KR20070067324A - Limited verifier signature method from bilinear pairings - Google Patents

Limited verifier signature method from bilinear pairings Download PDF

Info

Publication number
KR20070067324A
KR20070067324A KR1020050128506A KR20050128506A KR20070067324A KR 20070067324 A KR20070067324 A KR 20070067324A KR 1020050128506 A KR1020050128506 A KR 1020050128506A KR 20050128506 A KR20050128506 A KR 20050128506A KR 20070067324 A KR20070067324 A KR 20070067324A
Authority
KR
South Korea
Prior art keywords
signature
signer
verifier
message
verification
Prior art date
Application number
KR1020050128506A
Other languages
Korean (ko)
Inventor
김광조
김진
첸 샤오펭
박재민
Original Assignee
학교법인 대전기독학원 한남대학교
김광조
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 학교법인 대전기독학원 한남대학교, 김광조 filed Critical 학교법인 대전기독학원 한남대학교
Priority to KR1020050128506A priority Critical patent/KR20070067324A/en
Publication of KR20070067324A publication Critical patent/KR20070067324A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

A method for signing on a limited verifier with bilinear pairings is provided to apply to an asymmetrical situation as well as a situation requiring symmetrical calculation ability by efficiently calculating Tate or Weil pairings. A system manager generates a system parameter, and a signer generates a public and private key pair(S_2). The signer generates a limited signature and a confirmer generates the signature of a message(S_4). The confirmer verifies the received signature and approves the signature if verification is successful(S_6). If the verification is unsuccessful, the signature is denied and terminated(S_7). The confirmer makes the third object ensure that the signer generates the signature of the message(S_8). Everyone ensures that the signer generates the signature of the message(S_9).

Description

겹선형 사상을 이용한 한정적 검증자 서명 방법{Limited Verifier Signature Method from Bilinear Pairings}Limited Verifier Signature Method from Bilinear Pairings

도 1은 본 발명에 따른 개략적인 구성도.1 is a schematic configuration diagram according to the present invention.

도 1a는 본 발명에 따른 시스템의 매개변수의 생성과정.1 a is a process of generating the parameters of the system according to the invention;

도 1b는 서명자와 한정적 검증자의 서명 생성 및 검증자에게 전달하는 과정.1B is a process of generating and delivering a signature of a signer and a limited verifier to the verifier.

도 2는 본 발명에 따른 전체 흐름도.2 is an overall flow chart in accordance with the present invention.

도 3은 본 발명에 제 3개체에게 확인시키는 단계의 흐름도.3 is a flow chart of the step of ascertaining to a third entity the present invention.

도 4는 본 발명에 공개 검증하는 단계의 흐름도4 is a flow chart of public verifying steps in the present invention

** 도면의 주요부분에 대한 부호의 설명 **** Explanation of symbols for main parts of drawings **

100 : 서명자 200 : 검증자100: signer 200: verifier

300 : 시스템관리자 400 : 제 3개체300: system administrator 400: third object

본 발명은 특수 전자 서명 방법에 관한 것으로, 좀 더 상세하게는 겹선형 사상을 이용한 안전한 한정적 검증자 서명 방법에 관한 것이다. TECHNICAL FIELD The present invention relates to a special digital signature method, and more particularly, to a secure limited validator signature method using overlapping mapping.

참(Chaum)과 반 안트워펜(van Antwerpen)이 소개한 부인 불가 서명은 서명자와의 상호작용 없이는 검증될 수 없는 전자 서명이다. 이는 서명의 유효성이 일반적으로(universally) 검증되지 않아야 하는 경우에 유용하게 사용된다. 참과 반 안트워펜 이후, 여러 가지 부인 불가 서명 방법들이 제안되었다. 또한, 보야르(Boyar)는 변환 가능한 부인 불가 서명의 개념을 소개하였다.The undeniable signature introduced by Chaum and van Antwerpen is an electronic signature that cannot be verified without interaction with the signer. This is useful if the signature should not be validated universally. After Cham and Van Antwerp, several non-deniable signature methods have been proposed. In addition, Boyar introduced the concept of convertible non-repudiation signatures.

경우에 따라서, 서명자와의 상호작용을 통해서만 서명이 검증될 수 있다는 것이 단점이 될 수 있다. 서명자가 부재중이거나 협력을 거부한다면, 수령자는 서명을 사용할 수 없다. 이로 인해 “지명 검증자(designated confirmer) 서명”의 개념이 소개되었다. 이는 지정된 검증자가 논쟁이 발생했을 때, 서명자와의 협력 없이 서명을 검증할 수 있다는 개념이다.In some cases, it may be a disadvantage that the signature can only be verified through interaction with the signer. If the signer is absent or refuses to cooperate, the recipient cannot use the signature. This introduced the concept of "designated confirmer signatures." This is the concept that the designated verifier can verify the signature when there is a dispute, without cooperating with the signer.

어플리케이션에 따라, 블랙메일링(blackmailing)과 마피아(mafia) 공격으로 인해 서명자가 서명의 검증 시기뿐만 아니라 누구에 의해 검증될 것인지를 결정하는 것이 중요할 수 있다. 예를 들어, 투표센터는 다른 사람(예, 코어서(coercer))들에게 알려지지 않게 특정 투표자의 투표가 처리되었음을 투표자에게 확신시키기 위한 증거를 제시한다. 이는 투표권을 사거나 강압하는 것을 방지하는 매수행위 방지 가능한(receipt-free) 전자 투표 방법을 설계하는데 필요한 중요한 개념이다. 이는 “지명 검증자(designated confirmer) 서명” 개념의 동기가 되었다. 지정된 검증자는 서명자가 자신의 증거를 이용하여 메시지를 서명했다는 사실을 신뢰하게 된다. 그러나 검증자가 동일 증거를 생성할 수 있으므로, 제 3개체를 확신시키기 위해 이 증거를 제시할 수 없다.Depending on the application, it may be important for blackmailing and mafia attacks to determine who will be verified by the signer as well as when the signature is verified. For example, voting centers provide evidence to convince voters that a particular voter's vote has been processed without being known to others (eg, coercers). This is an important concept needed to design a receive-free electronic voting method that prevents the purchase or coercion of voting rights. This motivated the notion of a "designated confirmer signature." The designated verifier trusts that the signer has signed the message using his evidence. However, because the verifier can generate the same evidence, this evidence cannot be presented to convince the third party.

최근, 전자 인증서의 보급과 관련된 프라이버시 이슈로 인해 스테인펠드(Steinfeld)은 “지명 검증자 서명”의 확장된 형태라고 볼 수 있는 “Universal" 지명 검증자 서명”을 소개하였다. Universal 지명 검증자 서명은 서명 소유자 누구라도(반드시 서명자일 필요는 없다) 원하는 특정 지명 검증자에게 해당 서명을 지정할 수 있다. 검증자는 서명자가 서명을 생성했음을 확신할 수 있지만, 이 증거를 다른 제 3개체에게 전송할 수 없다.Recently, due to privacy issues associated with the dissemination of digital certificates, Steinfeld introduced the "Universal" name verifier signature, which is an extended form of "name verifier signature." Any signature owner (not necessarily a signer) can assign that signature to a specific named verifier that he or she wants, but the verifier can be sure that the signer has created a signature, but cannot send this evidence to any other third party.

어플리케이션에 따라서 수령자가 언제 그리고 누구에 의해 서명자의 서명이 검증되어야 하는지 결정하는 것이 중요하다. 예를 들어, 신용카드 회사는 고객들의 신뢰를 얻기 위해 고객들의 프라이버시를 보호하려고 최선을 다한다. 그래서 회사는 청구서와 같은 고객의 불명예스러운 메시지에 대해서만 고객 서명의 유효성을 확신하는 것으로 충분하다. 게다가 회사는 고객의 특정 시간 때의 지불 여부와 같은 프라이버시를 보호하려고 한다. 그러나 고객이 규칙을 위반하면 회사는 이를 제 3개체에게 확신시키기 위해 증거를 제공할 것이다. 하지만, 제 3개체는 이 증거를 다른 제 3개체를 확신시키기 위해 전송할 수 없다. Depending on the application, it is important for the recipient to decide when and by whom the signer's signature should be verified. For example, credit card companies do their best to protect their privacy in order to earn their trust. Thus, it is sufficient for the company to ensure the validity of the customer signature only for the infamous message of the customer such as the invoice. In addition, the company wants to protect privacy, such as whether a customer pays at a certain time. However, if the customer violates the rules, the company will provide evidence to convince the third party. However, the third party cannot send this evidence to convince other third parties.

부인 불가 서명 및 지명 검증자 서명은 이와 같은 상황에 적합하지 않다. 부인 불가 서명에서 서명은 서명자의 협력이 있을 때만 검증될 수 있다. 지명 검증자 서명에서는 지명 검증자가 자신의 비밀키를 누출하더라도 제 3개체에게 서명 또는 증거를 절대 전송할 수 없다. 이는 지명 검증자가 실제 서명자의 서명과 동일한 “ 서명”을 생성할 수 있기 때문이다.Nonrepudiation signatures and signature verifier signatures are not suitable for such situations. In non-repudiation signatures, the signature can only be verified with the cooperation of the signer. The name verifier signature never transmits the signature or evidence to a third party, even if the name verifier leaks his private key. This is because the name verifier can generate a “signature” that is identical to the signature of the actual signer.

아라키(Araki)은 이 문제들을 해결하기 위해 “한정적 검증자 서명”의 개념을 소개하였다. 한정적 검증자 서명은, 서명자가 어떤 규칙을 위배하지 않는 한 서명자의 프라이버시(특히, 불명예스러운 메시지)를 보호하려고 하는 한정적 검증자에 의해서만 검증될 수 있다. 추후 논쟁이 발생했을 경우, 한정적 검증자는 정말로 서명자가 서명을 생성했다는 것을 제 3개체, 보통 제 3개체에게 확신시킬 수 있다. 한정적 검증자의 목표는 서명이 공개적으로 검증되지 않도록 하는 것이 아니라 서명자로 하여금 특정 규칙을 따르도록 하는 데 있다. 경우에 따라서 서명자는 의도하지 않았음에도 불구하고 규칙을 위배할 수 있다. 이 경우, 한정적 검증자는 서명자에게 오류를 수정할 기회를 제공한다. 그래서 제 3개체는 이 증거를 다른 개체를 확신시키기 위해 전송해서는 안 된다. Araki introduced the concept of "limited validator signatures" to solve these problems. Limited verifier signatures can only be verified by a limited verifier that attempts to protect the signer's privacy (especially an infamous message), unless the signer violates any rules. In case of further controversy, the limited verifier can really convince the third party, usually the third party, that the signer has created a signature. The goal of the limited validator is not to ensure that the signature is not publicly verified, but to allow the signer to follow certain rules. In some cases, the signer may violate the rule even though it was not intended. In this case, the qualified verifier gives the signer the opportunity to correct the error. So the third entity should not send this evidence to convince other entities.

서명자의 프라이버시는 수령자의 프라이버시와 밀접하게 연관되어 있다. 그래서 한정적 검증자 서명은 서명자의 서명이 수령자에 의해 보호되어야 하는 경우에 사용될 수 있다.The privacy of the signer is closely related to the privacy of the recipient. Thus, the qualified verifier signature can be used where the signature of the signer must be protected by the recipient.

한정적 검증자 서명으로 처리되는 공식 문서들은 필요한 경우 특정 시간 이후에 모든 사람에 의해 검증되어야 한다. 이는 아라키이 소개한 "변환 가능한 한정적 검증자 서명“의 동기이다. 변환 가능한 한정적 검증자 서명은 한정적 검증자가 공개 검증을 위해 서명을 일반적 서명으로 변환할 수 있는 서명을 의미한다.Official documents processed with limited validator signatures should be verified by everyone after a certain time, if necessary. This is the motive behind Araki's introduction of “Convertible Qualified Verifier Signatures.” Convertible Qualified Verifier Signatures mean a signature that allows a Qualified Verifier to convert a signature to a generic signature for public verification.

변환 가능한 한정적 검증자 서명에서 서명을 변환하기 위해서는 원서명자와의 협력이 필요하다. 이는 원서명자가 협력하기 싫어하거나 불편해 할 경우 사용할 수 없게 된다.Coordination with the original signature is required to convert the signature from the convertible limited validator signature. It will not be available if the original signatories do not like to cooperate or are uncomfortable.

따라서 본 발명은 사기의 문제점을 해결하기 위해서 제안된 것으로, 겹선형 사상 기반의 두 가지 효율적인(변환 가능한) 한정적 검증자 서명 방법의 제공을 그 목적으로 한다.Accordingly, the present invention has been proposed to solve the problem of fraud, and the object of the present invention is to provide two efficient (transformable) limited verifier signature methods based on the parallel linear mapping.

본 발명의 또 다른 목적은 위조 불가능성 및 양도-불가능(Non-transferablity)한 한정적 검증자 서명 방법의 제공을 그 목적으로 한다.It is a further object of the present invention to provide a limited verifier signature method that is non-counterfeiting and non-transferablity.

본 발명은 특수 전자 서명 방법에 관한 것으로, 좀 더 상세하게는 겹선형 사상을 이용한 안전한 한정적 검증자 서명 방법에 관한 것이다.TECHNICAL FIELD The present invention relates to a special digital signature method, and more particularly, to a secure limited validator signature method using overlapping mapping.

본 발명에 따른 전자 서명 방법은, Electronic signature method according to the invention,

시스템관리자가 시스템 매개변수를 생성하는 단계(S_1);The system administrator generating system parameters (S_1);

서명자가 공개(rUP)키와 비밀키 (rU) 쌍을 생성하는 단계(S_2);Signer public (r U P) and secret key (r U ) Generating a pair (S_2);

서명자가 한정적 서명을 생성하는 단계(S_3)Signer generates a definitive signature (S_3)

검증자가 메시지(m)의 서명 S=(c,k,t)(방법 I) 또는 C=(kp,U,V,W)(방법 II)을 생성하는 단계(S_4);The verifier generates the signature S = (c, k, t) (method I) or C = (kp, U, V, W) (method II) of the message m (S_4);

검증자가 전송받은 서명을 검증하는 단계(S_5);Verifying the received signature by the verifier (S_5);

검증이 일치하면 서명을 승인하는 단계(S_6);If the verification matches, approving the signature (S_6);

검증이 일치하지 않으면 서명을 거부하고 종료하는 단계(S_7); If the verification does not match, rejecting the signature and ending (S_7);

검증자가 해당 서명이 서명자에 의해 생성된 것임을 제 3개체에게 확신시키는 확인 단계(S_8); A verification step (S_8) in which the verifier assures the third object that the signature is generated by the signer;

누구든지 서명자가 메시지(m)의 서명을 생성했다는 것을 확신할 수 있는 공개 검증 단계(S_9);A public verification step S9 in which anyone can be sure that the signer has generated a signature of the message m;

를 포함하는 것을 특징으로 한다.Characterized in that it comprises a.

이하 본 발명은 첨부된 도면을 참조하여 다음과 같이 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 한정적 검증자 서명 방법의 개략적인 구성도를 도시한 것으로, 서명 방법의 주 참여자는 서명자(100), 검증자(200), 시스템 관리자(300) 및 제 3개체(400)를 포함하며, 이들 각각의 참여자는 컴퓨터 시스템으로 구현될 수 있다. 한정적 검증자 서명 방법을 구성하는 각각의 참여자는 다음과 같은 기능을 수행한다.1 shows a schematic diagram of a limited verifier signature method according to the present invention. The main participants of the signature method are the signer 100, the verifier 200, the system manager 300, and the third object 400. Each of these participants can be implemented as a computer system. Each participant in the limited validator signature method performs the following functions:

서명자(100)는 주어진 시스템 매개변수에 따라 공개키와 비밀키를 생성하고 공개키는 공개한 후, 전송하고자 하는 메시지를 제시한 한정적 검증자 서명 방법을 이용하여 서명한 후, 검증자(200)에게 이를 제시하며, 경우에 따라서는 공개검증을 위해 자신의 서명을 일반 서명으로 변환하는 역할을 담당한다.The signer 100 generates a public key and a private key according to a given system parameter, publishes the public key, signs it using a limited validator signature method that presents a message to be transmitted, and then verifies the validator 200. It is then presented to the public and, in some cases, is responsible for converting his signature into a generic signature for public verification.

검증자(200)는 서명자(100)가 제시하는 서명들이 서명자(100)에 의해 서명되었다는 것을 시스템 매개변수를 참조하여 검증하고, 서명자(100)가 특정 규칙을 위배한 경우, 서명자(100)의 서명 여부에 대한 증거를 제 3개체(400)에게 제시하며, 경우에 따라서는 공개검증을 위해 서명자(100)가 제시한 서명을 일반 서명으로 변환하는 역할을 담당한다.The verifier 200 verifies by referring to system parameters that the signatures presented by the signer 100 have been signed by the signer 100, and if the signer 100 violates certain rules, Evidence of the signature is presented to the third entity 400, and in some cases, serves to convert the signature presented by the signer 100 into a general signature for public verification.

시스템관리자(300)는 시스템 초기화 시에만 동작하며 자신이 생성한 시스템 매개변수들을 공지한다. 때에 따라서 서명자의 공개키와 비밀키 쌍을 생성하여 안전한 채널로 전송할 수 있다. 그러나 서명 생성 및 검증 과정에는 참여하지 않는다.The system manager 300 operates only during system initialization and announces system parameters generated by the system manager 300. Sometimes the signer's public and private key pairs can be generated and transmitted over a secure channel. However, it does not participate in the signature generation and verification process.

상술한 참여자로 구성된 본 발명의 한정적 검증자 서명 방법은 순서적으로 도 1a 의 시스템 매개변수 생성과정 및 서명자(100) 비밀키/공개키 생성과정, 도 1b의 서명자(100) 한정적 검증자 서명 생성 및 검증자(200)에게 전달하는 과정을 통하여 동작하는 것으로 본 발명은 검증자(200)가 서명자(100)의 서명을 검증하는 프로토콜과 관련된다.The limited validator signature method of the present invention composed of the above-mentioned participants sequentially generates the system parameter generation process of FIG. 1A and the signer 100 secret key / public key generation process, and the signer 100 limited validator signature generation of FIG. 1B. And to operate through the process of passing to the verifier 200 The present invention relates to a protocol for the verifier 200 to verify the signature of the signer 100.

도 1a의 시스템 매개변수 생성과정에서, 서명자(100), 검증자(200), 및 제 3개체(400) 모두가 공유하는 시스템 매개변수들이 시스템관리자에 의해서 생성되어 공개된다.In the system parameter generation process of FIG. 1A, system parameters shared by the signer 100, the verifier 200, and the third object 400 are generated and disclosed by the system administrator.

상기의 과정에서 차수가 q인 갭 디피-헬만(Gap Diffie-Hellman: GDH) 그룹 G1과 순환곱셈(cyclic multiplicative) 그룹 G2가 생성된다.In the above process, a gap Diffie-Hellman (GDH) group G 1 and a cyclic multiplicative group G 2 are generated.

겹선형 사상은 맵 e:G1×G1→G2이다.The double line mapping is map e: G 1 × G 1 → G 2 .

그리고 각 방법에 따라 필요한 암호학적 해쉬 함수를 정의한다.And we define the cryptographic hash function according to each method.

도 1b의 한정적 검증자 서명 생성과정에서 시스템관리자(300)가 공개한 시스템 매개변수에 기반하여 서명자(100)가 임의의 난수를 생성하여 공개키를 생성한다. 생성된 공개키/비밀키 쌍을 이용하여 메시지(m)에 대한 한정적 검증자 서명을 생성하여 검증자(200)에게 전달한다. In the process of generating the limited validator signature of FIG. 1B, the signer 100 generates a random number based on a system parameter disclosed by the system manager 300 to generate a public key. The generated validator signature for the message m is generated using the generated public key / private key pair and transmitted to the verifier 200.

서명을 받은 검증자(200)는 시스템관리자(300)로부터 전달받은 시스템 매개변수를 이용하여 해당 서명을 검증한다.The signed verifier 200 verifies the signature using the system parameters received from the system manager 300.

본 발명의 한정적 검증자 서명 방법의 안전성은 크립토2001 학회에서 보네-프랭크린 (Boneh-Franklin)에 의해서 제안된 겹선형 디피-헬만 문제의 어려움을 기반으로 하여 구성된다. 시스템관리자(300)는 타원곡선상의 점들의 군과 유한체를 생성하고 이 두 순환 군 간을 사상하는 변형 겹선형 사상을 생성한다. 이 값들은 공개되어 서명자(100)와 검증자(200) 모두에 의해서 이용되도록 한다.The safety of the limited verifier signature method of the present invention is constructed based on the difficulty of the bilinear diffi-Hellman problem proposed by Bonh-Franklin at the Krypto 2001 Society. The system manager 300 generates a group of points on the elliptic curve and a finite body and generates a deformed double line mapping that maps between the two cyclic groups. These values are published and made available to both signer 100 and verifier 200.

도 2는 본 발명의 흐름도를 나타낸 것이다.2 shows a flowchart of the present invention.

시스템관리자가 시스템 매개변수를 생성하는 단계(S_1);The system administrator generating system parameters (S_1);

서명자가 공개(rUP)키와 비밀키 (rU) 쌍을 생성하는 단계(S_2);Signer public (r U P) and secret key (r U ) Generating a pair (S_2);

서명자가 한정적 서명을 생성하는 단계(S_3)Signer generates a definitive signature (S_3)

검증자가 메시지(m)의 서명 S=(c,k,t)(방법 I) 또는 C=(kp,U,V,W)(방법 II)을 생성하는 단계(S_4);The verifier generates the signature S = (c, k, t) (method I) or C = (kp, U, V, W) (method II) of the message m (S_4);

검증자가 전송받은 서명을 검증하는 단계(S_5);Verifying the received signature by the verifier (S_5);

검증이 일치하면 서명을 승인하는 단계(S_6);If the verification matches, approving the signature (S_6);

검증이 일치하지 않으면 서명을 거부하고 종료하는 단계(S_7); If the verification does not match, rejecting the signature and ending (S_7);

검증자가 해당 서명이 서명자에 의해 생성된 것임을 제 3개체에게 확신시키는 확인 단계(S_8); A verification step (S_8) in which the verifier assures the third object that the signature is generated by the signer;

누구든지 서명자가 메시지(m)의 서명을 생성했다는 것을 확신할 수 있는 공개 검증 단계(S_9);A public verification step S9 in which anyone can be sure that the signer has generated a signature of the message m;

로 이루어진다.Is made of.

이하 수학식을 통하여 설명한다.It will be described through the following equation.

본 발명에서 시스템 매개변수는 도 1a에 나타나는 것처럼 시스템관리자에 의해서 단계(610)에서 차수가 q인 GDH 그룹 G1과 순환곱셈 그룹 G2을 생성하고 다음 수학식 1과 같은 겹선형 사상을 정의한다.In the present invention, the system parameter generates a GDH group G 1 and a cyclic multiplication group G 2 of order q in step 610 by the system administrator, as shown in FIG. .

e:G1×G1→G2 e: G 1 × G 1 → G 2

그리고 각 방법에 따라 필요한 암호학적 해쉬 함수를 정의한다. And we define the cryptographic hash function according to each method.

방법 I의 경우, 세 종류의 암호학적 해쉬 함수 H1:{0,1}l ->G1 , H2:G2 ->Zq , h:{0,1}l ×G2 ->Zq를 을 정의한다. For method I, three kinds of cryptographic hash functions H 1 : {0,1} l- > G 1 , H 2 : G 2- > Z q , h: {0,1} l × G 2- > Z Define q

방법 II의 경우, 다섯 종류의 암호학적 해쉬 함수 H1:{0,1}l ->G1 , H2:G2 ->Zq , H3:Zq ->G1 , H4:G1 ->{0,1} ,h:{0,1}l ×Zq->Zq그리고 을 정의한다. For method II, five cryptographic hash functions H 1 : {0,1} l- > G 1 , H 2 : G 2- > Z q , H 3 : Z q- > G 1 , H 4 : G 1- > {0,1}, h: {0,1} l × Z q- > Z q And are defined.

(l은 메시지 비트 길이의 경계를 의미함)(l means boundary of message bit length)

그 다음 2가지 방법에 따라 상술한 시스템 매개변수를 이용하여 서명자(100)는 자신의 공개키와 비밀키 쌍을 생성한다. 먼저 Z* q에 속하는 임의의 값rU, 를 비밀키로 선택하고, 수학식 2에 의해서 공개키 v를 지정한다.Then, using the system parameters described above, the signer 100 generates its own public and private key pair. First, a random value r U , belonging to Z * q is selected as a secret key, and a public key v is specified by Equation 2.

v=rUPv = r U P

이렇게 하여 계산된 공개키는 서명자(100)에 의해서 공개되며 비밀키는 서명자(100)가 안전하게 보관한다. 그러므로 검증자(200)는 언제든지 서명자(100)의 공개키에 접근할 수 있다.The public key calculated in this way is disclosed by the signer 100 and the private key is securely stored by the signer 100. Therefore, the verifier 200 can access the public key of the signer 100 at any time.

그 다음 서명자(100)는 수학식 3에 의해서 2가지 방법에 따라 메시지(m)에 대한 서명을 만들어 검증자(200)에게 제시한다. 수학식 3을 계산하기 위해서 먼저 서명자(100)는 방법 I에서는 임의의 점 Q∈R G1을, 방법 II에서는 임의의 값 c∈R Zq를 선택한다.The signer 100 then creates a signature for the message m in accordance with two methods according to Equation 3 and presents it to the verifier 200. In order to calculate Equation 3, the signer 100 first selects a random point Q∈ R G1 in method I and a random value c∈ R Z q in method II.

방법 I: c=e(Q,rAP), s=Q-rAkH1(m), t=H2(e(rAQ, rBP))-1 , S=(c,k,t)Method I: c = e (Q, r A P), s = Qr A kH 1 (m), t = H 2 (e (r A Q, r B P)) −1 , S = (c, k, t)

방법 II: S=crAH1(m), k=h(m,c), U=H2(e(rAP, rBP)k)

Figure 112005075625813-PAT00001
c, V=H3(c)
Figure 112005075625813-PAT00002
S, W=H4(S)
Figure 112005075625813-PAT00003
m, C=(kP, U, V, W) Method II: S = cr A H 1 (m), k = h (m, c), U = H 2 (e (r A P, r B P) k )
Figure 112005075625813-PAT00001
c, V = H3 (c)
Figure 112005075625813-PAT00002
S, W = H4 (S)
Figure 112005075625813-PAT00003
m, C = (kP, U, V, W)

상기에서

Figure 112005075625813-PAT00004
는 XOR 연산이다.From above
Figure 112005075625813-PAT00004
Is an XOR operation.

수학식 3에 의해서 계산된 값인 방법 I의 서명 또는 방법 II의 서명 C를 검증자(200)에게 전송한다.The signature of Method I or Signature C of Method II, which is the value calculated by Equation 3, is sent to verifier 200.

그 다음 검증자(200)는 서명자(100)의 서명으로서 S(또는 C)을 받으면 수학식 4를 계산한다.Validator 200 then calculates Equation 4 upon receiving S (or C) as the signature of signer 100.

방법 I: s=H2(crB)t, d=e(s,P)e(H1(m), rAP)k Method I: s = H 2 (c rB ) t, d = e (s, P) e (H 1 (m), r A P) k

방법 II: c=U

Figure 112005075625813-PAT00005
H2(e(rAP,kP)rB), S=V
Figure 112005075625813-PAT00006
H3(c), m=W
Figure 112005075625813-PAT00007
H4(S) Method II: c = U
Figure 112005075625813-PAT00005
H 2 (e (r A P, kP) rB ), S = V
Figure 112005075625813-PAT00006
H 3 (c), m = W
Figure 112005075625813-PAT00007
H 4 (S)

그 다음 단계(650)에서, 검증자(200)는 수학식 5가 성립하는지 검증하여, 만족하는 경우 서명을 "승인"하고, 그렇지 않은 경우 "거부"한다.In the next step 650, the verifier 200 verifies that Equation 5 holds, and "approves" the signature if it is satisfied, otherwise "denies" it.

방법 I: k=h(m,d)Method I: k = h (m, d)

방법 II: kP=h(m,c)P, e(S,P)c-1=e(H1(m),rAP) Method II: kP = h (m, c) P, e (S, P) c-1 = e (H 1 (m), r A P)

본 발명의 두 번째 주요 특징은 도 4에서 검증자(200)는 서명자(100)의 서명에 대해서 서명자(100)가 메시지(m)에 대한 서명을 한 것임을 확인하고, 이를 제 3개체(400)에게 확인시킨다. 상기의 과정에서 일치하면 얻으면 주어진 서명이 서명자(100)에 의해 진정으로 서명됐다는 것이 판명되며, 일치하지 않으면 서명을 거부하고 즉시 확인 프로토콜 수행을 중단한다.The second main feature of the present invention is that the verifier 200 in FIG. 4 confirms that the signer 100 signed the message m with respect to the signature of the signer 100, and the third object 400. Confirm with If a match is found in the above process, it is found that the given signature is truly signed by the signer 100. If it does not match, the signature is rejected and the execution of the verification protocol is immediately stopped.

검증자(200)는 서명 검증을 완료한 후, 이를 제 3개체(400)에게 확신시키기 위해 수학식 7에 의하여 증명을 계산하여 메시지(m)와 함께 제 3개체(400)에게 전송한다. 제 3개체(400)는 이를 다른 개체를 확신시키기 위해 전송할 수 없다.After the verifier 200 completes the signature verification, the verifier calculates the proof by using Equation 7 to confirm the signature to the third object 400 and transmits the proof to the third object 400 together with the message m. The third entity 400 cannot send it to convince other entities.

방법 I: a=e(s,rJP) Method I: a = e (s, r J P)

방법 II: a=e(S, rJP)c-1 Method II: a = e (S, r J P) c-1

메시지(m)와 증명 a를 전달받은 제 3개체(400)는 단계(720)에서 수학식 8을 만족하는지 확인하여 메시지(m)에 대한 서명자(100)의 서명 사실을 확인한다.The third object 400 that has received the message m and the proof a checks whether the signer 100 has signed the message m by checking whether the message 8 satisfies Equation 8 in step 720.

방법 I: l=(drJ/a)k-1=e(H1(m), rAP)rJ Method I: l = (d rJ / a) k-1 = e (H 1 (m), r A P) rJ

방법 II: a=e(H1(m), rAP)rJ Method II: a = e (H 1 (m), r A P) rJ

본 발명의 세 번째 주요 특징은 도 5의 서명자(100)가 서명한 한정적 검증자 서명을 일반 서명으로 변환하고 이를 공개 검증하는 과정을 통하여 동작하는 것으로 본 발명은 서명자(100) 또는 검증자(200)가 서명자(100)의 서명을 공개 검증을 위해 일반 서명으로 변환하는 프로토콜과 관련된다.A third main feature of the present invention is to operate by converting the limited validator signature signed by the signer 100 of FIG. 5 into a general signature and publicly verifying it. The present invention is performed by the signer 100 or the validator 200. ) Is associated with a protocol that converts the signature of the signer 100 into a generic signature for public verification.

서명자(100) 또는 한정적 검증자(200)는 필요한 경우 한정적 검증자 서명에 대한 일반 서명을 발행한다. 이를 위해 방법 I의 경우 쌍을, 방법 II의 경우 서명 T=c-1S 을 발행한다.Signer 100 or limited verifier 200 issues a generic signature for the limited verifier signature, if necessary. To do this, we issue a pair for method I and a signature T = c -1 S for method II.

누구든지 일반 서명을 이용하여 메시지(m) 을 서명자(100)가 서명했다는 것을 수학식 9를 통해 검증할 수 있다.Anyone can verify via Equation 9 that the signer 100 signed the message m using the generic signature.

방법 I: d=e(s,P)e(H1(m), rAP)k , k=h(m.d) Method I: d = e (s, P) e (H 1 (m), r A P) k , k = h (md)

방법 II: e(T,P)=e(H1(m), rAP)Method II: e (T, P) = e (H 1 (m), r A P)

상술한 본 발명의 한정적 검증자 서명 방법을 이용하면 서명자는 한정적 검증자만이 서명을 검증할 수 있도록 서명을 생성할 수 있다. 그리고 공개 검증이 필요한 경우, 생성된 한정적 검증자 서명을 일반 서명으로 변환할 수 있다.Using the limited validator signature method of the present invention described above, the signer can generate a signature so that only the limited validator can verify the signature. And if public verification is needed, the generated limited validator signature can be converted to a generic signature.

도 3는 본 발명에 제 3개체에게 확인시키는 단계의 흐름도를 나타낸 것이다.Figure 3 shows a flow chart of the step of confirming to the third object in the present invention.

제 3개체에게 확인시키는 단계로, 검증자는 증거를 계산하여 제 3자에게 전송하는 단계(S_81);Confirming to the third object, wherein the verifier calculates and transmits the evidence to the third party (S_81);

제3개체는 서명자의 서명을 확인하는 단계(S_82)를 더 포함한다.The third object further includes a step S_82 of verifying the signature of the signer.

상기의 식과 연관하여 설명하면,In connection with the above equation,

검증자는 증거 방법 I(a=e(s,rJP)) 또는 방법 II(a=e(S, rJP)c-1 )를 계산하여 제 3개체에게 전송하는 단계(S_81)를 거쳐서 방법I( l=(drJ/a)k-1=e(H1(m)) 또는 방법 II( a=e(H1(m), rAP)rJ )을 계산하여 서명자의 서명을 확인(S_82)한다.The verifier calculates and sends the proof method I (a = e (s, r J P)) or method II (a = e (S, r J P) c-1 ) to the third entity (S_81). Calculate the signature of the signer by calculating either Method I (l = (d rJ / a) k-1 = e (H 1 (m)) or Method II (a = e (H 1 (m), r A P) rJ ). Check (S_82).

도 4는 본 발명에 공개 검증하는 단계의 흐름도를 나타낸 것이다.4 shows a flow chart of public verifying steps in the present invention.

서명자 검증자는 일반적인 서명 쌍을 발행하는 단계(S_91);The signer verifier issues a general signature pair (S_91);

모든 개체는 서명을 검증하는 단계(S_92)를 더 포함하여 이루어진다.All objects further comprise the step of verifying the signature (S_92).

상기의 식과 연관하여 설명하면,In connection with the above equation,

서명자 또는 검증자는 일반적인 서명 쌍을 발행(S_91)하고, 모든 개체는 방법 I( d=e(s,P)e(H1(m), rAP)k , k=h(m.d) ) 또는 방법 II( e(T,P)=e(H1(m), rAP) )를 계산하여 서명을 검증한다.The signer or verifier issues a common signature pair (S_91), and every entity is represented by method I (d = e (s, P) e (H 1 (m), r A P) k , k = h (md)) or Verify signature II by calculating method II (e (T, P) = e (H 1 (m), r A P)).

본 발명은 겹선형 사상을 이용하여 한정적 검증자 서명 방법이 구성될 수 있음을 보여주고 있다. 동시에 랜덤 오라클 모델을 통하여 위조불가능성 및 양도-불 가능(non-traneferability)에 대한 안전성 검증을 매우 엄밀하게 제시되고 있다.The present invention demonstrates that a finite validator signature method can be constructed using the overlapping mapping. At the same time, the random Oracle model provides a very rigorous test of safety against forgery and non-traneferability.

특히, 확인 프로토콜은 쌍방향 통신을 필요로 하지 않았으며, 공개 검증을 위한 서명으로 변환하기 위해 원래 서명자의 협력이 필요하지 않았다. 그리고 이전 프로토콜에서 사용되었던 거부 프로토콜이 필요하지 않았다. 이는 이전 방법과 비교하여 매우 효율적이다.In particular, the verification protocol did not require two-way communication and did not require the cooperation of the original signer to convert to a signature for public verification. And the rejection protocol used in the previous protocol was not needed. This is very efficient compared to the previous method.

겹선형 사상은 테이트 쌍이나 베일 쌍을 타원곡선상에서 구현하여 사용하였다. 이때 테이트 쌍이나 베일 쌍의 계산이 상대적으로 복잡하여 연산의 비효율성이 지적되었다. 그러나 현재 암호학자들의 지속적인 연구로 인하여 연산 시간 개선이 꾸준히 이루어지고 있으며 최근에는 계산량을 줄이는 알고리즘의 연구에 힘입어 테이트 쌍이나 베일 쌍의 연산도 매우 효율적으로 계산되고 있다. 그러므로 본 발명은 대칭적 계산 능력을 요구하는 상황뿐 아니라 비대칭적인 상황에도 적용할 수 있다.In the double-line mapping, a pair of tate or a pair of veils were implemented on an elliptic curve. At this time, the computation of the pair of tate or the bale is relatively complicated, indicating the inefficiency of the operation. However, due to continuous research by cryptographers, the improvement of computation time is steadily being made, and recently, the computation of tate pairs or veil pairs is calculated very efficiently due to the study of algorithms that reduce the amount of computation. Therefore, the present invention can be applied to an asymmetrical situation as well as a situation requiring symmetrical computing power.

Claims (3)

전자 서명 방법에 있어서,In the digital signature method, 시스템관리자가 시스템 매개변수를 생성하는 단계(S_1);The system administrator generating system parameters (S_1); 서명자가 공개(rUP)키와 비밀키 (rU) 쌍을 생성하는 단계(S_2);Signer public (r U P) and secret key (r U ) Generating a pair (S_2); 서명자가 한정적 서명을 생성하는 단계(S_3)Signer generates a definitive signature (S_3) 검증자가 메시지(m)의 서명 S=(c,k,t)(방법 I)을 생성하는 단계(S_4);The verifier generates a signature S = (c, k, t) (method I) of the message m (S_4); 검증자가 전송받은 서명을 검증하는 단계(S_5);Verifying the received signature by the verifier (S_5); 검증이 일치하면 서명을 승인하는 단계(S_6);If the verification matches, approving the signature (S_6); 검증이 일치하지 않으면 서명을 거부하고 종료하는 단계(S_7); If the verification does not match, rejecting the signature and ending (S_7); 검증자가 해당 서명이 서명자에 의해 생성된 것임을 제 3개체에게 확신시키는 확인 단계(S_8); A verification step (S_8) in which the verifier assures the third object that the signature is generated by the signer; 누구든지 서명자가 메시지(m)의 서명을 생성했다는 것을 확신할 수 있는 공개 검증 단계(S_9);A public verification step S9 in which anyone can be sure that the signer has generated a signature of the message m; 를 포함하는 것을 특징으로 하는 겹선형 사상을 이용한 한정적 검증자 서명 방법.Limited validator signature method using a bilinear mapping characterized in that it comprises a. 전자 서명 방법에 있어서,In the digital signature method, 시스템관리자가 시스템 매개변수를 생성하는 단계(S_1);The system administrator generating system parameters (S_1); 서명자가 공개(rUP)키와 비밀키 (rU) 쌍을 생성하는 단계(S_2);Signer public (r U P) and secret key (r U ) Generating a pair (S_2); 서명자가 한정적 서명을 생성하는 단계(S_3)Signer generates a definitive signature (S_3) 검증자가 메시지(m)의 C=(kp,U,V,W)(방법 II)을 생성하는 단계(S_4);The verifier generates C = (kp, U, V, W) (method II) of the message m (S_4); 검증자가 전송받은 서명을 검증하는 단계(S_5);Verifying the received signature by the verifier (S_5); 검증이 일치하면 서명을 승인하는 단계(S_6);If the verification matches, approving the signature (S_6); 검증이 일치하지 않으면 서명을 거부하고 종료하는 단계(S_7); If the verification does not match, rejecting the signature and ending (S_7); 검증자가 해당 서명이 서명자에 의해 생성된 것임을 제 3개체에게 확신시키는 확인 단계(S_8); A verification step (S_8) in which the verifier assures the third object that the signature is generated by the signer; 누구든지 서명자가 메시지(m)의 서명을 생성했다는 것을 확신할 수 있는 공개 검증 단계(S_9);A public verification step S9 in which anyone can be sure that the signer has generated a signature of the message m; 를 포함하는 것을 특징으로 하는 겹선형 사상을 이용한 한정적 검증자 서명 방법.Limited validator signature method using a bilinear mapping characterized in that it comprises a. 제 1항 내지 제 2항에 있어서,The method according to claim 1 or 2, 검증자가 해당 서명이 서명자에 의해 생성된 것임을 제 3개체에게 확신시키는 확인 단계(S_8)는The verification step (S_8) in which the verifier assures the third object that the signature is generated by the signer is 검증자는 증거를 계산하여 제 3자에게 전송하는 단계(S_81);The verifier calculates and transmits the evidence to the third party (S_81); 제3개체는 서명자의 서명을 확인하는 단계(S_82)를 더 포함하고,The third object further includes the step of verifying the signature of the signer (S_82), 누구든지 서명자가 메시지(m)의 서명을 생성했다는 것을 확신할 수 있는 공개 검증 단계(S_9)는A public verification step (S_9) in which anyone can be sure that the signer has generated the signature of message (m) 서명자 검증자는 일반적인 서명 쌍을 발행하는 단계(S_91);The signer verifier issues a general signature pair (S_91); 모든 개체는 서명을 검증하는 단계(S_92)를 더 포함하여 겹선형 사상을 이용한 한정적 검증자 서명 방법.And all entities further include verifying the signature (S_92).
KR1020050128506A 2005-12-23 2005-12-23 Limited verifier signature method from bilinear pairings KR20070067324A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050128506A KR20070067324A (en) 2005-12-23 2005-12-23 Limited verifier signature method from bilinear pairings

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050128506A KR20070067324A (en) 2005-12-23 2005-12-23 Limited verifier signature method from bilinear pairings

Publications (1)

Publication Number Publication Date
KR20070067324A true KR20070067324A (en) 2007-06-28

Family

ID=38366000

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050128506A KR20070067324A (en) 2005-12-23 2005-12-23 Limited verifier signature method from bilinear pairings

Country Status (1)

Country Link
KR (1) KR20070067324A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101020300B1 (en) * 2008-02-20 2011-03-07 인하대학교 산학협력단 An electronic signature scheme using bilinear mapping

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101020300B1 (en) * 2008-02-20 2011-03-07 인하대학교 산학협력단 An electronic signature scheme using bilinear mapping

Similar Documents

Publication Publication Date Title
Saeednia et al. An efficient strong designated verifier signature scheme
US6292897B1 (en) Undeniable certificates for digital signature verification
CN108551392B (en) Blind signature generation method and system based on SM9 digital signature
US6108783A (en) Chameleon hashing and signatures
US9800418B2 (en) Signature protocol
JPH10133576A (en) Open key ciphering method and device therefor
CN106059747A (en) Reusable public key certificate scheme based on public key infrastructure
JP2002534701A (en) Auto-recoverable, auto-encryptable cryptosystem using escrowed signature-only keys
CN1108041C (en) Digital signature method using elliptic curve encryption algorithm
US9088419B2 (en) Keyed PV signatures
KR20030062401A (en) Apparatus and method for generating and verifying id-based blind signature by using bilinear parings
Hwang et al. An untraceable blind signature scheme
CN111654366A (en) Secure bidirectional heterogeneous strong-designation verifier signature method between PKI and IBC
Waheed et al. Novel blind signcryption scheme for e-voting system based on elliptic curves
Krawczyk et al. Chameleon hashing and signatures
Huang et al. Convertible nominative signatures
CN112511314B (en) Recoverable message blind signature generation method based on identity
CN110278073B (en) Group digital signature and verification method, and equipment and device thereof
WO2016187689A1 (en) Signature protocol
KR20070067324A (en) Limited verifier signature method from bilinear pairings
Su et al. Secure blockchain-based electronic voting mechanism.
CN107612696B (en) Method for one-way reduction of two protocols in quantum repudiation protocol
Kang et al. An Off-Line Payment Scheme for Digital Content via Subliminal Channel.
Chou A novel anonymous proxy signature scheme
Mala et al. New blind signature schemes based on the (elliptic curve) discrete logarithm problem

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application