明を認める。νがデータベース に(h,a),c及び(r1,...,rk)を記憶させることは示されていない 。(他の方法では、(h,a)の代わりに(h,a)のハッシュのみが記憶され る。さらに、Pが同じ(h,a)を用いて2つの証明を行う際にPの表現のどの 情報を計算すべきかに応じて、c及び(r1,...,rk)からの情報を記憶す れば十分であったり、より効果的になったりする。これらの変形は端的に詳しく 議論される。) 当業者には明らかなように、νはボックス52において、Pが以前に同じ(h ,a)(あるいは適用によってはhのみあるいはhのハッシュ)を既に利用した かどうかを調べるために、データベースにアクセスしようと思えばできる。図5 の発明技術は、そうしたオン・ラインチェックが(常に)可能ではない状況に特 に関連している。これはνが分散され多くの証明が複数の証明側によってなされ る場合起きる。そうした場合は中央側(central party)(典型は(h,a)の 認証の発行者を表す)がデータベースを保持し、νが中央側とプロトコル実行の 写しを(及び証明される特定のシステムについて中央側に知らせる用として、証 明される論理式の記述も多分一緒に)中央側に送信するために時々のみ接触する のがより実際的である。典型的な適用例としては、米国特許出願第08/203 、231に詳細されたオフ・ライン電子キャッシュシステム及びより一般的な資 格認証機構がある。 同じ(h,a)を使用し、cと法2tが異なるが、必ずしも同じ線形関係式か らなるシステムに適用されない呼びかけc’に応答して、Pが2度目の証明を実 行する場合、対応する数(r'1,...,r'k)によって表現(x1,..., xk)をデータベースを制御する側により後で計算することができる。明確に 明を2度以上証明する際に特定のxi1つだけを計算できれば十分な場合、ベク トル(r1,...,rk)全体の代わりに だけを記憶すれば十分である。さら に(h,a)の一部のみ、またはhか(h,a)の一方向ハッシュを記憶する ことにより、衝突に対する調査のためにより大きなデータベース記憶効率が獲得 できる。 データベースを保持する中央側とνの利害関係が一致しない特殊な場合、中央 側はνに対し署名付証明をPと行うように要求することを好んでもよい。署名付 証明によってどの特定の論理式が証明されたかを反論できないほど示されること を保証するために、ボックス52において呼びかけcは、少なくともa,証明さ れる論理式の記述、ベクトル(e1,...,eι)及びおそらくhと(プロト コル実行の日付と時間、ν側の身元といつた)付加情報の一方向ハッシュ値とし て決定することができる。この場合、νが中央側にプロトコル実行の写しを送信 する際、νは証明された論理式の記述に沿って送信しなければならない。 以外の形で計算してもよい。そこでPはそれに対応してボックス51においてι 個の訂正要素を計算しなければならない。図5のプロトコルによって、前以てシ ステムを知る必要なく、Pは線形関係式からなるいかなるシステムを実行するこ とができる。明らかに、2度実行されて表現が明らかになるように、1つの特定 の線形関係システムを証明することのみPができるべきであれば、プロトコルに 訂正要素は提供されるべきではない。このことによりPは最初から適切な形式の aを計算する必要がある。(ボックス11と比較)より一般的には、図2で既に 詳しく述べられたように、νはPが使える訂正要素の数と形式に制限を与えても よい。この方法により付加情報を明らかにしないでPは制限された論理式の集合 どれか1つを証明することができることを保証できる。一方、同じ(h,a)に 対する制限された集合からPがどれか2つの論理式を実行すれば、Pの秘密集合 は計算できる。認証側はPが用いることができる訂正要素の数と形式を、認証あ るいはxiの1つにコード化することができる。 当事者には明らかなように、図1に関して記載された全ての技術が、図4の発 明技術及びその一般化にも適用できる。さらに図2の発明技術により証明される 訂正要素使用の技術を用いることもできる。図2に関して既に述べられたように 、 cを決定する際(e1,...,eι)をハッシュしない署名付証明はここで特 別興味深い。このことは、Pにより証明された論理式をνが中央側から隠したい と考え、一方で、Pが2度以上(h,a)を利用する場合に中央側がPの表現( の一部)を計算することができるような適用例に望ましい。典型的な適用例は米 国特許出願第08/203、231に詳細されたオフ・ライン電子キャッシュシ ステムで、(h,a)はデジタルコインを表す。数(x1,...,xk)は収入 分類のようなPの特性を表してもよいし、安く買うためにそれらの幾つかをν( 商人)に明らかにすることを選ぶことができる。νは、客のプライバシを守るた め中央側(銀行)に対しPの収入分類を明らかにしないことを選んでもよい。 米国特許出願第08/203、231に述べられたものと類似の方法で、Pが 前以て決められた任意の整数u回以上証明を実行するときのみPの表現が計算で きることを保証することができる。これに関して、Pは(h,a1,...,au )に委任するべきである。ここで、各a1,...,auは図5のaと同じ方法で 決められる。(h,a1,...,au)に関してi番目の証明を実行する際に、 Pは対(h,ai)を使用する。委任を実行する幾つかの方法が存在する。1つ はaiを葉、別の各ノードを子ノードの一方向ハッシュとする二進樹を作り根ノ ードとhを認証する。別の方法では(h,a1,...,au)を直接認証する。 RSA根計算の困難さに基づいた本発明を実施することは、既に詳細に述べた 記述と共に図を研究することにより当業者には容易である。従って詳細な記述は ここでは省略する。 図5のプロトコルでは、前以て決定された回数以上証明するときのみPの秘密 集合の付加情報が明らかにされる方法によって、連結語「AND」を0又は1つ 以上及び連結語「OR」を1つ有する命題論理からPは論理式を証明することが できない。今度は図6にについて、論理式が2度以上実行されない限り秘密の付 加情報が漏れることなく、0または1つ以上の連結語「AND」及び高々1つの 連結語「OR」によって線形関係式をつなげる、充足可能な論理式が秘密集合に 適用されることを証明するためのプロトコルのフローチャートが詳しく述べられ る。 図3に関して詳細されたように、そうした論理式は行列方程式 で表すことができる。ここで、f1,...,fιはZqに属する数で、εは0 でない差異数である。0または1つ以上の連結語「AND」及び高々1つの連結 語「OR」によって線形関係式をつなげるいかなる充足可能な論理式をPが証明 できるために、Pがι+1個までの訂正要素を明らかにすることができると仮定 する。訂正要素の中のι個は(gπ(k-ι+1),...,gπ(1))に対応する指 数を調整するために使用され、1個はhに対応する指数を調整するために使用さ れる(もう1度言うが、代わりに証明することができる論理式のクラスを制限す るために訂正要素に制限を設けてもよいし、制限された要素を1つも提供しない ことにより、Pはaを計算する際に論理式1つだけ予想することができる。必要 な修正は当業者には容易であると考えられる。)。明確には、Pはまず(g1, ...,gk)に関してaのランダムに生成された表現(w1,...,wk)を 知っている。プロトコルは次の通りである。 ボックス61の1行目では、hに対応する指数を調整するためにPが使用する 、Zqに属した乱数w0をPが計算するのが示される。次の4行では、Pが全て Zqに属するι+1個の訂正要素(e0,e1,,...,eι)を計算するのが 示されている。5行目に示されるように、Pはνに対し(h,a),(h,a) のデジタル認証及びι+1個の訂正要素を送信する。ボックス51に対しての注 は ここでも適用される。 ボックス62の1行目では、νがZ2tに属する呼びかけ数cを生成するのが示 される。2行目では、νがcをPに送信するのが示される。 ボックス63の1行目では、Pが差異数εの乗法逆数δを計算するのが示され る。差異数は、行列関係式で示されるι個の線形関係式の1つからPによって計 算することができる。次の4行では、Pがk−ι+1個の応答数を計算するのが 示され、6行目では、Pが応答数をνに送信するのが示される。ボックス64の 最初の5行では、νがι個の数rk- ι+1,...,rkを計算するのが示されて いる。(rk- ι+1とrkの計算は図においてそれぞれ2行にわたっているが単に 配置よくするためである)6行目では、νがPによって与えられたk−ι+1個 の応答を照合するのが示される 照合が有効であれば、νは証明を認める。νが (h,a),c, (e0−γ0modq,γ1,...,γκ)をデータベースに記憶する ことは示されない。 図5の記述で詳しく述べられかつ参照された技術は全て同様に有効である。特 に、中央側がデータベースを保持する場合に特別役に立つ。Pが(h,a)に関 して2回目の証明を実行する場合、異なった呼びかけに対し、表現(x1,.. .,xk)はデータベースを保持する側によって後で計算することができる。(さ らに(e0−γ0modq,γ1,...,γκ)を記憶する代わりに(γ1(e0−γ0)-1mod q,... , rκ(e0−r0)-1mod q))を記憶すれば十分である)大きなデータベース記憶 に対し類似の技術が使用できる。データベースを保持する中央側の利害関係とν の利害関係が等しくない場合、中央側は一般にνがPと署名付証明を実行するよ うに要求するべきである。署名付証明によって、証明された特定の論理式か、論 理式の部分クラスの1つが証明されたのか、あるいはPがhの表現を知っている という事実だけを確信するのかは、訂正要素かつ/又は証明される論理式につい てどの情報がハッシュされるのかで決めることができる。証明の中でPが(h, a)を用いる回数は、前以て決められたいかなる整数にすることができる。さら にPがTとUからなる状況及びRSA根の困難さに関連した実施形態に対する適 用は容易である。 さらにより一般的に、2度以上の証明が(x1,...,xk)を明らかにする ような方法で、原子命題がZq上の線形関係である、命題論理からいかなる充足可 能な論理式をPが証明するようにすることができる。 複数の連結語「AND」と連結語「NOT」を2つ以上(連結語「OR」は含 まない)有する命題論理のいかなる充足可能な論理式は、部分論理式に対する各 証明を図5又は図6のように扱うことができるように、部分論理式に対応する幾 つかの証明に分けることができる。(図3の記述と比較)(h,a)に関する論 理式の署名付証明に対し、部分論理式に対する証明は、全て平行に1つの呼びか けcに応答して実行することができる。例えば部分論理式のm個の平行証明に、 論理式の証明が分けられる場合、Pがボックス51と61において数aを送信す る必要があるのと同じ方法で、i番目の部分論理式の証明では、Pは数aiを送 信する必要がある。署名付証明では、νの呼びかけcは少なくとも(a1,.. .,am)の一方向ハッシュ値として計算しなければならない。さら Pによって選ばれなければならない。より正確には、論理式の証明において、a ならない。当事者には明らかなように、このことによって表現(x1,..., xk)を異なった呼びかけに応答するいかなる2つの写しから計算することがで きる。明確には、図6に従って1とmの間のiに対し、Pはi番目の部分論理式 証明に対する応答の集合を明らかにしなければならないし、νはボックス64の 4行目に記載された照合関係式に従って部分論理式証明を照合することができる 。全ての照合関係式(各部分論理式証明に対し1つで合計m個)を掛け合わし、 が得られる。(この計算はνによって実際に行われる必要はない)ここで、k+ 1個の指数z0,...,zkは訂正要素、i番目の部分論理式証明の応答数、呼 びかけ値及びPが証明する論理式を特定する係数を含んだ線形組み合わせである 。さらにPが(h,a)に関して2つの証明を実行する場合に、呼びかけ数と (z1/z0modq,...,zκ/z0modq)を記憶することにより、データベースを保持する側 は表現(x1,...,xk)を計算することができる。 命題論理からの任意の充足可能な論理式は連結語「OR」を有することもでき る。そうした論理式を扱うために、図4に関して記載された任意の論理式の証明 に対する発明技術が、前段落に記載した、いかなる2つの証明が(x1,... ,xk)を明らかにすることを保証するための発明技術と共に適用することがで きる。明確には、Pによって証明されるべき論理式が例えばm個の部分証明に分 けられ、各証明はある呼びかけ数に応答して実行することができる。m個の呼び かけ数は、Pが証明する必要のある論理式に従う制限を条件に、νの呼びかけ値 (署名付証明では一方向ハッシュ値)1つからPにより決定されなければならな い。(例3と比較)前段落で詳しく述べたように、aを調整するためにPはk+ 1個までの訂正要素を明らかにしてよく、(さらに適切な制限を加えてもよい) 論理式証明の中でPにより送信される数である。(aiはボックス61のaと同 じ役割をする)再度言うが、全部でm個の応答数の集合、Pによって証明される 論理式の記述、Pの呼びかけ値及び訂正要素(幾つでも)から1つの関係式 かなる2つの証明をPが実行する場合に、(x1,...,xk)を計算するには 呼びかけ数と(z1/z0modq,...,zκ/z0modq)を記憶すれば十分である。 ここでまた、安全度がRSA根計算に関連する実施形態の記述やPが2つでで きた状況に本発明を適用する際の記述に対しては詳細な記述は省略する。図と共 に対応する記述を研究することで、当事者はこれらの記述を与えることについて ほとんど困難を感じないと考えられる。 本文は好ましい実施形態の詳細な記述を有する。本発明についてのこれらの記 述は例として与えられたが、他方当業者により、種々の変形、外の形を有するも の及び等価なものが、本発明の精神と範囲から離れることなく採用されると認め られる。例えば式の値を求める順序、式の並べ方、フローチャートボックスでの 式、テスト、送信の並べ方、フローチャートの作業の分け方、フローチャートボ ックスの並べ方に関して本質的に同じものは多くある。ここでなされた特定の選 び方は、説明を明確にする目的のためだけである。 当業者にとってある種の変形及び交換は明らかである。例えば、aの送信及び 、署名付証明に対し呼びかけcを計算する際のaのハッシュ化の代わりに、衝突 しにくいaのハッシュ化を用いることができる。勿論νによる照合は対応して調 整する必要がある。さらに本発明技術は素数から構成されていない群においても 適用できる。その場合、Pの秘密集合はもはや体(field)には属さず、零因子 を有する環に属する。この点から、多くの適用例では素数の群に対する選択が好 ましいと考えられる。しかしながら、これは問題となる必要はない。なぜなら零 因子は(2つの大きな素数の積の位数に等しい乗法群において働くような場合) 見つけにくかったり、零因子を見つけることができることが身近な適用例にとっ て有利であったりするからである。例えばAx1=B mod 2qを証明すること により、(Aは偶数)Pは、qにより区別される2つの値のうち1つを有するこ とを、どちらであるかを明らかにせずに証明する。同様に、本発明がRSA群に 基づく場合、指数υは必ずしも素数である必要はない。例えば代わりにυは2つ の大きな素数の積ととることができる。再び、Pの秘密集合は零因子を有する環 に属し、υを2つの大きな素数の積ととることにより、Pが零因子をみつけるこ とを不可能にすることができる。零因子がみつけられるのは時には役に立つ。他 の変形や交換は本文の中で示唆されたり、時々詳細に記述されたりしている。 また当業者にとって、ここで開示された本発明の技術及びプロトコル部分がど のように有効に用いることができるかは明らかである。例えば米国特許出願第0 8/203、231に記載された資格認証技術は本適用の発明技術と共に適用す ることができる。米国特許出願第08/321、855に記載された秘密鍵認証 を用いて、hまたは(h,a)を認証することができる。認証は制限されたブラ インド発行プロトコルの方法により発行することができる。すなわち少なくとも x1,...,xkの幾つかは認証発行機関によりhにコード化される。一方認証 及び(h,a)認証発行機関から隠される。(g1,...,gk)に関して2つ の数h1とh2の表現をPが知っているとνが確信した場合には、本発明技術 Pの仮り名(pseudonym)である時である。このことは、おそらくPが証明する 必要のある論理式の部分論理式の形式において、仮り名の身元を示唆する指数が 両方の指数で同じであることをPが証明することを許している。 別の例は当該分野でよく知られたいわゆる否定不可能署名(uneniable ...,x3)を署名者の秘密鍵とすると、メッセージmの否定不可能署名は 、mが線形関係式の係数の1つとなるように数x1,...,x3の2つを含むい かなる線形関係式となるようにとることができる。(例えばx1+mx2mod q がとられる)署名を確認するために図1の方法を用いることができる。さらに、 署名を否定するため図3の方法を用いることができる。両方の場合とも、上述し たような小さな呼びかけ数に対する4段階の繰り返しか、第1段階がνの呼びか けのνの委任である5段階プロトコルのどちらかを要求するプロトコルのゼロ知 識の変形を用いるべきである。この方法は当該分野でよく知られた否定不可能署 名スキームの重大な改良を行うと認められる。(スプリンガー・バーレグ、クリ プト91、コンピュータ・サイエンス576の講義ノートpp.470ー484 、暗号学の進化、、「署名者にとって無条件に安全な否定不可能暗号署名」、シ ャウム.デー、ヘイスト.エー、フィッツマン.ベーを参照)さらに当業者に明 らかなように、同様の構成法はRSA根計算の困難さに基づくことができる。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,DE, DK,ES,FI,FR,GB,GR,IE,IT,L U,MC,NL,PT,SE),OA(BF,BJ,CF ,CG,CI,CM,GA,GN,ML,MR,NE, SN,TD,TG),AP(KE,LS,MW,SD,S Z,UG),AM,AU,BG,BR,BY,CA,C N,CZ,EE,FI,GE,HU,IS,JP,KG ,KP,KR,KZ,LK,LR,LT,LV,MD, MG,MN,MX,NO,NZ,PL,RO,RU,S G,SI,SK,TJ,TM,TT,UA,US,UZ ,VN

Claims (1)

  1. 【特許請求の範囲】 1. 複数の秘密(x1,...,xk)が命題論理から論理式を満たすことを証 明する装置において、 上記論理式が、1つ又はそれ以上の論理連結語「AND」、「OR」、「NO T」によって上記秘密において線形関係式をつなぎ、 上記装置が を形成する委任手段と、 ここでg1,...,gkは離散的対数計算が実質不可能な群に属する実質ラン ダムな数であり、 第1の数ベクトルに関して第1の数の表現を知っていることを証明する証明方 法で、上記第1の数及び上記第1の数ベクトルの各数が集合{h,g1,... ,gk}及びその逆数のべき乗の積となっているもの、 とを有する装置。 2. 上記論理式がι(<k)個の独立線形関係式 により表され、 ここで、π(・)は{1,..,k}を並び替えたものであり、 qは上記群の位数を表し、 上記第1の数は に等しく、 上記第1の数ベクトルは に等しい、 請求項1に記載の装置。 3. 上記論理式が線形不等式 により表され、 ここで、π(・)は{1,..,k}を並び替えたものであり、 qは上記群の位数を表し、 上記第1の数はgπ(1)に等しく、 上記第1の数ベクトルは に等しい、 請求項1に記載の装置。 4. 上記論理式が少なくとも独立線形方程式1つと線形不等式丁度1つからな るシステム により表され、 ここで、π(・)は{1,..,k}を並び替えたものであり、 qは上記群の位数を表し、 εはZqに属する0でない差異数εで、 上記第1の数は に等しく、 上記第1の数ベクトルは に等しい、 請求項1に記載の装置。 5. 上記論理式がより大きな論理式の部分論理式で、上記のより大きな論理式 が少なくとも論理連結語「OR」を1つ有する装置で、請求項2から4までのう ち1つに記載の装置。 6. 上記論理式が「R1OR...OR Rι」で表され、各部分論理式(1≦ i≦ι)が0または1つ以上の連結語「AND」と高々1つの連結語「NOT」 により上記秘密集合における線形関係式をつなぐ、 請求項1に記載の装置。 7. 上記論理式が論理連結語「OR」を少なくとも1つ有し、 上記装置が自分で選んだ呼びかけと自分で選んだ応答を使用することで、第2数 ベクトルの少なくとも1つに関して第2数の少なくとも1つを知っていることを 証明するシュミレーティング手段をさらに有する、 請求項1に記載の装置。 8. 上記論理式あるいは上記論理式の部分論理式が で表され、 ここで、π(・)とρ(・)は{1,..,k}を並び替えたものであり、 qは上記群の位数を表す、 請求項1に記載の装置。 9. 上記証明手段においてさらに、 Zqに属する実質ランダムな数を少なくとも1つ生成するための乱数生成装置と 、 上記群に属する第1証拠を計算するための第1証拠計算装置と、 呼びかけ数に応答してZqに属する応答数を少なくとも1つ計算するための応答 生成装置と、 少なくとも上記応答数を表す信号を送信するための送信装置とを有する、 請求項2から8の1つに記載の装置。 10. 上記呼びかけ数が、一方向ハッシュ関数を少なくともhと上記第1証拠 に適用することで計算される、 請求項9に記載の装置。 11. 上記一方向ハッシュ関数がさらに上記論理式の1部の記述に適用された 、 請求項10に記載された装置。 12. 上記一方向ハッシュ関数がさらに上記論理式を一義的に表す記述に適用 された、 請求項10に記載の装置。 13. 上記証明装置がさらに、 Zqに属する訂正要素を少なくとも1つ計算するための訂正要素計算手段と、 上記の訂正要素少なくとも1つを表す信号を送信するための上記送信手段とを 有する、 請求項9に記載の装置。 14. 少なくともh、上記第1証拠、上記訂正要素少なくとも1つに関する少 なくとも部分的な情報、及び上記論理式に関する少なくとも部分的な情報に対す る一方向ハッシュ関数の適用により上記呼びかけ数が計算される、 請求項13に記載の装置。 15. 上記装置が少なくとも2つの構成要素により作動され、 上記の最低2つの構成要素のそれぞれが上記複数の秘密集合を全部でなく1部保 持する、 請求項1に記載の装置。 16. 上記証明手段においてさらに、 Zqに属する実質的なk−ι個の乱数(w1,...,wk- ι)を生成するため の乱数生成装置と、 を計算するための第1証拠計算手段と、 ri←cxπ(i)+wimodq(1≦i≦k−ι)に従って呼びかけ数cに応答 してk−ι個の応答数r1,...,rk- ιを計算するための応答生成手段と、 少なくとも上記k−ι個の応答数を表す信号を送信するための送信手段とを有 する、 請求項2に記載の装置。 17. 上記証明手段においてさらに、 Zqに属する実質ランダムなk−ι+z(1≦z≦ι)個の数を生成するための 乱数生成手段と、 上記少なくともk−ι+z個の実質ランダムな数から第1証拠aを計算するた めの第1証拠計算手段と、 Zqに属するz個の訂正要素を計算し、上記訂正要素が前以て決められた形式を 満たす訂正要素生成手段と、 呼びかけ数に応答して少なくともk−ι個の応答数を計算するための応答生成 手段と、 少なくとも上記k−ι個の応答数と上記z個の訂正要素を表す信号を送信する ための送信装置とを有する、 請求項2に記載の装置。 18. 上記証明手段においてさらに、 Zqに属するk個の実質ランダムな数(w1,...,wk)を生成するための乱 数生成手段と、 を計算するための第1証拠計算手段と、 (1≦j≦ι)に従ってι個の訂正要素e1,...,eιを計算する訂正要素 生成手段と、 呼びかけ数cに応答して、Zqに属する少なくともk−ι個の応答数を計算する ための応答生成手段と、 少なくとも上記k−ι個の応答数と上記ι個の訂正要素を表す信号を送信する ための送信装置とを有する、 請求項2に記載の装置。 19. 上記証明手段においてさらに、 Zqに属するk個の実質ランダムな数(w1,...,wk)を生成するための乱 数生成手段と、 を計算するための第1証拠計算手段と、 r1←cδ+w1mod q,ri←cxπ(i)δ+wimod q(2≦i≦k)に 従って呼びかけ数cに応答して、k個の応答数r1,...,rkを計算するため の応答生成手段と、 ここで、δが に等しく、 少なくとも上記k個の応答数を表す信号を送信するための送信装置とを有する 、 請求項3記載の装置。 20. 上記証明手段においてさらに、 Zqに属するk+1個の実質ランダムな数(w0,...,wk)を生成するため の乱数生成手段と、 を計算するための第1証拠計算手段と、 (1≦j≦ι)に従ってι+1個の訂正要素e0,...,eιを計算する訂正 要素生成手段と、 r0←cδ+w0mod q,ri←cxπ(i)δ+wimod q(1≦i≦k− ι)に従って、呼びかけ数cに応答して、k−ι+1個の応答数r0,..., rk- ιを計算する応答生成手段と、 ここでδはε-1mod q に等しく、 少なくとも上記k−ι+1個の応答数と上記ι+1個の訂正要素を表す信号を 送信するための送信装置とを有する、 請求項4に記載の装置。 21. 上記証明手段においてさらに、 Zqに属するk−1個の実質ランダムな数(w2,...,wk)を生成するため の乱数生成手段と、 を計算するための第1証拠計算手段と、 自分で選んだ実質ランダムな呼びかけ数c2を生成するための呼びかけシミュ レート手段と、 自分で選んだ実質ランダムなk−1個の応答数s2,...,skを生成するた めの応答シミュレート手段と、 を計算するための第1証拠シミュレート手段と、 ri←c1π(i)+wimod q(2≦i≦k)に従って呼びかけ数cに応答し て、k−1個の応答数r2,...,rk- ιを計算する応答生成手段と、 ここで、c1はcとc2から一義的に決まり、 少なくとも(r2,...,rk),(s2,..,sk)とc1,c2の1つを表 す信号を送信するための送信装置とを有する、 請求項8に記載の装置。 22. 複数の秘密(x1,...,xk)が命題論理から論理式を満たすことを 証明する装置において、 上記論理式が、1つ又はそれ以上の論理連結語「AND」、「OR」、「NO T」によって上記秘密集合において線形関係式をつなげ、 上記装置が を形成する委任手段と、 ここでnは最低2つの互いに離れた素数の積、υは整数、Y1,...,Yk 第1の数ベクトルに関して第1の数の表現を知っていることを証明する証明手 段と、 ここで上記第1の数及び上記第1の数ベクトルの1つだけが集合{h,Y1, ...,Yk}及びその逆数のべき乗の積となっていて、上記第1の数ベクト ルの最後の数がυである、 を有する装置。 23. 上記論理式がι(<k)個の独立線形関係式 により表され、 ここで、π(・)は{1,..,k}を並び替えたものであり、 上記第1の数は に等しく、 上記第1の数ベクトルは に等しい、 請求項22に記載の装置。 24. 上記論理式が線形不等式 により表され、 ここで、π(・)は{1,..,k}を並び替えたものであり、 上記第1の数はYπ(1)に等しく、 上記第1の数ベクトルは に等しい、 請求項22に記載の装置。 25. 上記論理式が少なくとも独立線形方程式1つと線形不等式丁度1つから なるシステム により表され、 ここで、π(・)は{1,..,k}を並び替えたものであり、 εはZυに属する0でない差異数 で、 上記第1の数は に等しく、 上記第1の数ベクトルは に等しい、 請求項22に記載の装置。 26. 上記論理式がより大きな論理式の部分論理式で、上記のより大きな論理 式が少なくとも論理連結語「OR」を1つ有する装置で、請求項23から25ま でのうち1つに記載の装置。 27. 上記論理式が「R1OR...OR Rι」で表され、各部分論理式 Ri( 1≦i≦ι)が0または1つ以上の連結語「AND」と高々1つの連結語「NO T」により上記秘密集合における線形関係式をつなぐ、 請求項22に記載の装置。 28. 上記論理式が論理連結語「OR」を少なくとも1つ有し、 上記装置が自分で選んだ呼びかけと自分で選んだ応答を使用することで、 第2の数ベクトルの少なくとも1つに関して第2の数の少なくとも1つを知って いることを証明するシュミレーティング手段をさらに有する、 請求項1に記載の装置。 29. 上記論理式あるいは上記論理式の部分論理式が で表され、 ここで、π(・)とρ(・)が{1,..,k}を並び替えたものである、 請求項22に記載の装置。 30. 上記証明手段においてさらに、 数1つを生成するための乱数生成装置と、 数1つを計算するための応答生成装置と、 少なくとも上記応答数を表す信号を送信するための送信装置とを有する、 請求項23から29の1つに記載の装置。 31. 上記呼びかけ数が、一方向ハッシュ関数を少なくともhと上記第1証拠 に適用することで計算される、 請求項30に記載の装置。 32. 上記一方向ハッシュ関数がさらに上記論理式の1部の記述に適用された 、 請求項31に記載の装置。 33. 上記一方向ハッシュ関数がさらに上記論理式を一義的に表す記述に適用 された、 請求項31に記載の装置。 34. 上記証明装置がさらに、 Zυに属する訂正要素を少なくとも1つ計算するための訂正要素計算手段と、 上記の訂正要素少なくとも1つを表す信号を送信するための上記送信手段とを有 する、 請求項30に記載の装置。 35. 少なくともh、上記第1証拠、上記訂正要素少なくとも1つに関する少 なくとも部分的な情報、及び上記論理式に関する少なくとも部分的な情報に対す る一方向ハッシュ関数の適用により上記呼びかけ数が計算される、 請求項34に記載の装置。 36. 上記装置が少なくとも2つの構成要素により作動され、 上記の最低2つの構成要素のそれぞれが上記複数の秘密を全部でなく1部保持す る、 請求項22に記載の装置。
JP9517238A 1995-11-03 1996-10-23 命題論理から充足可能な論理式を証明するための暗号手段 Ceased JPH11514752A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
NL1001568 1995-11-03
NL1001568 1995-11-03
PCT/NL1996/000413 WO1997016903A1 (en) 1995-11-03 1996-10-23 Cryptographic methods for demonstrating satisfiable formulas from propositional logic

Publications (1)

Publication Number Publication Date
JPH11514752A true JPH11514752A (ja) 1999-12-14

Family

ID=19761802

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9517238A Ceased JPH11514752A (ja) 1995-11-03 1996-10-23 命題論理から充足可能な論理式を証明するための暗号手段

Country Status (5)

Country Link
EP (1) EP0858701B1 (ja)
JP (1) JPH11514752A (ja)
AU (1) AU724414B2 (ja)
CA (1) CA2236544C (ja)
WO (1) WO1997016903A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5606344B2 (ja) * 2011-01-25 2014-10-15 三菱電機株式会社 署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0383985A1 (de) * 1989-02-24 1990-08-29 Claus Peter Prof. Dr. Schnorr Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
FR2714780B1 (fr) * 1993-12-30 1996-01-26 Stern Jacques Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification.

Also Published As

Publication number Publication date
AU724414B2 (en) 2000-09-21
WO1997016903A1 (en) 1997-05-09
AU7229896A (en) 1997-05-22
CA2236544C (en) 2006-01-10
EP0858701B1 (en) 2012-07-04
CA2236544A1 (en) 1997-05-09
EP0858701A1 (en) 1998-08-19

Similar Documents

Publication Publication Date Title
US5606617A (en) Secret-key certificates
JP2666191B2 (ja) データ交換システムにおける加入者相互のアイデンテイフイケーシヨンならびに署名の発生および確認のための方法
Brickell et al. Enhanced privacy ID: A direct anonymous attestation scheme with enhanced revocation capabilities
Fiat et al. How to prove yourself: Practical solutions to identification and signature problems
JP5497677B2 (ja) 公開鍵を検証可能に生成する方法及び装置
Damgård et al. New convertible undeniable signature schemes
US9882890B2 (en) Reissue of cryptographic credentials
KR102372718B1 (ko) 발행인 익명성 인증서 시스템을 위한 분산화된 그룹 서명 방법
Gjøsteen et al. Password-based signatures
US6320966B1 (en) Cryptographic methods for demonstrating satisfiable formulas from propositional logic
JP3513324B2 (ja) ディジタル署名処理方法
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
JP4306232B2 (ja) 証明システムと評価システム
JP2004228958A (ja) 署名方法および署名プログラム
JPH11514752A (ja) 命題論理から充足可能な論理式を証明するための暗号手段
US11856095B2 (en) Apparatus and methods for validating user data by using cryptography
Slowik et al. An efficient verification of CL-LRSW signatures and a pseudonym certificate system
Hanzlik et al. Two-move and setup-free blind signatures with perfect blindness
Kansal et al. Construction for a nominative signature scheme from lattice with enhanced security
Tian et al. Deniability and forward secrecy of one-round authenticated key exchange
Ding et al. MQDSS
Guajardo et al. Anonymous credential schemes with encrypted attributes
Kansal et al. Efficient Construction of Nominative Signature Secure under Symmetric Key Primitives and Standard Assumptions on Lattice
Teşeleanu Concurrent Signatures from a Variety of Keys
Liu Contributions to cryptography with restricted conditions

Legal Events

Date Code Title Description
A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20031105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060905

A313 Final decision of rejection without a dissenting response from the applicant

Free format text: JAPANESE INTERMEDIATE CODE: A313

Effective date: 20070129

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070227