WO1998033159A1 - Dispositif d'identification du type a reproduction de message - Google Patents

Dispositif d'identification du type a reproduction de message Download PDF

Info

Publication number
WO1998033159A1
WO1998033159A1 PCT/JP1997/000181 JP9700181W WO9833159A1 WO 1998033159 A1 WO1998033159 A1 WO 1998033159A1 JP 9700181 W JP9700181 W JP 9700181W WO 9833159 A1 WO9833159 A1 WO 9833159A1
Authority
WO
WIPO (PCT)
Prior art keywords
message
function
signature
unit
user
Prior art date
Application number
PCT/JP1997/000181
Other languages
English (en)
French (fr)
Inventor
Atsuko Miyaji
Original Assignee
Matsushita Electric Industrial Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co., Ltd. filed Critical Matsushita Electric Industrial Co., Ltd.
Priority to EP08010095A priority Critical patent/EP1976180A3/en
Priority to US09/341,658 priority patent/US6697946B1/en
Priority to KR10-1999-7006737A priority patent/KR100438257B1/ko
Priority to DE69738931T priority patent/DE69738931D1/de
Priority to EP97900787A priority patent/EP0977165B1/en
Priority to PCT/JP1997/000181 priority patent/WO1998033159A1/ja
Publication of WO1998033159A1 publication Critical patent/WO1998033159A1/ja

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Claims

(5 7) 要約 管理センター 520はユーザ Aの秘密鍵 χΑを用いて、 ユーザ A 5 1 0の公開 鍵 y Aを求め、 ユーザ B 53 0に通知しておく (S 550〜S 553 ) 。 ユーザ A 5 1 0は、 乱数 kの生成、 r i = gk (mod p) N r 2= f ( r lN m ) = r x + m (mod p) の演算を、 r 2く Qとなるまで繰り返す。. r2く Qであれ ば、 s k = ( r 2+ s + 1 ) + r 2X A (mod q) より、 sを算出し、 暗号文 ( r 2, s ) をユーザ Bに送信する (S 554〜5 5 9 ) 0 ユーザ B 5 3 0は、 Q≤ r 2であれば署名を拒絶し、 r 2く Qであれば、 r i- gk= g<r2+a+i:> syAr2 e (mod p) 及び f — 1 ( n, r2) -m (mod p) を 用いてメッセージ mを復元する (S 560〜S 562 ) 。 これにより、 安全性の.高いメッセージ復元型署名装置が実現される。 P CTに基づいて公開される国際出願のパンフレツ ト第一頁に掲載された PC T加盟国を同定するために使用されるコ一ド (参考情報)Aし アルバニア F I フィンランド し T リ トァニァ SN セネガル A アルメニア FR フランス LU ルクセンブルグ S Z スヮジランドA T オース トリァ G A ガボン し V ラ トヴィァ TD チヤ一ド Aじ ォ一ス トラリア GB 茶国 C モナコ TG トーゴ一 A Z ァゼルバイジヤン G E グルジア MD ドヴァ T J タジキスタンB A ボスニア 'ヘルツェゴビナ GH ガ一ナ MG マダガスカル TM トルクメニスタンB B GM ガンビア M マケ ドニァ旧ュ TR トルコ BE ベルギー GN ギニァ ラヴィァ共和国 TT トリ二ダッ ド · トバゴB F ブルキナ * ファソ GW ギニァ · ビサォ ML マリ U A ウクライナBG ブルガリア GR ギリシャ MN モンゴ UG ウガンダ B J ベナン HU ハンガリ一 MR モ一リタニア U S 米国 BR ブラジル I D インドネシア MW マラウイ U 2 ウスべキスタンBY ベラル一シ I E アイルランド MX メキシコ VN ヴィエ トナムC A カナダ I L イスラエル NE ニジ YU ユーゴ一スラヴィァC F 中央アフリカ I S アイスランド NL オランダ ZW ジンバブエCG コンゴ一共和国 I T イタリア NO ノールゥ工一 CH J P 曰本 NZ ニュー ' ジ一ランド C I コ一トジボア一 KE ケニア PL ポ一ランド CM カメル一ン KG キルギス P T ポルトガル CN 中国 KP 北朝鮮 RO ル一マニア cじ キューバ KR m RU ロシア C Y キブロス KZ カザフスタン SD ス一ダン CZ チェッコ し C セント . シァ SE スウェーデン DE ドイツ L I リ ヒテンシュタイン SG シンガポ一 DK デンマーク し K スリ · ラン力 S I スロヴェニア EE エス トニア LR リベリア SK スロヴァキア E S スペイン LS レソ ト S L シエラ · レオ一ネ 明 細 書 メッセージ復元型署名装置 技術分野 本発明は公開鍵暗号方式による秘密通信及びデジタル署名を行う装置に関し、 特に、 離散対数問題を安全性の根拠とするメッセージ復元型署名装置に関する。 背景技術 離散対数問題を安全性の根拠とし公開鍵暗号方式による従来のメ ッセージ復元 型署名方式として、 Nyberg- Rueppelにより提案されたものがある (Nyberg and R ueppel, " A new signature scheme based on the DSA giving message recovery " , 1st ACM Conf. on Comp. and Comm. Security, 1993 参照) 0 ここで、 「離散対数」 とは有限体における対数をいう。 「離散対数問題」 とは、 Pを素数又は素数のべき乗とし、 gを有限体 G F ( p ) の原始根とし、 零でない任意の G F ( p ) の元 y、 p、 gが与えられたとき、 y = g x 式 1 . 1 但し、 0≤ χ≤ ρ— 1 を満たす整数 Xを求めよ、 という問題をいう。 「離散対数問题を安全性の根拠とする」 とは、 指数計箅は易しいが、 大きな有 限体 G F ( p ) 、 例えば、 G F ( 2 127) に対して、 上記対数計算は極めて難し いこと、 即ち、 大きな有限体での対数計算はいわば一方向性関数の逆関数を計算 することに相当するということに暗号の安全性の根拠を置くことをいう。 「公開鍵暗号方式」 とは、 喑号化鍵と復号化鍵が異なり、 復号化鍵は秘密にす るが暗号化鍵を公開する喑号方式をいう。 通信相手が多数の時、 通信相手ごとに 異なる暗号鍵を管理しなければならないという煩雑さを解消するための方式であ り、 多数の通信相手と通信を行なうのに不可欠な基盤技術である。 「メッセージ復元型署名」 とは、 自己の正当性を証明するための署名文の中に メ ッセージを埋め込むことが可能な署名をいう。 これによれば、 署名文とメ ッセ ージを別個に送信する必要がなく、 送信のための通信量を削減することができる 1 差替え用紙 (規則 26) 図 1 1は、 上記従来技術の手順を示すシーケンス図である。 ユーザ A 6 1 0、 センタ一 6 2 0及びユーザ B 6 3 0はネッ トワークで接続さ れ、 センタ一 6 2 0の管理の下、 いま、 ユーザ A 6 1 0がメ ッセージ mに署名を してユーザ B 6 3 0に送信する場合の通信シーケンス図である。 (公開鍵の生成) システム条件として、 Pを素数、 GF ( p ) の元を gとし、 その位数を Qとす る。 つまり、 Qは、 gq= 1 (mod p) 式 1. 2 を満たす最小の整数である。 まず、 センター 6 2 0は、 予め通知されているユーザ Aの秘密鍵 χΛを用いて 、 以下の式 1に従ってユーザ Aの公開鍵 y を生成する (S 64 0〜S 6 4 1 ) yA= gxA 式 1. 3 その後、 センタ一 6 2 0は、 上記システムパラメータ p、 q gと共にユーザ Aの公開鍵 yAを他のユーザ B 6 3 0に公開する。 (署名と送信) ユーザ A 6 1 0は、 乱数 kを生成し (S 64 4 ) 、 r 1 = g k (mod j 式 1. 4 r r i (mod p) 式 1 5 i" = r ( mod q) 式 1. 6 s = k— r 2 x (mod q) 式 1. を順に計算し (S 6 4 5〜S 6 48) 、 得られた s及び r 2を暗号文 ( r 2, s ) としてユーザ Bに送信する ( S 6 4 9) ここで、 上記 r iはコミ ッ トメントと呼ばれ、 式 1. 5はメッセージマスク式 、 式 1. 7は署名式と呼ばれる。 また、 署名式 (式 1. 7) は以下のように 6種 類の式に一般化される。 2 差替え用紙 (規則 26) a k = b + c xA (mod q) 式 1. 8 但し、 ( a, b, c ) = ( 1, r 2', s ) の置換である。 つまり、 a = l , b = r2', c = s 又は a = l , b = s, c = r2 又は a = r2 , b = l, c = s 又は a = r2', b = s, c = l 又は a = s, b = r2 , c = l 又は a = s , b = l , c = r2' でめる。 また、 (mod p) 及び (mod q) は、 それぞれ p及び Qを法とする演算であるこ とを示す。 (メ ッセージの復元) 上記暗号文 ( r 2, s ) を受信したユーザ B 6 3 0は、 既に通知されている公開 鍵 y A及びシステムパラメータ ( p, Q, g, a, b , c ) を用いて、 g s y A1"2' r 2= m (mod p) 式 1. 9 を計算することにより、 メッセージ mを復元する (S 6 5 0 ) 。 これは、 m― r 1 r 2 = k r 2 一 „ 2' ― g Γ 2 = sgxAr2' r 2 = gsy Λγ2" r 2 式 1. 1 0 となることから明らかである。 このように、 上記従来技術は、 それまで不可能であった、 離散対数問題を安全 性の根拠とする公開鍵暗号方式によるメッセージ復元型署名を可能にした点で画 期的なものある。 しかしながら、 上記従来技術には弱点が存在する。 つまり、 以下の 4つの型の 攻撃が存在する。 (signature- equation attack) 第 1に、 signature-equation attack (署名式攻撃) と呼ばれる攻撃が存在す る。 3 差替え用紙 (規則 26) これは、 もし、 偽造者がメ ッセージ mとその署名 ( r2. s ) との組を入手した とすると、 新たなメ ッセージ mgd (dは GF (p) の任意の元) を偽造し、 そ れに対して署名を行いユーザ Bに送信することができてしまうという攻撃である 具体的には、 偽造者は、 暗号文 ( r2、 s + d) をユーザ Bに送信すればよい 。 すると、 ユーザ Bは、 gs+d y Ar2' r 2 s τ 2' „ ~ d g y A r 2 g =m gd 式 1. 1 1 より、 メ ッセージ mgdが意味をなす文でれば、 ユーザ Aから送信されたと思 つてしまう。 つまり、 偽造者は秘密鍵 X Aを知ることなく、 新たなメ ッセージ m gdの署名に成功する。 (homomorphism attack) 第 2に、 homomorphism attack (準同型攻撃又は選択平文攻撃) と呼ばれる攻 撃が存在する。 これは、 もし、 偽造者が選んだメッセージ mmをユーザ Aに署名させ、 その m mに対応した署名を入手できる場合には、 その偽造者はユーザ Aになりすまして 所望のメ ッセージ m m g dの署名に成功するという攻撃である。 これが可能となるのは、 上記署名式攻撃の場合と同じ理由による。 但し、 偽造 者が所望のメ ッセージ m m g dに対して署名できる点で異なる。 (redundancy attack) 第 3に、 redundancy attack (冗長攻撃) と呼ばれる攻撃が存在する。 これは、 もし、 偽造者がメッセージ mとその署名 ( 1- 2, s ) との組を入手した とすると、 以下の式を満たす新たなメッセージ mmの署名に成功するという攻撃 である。 r r2= r2' + n Q (≠ r 2 ) 式 1. 1 2 mm= r r2x (m/ r2) 式 1. 1 3 具体的には、 偽造者は、 暗号文 ( r r2、 s ) をユーザ Bに送信すればよい。 すると、 ユーザ Bは、 4 差替え用紙 (規則 26) gsy Λγγ2' r r 2 = g s Y Ar2' r r 2 = ( m/ r 2) r r 2 = m m 式 1. 1 4 より、 メ ッセージ mmが意味をなす文であれば、 ユーザ Aから送信されたと思 つてしまう。 この冗長攻撃は、 署名式 (式 1 · 7 ) で用いられる r 2'と式 1. 6で算出され る r 2との間に冗長性があることに着目したものである。 (recovery-equation attack) 第 4に、 recovery-equation attack (再生式攻撃) と呼ばれる攻撃が存在する これは、 偽造者は予め通信することなく、 新たな任意の M (Mは G F (p) の 元) を用いて、 メッセージ MyAe ( eは G F ( p ) の元) の署名に成功するとい う攻撃である。 具体的には、 偽造者は、 以下の式を満たす r r 2と s sを決定し、 暗号文 ( r r2、 s s ) をユーザ Bに送信すればよい。 r r 2 = MyAu v 但し、 u、 vは G F (p) の元 式 1. 1 5 s s = - V 式 1. 1 6 e = r r 2 + u 式 1. 1 7 とすると、 ユーザ Bは、 -2- „ g Υ A 1 I 2 = g— v y AE— UM y Au g v =My Ae 式 1. 1 8 より、 メ ッセージ My Aeが意味をなす文でれば、 ユーザ Aから送信されたと思 つてしまう。 この攻撃は、 G F (p) の元 u, Vに対して、 以下の式 1. 1 9及び式 1. 2 0を満たす解が存在することに着目したものである。 r r 2 = MyAu v 式 1. 1 9 5 差替え用紙 (規則 26) v =— b Z a 但し、 a, bは { 1, r 2' , s } の元 式 1. 2 0 なお、 以上の 4つの攻撃の詳細は、 宮地 充子 「メ ッセージ復元型署名の弱点 1」 電子情報通信学会、 情報セキュリティ研究会、 1 9 9 5. 7月、 及び、 Nybe rg and Rueppel, A new signature scheme based on the DSA giving message recovery", 1st ACM Conf. on Comp. and Comm. Security, 1993 及び Nyberg and Rueppel, "Message recovery for signature schemes based on the discrete logarithmproblem", Advances in cryptology -Proceedings of Eurocrypt' 94, L ecture Notes in Computer Science, 950 (1995) , Springer-Varlag, 182-193 に詳しい。 以上のように、 従来のメ ッセージ復元型署名方式には 4つの攻撃が存在し、 一 定の条件を満たすメッセージの署名の偽造が可能となり、 従来方式はもはや安全 な方式とは言えない。 発明の開示 そこで、 本発明は上記従来技術の問題点に鑑みてなされたものであり、 上記 4 種類の攻撃に対して安全性を確保することができるメ ッセージ復元型署名装置を 提供することを目的とする。 上記目的を達成するために、 本発明に係るメ ッセージ復元型署名装置は、 Pを 素数、 gを元、 その位数を Qとする有限体 G F (p) 上での演算に基づき、 離散 対数問題を安全性の根拠とし、 メ ッセ一ジ mに対して秘密鍵 χΑを用いて、 メ ッ セージ復元が可能な署名を行う装置であって、 乱数 kを生成する乱数生成手段と 、 関数 f 11 (k) = gkに従って前記乱数 kからコミ ッ トメント r!を生成するコ ミ ッ トメン ト生成手段と、 GF (p) X G F (p) から GF ( p ) への写像を行 う関数 f 12 ( r a, m) に従って前記コミ ッ トメント r 及び前記メ ッセージ mか らマスク トメ ッセージ r 2を生成するメ ッセージマスク手段と、 関数 f 13 ( r2, x A) に従って前記マスク トメッセージ r 2及び秘密鍵 χΑから署名 sを生成する 署名生成手段とを備え、 前記関数 f 12 ( r m) は、 公開鍵 yAを gxAとし、 t, j, eを有限環 Zq= { 0 , 1 , ·■·, Q— 1 } の元とするとき、 f 12 ( g y , m y Λ 6 差替え用紙 (規則 26) e) 及び f 12 ( gry Aj, m ge) において、 3変数 t, j, eが 2個の代数式で置き 換えられないという性質を有することを特徴とする。 これにより、 メ ッセージ mに替えて M ge又は M yAeと置いても、 r2= f l2 ( ) を満たす 3変数 t , j, eを決定することができない。 また、 写像 f の逆写像 f 一1は、 任意の 2変数関数 0、 に対して f -1 ( r i/g, r 2) ≠ ø (m, g ) 及び f 一1 ( r i/ y A, r 2) ≠ φ ( m, y A) となる。 よって、 再生攻撃と準同型攻撃が回避される。 また、 上記署名生成手段は、 有限環 Zqを { 0, 1, ···, q - 1 } とし、 関数 ha, hb, heを Zqx Zqx Z qから Z qへの写像を行う関数とするとき、 式 ha ( r 2 , s, 1 ) k = hb ( r2', s, 1 ) + hc ( r2', s, l ) x A ( mod q) を満たす署名 sを算出し、 関数 ha, hb, heは、 予め固定された小数値を除ぐ 有限環 Zqの任意の元 r r 2'、 s sに対して、 次の 2つの条件
1. ha ( r 2', s, l ) = ha ( r r 2', s s, l ) 、 hc ( r2', s, l ) = hc ( r r 2' , s s , 1 ) のとき、
hb ( r2', s, l ) — ha ( r2', s, l ) ≠ hb ( r r2', s s, l )
2. ha (' r 2' , s , 1 ) = ha ( r r2', s s, l ) 、 h b ( r 2' , s , 1 ) = h b ( r r 2' , s s, 1 ) のとき、
he ( r 2' , s , 1 ) - ha ( r 2' , s , 1 ) ≠ hc ( r r2', s s, l )
を満たすとすることができる。
これにより、 メッセージ m gdに対する署名を試みた場合であっても、 その署 名式を満たす r r2及び s sは存在しない ( 0となってしまう) 。 よって、 署名 式攻撃が回避される。
また、 前記メ ッセージマスク手段により生成されたマスク トメ ッセージ r 2
0 < r 2< Q
を満たすか否かを判断する判断手段と、 前記条件を満たさないと判断された場 合には前記乱数生成手段による新たな乱数 kの生成と前記コミ ッ トメン 卜生成手 段によるコミ ッ トメント r!の生成と前記メ ッセージマスク手段によるマスク ト
7 差替え用紙 (規則 26) メ ッセージ r 2の生成とを繰り返させる繰り返し手段とを付加することもできる これにより、 r 2と r 2'との値の間に存在した冗長性が排除される。 よって、 冗長攻撃が回避される。
また、 上記 G F ( p ) に替えて G F ( ρ Γ) 上で定義されるメッセージ復元型 署名装置とすることもできる。
さらに、 上記 G F ( ρ ) に替えて楕円曲線 E ( G F ( ρ Γ) や Ε ( g F (' pつ ) 上で定義されるメ ッセージ復元型署名装置とすることもできる。 これにより、 メッセージ復元型署名及び復元処理の高速化、 安全性の強化、 実現回路 · ソフ ト ウェア規模のコンパク ト化が図られる。 図面の簡単な説明
図 1は、 本発明に係るメッセージ復元型署名装置を採用含む商品取引システム の第 1実施例の構成図である。
図 2は、 本発明に係るメ ッセージ復元型署名装置 (ユーザ A ) 5 1 0の詳細な ハードウエア構成図である。
図 3は、 管理センター 5 2 0の詳細なハ一ドウヱァ構成図である。
図 4は、 メ ッセージ復元装置 (ユーザ B ) 5 3 0の詳細なハードウヱァ構成図 である。
図 5は、 同実施例におけるメッセージ復元型署名のアルゴリズム及び通信のや りとりを示すシーケンス図である。
図 6は、 第 2実施例におけるメ ッセージ復元型署名のアルゴリズム及び通信の やりとりを示すシーケンス図である。
図 Ίは、 第 3実施例における管理センター 1の構成を示すプロック図である。 図 8は、 同実施例におけるメ ッセージ復元型署名装置 (ユーザ A ) の構成を示 すブロック図である。
図 9は、 図 8における S K部 3 8の詳細な構成を示すプロック図である。 図 1 0は、 同実施例におけるメ ッセージ復元装置 (ユーザ B ) の構成を示すブ ロック図である。
8 差替え用紙 (規則 26) 図 1 1は、 従来のメ ッセージ復元型署名の手順を示すシーケンス図である。 発明を実施するための最良の形態
以下、 本発明に係るメ ッセージ復元型署名装置について図面を用いて詳細に説 明する。
(第 1実施例)
図 1は、 本発明に係るメッセージ復元型署名装置を採用含む商品取引システム の第 1実施例の構成図である。
本システムは、 商品取引を通信で行うための管理をする管理センター 5 2 0、 商品の発注者であるユーザ A 5 1 0、 商品の販売店であるユーザ B 5 3 0、 その 他のユーザ及びそれらを接続する公衆網 5 4 0とから構成される。 本システムで は、 安全な取引を確保するために、 商品の注文に際して、 暗号を用いたメ ッセ一 ジ復元型署名が行われる。
ユーザ A 5 1 0は、 本発明に係るメッセージ復元型署名装置であり、 図 2のハ 一ドウヱァ構成図で示されるように、 内部バス 5 1 6で接続された送受信部 5 1 1、 プロセッサ 5 1 2、 入力部 5 1 3、 システムパラメータ記憶部 5 1 4及び乱 数発生部 5 1 5からなる。
送受信部 5 1 1は、 モデム等の通信ィンタフェースであり、 公衆網 5 4 0と内 部バス 5 1 6とを接続する。
プロセッサ 5 1 2は、 C P U等であり、 内部に演算部 5 1 2 a及び本装置 5 1 0に固有の制御プログラムが格納された制御 R O M 5 1 2 bを備え、 各構成部を 制御すると共に、 後述する手順に従った署名のための演算及び送信制御を行う。 入力部 5 1 3は、 キ一ボードゃ Iノ0ポ一ト等であり、 秘密鍵 χ Λ及びメ ッセ ージ mを受け付ける。
システムパラメ一夕記憶部 5 1 4は、 R A M等であり、 管理センター 5 2 0か らダウンロードしたシステムパラメータを一時的に記憶する。 なお、 システムパ ラメータとは、 本システムで採用されているメ ッセージ復元型署名に必要とされ るパラメータをいい、 一般に公開されている値である。
乱数発生部 5 1 5は、 プロセッサ 5 1 2から指定された範囲の正整数の乱数を
9 差替え用紙 (規則 26) 発生する。
管理センター 5 2 0は、 システムパラメ一夕を管理する装置であり、 図 3のハ 一ドウエア構成図に示されるように、 内部バス 5 2 4で接続された送受信部 5 2 1、 プロセッサ 5 2 2及びシステムパラメータ記憶部 5 2 3からなる。
送受信部 5 2 1は、 モデム等の通信ィンタフェースであり、 公衆網 5 4 0と内 部バス 5 2 4とを接続する。
プロセッサ 5 2 2は、 C P U等であり、 内部に演算部 5 2 2 a及び本装置 5 2 0に固有の制御プログラムが格納された制御 R O M 5 2 2 bを備え、 各構成部を 制御すると共に、 後述する手順に従つた各ユーザごとの公開鍵の作成及びシステ ムパラメータの配信を行う。
システムパラメ一夕記憶部 5 2 3は、 R O M等であり、 本システムに係るメ ッ セージ復元型署名のシステムパラメ一夕を予め記憶している。
ユーザ B 5 3 0は、 ユーザ A δ 1 0から送られてきたメ ッセージを復元する 装置であり、 図 4の ドウエア構成図に示されるように、 送受信部 5 3 1、 プ 口セッサ 5 3 2、 システムパラメ一夕記憶部 5 3 3及び表示部 5 3 4からなる。 送受信部 5 3 1は、 モデム等の通信ィンタフエースであり、 公衆網 5 4 0と内 部バス 5 3 5とを接続する。
プロセッサ 5 3 2は、 C P U等であり、 内部に演算部 5 3 2 a及び本装置 5 3 0に固有の制御プログラムが格納された制御 R O M 5 3 2 bを備え、 各構成部を 制御すると共に、 後述する手順に従ったメ ッセージの復元を行う。
システムパラメータ記憶部 5 3 3は、 R A M等であり、 管理センター 5 2 0か らダウンロードしたシステムパラメ一夕を一時的に記憶する。
表示部 5 3 4は、 C R T等であり、 復元されたメ ッセージを表示する。 ユーザ B 5 3 0は、 表示部 5 3 4に表示された復元メ ッセージを見て、 それが意味ある 文であれば、 真のユーザ A 5 1 0からのメ ッセージ (注文書) であると認証する 公衆網 5 4 0は公衆電話網や I S D N等であり、 本システムでの通信にはこの 公衆網 5 4 0を物理層とし T C V / I Pを中間プロ トコル層とするィンタネッ ト が用いられている。
10 差替え用紙 (規則 26) 次に、 以上のように構成された本システムにおける動作について説明する。 図 5は、 本システムにおけるメッセージ復元型署名のアルゴリズム及び 3者 ( ユーザ A 5 1 0、 管理センター 5 2 0及びユーザ B 5 3 0 ) 間での通信のやりと りを示す図であり、 従来方式の図 1 1に対応する。
(システム条件)
本システムにおけるメッセージ復元型署名のシステム条件は以下の通りである 本システムのメッセージ復元型署名は、 離散対数問題を安全性の根拠とする公 開鍵暗号方式の一つであり、 P ( 5 1 2ビッ ト長) を素数、 gを元、 その位数を q ( 2 5 6ビッ ト長) とする有限体 GF (p) 上での演算に基づく ものである。 但し、 素数 Pと位数 Qの大きさがほぼ同じとなるよう、 即ち、 P〜 Qとなるよう 決定しておく。
G F (p) - G F (p) から GF (p) への写像 f (;) を、
f ( r 1, m) = r i + m (mod p) 式 2. 1
と定義し、 その f の逆写像 f —1
f -1 ( r 1, f ( r 1, m) ) = f ( r 1, m) - r 1
=m 式 2. 2
と定義する。
なお、 メ ッセージ mとは、 例えば、 「商品 A B Cを注文します。 私の識別コー ドは 1 2 3 4です。 」 を Shift-JIS等の文字コードで表現した場合の 2進数を連 結した一つの値である。
また発注者が用いる署名式を、
ha ( r 2' , s , 1) k = hb ( r2', s, l) + h c ( r 2' , s , 1) x A (mod q
) 式 2. 3
と定義する。 ここで、 ha, hb, hcは、 Zq= { 0, 1 , ···, q - 1 } とするとき、 Zqx Zqx Zq力、ら Zqへの写像であり、 本実施例では、
ha ( r 2' , s , 1) =s 式 2. 4
h b ( r 2' , s , 1) = r 2' +s + 1 ( mod q) 式 2. 5 he ( r 2' , s , 1) = r 2' 式 2. 6
11
差替え用紙 (規則 26) とする。
なお、 以上のシステム条件を規定するシステムパラメ一夕 (p, Q, g, f , ha, hb, he) は、 管理センター 5 2 0のシステムパラメ一夕記憶部 5 2 3に予め記 憶されている。
(公開鍵の生成)
まず、 管理センター 5 2 0は、 ユーザ A 5 1 0から通信又は親展書簡等で予め 通知されている ( S 5 5 0 ) ユーザ Aの秘密鍵 X A及び G F ( p ) の元 gを用い て、 以下の式に従ってユーザ Aの公開鍵 yAを生成する ( S 5 5 1 ) 。
yA= gxA 式 2. 7
具体的には、 プロセッサ 5 2 2は、 制御 ROiM 5 2 2 bに格納されたプログラ 厶に従って、 送受信部 5 2 1等を介して受け取ったユーザ A 5 1 0の秘密鍵 x,、 とシステムパラメータ記憶部 5 1 4から読み出した gを用いて、 演算部 5 2 2 a において上記べき乗演算を行う。
その後、 管理センター 5 2 0は、 上記システムパラメータ (p, q, g, f , ha, hb, he) をュ一ザ A 5 1 0に、 システムパラメ一夕 ( p, Q, g, f , ha, hb, he ) とユーザ Aの公開鍵 yAをユーザ B 5 3 0に公開する (S 5 5 2、 S 5 5 3 )
(署名と送信)
次に、 ユーザ A 5 1 0は、 以下の手順 (;ステップ S 5 5 4〜S 5 5 9 ) に従つ て、 メ ッセージ mの署名と送信を行う。
[ステップ S 5 5 4 ]
まず、 システムパラメ一夕を受け取ったユーザ A 5 1 0は、 それをシステムパ ラメータ記憶部 5 1 4に格納した後、 ユーザ B 5 3 0に商品を注文するために、 まず、 乱数 k ( 5 1 2ビッ ト長) を生成する。
具体的には、 プロセッサ 5 1 2は、 制御 ROM5 1 2 bのプログラムに従って 、 送受信部 5 1 1を介して受け取ったシステムパラメータをシステムパラメータ 記憶部 5 1 4に格納し、 続いて、 乱数発生部 5 1 5に GF (p) 上の乱数 kを 1 個発生させて受け取る。
[ステップ S 5 5 5 ]
12 差替え用紙 (規則 26) そして、 ユーザ A 5 1 0は、 以下の式よりコミ ッ トメント r を算出する。 r != gk (mod p) 式 2. 8
具体的には、 プロセッサ 5 1 2は、 制御 ROM 5 1 2 bのプログラムに従って 、 システムパラメ一夕記憶部 5 1 4から gを読み出し、 上記ステップで受け取つ た乱数 kとを用いて、 演算部 5 1 2 aにおいて pを法とする上記べき乗計算を行 o
[ステップ S 5 5 6]
続いて、 ユーザ A 5 1 0は、 以下の式より r2を算出する。
r 2= f ( r i m)
= r l + m (mod p) 式 2. 9
具体的には、 プロセッサ 5 1 2は、 入力部 5 1 3力、らメ ッセージ mを受け取り 、 上記ステップ S 5 5 5で算出された r iとを用いて、 演算部 5 1 2 aにおいて Pを法とする加算を行う。
[ステップ S 5 5 7]
プロセッサ 5 1 2は、 制御 ROM 5 1 2 bのプログラムに従って、 1~ 2と ^を 比較し、 q≤ r 2であれば、 上記ステップ S 5 5 4〜S 5 5 6を繰り返す。
[ステップ S δ 5 8 ]
一方、 r 2< qであれば、 ユーザ A 5 1 0は、 以下の署名式、
h a (' r 2 , s,丄 k = h b ( r 2 , s , 1) + h c ( r 2" , s , 1) x A ( mod q) 式 2. 1 0
即ち、
s k = ( r 2 + s + 1 ) + r 2 x A (mod q) 式 2. 1 1 より、 sを算出する。
具体的には、 プロセッサ 5 1 2は、 入力部 5 1 3を介して秘密鍵 X Aを受け取 り、 演算部 5 1 2 aにおいて、 Qを法として、 上記 sを算出する。
[ステップ S 5 5 8]
最後に、 ユーザ A 5 1 0は、 暗号文 ( r 2, s ) をユーザ Bに送信する。
具体的には、 プロセッサ 5 1 2は、 送受信部 5 1 1を介して、 暗号文 (; 1- 2, s ) をユーザ B 5 3 0に送信する。
13
差替え用紙 (規則 26) (メ ッセージの復元)
[ステップ S 5 6 0 ]
システムパラメータ及び暗号文 ( r 2、 s ) を受信したユーザ B 5 3 0は、 r 2 と Qを比較する。
具体的には、 プロセッサ 5 3 2は、 制御 ROM 5 3 2 bに格納されたプログラ ムに従って、 送受信部 5 3 1を介して受け取った暗号文 ( r 2. s ) を内部に一時 的に保持し、 演算部 5 3 2 aにおいて、 システムパラメ一夕記憶部 5 3 3から読 み出した Qと r 2とを比較する。
[ステップ S 5 6 1 ]
その結果、 Q≤ r2であれば、 ユーザ B 5 3 0は、 この署名を拒絶する。
具体的には、 プロセッサ 5 3 2は、 ユーザ A 5 1 0から受け取った暗号文 ( r 2、 s ) の復元が失敗した旨を表示部 5 3 4に表示する。
[ステップ S 5 6 2 ]
一方、 r 2く Qであれば、 ユーザ B 5 3 0は、 以下の式、
= gk
= g^2 + s + ° syA r2/s (mod p) 式 2. 1 2 を用いて i- iを算出し、 その Γ ιと以下の式、
f 一 、 r i、 r 2) = m (mod p) 一 式 2. 1 3
を用いてメ ッセージ mを復元する。 つまり、
m = f — 1 ( r i、 r 2)
2一 g
= r 2— g r2^ -2
y A 式 2. 1 4
より、 メッセージ mを算出する。
具体的には、 プロセッサ 5 3 2は、 管理センター 5 2 0から予め通知されてい るシステムパラメータとユーザ A 5 1 0の公開鍵 y Aを用いて、 演算部 5 3 2 a においてメ ッセージ mを復元し、 その結果を表示部 5 3 4に表示する。 ユーザ B は、 表示されたメ ッセージが意味のある注文書であれば、 ユーザ A 5 1 0からの 正式なものであると認証する。
14 差替え用紙 (規則 26) 次に、 以上のような本実施例に係るメッセージ復元型署名によれば、 従来の問 題点が解消される点について説明する。
r iと mから! " 2への写像に着目すると、 従来方式では、 式 1. 5より、 より、
m = r 2 r 1
= r 2gsy Αγ2' 式 2· 1 5
であるから、 m = M ge (又は M yA e) 、 r 2= Μ g y A j (但し、 t, j, eは Zqの元) と置くと、
ge= gs + tyA r2'り' 式 2. 1 6
となり、 3変数 t , j , eを 2個の代数式で置き換えられる。 つまり、 から r 2への写像が準同型である。
一方、 本実施例では、 式 2. 9より、 r iから r 2への写像が準同型ではなく、 Zqの元 t , j, eに対して、 f (g y , myA e) 及び f ( g ¾y A J, m ge) に おいて、 3変数 t , j, eを 2個の代数式で置き換えられない。 条 件 1
つまり、 メッセージ mに替えて Mge又は MyA eと置いても、 r2= f () を満 たす 3変数 t, j , eを決定することができない。
また、 写像 f の逆写像 f —1は、 式 2. 2で定義されるので、 任意の 2変数関数 φ、 øに対して
f -1 ( r i/g, r 2) ≠ <^ (m, g ) 及び
f _1 ( r i/y A, r 2) ≠ (m, y A) 式 2. 1 7 となる。
よって、 再生攻撃と準同型攻撃が回避される。
また、 署名式に着目すると、 係数 ( a, b, c ) は、 従来方式では、 式 1. 8に 示されるように ( r 2' , s, 1) の置換であるが、 本実施例では、 写像 ha, lib, h cを用いて決定されている。 そして、 これら写像 ha, hb, heは、 r2',sを Zqの 元とするとき、 予め固定された少数値をのぞく全ての r r2',ssに対して、 次の 二つの条件を満たす。
1. h a ( r 2' , s , 1) = h a ( r r 2' , s s , 1) , h c ( r 2' , s, l) = h c (
15 差替え用紙 (規則 26) r r2', s s, l) のとき
hb ( r2', s, l) - ha ( r2', s, l) ≠ hb ( r r2', s s, l) 一一 一 式 2. 1 8
2. ha ( r 2' , s , 1) = ha ( r r2', s s, l) , hb ( r2', s, l) = h b ( r r 2', s s, 1) のとき
hc ( r2', s, l) -ha ( r2', s, l) ≠ hc ( r r2', s s, l)
一 式 2. 1 9
従って、 本実施例の署名式 (式 2. 1 0及び式 2. 1 1 ) から明らかなように 、 メ ッセージ mgdに対する署名を試みた場合であっても、 その署名式を満たす r r2及び s sは存在しない (0となってしまう) 。 よって、 署名式攻撃が回避 される。
さらに、 この本実施例の署名式は、 従来から存在する比例関係を用いた解読に 対しても、 署名式が 2項に分解されることがないので強い。 なお、 従来から存在 する比例関係を用いた比例攻撃に付いては、 L. Harn and Y. Xu, "Design of gen eralised ElGamal type digital signatureschemes based on discrete logarit hm", Electron. Lett. , Vol. 30 ( 1994) , 2025-2026. に詳しい。
また、 r 2の値に着目すると、 従来方式では、 式に示されるように r2 'との間 に冗長性があつたが、 本実施例では、 r 2の値は Q未満となるよう制限されてい る。
従って、 式 1. 1 2を満たす r r 2は存在しない。 よって、 冗長攻撃は回避さ れる。
以上のように、 本実施例に係るメッセージ復元型署名装置により、 従来方式に 存在した 4つの攻撃が回避される。
なお、 本実施例において、 関数 f は r i + mであったが、 本発明はこれに限定 されるものではなく、 上記条件 1を満たす写像であれば他の内容でもよい。 但し 、 r i + mのように計算量が小さい写像にすることが望ましい。
また、 ha, hb, he に関しても、 本実施例の写像に限られず、 上記式 2. 1 8 及び式 2. 1 9を満たす写像であればよい。 なお、 従来から存在する比例関係を 用いた解読に対しても強くなるように、 やはり計算量が小さい写像にすることが
16
差替え用紙 (規則 26) 望ましい。
また、 上記従来方式とは異なるメッセージ復元型署名 (例えば、 ElGamal署名 ) に対しても上記の写像 ha, hb, heを付加することで、 同様の効果がある。 また、 本実施例は有限体 GF (p) 上での演算に基づくメ ッセージ復元型署名 方式であつたが、 これを、 Pを素数、 1-を正整数、 gを元、 その位数を Qとする 有限体 GF ( ρΓ) 上での演算に基づくメッセージ復元型署名方式と一般化する こともできる。 ρが素数であれば G F (ρΓ) も有限体を構成するからである。 但し、 この場合には、 GF ( ρΓ) から有限環 Ζ ρΓ= { 0, 1,···, ρ1"-1} への 写像を行う関数 7Γを導入し、 上記ステップ S 5 5 8での署名式の r 2に替えて、 上記ステップ S 5 5 7で得られた r 2に対して関数; rにより変換した後の値 7Γ (; r 2) を用いればよい。 つまり、 本実施例は、 有限体 G F ( ρΓ) 上で定義される 署名方式のうち r = 1という特別な場合に相当する。
なお、 関数 7Γの具体例として、 {αΐ, ひ 2, ···, «]:} を G F ( pr) の GF ( p ) 上の基底とし、 { X 1, x2. ···, xr} を G F ( p ) の元とするとき、 GF ( ρ Γ ) の元 χ = χ 1 α 1 +… + χ rひ rに対して、
π ( X ) = X 1+ χ2ρ + ···+ xrpr_1 式 2. 2 0 と定義されるものがある。
さらに、 本実施例の署名方式は、 メ ッセージ mに署名する代わりに、 mにハツ シュ関数を施したハツシュ値に対して署名し、 その署名をメ ッセージと共に送信 し、 ハツシュ値が正しく復元されることをチェックすることで署名を確認すると いう署名方式としても用いることができる。
(第 2実施例)
次に、 本発明に係るメ ッセージ復元型署名装置を含む商品取引システムの第 2 実施例について説明する。
本システムの基本的な構成は第 1実施例と同じである。
但し、 本システムで採用されているメッセージ復元型署名の方式が第 1実施例 の場合と異なる。 従って、 ユーザ A 5 1 0の制御 R OM 5 1 2 b及びシステムパ ラメ一夕記憶部 5 1 4、 管理センタ一 5 2 0の制御 R OM 5 2 2 b及びシステム
17 差替え用紙 (規則 26) パラメ一タ記憶部 5 2 3、 ユーザ B 5 3 0の制御 R OM 5 3 2 b及びシステムパ ラメ一夕記憶部 5 3 3の内容が第 1実施例の場合と異なる。 以下、 第 1実施例と 異なる点を中心に説明する。
図 6は、 本システムにおけるメ ッセージ復元型署名のアルゴリズム及び 3者 ( ユーザ A 5 1 0、 管理センター 5 2 0及びユーザ B 5 3 0 ) 間での通信のやりと りを示す図であり、 第 1実施例の図 5に対応する。
(システム条件)
本システムにおけるメ ッセージ復元型署名のシステム条件は以下の通りである 本システムのメ ッセージ復元型署名は、 離散対数問題を安全性の根拠とする公 開鍵暗号方式の一つであり、 Pを素数とする有限体 G F (p) 上で定義される楕 円曲線 E (G F ( p ) ) 上の演算に基づく ものである。
ここで、 楕円曲線とは、 一般に、 y2= x3+ a X + bで表される関数をいい、 E (GF ( p ) ) とは、 G F ( p ) の元 (x, y) であって楕円曲線上の点 ( x 座標、 y座標) の集まりをいう。 また、 楕円曲線 E (G F ( p ) ) における離散 対数問題とは、 Q、 Gを E (G F (p) ) の元とするとき、
Q = d G 式 3. 1
を満たす自然数 dを求める問題をいい、 例えば、 Gや pが 3 0桁程度の 1 0進 数であれば、 極めて難しい問題である。 つまり、 楕円曲線 E CG F (p) ) 上で の離散対数問題は、 同じ桁数の数値を扱うのであれば、 有限体 G F (p) 上での それに比較し、 はるかに困難である。 言い換えると、 同じ程度の安全性を確保す るために必要とされる桁数は、 楕円曲線の場合のほうが少なくて済む (例えば、 G F ( p ) の 1 0 2 4ビッ トに対して E (G F ( p ) ) の 1 6 0ビッ ト) 。
なお、 本実施例では、 定義体 G F (p) の pと Gの位数が等しくなるような楕 円曲線を用いる。
署名式は、
h a (. r 2' s , 1) k = h b (: r 2', s , 1) + h c ( r 2', s , 1) x A ( mod q
) 式 3. 2
と定義する。 こで、 h a, h b, h cは、 G F ( p ) x G F ( p ) χ G F (; p )
18 差替え用紙 (規則 26) から G F ( p ) への写像であり、 本実施例では、
ha ( r 2' , s , 1) =s 式 3. 3
h b ( r 2' , s , 1) = r 2' +s+ 1 (mod q) 式 3. 4 he ( r 2* , s , 1) = r 2' 式 3. 5
とする。
(公開鍵の生成)
まず、 管理センター 5 2 0は、 予め通知されているユーザ Αの秘密鍵 χΛを用 いて (S 64 0 ) 、 以下の式に従ってユーザ Aの公開鍵 ΥΛを生成する (S 5 7
1 ) ο
XAG 式 3. 6
その後、 管理センター 5 2 0は、 上記システムパラメ一夕 (p, E, G, ha, hb , he) をユーザ A 5 1 0に、 システムパラメ一夕 (p, E, G, ha, hb, he) とュ 一ザ Aの公開鍵 Y Aをユーザ B 5 3 0に公開する (S 5 7 2、 S 5 7 3) 。
(署名と送信)
[ステップ S 5 74 ]
システムパラメ一夕を受け取ったユーザ A 5 1 0は、 それをシステムパラメ一 夕記憶部 5 1 4に格納した後、 ユーザ B 5 3 0に商品を注文するために、 まず、 乱数 kを生成する。
[ステップ S 5 7 5 ]
そして、 以下の式よりコミ ッ トメント r!を算出する。
Ri = kG (mod p) 式 3. 7
なお、 上記式 3. 7の計算は楕円曲線 E (G F (p) ) 上でなされるものとす る。
[ステップ S 5 7 6 ]
続いて、 以下の式より r2を算出する。
Figure imgf000021_0001
= m/ x (Ri) (mod p) 式 3. 8
ここで、 x (R^ は、 点 Riの x座標を意味する。
[ステップ S 5 77 ]
19 差替え用紙 (規則 26) そして、 以下の署名式、
ha ( r 2' , s , 1) k = h b ( r 2' , s , 1) + h c ( r 2' , s , 1) A (mod p) 式 3. 9
即ち、
s k = ( r2+ s + l ) + Γ 2 Χ Α (mod p) 式 3. 1 0 より、 sを算出する。
[ステップ S 5 7 8 ]
最後に、 暗号文 ( r2, s ) をユーザ Bに送信する。
(メ ッセージの復元)
システムパラメ一夕及び暗号文 ( r 2、 s ) を受信したユーザ B 5 3 0は、 以 下の式、
= ( ( r2+s + l) /s ) G+ ( r2/ s ) YA 式 3. 1 1 を用いて を算出し、 その と以下の式、
(R i) r2 = m 式 3. 1 2
を用いてメ ッセージ mを復元する (S 5 79 ) 。 つまり、
m = C R 1) r 2
= x k G) r 2
= x ( ( ( r 2 + s +1) / s ) G + (. r 2Z s ) YA) r 2
式 3. 1 3
より、 メ ッセージ mを復元する。
その結果、 メ ッセージ mが意味のある注文書であれば、 ユーザ A 5 1 0からの 正式なものであると認証する。
なお、 本実施例に係るメ ッセージ復元型署名によれば、 従来方式における 4つ の攻撃が回避されるが、 その根本的な理由は第 1実施例の場合と同じである。 但 し、 本実施例のメ ッセージ復元型署名装置は、 有限体 G F (p) 上ではなく、 楕 円曲線 E CG F ( p ) ) 上で定義される点で、 その点に基づく相違がある。 即ち 本実施例のメ ッセージ復元型署名によれば、 コミ ッ トメン卜 R ίが従来方式の
20 差替え用紙 (規則 26) 式 1. 5のように直接メ ッセージ mに関与するのでなく、 式 3. 8のように X座 標を通して関与している。 この関数 Fは、 GF ( p ) の元 g, y Λ, m及び Zq= { 0, 1, ···, q - 1 } の元 t, j, eに対し、 F (tG + j YA, m x x ( e YA) ) 及び F (tG + j YA, m X X (eG) ) において、 3変数 t , j , eが 2個の代数式で置 き換えられないという性質を有する。 条件 2
また、 E (G F ( p ) ) の元 R G, YA及び G F ( p ) の元 r2, mに対し、 r2 = F (Ri, m) の逆像を、
m= F -1 (R 1, r 2) 式 3. 1 4
で定義するとき、 任意の 2変数関数 0、 0に対し、
F— 1 ( R i-G, r 2) ≠ φ (m, G) 及び
F"1 (R I-YA, Γ 2) ≠φ (m, ΥΑ) 式 3. 1 5 となる。 よって、 再生式攻撃と準同型攻撃が回避される。
また、 本実施例のメ ッセージ復元型署名によれば、 従来方式の式 1. 8のよう に署名式の係数 ( a, b, c ) 力 ( r2, s, l) の置換という形ではなく、 写像 h a, hb, heを用いて決定されている。 この写像 ha, h b, he力く r 2, sを Zqの元と するとき、 予め固定された少数値をのぞく全ての r r2', s sに対して、 次の二 つの条件を満たす。
1. ha ( r 2' , s , 1) = ha ( r r2', s s , l) , hc ( r2', s, l) = h c (: r r 2* , s s , 1) のとき、
h b ( r 2' , s , 1) -ha ( r 2' , s , 1) ≠ hb ( r r2', s s,l) —— ― 式 3. 1 6
2. ha ( r 2' , s , 1) = h a ( r r 2', s s , 1) , h b ( r 2', s , 1) = h b ( r r 2' , s s , 1) のとき、
he ( r 2' , s , 1) -ha ( r 2' , s , 1) ≠ hc ( r r2', s s,l)
一 式 3. 1 7
よって、 署名式攻撃が回避される。 さらにこの署名式は従来から存在する比例 関係を用いた解読に対しても、 署名式が 2項に分解されることがないので強い。 また、 本実施例のような楕円曲線を用いると Gの位数が定義体 G F (p) の p と等しくなるので、 第 1実施例のように r 2の値を制限するステツプを付加する
21
差替え用紙 (規則 26) ことなく、 冗長攻撃を回避することができる。
なお、 上述の実施例は X座標を用いたが、 これは勿論、 条件 2を満たす他の写 像であれば何でもよい。 またこの際、 X座標のように計算量が小さい写像にする ことが望ましい。
同様に、 ha, hb, he に関しても、 上記式 3. 1 6及び式 3. 1 7を満たすも のであればよい。 この際、 従来から存在する比例関係を用いた解読に対しても強 くなるように、 さらに計算量が小さい写像にすることが望ましい。
また本実施例では、 定義体 GF (p) の pと Gの位数が等しくなるような楕円 曲線を用いたが、 通常の楕円曲線を用いても構成できる。 この時には第 1実施例 のように r 2を制限するステツプを付加する必要がある。
また、 上記従来方式とは異なるメ ッセージ復元型署名に対しても上記の写像 h a, hb, heを付加することで、 同様の効果がある。
また、 本実施例は E (GF (p) ) 上での演算に基づくメ ッセージ復元型署名 方式であつたが、 これを、 pを素数、 rを正整数、 Gを元、 その位数を Qとする E (GF (ρΓ) ) 上での演算に基づくメ ッセージ復元型署名方式と一般化する こともできる。 ρが素数であれば G F (ρΓ) も有限体を構成するからである。 但し、 この場合には、 G F (ρつ から有限環 Z pr= { 0, 1 ,…, pr" への 写像を行う関数 を導入し、 上記ステップ S 5 5 8での署名式の r 2に替えて、 上記ステップ S 5 5 7で得られた r 2に対して関数 7Γにより変換した後の値 7Γ ( r 2) を用いればよい。 つまり、 本実施例は、 E (G F (ρΓ) ) 上で定義される 署名方式のうち r = 1 という特別な場合に相当する。
さらに、 上記の署名方式は、 メ ッセージ mに署名する代わりに、 mにハッシュ 関数を施したハッシュ値に対して署名し、 署名をメッセージと共に送り、 ハツシ ュ値が正しく復元されることをチニックすることで署名を確認するという署名方 式としても用いることができる。
(第 3実施例)
次に、 本発明に係るメ ッセージ復元型署名装置を含む商品取引システムの第 3 実施例について説明する。
22
差替え用紙 (規則 26) 本システムは、 第 1実施例のシステムと同一の機能を有する。 但し、 各装置 5 1 0、 5 2 0、 5 3 0の実現手段が異なる。
具体的には、 第 1実施例のメ ッセージ復元型署名は、 各装置 5 1 0、 5 2 0、 5 3 0の制御 R OM 5 1 2 b、 5 2 2 b, 5 3 2 bに格納されたプログラムに従 つてプロセッサ 5 1 2、 5 2 2、 5 3 2が演算部 5 1 2 a、 5 2 2 a、 5 3 2 a において各種演算が行わせるというソフ トウエア的に実現されたが、 本実施例の メ ッセージ復元型署名は、 各装置 5 1 0、 5 2 0、 5 3 0に備えられた専用のハ 一ドウエアにより実現される。
従って、 本実施例では、 各装置 5 1 0、 5 2 0、 5 3 0の内部構成のみ説明す る。
図 7は、 第 1実施例における管理センター 5 2 0を専用のハードウエアで構成 した場合、 即ち、 本実施例の管理センター 1の構成を示すブロック図である。 この管理センター 1は、 秘密鍵作成要求受付部 1 1、 秘密鍵発生部 1 2、 公開 鍵作成部 1 3、 公開鍵公開部 1 4、 秘密鍵通知形態作成部 1 5及び秘密鍵通知部 1 6から構成される。
本図の下段には、 公開鍵作成部 1 3の詳細が示されている。
公開鍵作成部 1 3は、 gの 2" の pを法とする剰余を予め記憶する剰余記憶部 1 3 1、 その値を取り出す法取り出し部 1 3 2、 取り出した giのかけ算を行う 乗算部 1 3 3及びそのかけ算結果を pで割る割算部 1 3 4からなる。
上記各部の動作は以下の通りである。
秘密鍵作成要求受付部 1 1は、 各ユーザ (第 1実施例ではユーザ A ) からの固 有の秘密鍵の作成要求を、 ユーザのキーボードを使用しての操作等で受け付ける 。 秘密鍵発生部 1 2は、 秘密鍵作成要求受付部 1 1が受け付けた要求をもとに、 内蔵する乱数発生プログラムにより 2進数の乱数を発生させ、 これを当該ユーザ の秘密鍵とする。 なお、 本実施例では、 乱数の発生に際しては、 同一の乱数発生 を防止するために、 当該ユーザの公開ディジタル通信網上での識別番号をも組み 込んだものとしている。 公開鍵作成部 1 3は、 秘密鍵発生部 1 2の発生させた乱 数をもとに公開鍵を作成する。
公開鍵公開部 1 4は、 公開鍵作成部 1 3の作成した公開鍵をその作成要求をな
23 差替え用紙 (規則 26) したユーザ名と共に、 全ユーザに公開する。 これは、 通信網が正当性を承認した ユーザ名との公開鍵を対応して登録しておき、 各ユーザの問い合わせに回答する
。 秘密鍵通知形態作成部 1 5は、 各ユーザの秘密鍵をその操作ミス等で外部へ漏 出しないよう保護する。 秘密鍵通知部 1 6は、 秘密鍵を共有鍵の作成等の必要に 応じて使用しうるようにする。
次に、 公開鍵作成部 1 3による公開鍵の作成について説明する。
gの 2n の nを法とする剰余記憶部 1 3 1は、 g、 g2 、 g4 、 g8 …等 gの 2の累べき剰の pを法とする剰余 gl 、 g2 ···、 gi をあらかじめ計算して、 R OMに記憶している。 これを小さい数を例にとって具体的に示すと、 p = l 1、 g = 2ならば、 i = 〔 log21 1〕 = 3となり、 23く 1 1となるため、 g、 g 2 、 g4 として 2、 22 、 24 を、 更に対応する gl 、 g2 、 g4 として 2、 4、 5を記憶している。
法取り出し部 1 3 2は、 秘密鍵発生部 1 2から 2進数で表現された秘密鍵の通 知を受けると、 その値で 1が立つ桁に対応する g 1 、 2 、 ···、 gi を取り出す 。 小さい数を例にとって具体的に説明すると、 今 x a = 1 0 1 ( 1 0進の 5 ) と する。 1位と 3位 (各、 gの 2の 0乗と 2の 2乗) に 1が立っている。 このため gl と g4 、 すなわち 2と 5を取り出す。
乗算部 1 3 3は、 法取り出し部 1 3 2の取り出した法を掛け合わせる。 割算部 1 3 4は、 乗算部 1 3 3の乗算結果を nで割り、 その剰余を求める。 具体的数値 で示すならば、 2a= 25= 2 x 24= 2 x 5 = l 0 (mod 11) となる。 そして、 この剰余がユーザ Aの公開鍵とされる。 なお、 本実施例で gの累べきを剰を採用 しているのは、 g3 、 g5 等の法を採用するのよりも一般的に処理が速く、 演算 機等も 2進で作動することにあわせたものである。
図 8は、 第 1実施例におけるユーザ A 5 1 0を専用のハードウヱァで構成した 場合、 即ち、 本実施例のユーザ Aのメッセージ復元型署名装置の構成を示すプロ ック図である。
ユーザ Aは、 大きく、 r 2制御部 3 1、 2進乱数発生部 3 2、 !^演算部 、 通信文 (m) 入力部 34、 f 関数部 3 5、 q記憶部 3 6、 排除部 37及び S K部 3 8から構成される。
24 差替え用紙 (規則 26) r i演算部 3 3はさらに剰余記憶部 3 3 1、 法取り出し部 3 3 2、 乗算部 3 3 3及び割算部 3 3 4からなり、 f 関数部 3 5はさらに和算部 3 5 1及び割算部 3 5 2からなり、 排除部 3 7は Q読み出し部 3 7 1、 引き算部 3 7 2及び比較部 3 7 3からなる。
31<部3 8は、 さらに図 9にその詳細な構成が示されているように、 k— 1演 算部 3 8 1、 r 2+ 1演算部 3 8 2、 1~ 2 ;^演算部3 8 3、 r2+ l + r 2xA演算 部 3 8 4及び s計算部 3 8 5からなる。
上記各部の動作は以下の通りである。
r 2制御部 3 1は、 署名通信発信にあたり、 2進乱数発生部 3 2と m入力部 3 4の作用を調整、 制御し、 第 1実施例におけるステップ S 5 5 4〜 S 5 5 6に相 当する繰り返し処理をも行う。
通信文入力部 3 4は、 ユーザから入力されたメ ッセージを数値化する。
2進乱数発生部 3 2は、 コミ ッ トメント作成のためメ ッセージの発信毎に相異 なる乱数を発生をさせる。 このため、 発信日時等も乱数発生に使用される。
r i演算部 3 3は、 発生された 2進乱数 kをもとに r 1 = gk (mod p) の演算 により、 を求める。 このため、 管理センター 1における gの 2 " の pを法と する剰余記憶部 1 3 1、 法取り出し部 1 3 2、 乗算部 1 3 3、 割算部 1 3 4と同 じ構成作用をなす剰余記憶部 3 3 1、 法取り出し部 3 3 2、 乗算部 3 3 3、 割算 部 3 3 4を有している。
f 関数部 3 5は、 r i演算部 3 3で作成された r iと通信文入力部 3 4で数値化 された通信文 mをもとに、 メッセージマスク式 f を使用して、 r 2= f ( r i, m ) (mod p) の演算を行い、 r 2を求める。 このため、 (mod p) 上での r 2 = r i + mの和算を行う和算部 3 5 1と、 和の pを法とする剰余を求めるための での 割算を行う割算部 3 5 2とを内蔵している。
q記憶部 3 6は、 管理センタ一 1から通知された gをメモリーに記憶している 排除部 3 7は、 f 関数部 3 5から入力された r 2と Qとの大小比較を行い、 r 2 が Q以上となれば、 この旨を! "2制御部 3 1に通知する。
この通知を受けた、 1- 2制御部 3 1は、 2進乱数発生部 3 2に再度異なる乱数
25
差替え用紙 (規則 26) 発生をさせて、 先の r:と異なる r iを得、 これと通信文入力部 34に入力されて いる通信文 mとで f 関数部 35に f 関数を演算させ、 先と異なる r 2を求め、 更 に Qとの大小比較を行わせりるというプロセスを、 g— r 2が正となるまで繰り 返し実行させる。 また、 Q— r2が正となれば、 この r 2を S K部 38へ出力する 。 このため、 排除部 3 7は、 Q読み出し部 3 7 1と引き算部 3 7 2と比較部 3 7 3とを内蔵している。
つまり、 Q読み出し部 3 7 1は、 r 2の入力があると Q記憶部 3 6から Qの値 を読み出し、 引き算部 372に通知する。 引き算部 372は、 通知された Qから r 2の引き算を行う。 比較部 373は、 引き算部 372の求めた差が 0より小な らば r2制御部 3 1へこの旨通知する。 このため、 この値が正となるまで上述の 手順を繰り返し実行されることとなる。 また、 r 2が正ならば、 入力された 1- 2を そのまま S K部へ通知する。
SK部 38は、 署名式 s k = ( r 2+ s + 1 ) + r 2xa (mod p) の演算によ り、 送信対象となるメッセージを作成する。
つまり、 k _ 1演算部 3 8 1は、 2進乱数発生部 3 2にて発生され、 そしてそ れを使用して計算した r 2の値が Q未満という要件を充たすこととなった乱数 k から 1を引き去り、 結果 aを出力する。 r 2+ 1演算部 3 8 2は、 入力された r2 に 1を加える。 r 2xa 演算部 3 8 3は、 排除部 3 7から入力された r 2とユーザ から入力された X Aとの積を求める。 r 2+ 1 + r 2 x A演算部 3 8 4は、 r 2+ l 演算部 3 8 2から入力された r 2 + 1と r2xA演算部 3 8 3から入力された r2x Aとの和 bを求める。 s計算部 3 8 5は、 k一 1演算部 3 8 1が求めた aと r 2 + 1 + r 2x A演算部 3 8 4が求めた bとを使用して、 s . a = b (mod q) を充 たす sをユークソッ ドの互除法により求める。 そしてこの結果を図示されていな い送信部へ送る。
図 1 0は、 第 1実施例におけるユーザ B 5 3 0を専用のハードウヱァで構成し た場合、 即ち、 本実施例のユーザ B ッセージ復元装置の構成を示すブロック図 である。
ユーザ Bは、 受信部 4 1、 拒絶部 4 2、 Q記憶部 4 3、 y a記憶部 44、 r 2 記憶部 4 5、 s記憶部 4 6、 g記憶部 4 7、 r 2+ s + 1演算部 4 8、 y A 1/s (
26
差替え用紙 (規則 26) mod p) 4 9演算、 gs (mod p) 演算部 4 1 0、 y A r2/S (mod p) 演算部 4 1 1 、 gCr2 + 1 + s>/s (mod p) 演算部 4 1 2、 r x = g <r2 + 1 + s5/s y A r2 S (mod p)演 算部 4 1 3及び f 1関数部 4 1 4から構成される。
以上の各部の動作は以下の通りである。
受信部 4 1は、 ユーザ Aからの暗号文 ( r 2, s ) を受信する。
拒絶部 4 2は、 上記受信があった場合、 r2— Qを計算し、 正なら一応正当な ものとして続行する処理を行うべく他部にこの受信文を送るが、 正でなければこ の署名を拒否する。 このため、 送信側ユーザと同じく Q記憶部 4 3にあらかじめ Qを記憶している。 y A記憶部 44は、 管理センター 1より公開された y Aを、 あ らかじめメモリ一に記憶している。
g記憶部 4 7も、 同様に gを記憶している。
r 2記憶部 4 5は拒絶部 4 2がー応認署した r 2を記憶し、 s記憶部 4 6は同じ く sを記憶する。 なお、 r 2と sの区分けは、 別途定めた通信規約に基づきなさ れる。
r 2+ s + 1演算部 4 8は、 r 2記憶部 4 5と s記憶部 4 6からそれぞれ r 2と sを読み出し、 和算で r 2 + s + 1を求める。
y A 1 s (mod p) 演算部 4 9は、 y A記憶部 44から y Aを、 s記憶部 4 6から sを読み出して yA 1/s (mod p) を演算する。
g3 (mod p) 演算部 4 1 0は、 s記憶部 4 6から sを、 g記憶部 4 7から gを 読み出して、 g1/s (mod p) を演算する。
y A r2/S (mod p) 演算部 4 1 1は、 r 2記憶部 4 5から読み出した r 2と y A 1/s (mod p) を演算部 4 9から読み出した yA 1/s (mod p) をもとに, (yA 1/s) を r2乗し、 更にその pを法とする剰余を求める。
gCr2+1 + s /s (mod p) 演算部 4 1 2は、 r2+ s + 1演算部 4 1 8から r 2 + s + 1を読み出し、 g 1 3 (mod p) 演算部 4 1 0から読み出した g 1/3 (mod p) を r2 + s + 1乗し、 更にこの pを法とする剰余を求める。
r 1= g 2 + 1 + s)/syA r2/s (mod p) 演算部 4 1 3は、 y A r2/S (mod p) 演算 部 4 1 1の演算結果と g 2 + 1 + s /s (mod p) 演算部 4 1 2の演算結果とから、 r != gCr2 + 1 + s5/sy A r2/S (mod p) の演算により、 を求める。
27
差替え用紙 (規則 26) f 1 関数部 4 1 4は、 関数 f 1を使用して演算 r 2— r丄を行い、 メ ッセージお を復元する。
以上のように構成された本システムの動作は、 図 5に示される第 1実施例のシ 一ケンス図の通りであり、 説明を省略する。
なお、 第 1実施例に対する本実施例のような機能分割は、 第 2実施例に対して も同様に適用できることは言うまでもない。 即ち、 楕円曲線 E ( G F ( p ) ) 上 で定義されるメ ッセージ復元型署名についても、 G F ( p ) 上でのメ ッセ一ジ復 元型署名と同様に、 ソフ トウェア的及びハードウエア的に実現することが可能で ある。
以上の 3つの実施例等の説明から明らかなように、 本発明は従来方式に存在 した 4つの攻撃を回避できる安全性の高いメ ッセージ復元型署名であり、 かつ、 そのために付加される計算量は無視できる程のわずかである。 よって、 本発明の メッセージ復元型署名装置は、 インタネッ トゃ携帯電話等の通信技術が社会の基 板となっている今日及び将来において、 その実用的価値は極めて大きい。 産業上の利用可能性
電子マネー、 電子商品取引等の商業用ネッ トワークシステムを構成する通信端 末に本発明を適用することができる。 これにより、 通信による商取引の安全性が 確保され活発化される。
また、 特許出願人が特許庁に対して行うオンライン手続の如く、 内容を秘密に し、 かつ、 一定資格を有する発信者の証明 (署名か捺印) が必要とされる通信に 適用することができる。 これにより、 偽造者による不正は排除され、 手続が円滑 化される。
また、 携帯電話等のデジタル変調式無線機器等に適用することができる。 これ によって、 プライバシ一や情報機密を保持する権利が確保される。
さらに、 ィン夕ネッ トにおけるメイルやファイル転送等に適用することもでき る。 これによつて、 盗聴や偽造者による不正行為が排除され、 高度情報化社会に おける情報のセキュリティが確保される。
28
差替え用紙 (規則 26) 請 求 の 範 囲
1. pを素数、 gを元、 その位数を Qとする有限体 G F ( p ) 上での演算に基 づき、 離散対数問題を安全性の根拠とし、 メ ッセージ mに対して秘密鍵 χΑを用 いて、 メッセージ復元が可能な署名を行う装置であって、
乱数 kを生成する乱数生成手段と、
関数 f u ( k ) = gkに従って前記乱数 kからコミ ッ トメント を生成するコ ミ ッ トメント生成手段と、
G F (p) X G F ( p ) から GF ( p ) への写像を行う関数 f 12 ( r χ, m) に 従つて前記コミ ッ トメント r i及び前記メ ッセージ mからマスク トメッセージ r 2 を生成するメ ッセージマスク手段と、
関数 f (: r 2, X ) に従って前記マスク トメ ッセージ 及び秘密鍵 <,\から 署名 sを生成する署名生成手段とを備え、
前記関数 f 12 ( r m) は、 公開鍵 y Aを gxAとし、 t, j, eを有限環 Zq= { 0, 1, ·'·, q - 1 } の元とするとき、 f 12 ( j', m y Ae) 及び f 12 ( ^ y Aj . m ge) において、 3変数(;, j , eが 2個の代数式で置き換えられないという性 質を有することを特徴とするメ ッセージ復元型署名装置。
2. 前記関数 f 12 ( r m) は、 r 2= f 12 ( r m) の逆像を m= f 12 〔 r 1, r 2) とするとき、 任意の 2変数関数 0 () 、 () に対して、
f 12" 1 ( r 1 / g , r 2) ≠ Φ (m, g ) 及び
f 12" 1 ( r 1/ y , r 2) ≠ φ ( m, y A)
となることを特徴とする請求項 1記載のメ ッセ一ジ復元型署名装置。
3. 前記関数 f 12 ( r m) は、
f 12 r i, m) = r 1 + m
であることを特徴とする請求項 2記載のメ ッセージ復元型署名装置。
4. pを素数、 rを正整数、 gを元、 その位数を Qとする有限体 G F ( pr) 上での演算に基づき、 離散対数問題を安全性の根拠とし、 メ ッセージ mに対して 秘密鍵 χΛを用いて、 メ ッセージ復元が可能な署名を行う装置であって、
秘密鍵 X を記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
29
差替え用紙 (規則 26) 関数 f 14 (k) = gkに従って前記乱数 kからコミ ッ トメン ト r iを生成するコ ミ ッ トメ ン ト生成手段と、
G F (pつ X G F (pr) から GF ( p r) への写像を行う関数 f 15 ( r m ) に従って前記コミ ッ トメント r 及び前記メ ッセージ mからマスク 卜メッセ一 ジ r 2を生成するメ ッセージマスク手段と、
有限体 G F (pr) から有限環 Z ρΓ= { 0, 1 , ···, ρ1"-1} への写像を行う関数 f 16 r 2) に従って前記マスク トメッセージ r 2から変換後メ ッセージ rc2を生 成する変換後メッセージ生成手段と、
関数 f ( rc2 x A) に従って前記変換後メ ッセージ r c2及び秘密鍵 χΛから 署名 sを生成する署名生成手段とを備え、
前記関数 f 15 ( r m) は、 公開鍵 yAを gxAとし、 t , j eを有限環 Zq= { 0, 1 , ·■·, Q - 1 } の元とするとき、 f 15 ( g ty A j my A e) 及び f 15 ( g A j , m ge) において、 3変数 t , j , eが 2個の代数式で置き換えられないという性 質を有することを特徴とするメ ッセージ復元型署名装置。
5. 前記関数 f 15 ( r !, m) は、 r 2= f 15 ( r i, m) の逆像を m= f r , r 2) とするとき、 任意の 2変数関数 0 () 、 0 () に対して、
f is"1 ( r i/ g , r 2 ≠ Φ m g) 及び
f is"1 ( r i/ y A, r 2) ≠ φ ( m, y A)
となることを特徴とする請求項 4記載のメ ッセージ復元型署名装置。
6. 前記関数 f 15 ( r !, m) は、
f is ( r i, m) = r l + m
であることを特徴とする請求項 5記載のメッセージ復元型署名装置。
7. 前記関数 f 16 (x) は、 { α 1 α2 ar} を G F ( p1") の G F ( p ) 上の基底とし、 { xl, x2, '·· Χ Γ} を GF (p) の元とするとき、 G F ( ρΓ) の元 x = xlal + '''+ xrarに対して、
f 16 C X ) = xl+ x2p H 1- X r p Γ_ 1
であることを特徴とする請求項 4記載のメ ッセージ復元型署名装置。
8. ρを素数、 Ε () を有限体 GF (ρ) 上で定義される楕円曲線とし、 Gを 元、 その位数を Qとする E (G F (ρ) ) 上の演算に基づき、 離散対数問題を安
30
差替え用紙 (規則 26) 全性の根拠とし、 メッセージ mに対して秘密鍵 χΛを用いて、 メ ッセージ復元が 可能な署名を行う装置であって、
秘密鍵 X Λを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 Fu ( k ) = k Gに従って前記乱数 kからコミ ッ トメン を生成する コミ ッ トメント生成手段と、
E (G F ( p ) ) X G F (p) から GF (p) への写像を行う関数 F12 (Ri, m) に従って前記コミ ッ トメント 及び前記メ ッセージ mからマスク トメ ッセ ージ r 2を生成するメ ッセージマスク手段と、
関数 F13 ( r 2, XA) に従って前記マスク トメ ッセージ 2及び秘密鍵乂 から 署名 sを生成する署名生成手段とを備え、
前記関数 F 12 (Ri, m) は、 公開鍵 YAを xAGとし、 t, j, eを有限環 Zq = { 0 , 1 , ···, q - 1 } の元とするとき、 F 12 ( t G + j ΥΑ, m X ( e YAの x座標 ) ) 及び F 12 ( t G + j YA, mx ( e Gの x座標) ) において、 3変数 t , j , e が 2個の代数式で置き換えられないという性質を有することを特徴とするメッセ ージ復元型署名装置。
9. 前記関数 F 12 (R m) は、 r 2= F 12 (R m) の逆像を m= F 121 ( Ri, r 2) とするとき、 任意の 2変数関数 0 () 、 ø () に対して、
F 12- 1 CRi-G, r 2) ≠ φ (m, G) 及び
F 12 1 (Ri YA, r 2) ≠ φ (m, YA)
となることを特徴とする請求項 8記載のメッセージ復元型署名装置。
1 0. 前記関数 F 12 (Ri, m) は、
F 12 (Ri, m) = (Riの x座標) +m
であることを特徴とする請求項 9記載のメ ッセージ復元型署名装置。
1 1. Pを素数、 rを正整数、 E () を有限体 GF (ρΓ) 上で定義される楕 円曲線、 Gを元、 その位数を Qとする E (GF ( ρΓ) ) 上の演算に基づき、 離 散対数問題を安全性の根拠とし、 メ ッセージ mに対して秘密鍵 χΛを用いて、 メ ッセージ復元が可能な署名を行う装置であって、
秘密鍵 X Λを記憶してし、る秘密鍵記憶手段と、
31
差替え用紙 (規則 26) 乱数 kを生成する乱数生成手段と、
関数 F14 (k) = k Gに従って前記乱数 kからコミ ッ トメン を生成する コミ ッ トメント生成手段と、
E (GF ( ρΓ) ) X G F (ρΓ) から G F ( ρ Γ) への写像を行う関数 F 15 ( R 1, m) に従って前記コミ ッ トメント R i及び前記メ ッセージ mからマスク トメ ッセージ r 2を生成するメッセージマスク手段と、
G F (pつ から有限環 Z ρΓ= { 0, 1 ,···, ρΓ" への写像を行う関数 F16 ( r 2) に従って前記マスク トメッセージ r 2から変換後メ ッセージ rc2を生成する 変換後メッセージ生成手段と、
関数 F17 ( rc2, χΑ) に従って前記変換後メ ッセージ 1~ 及び秘密鍵 から 署名 sを生成する署名生成手段とを備え、
前記関数 F15 (Ri, m) は、 公開鍵 YAを xAGとし、 t , j, eを有限環 Zq = { 0, 1 ,■··, q - 1 } の元とするとき、 F 15 ( t G + j YA, m X ( e YAの x座標 ) ) 及び F 15 ( t G + j YA, m x ( e Gの x座標) ) において、 3変数 j, e が 2個の代数式で置き換えられないという性質を有することを特徴とするメッセ ージ復元型署名装置。
1 2. 前記関数 F 15 (R m) は、 r 2= F 15 (R m) の逆像を m= F 151 (Ri, r 2) とするとき、 任意の 2変数関数 0 () 、 φ () に対して、
F 15 1 (' R 1 - G , r 2) ≠ Φ (m, G) 及び
F is"1 (R i- YA, r 2) ≠ φ (m, YA)
となることを特徴とする請求項 1 1記載のメッセージ復元型署名装置。
1 3. 前記関数 F 15 (Ri, m) は、
F is (Ri, m) = (Riの x座標) +m
であることを特徴とする請求項 1 2記載のメ ッセージ復元型署名装置。
1 4. 前記関数 F 16 ( X ) .は、 {ひ 1, α2,…,ひ d を G F (pつ の G F ( p ) 上の基底とし、 {xl, χ2,···, xr} を G F ( p ) の元とするとき、 G F (pr ) の元 x = χ 1 α 1 +… + x r a rに対して、
F i6 ( x ) = x 1 + x 2 p H h xrp1"-1
であることを特徴とする請求項 1 1記載のメ ッセージ復元型署名装置。
32
差替え用紙 (規則 26)
1 5. pを素数、 gを元、 その位数を Qとする有限体 G F ( p ) 上での演算に 基づき、 離散対数問題を安全性の根拠とし、 メ ッセージ mに対して秘密鍵 χΑを 用いて、 メッセージ復元が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 f 21 (k) = gkに従って前記乱数 kからコミ ッ トメント Γ ιを生成するコ ミ ッ トメント生成手段と、
G F (p) G F ( p ) から GF ( p ) への写像を行う関数 f 22 ( r 1( m) に 従つて前記コミ ッ トメント r i及び前記メ ッセージ mからマスク トメ ッセージ r 2 を生成するメ ッセージマスク手段と、
関数 f 23 r 2) = r 2 (mod q) に従って前記マスク トメ ッセージ r 2から署 名用メ ッセージ r 2'を生成する署名用メッセージ生成手段と、
有限環 Zqを { 0, 1 , ···, q - 1 } とし、 関数 h a, h b, h cを Z q x Z q x Z qから Zqへの写像を行う関数とするとき、 式
ha ( r 2 , s , 1 ) k = hb ( r2 , s, 1 ) + hc ( r2', s, l ) x A ぐ mod q
)
を満たす署名 sを算出する署名生成手段とを備え、
前記関数 ha, hb, heは、 予め固定された小数値を除く有限環 Zqの任意の元 r r2'、 s sに対して、 次の 2つの条件
(1) . ha r 2 , s, l j = ha ( r r2 , s s, l ) 、 hc ( r 2', s, l j = hc ( r r2', s s, l ) のとき、
h b ( r 2' , s , 1 ) - ha ( r 2' , s , 1 ) ≠ hb ( r r2', s s, l )
(2) . ha ( r 2' , s , 1 ) = h a ( r r 2' , s s, 1 ) 、 h b ( r 2', s, 1 ) = hb ( r r 2' , s s, 1 ) のとき、
he ( r 2' , s , 1 ) - ha ( r 2' , s , 1 ) ≠ hc ( r r2', s s, l )
を満たすことを特徴とするメッセージ復元型署名装置。
1 6. 前記関数 haは、 ha ( r 2', s, 1 ) = r 2'を満たし、
前記関数 h bは、 r 2' = r r 2'、 s = s sのとき、 h b ( r 2' , s , 1 ) - h b (; r r 2', s s, 1 ) を満たし、 r 2' = r r 2'、 h b ( r 2' , s , 1 ) = h b (' r r 2' ,
33
差替え用紙 (規則 26) s s, l ) のとき、 s = s s、 hb ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 heは、 he ( r2', s, 1 ) = sを満たすことを特徴とする請求項 1 5 記載のメッセージ復元型署名装置。
1 7. 前記関数 haは、 ha ( r 2' , s, 1 ) = sを満たし、
前記関数 hbは、 r2' = r r2'、 s = s sのとき、 hb ( r2', s, l ) = hb C r r2', s s, l ) を満たし、 s = s s、 h b ( r 2' , s , 1 ) = hb ( r r2 > s s,
1 ) のとき、 r2' = r r2'、 hb ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 heは、 he ( r2', s, 1 ) = r 2'を満たすことを特徴とする請求項 1
5記載のメ ッセージ復元型署名装置。
1 8. 前記関数 haは、 ha ( r2', s, 1 ) = sを満たし、
前記関数 hbは、 hb ( r 2' , s . 1 ) = r 2'を満たし、
前記関数 heは、 r2' = r r2'、 s = s sのとき、 hc ( r2', s, l ) = he (; r r 2', s s, l ) を満たし、 s = s s、 hc ( r2', s, l ) = hc C r r2 , s s, 1 ) のとき、 r2' = r r2'、 he ( 0 , 0 , 1 ) ≠ 0を満たすことを特徴とする請 求項 1 5記載のメ ッセージ復元型署名装置。
1 9. 前記関数 haは、 ha ( r2', s, 1 ) = r2'を満たし、
前記関数 hbは、 hb ( r2', s, 1 ) = sを満たし、
前記関数 heは、 r 2' = r r 2'、 s = s sのとき、 he ( r 2', s , 1 ) = he ( r r 2' , s s, 1 ) を満たし、 r 2' = r r 2'、 h c ( r 2' . s , 1 ) = h c ( r r 2' , s s, l ) のとき、 s = s s、 h c ( 0 , 0 , 1 ) ≠ 0を満たすことを特徴とする請 求項 1 5記載のメ ッセージ復元型署名装置。
2 0. 前記関数 haは、 r2' = r r2'、 ha ( r 2' , s , 1 ) = ha ( r r2', s s , 1 ) のとき、 s = s sを満たし、 s = s s、 ha ( r 2' , s , 1 ) = ha ( r r 2' , s s, l ) のとき、 r2' = r r2'、 ha ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 hbは、 hb ( r 2', s , 1 ) = r 2'を満たし、
前記関数 heは、 hc ( r2', s, l ) = sを満たすことを特徴とする請求項 1 5 記載のメ ッセージ復元型署名装置。
2 1. 前記関数 haは、 r 2' = r r 2'、 ha ( r 2' , s , 1 ) = ha ( r r 2' , s s , 1 ) のとき、 s = s sを満たし、 s = s s、 h a ( r 2', s, 1 ) = h a ( r r 2' ,
34
差替え用紙 (規則 26) s s, l ) のとき、 r2' = r r2'、 ha ( 0 , 0 , 1 ) ≠ 0を満たすことを特徴とす る請求項 1 5記載のメッセージ復元型署名装置。
前記関数 hbは、 hb ( r2', s, 1 ) = sを満たし、
前記関数 heは、 he ( r2', s, 1 ) = r 2'を満たすことを特徴とする請求項 1 5記載のメッセージ復元型署名装置。
2 2. pを素数、 rを正整数、 gを元、 その位数を Qとする有限体 G F (ρΓ ) 上での演算に基づき、 離散対数問題を安全性の根拠とし、 メ ッセージ mに対し て秘密鍵 χΛを用いて、 メッセージ復元が可能な署名を行う装置であって、 秘密鍵 X Αを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 f 24 ( k ) = gkに従って前記乱数 kからコミ ッ トメント r iを生成するコ ミ ッ トメント生成手段と、
GF (pつ X G F (ρΓ) から G F ( ρ Γ) への写像を行う関数 f 25 ( r m ) に従って前記コミ ッ トメント r i及び前記メッセージ mからマスク トメ ッセー ジ r 2を生成するメッセージマスク手段と、
有限体 GF ( ρΓ) から有限環 Z pr= { 0, 1 ;···, ρΓ" への写像を行う関数 f 26 ( r 2) に従って前記マスク トメッセージ r 2から変換後メ ッセージ r c2を生 成する変換後メ ッセージ生成手段と、
関数 f 27 C rc2) = r c2 (mod q) に従って前記変換後メ ッセージ rc2から 署名用メッセージ rc2'を生成する署名用メッセージ生成手段と、
有限環 Zqを { 0, 1 ,…, q - 1 } とし、 関数 ha, h b, h cを Z q x Z q x Z qカヽら Zqへの写像を行う関数とするとき、 式
ha ( r c" , s , 1 ) k = hb ( rc2', s, 1 ) + h c ( r c2' , s , 1 ) x A (mod q)
を満たす署名 sを算出する署名生成手段とを備え、
前記関数 ha, hb, heは、 予め固定された小数値を除く有限環 Zqの任意の元 r rc2'、 s sに対して、 次の 2つの条件
(1). ha ( rc2 , s, 1 ) = ha ( r rc2', s s, l ) 、 hc ( rc ,, s, l ) = h c ( r r c2' , s s , 1 ) のとき、
35
差替え用紙 (規則 26) hb ( r c2' , s , 1 ) - ha ( r c2' , s , 1 ) ≠ hb ( r r c2' , s s , 1 )
(2). ha ( r c2' , s , 1 ) = h a ( r r c2', s s, 1 ) 、 h b ( r c2' , s , 1 ) = h b ( r r c2', s s , 1 ) のとき、
he r e2' , s , 1 ) - ha ( r c2' , s , 1 ) ≠ hc ( r r c2' , s s, l ) を満たすことを特徴とするメ ッセージ復元型署名装置。
2 3. 前記関数 haは、 ha ( r c2' , s , 1 ) = r c2'を満たし、
前記関数 h bは、 r c2' = r r c2'、 s = s sのとき、 h b ( r c2', s, 1 ) = h b ( r r c2' , s s, 1 ) を満たし、 r c2' = r r c2'、 h b ( r c2' , s , 1 ) = h b (: r r c2' , s s, l ) のとき、 s = s s、 h b ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 heは、 hc ( r c2' . s , l ) = sを満たすことを特徴とする請求項 2 2記載のメ ッセージ復元型署名装置。
2 4. 前記関数 haは、 ha ( r c2', s, 1 ) = sを満たし、
前記関数 h bは、 r c2' = r r c2'、 s = s sのとき、 h b ( r c2', s , 1 ) = h b ( r r c2' , s s, 1 ) を満たし、 s = s s、 h b ( r c2' , s , 1 ) = h b ( r r c2' , s s , 1 ) のとき、 r c2' = r r c2'、 hb ( 0 , 0, 1 ) ≠ 0を満たし、
前記関数 heは、 he ( r c2', s, 1 ) = r c2'を満たすことを特徴とする請求項 2 2記載のメ ッセージ復元型署名装置。
2 5. 前記関数 haは、 ha ( r c2' , s , 1 ) = sを満たし、
前記関数 hbは、 h b ( r c2' , s , 1 ) = r c2'を満たし、
前記関数 h cは、 r c2' = r r c2'、 s = s sのとき、 h c ( r c2', s , 1 ) = h c ( r r c2' , s s , 1 ) を満たし、 s = s s、 he ( r c2' , s , 1 ) = he ( r r c2' , s s, 1 ) のとき、 r c2' = r r c2'、 he ( 0 , 0 , 1 ) ≠ 0を満たすことを特徴と する請求項 2 2記載のメ ッセージ復元型署名装置。
2 6. 前記関数 haは、 ha ( r c2' , s , 1 ) = r c2'を満たし、
前記関数 hbは、 hb ( r c2' , s , 1 ) = sを満たし、
前言己関数 heは、 r c2' = r r c2'、 s = s sのとき、 h c ( r c2', s , 1 ) = h c ( r r c2', s s , 1 ) を満たし、 r c2' = r r c2'、 he ( r c2' , s , 1 ) = h c ( r r c2', s s, l ) のとき、 s = s s、 hc ( 0, 0, l ) ≠ 0を満たすことを特徴と する請求項 2 2記載のメッセージ復元型署名装置。
36
差替え用紙 (規則 26)
27. 前記関数 haは、 rc2' = r rc2'、 ha ( rc2', s, 1 ) = ha (: r rc2', s s, l ) のとき、 s = s sを満たし、 s = s s、 ha ( rc2', s, 1 ) = ha ( r r c2' , s s, 1 ) のとき、 rc2' = r rc2'、 ha (0, 0, 1 ) ≠ 0を満たし、 前記関数 hbは、 hb ( rc2', s, 1 ) = rc2'を満たし、
前記関数 heは、 hc ( rc2', s, l ) = sを満たすことを特徴とする請求項 2 2記載のメ ッセージ復元型署名装置。
2 8. 前記関数 haは、 rc2' = r rc2'、 ha ( rc2', s, 1 ) = ha r r c2* , s s, l ) のとき、 s = s sを満たし、 s = s s、 ha ( r c2' , s , 1 ) = ha ( r rc2', s s, 1 ) のとき、 rc2' = r rc2'、 ha (0, 0, 1 ) ≠ 0を満たすことを 特徴とする請求項 2 2記載のメ ッセージ復元型署名装置。
前記関数 hbは、 hb ( rc2', s, 1 ) = sを満たし、
前記関数 heは、 hc rc2', s, l ) = rc2'を満たすことを特徴とする請求項 2 2記載のメ ッセージ復元型署名装置。
2 9. pを素数、 E () を有限体 GF (p) 上で定義される楕円曲線とし、 G を元、 その位数を Qとする E (G F (p) ) 上の演算に基づき、 離散対数問題を 安全性の根拠とし、 メッセージ mに対して秘密鍵 χΑを用いて、 メッセージ復元 が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
' 乱数 kを生成する第 1乱数生成手段と、
関数 F21 (k) = k Gに従って前記乱数 kからコミ ッ トメン を生成する コミ ッ トメント生成手段と、
E (G F (p) ) X G F (p) から G F ( p ) への写像を行う関数 F22 (Ri, m) に従って前記コミ ッ トメント 及び前記メ ッセージ mからマスク トメ ッセ —ジ r 2を生成するメ ッセージマスク手段と、
関数 F23 ( r 2) = r 2 (mod q) に従って前記マスク トメ ッセージ r2から署 名用メ ッセージ r 2'を生成する署名用メ ッセージ生成手段と、
有限環 Zqを { 0, 1,…, q - 1 } とし、 関数 h a, h b, h cを Z q x Z qス Z qから Zqへの写像を行う関数とするとき、 式
h a ( r 2 , s , 1 ) k = h b ( r 2' , s , 1 ) + hc ( r2', s, l ) A (mod q
37
差替え用紙 (規則 26) )
を満たす署名 Sを算出する署名生成手段とを備え、
前記関数 ha, hb, heは、 予め固定された小数値を除く有限環 Zqの任意の元 r r 2'、 s sに対して、 次の 2つの条件
(1) . ha ( r 2' , s , 1 ) = ha ( r r 2' , s s, l ) 、 he ( r 2' , s , 1 ) = h c (' r r 2', s s, 1 ) のとき、
hb ( r 2', s, l ) — ha ( r 2' , s, l ) ≠ hb ( r r 2', s s, l )
(2) . ha ( r 2' , s , 1 ) = ha ( r r 2' , s s, l ) 、 hb ( r 2' , s , 1 ) = hb ( r r 2' , s s, 1 ) のとき、
he ( r 2' , s , 1 ) — ha ( r 2', s , l ) ≠ hc ( r r 2' , s s , l )
を満たすことを特徴とするメ ッセージ復元型署名装置。
3 0. 前記関数 haは、 ha ( r 2' , s , 1 ) = r 2'を満たし、
前記関数 hbは、 r 2' = r r 2'、 s = s sのとき、 hb ( r 2' , s, l ) = hb ( r r 2' , s s , 1 ) を-満たし、 r 2' = r r 2'、 h b ( r 2' , s , 1 ) = h b ( r r 2 , s s, l ) のとき、 s = s s、 hb ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 heは、 he ( r 2', s , 1 ) = sを満たすことを特徴とする請求項 2 9 記載のメ ッセージ復元型署名装置。
3 1. 前記関数 haは、 ha ( r 2', s , 1 ) = sを満たし、
前記関数 h bは、 r 2' = r r 2'、 s = s sのとき、 h b ( r 2' , s, 1 ) = h b (' r r 2' , s s , 1 ) を満たし、 s = s s、 hb ( r 2', s , l ) = h b ( r r 2' , s s ,
1 ) のとき、 r 2' = r r 2'、 hb ( 0, 0 , l ) ≠ 0を満たし、
前記関数 heは、 hc ( r 2', s, l ) = r 2'を満たすことを特徴とする請求項 2
9記載のメ ッセージ復元型署名装置。
3 2. 前記関数 haは、 ha ( r 2' , s, 1 ) = sを満たし、
前記関数 hbは、 hb ( r 2' , s, 1 ) = r 2'を満たし、
前言己関数 heは、 r 2' = r r 2'、 s = s sのとき、 hc ( ?" 2' , s, l ) = h c ( r r 2' , s s , l ) ¾r満たし、 s = s s、 he ( r 2' , s , 1 ) = hc ( r r 2 , s s , 1 ) のとき、 r 2' = r r 2'、 he ( 0, 0, 1 ) ≠ 0を満たすことを特徴とする請 求項 2 9記載のメ ッセージ復元型署名装置。
38
差替え用紙 (規則 26)
33. 前記関数 haは、 ha ( r 2', s , 1 ) = r2'を満たし、
前記関数 hbは、 hb ( r2', s, 1 ) = sを満たし、
前記関数 heは、 r2' = r r2'、 s = s sのとき、 hc ( r2', s, l ) ='hc ( r r 2' , s s, 1 ) を満たし、 r 2' = r r2'、 hc ( r2', s, l ) = h c ( r r 2' , s s, l ) のとき、 s = s s、 hc (0, 0, l ) ≠ 0を満たすことを特徴とする請 求項 29記載のメ ッセージ復元型署名装置。
34. 前言己関数 haは、 r 2' = r r 2'、 ha ( r 2' , s, 1 ) = ha ( r r2', s s , 1 ) のとき、 s = s sを満たし、 s = s s、 ha ( r 2' , s , 1 ) = ha ( r r 2' , s s, l ) のとき、 r2' = r r2'、 ha ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 hbは、 hb ( r2', s, 1 ) = r2'を満たし、
前記関数 heは、 he ( r2', s, 1 ) = sを満たすことを特徴とする請求項 29 記載のメ ッセージ復元型署名装置。
35. 前記関数 haは、 r 2' = r r 2'、 ha ( r 2' , s , 1 ) = ha ( r r 2', s s , 1 ) のとき、 s = s sを満たし、 s = s s、 ha ( r2', s, 1 ) =ha ( r r2', s s, l ) のとき、 r2' = r r2'、 ha ( 0 , 0 , 1 ) ≠ 0を満たすことを特徴とす る請求項 29記載のメ ッセージ復元型署名装置。
前記関数 hbは、 hb ( r 2' , s, 1 ) = sを満たし、
前記関数 heは、 he ( r2', s, 1 ) = r 2'を満たすことを特徴とする請求項 2 9記載のメ ッセージ復元型署名装置。
36. pを素数、 1-を正整数、 E () を有限体 GF (ρΓ) 上で定義される楕 円曲線、 Gを元、 その位数を Qとする E (G F ( ρΓ) ) 上の演算に基づき、 離 散対数問題を安全性の根拠とし、 メッセージ mに対して秘密鍵 χΑを用いて、 メ ッセージ復元が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 F24 (k) = k Gに従って前記乱数 kからコミ ッ トメン Riを生成する コミ ッ トメ ン ト生成手段と、
E (GF ( ρΓ) ) G F (ρつ から GF ( ρ Γ) への写像を行う関数 F25 ( R 1, m) に従って前記コミ ツ トメン卜 Ri及び前記メ ッセ一ジ mからマスク トメ
39 差替え用紙 (規則 26) ッセージ r 2を生成するメ ッセージマスク手段と、
G F (ρΓ) から有限環 Z pr= { 0, 1 , ···, pr- への写像を行う関数 F 26 ( r 2) に従って前記マスク トメッセージ r 2から変換後メ ッセージ rc2を生成する 変換後メ ッセージ生成手段と、
関数 F27 ( rc2) = r c2 (mod q) に従って前記変換後メ ッセージ r c2から 署名用メ ッセージ rc2'を生成する署名用メ ッセージ生成手段と、
有限環 Zqを { 0, 1,…, Q — 1 } とし、 関数 ha, h b, h cを Z q x Z q x Z qから Zqへの写像を行う関数とするとき、 式
ha ( r c2' , s , 1 ) k = h b ( r c2' , s , 1 ) + h c ( r c2' , s , 1 ) x Λ (mod q)
を満たす署名 sを算出する署名生成手段とを備え、
前記関数 ha, hb, heは、 予め固定された小数値を除く有限環 Zqの任意の元 r rc2'、 s sに対して、 次の 2つの条件
(1) . ha ( rc^ , s, l ) = ha ( r rc ,, s s, l ) 、 he ( r c"' , s , 1 ) = hc ( r r c2', s s, 1 ) のとき、
h b ( r c2, , s , 1 ) - ha ( r c2' , s . 1 ) ≠ h b ( r r c2', s s, 1 )
(2) . ha ( rc2', s, 1 ) = h a 〔 r r c2' , s s , 1 ) 、 h b ( r c2', s, 1 ) = h b ( r rc2', s s , 1 ) のとき、
he r , s , 1 ) 一 h a ( r c2', s, 1 ) ≠ h c ( r r c2' , s s , 1 ) を満たすことを特徴とするメ ッセージ復元型署名装置。
3 7. 前記関数 haは、 ha ( r c2' , s , 1 ) = rc2'を満たし、
前記関数 hbは、 rc2' = r rc2'、 s = s sのとき、 h b ( r c2' , s, 1 ) = hb ( r r c2', s s , 1 ) を満たし、 r c2' = r r c2'、 hb ( r c2', s, 1 ) - h b ( r rc2', s s, l ) のとき、 s = s s、 h b ( 0 , 0 , 1 ) ≠ 0を満たし、
前記関数 heは、 h c (; r c2' , s , 1 ) = sを満たすことを特徴とする請求項 3 6記載のメ ッセージ復元型署名装置。
3 8. 前記関数 haは、 ha ( rc2', s, 1 ) = sを満たし、
前記関数 hbは、 r c2' = r r c2'、 s = s sのとき、 h b r c2', s , 1 ) = hb (' r r c2' , s s , 1 ) を満たし、 s = s s、 h b ( r c2' , s, 1 ) = hb (" r r c2' ,
40 差替え用紙 (規則 26) s s, 1 ) のとき、 rc2' = r rc2'、 hb ( 0, 0, 1 ) ≠ 0を満たし、 前記関数 heは、 he ( rc2*, s, 1 ) = rc2'を満たすことを特徴とする請求項 3 6記載のメ ッセージ復元型署名装置。
3 9. 前記関数 haは、 ha ( rc2', s, 1 ) = sを満たし、
前記関数 hbは、 hb ( rc2', s, 1 ) = r c2'を満たし、
前記関数 heは、 r c2' = r r c2'、 s = s sのとき、 h c ( r c2' , s, 1 ) = he ( r r c2' , s s, 1 ) を満たし、 s = s s、 he ( r c2' , s , 1 ) = h c ( r r c2' , s s, 1 ) のとき、 rc2' = r rc2'、 he (0, 0, 1 ) ≠ 0を満たすことを特徴と する請求項 3 6記載のメ ッセージ復元型署名装置。
4 0. 前記関数 haは、 ha ( rc2', s, 1 ) = rc2'を満たし、
前記関数 hbは、 hb ( r c2' , s, 1 ) = sを満たし、
前記関数 heは、 rc2' = r rc2'、 s - s sのとき、 h c ( r c2', s, 1 ) = he ( r r c2' , s s, 1 ) を満たし、 r c2' = r r c2'、 he ( r c2' , s , 1 ) = he ( r rc2', s s, l ) のとき、 s = s s、 he ( 0 , 0 , 1 ) ≠ 0を満たすことを特徴と する請求項 3 6記載のメッセージ復元型署名装置。
4 1. 前言己関数 haは、 r c2' = r r c2'、 ha ( r c2', s, 1 ) = ha ( r r c2', s s, l ) のとき、 s = s sを満たし、 s = s s、 ha ( rc2', s, l ) = h a ( r r c2' , s s, 1 ) のとき、 r c2' = r r c2'、 ha ( 0 , 0 , 1 ) ≠ 0を満たし、 前記関数 hbは、 hb ( rc2', s, l ) = rc2'を満たし、
前記関数 heは、 hc ( rc2', s, l ) = sを満たすことを特徴とする請求項 3 6記載のメ ッセージ復元型署名装置。
4 2. 前記関数 haは、 rc2' = r rc2'、 ha (' r c2' , s , 1 ) = ha ( r r c2' , s s, l ) のとき、 s = s sを満たし、 s = s s、 ha ( r c2' , s , 1 ) = h a (' r r c2' , s s, 1 ) のとき、 r c2' = r r c2'、 ha ( 0 , 0 , 1 ) ≠ 0を満たすことを 特徴とする請求項 3 6記載のメッセージ復元型署名装置。
前記関数 hbは、 hb ( rc2', s, 1 ) = sを満たし、
前記関数 heは、 h c ( r c2' , s , 1 ) = rc2'を満たすことを特徴とする請求項
3 6記載のメ ッセージ復元型署名装置。
4 3. pを素数、 gを元、 位数を前記素数 pとほぼ大きさが同じである ( p〜
41
差替え用紙 (規則 26) Qとなる) Qとする有限体 G F (p) 上での演算に基づき、 離散対数問題を安全 性の根拠とし、 メッセージ mに対して秘密鍵 χΛを用いて、 メ ッセージ復元が可 能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 f 31 ( k) - gkに従って前記乱数 kからコミ ッ トメント r を生成するコ ミ ッ トメ ント生成手段と、
G F ( p ) G F ( p ) から GF ( p ) への写像を行う関数 f 32 ( r i, m) に 従って前言己コミ ッ トメント r i及び前言己メ ッセ一ジ m力、らマスク トメ ッセージ Γ 2 を生成するメ ッセージマスク手段と、
前記メッセージマスク手段により生成されたマスク トメ ッセージ r2
0 < r 2< Q
を満たすか否かを判断する判断手段と、
前記条件を満たさないと判断された場合には前記乱数生成手段による新たな乱 数 kの生成と前記コミ ッ トメント生成手段によるコミ ッ トメント r の生成と前 記メ ッセージマスク手段によるマスク トメッセージ r 2の生成とを繰り返させる 繰り返し手段と、
前記条件を満たすと判断された場合には関数 f 33 ( Γ 2, X A) に従って前記判 断に係るマスク トメ ッセージ r 2及び秘密鍵 χΑから署名 sを生成する署名生成手 段とを備えることを特徴とするメ ッセージ復元型署名装置。
44. ρを素数、 rを正整数、 gを元、 位数を前記素数 pとほぼ大きさが同じ である (P〜(!となる) Qとする有限体 G F ( ρΓ) 上での演算に基づき、 離散 対数問題を安全性の根拠とし、 メッセージ mに対して秘密鍵 χΛを用いて、 メッ セージ復元が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 f 34 (k) = gkに従って前記乱数 kからコミ ッ トメ ン ト r iを生成するコ ミ ッ トメ ント生成手段と、
G F (pつ X G F ( Pつ から G F ( ρ Γ) への写像を行う関数 f 35 ( r i, m
42
差替え用紙 (規則 26) ) に従って前記コミ ッ トメント r i及び前記メ ッセージ mからマスク トメ ッセ一 ジ r 2を生成するメッセージマスク手段と、
有限体 G F (ρΓ) から有限環 Ζ ρΓ= { 0, 1 , ···, Ρ1"- への写像を行う関数 f 36 ( r 2) に従って前記マスク トメッセージ r 2から変換後メ ッセージ rc2を生 成する変換後メ ッセージ生成手段と、
前記変換後メ ッセージ生成手段により生成された変換後メッセージ rc2
0 < r c2< q
を満たすか否かを判断する判断手段と、
前記条件を満たさないと判断された場合には前記乱数生成手段による新たな乱 数 kの生成と前記コミ ッ トメント生成手段によるコミ ッ トメント r の生成と前 記メッセージマスク手段によるマスク トメ ッセージ r 2の生成と前記変換後メ ッ セージ生成手段による変換後メッセージ rc2の生成とを繰り返させる繰り返し手 段と、
前記条件を満たすと判断された場合には関数 f 37 ( r c2, x A) に従って前記判 断に係る変換後メ ッセージ r c2及び秘密鍵 χΑから署名 sを生成する署名生成手 段とを備えることを特徴とするメ ッセージ復元型署名装置。
4 5. ρを素数、 Ε () を有限体 G F (ρ) 上で定義される楕円曲線とし、 G を元、 その位数を Qとする E (GF (ρ) ) 上の演算に基づき、 離散対数問題を 安全性の根拠とし、 メ ッセージ mに対して秘密鍵 Χ Αを用いて、 メッセージ復元 が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 F31 (k) = k Gに従って前記乱数 kからコミ ッ トメント を生成する コミ ッ トメント生成手段と、
E (GF ( p ) ) X G F (p ) から GF ( p ) への写像を行う関数 F32 (Ri, m) に従って前記コミ ッ トメント Ri及び前記メ ッセージ mからマスク トメ ッセ ージ r 2を生成するメッセージマスク手段と、
前記メ ッセージマスク手段により生成されたマスク トメッセージ r 2
0 < r 2< q
43
差替え用紙 (規則 26) を満たすか否かを判断する判断手段と、
前記条件を満たさないと判断された場合には前記乱数生成手段による新たな乱 数 kの生成と前記コミ ッ トメント生成手段によるコミ ッ トメント の生成と前 記メ ッセージマスク手段によるマスク トメ ッセージ r 2の生成とを繰り返させる 繰り返し手段と、
前記条件を満たすと判断された場合には関数 F 33 ( r 2, χΑ) に従って前記判 断に係るマスク トメッセージ r 2及び秘密鍵 X Aから署名 sを生成する署名生成手 段とを備えることを特徴とするメ ッセージ復元型署名装置。
4 6. Pを素数、 rを正整数、 E () を有限体 G F ( ρ Γ) 上で定義される楕 円曲線、 Gを元、 その位数を Qとする E (G F ( ρΓ) ) 上の演算に基づき、 離 散対数問題を安全性の根拠とし、 メ ッセージ mに対して秘密鍵 χΑを用いて、 メ ッセージ復元が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 F34 (k) = k Gに従って前記乱数 kからコミ ッ トメント を生成する コミ ッ トメント生成手段と、
E (GF ( ρΓ) ) X G F (; ρ Γ) から G F ( pつ への写像を行う関数 F35 C R 1, m) に従って前記コミ ッ トメント R i及び前記メ ッセージ mからマスク トメ ッセージ r 2を生成するメ ッセージマスク手段と、
G F (ρΓ) から有限環 Ζ ρΓ= { 0, 1,…, ρΓ- への写像を行う関数 F 36 ( r 2) に従って前記マスク トメッセージ r 2から変換後メ ッセージ rc2を生成する 変換後メッセージ生成手段と、
前記変換後メ ッセージ生成手段により生成された変換後メ ッセージ rc2
0 < r c2< q
を満たすか否かを判断する判断手段と、
前記条件を満たさないと判断された場合には前記乱数生成手段による新たな乱 数 kの生成と前記コミ ッ トメント生成手段によるコミ ッ トメント の生成と前 記メ ッセージマスク手段によるマスク トメ ッセージ r 2の生成と前記変換後メ ッ セージ生成手段による変換後メ ッセージ rc2の生成とを繰り返させる繰り返し手
44
差替え用紙 (規則 26) 段と、
前記条件を満たすと判断された場合には関数 F37 ( r c2, χΑ) に従って前記判 断に係る変換後メ ッセージ rc2及び秘密鍵 XAから署名 sを生成する署名生成手 段とを備えることを特徴とするメッセージ復元型署名装置。
47. pを素数、 gを元、 その位数を Qとする有限体 G F (p) 上での演算に 基づき、 離散対数問題を安全性の根拠とし、 メ ッセージ mに対して秘密鍵 χΛを 用いて、 メッセージ復元が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 f 41 ( k ) = gkに従って前記乱数 kからコミ ッ トメント r iを生成するコ ミ ッ トメ ント生成手段と、
関数 f 42 ( r丄) = r i (mod q) に従ってコミ ッ トメント r から署名用コミ ッ トメント r を生成する署名用コミ ッ トメント生成手段と、
前記関数 f 42 (m) =m (mod q) に従ってメッセージ mから署名用メ ッセ ージ m'を生成する署名用メ ッセージ生成手段と、
有限環 Zqを { 0, 1, ···, q - 1 } とし、 関数 ha, h b, h cを Z q x Z q x Z qカヽら Zqへの写像を行う関数とするとき、 式
ha ( r ι' , s , m ) k = h b ( r i ' , s , m ' ) + hc ( r i', s, m' ) x A ( mod q)
を満たす署名 sを算出する署名生成手段とを備えることを特徴とするメ ッセー ジ復元型署名装置。
4 8. Pを素数、 rを正整数、 gを元、 その位数を Qとする有限体 G F (pr ) 上での演算に基づき、 離散対数問題を安全性の根拠とし、 メッセージ mに対し て秘密鍵 χΛを用いて、 メ ッセージ復元が可能な署名を行う装置であって、 秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 f 43 (k) = gkに従って前記乱数 kからコミ ッ トメ ン ト r iを生成するコ ミ ッ トメン卜生成手段と、
有限体 G F (ρΓ) から有限環 Ζ ρΓ= { 0, 1 , ···, ρΓ- への写像を行う関数
45
差替え用紙 (規則 26) f 44 ( r i) に従って前記コミ ッ トメント r iから変換後コミ ッ トメント rc1を生 成する変換後コミ ッ トメント生成手段と、
前記関数 f 44 (m) に従って前記メ ッセージ mから変換後メ ッセージ mcを生 成する変換後メ ッセージ生成手段と、
関数 f 45 ( r c1) = rc1 (mod q) に従って変換後コミ ッ トメント rc1から 署名用コミ ッ トメント rc1'を生成する署名用コミ ッ トメント生成手段と、 前記関数 f 45 (mc) =mc (mod q) に従って変換後メ ッセージ mcから署名 用メ ッセージ mc'を生成する署名用メ ッセージ生成手段と、
有限環 Zqを { 0, 1 , ···, q - 1 } とし、 関数 ha, h b, h cを Z q x Z q x Z qから Zqへの写像を行う関数とするとき、 式
h a (. rc1 , s , mc ) k = h b ( rc1 , s , mc ) + h c rc1', s , mc ) x A (mod q)
を満たす署名 sを算出する署名生成手段とを備えることを特徴とするメ ッセー ジ復元型署名装置。
4 9. pを素数、 E () を有限体 G F (p) 上で定義される楕円曲線とし、 G を元、 その位数を Qとする E (G F (p) ) 上の演算に基づき、 離散対数問題を 安全性の根拠とし、 メッセージ mに対して秘密鍵 χΛを用いて、 メッセージ復元 が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 F41 (k) = k Gに従って前記乱数 kからコミ ッ トメント Riを生成する コミ ッ トメ ン ト生成手段と、
E (GF (p) ) から有限体 G F (p) への写像を行う関数 F42 (Ri) に従 つて前記コミ ッ トメ ン から変換後コミ ッ トメ ン ト rc1を生成する変換後コ ミ ッ トメント生成手段と、
前記関数 F42 (m) に従って前記メ ッセージ mから変換後メ ッセージ mcを生 成する変換後メ ッセージ生成手段と、
関数 F43 ( rc1) = rc1 (mod q) に従って変換後コミ ッ トメント rc1から 署名用コミ ッ トメン ト rc1'を生成する署名用コミ ッ トメント生成手段と、
46
差替え用紙 (規則 26) 前記関数 F43 (mc) =mc (mod q) に従って変換後メ ッセージ mcから署名 用メ ッセージ mc'を生成する署名用メ ッセージ生成手段と、
有限環 Zqを { 0, 1 , ···, q - 1 } とし、 関数 ha, h b, h cを Z q x Z q Z qから Zqへの写像を行う関数とするとき、 式
ha ( r c1' , s , mc ) k = h b ( r c1' , s , mc' ) + h c ( rcr , s , mc ) x A (mod q)
を満たす署名 sを算出する署名生成手段とを備えることを特徴とするメ ッセー ジ復元型署名装置。
5 0. pを素数、 rを正整数、 E () を有限体 G F ( pつ 上で定義される楕 円曲線、 Gを元、 その位数を Qとする E (G F ( ρΓ) ) 上の演算に基づき、 離 散対数問題を安全性の根拠とし、 メ ッセージ mに対して秘密鍵 χΛを用いて、 メ ッセージ復元が可能な署名を行う装置であって、
秘密鍵 X Aを記憶している秘密鍵記憶手段と、
乱数 kを生成する乱数生成手段と、
関数 F44 ( k ) = k Gに従って前記乱数 kからコミ ッ トメント を生成する コミ ッ トメ ント生成手段と、
E (G F ( ρΓ) ) から有限体 G F ( ρΓ) への写像を行う関数 F45 (RJ 及 び有限体 G F ( ρΓ) から有限環 Z pr= { 0, 1, ···, ρ1" への写像を行う関数 F46 (F45 (R ) に従って前記コミ ッ トメント から変換後コミ ッ トメント rc1を生成する変換後コミ ッ トメ ント生成手段と、
前記関数 F45 (m) 及び前記関数 F46 (F45 (m) ) に従って前記メ ッセージ mから変換後メ ッセージ mcを生成する変換後メ ッセージ生成手段と、
関数 F47 ( rc1) = r c1 (mod q) に従って変換後コミ ッ トメン卜 rc1から 署名用コミ ッ トメント rc1'を生成する署名用コミ ッ トメント生成手段と、 前記関数 F47 (mc) =mc (mod q) に従って変換後メ ッセージ mcから署名 用メ ッセージ mc'を生成する署名用メッセージ生成手段と、
有限環 Zqを { 0, 1, ···, q - 1 } とし、 関数 h a, h b, h cを Z q x Z q x Z qから Zqへの写像を行う関数とするとき、 式
h a r c1 , s , mc ) k = h b ( rc1', s , mc' ) + hc ( rc1', s , mc' ) x A
47
差替え用紙 (規則 26) (mod q)
を満たす署名 sを算出する署名生成手段とを備えることを特徴とするメ ッセー ジ復元型署名装置。
48
差替え用紙 (規則 26)
PCT/JP1997/000181 1997-01-28 1997-01-28 Dispositif d'identification du type a reproduction de message WO1998033159A1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
EP08010095A EP1976180A3 (en) 1997-01-28 1997-01-28 Message recovery signature apparatus
US09/341,658 US6697946B1 (en) 1997-01-28 1997-01-28 Message recovery signature apparatus
KR10-1999-7006737A KR100438257B1 (ko) 1997-01-28 1997-01-28 메시지 복원형 서명장치
DE69738931T DE69738931D1 (de) 1997-01-28 1997-01-28 Vorrrichtung zum digitalen unterschreiben mit rückgewinnung der botschaft
EP97900787A EP0977165B1 (en) 1997-01-28 1997-01-28 Message reproducing type signature device
PCT/JP1997/000181 WO1998033159A1 (fr) 1997-01-28 1997-01-28 Dispositif d'identification du type a reproduction de message

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP1997/000181 WO1998033159A1 (fr) 1997-01-28 1997-01-28 Dispositif d'identification du type a reproduction de message

Publications (1)

Publication Number Publication Date
WO1998033159A1 true WO1998033159A1 (fr) 1998-07-30

Family

ID=14179969

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP1997/000181 WO1998033159A1 (fr) 1997-01-28 1997-01-28 Dispositif d'identification du type a reproduction de message

Country Status (5)

Country Link
US (1) US6697946B1 (ja)
EP (2) EP1976180A3 (ja)
KR (1) KR100438257B1 (ja)
DE (1) DE69738931D1 (ja)
WO (1) WO1998033159A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000045550A2 (fr) * 1999-01-27 2000-08-03 France Telecom Procede destine a prouver l'authenticite d'une entite ou l'integrite d'un message au moyen d'un exposant public egal a une puissance de deux
CA2554368A1 (en) * 2004-01-23 2005-08-04 Nec Corporation Group signature system, method, device, and program
WO2006085430A1 (ja) * 2005-02-10 2006-08-17 Nec Corporation メンバー証明書獲得装置、メンバー証明書発行装置、グループ署名装置、グループ署名検証装置
CA2702280C (en) 2007-10-29 2013-08-20 Nippon Telegraph And Telephone Corporation Signature generating apparatus, signature verifying apparatus and methods therefor
US20090313171A1 (en) * 2008-06-17 2009-12-17 Microsoft Corporation Electronic transaction verification
RU2448361C2 (ru) * 2010-07-01 2012-04-20 Андрей Рюрикович Федоров Способ восстановления записей в запоминающем устройстве, система для его осуществления и машиночитаемый носитель
CN103444128B (zh) * 2011-03-18 2017-04-05 塞尔蒂卡姆公司 密钥pv签名
RU2502124C1 (ru) * 2012-09-12 2013-12-20 Общество с ограниченной ответственностью "РЭЙДИКС" Способ восстановления записей в запоминающем устройстве и система для его осуществления
EP3721598A1 (en) * 2017-12-07 2020-10-14 Telefonaktiebolaget LM Ericsson (publ) Security for group communication
JP7109295B2 (ja) * 2018-07-27 2022-07-29 キヤノン株式会社 認証システム、認証装置、被認証装置及び画像形成装置
US11128454B2 (en) 2019-05-30 2021-09-21 Bong Mann Kim Quantum safe cryptography and advanced encryption and key exchange (AEKE) method for symmetric key encryption/exchange

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69133502T2 (de) * 1990-06-01 2006-09-14 Kabushiki Kaisha Toshiba, Kawasaki Geheimübertragungsverfahren und -gerät
ATE187588T1 (de) * 1993-08-17 1999-12-15 R3 Security Engineering Ag Verfahren zur digitalen unterschrift und verfahren zur schlüsselübereinkunft
EP0804758B1 (en) * 1994-07-29 2005-11-09 Certicom Corp. Elliptic curve encryption systems

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
"Cryptography, Zero Knowledge Certification", Supervised by INFORMATION PROCESSING SOC., Co-Edited by TATSUAKI OKAMOTO, KAZUO OTA, KYORITSU SHUPPAN, 1 June 1995, pages 152-153. *
ADVANCES IN CRYPTOLOGY: PROCEEDINGS OF EUROCRYPT94, Springer, (1995), KAISA NYBERG and RAINER A. RUEPPEL, "Message Recovery for Signature Schemes Based on the Discrete Logarithm Problem", pages 182-193. *
DOUGLAS R. STINSON, "Fundamentals of Cryptographic Theory", Supervisorily Translated by KOICHI SAKURAI, KYORITSU SHUPPAN, 1 November 1996, pages 193-204. *
IEICE TECHNICAL REPORT ISEC95-11, THE INSTITUTE OF ELECTRONICS, INFORMATION AND COMMUNICATION ENGINEERS OF JAPAN, Vol. 95, No. 172, 21 Jul. 1995, MIYAJI A., "Weakness in Message Recovery Signature Schemes Based on Discrete Logarithm Problems 1", pages 47-57. *
IEICE TECHNICAL REPORT ISEC95-35, THE INSTITUTE OF ELECTRONICS, INFORMATION AND COMMUNICATION ENGINEERS OF JAPAN, Vol. 95, No. 422, 14 Dec. 1995, MIYAJI A., "Weakness in Message Recovery Signature Schemes Based on Discrete Logarithm Problems 2", pages 31-38. *
See also references of EP0977165A4 *

Also Published As

Publication number Publication date
EP1976180A3 (en) 2010-10-27
EP0977165B1 (en) 2008-08-20
EP0977165A1 (en) 2000-02-02
KR20000070493A (ko) 2000-11-25
DE69738931D1 (de) 2008-10-02
KR100438257B1 (ko) 2004-07-02
EP0977165A4 (en) 2004-05-12
US6697946B1 (en) 2004-02-24
EP1976180A2 (en) 2008-10-01

Similar Documents

Publication Publication Date Title
EP0503119B1 (en) Public key cryptographic system using elliptic curves over rings
EP0639907B1 (en) Digital signature method and key agreement method
US8462944B2 (en) Method of public key generation
CN108667626A (zh) 安全的两方协作sm2签名方法
US20150228144A1 (en) Data card verification system
EP0596945A1 (en) Digital signature algorithm
US20040139029A1 (en) Apparatus and method for generating and verifying ID-based blind signature by using bilinear parings
EP1025673B1 (en) Accelerated signature verification on an elliptic curve
US9088419B2 (en) Keyed PV signatures
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
WO1998033159A1 (fr) Dispositif d&#39;identification du type a reproduction de message
CN115834056A (zh) 一种无证书有序聚合签名方法、系统及相关装置
US7587605B1 (en) Cryptographic pairing-based short signature generation and verification
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
JPH08251156A (ja) 電子メール暗号化方法及び暗号化システム
JP3540477B2 (ja) 署名方式
Ahmedova et al. Generation and distribution secret encryption keys with parameter
US7412055B2 (en) Method and system for fair exchange of user information
WO2003013052A1 (en) Cryptosystems based on non-commutatity
JPH02273779A (ja) ディジタル署名装置
CA2306282C (en) Accelerated signature verification on an elliptic curve
Kumari Recurrent sequences and cryptography
TW578415B (en) The technology that use only multiplication and addition could encipher and decipher digital information more quickly
Bar‐IIan Security issues on the Internet
Yadav et al. A method for obtaining digital signatures and public-key cryptosystems: a review

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 97181586.0

Country of ref document: CN

AK Designated states

Kind code of ref document: A1

Designated state(s): CN KR US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): DE FR GB

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 09341658

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 1019997006737

Country of ref document: KR

WWE Wipo information: entry into national phase

Ref document number: 1997900787

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1997900787

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1019997006737

Country of ref document: KR

WWG Wipo information: grant in national office

Ref document number: 1019997006737

Country of ref document: KR

WWG Wipo information: grant in national office

Ref document number: 1997900787

Country of ref document: EP