KR20060043347A

KR20060043347A - 신규의 공정한 은닉 서명을 위한 서명 방법, 컴퓨터 프로그램, 장치 및 서명 시스템

Info

Publication number: KR20060043347A
Application number: KR1020050017472A
Authority: KR
Inventors: 세바스티엥 까나르드; 마티 가우드; 자뀌 떼라우레
Original assignee: 프랑스 텔레콤
Priority date: 2004-03-02
Filing date: 2005-03-02
Publication date: 2006-05-15
Also published as: US20050278536A1; US7584363B2; DE602004006373T2; JP4932168B2; EP1571778A1; KR100718489B1; ATE362249T1; DE602004006373D1; JP2005253083A; EP1571778B1

Abstract

공정한 은닉 서명 방법에서, 사용자는 A^e=a₀a₁ ^xa₂ ^ma₃ ^Xua₄ ^ta₅ ^s (mod n)와 같은 7개의 요소로 된 집합(A,e,s,t,x_u,x,m)을 완성시키기 위해 서명자와 상호작용을 한다. 여기서 a₀, a₁, a₂, a₃, a₄, a₅와 n은 서명자의 공개키(PUBK_S)의 원소들이다.

서명 발행 단계 동안, 사용자 (U)는 서명자 (S)에게 신용기관(TA)에 알려진 키에 따라 암호화된 데이터 원소(a₁ ^x)를 제공한다. 그리고 이 데이터 원소(a₁ ^x)는 서명된 메시지의 전송 동안에 나타난다.

마찬가지로, 서명된 메시지는 신용기관(TA)에 알려진 키(f)에 따라 암호화된 두 번째 데이터 원소(a₃ ^Xu)를 포함하는 두 번째 암호화된 데이터와 연합하여 전송된다. 그리고 서명 발행 단계 동안에 이 두번째 데이터 원소(a₃ ^Xu)는 서명자에게 나타난다.

따라서, 신용 기관(TA)은 디지털 서명의 익명성을 취소할 수 있다.

은닉 서명, 디지털 서명, 보안, 암호, 프로토콜, 공개키, 비밀키

Description

보안 서명 방법 {New fair blind signature process}

도 1은 이 발명의 제출된 구체적 설명에 따라 공정한 은닉 서명 설계를 충족하기 위해 사용된 주요 처리들과 프로토콜들을 가리키는 도표이다. 도 1이 표시하는 것처럼, 제출된 구체적 설명의 공정한 은닉 서명 설계는 서명 발행 프로토콜, 서명 제출 프로토콜 그리고 서명 추적 프로토콜 및/또는 과정-추적 프로토콜(여기서는, 사용자-추적 프로토콜)을 포함하는 추적 프로토콜을 포함한다.

이 발명은 전자 상거래의 보안에 관계된다. 특히, 이 발명은 디지털 서명들의 기술적인 분야에 부합한다.

디지털 서명 개요는 사용자와 서명자를 포함하는 공개키 암호 프로토콜이다. 서명자는 비밀 키와 조합 공개키를 소유한다. 사용자는 일반적으로 인터넷과 같은 네트워크로 전송을 하기 위하여 메시지를 만든다. 서명자는 메시지의 유효성 또는 확실성의 표시로서 메시지의 디지털 서명을 제출하기 위해 그의 비밀(또는 개인) 키를 사용한다. 서명의 확실성을 검증하기를 바라는 사람은 오직 서명자의 공개키를 사용함으로써 그렇게 할 수 있다.

전통적인 디지털 서명 설계들에서는 서명자는 디지털 서명이 사용된 메시지의 내용을 알고 있다. 그리고 서명 알고리즘(예를 들면, 유명한 RSA 알고리즘)은 위조하기에 어렵거나 불가능한 디지털 서명을 생성시키는데 사용된다.

공정한 은닉 서명 설계에서, 사용자는 서명자로 하여금 메시지의 내용에 대해 정보를 가지고 있도록 하지 않으면서 그의 메시지에 대해 디지털 서명을 얻을 수 있다. Prof. Dr. David Chaum에 의하여 개발된 유명한 공정한 은닉 서명 설계는 EP-A-0 139 313에 설명되어 있다. 공정한 은닉 서명 설계들은 금융 기관이 현금의 다음 용도를 추적할 수 있는 것을 막음으로써 개인이 금융 기관으로부터 디지털 현금을 구입하는 것을 가능케 하기 위하여 디지털 현금 제안서에의 사용을 위하여 자주 제안된다.

일반적인 공정한 은닉 서명 설계에서, 만약 서명자가 다른 사용자들을 위해 많은 서류들에 서명하면, 그가 서명한 한 특정 서류가 주어졌을 때, 그는 언제 또는 누구를 위해 그 서류에 서명했는지 알 수 없을 것이다. 대조적으로, 공정한 은닉 서명 설계(FBSS)에서는, 한 추가적인 참여자, 즉 하나 또는 그 이상의 신용기관들(또는 “심사원들”)이 있다. 그리고 서명자는 어떤 서명이 주어진 서명 방법에서 기인하였는지 신용기관(또는 만약 하나 이상이라면 신용기관들의 단체)의 도움으로 확인할 수 있다.

만약 서명자가 특정한 서명 방법의 기록을 가지고 있으면, 신용기관의 도움으로, 그는 그 방법에서 기인하는 서명-메시지 쌍을 확인할 수 있다 : 이것은 "서명 추적"이라고 불린다. 반대로, 만약 서명자가 유효한 특정 메시지-서명 쌍을 가 지고 있으면, 신용기관의 도움으로, 그는 이것이 생성된 서명 방법을 정할 수 있다 : 이것은 "과정 추적"이라고 불린다.

공정한 은닉 서명 설계들에 사용된 한 구성원소는 지식의 0 지식 증명들이다. 한 존재(확인자)는 또 다른 존재(확인자)에 어떤 진술(또는 서술)이 진정하다는 것을 증명할 필요가 있을 지도 모른다. 만약 입증자와 확인자가 적합한 대화식 프로토콜(지식의 대화식 증명)을 수행할 수 있으면 , 확인자는 진술의 진실성을 확신할 수 있다. 만약, 지식 증명에 참가한 후에도 , 확인자가 진술이 무엇인지 전혀 모른다면(확인자가 단지 그것이 진실하거나 또는 “유효”하다는 것만 알고 있다면), 지식 프로토콜의 증명은 "0 지식"이라고 불린다. 후자의 경우에, 확인자는 다른 사람들에게 진술의 유효성을 스스로 증명할 수 없다.

비록 공정한 은닉 서명 설계들이 주어진 디지털 서명을 주어진 사용자에 연결되도록 하더라도 , 사용자의 메시지는 여전히 비밀 상태로 있다. 공정한 은닉 서명 설계들은 전자 경매들 같은 취소할 수 있는 익명성이 바람직한 응용 상S에, 그리고 조직범죄와의 전투(예를 들어, 돈세탁의 예방)에 주로 제안되었다.

보안을 위하여, 공정한 은닉 서명 설계는 하나 이상의 위조불가성, 은닉성 그리고 추적성(엄격한 취소) 같은 특성들을 가지고 있어야 한다.

하나 이상 위조불가성은 비록 고의적인 위조자가 서명자와 k번 상호 작용하였을지라도 공정한 은닉 서명 설계 하에서는 k+1번째 유효한 서명을 만드는 것이 계산적으로 어렵다는 사실을 의미한다 (이것은 "(k, k+1) 위조불가성"으로 불리어질 수 있다).

이 특성은 비록 고의적인 위조자와 서명자 사이의 상호작용이 적합하고 배차 배치하는 방법으로 수행될지라도 지켜져야 한다. 은닉성은 특정 유효 디지털 서명을 제공받은 사람(신용기관을 제외한)이, 서명을 생기게 한 서명 방법을 처리하였던 사용자의 식별 정보를 생성하는 것이 계산적으로 어렵다는 특성을 의미한다.

마찬가지로, 특정 서명 방법의 기록을 제공받은 사람(신용기관을 제외한)이 그 방법에서 만들어진 서명을 확인하는 것은 계산적으로 어렵다.

"추적성(엄격한 취소)"는 어떤 사람(서명자를 제외한)이 공정한 은닉 서명 설계로 만들어진 추적 절차를 회피하는 것이 어렵다는 특성을 의미한다.

특히, 모든 사람(서명자를 제외한)이 신용기관에 의하여 추적될 수 없는 또는 신용기관에 의하여 유사 사용자에게 맞춰질 수 없는 유효한 서명을 산출하는 것은 계산적으로 어렵다.

다양한 공정한 은닉 서명 설계들이 제안되었다.

예를 들면, M에 의한 "공정한 은닉 서명들"을 보십시오.

암호 작성술의 향상의 Stadler 등, ― Eurocrypt 1995, 컴퓨터 과학 강의 노트 중 921권, pp 209― 219, 베를린, Springer-Verlag. 그러나, 제안된 설계들의 대부분은 비능률적이고 불안전하거나, 비표준 가정들이 만들어지면 안전하다고 증명될 뿐이다.

한 효과적인 공정한 은닉 서명 설계는 Abe와 Ohkubo에 의하여 제안되었다( Asiacrypt 2001, 컴퓨터 과학 강의 노트 2248권, pp 583-601, 베를린, Springer-Verlag의 회보에 "엄격한 취소를 가진 아마도 안전한 공정한 은닉 서명들"을 보십 시오).

이 설계의 보안(즉, 서명들의 위조불가성)은 이산 대수 문제에 의존한다.

비록 이 설계가 다항식 보안을 제공하도록 청구항 받을지라도 , 사실상 그것은 오직 복대수 보안(즉, 오직 서명들의 복대수 수만 안전하게 발행될 수 있다 : 보안 매개변수의 관점에서 정의가 내려지는 이 복대수 수)을 제공한다.

이 발명의 우선의 구체적 설명는 능률적이며 서명들의 다항식 수가 안전하게 발행되도록 하는 공정한 은닉 서명 설계를 제공한다.

이 발명은 첨부한 청구항에 규정된 것처럼 공정한 은닉 서명 설계를 제공한다.

이 발명의 그 이상의 특징과 이점들은 예로서 주어지고, 제출된 구체적 설명의 공정한 은닉 서명 설계의 주요한 원소를 가리킨 첨부 도면에 의해 설명되어, 그것에 대해 제출된 구체적 설명인 다음 설명으로부터 명백하게 될 것이다.

이 발명의 제출된 구체적 설명에 따라 공정한 은닉 서명 방법의 상세한 설명을 제공하기 전에, 공정한 은닉 서명 설계들의 기본적인 원리들과 약간의 수학적인 기호법을 상기하는 것은 유용하다.

이것이 이 분야에 유명하기 때문에 여기에서 공정한 은닉 서명 설계(FBSS)의 공식적인 정의를 내리는 것은 불필요하다고 생각된다.

그러나, 원한다면, 흥미를 가지고 있는 독자는 그러한 정의에 대해 상기에 인용된 Abe와 Ohkubo의 논문을 참조할 수 있다.

여기서 FBSS이 3가지 유형의 참여자들을 포함하는 것을 상기하는 것은 충분하다고 생각된다 : 메시지들이 서명되기를 바란 사용자들, U, 은닉 디지털 서명들을 생성시키는 서명자 (S), 그리고 “심사원”이라고 불릴 수 있는 신용기관(TA). 이 발명의 공정한 은닉 서명 설계에는 3가지 다른 종류의 프로토콜들이 사용된다 : 사용자가 그가 선택한 메시지의 서명을 얻을 수 있도록 하는, 사용자와 서명자 사이에서 처리되는 서명 발행 프로토콜, 사용자가 메시지와 함께 서명을 제출할 수 있도록 하는, 사용자와 누군가 사이에서 처리되는 서명 제출 프로토콜, 그리고 서명자, S와 신용기관, TA사이에서 처리되는 서명 추적 프로토콜 및/또는 과정-추적 프로토콜이 있는 추적 프로토콜.

이 발명의 제출된 구체적 설명에 사용된 과정 추적 프로토콜이 신용기관으로 하여금 특정한 메시지-서명 쌍으로부터 그 쌍을 만든 서명과정을 처리한 사용자의 동일성을 확인할 수 있게 한다는 것은 주목되어야 한다.

따라서, 이 선취권이 있는 프로토콜은 "사용자-추적" 프로토콜로 부를 수 있다.

실제로, 사용자의 추적은 특정한 메시지-서명 쌍을 생성한 서명한 과정을 단순히 확인하는 것보다 더 유용하다.

(어떤 설계들에서, 어떤 사용자가 진정한 과정-추적 프로토콜에 의해 확인된 서명 과정을 처리하였는지 결정하기 위하여 광범위한 데이터 베이스를 통하여 찾는 것은 필요한다.)

아래 설명에서 다음과 같은 수학 표기법이 사용될 것이다 : x ∈_R E는 x가 집합 E로부터 한결같이 임의 선택됨을 의미한다. - 바꾸어 말하면, x는 균등 분포에 따라 집합 E로부터 임의 선택된다.

만약 x가 정수이면 , |x| 는 x의 이원 크기(또는 길이)를 표시한다.

집합 I_d는 0부터 d-1까지의 정수들의 집합을 의미한다, 바꾸어 말하면, 그것은 집합 0,1,2,......, d-1 과 같다.

정수 n에 대해, Z_n은 n을 법으로 하는 나머지 종류 고리를 표시한다. 그리고 Z_n ^*는 Z_n에서 역 원소의 곱셈 그룹을 표시한다.

고정 Z_n에 한결같이 임의 선택되는 원소 α에 대해(바꾸어 말하면, (α∈_RZ_n)에 대해), Z_n ^*에서 α의 차수는 ord(α)로 표시된다.

Z_n ^*에서 한결같이 임의 선택된 원소α에 의하여 생성된(바꾸어 말하면, α∈_R Z_n ^*에 의하여 생성된) Z_n ^*의 하위집단은 <α>로 표시된다.

기호∥는 2(이진수) 문자열들의(또는 정수들과 그룹 원소들의 2진수 표현들의) 연결을 표시한다.

기호 H는 어떤 편리한 해시 함수를 표시한다.

SK(α : f(α,...))(m)은 메시지 m에 있는 지식의 서명을 표시한다.

지식의 서명, SK를 제공하는 것에 의해, 입증자는 제 삼자(확인자)에게 그가 술어 f을 규정하는 방정식을 만족시키는 값을 알고 있다는 것을 증명한다.

SK(α,β:f(α,...) ∧ g(β,...))(M)은 입증자가, f를 규정하는 방정식과 g를 규정하는 방정식을 만족시키는 값들, α와 β를 알고 있는 것을 증명함으로써, 메시지 M에 있는 지식의 서명을 표시한다.

지식의 서명은 유명한 Fiat-Shamir의 경험적 지식을 사용하는 지식의 0 지식 증명으로부터 시작된 서명이다 ( 컴퓨터 과학 강의 노트 pp186-194, 베를린, Springer-Verlag, 1987의 Crypto 회보 1986년 263권에 있는 A. Fiat과 A. Shamir의 "당신 자신을 증명하는 방법 : 확인와 서명 문제들의 실제적인 해결책"을 보십시오).

만약 지식의 근원적인 증명이 안전하면, 거기서부터 획득된 지식의 서명은 임의 신탁 모델에서 안전하다고 보여질 수 있다. 지식의 서명에 참조된 술어(들) f, g 등의 성질에 따라, 입증자는 지식의 0 지식 증명을 수립하기 위하여 확인자에게 다른 정보를 전송할 필요가 있을 것이다.

13쪽에서 시작하여, 몇몇 예들에는 전형적인 술어들과, 관련 술어를 만족시키는 값의 소유를 증명하기 위하여 입증자에 의하여 전송될 수 있는 정보가 주어질 것이다.

발명의 제출된 구체적 설명에 따라 공정한 은닉 서명 설계는 도 1을 참조하여 지금부터 설명될 것이다.

이 시스템이 디지털 서명들을 발행하는 서명자 S, 그들의 각 메시지들에 대 해 (공정한 은닉) 디지털 서명들을 얻으려고 노력하는 사용자들의 복수 U 그리고 디지털 서명들의 익명성을 취소시킬 수 있는 하나 이상의 신용기관들 TA를 포함하는 것이 상기될 것이다.

도 1은 이 발명의 제출된 구체적 설명에 따라 공정한 은닉 서명 설계를 충족하기 위해 사용된 주요 처리들과 프로토콜들을 가리키는 도표이다. 도 1에서 볼 수 있는 것처럼, 어떤 설계 매개 변수들의 값들이 정해지는 초기 설정 단계가 있다.

이 설정 단계 동안, 값들은 처음과 두번째 보안 매개 변수들 l과 lp를 위해 (시스템 설계자에 의해) 선택된다. 그러면, 서명자(S)는 각자가 보안 매개 변수 lp와 동등한 많은 비트들을 가진 임의 비밀 소수들 p'와 q'를 선택한다.

p'와 q'는 값 p = 2p'+1과 q = 2q'+1이 둘다 소수들인 것으로 선택된다.

서명자는 PRKS=(p', q')를 그의 개인키(또는 "비밀키")로 사용할 것이다.

계수 n은 n = pq 값에 설정된다. 그리고 그 이상의 매개 변수들 N와 ln은 다음 방정식들에 따라 결정된다 :

N =

= p'q' +

그리고 l_n = 2 l_p

서명자 S는, 다른 것들에 관하여 이 임의 생성원들의 각각의 이산 대수가 알려지지 않은 QR(n)의 임의 생성원들(a₀,a₁,a₂,a₃,a₄,a₅,g,h)을 또한 선택한다.

설정 단계에서, 신용 기관은 y ∈_RIN을 선택한다 ( 바꾸어 말하면, TA는 집합 {0,1,...,N-1}에서 한결같이 임의 선택하는 것에 의해 매개 변수 y를 위한 값을 선택한다).

이 매개 변수 y는 신용 기관의 개인키가 될 것이다.

그 다음 TA는 다음과 같이 그것의 공개키 f를 계산한다 : f = g^y(mod n).

전체적인 공정한 은닉 서명 시스템의 공개키는 PUBK = (n,a₀,a₁,a₂,a₃,a₄,a₅,f,g,h)이다.

서명자의 공개키는 값 f는 없이 전체적인 시스템의 것과 동일할 것이다 : 즉 그것은 (n,a₀,a₁,a₂,a₃,a₄,a₅,g,h)와 같다.

아래 표 1는 설정 단계 동안에 값들이 규정되도록 하였던 일부 매개 변수들을 요약한 것이다.

표 1

매개 변수	기호		값
첫 보안 매개 변수	l		(일반적으로) 160
두번째 보안 매개 변수	l_p		(일반적으로) 1024
계수	n	npq
서명자의 개인키	PRK_S	(p',q')
서명자의 공개키	PUBK_S	(n,a₀,a₁,a₂,a₃,a₄,a₅,g,h)
서명자에 의하여 선택된 QR(n)의 임의 생성원들	(a₀,a₁,a₂,a₃, a₄,a₅,g,h)
신용 기관의 개인키	PRK_TA	(0부터 N-1까지의 정수들 집합에서 한결같이 임의 선택된) y
신용 기관의 공개키	PUBK_TA	f=g^y(mod n)
전체적인 FBSS의 공개키	PUBK	(n,a₀,a₁,a₂,a₃,a₄,a₅,f,g,h)

설정 단계 후에 , 이 발명의 공정한 은닉 서명 시스템은 사용할 준비가 된 다, 즉, 서명자는 사용자들을 위해 디지털적으로 메시지들에 서명할 준비가 된다.

비록 이 발명에 필수적이지 않을지라도, 사용자들이 시스템에 등록하는 것은 유용할 수 있다. 이것은 시스템으로 하여금 단순한 과정-추적보다 사용자 추적을 수행할 수 있게 한다. 따라서, 이 발명의 제출된 구체적 설명의 FBSS는 밑줄 안에 있는 박스에 의해 도 1에 표시된 것처럼, 등록 단계를 포함한다.

등록 단계에서, 사용자 U는 비밀 값 x_u ∈_RI_N을 선택한다 ( 바꾸어 말하면, U는 집합 {0,1,...,N-1}에서 한결같이 임의로 선택하는 것에 의해 매개 변수 x_u를 위한 값을 선택한다).

U는 그 다음에 그 자신을 확인하기 위하여 코드 Id_U를 계산한다 :

Id_U = a₃ ^Xu(mod n).

사용자는 그 다음에 그가 밑 a₃에서 Id_U의 이산 대수를 알고 있다는 것을 신용 기관에 증명한다.

이것은 어떤 편리한 처리를 사용하여 수행될 수 있다 (예를 들어, 컴퓨터 과학 강의 노트, pp 422 ― 436, 베를린, Springer-Verlag(1998) Eurocrypt 1998 1403권의 회보에 있는 G. Poupard와 J. Stern에 의한 "빈틈없는 인증과 서명 생성에서의 실제 보안 분석" ; 또는 컴퓨터 과학 강의 노트, pp 481 ― 486, 베를린, Springer-Verlag의 Eurocrypt 1990 473권의 회보에 있는 M. Girault에 의한 "합성수를 법으로 하는 이산 대수들에 기초한 동일성-근거 확인 설계"를 보십시오).

그 다음에 신용 기관이 사용자에 의해 제공된 Id_U와 증명 모두를 발행한다. 따라서 서명 발행 프로토콜이 실행되는 동안(아래를 보십시오) 사용자가 인증될 수 있도록 한다.

등록 단계는 이제 완비되었다.

도 1이 표시하는 것처럼, 제출된 구체적 설명의 공정한 은닉 서명 설계는 서명 발행 프로토콜, 서명 제출 프로토콜 그리고 서명 추적 프로토콜 및/또는 과정-추적 프로토콜(여기서는, 사용자-추적 프로토콜)을 포함하는 추적 프로토콜을 포함한다.

분명히 서명 발행 프로토콜은 사용자가 메시지의 서명을 위하여 서명자와 교신할 때마다 사용된다. 그리고 서명 제출 프로토콜은 사용자가 서명된 메시지를 제3자에게 제공할 때마다 사용된다. 반면에 서명 추적과 과정 추적 프로토콜들은 디지털 서명의 익명성을 취소하는 것이 바람직한 경우에 인용될 뿐이다 (예를 들면, 온라인 경매에서 낙찰자의 세목을 검색하는 것이 바람직하기 때문에).

이 프로토콜들은 이제 차례로 고려될 것이다.

서명 발행 프로토콜

4개의 길이 매개 변수들 lr,lm ,le, 그리고 ls는 다음 3 관계식을 만족시키기 위하여 규정된다 :

lr = max(lm,l_N)

le≥lr + 2

ls≥ln + lr + l + 3

l이 첫번째 보안 매개 변수인 경우에, ln은 계수 n의 비트-길이이다. 그리고 l_N은 설정 단계의 상기 검토에 언급된 매개 변수 N의 비트-길이이다. 서명되어야 하는 메시지 m은 비트-길이 lm의 메시지이다. 바꾸어 말하면 m은 집합 {0, 1 ,...,(2^lm-1)}에서 정수일 수 있다.

발명의 제출된 구체적 설명에서, 비록 발명이 이 가능성에 제한되지 않을 지라도, 이 길이 매개 변수들의 값을 고정시키는 사람은 서명자이다.

발명의 다른 구체적 설명에서, 다른 상대방들, 예를 들면 신용 기관은, 이 길이 매개 변수들의 값을 지정할 수 있다.

사용자와 서명자에 의하여 상호 작용하여 수행되는 서명 발행 프로토콜은 2성분형 프로토콜로 생각될 수 있다.

서명 발행 프로토콜의 첫번째 부분에서, 사용자와 서명자는 상호작용하고, 사용자는 서명자로부터 특정한 매개 변수 데이타(명료하게, x^, A, e와 s)를 얻다.

서명 발행 프로토콜의 두번째 부분에서, 사용자는 서명자로부터 얻어진 매개 변수 데이타를 이용하는 원하던 디지털 서명을 생성시킨다.

서명 발행 프로토콜의 첫번째 부분에서, 다음 단계들이 수행된다 :

사용자는 집합 {0, 1 ,...,N-1}부터 한결같이 임의의 한 매개 변수 r~와 한 매개 변수 x~를 선택한다 - 다시 말하면, x~ ∈_RI_N와 r~ ∈_R I_N.

사용자는 다음과 같이 매개 변수 C1과 두 개의 지식 서명들, U₀와U₁을 만든다 : C₁= g^x~h^r~(mod n),

U₀ = SK (α,β:C₁ = g^αh^β(mod n)∧α∈I_N), 그리고

U₁ = SK (α: Id_U = a₃ ^α(mod n)∧α∈I_N),

그 다음에, 사용자는 서명자에게 C₁, 사용자의 확인 코드 Id_U, 그리고 두 개의 지식 서명 U₀와 U₁을 전송한다.

서명자는 지식의 두 서명들, U₀와 U₁을 확인한다.

그 다음, 만약 지식의 서명들이 성공적으로 확인되었으면, 서명자는 집합 {0, 1 ,...,N-1}에서 한결같이 임의 선택하는 것으로 매개 변수 x^를 위해 값을 설정한다 - 다시 말하면, x^ ∈_R I_N.

이 매개 변수는 사용자에게 다시 전송된다.

다음으로, 사용자는 그 이상의 매개 변수 x을 만들기 위하여 서명자로부터 그 다음에 매개 변수를 수신되게 이용한다 x = x~ + x^ (mod n).

그 다음에 사용자는 매개 변수 t와 집합 {0, 1 ,...,N-1}으로부터 한결같은 임의 매개 변수 r을 선택한다 - 다시 말하면, t ∈_RI_N과 r ∈_RI_N.

그 다음으로 사용자는 다음과 같이 3 매개 변수들 C2, E1과 E2, 그리고 2 지 식의 서명들 V와 W를 계산한다 :

C₂ =a₁ ^xa₂ ^ma₄ ^t (mod n),

E₁ =a₁ ^xf^r (mod n),

E₂ =g^r (mod n),

V = SK ( α,β,γ,δ: C₂= a₁ ^αa₂ ^βa₄ ^γ∧E₁= a₁ ^αf^δ∧E₂= g^δ∧β∈I_2lm ∧γ∈I_N), 그리고

W = SK ( α,β,γ,δ,θ: C₂= a₁ ^αa₂ ^θa₄ ^δ∧C₁ g^{x^}=(g^N)^βg^αh^γ ∧α∈ I_N ∧δ∈I_N ∧θ∈I_2lm).

매개 변수 E1이 신용 기관의 공개키 f에 따라 암호화된 데이타와 일치하는 것이 인지될 것이다.

사용자는 서명자에게 이 세 매개 변수들과 두 지식 서명들(C2, E1, E2, V, W)을 전송한다.

서명자는 지식의 2 서명, V 와 W들이 진실임을 증명한다.

만약 지식의 이 서명들 둘다가 그 때에 강건하면 서명자는 설정에 한결같이 임의 그 다음에 1 매개 변수 s을 선택한다 {0,1,..,(I_2ls-1)} 그리고 2 매개 변수 e 최고급 제품으로 이루어져 있는 설정에 한결같이 임의 사이에 2^le-1 와 2^le― 바꾸어 말하면 :

s ∈_RI_2ls

e ∈_R]2^le-1 , 2^le[ 소수

서명자는 그 다음에 1 매개 변수 A를 산출한다 다음과 같이 :

A= (a₀C₂a₅ ^sId_U)^1/e (mod n)

서명자 전송 , 다음 관계가 사실이게 계속되는 것을 검증한 사용자에게 e 그리고 s이다 :

A^e = a₀a₁ ^xa₂ ^ma₃ ^Xua₄ ^ta₅ ^s(mod n)

e ∈ ]2^le-1, 2^le[

이 뒤쪽 2번의 확인은 끝에 서명을 발행 프로토콜의 1번째 부분을 가져옵니다.

In the second part of the 서명-issuing protocol the 사용자 generates the real digital 서명 of his 메시지, m.

서명을 발행 프로토콜의 2번째 부분에 사용자는 그의 메시지 m의 실질적인 디지털 서명을 만든다.

이것은 다음 원소(어떤 것이 이 우선주 배당 FBSS에 의하면 설정0, 1 ,이 우 선주 배당 FBSS에 의하면 설정0, 1 ,이 우선주 배당 FBSS에 의하면 집합 {0, 1 ,...,(2^lm-1)}에 정수인 메시지 m을 위해 유효한 디지털 서명을 성립시키는 것)을 만드는 것을 포함한다 :

－ 값 I_sig

－ ElGamal 암호문 E = (E3,E4)

－ U이 집합(A, e, s, t, x_u, x)에 그와 같이 그것을 알려 주는 것을 증명한 (지식) 인의 서명 :

o(P1) : I_sig = (a₁ ^xmod n) 그리고 x ∈ I_N

o(P2) : A^e= a₀I_sig a₂ ^ma₄ ^ta₅ ^sa₃ ^Xu(mod n) 그리고 그 수 x_u그리고 t는 I_N에 속한다 그리고 s는 I_2ls에 속한다.

o(P3) : E는 ElGamal 암호문의 자연이 이 밭에 숙련된 사람에게 유명하고 상세하게 여기에 그렇게 설명되지 않을 a₃ ^Xu(mod n)의 암호화이다.

그러나, 원하다면, 그 이상의 정보는 컴퓨터 과학에 강의 노트, 페이지 10-18, Springer-Verlag(1985)에 Chaum .Crypto'84의 회보, vol.196에서 T. 엘 Gamal(eds) .G.R. Blakley와 D에 의한 "공개키 암호 체계와 이산 대수들에 의거한 공정한 은닉 서명 설계"에서 찾을 수 있다.

만약 지식 PK의 그것의 증거가 확실한 근거가 있으면 m에 서명 SK는 확실한 근거가 있다.

비록 사용자가 지식의 몇몇 다른 서명들을 일으킬 수 있을지라도 , SK, 메시지 m에 디지털 서명은 사용자와 서명자에 의하여 연합하여 계산되었던 값 I_sig에 의하여 유일하게 결정된다.

m에 2 서명이 각각 다른 I_sig 값을 그 다음에 이 서명들로 시키는지는 다르다고 생각될 것이다.

만약 m에 2 서명이 I_sig 그 당시 그 때 동안 같은 값을 가지고 있으면 그들은 비록 지식 SK의 그들의 각각 서명들이 다를지라도 같기가 생각될 것이다.

이 발명의 제출된 구체적 설명에 의하면, 지식 SK의 적당한 서명은 다음과 같이 구성될 수 있다 : 사용자는 I_sig을 계산한다 = a₁ ^x(mod n) .

사용자는 다시 말하면, w, w1, w2 ∈_R IN에 집합 {0, 1 ,...,I_N-1}에 한결같이 임의 3 매개 변수, w, w1 그리고 w2들을 선택한다.

사용자는 다음과 같이 그 다음에 ElGamal cyphertext E3, E4, 그리고 2 다른 매개 변수들 D1와 D2을 계산한다 :

E3 = a₃ ^Xu f^w (mod n)

E4 = g^w(mod n)

D1 = A h^w1(mod n)

D2 =g^w1∧ h^w2 (mod n)

지식의 서명 , SK는 다음과 같이 그 다음에 정의가 내려집니다 :

P=SK (a,b,g,d,h,z,q,i,e,m　: I _sig =

E ₃ =

E ₄ =

a ₀ I _sig

=

/(

)

D ₂ =

1 =

/(

)

b

]

;

[

m ∈

a ∈ I _N

e ∈ I _N

d ∈ I _N )( m ).

비록 지식의 상기 서명이 복잡도의 표면 출현을 가지고 있을지라도 , 숙련된 사람은 그것을 쉽게 높이 평가할 것이다. 그것은 사용자가 값을 알고 있는 것을 보여주는 지식의 서명에 된다 a,b,g,d,h,z,q,i,e,m　그리고 ( 상기 설명에 콜론의 오른쪽 측면에 11가지 술어를 만족시키며. 숙련된 사람은 이 밭에 그의 일반적인 일반적인 지식으로부터 어떤 데이타를 쉽게 이해할 것이다 지식 SK의 서명으로부터 상세 타입의 술어를 증명하기 위하여 확인자에게 전송됨에 틀림없다.

예를 들면, 실로, 어떻게 다른 형들의 지식의 비밀 단편의 소유를 증명하는 지식의 서명들을 만드는지에 세부를 주는 이 밭에 전문적인 품목들의 극단적으로 큰 수가 있다 , CRYPTO 1997, 컴퓨터 과학에 강의 노트의 vol.1294, pp.410-424, Springer Verlag(1997) 암호 작성술의 진보에서 J. Camenisch와 M.Stadler 에 의한 "큰 그룹을 위한 능률적인 그룹 은닉 서명 설계들"을 보십시오.

그러나, 여기에 지식의 서명들의 약간의 지식의 그 비밀 조각이 특정한 서식(아래에 보십시오)을 잡을 때 입증자가 지식의 연합한 비밀 조각의 소유에 있는 검 증을 위하여 세출을 승인하는 것을 상기하는 것은 도움이 될 것이다. 이것은 이 발명의 제출된 구체적 설명에 사용된 건축용 블록이라고 생각될 수 있다. 구축 블록 1 ? 사용자는 기초 g에 관하여 y의 이산 대수인 x가 사용자가 이산 대수를 알고 있는 케이스를 고려하는 것, 기초 g(즉 다시 말하면, y = g^x), g와 그룹 G의 y 존재 멤버들 양쪽 모두에 관하여 수 y의 x을 알고 있다.

만약 사용자가 그가 이것을 누설하지 않고 x(어떤 것이 기초 g에 관하여 y의 이산 대수인 것)이 x을 존중하는 것을 알고 있는 것을 증명하기를 바라면, 그는 다음과 같이 그렇게 할 수 있다.

1번째 그는 설정부터 한결같이 임의 1 매개 변수 r을 선택한다 {0,1,..., I

}, 그 다음에 그는 c = H(g∥y∥g^r∥m), 그리고 s = r-cx(Z에)에 따라서 2 증거 매개 변수들의 값, c 그리고 s을 정한다.

만약 입증자가 참으로 이산 대수 값을 알고 있으면 , x, 그리고 적합한 값을 그 때 증거 매개 변수들 c와 s을 만들 때 데이타 쌍(c(s))으로 사용하였다 c와 s이 집합 I _k x I

.의 각각의 멤버들인 곳에 나인 방정식 c = H(g∥y∥y^cg^s∥m)을 만족시킬 것이다? .

이처럼 만약 사용자가 c = H(g∥y∥y^cg^s∥m)을 만족시킨 이 데이타 쌍(c,s)의 값에 상당하는 지식의 서명을 만들면, 이것은 사용자가 기초 g에 관하여 y의 이산 대수를 알고 있는 것을 증명한다 , 메시지 m에 ( 0,1. 지식의 대응 서명은 의미 될 수 있다 SK(α : y= g^α)(m).

구축 블록 2

사용자는 기초 g에 관하여 y1의 이산 대수이고 이런 경우에 기초 h에 관하여 y2의 이산 대수인 x에게 사용자 지식들을 알려 줍니다 그 y₁ = g^x그리고 그 y₂ = h^x .

사용자는 다음과 같이 x을 누설하지 않고 이 지식의 소유를 증명할 수 있다.

}, 그 다음에 그는 2 증거 매개 변수들의 값, c 그리고 s을 정한다 , c = H( g∥h ∥ y1 ∥ y2 ∥ g^r ∥ h^r∥m), 그리고 s = r-cx(Z에) .

만약 입증자가 참으로 이산 대수 값을 알고 있으면 , x, 그리고 만약 기초 g에 관하여 y1의 이 이산 대수가 h에 관하여 y2의 이산 대수와 동일한 것이면 그리고 입증자는 x의 적합한 값을 그 때 증거 매개 변수들 c와 s을 만들 때 쌍(c(s))이 방정식 c = H를 만족시킬 데이타로 사용하였다 ( g ∥ h ∥ y1 ∥y2 ∥y₁ ^cg^s ∥y₂ ^ch^s∥m) c와 s이 집합 Ik x의 각각의 멤버들인 곳이다.

이처럼 만약 사용자가 c = H를 만족시킨 이 데이타 쌍(c(s))의 값에 상당하는 지식의 서명을 만들면 ( g ∥ h ∥ y1 ∥ y2 ∥ y1cgs ∥ y2chs∥m), 이것은 기 초 g에 관하여 y1의 이산 대수와 y2의 이산 대수 양쪽 모두중에서 사용자가 그를 알고 있는 것을 증명한다 h을 기초를 형성한다 , 메시지 m에 ( 0,1. 지식의 대응 서명은 의미될 수 있다 SK (α,β: y₁ = g₁ ^α∧ y2 = g₂ ^β(m) .

구축 블록 3 ?

사용자 지식들 x1, 기초 g에 관하여 y의 표시인 x2 그리고 기초 h 이런 경우에 사용자는 그 y =

. 을 알고 있다.

사용자는 다음과 같이 x1와 x2을 누설하지 않고 이 지식의 소유를 증명할 수 있다.

1번째 그는 2 매개 변수 r1을 선택한다 , r2 설정부터 한결같이 임의 0,1,......, 나는 존재합니까? 그 다음에 그는 3 증거 매개 변수들의 값, c, s1 그리고 s2을 정한다 , c = H에 따라서 ( g∥h ∥ y^cg^s-cX∥m), s1 = r1-cx1 그리고 s2 = r2-cx2(Z에).

만약 입증자가 참으로 기초 g에 관하여 y의 표시를 알고 있고 h을 기초를 형성하고, 증거 매개 변수들 c, s1 그리고 s2을 만들 때 적합한 값을 사용하였으면, 데이터 세트(c, s1, s2)는 방정식 c = H를 만족시킬 것이다 ( g∥h∥y ∥ yc ∥m) , 어디 c의 각자 , s1 그리고 s2는 집합 Ik x의 멤버이다.

이처럼 만약 사용자가 c = H를 만족시킨 이 데이터 세트(c, s1, s2)의 값에 상당하는 지식의 서명을 만들면 ( g∥h ∥ y ∥ yc ∥m), 이것은 사용자가 기초 g와 기초 h에 관하여 y의 표시를 알고 있는 것을 증명한다 , 메시지 m에 ( 0,1. 지식의 대응 서명은 의미될 수 있다 SK ( α,β: y = g^αh^β)(m).

구축 블록 4 -사용자는 기초 g에 관하여 y의 이산 대수를 알고 있다 그리고 그 이 이산 대수는 이런 경우에 특정한 간격에 사용자 지식들이 있다 그 y = g^x그리고 그 x는 간격 ] X-2^ε(l+k), X+2^ε(l+k)[ 에 있다.

}, 그 다음에 그는 2 증거 매개 변수들의 값, c 그리고 s을 정한다 , c = H(g∥ y∥g^r∥m), s = r-c(x-X) (Z에 ) .

만약 입증자가 기초 g와 이 거짓말 간격에 관하여 참으로 y의 이산 대수를 알고 있고, 증거 매개 변수들 c와 s을 만들 때 적합한 값을 사용하였으면, 데이타 쌍(c(s))는 방정식 c = H를 만족시킬 것이다 ( g ∥ y ∥ yc∥m), c 그리고 s는 집합 I _k x I

.의 각각의 멤버들이다.

이처럼 만약 사용자가 c = H( g ∥y ∥y^cg^s-cX∥m)를 만족시킨 이 데이타 쌍(c(s))의 값에 상당하는 지식의 서명을 만들면, 이것은 사용자가 기초 g와 이 거짓말 간격에 관하여 y의 이산 대수를 알고 있는 것을 증명한다 , 메시지 m에 ( 0,1. 지식의 대응 서명은 의미될 수 있다 : SK ( α : y = g ^α∧α∈ ] X-2 ^ε(l+k), X+2^ε(l+k) [ )(m).

서명-제출 프로토콜

공정한 은닉 서명 시스템으로 돌아가서, FBSS , 발명의 제출된 구체적 설명에 의하면 , 일단 사용자가 부호화된 메시지의 생성를 완성하면 그는 다른 사람들에게 그것이 같이 욕망을 가졌던 것을 제출할 수 있다.

부호화된 메시지가 공급된 존재(서명자와 같은)는 특정한 서명의 정당성의 확신되는 것이 이 FBSS을 사용하는 것을 만들었기를 바랄 지도 모른다.

그러므로, 그는 지식 인의 서명의 정당성이 부호화된 메시지를 가지고 교제하였던 것을 검증하기를 바랄 지도 모른다.

지식의 서명(인)는 위쪽에 언급된 모든 건축용 블록의 결합이다 그리고 사용자(입증자)와 확인자(예를 들면, 서명자)을 포함하는 대화식 절차를 사용하며 그것은 검증될 수 있다.

추적 프로토콜

서명-추적 프로토콜

추적 기법은 서명의 흔적을 발견하는 프로토콜을 입안한다

주어진 서명을 발행 방법에서 기인하였던 특정한 서명의 흔적을 발견하는 것이 바라게 될 때 , 서명자는 그 서명을 발행 방법와 신용 기관동안에 관찰된 쌍(E1(E2))을 가지고 신용 기관가 I_sig을 정하기 위하여 이 암호문을 해독할 수 있는 것을 제공할 수 있다.

이처럼, 신용 기관는 있는 어떤 암호를 확인할 수 있다 문제의 서명을 발행 방법에서 기인하였다.

과정 추적 프로토콜

특정한 서명의 생성를 일으켰던 서명을 발행 방법의 출처를 조사하는 것이 바라게 될 때 , 서명자는 확실한 근거가 있는 암호와 신용 기관로부터 쌍(E3,E4)을 가지고 신용 기관가 이 서명을 얻었던 사용자를 확인한 값 Id_u을 정하기 위하여 이 암호문을 해독할 수 있는 것을 제공할 수 있다.

실시예

이 발명의 공정한 은닉 서명 일람표는 적용의 자유로운 종류에 사용될 수 있다. 가능한 일의 몇몇의 보기 적용은 다음에 말하는 것(비록 이 발명이 이 보기에 제한되지 않는 것이 이해되는 것일지라도)을 포함한다 : 그것과 같은 전자 경매들, 불의 금융거래의 추적 기법, 그리고 온라인 선거 방법들은 안에 " 공정한 은닉 서명들을 이용한 전자 투표 방법"으로 명명된 지원자의 공동 보류 유럽 특허권 제안서를 설명하였다 이와 동시에 애플리케이션을 기록에 남겨두었다.

이 발명은 특정한 소프트웨어와 공정한 은닉 서명 설계를 실현하기에 사용될 지도 모른 하드웨어에 관해서 특히 제한되지 않다. 숙련된 사람은 이 밭에 그의 일반적인 일반적인 지식으로부터 어떻게 발명을 실시하기 위하여 적당한 소프트웨어 루틴들과 하드웨어를 선택하는지를 쉽게 이해할 것이다.

그러나, 양자 택일로 얼마쯤 협력하는 것의 1 세트가 적절하게 프로그램된 다목적의 계산 장치들, 같은 개인용 컴퓨터들, 웹 서버들, 개인정보단말기, 네트워크 컴퓨터들, 적당하게 준비된 이동 전화들, 등 들은 것을 사용하며 이 발명이 수행될 수 있는 것은 적히어야 한다 또는 특정한 목적 데이터 정보 처리 기구를 사용하며 공정한 은닉 서명 설계의 모든 것은 실시될 지도 모른다.

대체로, 저기는 (또는 각자) 서명자를 위해 한 데이타 처리/전산학 장치일 것이고, (또는 각자)을 위해 신용 기관이고 각각의 사용자를 위해 있다.

그러나, 공정한 은닉 서명 설계에 연루된 여러가지 존재가 확실한 하부 작업 또는 프로그램 모듈들이 분산된 단위에 수행된 분산 컴퓨팅 시스템들을 이용할 지도 모르는 것은 한 집중화한 장치보다 오히려 이해되는 것이다.

비록 이 발명이 그것에 대해 특정한 우선주 배당 화신의 관점에서 설명되었을지라도 , 예술에 능숙한 사람은 적용시켜진 제출된 구체적 설명의 여러가지 특징이 변화될 지도 모르는 것을 쉽게 이해할 것이다 그리고 수반한 청구항에 규정된 것처럼 이 발명으로부터 출발하지 않고 다른것들에 의하여 바뀝니다.

예를 들면, 비록 발명에 따라서 FBSS의 위쪽에 기술된 제출된 구체적 설명가 사용자-등록 면을 포함할지라도 , 이것은 만약 대상 서명의 나온 시간을 정할 수 있는 것이 충분하게 생각되면 생략될 수 있다 , 방법 로그들에 의거하였다.

바꾸어 말하면, 만약 사용자-추적보다 오히려 과정-추적을 수행할 수 있는 것이 충분하면 사용자-등록 면은 생략될 수 있다. 더 나아가서, 비록 제출된 구체적 설명가 단일 신용 기관를 사용하는 FBSS의 관점에서 위쪽에 설명되었을지라도 , 숙련된 사람은 그것을 쉽게 높이 평가할 것이다 신용 기관들의 1 세트는 대신에 사용될 수 있다 그리고 익명은 이것의 정원수가 발주처들이 협력하는 것을 신용하였을 때 오직 취소될 수 있다 (바꾸어 말하면, 서명-추적와 방법의 출처를 조사하는 프로토콜들은 단일 것보다 오히려 신용 기관들의 1 설정에 의하여 실시된다) .

케이스에 위쪽에 기술된 FBSS의 연장 여기에 그렇게 어떤 숙련된 사람을 위해 솔직하게 다중 신용 기관들이 있다 그것에 대해 설명서를 세세한 장식이 달리지 않았다 여기를 받을 것이다.

원하다면 다중 신용 기관들이 있는 케이스에 이 기술을 연장하는 것을 위하여 한가지 방법에 대한 안내는 ACM의 통신들의 Proc. pp. 612 － 613, 1979 에 있는 A. Shamir에 의한, ."비밀을 공유하는 방법"의 고려로부터 얻어질 수 있다.

게다가, 비록 제출된 구체적 설명이 싱글 존재를 서명자로 사용하는 FBSS의 관점에서 위쪽에 설명되었을지라도, 숙련된 사람은 그것을 쉽게 높이 평가할 것이다 존재의 1 세트는 대신에 서명자를 선임하기에 사용될 수 있다 그리고 유효한 서명을 만들기 위하여 사용자에 의하여 필요된 데이타는 서명자를 선임하는 존재의 정원수의 협력에 의하여 얻어진다.

바꾸어 말하면, 이 발명은 임계값 박람회 수취인에게 알리지 않고 제3자에게 보내는 사본 공정한 은닉 서명 설계로서 실시될 수 있다.

케이스에 위쪽에 기술된 FBSS의 연장 여기에 존재의 1 설정에 의하여 구성된 서명자는 그렇게 숙련된 사람을 위해 솔직하게 어떤 그것에 대해 설명서를 세세한 장식이 달리지 않았다 여기를 받을 것이다.

원하다면 어떻게 이 확장을 수행하는지에 지침은 컴퓨터 과학 강의 노트 pp.310 － 330, Springer-Verlag의 Asiacrypt 2001 2248권의 Proc에 있는 P-A Fouque와 J. Stern에 의한 "표준 가정하의 충분히 분산된 임계값 RSA" 에서 발견될 수 있다.

더군다나, 이 발명이 데이타가 공정한 은닉 서명 설계에 연루된 여러 가지 존재 사이에 지나가진 방법에 관해서 특히 제한되지 않는 것은 이해되는 것이다. 비록 많은 제안서에, 이 자료 전송이 인터넷으로 일어날 것이다라는 것에 대하여 아마 이것인 그것은 이 발명의 필요 조건이 아닙니다. 특히, 다른 통신 네트워크들(LAN, WAN들, 등등을 포함하여)는 사용될 지도 모른다.

공정한 은닉 서명 방법에서, 사용자는 A^e=a₀a₁ ^xa₂ ^ma₃ ^Xua₄ ^ta₅ ^s (mod n)와 같은 7개의 요소로 된 집합(A,e,s,t,x_u,x,m)를 완성시키기 위해 서명자와 상호작용을 한다. 여기서 a₀, a₁, a₂, a₃, a₄, a₅와 n은 서명자의 공개키(PUBK_S)의 원소들이다.

따라서, 신용 기관(TA)는 디지털 서명의 익명성을 취소할 수 있다.

Claims

공개키가 있는 서명자와 디지털 서명의 익명성을 취소 가능한 신용기관이 상호 작용하여 사용자 메세지를 보안 디지털 서명하는 방법에 있어서,

상기 서명자의 공개키 요소로 상기 서명자로부터 생성된 a0 , a1 , a2 , a3 , a4 와 a5 및 n과; 상기 서명자에 의해 임의로 선택된 매개변수 e 및 s와; 상기 사용자에 의해 임의로 선택된 매개변수 t 및 x_u와; 상기 사용자에 의해 임의로 선택되는 매개 변수와 서명자에 의해 임의로 선택되는 매개변수에 기초하여 사용자에 의해 계산된 중개값 x가 포함되어, 사용자는 서명자로부터 식(1)을 상응하는 A, e, s, t, x_u, x 와 m 의 7가지 요소로 구성된 데이터를 입력받는 단계:

식(1)

식 (2)에 상응하여 매개 변수 A가 계산되는 단계:

식(2) A = (a₀C₂a₅ ^sId_U)^1/e(mod n)

식(3)에 상응하여 사용자에 의해 매개 변수 C2가 계산되는 단계:

식(3) C2 = a₁ ^xa₂ ^ma₄ ^t (mod n),

상기 사용자의 신분확인을 위해 사용자에 의해 코드 Id_U를 계산하는 단계를 포함하는 것을 특징으로 하는 보안 서명 방법.
제 1항에 있어서,

상기 보안 서명 방법에 상응하여 메시지 m을 삼자가 사용자에게 제출하는 서명-제출하고, 상기 사용자가 삼자에게 서명-제출하는 단계는

암호화된 데이터 EE3, E4는 암호화된 최소 하나의 최초 데이터 a3xu을 포함하고, 요소 A와, 서명 식(4)에 상응하는 P를 계산하는 단계;

식(4)

식(5)에 상응하여 사용자에 의해 계산되어진 매개 변수 Isig;

식(5)

신용기관의 공개키 f;

서명자의 공개키 요소 g 및 h;

w1이 사용자에 의하여 임의 선택된 매개 변수 w1를 포함한 식(6)에 상응하여 정의된 매개변수 D1;

식(6)

사용자에 의하여 임의 선택된 매개 변수 w2를 포함한 식(7)에 상응하여 정의된 매개 변수 D2;

식(7)

lr=max(lm, lN), 메시지 m의 비트 길이 lm, 매개변수 N의 비트길이 lN, N=[n/4]를 포함한 식(8)에 상응하여 정의된 길이 매개변수 le; 및

식(8)

식(9)

n의 비트 길이 ln, 보안 매캐변수 l을 포함한 식(9)에 상응하여 정의된 길이 파라미터 ls를 계산하는 단계를 포함하는 것을 특징으로 하는 보안 서명 방법.
제 1항 또는 제 2항에 있어서, 사용자가 서명자에게 서명-발행 단계는

둘째로 적어도 1초 데이터 원소를 포함하는 암호화된 데이타를 제공하는 곳은 신용기관에게 알려져 있고, 상기 2 데이터 원소가 부호화된 메시지의 전송동안에 나타내지는 것 키에 의하면 암호화며 신용기관는 디지털 서명이 거기서부터 결과로서 생겼던 서명을 발행 방법의 트랜스크립트로부터 결정하는 것을 특징으로 하는 보안 서명 방법.
제 2항에 있어서,

암호화된 데이터 E3 , E4는 성립하고, 1분의1 데이터 원소이며, 신용기관에게 알려져 있고, 적어도 말해집니다 1분의1 데이터 원소가 서명을 발행 단계 동안에 서명자에게 나타내지는 것 키에 의하면 암호화하며 상기 서명을 전송한 서명으로부터 서명을 발행하는 것을 특징으로 하는 보안 서명 방법.
제 4항에 있어서,

사용자가 신용기관을 제공한 사용자-등록 단계를 포함하며 사용자를 확인하기 위하여 알맞은 매개 변수로서 적어도 1분의1 데이터 원소를 포함하는 것을 특징으로 하는 보안 서명 방법.
제 1항 내지 제 5항에 있어서,

서명자가 존재의 복수에 의하여 선임되는 곳에 상술한 존재의 정원수의 협력이 완성하다 사용자를 위해 7개의 집합을 말하였기 위하여 데이타를 제공하기에 필요하여서 얼마쯤의 공정한 은닉 서명 설계는 먼저 청구하는 것을 특징으로 하는 보안 서명 방법.
제 1항 내지 6항에 있어서

신용받고 있는 권한이 신용기관의 복수에 의하여 성립되고 디지털 서명의 익명의 취소가 신용기관의 상술한 복수의 정원수의 협력에 의하여 얻어질 수 있는 곳에 얼마쯤의 공정한 은닉 서명 설계는 먼저 청구하는 것을 특징으로 하는 보안 서명 방법.
청구항 1항 내지 7항에 있어서,

교육의 1 세트를 보내는 컴퓨터 프로그램, 설계를 평가하는 설계를 평가하는 적어 도 한가지 사용자, 서명자 전산학 장치 그리고 신용기관을 포함하는 계산 시스템을 사용하는 것을 특징으로 하는 보안 서명 방법.
서명자가 공개키, 그리고 디지털 서명의 익명을 취소할 수 있는 신용기관가 있어서 서명 시스템은 사용자가 메시지에 그것에 의하여 공정한 은닉 디지털 서명을 얻기 위하여 서명을 발행 면에 서명자와 성립하는 서명 시스템을 상호 영향을 준 공정한 은닉 서명 프로세스에 있어서,

최소 하나의 사용자 장치 ;

서명자 장치 ; 및

신용기관 장치;

서명-발행 프로토콜을 수행하는 상기 서명자 장치를 접속되는 각각의 사용자 장치;

최소 하나의 연습 프로토콜을 수행하는 사용자 장치와 접속된 상기 신용 기관 장치;

특정된 상술한 서명을 발행 프로토콜의 성능이 그를 제공한다라는 점에서 7 아이템에 첫째로 이루어져 있는 7개의 집합을 완성하기 위하여 말해진 사용자 장치를 가능케하는 서명자 장치로부터 데이타와 사용자 장치 , e, s, t, 수, x 그리고 m 다음 평형 상태가 만족한 그러한 것 : A ^e = a ₀

(mod n ) a0, a1, a2, a3, a4와 a5 그리고 n이 서명자의 공개키의 원소이고 서명자 장치에서 만들어지는 곳에 , m는 서명되는 말해진 메시지, e 그리고 s는 서명자 장치에서 한결같이 임의 선택된 매개 변수, t 그리고 수는 사용자 장치에서 한결같이 임의 선택된 매개 변수, x는 사용자 장치에서 계산된 중개값, 서명자 장치에서 임의 선택된 1 매개 변수에 그리고 사용자 장치에서 임의 선택된 1 매개 변수에 의거하고, 그리고 1 매개 변수 : A = ( a ₀ C ₂
Id _U ) ^1/e (mod n ) C2에 따라서 사용자 장치에서 추정된 1 매개 변수인 곳에 : C ₂ =

(mod n ) 그리고 Id_U는 식별하기 위하여 사용자 장치에서 계산된 코드를 포함하는 것을 특징으로 하는 보안 서명 방법.
서명자가 공개키, 그리고 디지털 서명의 익명을 취소할 수 있는 신용기관이 있어서 사용자 조직은 사용자가 메시지에 그것에 의하여 공정한 은닉 디지털 서명을 얻기 위하여 서명을 발행 면에 서명자와 성립하는 사용자 장치를 상호 영향을 준 공정한 은닉 서명 설계에 참가하기 위하여 사용에 순응하고 메시지 m을 제공하는 것을 위하여 방법을 제공하는 메시지 ; 그리고 서명 청구항는 미리 결정된 서명을 발행 프로토콜에 따라서 상술한 메시지 m의 서명을 위하여 서명자 장치에 청구항를 보내는 것을 위하여 의미한다 ; 사용자 장치가 수행하기 위하여 서명자 장치를 가지고 협력하기 위하여 적용시켜지는 곳은 서명을 발행 프로토콜을 말하였다 ; 특성을 가진 상술한 서명을 발행 프로토콜의 성능이 그를 제공하다라는 점에서 7 아이템에 첫째로 이루어져 있는 7개의 집합을 완성하기 위하여 말해진 사용자 장치 를 가능케하는 서명자 장치로부터 데이타와 사용자 장치 , e, s, t, 수, x 그리고 m 다음 평형 상태가 만족한 그러한 것 :

A ^e =a ₀

(mod n )

Ae = a0(mod n) a0, a1, a2, a3, a4와 a5 그리고 n이 서명자의 공개키의 원소이고 서명자 장치에서 만들어지는 곳에 , m는 서명되는 말해진 메시지이다 , e 그리고 s는 서명자 장치에서 임의 선택된 매개 변수, t 그리고 수는 사용자 장치에서 임의 선택된 매개 변수, x는 사용자 장치에서 계산된 중간값이다 서명자 장치에서 임의 선택된 1 매개 변수에 그리고 사용자 장치에서 한결같이 임의 선택된 1 매개 변수에 의거, 1 매개 변수 : A = ( a ₀ C ₂
Id _U ) ^1/e (mod n ) C2이 다음과 같은 것에 따라서 사용자 장치에서 추정된 1 매개 변수인 곳에 : C₂ =a₁ ^xa₂ ^ma₄ ^t (mod n) 그리고 Id_U는 식별하기 위하여 사용자 장치에서 계산된 코드를 포함하는 것을 특징으로 하는 보안 서명 방법.
제 10항에 있어서,

상기 사용자 장치를 구성하기 위하여 상기 컴퓨터 장치에 적합시키는 컴퓨터 장치를 사용할 때 일련의 지시를 가지고 있는 컴퓨터 프로그램을 포함하는 것을 특징으로 하는 보안 서명 방법.
서명자가 공개키, 그리고 디지털 서명의 익명을 취소할 수 있는 신용기관이 있어서 서명자 조직은 사용자가 메시지에 그것에 의하여 공정한 은닉 디지털 서명을 얻기 위하여 서명을 발행 면에 서명자와 성립하는 서명자 장치를 상호 영향을 준 공정한 은닉 서명 설계에 참가하기 위하여 사용하고, 사용자 장치, 메시지 m의 서명을 위하여 청구항로부터 수신을 위하여 방법을 받는 청구항 ; 서명-protocol-implementation는 미리 결정된 서명을 발행 프로토콜을 수행하기 위하여 상술한 사용자 장치를 가지고 협력하며 ; characterised 상술한 서명을 발행 프로토콜의 성능이 그를 제공하다라는 점에서 7 아이템에 첫째로 이루어져 있는 7개의 집합을 완성하기 위하여 말해진 사용자 장치를 가능케하는 서명자 장치로부터 데이타와 사용자 장치 , e, s, t, 수, x 그리고 m 다음 평형 상태가 만족한 그러한 것 :

A ^e = a ₀

(mod n )

a0, a1, a2, a3, a4와 a5 그리고 n이 서명자의 공개키의 원소이고 서명자 장치에서 만들어지는 곳에 , m는 서명되는 상기 메시지 , e 그리고 s는 서명자 장치에서 임의 선택된 매개 변수 , t 그리고 수는 사용자 장치에서 임의 선택된 매개 변수 , x는 사용자 장치에서 계산된 중개값, 서명자 장치에서 임의 선택된 1 매개 변수, 사용자 장치에서 한결같이 임의 선택된 1 매개 변수에 따라서 추정된 1 매개 변수 :

A = ( a ₀ C ₂
Id _U ) ^1/e (mod n )

C2는 사용자 장치에서 추정된 1 매개 변수인 곳에 :

C ₂ =

(mod n ),

및 IdU는 식별하기 위하여 사용자 장치에서 계산된 코드를 포함하는 것을 특징으로 하는 보안 서명 방법.
제 12항에 있어서

컴퓨터 장치 사용시, 서명자 장치를 구성하기 위하여 상기 컴퓨터 장치를 적합시키는 일련의 지시를 가지고 있는 컴퓨터 프로그램을 포함하는 것을 특징으로 하는 보안 서명 방법.
서명자가 암호 해독의 키를 가지고 있어서 신용받고 있는 권한 조직은 사용자가 메시지에 그것에 의하여 공정한 은닉 디지털 서명을 얻기 위하여 서명을 발행 면에 서명자와 상호 작용하고, 상기 신용기관 장치가 디지털 서명의 익명을 취소하기 위하여 적용시켜지는 것이 성능이 7 아이템에 첫째로 이루어져 있는 7개의 집합을 완성하기 위하여 말해진 사용자를 가능케하는 서명자로부터 데이타를 신용 기관에게 제공한 서명을 발행 프로토콜에 따라서 나왔다라는 점에서 , e, s, t, 수, x 및 m :

A ^e = a ₀

(mod n )

a0, a1, a2, a3, a4와 a5 그리고 n이 서명자의 공개키의 요소 , m는 서명되는 상기 메시지, e 그리고 s는 서명자에 의하여 한결같이 임의 선택된 매개 변수, t 그리고 수는 사용자에 의하여 임의로 선택된 매개 변수 , x는 사용자에 의하여 계산된 중개값이다 서명자에 의하여 임의 선택된 매개 변수에 그리고 사용자에 의해 임의 선택된 매개 변수, 임의로 선택된 매개 변수 A

A = ( a ₀ C ₂
Id _U ) ^1/e (mod n )

사용자에 의해 임의로 선택된 매개 변수 C2;

C ₂ =

(mod n )

그리고 IdU는 식별하기 위하여 사용자에 의하여 계산된 코드이다 사용자를 포함하는 것을 특징으로 하는 보안 서명 방법.
제 14항에 있어서,

컴퓨터 장치 사용시, 신용 기관 장치를 구성하기 위하여 상기 컴퓨터 장치를 적합시키는 일련의 지시를 가지고 있는 컴퓨터 프로그램을 포함하는 것을 특징으로 하는 보안 서명 방법.