WO2006027933A1 - グループ署名システム、メンバ状態判定装置、グループ署名方法及びメンバ状態判定プログラム - Google Patents

Abstract

　匿名性を保つことが可能なグループ署名データに対して、グループ署名データを生成したユーザがグループの有効なメンバであるか否かを効率的に判定できるようにする。 　検証装置３は、メッセージとグループ署名データとを受け取ると、グループ署名データを認証するとともに、グループ署名データを生成した署名装置２のユーザがグループの有効なメンバであるか否かをメンバ状態応答装置４に問い合わせる。メンバ状態応答装置４は、問い合わせに応じて、グループ管理装置１から通知されたメンバ失効リストにもとづいて、グループ署名データを生成した署名装置２のユーザのメンバ状態を判定する。そして、メンバ状態応答装置４は、検証装置３にメンバ状態の判定結果を送信する。

Description

明 細 書

グループ署名システム、メンバ状態判定装置、グループ署名方法及びメ ンバ状態判定プログラム

技術分野

[0001] 本発明は、メンバ有効性確認可能なグループ署名システム、メンバ状態判定装置、 グループ署名方法及びメンバ状態判定プログラムに関する。特に、本発明は、ダル ープ署名データを検証する時点でグループ署名データを生成したユーザがグルー プの有効なメンバであるか失効して 、るかを、メンバ状態を問 、合わせることによって 判定することができるグループ署名システム、メンバ状態判定装置、グループ署名方 法及びメンバ状態判定プログラムに関する。

背景技術

[0002] 非特許文献 1や非特許文献 2には、あるグループに所属するユーザ力 グループ に所属していることを匿名性を保ったまま示す署名（グループ署名データ)を生成す ることができる署名システムであるグループ署名システムが記載されている。また、グ ループ署名システムは、必要に応じて、匿名のグループ署名データから実際の署名 者を特定できる機能を備える。

[0003] 非特許文献 1や非特許文献 2に示されるように、一般に、グループ署名システムは、 各種公開情報を記憶して開示する公開情報開示手段と、ユーザをグループに登録 するメンバ登録手段と、グループ署名データを生成するグループ署名生成手段と、 グループ署名データの正当性を検証するグループ署名検証手段と、グループ署名 データから実際の署名者を特定する署名者追跡手段とを備える。

[0004] 非特許文献 1や非特許文献 2に記載されたグループ署名システムでは、グループメ ンバであるユーザの端末 (グループ署名生成手段）は、メッセージ等を送信する際に 署名データをメッセージ等に添付する。この場合、グループ署名生成手段は、メッセ ージ等が特定のユーザによって作成されたことを示す署名データではなぐグループ 内のいずれかのメンバによって作成されたことを示すグループ署名データを生成す る。また、メッセージ等を受信した認証端末 (グループ署名認証手段）は、添付された グループ署名データにもとづいて認証する。この場合、グループ署名認証手段は、メ ッセージ等が特定のユーザによって作成されたものであることを認証するのでなぐグ ループ内のいずれかのメンバによって作成されたものであることを認証する。

[0005] グループ署名システムにおいて、グループを脱退したユーザが脱退前に取得した 情報を用いて脱退後にも引き続き署名を作成することを防げるようにすることが望ま れる。しかし、グループ署名システムで生成されたグループ署名データを用いる場合 、グループ署名データを生成したユーザに関する情報をグループ署名データから知 ることはできない。そのため、グループ署名システムにおいて、デジタノレ署名システム で用いられるような証明書失効リスト（CRL ; Certificate Revocation List )によるメンバ 失効方法を用いることはできない。そこで、グループ署名システムにおいて、脱退し たユーザが署名を作成することを防止するために、署名者を表す値力 Sメンバリストに 含まれていることを証明するデータをグループ署名データとして用いることが考えら れる。

[0006] 例えば、非特許文献 3には、グループ署名システムのメンバ失効方法が記載されて いる。非特許文献 3に記載されたメンバ失効方法では、グループ署名生成手段は、 有効なメンバに対応する値で構成されるメンバリストに対して、署名者を表す値力 Sメン ノ《リストに含まれていることを証明するデータをグループ署名データとして出力する。 非特干文献 1： J. Camenisch and M. Stadler, Efticient uroup signature Schem es for Large Groups, "In Advances in Cryptology - CRYPTO '97", LNCS 1294, p. 410—42 4, Springer— Verlag, 1997.

非特許文献 2 : G. Ateniese, J. Camenisch, M. Joye and G. Tsudik, A Practica 1 and Provable Secure Coalition-Resistant Group Signature Scheme, "In Advanc es in Cry ptology - CRYPTO 2000", LNCS 1880, p.255-270, Springer- Verlag, 2000.

非特許文献 3 : J. Camenisch and A. Lysyanskaya, Dynamic Accumulators and Ap pli cation to Efficient Revocation of Anonymous Credentials, "In Advances in Cryptolo gy - CRYPTO 2002", LNCS 2442, p.61-76, Springer- Verlag, 2002.

発明の開示

発明が解決しょうとする課題 [0007] 非特許文献 1や非特許文献 2に記載された従来のグループ署名システムでは、グ ループ内のいずれかのメンバが脱退するごとに、公開鍵や秘密鍵を含む全てのパラ メータを更新なければならない。また、非特許文献 3に記載された従来のグループ署 名システムでは、グループの各メンバは、グループ内のいずれかのメンバが脱退しグ ループメンバの資格を失効されるごとに秘密鍵を更新しなければならな 、。例えば、 グループの各メンバは、 ICカード等に記憶させている秘密鍵を、失効メンバが発生す るごとに書き直さなければならない。そのため、従来のグループ署名システムでは、メ ンバ失効に関する処理が煩雑である。

[0008] また、非特許文献 3に記載された従来のグループ署名システムでは、グループ署名 データを生成する時点でのメンノ リストを用いてグループのメンバであることを示すデ ータを生成することができる。しかし、非特許文献 3に記載された従来のグループ署 名システムでは、署名を検証する時点でのグループメンバの有効性を確認することは できない。従って、署名を検証する際に、現時点においてメンバ資格を失効されてい るユーザによって作成されたメッセージであっても受理してしまう可能性がある。

[0009] そこで、本発明は、メンバ失効に関する処理を効率よく行うことができるグループ署 名システム、メンバ状態判定装置、グループ署名方法及びメンバ状態判定プログラム を提供することを目的とする。また、本発明は、グループ署名データを検証する時点 でグループメンバの有効性を確認できるグループ署名システム、メンバ状態判定装 置、グループ署名方法及びメンバ状態判定プログラムを提供することを目的とする。 課題を解決するための手段

[0010] 本発明によるグループ署名システムは、メッセージに対する署名データを生成し、 署名データがグループのうちのいずれかのメンバの装置によって作成されたものであ るカゝ否かを認証するグループ署名システムであって、要求に応じて、署名データを生 成した装置のユーザが現時点においてグループの有効なメンバとしての資格をもつ か否かを示すメンバ状態を判定するメンバ状態判定装置 (例えば、メンバ状態応答 装置 4によって実現される）を備えたことを特徴とする。

[0011] また、グループ署名システムは、グループへの新たなメンバ登録を行うメンバ登録 処理、及びグループのメンバとしての資格を失効させるメンバ失効処理を行うことによ つて、グループを管理するグループ管理装置と、メッセージに対して、メッセージがグ ループのうちのいずれかのメンバの装置によって作成されたものであることを示す署 名データであるグループ署名データを生成する署名装置と、署名装置からメッセージ とグループ署名データとを受信し、受信したグループ署名データを認証する認証装 置 (例えば、検証装置 3によって実現される）とを備えたものであってもよい。

[0012] また、認証装置は、グループ署名データがグループのうちのいずれかのメンバの署 名装置によって作成されたものであると判断すると、メンバ状態の判定要求をメンバ 状態判定装置に送信し、メンバ状態判定装置は、認証装置からメンバ状態の判定要 求を受信すると、グループ署名データを生成した署名装置のユーザのメンバ状態を 判定し、メンバ状態の判定結果を認証装置に送信するものであってもよ 、。

[0013] また、グループ管理装置は、新たにグループのメンバとなるユーザの署名装置に、 グループのメンバであることを示すメンバ登録証明書を発行し、メンバ登録証明書と 署名装置に対応する 情報とを、メンバ情報として記憶し、グループのメンバとして の資格を失効させたユーザである失効メンバの署名装置に対応する HD情報を、メン バ状態判定装置に送信し、署名装置は、ユーザがグループに加入する際に、グルー プ署名データを生成するための暗号鍵であるグループ署名鍵を生成し、メッセージと 、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、グループ署名 鍵とにもとづいて、グループ署名データを生成し、認証装置は、署名装置からメッセ ージとグループ署名データとを受信し、メンバ状態判定装置にメッセージ及びグルー プ署名データを送信することによって、グループ署名データを生成した署名装置の ユーザが現時点においてグループの有効なメンバとしての資格をもっか否かを問い 合わせ、メンバ状態判定装置は、失効メンバの署名装置に対応する 情報のリストを 、失効メンバのリストであるメンバ失効リストとして記憶し、認証装置からメッセージ及 びグループ署名データを受信し、グループ署名データを認証すると、グループ署名 データを開封するための暗号鍵である開封情報を用いて、グループ署名データを生 成した署名装置の HD情報を特定し、メンバ失効リストと特定した HD情報とにもとづい て、グループ署名データを生成した署名装置のユーザのメンバ状態を判定し、メンバ 状態の判定結果を認証装置に送信するものであってもよい。 [0014] また、グループ管理装置は、失効メンバの署名装置に対応するメンバ登録証明書 を、メンバ状態判定装置に送信し、メンバ状態判定装置は、失効メンバの署名装置 に対応するメンバ登録証明書のリストを、メンバ失効リストとして記憶し、認証装置から メッセージ及びグループ署名データを受信し、グループ署名データを認証すると、開 封情報を用いて、グループ署名データがいずれのユーザの署名装置によって生成さ れたかを特定可能な情報である署名者特定用情報を生成し、メンバ失効リストと生成 した署名者特定用情報とにもとづいて、グループ署名データを生成した署名装置の ユーザのメンバ状態を判定し、メンバ状態の判定結果を認証装置に送信するもので あってもよい。そのような構成によれば、グループ管理装置は、メンバ状態判定装置 に、失効メンバの署名装置の 情報を送信しない。そのため、メンバ状態判定装置 は、メッセージ及びグループ署名データを受け取っても、グループ署名データを生成 した署名装置の Iひ f青報を特定することができない。従って、メンバ状態判定装置に 対して、各署名装置の Iひ f青報を秘匿することができる。

[0015] また、署名装置は、メッセージのハッシュ値を用いてグループ署名データを生成し、 認証装置は、メッセージのハッシュ値を用いてグループ署名データの認証を行い、グ ループ署名データがグループのうちのいずれかのメンバの装置によって作成された ものであると判断すると、メンバ状態判定装置にメッセージのノ、ッシュ値とグループ署 名データとを送信するものであってもよい。そのような構成によれば、メンバ状態判定 装置に送信するデータを、メッセージそのものではなくメッセージのハッシュ値に代え ることができる。従って、認証装置は、メンバ状態判定装置にメッセージを秘匿するこ とがでさる。

[0016] また、署名装置は、ユーザがグループに加入する際にグループ署名鍵を生成し、メ ッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、グ ループ署名鍵とにもとづ ヽて、グループ管理装置又はメンバ状態判定装置がメンバ 登録証明書を所定の変換によって復元可能なデータである変換データを含むダル ープ署名データを生成し、認証装置は、署名装置からメッセージとグループ署名デ 一タとを受信し、メンバ状態判定装置にグループ署名データに含まれる変換データ を送信することによって、グループ署名データを生成した署名装置のユーザが現時 点においてグループの有効なメンバとしての資格をもつ力否かを問い合わせ、メンバ 状態判定装置は、失効メンバの署名装置に対応する 情報のリストを、メンバ失効リ ストとして記憶し、認証装置から変換データを受信すると、変換データにもとづいてメ ンバ登録証明書を復元したのち署名装置の HD情報を特定し、メンバ失効リストに ID 情報が含まれる力否かを判断し、メンバ失効リストに 情報が含まれると判断すると、 グループ署名データを生成した署名装置のユーザのメンバ状態が現時点において 失効していると判定し、メンバ失効リストに 情報が含まれないと判断すると、グルー プ署名データを生成した署名装置のユーザのメンバ状態が現時点にお!、て有効で あると判定し、メンバ状態の判定結果を認証装置に送信するものであってもよい。そ のような構成によれば、署名装置は、メンバ登録証明書の変換データを含むグルー プ署名データを出力する。また、メッセージ及びグループ署名データを受け取った認 証装置は、メンバ状態判定装置に変換データのみを送信する。そのため、認証装置 は、メンバ状態判定装置に対して、受け取ったメッセージを秘匿することができる。 また、グループ管理装置は、新たにグループのメンバとなるユーザの署名装置に、 グループのメンバであることを示すメンバ登録証明書を発行し、メンバ登録証明書と 署名装置に対応する 情報とを、メンバ情報として記憶し、グループの有効なメンバ の署名装置に対応するメンバ登録証明書と、メンバ状態が有効な状態であることを示 す情報とをメンバ状態判定装置に送信し、グループのメンバとしての資格を失効させ たユーザである失効メンバの署名装置に対応するメンバ登録証明書と、メンバ状態 が失効された状態であることを示す情報とをメンバ状態判定装置に送信し、署名装 置は、ユーザがグループに加入する際に、グループ署名データを生成するための暗 号鍵であるグループ署名鍵を生成し、メッセージと、乱数と、グループ管理装置によ つて発行されたメンバ登録証明書と、グループ署名鍵とにもとづいて、グループ管理 装置又はメンバ状態判定装置がメンバ登録証明書を所定の変換によって復元可能 なデータである変換データを含むグループ署名データを生成し、認証装置は、署名 装置からメッセージとグループ署名データとを受信し、メンバ状態判定装置にグルー プ署名データに含まれる変換データを送信することによって、グループ署名データを 生成した署名装置のユーザが現時点においてグループの有効なメンバとしての資格 をもつ力否力を問い合わせ、メンバ状態判定装置は、メンバ登録証明書と、メンバ状 態が有効な状態又は失効された状態であることを示す状態情報 (例えば、図 10に示 すメンバ失効リスト記憶部 402Aが記憶するメンバ状態）とを対応づけた組のリストを、 失効メンバのリストであるメンバ失効リストとして記憶し、認証装置力 変換データを受 信すると、変換データにもとづいてメンバ登録証明書を復元し、復元したメンバ登録 証明書に対応するメンバ失効リストに含まれる状態情報にもとづいて、グループ署名 データを生成した署名装置のユーザのメンバ状態を判定し、メンバ状態の判定結果 を認証装置に送信するものであってもよい。そのような構成によれば、認証装置は、メ ンバ状態判定装置に変換データのみを送信する。従って、認証装置は、メンバ状態 判定装置に対して、受け取ったメッセージを秘匿することができる。また、グループ管 理装置は、メンバ状態判定装置に、失効メンバの署名装置の Iひ f青報を送信しない。 従って、メンバ状態判定装置に対して、各署名装置の Iひ f青報を秘匿することができる また、署名装置は、ユーザがグループに加入する際にグループ署名鍵を生成し、メ ッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、グ ループ署名鍵とにもとづ ヽて、グループ管理装置又はメンバ状態判定装置がメンバ 登録証明書を所定の変換によって復元可能なデータである変換データと、変換デー タが署名装置によって生成されたことを示す証明データとを含むグループ署名デー タを生成し、認証装置は、署名装置カゝらメッセージとグループ署名データとを受信し、 メンバ状態判定装置にグループ署名データに含まれる変換データ及び証明データ を送信することによって、グループ署名データを生成した署名装置のユーザが現時 点においてグループの有効なメンバとしての資格をもつ力否かを問い合わせ、メンバ 状態判定装置は、認証装置から変換データ及び証明データを受信し、証明データを 認証すると、変換データにもとづいてメンバ登録証明書を復元し、復元したメンバ登 録証明書に対応する HD情報を特定し、メンバ失効リストと特定した HD情報とにもとづ いて、グループ署名データを生成した署名装置のユーザのメンバ状態を判定し、メン バ状態の判定結果を認証装置に送信するものであってもよい。そのような構成によれ ば、認証装置は、メンバ状態判定装置に変換データ及び証明データのみを送信する 。そのため、認証装置は、メンバ状態判定装置に対して、受け取ったメッセージを秘 匿することができる。また、メンバ状態判定装置は、証明データを確認することによつ て、認証装置カゝら送られたデータがグループ署名データの一部であるカゝ否かを確認 することができる。

[0019] また、メンバ状態判定装置は、認証装置から変換データ及び証明データを受信し、 証明データを認証すると、変換データにもとづいてメンバ登録証明書を復元し、メン バ失効リストと復元したメンバ登録証明書とにもとづいて、グループ署名データを生 成した署名装置のユーザのメンバ状態を判定し、メンバ状態の判定結果を認証装置 に送信するものであってもよい。そのような構成によれば、失効メンバの署名装置の I ひ f青報を用いずにメンバ状態を判定できるので、メンバ状態判定装置に対して、各署 名装置の HD情報を秘匿することができる。

[0020] また、署名装置は、ユーザがグループに加入する際にグループ署名鍵を生成し、メ ッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、グ ループ署名鍵とにもとづ 、て、グループ管理装置がメンバ登録証明書を所定の変換 によって復元可能なデータであるの第 1の変換データと、メンバ状態判定装置カ^ン バ登録証明書を所定の変換によって復元可能なデータであるの第 2の変換データと 、第 2の変換データが署名装置によって生成されたことを示す第 1の証明データと、 第 1の変換データと第 2の変換データとが同じメンバ登録証明書を変換したデータで あることを示す第 2の証明データとを含むグループ署名データを生成し、認証装置は 、署名装置からメッセージとグループ署名データとを受信し、メンバ状態判定装置に グループ署名データに含まれる第 2の変換データ及び第 1の証明データを送信する ことによって、グループ署名データを生成した署名装置のユーザが現時点において グループの有効なメンバとしての資格をもっか否かを問 、合わせ、メンバ状態判定装 置は、認証装置から第 2の変換データ及び第 1の証明データを受信し、第 1の証明デ ータを認証すると、第 2の変換データにもとづいてメンバ登録証明書を復元し、復元 したメンバ登録証明書に対応する HD情報を特定し、メンバ失効リストと特定した 情 報とにもとづいて、グループ署名データを生成した署名装置のユーザのメンバ状態を 判定し、メンバ状態の判定結果を認証装置に送信するものであってもよい。そのよう な構成によれば、署名装置は、グループ管理装置の開封情報を用いてメンバ登録証 明書を復元できる第 1の変換データと、メンバ状態判定装置の開封情報を用いてメン バ登録証明書を復元できる第 2の変換データとを含むグループ署名データを出力す る。そのため、グループ管理装置とメンバ状態判定装置とは、異なる開封情報を所有 することができる。

[0021] また、メンバ状態判定装置は、認証装置から第 2の変換データ及び第 1の証明デー タを受信し、第 1の証明データを認証すると、第 2の変換データにもとづいてメンバ登 録証明書を復元し、メンバ失効リストと復元したメンバ登録証明書とにもとづいて、グ ループ署名データを生成した署名装置のユーザのメンバ状態を判定し、メンバ状態 の判定結果を認証装置に送信するものであってもよい。そのような構成によれば、失 効メンバの署名装置の HD情報を用いずにメンバ状態を判定できるので、メンバ状態 判定装置に対して、各署名装置の HD情報を秘匿することができる。

[0022] また、グループ管理装置は、新たにグループのメンバとなるユーザの署名装置に、 グループのメンバであることを示すメンバ登録証明書、及びグループ署名データがュ 一ザの署名装置によって作成されたことを確認可能な情報である署名者確認用情報 (例えば、メンバ追跡情報)を発行し、メンバ登録証明書と、署名者確認用情報と、署 名装置に対応する 情報とを、メンバ情報として記憶し、グループのメンバとしての 資格を失効させたユーザである失効メンバの署名装置に対応する署名者確認用情 報を、メンバ状態判定装置に送信し、署名装置は、ユーザがグループに加入する際 に、グループ署名データを生成するための暗号鍵であるグループ署名鍵を生成し、 メッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書及び 署名者確認用情報と、グループ署名鍵とにもとづいて、署名者確認用情報を所定の 変換によって復元可能なデータである変換データを含むグループ署名データを生成 し、認証装置は、署名装置力もメッセージとグループ署名データとを受信し、メンバ状 態判定装置にメッセージ及びグループ署名データを送信することによって、グループ 署名データを生成した署名装置のユーザが現時点においてグループの有効なメン バとしての資格をもつ力否かを問い合わせ、メンバ状態判定装置は、失効メンバの署 名装置に対応する署名者確認用情報のリストを、失効メンバのリストであるメンバ失効 リストとして記憶し、認証装置からメッセージ及びグループ署名データを受信し、ダル ープ署名データを認証すると、メンバ失効リストにもとづいて、グループ署名データを 生成した署名装置のユーザのメンバ状態を判定し、メンバ状態の判定結果を認証装 置に送信するものであってもよい。そのような構成によれば、署名装置は、署名者確 認用情報の変換データをグループ署名データの一部として出力する。そして、メンバ 状態判定装置は、変換データを用いてメンバ状態を判定する。従って、メンバ状態判 定装置は、開封情報を用いずにメンバ状態を判定することができる。

[0023] また、グループ管理装置は、新たにグループのメンバとなるユーザの署名装置に、 メンバ登録証明書及び署名者確認用情報を発行し、メンバ登録証明書と、署名者確 認用情報と、署名装置に対応する 情報とを、メンバ情報として記憶し、グループの 有効なメンバの署名装置に対応する署名者確認用情報と、メンバ状態が有効な状態 であることを示す情報とをメンバ状態判定装置に送信し、グループのメンバとしての 資格を失効させたユーザである失効メンバの署名装置に対応する署名者確認用情 報と、メンバ状態が失効された状態であることを示す情報とをメンバ状態判定装置に 送信し、認証装置は、署名装置カゝらメッセージとグループ署名データとを受信し、メン バ状態判定装置にグループ署名データに含まれる変換データを送信することによつ て、グループ署名データを生成した署名装置のユーザが現時点においてグループ の有効なメンバとしての資格をもつ力否力を問い合わせ、メンバ状態判定装置は、失 効メンバに対応する署名者確認用情報のリストを、メンバ失効リストとして記憶し、認 証装置から変換データを受信し、メンバ失効リストにもとづいて、グループ署名データ を生成した署名装置のユーザのメンバ状態を判定し、メンバ状態の判定結果を認証 装置に送信するものであってもよい。

[0024] また、グループ管理装置は、グループ署名データを生成した署名装置を特定する 署名装置特定手段 (例えば、署名者特定手段 108によって実現される）を有するもの であってもよい。

[0025] また、グループ署名システムは、メッセージに対する署名データを生成し、署名デ ータがグループのうちのいずれかのメンバの端末によって作成されたものであるか否 かを認証するグループ署名システムであって、メッセージに対して、メッセージがダル ープのうちのいずれかのメンバの端末によって作成されたものであることを示す署名 データであるグループ署名データを生成する署名端末 (例えば、図 18に示すユーザ 端末 2A)と、署名端末から、通信ネットワークを介してグループ署名データを受信し、 受信したグループ署名データを認証する認証端末と、グループ署名データを生成し た署名端末のユーザが現時点においてグループの有効なメンバとしての資格をもつ か否かを示すメンバ状態を判定するメンバ状態判定サーバ (例えば、図 18に示すメ ンバ状態応答サーバ 4A)とを備え、認証端末は、グループ署名データがグループの うちのいずれかのメンバの署名端末によって作成されたものであると判断すると、メン バ状態の判定要求を通信ネットワークを介してメンバ状態判定サーバに送信し、メン バ状態判定サーバは、認証端末からメンバ状態の判定要求を受信すると、グループ 署名データを生成した署名端末のユーザのメンバ状態を判定するものであってもよ い。

[0026] 本発明によるメンバ状態判定装置は、メッセージがグループのうちのいずれかのメ ンバの装置によって作成されたものであることを示す署名データであるグループ署名 データを生成した装置のユーザが、現時点にぉ 、てグループの有効なメンバとして の資格をもっか否かを示すメンバ状態を判定するメンバ状態判定装置であって、グ ループのメンバとしての資格を失効されたユーザである失効メンバのリストであるメン バ失効リストを記憶する失効リスト記憶手段 (例えば、メンバ失効リスト記憶部 402によ つて実現される）と、グループ署名データを認証する認証装置から、通信ネットワーク を介してメンバ状態の判定要求を受信する判定要求受信手段 (例えば、署名開封手 段 404によって実現される）と、判定要求受信手段が判定要求を受信すると、失効リ スト記憶手段が記憶するメンバ失効リストにもとづいて、グループ署名データを生成し た装置のユーザのメンバ状態を判定する状態判定手段 (例えば、メンバ状態判定手 段 407によって実現される）と、状態判定手段が判定したメンバ状態の判定結果を、 通信ネットワークを介して認証装置に送信する判定結果送信手段 (例えば、メンバ状 態判定手段 407によって実現される）とを備えたことを特徴とする。

[0027] また、失効リスト記憶手段は、失効メンバの装置に対応する Iひ f青報のリストを、メン バ失効リストとして記憶し、判定要求受信手段は、メンバ状態の判定要求として、メッ セージ及びグループ署名データを認証装置から受信し、状態判定手段は、判定要 求受信手段が受信したメッセージ及びグループ署名データと、グループ署名データ を開封するための暗号鍵である開封情報とを用いて、グループ署名データを生成し た装置の Iひ f青報を特定し、失効リスト記憶手段が記憶するメンバ失効リストと特定し た 情報とにもとづいて、グループ署名データを生成した装置のユーザのメンバ状 態を判定するものであってもよ 、。

[0028] また、失効リスト記憶手段は、失効メンバの装置に対応する、グループのメンバであ ることを示すメンバ登録証明書と、メンバ状態が有効な状態又は失効された状態であ ることを示す状態情報とを対応づけたリストを、メンバ失効リストとして記憶し、判定要 求受信手段は、メンバ状態の判定要求として、メンバ登録証明書を所定の変換によ つて復元可能なデータである変換データを認証装置から受信し、状態判定手段は、 判定要求受信手段が受信した変換データにもとづいてメンバ登録証明書を生成し、 失効リスト記憶手段が記憶するメンバ失効リストに含まれる状態情報のうち、生成した メンバ登録証明書に対応する状態情報にもとづいて、グループ署名データを生成し た装置のユーザのメンバ状態を判定するものであってもよい。そのような構成によれ ば、認証装置は、メンバ状態判定装置に変換データのみを送信する。従って、認証 装置は、メンバ状態判定装置に対して、受け取ったメッセージを秘匿することができる 。また、メンバ状態判定装置に対して、各署名装置の Iひ f青報を秘匿することができる

[0029] また、失効リスト記憶手段は、失効メンバの装置に対応する、グループ署名データ が特定のユーザの装置によって作成されたことを確認可能な情報である署名者確認 用情報のリストを、メンバ失効リストとして記憶し、判定要求受信手段は、メンバ状態の 判定要求として、メッセージ及びグループ署名データを認証装置から受信し、状態判 定手段は、判定要求受信手段が受信したメッセージ及びグループ署名データと、失 効リスト記憶手段が記憶する失効メンバリストに含まれる署名者確認用情報とにもとづ V、て、グループ署名データを生成した装置のユーザのメンバ状態を判定するもので あってもよい。そのような構成によれば、署名者確認用情報の変換データをグループ 署名データの一部として出力する。また、メンバ状態判定装置は、変換データを用い てメンバ状態を判定する。従って、メンバ状態判定装置は、開封情報を用いずにメン バ状態を判定することができる。

[0030] 本発明によるグループ署名方法は、メッセージに対する署名データを生成し、署名 データがグループのうちのいずれかのメンバの装置によって作成されたものであるか 否かを認証するグループ署名方法であって、署名データを生成する署名装置が、メ ッセージに対して、メッセージがグループのうちのいずれかのメンバの装置によって 作成されたものであることを示す署名データであるグループ署名データを生成するス テツプと、署名装置が、生成したグループ署名データを、通信ネットワークを介して、 署名データを認証する認証装置に送信するステップと、認証装置が、署名装置から 受信したグループ署名データを認証するステップと、認証装置が、グループ署名デ ータがグループのうちのいずれかのメンバの署名装置によって作成されたものである と判断すると、グループ署名データを生成した署名装置のユーザが現時点において グループの有効なメンバとしての資格をもっか否かを示すメンバ状態を判定するメン バ状態判定サーバに、通信ネットワークを介してメンバ状態の判定要求を送信するス テツプと、メンバ状態判定サーバが、認証装置からメンバ状態の判定要求を受信する と、グループ署名データを生成した署名装置のユーザのメンバ状態を判定するステツ プとを含むことを特徴とする。

[0031] また、グループ署名方法は、メンバ状態判定装置が、失効メンバの装置に対応する 情報のリストを、グループのメンバとしての資格を失効されたユーザである失効メン バのリストであるメンバ失効リストとして記憶するステップと、署名装置が、メッセージ及 びグループ署名データを、通信ネットワークを介して認証装置に送信するステップと、 認証装置力 グループ署名データがグループのうちのいずれかのメンバの署名装置 によって作成されたものであると判断すると、メンバ状態の判定要求としてメッセージ 及びグループ署名データを、通信ネットワークを介してメンバ状態判定装置に送信す るステップと、メンバ状態判定装置が、認証装置から受信したメッセージ及びグルー プ署名データと、グループ署名データを開封するための暗号鍵である開封情報とを 用いて、グループ署名データを生成した署名装置の HD情報を特定するステップと、メ ンバ状態判定装置が、記憶したメンバ失効リストと特定した Iひ f青報とにもとづいて、グ ループ署名データを生成した署名装置のユーザのメンバ状態を判定するステップと を含むものであってもよ 、。

[0032] また、グループ署名方法は、メンバ状態判定装置が、失効メンバの装置に対応する 、グループのメンバであることを示すメンバ登録証明書と、メンバ状態が有効な状態 又は失効された状態であることを示す状態情報とを対応づけたリストを、グループのメ ンバとしての資格を失効されたユーザである失効メンバのリストであるメンバ失効リスト として記憶するステップと、認証装置が、グループ署名データがグループのうちのい ずれかのメンバの署名装置によって作成されたものであると判断すると、メンバ状態 の判定要求として、メンバ登録証明書を所定の変換によって復元可能なデータであ る変換データを、通信ネットワークを介してメンバ状態判定装置に送信するステップと 、メンバ状態判定装置が、認証装置から受信した変換データにもとづいてメンバ登録 証明書を生成するステップと、メンバ状態判定装置が、記憶したメンバ失効リストに含 まれる状態情報のうち、生成したメンバ登録証明書に対応する状態情報にもとづいて 、グループ署名データを生成した署名装置のユーザのメンバ状態を判定するステツ プとを含むものであってもよい。そのような構成によれば、認証装置は、メンバ状態判 定装置に変換データのみを送信する。従って、認証装置は、メンバ状態判定装置に 対して、受け取ったメッセージを秘匿することができる。また、メンバ状態判定装置に 対して、各署名装置の Iひ f青報を秘匿することができる。

[0033] また、グループ署名方法は、メンバ状態判定装置が、失効メンバの装置に対応する 、グループ署名データが特定のユーザの装置によって作成されたことを確認可能な 情報である署名者確認用情報のリストを、グループのメンバとしての資格を失効され たユーザである失効メンバのリストであるメンバ失効リストとして記憶するステップと、 署名装置が、メッセージ及びグループ署名データを、通信ネットワークを介して認証 装置に送信するステップと、認証装置が、グループ署名データがグループのうちのい ずれかのメンバの署名装置によって作成されたものであると判断すると、メンバ状態 の判定要求としてメッセージ及びグループ署名データを、通信ネットワークを介してメ ンバ状態判定装置に送信するステップと、メンバ状態判定装置が、認証装置から受 信したメッセージ及びグループ署名データと、記憶した失効メンバリストに含まれる署 名者確認用情報とにもとづいて、グループ署名データを生成した署名装置のユーザ のメンバ状態を判定するステップとを含むものであってもよい。そのような構成によれ ば、署名者確認用情報の変換データをグループ署名データの一部として出力する。 また、メンバ状態判定装置は、変換データを用いてメンバ状態を判定する。従って、メ ンバ状態判定装置は、開封情報を用いずにメンバ状態を判定することができる。

[0034] 本発明によるメンバ状態判定プログラムは、メッセージがグループのうちの 、ずれか のメンバの装置によって作成されたものであることを示す署名データであるグループ 署名データを生成した装置のユーザ力 現時点においてグループの有効なメンバと しての資格をもつカゝ否かを示すメンバ状態を判定するためのメンバ状態判定プロダラ ムであって、グループのメンバとしての資格を失効されたユーザである失効メンバのリ ストであるメンバ失効リストを記憶する失効リスト記憶手段を備えたコンピュータに、グ ループ署名データを認証する認証装置から、通信ネットワークを介してメンバ状態の 判定要求を受信する処理と、認証装置から判定要求を受信すると、失効リスト記憶手 段が記憶するメンバ失効リストにもとづいて、グループ署名データを生成した装置の ユーザのメンバ状態を判定する処理と、判定したメンバ状態の判定結果を、通信ネッ トワークを介して認証装置に送信する処理とを実行させることを特徴とする。

[0035] また、メンバ状態判定プログラムは、失効メンバの装置に対応する 情報のリストを

、メンバ失効リストとして記憶する失効リスト記憶手段を備えたコンピュータに、メンバ 状態の判定要求として、メッセージ及びグループ署名データを認証装置から受信す る処理と、認証装置カゝら受信したメッセージ及びグループ署名データと、グループ署 名データを開封するための暗号鍵である開封情報とを用いて、グループ署名データ を生成した装置の Iひ f青報を特定する処理と、失効リスト記憶手段が記憶するメンバ失 効リストと特定した HD情報とにもとづいて、グループ署名データを生成した装置のュ 一ザのメンバ状態を判定する処理とを実行させるものであってもよい。

[0036] また、メンバ状態判定プログラムは、失効メンバの装置に対応する、グループのメン バであることを示すメンバ登録証明書と、メンバ状態が有効な状態又は失効された状 態であることを示す状態情報とを対応づけたリストを、メンバ失効リストとして記憶する 失効リスト記憶手段を備えたコンピュータに、メンバ状態の判定要求として、メンバ登 録証明書を所定の変換によって復元可能なデータである変換データを認証装置力 受信する処理と、認証装置力 受信した変換データにもとづいてメンバ登録証明書 を生成する処理と、失効リスト記憶手段が記憶するメンバ失効リストに含まれる状態情 報のうち、生成したメンバ登録証明書に対応する状態情報にもとづいて、グループ署 名データを生成した装置のユーザのメンバ状態を判定する処理とを実行させるもの であってもよい。そのような構成によれば、認証装置は、メンバ状態判定装置に変換 データのみを送信する。従って、認証装置は、メンバ状態判定装置に対して、受け取 つたメッセージを秘匿することができる。また、メンバ状態判定装置に対して、各署名 装置の 情報を秘匿することができる。

[0037] また、メンバ状態判定プログラムは、失効メンバの装置に対応する、グループ署名 データが特定のユーザの装置によって作成されたことを確認可能な情報である署名 者確認用情報のリストを、メンバ失効リストとして記憶する失効リスト記憶手段を備えた コンピュータに、メンバ状態の判定要求として、メッセージ及びグループ署名データを 認証装置カゝら受信する処理と、認証装置カゝら受信したメッセージ及びグループ署名 データと、失効リスト記憶手段が記憶する失効メンバリストに含まれる署名者確認用 情報とにもとづいて、グループ署名データを生成した装置のユーザのメンバ状態を判 定する処理とを実行させるものであってもよい。そのような構成によれば、署名者確認 用情報の変換データをグループ署名データの一部として出力する。また、メンバ状態 判定装置は、変換データを用いてメンバ状態を判定する。従って、メンバ状態判定装 置は、開封情報を用いずにメンバ状態を判定することができる。

発明の効果

[0038] 本実施の形態によれば、メンバ状態を判定するメンバ状態判定装置を新たに導入 する。また、グループ署名データを認証する際に、グループ署名データを生成した装 置のユーザがメンバ資格を失効されているか否かを、メンバ状態判定装置に問い合 わせる。メンバ状態の有効性の判断をメンバ状態判定装置に任せることができるので 、失効メンバが発生する際に秘密鍵等のパラメータを更新する必要をなくすことがで きる。従って、メンバ失効に関する処理を効率よく行えるようにすることができる。 発明を実施するための最良の形態 [0039] 実施の形態 1.

以下、本発明の第 1の実施の形態を図面を参照して説明する。図 1は、本発明によ るグループ署名システムの構成の一例を示すブロック図である。図 1に示すように、グ ループ署名システムは、グループ管理装置 1と、署名装置 2と、検証装置 3と、メンバ 状態応答装置 4とを含む。また、図 2は、図 1に示すグループ署名システムの詳細構 成の一例を示すブロック図である。

[0040] グループ管理装置 1は、例えば、グループを管理するサーバによって実現される。

本実施の形態では、グループ管理装置 1は、グループへの新たなメンバ登録を行うメ ンバ登録処理や、グループのメンバとしての資格を失効させるメンバ失効処理を行う ことによって、グループを管理する。図 2に示すように、グループ管理装置 1は、公開 情報開示手段 101と、メンバ登録用情報記憶部 102と、メンバ登録手段 103と、メン バ情報記憶部 104と、失効メンバ通知手段 105と、開封情報記憶部 106と、署名開 封手段 107と、署名者特定手段 108とを含む。

[0041] 公開情報開示手段 101は、例えば、サーバの CPU、記憶装置及びネットワークィ ンタフエース部によって実現される。公開情報開示手段 101は、システムで使用する 各種の公開情報を記憶し、インターネット等のネットワークを介してアクセス可能な全 ての装置が自由に参照できるように開示する機能を備える。本実施の形態では、グ ループの各メンバが使用する端末においてメッセージを作成する場合に、メッセージ がグループのうちのいずれかのメンバの署名装置 2によって作成されたものであるこ とを示す署名データ（グループ署名データという）が作成される。例えば、公開情報開 示手段 101は、グループ署名データを認証するためのグループ公開鍵を公開情報と して記憶し、インターネットを介してアクセス可能な全ての端末にグループ公開鍵を 公開する。

[0042] メンバ登録情報記憶部 102は、例えば、サーバの記憶装置によって実現される。メ ンバ登録用情報記憶部 102は、メンバ登録手段 103がメンバ登録の処理を行う際に 用いるメンバ登録用情報を記憶する。なお、「メンバ登録用情報」とは、メンバ登録手 段 103がメンバ登録用のメンバ登録証明書を生成するために用いる暗号鍵 (本実施 の形態では、秘密鍵)である。 [0043] メンバ登録手段 103は、例えば、サーバの CPU及びネットワークインタフェース部 によって実現される。メンバ登録手段 103は、署名装置 2のグループ加入手段 201と 通信し、メンバ登録用情報を用いてメンバ登録証明書を発行する機能を備える。本 実施の形態では、メンバ登録手段 103は、単独でメンバ登録証明書を生成するので はなぐグループ加入手段 201と共同してメンバ登録証明書を生成することによって 、署名装置 2に対してメンバ登録証明書を発行する。本実施の形態では、メンバ登録 手段 103は、所定のアルゴリズムに従って生成したデータをグループ加入手段 201 に送信し、又はグループ加入手段 201から受信したデータを所定のアルゴリズムに 従って処理することによって、メンバ登録証明書を生成する。

[0044] また、メンバ登録手段 103は、生成したメンバ登録証明書と、署名装置 2を特定でき る 情報とを合わせてメンバ情報記憶部 104に記憶させる機能を備える。この場合、 例えば、メンバ登録手段 103は、メンバ登録証明書を生成するやりとりの際にグルー プ加入手段 201から受信したデータに添付された署名データを、 HD情報としてメンバ 情報記憶部 104に記憶させる。

[0045] メンバ情報記憶部 104は、例えば、サーバの記憶装置によって実現される。メンバ 情報記憶部 104は、メンバ登録手段 103が出力したメンバ登録証明書と HD情報とを 対応づけて記憶する。図 3は、メンバ情報記憶部 104が記憶する情報の一例を示す 説明図である。図 3に示すように、例えば、メンバ情報記憶部 104は、メンバ登録証明 書と HD情報との対を、署名装置 2を示すメンバ情報として署名装置 2ごとに記憶する

[0046] 失効メンバ通知手段 105は、例えば、サーバの CPU及びネットワークインタフエ一 ス部によって実現される。失効メンバ通知手段 105は、グループメンバとしての資格 を失ったユーザの署名装置 2に対応する 情報をメンバ情報記憶部 104から読み出 し、メンバ状態応答装置 4に通知する機能を備える。例えば、グループ署名システム の管理者によっていずれかのメンバの資格失効操作が行われ失効メンバの情報が 入力されると、失効メンバ通知手段 105は、メンバ情報記憶部 104から、資格失効さ れたメンバの署名装置 2に対応する 情報を抽出する。そして、失効メンバ通知手 段 105は、抽出した 情報を、メンバ状態応答装置 4に送信する。 [0047] 開封情報記憶部 106は、例えば、サーバの記憶装置によって実現される。開封情 報記憶部 106は、署名開封手段 107が署名データを開封する際に用いる開封情報 を記憶する。なお、「開封情報」とは、グループ署名データを開封するための暗号鍵（ 本実施の形態では、秘密鍵)である。

[0048] 署名開封手段 107は、例えば、サーバの CPU及びネットワークインタフェース部に よって実現される。署名開封手段 107は、検証で受理されるグループ署名データとメ ッセージとを受け取る（受信する)機能を備える。また、署名開封手段 107は、グルー プ署名データ及びメッセージと開封情報記憶部 106が記憶する開封情報とを用いて 、グループ署名データを生成した署名装置 2を特定するための署名者特定用情報を 生成する機能を備える。なお、本実施の形態では、署名者特定用情報は、所定のァ ルゴリズムに従って求められる数値情報であり、グループ署名データがいずれのユー ザの署名装置 2によって生成された力を特定可能な情報である。また、署名開封手 段 107は、生成した署名者特定用情報を署名者特定手段 108に出力する機能を備 える。

[0049] 署名者特定手段 108は、例えば、サーバの CPUによって実現される。署名者特定 手段 108は、署名開封手段 107から入力した署名者特定用情報及びメンバ情報記 憶部 104が記憶するメンバ情報を用いて、グループ署名データを生成した署名装置 2を特定する機能を備える。また、署名者特定手段 108は、特定した署名装置 2の ID 情報を出力する機能を備える。

[0050] 署名装置 2は、グループのメンバであるユーザが使用する装置であり、例えば、 一ソナルコンピュータ等の情報処理端末によって実現される。図 2に示すように、署 名装置 2は、グループ加入手段 201と、メンバ登録証明書記憶部 202と、グループ署 名鍵記憶部 203と、メッセージ入力手段 204と、乱数生成器 205と、グループ署名生 成手段 206とを含む。

[0051] グループ加入手段 201は、例えば、情報処理端末の CPU及びネットワークインタフ エース部によって実現される。グループ加入手段 201は、グループ管理装置 1のメン バ登録手段 103と通信し、メンバ登録証明書と、グループ署名データを生成するた めの暗号鍵 (本実施の形態では、秘密鍵)であるグループ署名鍵とを生成する機能 を備える。また、グループ加入手段 201は、生成したメンバ登録証明書とグループ署 名鍵とを、メンバ登録証明書記憶部 202とグループ署名鍵記憶部 203とにそれぞれ 出力する機能を備える。

[0052] 本実施の形態では、グループ加入手段 201は、単独でメンバ登録証明書を生成す るのではなぐメンバ登録手段 103と共同してメンバ登録証明書を生成することによつ て、グループ管理装置 1によってメンバ登録証明書を発行される。そして、グループ 加入手段 201は、生成したメンバ登録証明書をメンバ登録証明書記憶部 202に出力 する。なお、グループ加入手段 201は、メンバ登録手段 103とのやりとりを通じて、メ ンバ登録手段 103が生成するメンバ登録証明書と同一のメンバ登録証明書を生成 する。メンバ登録証明書は、グループ公開鍵とメンバ登録用情報を入力として計算さ れる。

[0053] また、例えば、グループ加入手段 201は、単独でグループ署名鍵を生成するので はなぐメンバ登録手段 103と共同してグループ署名鍵を生成する。この場合、例え ば、グループ加入手段 201は、所定のアルゴリズムに従って生成したデータをメンバ 登録手段 103に送信し、又はメンバ登録手段 103から受信したデータを所定のアル ゴリズムに従って処理することによって、グループ署名鍵を生成する。そして、グルー プ加入手段 201は、生成したグループ署名鍵をグループ署名鍵記憶部 203に出力 する。なお、例えば、グループ加入手段 201は、メンバ登録手段 103とやりとりするこ となく、単独でグループ署名鍵を生成しグループ署名鍵記憶部 203に出力してもよ い。ただし、いずれの場合においても、グループ署名鍵はメンバ管理装置 1に知られ ないように秘密に記憶する。これにより、グループ管理装置 1であっても、署名者特定 手段 108で署名装置 2が生成したと特定されるようなグループ署名データを生成する ことができない。

[0054] メンバ登録証明書記憶部 202及びグループ署名鍵記憶部 203は、例えば、情報処 理端末の記憶装置によって実現される。メンバ登録証明書記憶部 202は、グループ 加入手段 201から出力されたメンバ登録証明書を記憶する。また、グループ署名鍵 記憶部 203は、グループ加入手段 201から出力されたグループ署名鍵を記憶する。

[0055] メッセージ入力手段 204は、例えば、情報処理端末の CPU、及びキーボードやマ ウス等の入力装置によって実現される。メッセージ入力手段 204は、グループのメン バであるユーザの操作に従ってグループ署名データを付与すべきメッセージを入力 し、グループ署名生成手段 206に出力する機能を備える。乱数生成器 205は、ダル ープ署名生成手段 206が署名データを生成する際に用いる乱数を生成する機能を 備える。

[0056] グループ署名生成手段 206は、例えば、情報処理端末の CPUによって実現される 。グループ署名生成手段 206は、メッセージ、乱数、メンバ登録証明書及びグループ 署名鍵にもとづいて、署名装置 2がグループ管理装置 1に正しく登録したグループメ ンバの装置であることを示すグループ署名データを生成し出力する機能を備える。

[0057] なお、グループ署名生成手段 206は、署名装置 2を特定できる情報を明かさずに 示すグループ署名データ (ユーザがグループに所属していることを匿名性を保ったま ま示す署名）を出力する。例えば、メッセージを受信した検証装置 3は、グループ署 名データにもとづいて認証を行うことによって、メッセージがグループ内のいずれかの メンバによって生成されたものであることを知ることができる。しかし、検証装置 3は、 グループ署名データにもとづいて、メンバ登録証明書やグループ署名鍵を暗号学的 に復元することはできない。従って、検証装置 3は、メッセージがグループ内のいず れのメンバによって作成されたカゝまでは特定できず、ユーザの匿名性が保たれる。

[0058] 検証装置 3は、署名装置 2から受信したグループ署名データを検証 (認証)する装 置であり、例えば、パーソナルコンピュータ等の情報処理端末によって実現される。 検証装置 3は、グループ署名データを認証し、メッセージを受理するか不受理とする かの検証結果を出力する機能を備える。図 2に示すように、検証装置 3は、グループ 署名検証手段 301と、検証結果出力手段 302とを含む。

[0059] グループ署名検証手段 301は、例えば、情報処理端末の CPU及びネットワークィ ンタフェース部によって実現される。グループ署名検証手段 301は、署名装置 2から メッセージとグループ署名データとを受け取り（受信し）、グループ署名データの正当 性を調べる機能を備える。本実施の形態では、グループ署名検証手段 301は、ダル ープ管理装置 1が公開する公開情報を用いて、グループ署名データを認証する。ま た、グループ署名検証手段 301は、グループ署名データが正当でないと判断した場 合、「不受理」と判定し検証結果を出力する機能を備える。

[0060] また、グループ署名検証手段 301は、グループ署名データが正当であると判断した 場合、グループ署名データを生成した署名装置 2が有効なグループメンバの装置で あるカゝ否かを確認するために、メッセージとグループ署名データとをメンバ状態応答 装置 4の署名開封手段 404に送信する機能を備える。すなわち、グループ署名検証 手段 301は、メッセージとグループ署名データとを送信することによって、メッセージ を作成したユーザが現在も有効なグループメンバであるか、又は既に資格を失効さ れたメンバであるかを示すメンバ状態を問い合わせる。

[0061] 検証結果出力手段 302は、例えば、情報処理端末の CPU及びネットワークインタ フェース部によって実現される。検証結果出力手段 302は、メンバ状態応答装置 4の メンバ状態判定手段 407からメンバ状態の判定結果を受信する機能を備える。また、 検証結果出力手段 302は、受信した判定結果が「有効」である場合には「受理」と判 定し、受信した判定結果力 ^失効」である場合には「不受理」と判定し、「受理」又は「 不受理」の検証結果を出力する機能を備える。

[0062] メンバ状態応答装置 4は、例えば、各グループメンバのメンバ状態を判定するサー バによって実現される。図 2に示すように、メンバ状態応答装置 4は、失効メンバ受信 手段 401と、メンバ失効リスト記憶部 402と、開封情報記憶部 403と、署名開封手段 4 04と、メンバ情報記憶部 405と、署名者特定手段 406と、メンバ状態判定手段 407と を含む。

[0063] 失効メンバ受信手段 401は、例えば、サーバの CPU及びネットワークインタフエ一 ス部によって実現される。失効メンバ受信手段 401は、失効メンバ通知手段 105から 送信された失効メンバの 情報を受信し、メンバ失効リスト記憶部 402に記憶させる 機能を備える。

[0064] メンバ失効リスト記憶部 402及び開封情報記憶部 403は、例えば、サーバの記憶 装置によって実現される。メンバ失効リスト記憶部 402は、グループメンバの資格を失 効されたメンバ (失効メンバ）のリストであるメンバ失効リストを記憶する。図 4は、メンバ 失効リスト記憶部 402が記憶する情報の一例を示す説明図である。図 4に示すように 、例えば、メンバ失効リスト記憶部 402は、メンバ失効リストとして、資格失効されたメ ンバの署名装置 2を示す 情報の集合を記憶する。開封情報記憶部 403は、ダル ープ管理装置 1の開封情報記憶部 106が記憶する開封情報と同じ情報内容の開封 情報を記憶する。

[0065] 署名開封手段 404は、例えば、サーバの CPU及びネットワークインタフェース部に よって実現される。署名開封手段 404は、検証装置 3のグループ署名検証手段 301 からメッセージ及びグループ署名データを受信する機能を備える。また、署名開封手 段 404は、受信したメッセージ及びグループ署名データと、開封情報記憶部 403が 記憶する開封情報と、公開情報開示手段 101が開示する各種公開情報とを用いて、 グループ署名データを生成した署名装置 2を特定するための署名者特定用情報を 生成する機能を備える。また、署名開封手段 404は、生成した署名者特定用情報を 署名者特定手段 406に出力する機能を備える。

[0066] メンバ情報記憶部 405は、例えば、サーバの記憶装置によって実現される。メンバ 情報記憶部 405は、グループ管理装置 1のメンバ情報記憶部 104が記憶するメンバ 情報と同じ情報内容のメンバ情報を記憶する。なお、メンバ情報記憶部 405が記憶 するメンバ情報は、何らかの方法でグループ管理装置 1からメンバ状態応答装置 4に 通知される。例えば、メンバ状態応答装置 4は、予めメンバ情報をグループ管理装置 1から受信し、受信したメンバ情報をメンバ情報記憶部 405に記憶させる。

[0067] 署名者特定手段 406は、例えば、サーバの CPUによって実現される。署名者特定 手段 406は、署名開封手段 404から署名者特定用情報を受け取り、署名者特定用 情報とメンバ情報記憶部 405が記憶するメンバ情報とを用いて、グループ署名デー タを生成した署名装置 2の 情報を特定する機能を備える。また、署名者特定手段 4 06は、特定した HD情報をメンバ状態判定手段 407に出力する機能を備える。

[0068] メンバ状態判定手段 407は、例えば、サーバの CPU及びネットワークインタフエ一 ス部によって実現される。メンバ状態判定手段 407は、署名開封手段 406から Iひ f青 報を受け取り、メンバ失効リストを用いて HD情報に対応する署名装置 2が有効なダル ープメンバの装置である力否かを調べる機能を備える。

[0069] 本実施の形態では、メンバ状態判定手段 407は、署名者特定手段 406が特定した 情報とメンバ失効リスト記憶部 402が記憶するメンバ失効リストとを照合し、特定し た 情報に一致する情報カ ンバ失効リストに含まれる力否かを判断する。一致する 情報が含まれると判断すると、メンバ状態判定手段 407は、メンバ状態を「失効」と 判定する。また、一致する Iひ 報が含まれないと判断すると、メンバ状態判定手段 4

07は、メンバ状態を「有効」と判定する。

[0070] また、メンバ状態判定手段 407は、有効又は失効を示すメンバ状態を含む応答デ ータを、検証装置 3の検証結果出力手段 302に送信する機能を備える。

[0071] なお、本実施の形態において、メンバ状態応答装置 4の記憶装置は、メンバ状態を 判定するための各種プログラムを記憶している。例えば、メンバ状態応答装置 4の記 憶装置は、コンピュータに、グループ署名データを認証する認証装置から、通信ネッ トワークを介してメンバ状態の判定要求を受信する処理と、認証装置力 判定要求を 受信すると、失効リスト記憶手段が記憶するメンバ失効リストにもとづいて、グループ 署名データを生成した装置のユーザのメンバ状態を判定する処理と、判定したメンバ 状態の判定結果を、通信ネットワークを介して認証装置に送信する処理とを実行させ るためのメンバ状態判定プログラムを記憶している。

[0072] 次に、動作について説明する。図 5は、グループ署名システムカ^ツセージに添付 されたグループ署名の正当性を判断し、且つ失効メンバか否かを判断する処理の一 例を示す流れ図である。以下、図 2及び図 5を参照して、グループ署名システムの動 作を説明する。

[0073] まず、ユーザが新規にグループに加入する際に、ユーザをメンバとして登録するグ ループ加入処理の動作を説明する。署名装置 2は、グループに加入するために、グ ループ管理装置 1と通信して登録処理を行う。署名装置 2のグループ加入手段 201 は、グループ管理装置 1のメンバ登録手段 103と通信し、メンバ登録証明書及びダル ープ署名鍵を生成して出力する。また、グループ加入手段 201は、メンバ登録証明 書をメンバ登録証明書 202に記憶させ、グループ署名鍵をグループ署名鍵記憶部 2 03に記憶させる。

[0074] メンバ登録手段 103は、署名装置 2に発行したメンバ登録証明書と、署名装置 2を 特定できる 情報とを一組にして、メンバ情報記憶部 104に記憶させる。なお、 情 報として、例えば、署名装置 2から送られるメッセージに付加されたデジタル署名等を 用いてもよい。また、メンバ情報記憶部 104に記憶されたメンバ登録証明書及び ID 情報は、グループ加入処理後に、グループ管理装置 1やメンバ状態応答装置 4が、 グループ署名データにもとづ!/ヽてグループ署名データを生成した署名装置 2を特定 するために用いる。

[0075] 次に、失効メンバが発生した場合に、グループ管理装置 1がメンバ状態応答装置 4 に失効メンバを通知する失効メンバ通知処理の動作を説明する。グループのメンバ であるユーザの署名装置 2をグループから削除する場合、グループ管理装置 1の失 効メンバ通知手段 105は、削除した 、署名装置 2に対応する Iひ f青報をメンバ情報記 憶部 104から読み出す。また、失効メンバ通知手段 105は、読み出した HD情報をメン バ状態応答装置 4に送信する。メンバ状態応答装置 4の失効メンバ受信手段 401は

、失効メンバ通知手段 105から Iひ f青報を受信し、受信した 情報をメンバ失効リスト 記憶部 402に記憶させる。

[0076] 次に、署名装置 2がグループ署名データを生成するグループ署名生成処理の動作 を説明する。グループに加入したユーザの署名装置 2は、ユーザ操作に従ってメッセ ージを入力すると、メッセージに対するグループ署名データを生成する。グループ署 名生成手段 206は、メッセージ入力手段 204から入力したメッセージ、乱数生成器 2 05が生成した乱数、メンバ登録証明書記憶部 202が記憶するメンバ登録証明書、及 びグループ署名鍵記憶部 203が記憶するグループ署名鍵にもとづ 、て、グループ署 名データを生成する。この場合、グループ署名生成手段 206は、署名装置 2を特定 できる情報を明力さずに、署名装置 2がグループのメンバの装置であることを示すグ ループ署名データを生成する。そして、グループ署名生成手段 206は、メッセージと グループ署名データとを出力する。

[0077] 次に、検証装置 3及びメンバ状態応答装置 4がグループ署名の正当性を判断し、 且つ失効メンバか否かを判断する処理の動作を説明する。検証装置 3は、署名装置 2からメッセージとグループ署名データとを受け取り、グループ署名データがメッセ一 ジに対する正 、署名であるか否か

、ずれかのメンバの署名装置 2 によって生成された署名データであるか否力 )を検証する。図 5に示すように、グルー プ署名検証手段 301は、メッセージ、グループ署名データ、及び公開情報開示手段 101が開示する公開情報にもとづいて、グループ署名データがグループ署名生成手 段 206で正しく生成された署名データである力否かを確認する (ステップ S 101)。グ ループ署名データが正しく生成された署名データでないと判断すると、グループ署 名検証手段 301は、グループ署名データにもとづいて不受理と判定し、メッセージを 受理しな！ヽ旨の検証結果を出力する。

[0078] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301は、グループ署名データを生成した署名装置 2のメンバ状態を確 認する。すなわち、グループ署名検証手段 301は、署名装置 2がグループの有効な メンバの装置であるカゝ否かを確認する。グループ署名検証手段 は、メンバ状態 応答装置 4にメッセージ及びグループ署名データを送信し (ステップ S102)、署名装 置 2のメンバ状態の判定を要求する。

[0079] メンバ状態応答装置 4の署名開封手段 404は、検証装置 3から、メッセージ及びグ ループ署名データを受け取る（受信する）。また、署名開封手段 404は、メッセージ、 グループ署名データ、及び公開情報開示手段 101が開示する公開情報を用いて、 グループ署名データの正当性を確認する（ステップ S 103)。グループ署名データが 正当でないと判断すると、署名開封手段 404は、メンバ状態を「不明」であると判定し 、「不明」を示す応答データを検証装置 3に送信する (ステップ S104)。

[0080] グループ署名データが正当であると判断すると、署名開封手段 404は、開封情報 記憶部 403が記憶する開封情報を用いて、グループ署名データを生成した署名装 置 2を特定するための署名者特定用情報を生成し、署名者特定手段 406に出力す る（ステップ S 105)。

[0081] 署名者特定手段 406は、署名者特定用情報を受け取ると、メンバ情報記憶部 405 が記憶するメンバ情報を用いて、署名者特定用情報で示される署名装置 2を特定す る。そして、署名者特定手段 406は、特定した署名装置 2に対応する 情報をメンバ 状態判定手段 407に出力する (ステップ S106)。

[0082] メンバ状態判定手段 407は、 Iひ f青報を受け取ると、メンバ失効リスト記憶部 402が 記憶するメンバ失効リストにもとづいて、署名者特定手段 406が特定した HD情報がメ ンバ失効リストに存在する力否かを調べる (ステップ S107)。メンバ失効リストに存在 すると判断すると、メンバ状態判定手段 407は、メンバ状態を「失効」と判定する (ステ ップ S108)。また、メンバ失効リストに存在しないと判断すると、メンバ状態判定手段 4 07は、メンバ状態を「有効」であると判定する (ステップ S109)。そして、メンバ状態判 定手段 407は、それぞれ「失効」又は「有効」を示す応答データを検証装置 3に送信 する。

[0083] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受信し受け取る (ステップ S110)。検証結果出力手段 302は、応答データにもとづい てメンバ状態が「有効」である力否かを判断する (ステップ S111)。応答データにもと づいてメンバ状態「有効」であると判断すると、検証結果出力手段 302は、グループ 署名データにもとづいてメッセージを「受理」すると判定する。また、メンバ状態が「有 効」以外 (すなわち、「失効」又は「不明」）であると判断すると、検証結果出力手段 30 2は、グループ署名データにもとづいてメッセージを「不受理」と判定する。そして、検 証結果出力手段 302は、「受理」又は「不受理」の検証結果を出力する。

[0084] 以上のように、ステップ S101からステップ S111までの処理が実行されることによつ て、検証装置 3は、メッセージがグループ内のいずれかのメンバ（少なくとも現在又は 過去にお 、てメンバであったユーザ）によって作成されたものであることを確認する。 また、検証装置 3は、メンバ状態応答装置 4にメンバ状態の判定を依頼することによつ て、メッセージを作成したユーザが現在にぉ 、ても有効な資格をもつグループメンバ であることを確認し、メッセージを受理する力否かを判断することができる。

[0085] 次に、グループ署名を生成した署名装置 2を特定する署名装置特定処理の動作を 説明する。グループ管理装置 1は、必要に応じて、メッセージとグループ署名データ とにもとづいてグループ署名データを生成した署名装置 2を特定する。署名開封手 段 107は、メッセージとグループ署名データとを受け取る（受信する）。署名開封手段 107は、開封情報記憶部 106が記憶する開封情報にもとづいて、グループ署名デー タを生成した署名装置 2を特定するための署名者特定用情報を生成し、署名者特定 手段 108に出力する。

[0086] 署名者特定手段 108は、署名者特定用情報とメンバ情報記憶部 104が記憶するメ ンバ情報とにもとづいて、グループ署名データを生成した署名装置 2に対応するメン バ登録証明書及び HD情報を特定し、署名装置 2を特定した結果を出力する。

[0087] なお、本実施の形態にお!、て、グループ署名生成手段 206は、グループ署名デー タを、メッセージを予め定めたハッシュ関数を用いて変換したハッシュ値を入力として 生成してもよい。この場合、グループ署名検証手段 301が行う検証処理において、グ ループ署名検証手段 301は、まずメッセージからメッセージのハッシュ値を計算する 。そして、グループ署名検証手段 301は、メッセージのハッシュ値を用いてグループ 署名データを認証する。そのようにすれば、メンバ状態応答装置 4に送信するデータ をメッセージのハッシュ値及びグループ署名データに代えることができる。従って、検 証装置 3は、メンバ状態応答装置 4にメッセージを秘匿することができる。

[0088] また、本実施の形態では、グループ管理装置 1とメンバ状態応答装置 4とが異なる サーバを用いて実現される場合を説明したが、グループ管理装置 1とメンバ状態応 答装置 4とは、同じサーバを用いて実現されるものであってもよい。この場合、グルー プ管理装置 1とメンバ状態応答装置 4との各構成要素のうち、機能が共通する構成要 素については、同じものであってもよい。例えば、メンバ情報記憶部 104とメンバ情報 記憶部 405とが同じであり、開封情報記憶部 106と開封情報記憶部 403とが同じで あり、署名開封手段 107と署名開封手段 404とが同じであり、署名者特定手段 108と 署名者特定手段 406とが同じものであってもよい。

[0089] 以上のように、本実施の形態によれば、グループ署名の署名者のメンバ状態判定 をメンバ状態応答装置 4が行う。そのため、メンバ無効化機能を持たないグループ署 名システムと同じ構成を用いてメンバ無効化機能を実現することができ、メンバ無効 化に必要な計算量を削減できる。すなわち、本実施の形態によれば、新たにメンバ 状態応答装置 4を導入し、検証装置 3は、グループ署名データを生成した署名装置 2 のユーザ力 Sメンバ資格を失効されているか否かを、メンバ状態応答装置 4に問い合わ せる。メンバ状態の有効性の判断をメンバ状態応答装置 4に任せることができるので 、失効メンバが発生する際に秘密鍵等のパラメータを更新する必要をなくすことがで きる。従って、メンバ失効に関する処理を効率よく行えるようにすることができる。

[0090] また、本実施の形態によれば、グループ署名データを検証する際にメンバ状態の 判定を行う。すなわち、本実施の形態によれば、検証装置 3は、グループ署名データ を検証する度にメンバ状態応答装置 4にメンバの有効性を問い合わせる。そして、メ ンバ状態応答装置 4は、問い合わせの時点でのメンバ状態にもとづいて、検証装置 3 に対して判定結果を応答する。そのため、検証時点でのメンバ状態にもとづいて判 定し、検証結果を出力することができる。従って、グループ署名データを検証する時 点でグループメンバの有効性を確認することができる。

[0091] 実施の形態 2.

次に、本発明の第 2の実施の形態を図面を参照して説明する。図 6は、グループ署 名システムの他の構成例を示すブロック図である。図 6に示すように、グループ署名 システムは、グループ管理装置 1と、署名装置 2と、検証装置 3と、メンバ状態応答装 置 4とを含む。本実施の形態において、署名装置 2及び検証装置 3の構成は、第 1の 実施の形態で示したそれらの構成と同様である。本実施の形態では、グループ管理 装置 1の失効メンバ通知手段 105Aの機能が第 1の実施の形態で示した失効メンバ 通知手段 105の機能と異なる。また、本実施の形態では、メンバ状態応答装置 4がメ ンバ情報記憶部 405及び署名者特定手段 406を含まない点で、第 1の実施の形態と 異なる。

[0092] 失効メンバ通知手段 105Aは、グループメンバとしての資格を失った署名装置 2に 対応するメンバ登録証明書をメンバ情報記憶部 104から読み出し、メンバ状態応答 装置 4に通知する機能を備える。

[0093] 図 6に示すように、メンバ状態応答装置 4は、失効メンバ受信手段 401 Aと、メンバ 失効リスト記憶部 402Aと、開封情報記憶部 403と、署名開封手段 404Aと、メンバ状 態判定手段 407Aとを含む。

[0094] 失効メンバ受信手段 401 Aは、失効メンバ通知手段 105A力も送信された失効メン バのメンバ登録証明書を受信し、メンバ失効リスト記憶部 402Aに記憶させる機能を 備える。

[0095] メンバ失効リスト記憶部 402Aは、メンバ失効リストを記憶する。図 7は、メンバ失効リ スト記憶部 402Aが記憶する情報の一例を示す説明図である。図 7に示すように、メ ンバ失効リスト記憶部 402Aは、メンバ失効リストとして、資格失効されたメンバの署名 装置 2に対応するメンバ登録証明書の集合を記憶する。なお、ここで、メンバ登録証 明書だけを用いて署名装置 2を特定することはできない。開封情報記憶部 403は、グ ループ管理装置 1の開封情報記憶部 106が記憶する開封情報と同じ情報内容の開 封情報を記憶する。

[0096] 署名開封手段 404Aは、検証装置 3のグループ署名検証手段 301からメッセージ 及びグループ署名データを受信する機能を備える。また、署名開封手段 404Aは、 開封情報記憶部 403が記憶する開封情報と、公開情報開示手段 101が開示する各 種公開情報とを用 Vヽて、グループ署名データを生成した署名装置 2を特定するため の署名者特定用情報を生成する機能を備える。また、署名開封手段 404Aは、生成 した署名者特定用情報をメンバ状態判定手段 407Aに出力する機能を備える。

[0097] メンバ状態判定手段 407Aは、署名開封手段 404Aから署名者特定用情報を受け 取り、メンバ失効リスト記憶部 402Aが記憶するメンバ失効リストを用いて、署名者特 定用情報で示される署名装置 2が有効なグループメンバであるカゝ否かを調べる機能 を備える。また、メンバ状態判定手段 407Aは、有効又は失効を示す応答データを、 検証装置 3の検証結果出力手段 302に送信する機能を備える。

[0098] 次に、動作について説明する。図 8は、グループ署名システムカ^ツセージに添付 された署名の正当性を判断し、且つ失効メンバか否かを判断する処理の他の例を示 す流れ図である。以下、図 6及び図 8を参照して、グループ署名システムの動作を説 明する。なお、本実施の形態において、グループ加入処理、グループ署名生成処理 及び署名装置特定処理については、第 1の実施の形態におけるそれらの処理と同様 である。

[0099] 検証装置 3のグループ署名検証手段 301は、第 1の実施の形態と同様に、グルー プ署名データの正当性を判断し (ステップ S 101)、メッセージ及びグループ署名デ ータをグループ管理装置 1に送信する (ステップ S 102)。

[0100] グループ署名データを検証する際、署名開封手段 404Aは、検証装置 3のグルー プ署名検証手段 301からメッセージ及びグループ署名データを受け取る（受信する） 。また、署名開封手段 404Aは、メッセージ、グループ署名データ、及び公開情報開 示手段 101が開示する公開情報を用いて、グループ署名データの正当性を確認す る (ステップ S103)。グループ署名データが正当でないと判断すると、署名開封手段 404Aは、メンバ状態を「不明」であると判定し、「不明」を示す応答データを検証装置 3に送信する (ステップ S 104)。

[0101] グループ署名データが正当であると判断すると、署名開封手段 404Aは、開封情 報記憶部 403が記憶する開封情報を用いて、グループ署名データを生成した署名 装置 2を特定するための署名者特定用情報を生成し、メンバ状態判定手段手段 407 Aに出力する (ステップ 105)。

[0102] メンバ状態判定手段 407Aは、署名者特定用情報を受け取ると、メンバ失効リスト記 憶部 402Aが記憶するメンバ失効リストにもとづいて、署名者特定用情報に対応する メンバ登録証明書カ ンバ失効リストに存在する力否かを調べる (ステップ S206)。メ ンバ失効リストに存在すると判断すると、メンバ状態判定手段 407Aは、メンバ状態を 「失効」と判定する (ステップ S 108)。また、メンバ失効リストに存在しないと判断すると 、メンバ状態判定手段 407Aは、メンバ状態を「有効」であると判定する (ステップ S10 9)。そして、メンバ状態判定手段 407Aは、それぞれ「失効」又は「有効」を示す応答 データを検証装置 3に送信する。そして、検証装置 3の検証結果出力手段 302は、 第 1の実施の形態と同様に、メンバ状態を示す応答データを受信し (ステップ S110) 、メンバ状態が「有効」である力否かを判断して (ステップ S 111)、「受理」又は「不受 理」の検証結果を出力する。

[0103] なお、本実施の形態において、第 1の実施の形態と同様に、グループ署名生成手 段 206は、グループ署名データを、メッセージを予め定めたハッシュ関数を用いて変 換したハッシュ値を入力として生成してもよい。この場合、グループ署名検証手段 30 1が行う検証処理において、グループ署名検証手段 301は、メッセージのハッシュ値 を計算し、メッセージのハッシュ値を用いてグループ署名データを認証する。そのよう にすれば、メンバ状態応答装置 4に送信するデータをメッセージのノ、ッシュ値及びグ ループ署名データに代えることができる。従って、検証装置 3は、メンバ状態応答装 置 4にメッセージを秘匿することができる。

[0104] 以上のように、本実施の形態によれば、グループ管理装置 1の失効メンバ通知手段 105は、メンバ状態応答装置 4に、失効メンバの署名装置 2の HD情報を送信しない。 そのため、メンバ状態応答装置 4は、メッセージ及びグループ署名データを受け取つ ても、グループ署名データを生成した署名装置 2の 情報を特定することができな ヽ

。従って、メンバ状態応答装置 4に対して、各署名装置 2の Iひ隋報を秘匿することが できる。

[0105] 実施の形態 3.

次に、本発明の第 3の実施の形態を図面を参照して説明する。本実施の形態にお いて、グループ署名システムの構成は、第 1の実施の形態で示した図 2の構成と同様 である。図 2に示すように、グループ署名システムは、グループ管理装置 1と、署名装 置 2と、検証装置 3と、メンバ状態応答装置 4とを含む。本実施の形態において、ダル ープ管理装置 1及び検証装置 3の構成は、第 1の形態で示したそれらの構成と同様 である。

[0106] 署名装置 2は、第 1の形態と同様に、グループ加入手段 201と、メンバ登録証明書 記憶部 202と、グループ署名鍵記憶部 203と、メッセージ入力手段 204と、乱数生成 器 205と、グループ署名生成手段 206とを含む。

[0107] 本実施の形態において、グループ加入手段 201、メンバ登録証明書記憶部 202、 グループ署名鍵記憶部 203、メッセージ入力手段 204及び乱数生成器 205の構成 は、第 1の実施の形態及び第 2の実施の形態におけるそれらの構成と同様である。

[0108] グループ署名生成手段 206は、メッセージ、乱数、メンバ登録証明書及びグループ 署名鍵にもとづいて、署名装置 2がグループ管理装置 1に正しく登録したグループメ ンバの装置であることを示すグループ署名データを生成し出力する。この場合、ダル ープ署名生成手段 206は、署名装置 2を特定できる情報を明力さずに示すグループ 署名データを出力する。

[0109] また、本実施の形態では、グループ署名生成手段 206は、公開情報開示手段 101 に開示された公開情報を用いて、グループ管理装置 1及びメンバ状態応答装置 4が 所有する開封情報を用いてメンバ登録証明書を復元するための変換データを含む グループ署名データを生成する。

[0110] また、本実施の形態において、メンバ状態応答装置 4の構成は、第 1の実施の形態 におけるメンバ状態応答装置 4の構成と同様である。

[0111] 次に、動作について説明する。図 9は、グループ署名システムカ^ツセージに添付 された署名の正当性を判断し、且つ失効メンバか否かを判断する処理の更に他の例 を示す流れ図である。以下、図 2及び図 9を参照して、グループ署名システムの動作 を説明する。なお、本実施の形態において、グループ加入処理、失効メンバ通知処 理及び署名装置特定処理については、第 1の実施の形態におけるそれらの処理と同 様である。

[0112] まず、グループ署名生成処理の動作を説明する。グループに加入したユーザの署 名装置 2は、ユーザ操作に従ってメッセージを入力すると、メッセージに対するグルー プ署名データを生成する。グループ署名生成手段 206は、署名装置 2がグループの メンバの装置であることを署名装置 2を特定できる情報を明力さずに示すグループ署 名データを生成する。この場合、グループ署名生成手段 206は、メンバ登録証明書 を復元するための変換データを作成する。この変換データにもとづいて、グループ管 理装置 1及びメンバ状態応答装置 4は、所有する開封情報を用いて、所定の変換を 行うことによってメンバ登録証明書を生成し復元することができる。

[0113] 例えば、グループ署名生成手段 206は、公開鍵暗号系を用いた変換によって変換 データを生成する。この場合、グループ署名生成手段 206は、公開鍵暗号系の秘密 鍵を開封情報とし、開封情報に対応する公開鍵と乱数とにもとづいて、メンバ登録証 明書を含むデータを暗号化する。そして、グループ署名生成手段 206は、メッセージ 及び変換データを含むグループ署名データを出力する。

[0114] 次に、検証装置 3及びメンバ状態応答装置 4がグループ署名の正当性を判断し、 且つ失効メンバか否かを判断する処理の動作を説明する。メッセージ及びグループ 署名データを受け取った検証装置 3は、第 1の実施の形態と同様に、グループ署名 データ力メッセージに対する正しい署名である力否かを検証する。図 9に示すように、 グループ署名検証手段 301は、メッセージ、グループ署名データ及び公開情報開示 手段 101が開示する公開情報にもとづいて、グループ署名データがグループ署名生 成手段 206で正しく生成された署名データである力否かを確認する (ステップ S 101) 。グループ署名データが正しく生成された署名データでないと判断すると、グループ 署名検証手段 301は、グループ署名データにもとづいて不受理と判定し、メッセージ を受理しな ヽ旨の判定結果を出力する。 [0115] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301は、グループ署名データを生成した署名装置 2のメンバ状態を確 認する。すなわち、グループ署名検証手段 301は、署名装置 2がグループの有効な メンバの装置であるカゝ否かを確認する。グループ署名検証手段 は、メンバ状態 応答装置 4に、グループ署名データに含まれる変換データを送信する (ステップ S30 2)。

[0116] メンバ状態応答装置 4の署名開封手段 404は、変換データを受け取る (受信する） 。また、署名開封手段 404は、変換データ、及び開封情報記憶部 403が記憶する開 封情報にもとづいてメンバ登録証明書を復元 (生成)し、生成したメンバ登録証明書 を署名者特定用情報として署名者特定手段 406に出力する (ステップ S303)。

[0117] 署名者特定手段 406は、署名者特定用情報であるメンバ登録証明書を受け取ると 、メンバ情報記憶部 405が記憶するメンバ情報を用いて、メンバ登録証明書に対応 する署名装置 2の Iひ f青報を特定する (ステップ S304)。署名者特定用情報に対応す るメンバ登録証明書が存在しないと判断した場合、署名者特定手段 406は、メンバ状 態を「不明」であると判定し、「不明」を示す応答データを検証装置 3に送信する (ステ ップ S305)。また、対応するメンバ登録証明書が存在すると判断した場合、署名者特 定手段 406は、特定した Iひ隋報をメンバ状態判定手段 407に出力する (ステップ S3 06)。

[0118] メンバ状態判定手段 407は、 情報を受け取ると、メンバ失効リスト記憶部 402が 記憶するメンバ失効リストにもとづいて、署名者特定手段 406が特定した HD情報がメ ンバ失効リストに存在する力否かを判断する (ステップ S107)。メンバ失効リストに存 在すると判断すると、メンバ状態判定手段 407は、メンバ状態を「失効」と判定する (ス テツプ S108)。また、メンバ失効リストに存在しないと判断すると、メンバ状態判定手 段 407は、メンバ状態を「有効」であると判定する (ステップ S109)。そして、メンバ状 態判定手段 407は、それぞれ「失効」又は「有効」を示す応答データを検証装置 3〖こ 送信する。

[0119] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受信し受け取る (ステップ S110)。検証結果出力手段 302は、応答データにもとづい てメンバ状態が「有効」である力否かを判断する (ステップ S111)。応答データにもと づいてメンバ状態「有効」であると判断すると、検証結果出力手段 302は、グループ 署名データにもとづいてメッセージを「受理」すると判定する。また、メンバ状態が「有 効」以外であると判断すると、検証結果出力手段 302は、グループ署名データにもと づいてメッセージを「不受理」と判定する。そして、検証結果出力手段 302は、「受理」 又は「不受理」の検証結果を出力する。

[0120] 以上のように、本実施の形態によれば、署名装置 2は、メンバ登録証明書の変換デ ータを含むグループ署名データを出力する。また、メッセージ及びグループ署名デ ータを受け取った検証装置 3は、メンバ状態応答装置 4に変換データのみを送信す る。そのため、検証装置 3は、メンバ状態応答装置 4に対して、受け取ったメッセージ を禾必匿することができる。

[0121] 実施の形態 4.

次に、本発明の第 4の実施の形態を図面を参照して説明する。本実施の形態にお いて、グループ署名システムの構成は、第 2の実施の形態で示した図 6の構成と同様 である。図 6に示すように、グループ署名システムは、グループ管理装置 1と、署名装 置 2と、検証装置 3と、メンバ状態応答装置 4とを含む。本実施の形態において、ダル ープ管理装置 1及び検証装置 3の構成は、第 1の実施の形態におけるそれらの構成 と同様である。また、本実施の形態において、署名装置 2の構成は、第 3の実施の形 態における署名装置 2の構成と同様である。すなわち、本実施の形態において、署 名装置 2は、メンバ登録証明書を復元するための変換データを含むグループ署名デ ータを生成する。

[0122] メンバ状態応答装置 4は、第 2の形態と同様に、失効メンバ受信手段 401Aと、メン バ失効リスト記憶部 402Aと、開封情報記憶部 403と、署名開封手段 404Aと、メンバ 状態判定手段 407Aとを含む。本実施の形態において、失効メンバ受信手段 401A 、開封情報記憶部 403、署名開封手段 404A及びメンバ状態判定手段 407Aの構 成は、第 2の実施の形態におけるそれらの構成と同様である。

[0123] メンバ失効リスト記憶部 402Aは、メンバ登録証明書とメンバ状態とを対応づけて記 憶する。図 10は、メンバ失効リスト記憶部 402Aが記憶する情報の他の例を示す説 明図である。図 10に示すように、例えば、メンバ失効リスト記憶部 402Aは、グループ に所属する全ての署名装置 2に対応するメンバ登録証明書と、対応する署名装置 2 のメンバ状態との組から成るメンバ失効リストを記憶する。図 10に示すように、メンバ 失効リスト記憶部 402Aは、メンバ状態として、「有効」又は「失効」のいずれかの情報 を記憶する。

[0124] 次に、動作について説明する。図 11は、グループ署名システムカ^ツセージに添付 された署名の正当性を判断し、且つ失効メンバか否かを判断する処理の更に他の例 を示す流れ図である。以下、図 6及び図 11を参照して、グループ署名システムの動 作を説明する。なお、グループ加入処理、失効メンバ通知処理、及び署名装置特定 処理については、第 1の実施の形態におけるそれらの処理と同様である。また、ダル ープ署名生成処理につ!、ては、第 3の実施の形態におけるグループ署名生成処理 と同様である。

[0125] メッセージ及びグループ署名データを受け取った検証装置 3は、グループ署名デ 一タカ Sメッセージに対する正し 、署名である力否かを検証する。図 11に示すように、 グループ署名検証手段 301は、メッセージ、グループ署名データ及び公開情報開示 手段 101が開示する公開情報にもとづいて、グループ署名データがグループ署名生 成手段 206で正しく生成された署名データである力否かを確認する (ステップ S 101) 。グループ署名データが正しく生成された署名データでないと判断すると、グループ 署名検証手段 301は、グループ署名データにもとづいて不受理と判定し、メッセージ を受理しな!、旨の検証結果を出力する。

[0126] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301は、グループ署名データを生成した署名装置 2のメンバ状態を確 認する。すなわち、グループ署名検証手段 301は、署名装置 2がグループの有効な メンバの装置であるカゝ否かを確認する。グループ署名検証手段 は、メンバ状態 応答装置 4に、グループ署名データに含まれる変換データを送信する (ステップ S30 2)。

[0127] メンバ状態応答装置 4の署名開封手段 404Aは、検証装置 3から変換データを受け 取る (受信する）と、変換データ、及び開封情報記憶部 403が記憶する開封情報にも とづいてメンバ登録証明書を復元 (生成)し、生成したメンバ登録証明書を署名者特 定用情報としてメンバ状態判定手段 407Aに出力する (ステップ S303)。

[0128] メンバ状態判定手段 407Aは、署名者特定用情報を受け取ると、メンバ失効リスト記 憶部 402Aが記憶するメンバ失効リストを検索し、署名者特定用情報に一致するメン バ登録証明書が存在するか否か判断する (ステップ S404)。見つからな 、（一致する メンバ登録証明書が存在しない）と判断した場合、メンバ状態判定手段 407Aは、メ ンバ状態を「不明」であると判定し、「不明」を示す応答データを検証装置 3に送信す る（ステップ S405)。

[0129] 見つ力つた (一致するメンバ登録証明書が存在する）と判断した場合、メンバ状態 判定手段 407Aは、メンバ失効リスト記憶部 402Aが記憶するメンバ登録証明書の状 態に応じて、メンバ状態が「有効」である力、又は「失効」であるかを判定する (ステツ プ S406)。例えば、メンバ状態判定手段 407Aは、メンバ失効リスト記憶部 402Aが 記憶するメンバ失効リストにもとづいて、メンバ登録証明書に対応するメンバ状態が「 失効」であると判断した場合、「失効」を示す応答データを検証装置 3に送信する (ス テツプ S407)。また、メンバ状態判定手段 407Aは、メンバ登録証明書に対応するメ ンバ状態が「有効」であると判断した場合、「有効」を示す応答データを検証装置 3〖こ 送信する (ステップ S408)。

[0130] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受信し受け取る (ステップ S110)。検証結果出力手段 302は、応答データにもとづい てメンバ状態が「有効」である力否かを判断する (ステップ S111)。応答データにもと づいてメンバ状態「有効」であると判断すると、検証結果出力手段 302は、グループ 署名データにもとづいてメッセージを「受理」すると判定する。また、メンバ状態が「有 効」以外であると判断すると、検証結果出力手段 302は、グループ署名データにもと づいてメッセージを「不受理」と判定する。そして、検証結果出力手段 302は、「受理」 又は「不受理」の検証結果を出力する。

[0131] 以上のように、本実施の形態によれば、署名装置 2は、メンバ登録証明書の変換デ ータを含むグループ署名データを出力する。また、メッセージ及びグループ署名デ ータを受け取った検証装置 3は、メンバ状態応答装置 4に変換データのみを送信す る。そのため、検証装置 3は、メンバ状態応答装置 4に対して、受け取ったメッセージ を秘匿することができる。また、本実施の形態によれば、グループ管理装置 1の失効 メンバ通知手段 105Aは、メンバ状態応答装置 4に、失効メンバの署名装置 2の HD情 報を送信しない。そのため、メンバ状態応答装置 4は、メッセージ及びグループ署名 データを受け取っても、グループ署名データを生成した署名装置 2の Iひ f青報を特定 することができない。従って、メンバ状態応答装置 4に対して、各署名装置 2の HD情 報を秘匿することができる。

[0132] 実施の形態 5.

次に、本発明の第 5の実施の形態を図面を参照して説明する。本実施の形態にお いて、グループ署名システムの構成は、第 1の実施の形態で示した図 2の構成と同様 である。図 2に示すように、グループ署名システムは、グループ管理装置 1と、署名装 置 2と、検証装置 3と、メンバ状態応答装置 4とを含む。本実施の形態において、ダル ープ管理装置 1及び検証装置 3の構成は、第 1の実施の形態におけるそれらの構成 と同様である。

[0133] 署名装置 2は、第 1の形態と同様に、グループ加入手段 201と、メンバ登録証明書 記憶部 202と、グループ署名鍵記憶部 203と、メッセージ入力手段 204と、乱数生成 器 205と、グループ署名生成手段 206とを含む。本実施の形態において、グループ 加入手段 201、メンバ登録証明書記憶部 202、グループ署名鍵記憶部 203、メッセ ージ入力手段 204及び乱数生成器 205の構成及は、第 1の実施の形態におけるそ れらの構成と同様である。

[0134] グループ署名生成手段 206は、メッセージ、乱数、メンバ登録証明書及びグループ 署名鍵にもとづいて、署名装置 2がグループ管理装置 1に正しく登録したグループメ ンバの装置であることを示すグループ署名データを生成し出力する。この場合、ダル ープ署名生成手段 206は、署名装置 2を特定できる情報を明力さずに示すグループ 署名データを出力する。

[0135] また、本実施の形態では、グループ署名生成手段 206は、公開情報開示手段 101 に開示された公開情報を用いて、グループ管理装置 1及びメンバ状態応答装置 4が 所有する開封情報を用いてメンバ登録証明書を復元するための変換データと、変換 データを正しく生成したことを示す証明データとを含むグループ署名データを生成す る。

[0136] また、本実施の形態において、メンバ状態応答装置 4の構成は、第 1の実施の形態 又は第 2の実施の形態におけるメンバ状態応答装置 4の構成と同様である。

[0137] 次に、動作について説明する。なお、グループ加入処理、失効メンバ通知処理、及 び署名装置特定処理については、第 1の実施の形態におけるそれらの処理と同様で ある。

[0138] まず、グループ署名生成処理の動作を説明する。グループに加入したユーザの署 名装置 2は、ユーザ操作に従ってメッセージを入力すると、メッセージに対するグルー プ署名データを生成する。グループ署名生成手段 206は、署名装置 2がグループの メンバの装置であることを署名装置 2を特定できる情報を明力さずに示すグループ署 名データを生成する。この場合、グループ署名生成手段 206は、第 3の実施の形態 で示した変換データと同様の性質を持つメンバ登録証明書の変換データを作成する

[0139] また、グループ署名生成手段 206は、変換データを作成すると同時に、変換データ を正しく生成したことを示す証明データを作成する。そして、グループ署名生成手段 206は、メッセージ及び変換データと証明データとを含むグループ署名データを出 力する。

[0140] 次に、検証装置 3及びメンバ状態応答装置 4がグループ署名の正当性を判断し、 且つ失効メンバか否かを判断する処理の動作を説明する。メッセージ及びグループ 署名データを受け取った検証装置 3は、第 1の実施の形態と同様に、グループ署名 データカ^ツセージに対する正しい署名であるカゝ否かを検証する。グループ署名検 証手段 301は、メッセージ、グループ署名データ及び公開情報開示手段 101が開示 する公開情報にもとづ 、て、グループ署名データがグループ署名生成手段 206で正 しく生成された署名データであるか否かを確認する。グループ署名データが正しく生 成された署名データでないと判断すると、グループ署名検証手段 301は、グループ 署名データにもとづ 、て不受理と判定し、メッセージを受理しな 、旨の検証結果を出 力する。 [0141] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301は、グループ署名データを生成した署名装置 2のメンバ状態を確 認する。すなわち、グループ署名検証手段 301は、署名装置 2がグループの有効な メンバの装置であるカゝ否かを確認する。グループ署名検証手段 は、メンバ状態 応答装置 4に、グループ署名データに含まれる変換データ及び証明データを送信す る。

[0142] メンバ状態応答装置 4の署名開封手段 404は、変換データ及び証明データを受け 取る (受信する)。また、署名開封手段 404は、公開情報開示手段 101が開示する公 開情報を用いて証明データの正当性を確認する。証明データが正当でないと判断 すると、署名開封手段 404は、メンバ状態を「不明」であると判定し、「不明」を示す応 答データを検証装置 3に送信する。

[0143] 証明データが正当であると判断すると、署名開封手段 404は、開封情報記憶部 40 3が記憶する開封情報にもとづいてメンバ登録証明書を復元 (生成)し、生成したメン バ登録証明書を署名者特定用情報として署名者特定手段 406又はメンバ状態判定 手段 407に出力する。そして、メンバ状態応答装置 4は、第 1の実施の形態又は第 2 の実施の形態と同様にメンバ状態を判定する。また、検証装置 3は、メンバ状態応答 装置 4の判定結果にもとづ 、て、「受理」又は「不受理」の検証結果を出力する。

[0144] 以上のように、本実施の形態によれば、署名装置 2は、メンバ登録証明書の変換デ ータと、変換データに対する証明データとを含むグループ署名データを出力する。ま た、メッセージ及びグループ署名データを受け取った検証装置 3は、メンバ状態応答 装置 4に変換データ及び証明データのみを送信する。そのため、検証装置 3は、メン バ状態応答装置 4に対して、受け取ったメッセージを秘匿することができる。また、メ ンバ状態応答装置 4は、証明データを確認することによって、検証装置 3から送られ たデータがグループ署名データの一部であるか否かを確認することができる。

[0145] 実施の形態 6.

次に、本発明の第 6の実施の形態を図面を参照して説明する。本実施の形態にお いて、グループ署名システムの構成は、第 1の実施の形態で示した図 2の構成と同様 である。図 2に示すように、グループ署名システムは、グループ管理装置 1と、署名装 置 2と、検証装置 3と、メンバ状態応答装置 4とを含む。本実施の形態において、ダル ープ管理装置 1及び検証装置 3の構成は、第 1の実施の形態におけるそれらの構成 と同様である。

[0146] 署名装置 2は、第 1の形態と同様に、グループ加入手段 201と、メンバ登録証明書 記憶部 202と、グループ署名鍵記憶部 203と、メッセージ入力手段 204と、乱数生成 器 205と、グループ署名生成手段 206とを含む。本実施の形態において、グループ 加入手段 201、メンバ登録証明書記憶部 202、グループ署名鍵記憶部 203、メッセ ージ入力手段 204及び乱数生成器 205の構成は、第 1の実施の形態におけるそれ らの構成と同様である。

[0147] グループ署名生成手段 206は、メッセージ、乱数、メンバ登録証明書及びグループ 署名鍵にもとづいて、署名装置 2がグループ管理装置 1に正しく登録したグループメ ンバであることを示すグループ署名データを生成し出力する。この場合、グループ署 名生成手段 206は、署名装置 2を特定できる情報を明かさずに示すグループ署名デ ータを出力する。

[0148] また、本実施の形態では、グループ署名生成手段 206は、公開情報開示手段 101 に開示された公開情報を用いて、グループ管理装置 1が所有する開封情報を用いて メンバ登録証明書を復元するための第 1の変換データを生成する。また、グループ署 名生成手段 206は、公開情報開示手段 101に開示された公開情報を用いて、メンバ 状態応答装置 4が所有する開封情報を用いてメンバ登録証明書を復元するための 第 2の変換データを生成する。また、グループ署名生成手段 206は、第 2の変換デー タを正しく生成したことを示す第 1の証明データと、第 1の変換データ及び第 2の変換 データが同じメンバ登録証明書を変換していることを示す第 2の証明データとを生成 する。そして、グループ署名生成手段 206は、第 1の変換データ、第 2の変換データ 、第 1の証明データ及び第 2の証明データを含むグループ署名データを生成する。

[0149] メンバ状態応答装置 4は、第 1の実施の形態と同様に、失効メンバ受信手段 401と 、メンバ失効リスト記憶部 402と、開封情報記憶部 403と、署名開封手段 404と、メン バ情報記憶部 405と、署名者特定手段 406と、メンバ状態判定手段 407とを含む。

[0150] 本実施の形態において、失効メンバ受信手段 401、メンバ失効リスト記憶部 402、 署名開封手段 404、メンバ情報記憶部 405、署名者特定手段 406及びメンバ状態判 定手段 407の構成は、第 1の実施の形態におけるそれらの構成と同様である。

[0151] 本実施の形態では、開封情報記憶部 403は、グループ管理装置 1の開封情報記 憶部 106が記憶する開封情報とは、情報内容が異なる開封情報を記憶する。

[0152] なお、メンバ状態応答装置 4は、第 2の実施の形態と同様に、失効メンバ受信手段 401と、メンバ失効リスト記憶部 402と、開封情報記憶部 403と、署名開封手段 404と 、メンバ状態判定手段 407とを含むものであってもよい。この場合も、開封情報記憶 部 403は、グループ管理装置 1の開封情報記憶部 106が記憶する開封情報とは、情 報内容が異なる開封情報を記憶する。

[0153] 次に、動作について説明する。なお、グループ加入処理、失効メンバ通知処理、及 び署名装置特定処理については、第 1の実施の形態におけるそれらの処理と同様で ある。

[0154] まず、グループ署名生成処理の動作を説明する。グループに加入したユーザの署 名装置 2は、ユーザ操作に従ってメッセージを入力すると、メッセージに対するグルー プ署名データを生成する。グループ署名生成手段 206は、署名装置 2がグループの メンバの装置であることを署名装置 2を特定できる情報を明力さずに示すグループ署 名データを生成する。この場合、グループ署名生成手段 206は、メンバ登録証明書 の第 1の変換データを作成する。グループ署名生成手段 206は、第 1の変換データ として、第 3の実施の形態で示した変換データと同様に、グループ管理装置 1が所有 する開封情報を用いてメンバ登録証明書が復元できるデータを作成する。

[0155] また、グループ署名生成手段 206は、第 1の変換データと同様に、メンバ状態応答 装置 4が所有する開封情報を用いてメンバ登録証明書を復元するための第 2の変換 データを作成する。また、グループ署名生成手段 206は、第 2の変換データを作成 すると同時に、第 2の変換データを正しく生成したことを示す第 1の証明データを作成 する。また、グループ署名生成手段 206は、第 1の変換データ及び第 2の変換データ が同じメンバ登録証明書を変換していることを示す第 2の証明データを作成する。そ して、グループ署名生成手段 206は、メッセージと、第 1の変換データ、第 2の変換デ ータ、第 1の証明データ及び第 2の証明データを含むグループ署名データとを出力 する。

[0156] 次に、検証装置 3及びメンバ状態応答装置 4がグループ署名の正当性を判断し、 且つ失効メンバか否かを判断する処理の動作を説明する。メッセージ及びグループ 署名データを受け取った検証装置 3は、第 1の実施の形態と同様に、グループ署名 データカ^ツセージに対する正しい署名であるカゝ否かを検証する。グループ署名検 証手段 301は、メッセージ、グループ署名データ及び公開情報開示手段 101が開示 する公開情報にもとづ 、て、グループ署名データがグループ署名生成手段 206で正 しく生成された署名データであるか否かを確認する。グループ署名データが正しく生 成された署名データでないと判断すると、グループ署名検証手段 301は、グループ 署名データにもとづ 、て不受理と判定し、メッセージを受理しな 、旨の検証結果を出 力する。

[0157] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301は、グループ署名データを生成した署名装置 2のメンバ状態を確 認する。すなわち、グループ署名検証手段 301は、署名装置 2がグループの有効な メンバの装置であるカゝ否かを確認する。グループ署名検証手段 は、メンバ状態 応答装置 4に、グループ署名データに含まれる第 2の変換データ及び第 1の証明デ ータを送信する。

[0158] メンバ状態応答装置 4は、第 1の実施の形態におけるメンバ状態応答装置 4と同様 の構成を備え、以下のように動作する。メンバ状態応答装置 4の署名開封手段 404 は、第 2の変換データ及び第 1の証明データを受け取る (受信する)。また、署名開封 手段 404は、公開情報開示手段 101が開示する公開情報を用いて第 1の証明デー タの正当性を確認する。第 1の証明データが正当でないと判断すると、署名開封手 段 404は、メンバ状態を「不明」であると判定し、「不明」を示す応答データを検証装 置 3に送信する。

[0159] 第 1の証明データが正当であると判断すると、署名開封手段 404は、開封情報記憶 部 403が記憶する開封情報にもとづいてメンバ登録証明書を復元 (生成)し、生成し たメンバ登録証明書を署名者特定用情報として署名者特定手段 406に出力する。そ して、メンバ状態応答装置 4は、第 1の実施の形態または第 2の実施の形態と同様に メンバ状態を判定する。また、検証装置 3は、メンバ状態応答装置 4の判定結果にも とづいて、「受理」又は「不受理」の検証結果を出力する。

[0160] 以上のように、本実施の形態によれば、署名装置 2は、グループ管理装置 1の開封 情報を用いてメンバ登録証明書を復元できる第 1の変換データと、メンバ状態応答装 置 4の開封情報を用いてメンバ登録証明書を復元できる第 2の変換データとを含む グループ署名データを出力する。そのため、グループ管理装置 1とメンバ状態応答装 置 4とは、異なる開封情報を所有することができる。

[0161] また、本実施の形態によれば、署名装置 2は、第 2の変換データを正しく作成したこ とを示す第 1の証明データを含むグループ署名データを出力する。また、検証装置 2 は、メンバ状態応答装置 4に、第 2の変換データと第 1の証明データとを送信する。そ のようにすることによって、メンバ状態応答装置 4は、検証装置 3から送られたデータ がグループ署名データの一部である力否かを確認することができる。

[0162] また、本実施の形態によれば、署名装置 2は、第 1の変換データと第 2の変換デー タとが同じメンバ登録証明書を変換したデータであることを示す第 2の証明データを 含むグループ署名データを出力する。そのようにすることによって、検証装置 3は、署 名装置 2が生成した 2つの変換データが同じメンバ登録証明書を変換していることを ½認することができる。

[0163] 実施の形態 7.

次に、本発明の第 7の実施の形態を図面を参照して説明する。図 12は、グループ 署名システムの更に他の構成例を示すブロック図である。図 12に示すように、グルー プ署名システムは、グループ管理装置 1と、署名装置 2と、検証装置 3と、メンバ状態 応答装置 4とを含む。本実施の形態では、第 1の実施の形態で示した構成要素にカロ えて、署名装置 2がメンバ追跡情報記憶部 207を備える点で、第 1の実施の形態と異 なる。また、本実施の形態では、メンバ状態応答装置 4が開封情報記憶部 403、署名 開封手段 404、メンバ情報記憶部 405及び署名者特定手段 406を含まない点で、第 1の実施の形態と異なる。

[0164] 図 12に示すように、グループ管理装置 1は、第 1の形態と同様に、公開情報開示手 段 101と、メンバ登録用情報記憶部 102と、メンバ登録手段 103Bと、メンバ情報記憶 部 104Bと、失効メンバ通知手段 105Bと、開封情報記憶部 106と、署名開封手段 10 7と、署名者特定手段 108とを含む。本実施の形態において、公開情報開示手段 10 1、メンバ登録用情報記憶部 102、開封情報記憶部 106、署名開封手段 107及び署 名者特定手段 108の構成は、第 1の実施の形態におけるそれらの構成と同様である

[0165] メンバ登録手段 103Bは、署名装置 2のグループ加入手段 201と通信し、メンバ登 録用情報記憶部 102が記憶するメンバ登録用情報を用いて、メンバ登録証明書及 びメンバ追跡情報を作成する機能を備える。なお、本実施の形態では、メンバ追跡 情報は、所定のアルゴリズムに従って求められる数値情報であり、グループ署名デー タが特定のユーザの署名装置 2によって作成されたことを確認可能な情報である。ま た、メンバ登録手段 103Bは、生成したメンバ登録証明書と、メンバ追跡情報と、署名 装置 2を特定できる 情報とを合わせてメンバ情報記憶部 104Bに記憶させる機能 を備える。

[0166] メンバ情報記憶部 104Bは、メンバ登録手段 103が出力したメンバ登録証明書、メ ンバ追跡情報及び Iひ f青報を対応づけて記憶する。図 13は、メンバ情報記憶部 104 Bが記憶する情報の一例を示す説明図である。図 13に示すように、例えば、メンバ情 報記憶部 104Bは、メンバ登録証明書とメンバ追跡情報と Iひ f青報との組を、署名装 置 2を示すメンバ情報として署名装置 2ごとに記憶する。

[0167] 失効メンバ通知手段 105Bは、グループメンバとしての資格を失ったユーザの署名 装置 2に対応するメンバ追跡情報をメンバ情報記憶部 104から読み出し、メンバ状態 応答装置 4に通知する機能を備える。

[0168] 図 12に示すように、署名装置 2は、グループ加入手段 201Bと、メンバ登録証明書 記憶部 202と、グループ署名鍵記憶部 203と、メッセージ入力手段 204と、乱数生成 器 205と、グループ署名生成手段 206Bと、メンバ追跡情報記憶部 207とを含む。本 実施の形態において、メンバ登録証明書記憶部 202、グループ署名鍵記憶部 203、 メッセージ入力手段 204及び乱数生成器 205の構成は、第 1の実施の形態における それらの構成と同様である。

[0169] グループ加入手段 201Bは、グループ管理装置 1のメンバ登録手段 103Bと通信し 、メンバ登録証明書とグループ署名鍵とメンバ追跡情報とを生成し、メンバ登録証明 書記憶部 202とグループ署名鍵記憶部 203とメンバ追跡情報記憶部 207とにそれぞ れ出力する機能を備える。

[0170] グループ署名生成手段 206Bは、メッセージ、乱数、メンバ登録証明書、グループ 署名鍵及びメンバ追跡情報にもとづいて、署名装置 2がグループ管理装置 1に正しく 登録したグループメンバの装置であることを示すグループ署名データを生成し出力 する機能を備える。なお、グループ署名生成手段 206Bは、署名装置 2を特定できる 情報を明カゝさずに示すグループ署名データを出力する。この場合、グループ署名生 成手段 206Bは、メンバ追跡情報の変換データを含むグループ署名データを出力す る。メンバ追跡情報記憶部 207は、メンバ加入手段 201から出力されたメンバ追跡情 報を記憶する。

[0171] 図 12に示すように、検証装置 3は、グループ署名検証手段 301Bと、検証結果出力 手段 302とを含む。

[0172] グループ署名検証手段 301Bは、署名装置 2からメッセージとグループ署名データ とを受け取り（受信し)、グループ署名データの正当性を調べる機能を備える。また、 グループ署名検証手段 301Bは、グループ署名データが正当でないと判断した場合 、「不受理」と判定し検証結果を出力する機能を備える。また、グループ署名検証手 段 301Bは、グループ署名データが正当であると判断した場合、グループ署名デー タを生成した署名装置 2が有効なグループメンバの装置であるカゝ否かを確認するた めに、メッセージとグループ署名データとをメンバ状態応答装置 4のメンバ状態判定 手段 407Bに送信する機能を備える。

[0173] 検証結果出力手段 302は、メンバ状態応答装置 4のメンバ状態判定手段 407Bか らメンバ状態の判定結果を受信する機能を備える。また、検証結果出力手段 302は 、受信した判定結果が「有効」である場合には「受理」と判定し、受信した判定結果が 「失効」である場合には「不受理」と判定し、「受理」又は「不受理」の検証結果を出力 する機能を備える。

[0174] 図 12に示すように、メンバ状態応答装置 4は、失効メンバ受信手段 401Bと、メンバ 失効リスト記憶部 402Bと、メンバ状態判定手段 407Bとを含む。 [0175] 失効メンバ受信手段 40 IBは、失効メンバ通知手段 105Bから送信された失効メン バのメンバ追跡情報を受信し、メンバ失効リスト記憶部 402Bに記憶させる機能を備 える。

[0176] メンバ失効リスト記憶部 402Bは、メンバ失効リストを記憶する。図 14は、メンバ失効 リスト記憶部 402Bが記憶する情報の一例を示す説明図である。図 14に示すように、 例えば、メンバ失効リスト記憶部 402Bは、メンバ失効リストとして、失効された署名装 置 2のメンバ追跡情報の集合を記憶する。

[0177] メンバ状態判定手段 407Bは、検証装置 3のグループ署名検証手段 301Bからメッ セージとグループ署名データとを受け取り（受信し)、メンバ失効リストを用いてグルー プ署名データを生成した署名装置 2が有効なグループメンバの装置であるカゝ否かを 調べる機能を備える。また、メンバ状態判定手段 407Bは、有効又は失効を示すメン バ状態を含む応答データを、検証装置 3の検証結果出力手段 302に送信する機能 を備える。

[0178] 次に、動作について説明する。図 15は、グループ署名システムカ^ツセージに添付 された署名の正当性を判断し、且つ失効メンバか否かを判断する処理の更に他の例 を示す流れ図である。以下、図 12及び図 15を参照して、グループ署名システムの動 作を説明する。

[0179] まず、ユーザが新規にグループに加入する際に、ユーザをメンバとして登録するグ ループ加入処理の動作を説明する。署名装置 2はグループに加入するために、ダル ープ管理装置 1と通信して登録処理を行う。署名装置 2のグループ加入手段 201B は、グループ管理装置 1のメンバ登録手段 103Bと通信し、メンバ登録証明書、ダル ープ署名鍵及びメンバ追跡情報を生成して出力する。また、署名装置 2は、メンバ登 録証明書をメンバ登録証明書 202に記憶させ、グループ署名鍵をグループ署名鍵 記憶部 203に記憶させ、メンバ追跡情報をメンバ追跡情報記憶部 207に記憶させる

[0180] メンバ登録手段 103Bは、図 13に示すように、署名装置 2に発行したメンバ登録証 明書及びメンバ追跡情報と、署名装置 2を特定できる Iひ f青報とを一組にして、メンバ 情報記憶部 104Bに記憶させる。 [0181] 次に、失効メンバが発生した場合に、グループ管理装置 1がメンバ状態応答装置 4 に失効メンバを通知する失効メンバ通知処理の動作を説明する。グループのメンバ であるユーザの署名装置 2をグループから削除する場合、グループ管理装置 1の失 効メンバ通知手段 105Bは、削除したい署名装置 2に対応するメンバ追跡情報をメン バ情報記憶部 104から読み出す。また、失効メンバ通知手段 105Bは、読み出したメ ンバ追跡情報をメンバ状態応答装置 4に送信する。メンバ状態応答装置 4の失効メン バ受信手段 401Bは、失効メンバ通知手段 105Bからメンバ追跡情報を受信し、受信 したメンバ追跡情報をメンバ失効リスト記憶部 402に記憶させる。

[0182] 次に、署名装置 2がグループ署名データを生成するグループ署名生成処理の動作 を説明する。グループに加入したユーザの署名装置 2は、ユーザ操作に従ってメッセ ージを入力すると、メッセージに対するグループ署名データを生成する。グループ署 名生成手段 206Bは、メッセージ入力手段 204から入力したメッセージ、乱数生成器 205が生成した乱数、メンバ登録証明書記憶部 202が記憶するメンバ登録証明書、 グループ署名鍵記憶部 203が記憶するグループ署名鍵、及びメンバ追跡情報 207 が記憶するメンバ追跡情報にもとづいて、グループ署名データを生成する。この場合 、グループ署名生成手段 206Bは、署名装置 2を特定できる情報を明かさずに、署名 装置 2がグループのメンバの装置であることを示すグループ署名データを生成する。

[0183] また、グループ署名生成手段 206Bは、メンバ追跡情報の変換データを作成する。

この場合、グループ署名生成手段 206Bは、変換データからはメンバ追跡情報を特 定できな!/、が、メンバ追跡情報があれば変換データカ ンバ追跡情報を変換したも のである力否かを判定できる性質を持つ変換データを生成する。例えば、グループ 署名生成手段 206Bは、一方向性関数を用いてメンバ追跡情報を変換することによ つて変換データを生成する。また、グループ署名生成手段 206は、メッセージ及び変 換データを含むグループ署名データを出力する。

[0184] 次に、検証装置 3及びメンバ状態応答装置 4がグループ署名の正当性を判断し、 且つ失効メンバか否かを判断する処理の動作を説明する。検証装置 3は、署名装置 2からメッセージ及びグループ署名データを受け取り、グループ署名データがメッセ ージに対する正しい署名である力否かを検証する。図 15に示すように、グループ署 名検証手段 301Bは、メッセージ、グループ署名データ、及び公開情報開示手段 10 1が開示する公開情報にもとづいて、グループ署名データがグループ署名生成手段 206Bで正しく生成された署名データである力否かを確認する（ステップ S101)。グ ループ署名データが正しく生成された署名データでないと判断すると、グループ署 名検証手段 301Bは、グループ署名データにもとづいて不受理と判定し、メッセージ を受理しな!、旨の検証結果を出力する。

[0185] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301Bは、グループ署名データを生成した署名装置 2のメンバ状態を 確認する。すなわち、グループ署名検証手段 301Bは、署名装置 2がグループの有 効なメンバの装置である力否かを確認する。グループ署名検証手段 301Bは、メンバ 状態応答装置 4にメッセージ及びグループ署名データを送信し (ステップ 102)、署 名装置 2のメンバ状態の判定を要求する。

[0186] メンバ状態応答装置 4のメンバ状態判定手段 407Bは、検証装置 3から、メッセージ 及びグループ署名データを受け取る（受信する）。また、メンバ状態判定手段 407B は、メッセージ、グループ署名データ、及び公開情報開示手段 101が開示する公開 情報を用いて、グループ署名データの正当性を確認する (ステップ S103)。グルー プ署名データが正当でないと判断すると、メンバ状態判定手段 407Bは、メンバ状態 を「不明」であると判定し、「不明」を示す応答データを検証装置 3に送信する (ステツ プ 104)。

[0187] グループ署名データが正当であると判断すると、メンバ状態判定手段 407Bは、メン バ失効リスト記憶部 402Bが記憶するメンバ追跡情報と、グループ署名データに含ま れる変換データとにもとづいて、以下の処理を行う。

[0188] まず、メンバ状態判定手段 407Bは、メンバ失効リスト記憶部 402B力 メンバ追跡 情報を読み出す (ステップ S505)。メンバ状態判定手段 407Bは、メンバ失効リスト記 憶部 402Bにメンバ追跡情報が存在する力否かを判断する (ステップ S506)。メンバ 失効リスト記憶部 402Bにメンバ追跡情報がな 、場合、メンバ状態判定手段 407Bは 、メンバ状態を「有効」であると判定する (ステップ S507)。そして、メンバ状態判定手 段 407Bは、「有効」を示す応答データを検証装置 3に送信し、処理を終了する。 [0189] メンバ追跡情報が存在すると判断すると、メンバ状態判定手段 407Bは、読み出し たメンバ追跡情報にっ 、てグループ署名生成手段 206Bが行った変換と同じ変換を 行い、第 2の変換データを作成する (ステップ S508)。また、メンバ状態判定手段 40 7Bは、グループ署名データに含まれる変換データと、作成した第 2の変換データとが 一致するか否かを調べる (ステップ S509)。変換データが一致すると判断した場合、 メンバ状態判定手段 407Bは、メンバ状態を「失効」していると判定し (ステップ S510) 、「失効」を示す応答データを検証装置 3に送信する。

[0190] 変換データが一致しな 、と判断した場合、メンバ状態判定手段 407Bは、ステップ S 505に戻り、メンバ失効リスト記憶部 402Bが記憶する次のメンバ追跡情報を読み出 す。そして、メンバ状態判定手段 407Bは、ステップ S505からステップ S510までの 処理を繰り返し実行する。以上のように処理を実行することによって、メンバ状態判定 手段 407Bは、メンバ失効リスト記憶部 402Bが記憶する全てのメンバ追跡情報に対 して変換データが一致しな 、と判断した場合、メンバ状態を「有効」であるとみなす。

[0191] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受信し受け取る (ステップ S110)。検証結果出力手段 302は、応答データにもとづい てメンバ状態が「有効」である力否かを判断する (ステップ S111)。応答データにもと づいてメンバ状態「有効」であると判断すると、検証結果出力手段 302は、グループ 署名データにもとづいてメッセージを「受理」すると判定する。また、メンバ状態が「有 効」以外であると判断すると、検証結果出力手段 302は、グループ署名データにもと づいてメッセージを「不受理」と判定する。そして、検証結果出力手段 302は、「受理」 又は「不受理」の検証結果を出力する。

[0192] 以上のように、本実施の形態によれば、グループ管理装置 1は、署名装置 2ごとに 異なるメンバ追跡情報を発行する。また、署名装置 2は、メンバ追跡情報の変換デー タをグループ署名データの一部として出力する。そして、メンバ状態応答装置 4は、 変換データを用いてメンバ状態を判定する。そのため、メンバ状態応答装置 4は、開 封秘密鍵 (開封情報)を用いずにメンバ状態を判定することができる。

[0193] 実施の形態 8.

次に、本発明の第 8の実施の形態を図面を参照して説明する。本実施の形態にお いて、グループ署名システムの構成は、第 7の実施の形態で示した図 12の構成と同 様である。図 12に示すように、グループ署名システムは、グループ管理装置 1と、署 名装置 2と、検証装置 3と、メンバ状態応答装置 4とを含む。また、本実施の形態にお いて、グループ管理装置 1及び署名装置 2の構成は、第 7の実施の形態におけるそ れらの構成と同様である。

[0194] 図 12に示すように、検証装置 3は、グループ署名検証手段 301Bと、検証結果出力 手段 302とを含む。

[0195] グループ署名検証手段 301Bは、署名装置 2からメッセージとグループ署名データ とを受け取り（受信し)、グループ署名データの正当性を調べる機能を備える。また、 グループ署名検証手段 301Bは、グループ署名データが正当でないと判断した場合 、「不受理」と判定し検証結果を出力する機能を備える。また、グループ署名検証手 段 301Bは、グループ署名データが正当であると判断した場合、グループ署名デー タを生成した署名装置 2が有効なグループメンバの装置であるカゝ否かを確認するた めに、グループ署名データに含まれる変換データをメンバ状態応答装置 4のメンバ状 態判定手段 407Bに送信する機能を備える。

[0196] 検証結果出力手段 302は、メンバ状態応答装置 4のメンバ状態判定手段 407Bか らメンバ状態の判定結果を受信する機能を備える。また、検証結果出力手段 302は 、受信した判定結果が「有効」である場合には「受理」と判定し、受信した判定結果が 「失効」である場合には「不受理」と判定し、「受理」又は「不受理」の検証結果を出力 する機能を備える。

[0197] 図 12に示すように、メンバ状態管理装置 4は、第 7の実施の形態と同様に、失効メ ンバ受信手段 401Bと、メンバ失効リスト記憶部 402Bと、メンバ状態判定手段 407B とを含む。

[0198] 失効メンバ受信手段 401Bは、失効メンバ通知手段 105Bから送信された失効メン バのメンバ追跡情報を受信し、メンバ失効リスト記憶部 402Bに記憶させる機能を備 える。

[0199] メンバ失効リスト記憶部 402Bは、メンバ失効リストを記憶する。図 16は、メンバ失効 リスト記憶部 402Bが記憶する情報の他の例を示す説明図である。図 16に示すように 、例えば、メンバ失効リスト記憶部 402Bは、メンバ失効リストとしてグループに所属す るすべての署名装置 2に対応するメンバ追跡情報と、対応する署名装置 2のメンバ状 態とを記憶する。また、メンバ失効リスト記憶部 402Bは、メンバ状態として、「有効」又 は「失効」の 、ずれかの情報を記憶する。

[0200] メンバ状態判定手段 407Bは、検証装置 3のグループ署名検証手段 301Bからメッ セージとグループ署名データとを受け取り（受信し)、メンバ失効リストを用いてグルー プ署名データを生成した署名装置 2が有効なグループメンバの装置であるカゝ否かを 調べる機能を備える。また、メンバ状態判定手段 407Bは、有効又は失効を示すメン バ状態を含む応答データを検証装置 3の検証結果出力手段 302に送信する機能を 備える。

[0201] 次に、動作について説明する。図 17は、グループ署名システムカ^ツセージに添付 された署名の正当性を判断し、且つ失効メンバか否かを判断する処理の更に他の例 を示す流れ図である。以下、図 12及び図 17を参照して、グループ署名システムの動 作を説明する。なお、メンバ加入処理、失効メンバ通知処理及びグループ署名生成 処理については、第 7の実施の形態におけるそれらの処理と同様である。

[0202] 検証装置 3は、署名装置 2からメッセージ及びグループ署名データを受け取り、グ ループ署名データカ^ツセージに対する正し 、署名である力否かを検証する。図 17 に示すように、グループ署名検証手段 301Bは、メッセージ、グループ署名データ、 及び公開情報開示手段 101が開示する公開情報にもとづいて、グループ署名デー タがグループ署名生成手段 206Bで正しく生成された署名データである力否かを確 認する (ステップ S 101)。グループ署名データが正しく生成された署名データでな!ヽ と判断すると、グループ署名検証手段 301Bは、グループ署名データにもとづいて不 受理と判定し、メッセージを受理しない旨の検証結果を出力する。

[0203] グループ署名データが正しく生成された署名データであると判断すると、グループ 署名検証手段 301Bは、グループ署名データを生成した署名装置 2のメンバ状態を 確認する。すなわち、グループ署名検証手段 301Bは、署名装置 2がグループの有 効なメンバの装置である力否かを確認する。グループ署名検証手段 301Bは、メンバ 状態応答装置 4にグループ署名データに含まれる変換データを送信し (ステップ S60 2)、署名装置 2のメンバ状態の判定を要求する。

[0204] メンバ状態応答装置 4のメンバ状態判定手段 407Bは、検証装置 3から変換データ を受け取る（受信する）と、メンバ失効リスト記憶部 402Bからメンバ追跡情報を読み出 す (ステップ S505)。メンバ状態判定手段 407Bは、メンバ失効リスト記憶部 402Bに メンバ追跡情報が存在するか否かを判断する (ステップ S506)。

[0205] メンバ追跡情報が存在すると判断すると、メンバ状態判定手段 407Bは、以下の処 理を行う。メンバ状態判定手段 407Bは、読み出したメンバ追跡情報についてグルー プ署名生成手段 206Bが行った変換と同じ変換を行 ヽ、第 2の変換データを作成す る (ステップ S508)。また、メンバ状態判定手段 407Bは、グループ署名データに含ま れる変換データと、作成した第 2の変換データとがー致するカゝ否かを調べる (ステップ S509)。

[0206] 変換データが一致しな 、と判断した場合、メンバ状態判定手段 407Bは、ステップ S 505に戻り、メンバ失効リスト記憶部 402Bが記憶する新たなメンバ追跡情報を読み 出す。そして、メンバ状態判定手段 407Bは、ステップ S505からステップ S510まで の処理を繰り返し実行する。

[0207] 変換データが一致すると判断した場合、メンバ状態判定手段 407Bは、メンバ失効 リストにメンバ追跡情報と対応づけて記憶されて 、るメンバ状態を調べる (ステップ S6 10)。そして、メンバ状態判定手段 407Bは、メンバ状態に応じて、「有効」又は「失効 」を示す応答データを検証装置 3に送信する。例えば、メンバ追跡情報に対応するメ ンバ状態が「有効」である場合、メンバ状態判定手段 407Bは、「有効」を示す応答デ ータを送信する (ステップ S611)。また、例えば、メンバ追跡情報に対応するメンバ状 態が「失効」である場合、メンバ状態判定手段 407Bは、「失効」を示す応答データを 送信する (ステップ S612)。

[0208] メンバ失効リスト記憶部 402Bが記憶する全てのメンバ追跡情報にっ 、て変換デー タが一致しないと判断し、読み出すメンバ追跡情報がなくなった場合、メンバ状態判 定手段 407Bは、メンバ状態を「不明」であると判定する (ステップ S613)。そして、メ ンバ状態判定手段 407Bは、「不明」を示す応答データを検証装置 3に送信する。

[0209] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受信し受け取る (ステップ S110)。検証結果出力手段 302は、応答データにもとづい てメンバ状態が「有効」である力否かを判断する (ステップ S111)。応答データにもと づいてメンバ状態「有効」であると判断すると、検証結果出力手段 302は、グループ 署名データにもとづいてメッセージを「受理」すると判定する。また、メンバ状態が「有 効」以外であると判断すると、検証結果出力手段 302は、グループ署名データにもと づいてメッセージを「不受理」と判定する。そして、検証結果出力手段 302は、「受理」 又は「不受理」の検証結果を出力する。

実施例 1

[0210] 次に、本発明の第 1の実施例を説明する。なお、本実施例は、本発明の第 1の実施 の形態に相当する。グループ管理装置 1は、システムに共通の定数を定める。まず、 グループ管理装置 1は、セキュリティパラメータ _ε、 k及び lpを定める。また、グループ 管理装置 1は、 λ ΐ、え 2、 1及ひ 2を、 λ 1 > ε ( 2 + k)、 λ 2 >41ρ、 γ 1 > ε ( γ 2 + k)及び γ 2 > λ 1 + 2を満たすように選ぶ。また、グループ管理装置 1は、衝突 困難ハッシュ関数 Ηを定める。そして、グループ管理装置 1は、定めた ε , k, 1ρ, λ ΐ , 1 2, γ ΐ, γ 2, Ηを公開情報開示手段 101に出力する。

[0211] 次に、グループ管理装置 1は、メンバ登録用情報を生成する。まず大きさ lpビットの 素数 P，及び q'を選ぶ。次に、グループ管理装置 1は、 ρ = 2ρ ' + 1及び q = 2q' + 1 を計算し、 n=pqを求める。また、グループ管理装置 1は、 nの平方剰余群からランダ ムに a, aO, g, hを選ぶ。グループ管理装置 1は、 (ρ' , q' )をメンバ登録用情報記憶 部 102に出力し、（n, a, aO, g, h)を公開情報開示手段 101にそれぞれ出力する。

[0212] 次に、グループ管理装置 1は、開封情報を生成する。グループ管理装置 1は、位数 P '及び q 'の乗法群力もランダムに Xを選び、式（1)を計算する。

[0213] y = g^x mod n 式（1)

[0214] グループ管理装置 1は、 Xを開封情報記憶部 106に出力し、 yを公開情報開示手段 101にそれぞれ出力する。また、グループ管理装置 1によって生成された開封情報 は、メンバ状態応答装置 4に秘密に通知される。

[0215] 初期設定及び鍵生成の後、署名装置 2は、グループに加入するために、グループ 管理装置 1と通信して登録処理を行う。登録処理を行うことによって、署名装置 2は、 グループ秘密鍵 xiと、式（2)を満たすメンバ登録証明書 (Ai, ei)とを取得する。

[0216] [数 1] a^xiao = A?' 式 (2)

[0217] 署名装置 2のグループ加入手段 201は、 0力ら 2 λ ²までの間からチルダ xiをランダ ムに選び、 0から n²までの間力もチルダ riをそれぞれランダムに選ぶ。そして、グルー プ加入手段 201は、式（3)を計算する。

[0218] [数 2]

Ci=g^xih^f 式 (3)

[0219] また、グループ加入手段 201は、チルダ xi及びチルダ riを正しく生成したことを示す 証明データを作成する。また、グループ加入手段 201は、式 (4)の条件を満たす乱 数 tl及び t2を選び、式 (5)を計算する。

[0220] [数 3] ti G[0, 2^λ2],ΐ2^[0,η²] 式 (4)

[0221] [数 4] ci=H(g||h||g^tlh^t2)

S1 =ti -CiXj 式（5)

S2 =t2 -Cif

[0222] そして、グノレープカロ人手段 201は、 (CI, cl, si, s2)と、（CI, cl, si, s2)に対す る署名装置 2のデジタル署名とをグループ管理装置 1に送信する。

[0223] グループ管理装置 1のメンバ登録手段 103は、 Cl, cl, si, s2を受信すると、署名 装置 2の公開鍵証明書を用いてデジタル署名を確認した後、式 (6)が成り立つか否 かを確認する。

[0224] [数 5]

式 (6)

[0225] 式 (6)が成り立つことを確認できると、メンバ登録手段 103は、式 (7)の条件を満た す a i及び β iをランダムに選び、署名装置 2に送信する。 [0226] 園 αί, βί€[0, 2^λ2 ] 式 (7)

[0227] グループ加入手段 201は、 a i及び j8 iを受信すると、式 (8)を計算する。

[0228] [数 7]

Xi = 2^λ1 + (aiXi + βι mod 2^λ2 ) 式 (8)

[0229] ここで、計算した xiは、グループ署名鍵である。従って、グループ管理装置 1と署名 装置 2とでランダムにグループ署名鍵を作成したことになる。ただし、グループ管理装 置 1は、グループ署名鍵を計算することはできない。次に、グループ加入手段 201は 、式 (9)を計算する。

[0230] [数 8]

C2 = a^xl mod n 式 (9)

[0231] また、グループ加入手段 201は、 xiを正しく生成したことを示す証明データを作成 する。また、グループ加入手段 201は、式（10)の条件を満たす乱数 t3, t4, t5を選 び、式（11)を計算する。

[0232] [数 9] t₃ e ±{0， 1}^ε(^λ2 +"<)， t₄ e ±{0， 1}^ε(^λ"Χ)

ί5 _ε ±{0, 1}^ε( Ρ^{+λ2 +} ) 式 ⁽¹⁰⁾

[0233] [数 10]

C2 = H(g II h II a || Ci || C₂ || _ai || βΐ || a^t3 || g^t3 (g²^ ) h^t5 )

S3 = t₃— C2(Xi— 2^λ1 ) 式 _{(ι υ}

54 = t₄ - C2((ai5(i + βί - Xi + 2^λ1 )/2^λ2 )

[0234] そして、グループ加入手段 201は、 (C2, c2, s3, s4, s5)と、（C2, c2, s3, s4, s

5)に対する署名装置 2のデジタル署名とを、グループ管理装置 1に送信する。

[0235] グループ管理装置 1のメンバ登録手段 103は、 C2, c2, s3, s4, s5を受信すると、 式（12)が成り立つ力否かを調べる。

[0236] [数 11]

C2 = H(g II h II a || Ci || C₂ II w || pi || (C₂ / a²" )^C2 a⁸³ ||

(c^)^C2 9^S3 (g^2X2 )^{S4 55} )

式 (12)

[0237] 式（12)が成り立つことを確認できると、メンバ登録手段 103は、式（13)の条件を満 たす素数 eiをランダムに選び、式（14)を計算する。

[0238] [数 12] e_{i e} [2" - 2^² , 2^ + 2?² ] 式 (13)

[0239] [数 13]

Ai = (C2ao)^{1 ei} mod n 式（14)

[0240] なお、式 (4)で求められる値は、 p'及び q'を知らないと計算できない。メンバ登録 手段 103は、求めた (Ai, ei)をメンバ登録証明書として署名装置 2に送信する。

[0241] 署名装置 2のグループ加入手段 201は、（Ai, ei)を受け取ると、式（2)が成り立つ か否かを調べ、メンバ登録証明書が正しく生成されているカゝ否カゝ確認する。メンバ登 録証明書が正しく生成されていることを確認できると、グループ加入手段 201は、メン バ登録証明書 (Ai, ei)をメンバ登録証明書記憶部 202に記憶させる。また、グルー プ加入手段 201は、 xiをグループ署名鍵としてグループ署名鍵記憶部 203に記憶さ せる。

[0242] グループ管理装置 1のメンバ登録手段 103は、署名装置 2に対応するメンバ登録証 明書 (Ai, ei)及び（CI, C2, cl, c2, si, s2, s3, s4, s5)と、それぞれに付与され た署名装置 2のデジタル署名とを、メンバ情報記憶部 104に記憶させる。また、ダル ープ管理装置 1は、以上の手順に従って取得したメンバ情報をメンバ状態応答装置 4に通知する。

[0243] グループに加入している署名装置 2をグループから削除する場合、グループ管理 装置 1の失効メンバ通知手段 105は、脱退するメンバの署名装置 2に対応する公開 鍵証明書をメンバ状態応答装置 4に通知 (送信)する。メンバ状態応答装置 4の失効 メンバ受信手段 401は、公開鍵証明書を受信して、メンバ失効リスト記憶部 402が記 憶するメンバ失効リストに追加する。

[0244] メンバ登録証明書及びグループ署名鍵を取得した署名装置 2のグループ署名生成 手段 206は、グループ署名データを作成する。まず、乱数生成器 205は、 21pビット の乱数 wを生成し、グループ署名生成手段 206に出力する。乱数 wを受け取ると、グ ループ署名生成手段 206は、乱数 wとメンバ登録証明書 (Ai, ei)と公開情報開示手 段 101が開示する公開情報とにもとづいて、式（15)を用いて、（Ai、 ei)の変換デー タを計算する。

[0245] [数 14]

Ti = Ajy ^w mod n, T2 = g^w mod n， T₃ = g^eih^w mod n 式（15)

[0246] 次に、グループ署名生成手段 206は、変換データを正しく生成したことを示すデー タを作成する。乱数生成器 205は、 ε ( y 2 + k)ビットの乱数 rl、 ε ( 2 + k)ビットの 乱数 r2、 ε ( 1 + 2 +1^+ 1)ビットの乱数 3、及び_£ (21p+k)ビットの乱数 r4を生 成し、グループ署名生成手段 206に出力する。乱数を受け取ると、グループ署名生 成手段 206は、式（16)を計算する。

[0247] [数 15] di = T{¹ /(a^r2 y^r3 ) mod n， d₂ = I g^¾ mod n， d₃ = g^r4 mod n，

' _r ^ 式（16) d4 = g ¹ h^r4 mod n

[0248] 次に、グループ署名生成手段 206は、メッセージ入力手段 204から入力したメッセ ージ mを用いて、式（17)を計算する。また、グループ署名生成手段 206は、式（18) を計算する。

[0249] [数 16] c = H(g || h || y || a₀ II a || Τι || Τ₂ || Τ₃ II di || d₂ II d₃ II d₄ || m) 式 (17)

[0250] [数 17] S1 = Γ1— C(ei一 2^γ1 ), S2 =「2— c(xi一 2^λ1 )， S3 =「3— ceiw, S4 = Γ4 - cw 式（18)

[0251] そして、グループ署名生成手段 206は、メッセージ m及び（c, si, s2, s3, s4, Tl , T2, T3)をグループ署名データとして出力する。なお、ここで、グループ署名生成 手段 206は、 cの代わりに式（19)に示す c"を計算して出力してもよい。

[0252] [数 18] c"= H(g || h || y || a₀ II a || Ti || T₂ || T₃ || di || d₂ II d₃ II d₄ || H(m))

式（19)

[0253] 検証装置 3は、署名装置 2が作成したメッセージ m及びグループ署名データ（c, si , s2, s3, s4, Tl, T2, T3)を受け取ると、グループ署名データの正当性を、以下の ように検証する。図 5において、検証装置 3のグループ署名検証手段 301は、受け取 つたグループ署名が所定の検証式を満たすか否かを調べる (ステップ S101)。本実 施例では、グループ署名検証手段 301は、メッセージ m、グループ署名データ（c, s 1, s2, s3, s4, Tl, T2, T3)、及び公開情報開示手段 101が開示する公開情報に もとづいて、式 (20)を計算する。

[0254] [数 19] c'= H(g || h || y || a₀ II a || Ti || T₂ || T₃ || II

T - ^C2Y1 /(a⁵² _^c2" y ） mod n II - ^c2 I g^S3 mod n || 式 (20) T₂ ^cg^S4 mod n || T₃ ^cg^s1- ^c2Ylh^S4 mod n || m)

[0255] グループ署名検証手段 301は、 c' =cであり、且つ siが ε ( γ 2 + k) + 1ビット、 s2 が ε (又 2 + k) + 1ビッ卜、 s3が ε ( γ 1 + 21p + k+ 1) + 1ビット、及び s4が ε (21ρ + k) + 1ビットの条件を満たす場合のみ、メンバ状態応答装置 4にメッセージ mとグルー プ署名データ（c, si, s2, s3, s4, Tl , T2, T3)とを送信する（ステップ S 102)。条 件を満たさない場合、グループ署名検証手段 301は、グループ署名データが正当で な 、と判定し不受理を出力する。

[0256] また、グループ署名検証手段 301は、署名生成で cの代わりに c"を出力した場合、 式（21)が成り立つかどうかを調べる。

[0257] [数 20] c" = H(g H h ll y || a₀ II a || Τι || Τ₂ II Τ₃ || a Tf¹— ^c"^2Yl /

(a^S2 - ^c"²" y ^S3 ) mod n II T ¹ I g^S3 mod n || T₂ ^c"g^S4 mod n || Tc"_gsi -c^¹ _hS4 _{mod n} ii _m) 式 (21)

[0258] 式（21)が成り立つ場合、グループ署名検証手段 301は、メッセージのハッシュ値 H

(m)とグループ署名データ（c"， si, s2, s3, s4, Tl, T2, T3)とをメンバ状態応答 装置 4に送信する。

[0259] なお、以上に示したグループ管理装置 1と署名装置 2とがメンバ登録証明書及びグ ループ署名鍵を生成する手順と、署名装置 2がグループ署名データを生成する手順 と、検証装置 3がグループ署名データを検証する手順とは、非特許文献 2に記載され ている。

[0260] メンバ状態応答装置 4の署名開封手段 404は、メッセージ mとグループ署名データ

(c, si, s2, s3, s4, Tl, T2, T3)とを受信すると、式（20)に示すグループ署名デ ータに対する検証式を確認する。そして、署名開封手段 404は、受信したグループ 署名データが受信したメッセージに対する正当なグループ署名データであることを確 認する（ステップ S 103)。

[0261] グループ署名データが正当でない場合、署名開封手段 404は、メンバ状態を「不 明」であると判定し、「不明」を示す応答データを検証装置 3に送信する (ステップ S10 4)。グループ署名データが正当であると判断すると、署名開封手段 404は、開封情 報記憶部 403が記憶する開封情報 Xを用いて、署名者特定用情報 A'を式 (22)に従 つて計算する (ステップ S105)。

[0262] [数 21]

A' = Ti /Ti mod n 式 (22)

[0263] また、署名開封手段 404は、求めた署名者特定用情報 A'を署名者特定手段 406 に出力する。署名者特定手段 406は、署名者特定用情報 A'を受け取ると、メンバ情 報記憶部 405が記憶するメンバ情報の中から A' = Aiを満たす Aiを持つメンバ登録 証明書を検索して特定する。また、署名開封手段 404は、特定したメンバ登録証明 書に対応づけて記憶されて ヽるデジタル署名から署名装置 2を特定し、署名装置 2 の公開鍵証明書を HD情報としてメンバ状態判定手段 407に出力する (ステップ S106

) o

[0264] メンバ状態判定手段 407は、 情報として公開鍵証明書を受け取り、メンバ失効リ スト記憶部 404が記憶するメンバ失効リストの中に受け取った公開鍵証明書があるか 否か検索する (ステップ S 107)。公開鍵証明書カ ンバ失効リストにない場合、メンバ 状態判定手段 407は、メンバ状態を「有効」であると判定し、「有効」を示す応答デー タを検証装置 3に送信する (ステップ S108)。公開鍵証明書カ ンバ失効リストにある 場合、メンバ状態判定手段 407は、メンバ状態を「失効」であると判定し、「失効」を示 す応答データを検証装置 3に送信する (ステップ S 109)。

[0265] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4からの応答データ を受信すると、応答データが「有効」である場合にはグループ署名にもとづいて「受理 」と判定し、「失効」である場合には「不受理」と判定する。そして、検証結果出力手段 302は、検証結果を出力する (ステップ S 110, Sl l l)。

[0266] また、グループ管理装置 1は、グループ署名データ（c, si, s2, s3, s4, Tl, T2, T3)を受け取り、グループ署名データを生成した署名装置 2を特定する。署名開封 手段 107は、開封情報記憶部 106が記憶する開封情報 Xを用いて、署名者特定用 情報 A'を式 (22)に従って計算し、署名者特定手段 108に出力する。次に、署名者 特定手段 108は、メンバ情報記憶部 104が記憶するメンバ情報の中から、 A'と一致 する Aiを検索する。一致する Aiを見つけると、署名者特定手段 108は、 Aiの含まれ るメンバ情報に付随するデジタル署名から Aiの持ち主である署名装置 2を特定する。 実施例 2

[0267] 次に、本発明の第 2の実施例を説明する。なお、本実施例は、本発明の第 2の実施 の形態に相当する。また、本実施例において、グループ管理装置 1と署名装置 2とが 行う初期設定、鍵生成処理及びグループ加入処理は、第 1の実施例におけるそれら の処理と同様である。 [0268] グループに加入している署名装置 2をグループから削除する場合、グループ管理 装置 1の失効メンバ通知手段 105Aは、脱退するメンバの署名装置 2に対応するメン バ登録証明書 (Ai, ei)をメンバ状態応答装置 4に通知 (送信)する。メンバ状態応答 装置 4の失効メンバ受信手段 401Aは、メンバ登録証明書 (Ai, ei)を受信して、メン バ失効リスト記憶部 402Aが記憶するメンバ失効リストに追加する。

[0269] また、本実施例にお!、て、グループ署名生成処理は、第 1の実施例におけるダル ープ署名生成処理と同様である。

[0270] 検証装置 3は、メッセージ m及びグループ署名データ（c, si, s2, s3, s4, Tl, T2 , T3)を受け取る。すると、検証装置 3のグループ署名検証手段 301は、第 1の実施 例と同様に、グループ署名データが正当か否かを確認する（図 8に示すステップ S10 D oグループ署名データが正当であることを確認できると、グループ署名検証手段 3 01は、メッセージ m及びグループ署名データ（c, si, s2, s3, s4, Tl, T2, T3)をメ ンバ状態応答装置 4に送信する。

[0271] なお、第 1の実施例と同様に、メンバ登録証明書及びグループ署名鍵を生成する 手順と、グループ署名データを生成する手順と、グループ署名データを検証する手 順とは、非特許文献 2に記載されている。

[0272] メッセージ mとグループ署名データ（c, si, s2, s3, s4, Tl, T2, T3)とを受信す ると、メンバ状態応答装置 4の署名開封手段 404Aは、式（20)に示すグループ署名 データに対する検証式を確認する。そして、署名開封手段 404Aは、受信したグルー プ署名データが受信したメッセージに対する正当なグループ署名データであることを 確認する (ステップ S 103)。

[0273] グループ署名データが正当でない場合、署名開封手段 404Aは、メンバ状態を「不 明」であると判定し、「不明」を示す応答データを検証装置 3に送信する (ステップ S10 4)。グループ署名データが正当であると判断すると、署名開封手段 404Aは、開封 情報記憶部 403が記憶する開封情報 Xを用いて、署名者特定用情報 A'を式 (22)に 従って計算する (ステップ S105)。また、署名開封手段 404Aは、求めた署名者特定 用情報 A'をメンバ状態判定手段 407Aに出力する。

[0274] メンバ状態判定手段 407Aは、署名者特定用情報 A'を受け取り、メンバ失効リスト 記憶部 402Aが記憶するメンバ失効リストの中に、 A' =Aiの条件を満たす Aiが存在 する力否か検索する (ステップ S 206)。存在すると判断すると、メンバ状態判定手段 4 07Aは、メンバ状態を「失効」と判定し (ステップ S108)、存在しないと判断すると、メ ンバ状態判定手段 407Aは、メンバ状態を「有効」であると判定する (ステップ S109) 。そして、メンバ状態判定手段 407Aは、それぞれ「失効」又は「有効」を示す応答デ ータを検証装置 3に送信する。

[0275] 応答データを受信すると (ステップ S 110)、検証装置 3の検証結果出力手段 302は 、第 1の実施例と同様の処理を行い検証結果を出力する (ステップ Sl l l)。また、グ ループ管理装置 1が行う署名者特定処理は、第 1の実施例における署名者特定処 理と同様である。

実施例 3

[0276] 次に、本発明の第 3の実施例を説明する。なお、本実施例は、本発明の第 3の実施 の形態に相当する。また、本実施例において、グループ管理装置 1と署名装置 2とが 行う初期設定、鍵生成処理、グループ加入処理及びメンバ失効処理は、第 1の実施 例におけるそれらの処理と同様である。

[0277] また、グループ署名生成処理も第 1の実施例にけるグループ署名生成処理と同様 に行い、署名装置 2のグループ署名生成手段 206は、メッセージ mとグループ署名 データ (c, si, s2, s3, s4, Tl, T2, T3)とを出力する。

[0278] 検証装置 3は、メッセージ mとグループ署名データ (c, si, s2, s3, s4, Tl, T2, T 3)とを受け取り、第 1の実施例と同様に、グループ署名データの正当性を確認する（ 図 9に示すステップ S101)。グループ署名データが正当であることを確認できると、グ ループ署名検証手段 301は、グループ署名データのうちの (Tl, T2)をメンバ状態 応答装置 4に送信する (ステップ S302)。

[0279] なお、第 1の実施例と同様に、メンバ登録証明書及びグループ署名鍵を生成する 手順と、グループ署名データを生成する手順と、グループ署名データを検証する手 順とは、非特許文献 2に記載されている。

[0280] メンバ状態応答装置 4の署名開封手段 404は、 (Tl, T2)を受け取ると、第 1の実 施例と同様に、開封情報 Xを用いて A'を計算し、求めた A'を署名者特定用情報とし て署名者特定手段 406に出力する。

[0281] 署名者特定用情報を受け取ると、メンバ状態判定手段 407は、第 1の実施例と同様 の処理を行い応答データを送信する。また、応答データを受信すると、検証装置 3の 検証結果出力手段 302は、第 1の実施例と同様の処理を行い検証結果を出力する。 また、グループ管理装置 1が行う署名者特定処理は、第 1の実施例における署名者 特定処理と同様である。

実施例 4

[0282] 次に、本発明の第 4の実施例を説明する。なお、本実施例は、本発明の第 4の実施 の形態に相当する。また、本実施例において、グループ管理装置 1と署名装置 2とが 行う初期設定、鍵生成処理、グループ加入処理、メンバ失効処理及びグループ署名 生成処理は、第 3の実施例におけるそれらの処理と同様である。

[0283] 検証装置 3は、メッセージ mとグループ署名データ (c, si, s2, s3, s4, Tl, T2, T 3)とを受け取り、第 1の実施例と同様に、グループ署名データの正当性を確認する（ 図 11に示すステップ S 101)。グループ署名データが正当であることを確認できると、 グループ署名検証手段 301は、グループ署名データのうちの (Tl, T2)をメンバ状 態応答装置 4に送信する (ステップ S302)。

[0284] なお、第 1の実施例と同様に、メンバ登録証明書及びグループ署名鍵を生成する 手順と、グループ署名データを生成する手順と、グループ署名データを検証する手 順とは、非特許文献 2に記載されている。

[0285] メンバ状態応答装置 4の署名開封手段 404Aは、（Tl, T2)を受け取ると、第 1の実 施例と同様に、開封情報 Xを用いて A'を計算し、求めた A'を署名者特定用情報とし てメンバ状態判定手段 407Aに出力する。

[0286] メンバ状態判定手段 407Aは、 A'を受け取ると、メンバ失効リスト記憶部 402Aが記 憶するメンバ失効リストに、 A' =Aiの条件を満たす A'が存在するか否かを検索する (ステップ S404)。見つからな 、 (条件を満たす A'が存在しな ヽ)場合、メンバ状態 判定手段 407Aは、メンバ状態を「不明」であると判定し、「不明」を示す応答データを 検証装置 3に送信する (ステップ S405)。見つかった (条件を満たす A'が存在する） 場合、メンバ状態判定手段 407Aは、メンバ失効リストに記憶された Aiの状態に応じ てメンバ状態の有効又は失効を判定し、「有効」又は「失効」を示す応答データを検 証装置 3に送信する（ステップ S407, S408)。

[0287] 応答データを受信すると、検証装置 3の検証結果出力手段 302は、第 3の実施例と 同様の処理を行い検証結果を出力する。また、グループ管理装置 1が行う署名者特 定処理は、第 1の実施例における署名者特定処理と同様である。

実施例 5

[0288] 次に、本発明の第 5の実施例を説明する。なお、本実施例は本発明の第 5の実施 の形態に相当する。また、本実施例において、グループ管理装置 1と署名装置 2とが 行う初期設定、鍵生成処理、グループ加入処理及びメンバ失効処理は、第 1の実施 例又は第 2の実施例におけるそれらの処理と同様である。

[0289] 署名装置 2の乱数発生器 205は、第 1の実施例と同様に乱数 wを生成する。また、 署名装置 2のグループ署名生成手段 206は、第 1の実施例と同様に、式（15)及び 式（16)を計算する。また、グループ署名生成手段 206は、式 (23)を計算する。

[0290] [数 22] ci = H(g || h || y || ao II a || Ti || T₂ II T₃ || di || d₂ II d₃ II d₄) 式 (23)

[0291] また、グループ署名生成手段 206は、式（24)を計算する。

[0292] [数 23]

S1 = Γ1 - Cl(ei -2^Y1 ), S2 = Γ2 - Cl (Xi -2 ^l ), S3 = Γ3 - CieiW, S4 = Γ4 - C1W 式 (24)

[0293] 次に、乱数生成器 205は、 ε ( γ 2+k)ビットの乱数 r5、 ε ( λ 2+k)ビットの乱数 r 6、 ε ( 1 + 2 +1^+ 1)ビットの乱数 7、及び_£ (21p+k)ビットの乱数 r8を新たに 生成する。グループ署名生成手段 206は、乱数 r5, r6, r7, r8を用いて式（25)を計 算する。

[0294] [数 24] ds = T|⁵ /(a^re y ¹⁷ ) mod n， d₆ = I g¹⁷ mod n， d₇ = g^re mod n，

」 式 (25) de = g ^{5 r8} mod n [0295] また、グループ署名生成手段 206は、メッセージ入力手段 204から入力したメッセ ージ mに対して、式（26)及び式（27)を計算する。

[0296] [数 25]

C2 = H(g ||h||y || a₀ II a || Τι || Τ₂ II Τ₃ || d₅ II d₆ II d₇ II da II m) 式 (26)

[0297] [数 26]

S5 =Γ5 -C2(ej-2⁷¹),S6 =Γ6 -C2(Xi -2^λΐ),β7 = 17 -C2ejW, S8 = — C2W 式 (27)

[0298] そして、グループ署名生成手段 206は、メッセージ m及び（cl, c2, si, s2, s3, s4 , s5, s6, s7, s8, Tl, T2, T3)をグループ署名データとして出力する。

[0299] 検証装置 3は、メッセージ m及びグループ署名データ（cl, c2, si, s2, s3, s4, s5 , s6, s7, s8, Tl, T2, T3)を受け取ると、グループ署名データの正当性を検証する 。検証装置 3のグループ署名検証装置 301は、メッセージ m、グループ署名データ（c 1, c2, si, s2, s3, s4, s5, s6, s7, s8, Tl, T2, T3)、及び公開情報開示手段 10 1が開示する公開情報にもとづいて、式 (28)、式 (29)及び式 (30)の条件を満たす か否かを確認する。

[0300] [数 27]

/(a^S2— ^cl2"y^S3)m₀dn||

- _C12 _/gs_{3 mod n}|| _gs4 modn||T₃ ^c g^s1-^cl2i1h^S4 modn) 式 (28)

[0301] [数 28]

C2 = H(g Hhlly || ao II Ti || T₂ II T₃ II

/(a^S6- ^C22"_y ^S7 )mod n ||

— _C22 _/gs_{7 m0}dn||T₅ ^C2g^S8 mod n ||T₆ ^C2g^S5- ^{C22Y 8} mod n || m) 式 (29)

[0302] [数 29] si€ ±{0, ^Ϋ e(Y2 +k)+1

S2 e ±{0, 1}^^{2 +k})⁺¹，

ι ε(λι +2 +Ι<+1)+1

S3 e ±{0， 1} S4 e ±{0，1}^{e(2 p+k)+1}

式 (30)

S5 G ±{0， 1} S6 G ±{0, 1}^ε(^λ2+> ₊1，

S7€ ±{0， 1}^ε(λ1 +²fP^+k十¹) +¹， _Sg _{G ±}{0， 1}£(2ip+k)+1

[0303] 式（28)、式（29)及び式（30)の条件を満たさない場合、検証装置 3は、グループ 署名データにもとづいて不受理と判定する。式 (28)、式 (29)及び式 (30)の条件を 満たす場合、検証装置 3は、メンバ状態応答装置 4にグループ署名データのうちの（c 1, si, s2, s3， s4, Tl, T2, T3)を送信する。

[0304] メンバ状態応答装置 4の署名開封手段 404は、（cl , si , s2， s3， s4, Tl, T2, T3 )を受信すると、式（28)及び式（31)が成り立つ力否かを確認する。

[0305] [数 30]

S1 e ±{0， 1}^e(Y2+k)+1， _{S2 e ±{0}, _1}ε(λ_{2 +}Ι0₊1，

式 (31 ) S3€ ±{0， 1}^ε(^λ1 +2fp+k+1)+1， _{S4 G}土 _{0, _1}E(2^p₊k)₊1

[0306] 式 (28)及び式 (31)が成り立たない場合、署名開封手段 404は、メンバ状態を「不 明」であると判定し、「不明」を示す応答データを検証装置 3に送信する。式 (28)及 び式 (31)が成り立つ場合、署名開封手段 404は、開封情報 Xを用いて第 1の実施例 と同様に署名者特定用情報 Aiを生成する。

[0307] 署名者特定用情報を受け取ると、メンバ状態判定手段 407は、第 1の実施例又は 第 2の実施例と同様の処理を行い応答データを送信する。また、応答データを受信 すると、検証装置 3の検証結果出力手段 302は、第 1の実施例又は第 2の実施例と 同様の処理を行い検証結果を出力する。また、グループ管理装置 1が行う署名者特 定処理も、第 1の実施例における署名者特定処理と同様である。

実施例 6

[0308] 次に、本発明の第 6の実施例を説明する。なお、本実施例は、本発明の第 6の実施 例に相当する。また、本実施例において、グループ管理装置 1と署名装置 2とが行う 初期設定は、第 1の実施例又は第 2の実施例における初期設定と同様である。

[0309] 鍵生成処理において、グループ管理装置 1は、第 1の実施例と同様に、開封情報 X と公開情報 yとを生成する。メンバ状態応答装置 4は、位数 p '及び q'の乗法群からラ ンダムに uを選び、式（32)を計算する。

[0310] z =g^u mod n 式（32)

[0311] メンバ状態応答装置 4は、 uを開封情報記憶部 403に記憶させ、 zをメンバ状態応 答装置 4の公開鍵として公開情報開示手段 101に出力する。なお、グループ加入処 理及びメンバ失効処理は、第 1の実施例又は第 2の実施例におけるそれらの処理と 同様である。

[0312] 署名装置 2の乱数発生器 205は、 21pビットの乱数 tを生成する。また、署名装置 2 のグループ署名生成手段 206は、メンバ状態応答装置 4の公開鍵 zを用いて、式（33 )を計算する。

[0313] [数 31]

Τι = Α;ζ mod n， T∑ = g^l mod n， T3 = g^eih^† mod n 式 (33)

[0314] また、乱数生成器 205は、 21pビットの乱数 wを生成する。グループ署名生成手段 2 06は、公開鍵 zと同様に、グループ管理装置 1の公開鍵 yを用いて、式 (34)を計算 する。

[0315] [数 32]

Ϊ4 = A,y^w mod n, T5 = g^w mod n， Te = g^ei h^w mod n 式 (34)

[0316] また、グループ署名生成手段 206は、 Tl , T2がメンバ登録証明書の正しい変換デ ータであることを証明するデータを作成する。まず、乱数生成器 205は、 ε ( ₇ 2 +k) ビットの乱数 rl、 ε ( 2 +k)ビットの乱数 r2、 ε ( γ l + 21p +k+ l)ビットの乱数 r3、 及び ε (21p +k)ビットの乱数 r4を生成する。また、グループ署名生成手段 206は、 式 (35)を計算し、式 (36)を計算する。

[0317] [数 33] di = T{¹ /(a^r2 ζ^Γ3 ) mod η， d₂ = Ί I g^r3 mod n， d₃ = q" mod n.

式 (³⁵) d4 = g^r h^r4 mod n

[0318] [数 34] ci = H(g Hhllyllz || ao II a || Ti || T₂ || T₃ II di || d₂ II d₃ II d₄) 式 (36)

[0319] また、グループ署名生成手段 206は、式（37)を計算する。

[0320] [数 35]

S1 = Π - C1 (Θί - 2⁷¹ ), S2 = Γ2 - Cl(Xi— 2^λΐ ), S3 = ¾ - Ciejt, S4 = Γ4 - cit 式 (37)

[0321] 次に、グループ署名生成手段 206は、 T4, T5がメンバ登録証明書の正しい変換 データであり、且つ (Tl， Τ2)と (Τ4, Τ5)とが同じメンバ登録証明書を変換している ことを示すデータを作成する。乱数生成器 205は、 ε (y2 + k)ビットの乱数 r5、 ε ( 2+k)ビットの乱数 r6、 ε (γ l + 21p+k+l)ビットの乱数 r7、 ε (21p+k)ビットの 乱数 、及び ε (21p+k)ビットの乱数 r9を生成する。また、グループ署名生成手段 206は、式（38)を計算する。

[0322] [数 36] ds = T^⁵ /(a^re y ¹⁷ ) mod n， d₆ = T₅ ^r51 g'⁷ mod n'

d₇ = g^r8 mod n， d₈ = g^rs h^r8 mod n， 式 ₍₃₈₎ dg = g^r9 mod n， dio =y^r9 z— ^r8 mod n， ¹ d" = g^r9_r8 mod n, di₂ = \\^~^x& mod n

[0323] 次に、グループ署名生成手段 206は、メッセージ mを用いて、式（39)を計算し、式

(40)を計算する。

[0324] [数 37]

C2 = H(g Hhllyllz || a₀ II a || Ti || Τ₂ || Τ₃ II Τ₄ || Τ₅ || Τ₆ || ,ゥ ds II d₆ II d₇ II d₈ II d₉ II d₁₀ || d" || d₁₂ || m) ^¾(39)

[0325] [数 38]

S5 = rs - C2(ei - 2^γ1 )， S6 = r₆ - c₂(xi― 2^λ1 )， s₇=r?- c₂e\ ,

S8 = ¾— C2t， S9 = Γ9 - 02Γ

式 (40)

[0326] そして、グループ署名生成手段 206は、メッセージ m及び (cl, c2, sl、 s2、 s3、 s4 , s5, s6, s7, s8, s9, Tl, T2, T3, T4, T5, T6)を、グループ署名データとして出 力する。

[0327] 検証装置 3は、メッセージ m及びグループ署名データ（cl, c2, sl、 s2、 s3、 s4, s5 , s6, s7, s8, s9, Tl, T2, T3, T4, T5, T6)を受け取り、グループ署名の正当性 を検証する。検証装置 3のグループ署名検証手段 301は、メッセージ m、グループ署 名データ（cl, c2, sl、 s2、 s3、 s4, s5, s6, s7, s8, s9, Tl, T2, T3, T4, T5, T 6)、及び公開情報開示手段 101が開示する公開情報にもとづいて、式 (41)及び式 (42)を満たすか否かを確認する。

[0328] [数 39]

C2 = H(g Hhlly || a₀ II Τι || Τ₃ II Τ₄ || Τ₅ II Τ₆ || a^T ⁵ -"² /

(a^S6— ^C22"z^S7 )mod n || - ^C22Yl /g^S7 mod n ||T₅ ^C2g^S8 mod n || m_{od n}||_Tc_2gs₉

||(T₄/Ti)^C2y^S9z-^S8 mod n|| (Ts /T₂)^C2 g^S9- ^S8 mod n || (T₆ /T₃)^C2 h^S9"^S8 mod n || m)

式 (41)

[0329] [数 40]

S5 e ±{0， 1}^ε 2+k)+1， _{S6 G ±{0}， _1}ε(λ₂₊ )₊1，

S7 e ±{0， 1}^{ε(λι +2} P+k+1)+1， sg _e土 _{0， _1}ε(2 +Κ)+1 ^{Λ (42)}

[0330] 式 (41)及び式 (42)を満たさない場合、グループ署名検証手段 301は、グループ 署名データを不受理と判定し、検証結果を出力する。式 (41)及び式 (42)を満たす 場合、グループ署名検証手段 301は、メンバ状態応答装置 4に、グループ署名デー タのうちの（cl, sl、 s2、 s3、 s4, Tl, T2, T3)を送信する。

[0331] メンバ状態応答装置 4の署名開封手段 404は、 (cl, si, s2, s3, s4, Tl, T2, T3 )を受信すると、式 (43)及び式 (44)が成り立つか否かを確認する。

[0332] [数 41] ci=H(g||h||y||z||ao II Ti || T₂ || T₃ || aj¹ T - ^C12" /(a⁸²— ^C12" z^S3 ) mod n || T₂ ^S1- ^C12Y1 /g^S3 modn||T₂ ^c1g^S4 mod n ||T₃ ^c1g^s1-^cl2Ylh^S4 modn)

式 (43) [0333] [数 42]

S1 G ±{0， 1}^ε(Υ2 + )₊1， _{S2 G}土 _{0， _1}ε( 2 ₊Κ)₊1₍

S3€ ±{0， 1}ε( ΐ +2 ₊Κ₊1)+1_{} S4 e}土 _{0， _1}ε(2 ₊Κ)₊1 式 (⁴⁴)

[0334] 式 (43)及び式 (44)が成り立たない場合、署名開封手段 404は、メンバ状態を「不 明」であると判定し、「不明」を示す応答データを検証装置 3に送信する。式 (43)及 び式 (44)が成り立つと判断した場合、署名開封手段 404は、開封情報 Xを用いて第 1の実施例と同様に署名者特定用情報 Aiを生成する。

[0335] 署名者特定用情報を受け取ると、メンバ状態判定手段 407は、第 1の実施例又は 第 2の実施例と同様の処理を行い応答データを送信する。また、応答データを受信 すると、検証装置 3の検証結果出力手段 302は、第 1の実施例又は第 2の実施例と 同様の処理を行い検証結果を出力する。また、グループ管理装置 1が行う署名者特 定処理は、第 1の実施例における署名者特定処理と同様である。

実施例 7

[0336] 次に、本発明の第 7の実施例を説明する。なお、本実施例は、本発明の第 7の実施 の形態に相当する。また、本実施例において、グループ管理装置 1と署名装置 2とが 行う初期設定は、第 1の実施例における初期設定と同様である。

[0337] 鍵生成処理において、グループ管理装置 1は、第 1の実施例と同様に素数 p'及び q'を選び、 ρ = 2ρ' + 1及び q = 2q' + 1を計算し、 n = pqを求める。また、グループ管 理装置 1は、 nの平方剰余群力 ランダムに a, aO, b, g, hを選ぶ。また、グループ管 理装置 1は、（ρ' , q' )をグループ管理装置 1のメンバ登録用情報記憶部 102に出力 し、（n, a, aO, b, g, h)を公開情報開示手段 101に出力する。グループ管理装置 1 は、第 1の実施例と同様に、開封情報 Xと公開鍵 yとを生成する。そして、グループ管 理装置 1は、 Xを開封情報記憶部 106に出力し、 yを公開情報開示手段 101に出力 する。

[0338] 初期設定及び鍵生成の後、グループ管理装置 1は、署名装置 2をグループのメン バとして登録する。

[0339] 署名装置 2は、第 1の実施例と同様の処理を行う。署名装置 2のグループ加入手段 201Bは、グループ署名鍵 x' iを取得し、グループ管理装置 1のメンバ登録手段 103 Bと式 (45)の C2を共有する。

[0340] [数 43]

C2 = a^x'' mod n 式（45)

[0341] メンバ登録手段 103Bは、式 (46)及び式 (47)の条件を満たす素数 eiと xiとをラン ダムに選び、式 (48)を計算する。

[0342] [数 44] e_{i e} [2^Y - 2^γ2 , 2^γ1 + 2^γ2 ] 式 (46)

[0343] [数 45]

Xi G [2^λ1 - 2^λ2， 2^λ1 + 2^λ2】 式 (47)

[0344] [数 46]

Aj = (C2a^xiao)^{1 ei} mod n 式 (48)

[0345] なお、式 (48)で求められる値は、 p'及び q'を知らないと計算できない。メンバ登録 手段 103Bは、求めた (Ai, ei)をメンバ登録証明書として署名装置 2に送信する。ま た、メンバ登録手段 103Bは、求めた xiをメンバ追跡情報として署名装置 2に送信す る。

[0346] 署名装置 2の第 2のグループ加入手段 201Bは、（Ai, ei)及び xiを受け取る

と、式 (49)が成り立つか否かを調べ、メンバ登録証明書が正しく生成されている力否 か確認する。

[0347] [数 47] a^xlb^{x ,}ao = Α®' 式（49)

[0348] 式 (49)が成り立つことを確認できると、グループ加入手段 201Bは、メンバ登録証 明書 (Ai, ei)をメンバ登録証明書記憶部 202に記憶させ、 x' iをグループ署名鍵とし てグループ署名鍵記憶部 202に記憶させ、 xiをメンバ追跡情報記憶部 207にそれぞ れ記憶させる。 [0349] グループ管理装置 1のメンバ登録手段 103Bは、署名装置 2に対応するメンバ登録 証明書 (Ai, ei)、メンバ追跡情報 xi及び通信内容と、それぞれに付与された署名装 置 2のデジタル署名とを、メンバ情報記憶部 104Bに出力する。

[0350] グループのメンバである署名装置 2をグループから削除する場合、グループ管理装 置 1の失効メンバ通知手段 105Bは、削除したい署名装置 2に対応するメンバ追跡情 報 xiをメンバ情報記憶部 104B力も読み出し、読み出した xiをメンバ状態応答装置 4 に送信する。メンバ状態応答装置 4の失効メンバ受信手段 401Bは、 xiを受信し、受 信した xiをメンバ失効リスト記憶部 402Bに記憶させる。

[0351] グループに加入した署名装置 2のグループ署名生成手段 206Bは、メッセージに対 するグループ署名データを生成する。まず、乱数生成器 205は、 21pビットの乱数 wを 生成し、グループ署名生成手段 206Bに出力する。乱数 wを受け取ると、グループ署 名生成手段 206Bは、乱数 wとメンバ登録証明書 (Ai, ei)と公開情報開示手段 101 が開示する公開情報とにもとづいて、式（15)を用いて (Ai, ei)の変換データ Tl , T 2, T3を計算する。

[0352] また、乱数発生器 205は、 21pビットの新たな乱数 kを生成する。グループ署名生成 手段 206Bは、式（50)を用いてメンバ追跡情報 xiの変換データ T4, T5を計算する。

[0353] [数 48]

T4 = g^xik, T₅ = g^k 式 (50)

[0354] 次に、グループ署名生成手段 206Bは、これら変換データの値を正しく生成したこと を示すデータを作成する。乱数生成器 205は、 ε ( y 2 + k)ビットの乱数 rl、 ε ( λ 2 +k)ビットの乱数 r2、 ε ( 2+k)ビットの舌 L数 r3、 ε ( γ l + 21p+k+ l)ビットの乱 数 r4、及び ε (21p +k)ビットの乱数 r5を生成し、グループ署名生成手段 206Bに出 力する。乱数を受け取ると、グループ署名生成手段 206Bは、式（51)を計算する。

[0355] [数 49] ch = Τ ¹ /a^t1b^t3y mod n, d₂ = T ¹ /g mod n， d₃ = g^t5 mod n， c = g^t1 h^t5 mod n， ds =丁】² mod n

式 (51) [0356] また、グループ署名生成手段 206Bは、メッセージ入力手段 204から入力したメッセ ージ mを用いて、式（52)及び式（53)を計算する。

[0357] [数 50]

c = H(g||h||y||a||b||Ti||T2||T₃||T4l|T5l|di ||d₂ II d₃ II d₄ II d₅ II m) 式 (52)

[0358] [数 51] si = n - c(ei― 2^γ1 ), S2 = r₂ - c(xi - 2^λ1 ), s₃ = r₃ - c(x'i— 2^λ1 )，

式 (53)

[0359] そして、グループ署名生成手段 206Bは、メッセージ m及び（c、 sl、 s2、 s3、 s4、 s5 、 Tl, T2, T3, T4, T5)を、グループ署名データとして出力する。

[0360] 検証装置 3は、メッセージ m及びグループ署名データ（c、 sl、 s2、 s3、 s4、 s5、 Tl , T2, T3, T4, T5)を受け取ると、グループ署名データの正当性を検証する。図 15 において、検証装置 3のグループ署名検証手段 301Bは、受け取ったグループ署名 データが所定の検証式を満たすか否かを調べる (ステップ S101)。本実施例では、 グループ署名検証手段 301Bは、メッセージ m、グループ署名データ（c、 sl、 s2、 s3 、 s4、 s5、 Tl, T2, T3, T4, T5)、及び公開情報開示手段 101が開示する公開情 報にもとづいて、式（54)を満たし、且つ siが ε (_y 2+k) +lビット、 s2が ε (12+k ) +1ビット、 s3が ε ( 2 + k) +lビット、 s4が ε (γ l + 21p + k+l) +1ビット、及び s 5が ε (21p+k) +lビットであるか否かを調べる。

[0361] [数 52] c = H(g II h II y II a II b || Ti || T₂ II T₃ || T₄ || T₅ || agT - ^c2 I

_(as₂ -ο2^λ1 _bs₃ -ο2^λ1 _y S4 _} II _Tsi -c2^ _gS4 || _Tc_gS5 || -c2 ^₅ ii

T₄ ^CT₅ ^S2- ^c2" II m)

式 (54)

[0362] 検証式を満たさない場合、グループ署名検証手段 301Bは、グループ署名データ が正当でないと判定し不受理を出力する。検証式を満たす場合、グループ署名検証 手段 301Bは、メンバ状態応答装置 4に、メッセージ mとグループ署名データ (c, si, s2, s3, s4, s5, Tl, T2, T3, T4, T5)とを送信する（ステップ S 102)。

[0363] なお、以上に示したグループ管理装置 1と署名装置 2とがメンバ登録証明書及びグ ループ署名鍵を生成する手順と、署名装置 2がグループ署名データを生成する手順 と、検証装置 3がグループ署名データを検証する手順とは、非特許文献 2に記載され ている。

[0364] メンバ状態応答装置 4のメンバ状態判定手段 407Bは、メッセージ mとグループ署 名データ（c, si, s2, s3, s4, s5, Tl, T2, T3, T4, T5)とを受信すると、グループ 署名データの正当性を確認する（ステップ S103)。グループ署名データが正当でな い場合、メンバ状態判定手段 407Bは、メンバ状態を「不明」であると判定し、「不明」 を示す応答データを検証装置 3に送信する (ステップ S 104)。

[0365] グループ署名データが正当である場合、メンバ状態判定手段 407Bは、メンバ失効 リスト記憶部 402Bが記憶するメンバ追跡情報 xiと、グループ署名データに含まれる（ T4, T5)とに対して、以下の処理を行う。

[0366] まず、メンバ状態判定手段 407Bは、メンバ失効リスト記憶部 402B力 メンバ追跡 情報 xiを読み出す (ステップ S505)。メンバ追跡情報がない場合、メンバ状態判定手 段 407Bは、メンバ状態を「有効」であると判定する (ステップ S507)。そして、メンバ 状態判定手段 407Bは、「有効」を示す応答データを検証装置 3に送信し、処理を終 了する。

[0367] メンバ追跡情報が存在する場合、メンバ状態判定手段 407Bは、読み出したメンバ 追跡情報 xiと (T4, T5)とに対して、式（55)が成り立つ力否力調べる（ステップ S508 , S509)。

[0368] [数 53] 4 = T₅ ^Xi 式 (55)

[0369] 式 (55)が成り立つ場合、メンバ状態判定手段 407Bは、メンバ状態を「失効」である と判定し、「失効」を示す応答データを検証装置 3に送信する (ステップ S510)。式（5 5)が成り立たない場合、メンバ状態判定手段 407Bは、ステップ S505に戻り、メンバ 失効リスト記憶部 402Bから次のメンバ追跡情報を読み出す。そして、メンバ状態判 定手段 407Bは、ステップ S505以降の処理を繰り返し実行する。全てのメンバ追跡 情報 xiに対して式（55)が成り立たない場合、メンバ状態判定手段 407Bは、メンバ 状態を「有効」であるとみなす。

[0370] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受け取ると、応答データが"有効"であればグループ署名データにもとづいて「受理」 と判定し、「有効」以外であればグループ署名データにもとづ 、て「不受理」と判定す る。そして、検証結果出力手段 302は、「受理」又は「不受理」の検証結果を出力する (ステップ SllO, Slll)。なお、グループ管理装置 1が行う署名者特定処理は、第 1 の実施例における署名者特定処理と同様である。

実施例 8

[0371] 次に、本発明の第 8の実施例を説明する。なお、本実施例は、本発明の第 7の実施 の形態に相当対応する。また、本実施例において、グループ管理装置 1と署名装置 2とが行う初期設定、鍵生成処理、グループ加入処理、メンバ失効処理及びグルー プ署名生成処理は、第 7の実施例におけるそれらの処理と同様である。

[0372] 検証装置 3は、メッセージ m及びグループ署名データ（c、 sl、 s2、 s3、 s4、 s5、 Tl , T2, T3, T4, T5)を受け取ると、グループ署名データの正当性を検証する。図 17 において、検証装置 3のグループ署名検証手段 301Bは、受け取ったグループ署名 データが所定の検証式を満たすか否かを調べる (ステップ S101)。本実施例では、 グループ署名検証手段 301Bは、メッセージ m、グループ署名データ（c、 sl、 s2、 s3 、 s4、 s5、 Tl, T2, T3, T4, T5)、及び公開情報開示手段 101が開示する公開情 報にもとづいて、式（54)を満たし、且つ siが ε (_y 2+k) +lビット、 s2が ε (12+k ) +1ビット、 s3が ε ( 2 + k) +lビット、 s4が ε (γ l + 21p + k+l) +1ビット、及び s 5が ε (21p+k) +lビットであるか否かを調べる。

[0373] 検証式を満たさない場合、グループ署名検証手段 301Bは、グループ署名データ が正当でないと判定し不受理を出力する。検証式を満たす場合、グループ署名検証 手段 301Bは、メンバ状態応答装置 4に、メッセージ mと (T4, T5)とを送信する (ステ ップ S602)。 [0374] なお、以上に示したグループ管理装置 1と署名装置 2とがメンバ登録証明書及びグ ループ署名鍵を生成する手順と、署名装置 2がグループ署名データを生成する手順 と、検証装置 3がグループ署名データを検証する手順とは、非特許文献 2に記載され ている。

[0375] メンバ状態応答装置 4のメンバ状態判定手段 407Bは、（T4, T5)を受信すると、メ ンバ失効リスト記憶部 402Bからメンバ追跡情報 xiを読み出す (ステップ S505)。 xiが 存在すると判断すると、メンバ状態判定手段 407は、処理を続け、次に読み出した xi と（T4, T5)とに対して、式（55)力 S成り立つ力否力調べる（ステップ S508, S509)。

[0376] 式（55)が成り立たない場合、メンバ状態判定手段 407Bは、ステップ S505に戻り、 メンバ失効リスト記憶部 402B力 次のメンバ追跡情報を読み出す。式（55)が成り立 つ場合、メンバ状態判定手段 407Bは、 xiと対応づけて記憶されているメンバ状態を 調べる (ステップ S610)。そして、メンバ状態判定手段 407Bは、メンバ状態に応じて 、「有効」又は「失効」を示す応答データを検証装置 3に送信する (ステップ S611, S6 12)。ステップ S506において読み出す xiがなくなると、メンバ状態判定手段 407Bは 、メンバ状態を「不明」であると判定し、「不明」を示す応答データを検証装置 3に送信 する。

[0377] 検証装置 3の検証結果出力手段 302は、メンバ状態応答装置 4から応答データを 受け取ると、応答データが"有効"であればグループ署名データにもとづいて「受理」 と判定し、「有効」以外であればグループ署名データにもとづ 、て「不受理」と判定す る。そして、検証結果出力手段 302は、「受理」又は「不受理」の検証結果を出力する (ステップ Sl lO, Sl l l)。なお、グループ管理装置 1が行う署名者特定処理は、第 1 の実施例における署名者特定処理と同様である。

実施例 9

[0378] 次に、本発明の第 9の実施例を説明する。なお、本実施例は、本発明の第 1の実施 の形態力 第 8の実施の形態までの 、ずれかに示すグループ署名システムを、具体 的に示したものに相当する。図 18は、グループ署名システムの具体的な構成の一例 を示すブロック図である。図 18に示すように、グループ署名システムは、グループ管 理サーバ 1A、ユーザ端末 2A、認証端末 3A及びメンバ状態応答サーバ 4Aを含む。 また、図 18に示す様に、グループ管理サーバ 1A、ユーザ端末 2A、認証端末 3A及 びメンバ状態応答サーバ 4Aは、インターネット等の通信ネットワーク 100を介して接 続される。

[0379] グループ管理サーバ 1Aは、グループを管理する事業者 (以下、グループ管理事業 者という）が運営するサーバである。本実施例において、グループ管理サーバ 1Aは 、第 1の実施の形態から第 8の実施の形態までのいずれかに示すグループ管理装置 1に相当する。なお、図 18では、 1つのグループ管理サーバ 1Aを示している力 ダル ープ署名システムは、複数のグループ管理サーバ 1 Aを含んでもよい。

[0380] ユーザ端末 2Aは、パーソナルコンピュータ等の情報処理端末であり、グループのメ ンバであるユーザが使用する端末である。本実施例において、ユーザ端末 2Aは、第 1の実施の形態力 第 8の実施の形態までのいずれかに示す署名装置 2に相当する 。なお、図 18では、 1つのユーザ端末 2Aを示している力 グループ署名システムは、 複数のユーザ端末 2Aを含む。また、ユーザ端末 2Aは、携帯電話機や PDA等の携 帯端末であってもよい。

[0381] 認証端末 3Aは、パーソナルコンピュータ等の情報処理端末であり、通信ネットヮー ク 100を介してユーザに各種サービスを提供するサービス事業者や公共機関が運営 する端末である。例えば、認証端末 3Aは、図書館が運営する端末であり、ユーザ端 末 2A力もの要求に応じて本の貸し出しを許可する。本実施例において、認証端末 3 Aは、第 1の実施の形態力も第 8の実施の形態までのいずれかに示す検証装置 3に 相当する。なお、図 18では、 1つの認証端末 3Aを示している力 グループ署名シス テムは、複数の認証端末 3Aを含んでもよい。

[0382] メンバ状態応答サーバ 4Aは、グループ管理事業者の依頼に応じてグループの各 メンバの状態を管理する事業者が運営するサーバである。本実施例において、メン バ状態応答サーバ 4Aは、第 1の実施の形態力 第 8の実施の形態までのいずれか に示すメンバ状態応答装置 4に相当する。

[0383] ユーザ端末 2Aは、ユーザの操作に従ってメッセージを入力すると、入力したメッセ ージに対するグループ署名データを生成する。そして、ユーザ端末 2Aは、メッセ一 ジ及びグループ署名データを、通信ネットワーク 100を介して認証端末 3Aに送信す る。例えば、ユーザ端末 2Aは、グループ署名データとメッセージとして本の貸し出し 要求とを、図書館の認証端末 3Aに送信する。

[0384] 認証端末 3Aは、受信したグループ署名データを認証すると、第 1の実施の形態か ら第 8の実施の形態までのいずれかに示す方法を用いて、ユーザのメンバ状態の判 定要求を、通信ネットワーク 100を介してメンバ状態応答サーバ 4Aに送信する。例え ば、認証端末 3Aは、判定要求としてメッセージ及びグループ署名データを、メンバ 状態応答サーバ 4Aに送信する。また、例えば、認証端末 3Aは、判定要求としてグ ループ署名データに含まれる変換データを、メンバ状態応答サーバ 4Aに送信する。

[0385] メンバ状態応答サーバ 4Aは、メンバ状態の判定要求を受信すると、第 1の実施の 形態から第 8の実施の形態までのいずれかに示す判定方法を用いて、ユーザ端末 2 Aのユーザの現在のメンバ状態を判定する。そして、メンバ状態応答サーバ 4Aは、 判定したメンバ状態を含む応答データを、通信ネットワーク 100を介して認証端末 3 Aに送信する。

[0386] 認証端末 3Aは、受信した応答データにもとづ 、て、メッセージを受理するか不受理 とするかを判定し、「受理」又は「不受理」の検証結果を出力する。例えば、認証端末 3Aは、メンバ状態が「有効」である場合、本の貸し出しを許可する旨の検証結果を出 力する。また、例えば、認証端末 3Aは、メンバ状態が「失効」である場合、本の貸し出 しを不許可とする旨の検証結果を出力する。

産業上の利用可能性

[0387] 本発明は、匿名性を保ったままグループのメンバとしての資格確認をするグループ 署名システムの用途に適用できる。また、グループメンバの資格を失ったユーザの失 効処理を容易に行うことができ、メンバの資格失効の際の処理を効率よく行うことがで きる。

図面の簡単な説明

[0388] [図 1]本発明によるグループ署名システムの構成の一例を示すブロック図である。

[図 2]図 1に示すグループ署名システムの詳細構成の一例を示すブロック図である。

[図 3]メンバ情報記憶部 104が記憶する情報の一例を示す説明図である。

[図 4]メンバ失効リスト記憶部 402が記憶する情報の一例を示す説明図である。 [図 5]グループ署名システム力 ツセージに添付されたグループ署名の正当性を判断 し、且つ失効メンバか否かを判断する処理の一例を示す流れ図である。

[図 6]グループ署名システムの他の構成例を示すブロック図である。

圆 7]メンバ失効リスト記憶部 402Aが記憶する情報の一例を示す説明図である。

[図 8]グループ署名システムがメッセージに添付された署名の正当性を判断し、且つ 失効メンバか否かを判断する処理の他の例を示す流れ図である。

[図 9]グループ署名システムがメッセージに添付された署名の正当性を判断し、且つ 失効メンバか否かを判断する処理の更に他の例を示す流れ図である。

圆 10]メンバ失効リスト記憶部 402Aが記憶する情報の他の例を示す説明図である。

[図 11]グループ署名システム力 ツセージに添付された署名の正当性を判断し、且 つ失効メンバか否かを判断する処理の更に他の例を示す流れ図である。

[図 12]グループ署名システムの更に他の構成例を示すブロック図である。

圆 13]メンバ情報記憶部 104Bが記憶する情報の一例を示す説明図である。

圆 14]メンバ失効リスト記憶部 402Bが記憶する情報の一例を示す説明図である。

[図 15]グループ署名システム力 ツセージに添付された署名の正当性を判断し、且 つ失効メンバか否かを判断する処理の更に他の例を示す流れ図である。

圆 16]メンバ失効リスト記憶部 402Bが記憶する情報の他の例を示す説明図である。

[図 17]グループ署名システムがメッセージに添付された署名の正当性を判断し、且 つ失効メンバか否かを判断する処理の更に他の例を示す流れ図である。

[図 18]グループ署名システムの具体的な構成の一例を示すブロック図である。

符号の説明

1 グループ管理装置

2 署名装置

3 検証装置

4 メンバ状態応答装置

101 公開情報開示手段

102 メンバ登録用情報記憶部

103 メンバ登録手段 104 メンバ情報記憶部

105 失効メンバ通知手段

106 開封情報記憶部

107 署名開封手段

108 署名者特定手段

201 グループ加入手段

202 メンバ登録証明書記憶部

203 グループ署名鍵記憶部

204 メッセージ入力手段

205 乱数生成器

206 グループ署名生成手段

207 メンバ追跡情報記憶部

301 グループ署名検証手段

302 検証結果出力手段

401 失効メンバ受信手段

402 メンバ失効リスト記憶部

403 開封情報記憶部

404 署名開封手段

405 メンバ情報記憶部

406 署名者特定手段

407 メンバ状態判定手段

Claims

請求の範囲

[1] メッセージに対する署名データを生成し、前記署名データがグループのうちのいず れかのメンバの装置によって作成されたものであるカゝ否かを認証するグループ署名 システムであって、

要求に応じて、前記署名データを生成した装置のユーザが現時点においてグルー プの有効なメンバとしての資格をもっか否かを示すメンバ状態を判定するメンバ状態 判定装置を備えた

ことを特徴とするグループ署名システム。

[2] グループへの新たなメンバ登録を行うメンバ登録処理、及びグループのメンバとし ての資格を失効させるメンバ失効処理を行うことによって、グループを管理するダル ープ管理装置と、

メッセージに対して、当該メッセージがグループのうちのいずれかのメンバの装置に よって作成されたものであることを示す署名データであるグループ署名データを生成 する署名装置と、

前記署名装置からメッセージとグループ署名データとを受信し、前記受信したダル ープ署名データを認証する認証装置とを備えた

請求項 1記載のグループ署名システム。

[3] 認証装置は、グループ署名データがグループのうちのいずれかのメンバの署名装 置によって作成されたものであると判断すると、メンバ状態の判定要求をメンバ状態 判定装置に送信し、

メンバ状態判定装置は、前記認証装置からメンバ状態の判定要求を受信すると、 前記グループ署名データを生成した署名装置のユーザのメンバ状態を判定し、 前記メンバ状態の判定結果を前記認証装置に送信する

請求項 2記載のグループ署名システム。

[4] グループ管理装置は、

新たにグループのメンバとなるユーザの署名装置に、グループのメンバであることを 示すメンバ登録証明書を発行し、

前記メンバ登録証明書と前記署名装置に対応する HD情報とを、メンバ情報として記 憶し、

グループのメンバとしての資格を失効させたユーザである失効メンバの署名装置に 対応する 情報を、メンバ状態判定装置に送信し、

前記署名装置は、

ユーザがグループに加入する際に、グループ署名データを生成するための暗号鍵 であるグループ署名鍵を生成し、

メッセージと、乱数と、前記グループ管理装置によって発行されたメンバ登録証明 書と、前記グループ署名鍵とにもとづいて、グループ署名データを生成し、

認証装置は、

前記署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置に前記メッセージ及び前記グループ署名データを送信するこ とによって、前記グループ署名データを生成した署名装置のユーザが現時点におい てグループの有効なメンバとしての資格をもっか否かを問い合わせ、

前記メンバ状態判定装置は、

失効メンバの署名装置に対応する HD情報のリストを、失効メンバのリストであるメン バ失効リストとして記憶し、

前記認証装置からメッセージ及びグループ署名データを受信し、

前記グループ署名データを認証すると、

グループ署名データを開封するための暗号鍵である開封情報を用いて、グループ 署名データを生成した署名装置の Iひ f青報を特定し、

メンバ失効リストと前記特定した HD情報とにもとづいて、前記グループ署名データを 生成した署名装置のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 2又は請求項 3記載のグループ署名システム。

グループ管理装置は、失効メンバの署名装置に対応するメンバ登録証明書を、メン バ状態判定装置に送信し、

前記メンバ状態判定装置は、

失効メンバの署名装置に対応するメンバ登録証明書のリストを、メンバ失効リストとし β己憶し、

認証装置からメッセージ及びグループ署名データを受信し、

前記グループ署名データを認証すると、

開封情報を用いて、グループ署名データがいずれのユーザの署名装置によって生 成されたかを特定可能な情報である署名者特定用情報を生成し、

メンバ失効リストと前記生成した署名者特定用情報とにもとづいて、前記グループ 署名データを生成した署名装置のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 4記載のグループ署名システム。

[6] 署名装置は、メッセージのハッシュ値を用いてグループ署名データを生成し、 認証装置は、

メッセージのハッシュ値を用いてグループ署名データの認証を行 、、

グループ署名データがグループのうちのいずれかのメンバの装置によって作成され たものであると判断すると、メンバ状態判定装置にメッセージのハッシュ値とグループ 署名データとを送信する

請求項 4又は請求項 5記載のグループ署名システム。

[7] 署名装置は、

ユーザがグループに加入する際にグループ署名鍵を生成し、

メッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、 前記グループ署名鍵とにもとづ ヽて、グループ管理装置又はメンバ状態判定装置が 前記メンバ登録証明書を所定の変換によって復元可能なデータである変換データを 含むグループ署名データを生成し、

認証装置は、

前記署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置にグループ署名データに含まれる前記変換データを送信する ことによって、前記グループ署名データを生成した署名装置のユーザが現時点にお V、てグループの有効なメンバとしての資格をもっか否かを問 、合わせ、

前記メンバ状態判定装置は、 失効メンバの署名装置に対応する HD情報のリストを、メンバ失効リストとして記憶し、 認証装置から変換データを受信すると、前記変換データにもとづ!/ヽてメンバ登録証 明書を復元したのち署名装置の Iひ 報を特定し、

メンバ失効リストに前記 情報が含まれる力否かを判断し、

前記メンバ失効リストに前記 情報が含まれると判断すると、前記グループ署名デ ータを生成した署名装置のユーザのメンバ状態が現時点において失効していると判 定し、

メンバ失効リストに前記 HD情報が含まれないと判断すると、前記グループ署名デー タを生成した署名装置のユーザのメンバ状態が現時点において有効であると判定し 前記メンバ状態の判定結果を認証装置に送信する

請求項 4記載のグループ署名システム。

グループ管理装置は、

新たにグループのメンバとなるユーザの署名装置に、グループのメンバであることを 示すメンバ登録証明書を発行し、

前記メンバ登録証明書と前記署名装置に対応する HD情報とを、メンバ情報として記 し、

グループの有効なメンバの署名装置に対応するメンバ登録証明書と、メンバ状態が 有効な状態であることを示す情報とをメンバ状態判定装置に送信し、

グループのメンバとしての資格を失効させたユーザである失効メンバの署名装置に 対応するメンバ登録証明書と、メンバ状態が失効された状態であることを示す情報と をメンバ状態判定装置に送信し、

前記署名装置は、

ユーザがグループに加入する際に、グループ署名データを生成するための暗号鍵 であるグループ署名鍵を生成し、

メッセージと、乱数と、前記グループ管理装置によって発行されたメンバ登録証明 書と、前記グループ署名鍵とにもとづいて、グループ管理装置又はメンバ状態判定 装置が前記メンバ登録証明書を所定の変換によって復元可能なデータである変換 データを含むグループ署名データを生成し、

認証装置は、

前記署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置にグループ署名データに含まれる変換データを送信すること によって、前記グループ署名データを生成した署名装置のユーザが現時点において グループの有効なメンバとしての資格をもっか否かを問い合わせ、

前記メンバ状態判定装置は、

メンバ登録証明書と、メンバ状態が有効な状態又は失効された状態であることを示 す状態情報とを対応づけた組のリストを、失効メンバのリストであるメンバ失効リストと し L曰し '¾し、

認証装置から変換データを受信すると、前記変換データにもとづ!ヽてメンバ登録証 明書を復元し、

前記復元したメンバ登録証明書に対応する前記メンバ失効リストに含まれる状態情 報にもとづいて、前記グループ署名データを生成した署名装置のユーザのメンバ状 態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 2又は請求項 3記載のグループ署名システム。

署名装置は、

ユーザがグループに加入する際にグループ署名鍵を生成し、

メッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、 前記グループ署名鍵とにもとづ ヽて、グループ管理装置又はメンバ状態判定装置が 前記メンバ登録証明書を所定の変換によって復元可能なデータである変換データと 、前記変換データが当該署名装置によって生成されたことを示す証明データとを含 むグループ署名データを生成し、

認証装置は、

前記署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置にグループ署名データに含まれる変換データ及び証明データ を送信することによって、前記グループ署名データを生成した署名装置のユーザが 現時点にお 、てグループの有効なメンバとしての資格をもつ力否かを問 、合わせ、 前記メンバ状態判定装置は、

前記認証装置から変換データ及び証明データを受信し、

前記証明データを認証すると、前記変換データにもとづ！/、てメンバ登録証明書を復 元し、

前記復元したメンバ登録証明書に対応する 情報を特定し、

メンバ失効リストと前記特定した HD情報とにもとづいて、前記グループ署名データを 生成した署名装置のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 4記載のグループ署名システム。

[10] メンバ状態判定装置は、

認証装置から変換データ及び証明データを受信し、

前記証明データを認証すると、前記変換データにもとづ！/、てメンバ登録証明書を復 元し、

メンバ失効リストと前記復元したメンバ登録証明書とにもとづいて、グループ署名デ ータを生成した署名装置のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 9記載のグループ署名システム。

[11] 署名装置は、

ユーザがグループに加入する際にグループ署名鍵を生成し、

メッセージと、乱数と、グループ管理装置によって発行されたメンバ登録証明書と、 前記グループ署名鍵とにもとづ ヽて、グループ管理装置が前記メンバ登録証明書を 所定の変換によって復元可能なデータであるの第 1の変換データと、メンバ状態判定 装置が前記メンバ登録証明書を所定の変換によって復元可能なデータであるの第 2 の変換データと、前記第 2の変換データが当該署名装置によって生成されたことを示 す第 1の証明データと、前記第 1の変換データと前記第 2の変換データとが同じメン バ登録証明書を変換したデータであることを示す第 2の証明データとを含むグループ 署名データを生成し、 認証装置は、

前記署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置にグループ署名データに含まれる第 2の変換データ及び第 1 の証明データを送信することによって、前記グループ署名データを生成した署名装 置のユーザが現時点においてグループの有効なメンバとしての資格をもつ力否かを 問い合わせ、

前記メンバ状態判定装置は、

前記認証装置から第 2の変換データ及び第 1の証明データを受信し、

前記第 1の証明データを認証すると、前記第 2の変換データにもとづいてメンバ登 録証明書を復元し、

前記復元したメンバ登録証明書に対応する 情報を特定し、

メンバ失効リストと前記特定した HD情報とにもとづいて、前記グループ署名データを 生成した署名装置のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 4記載のグループ署名システム。

[12] メンバ状態判定装置は、

認証装置から第 2の変換データ及び第 1の証明データを受信し、

前記第 1の証明データを認証すると、前記第 2の変換データにもとづいてメンバ登 録証明書を復元し、

メンバ失効リストと前記復元したメンバ登録証明書とにもとづいて、グループ署名デ ータを生成した署名装置のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 11記載のグループ署名システム。

[13] グループ管理装置は、

新たにグループのメンバとなるユーザの署名装置に、グループのメンバであることを 示すメンバ登録証明書、及びグループ署名データが当該ユーザの署名装置によつ て作成されたことを確認可能な情報である署名者確認用情報を発行し、

前記メンバ登録証明書と、前記署名者確認用情報と、前記署名装置に対応する ID 情報とを、メンバ情報として記憶し、

グループのメンバとしての資格を失効させたユーザである失効メンバの署名装置に 対応する署名者確認用情報を、メンバ状態判定装置に送信し、

前記署名装置は、

ユーザがグループに加入する際に、グループ署名データを生成するための暗号鍵 であるグループ署名鍵を生成し、

メッセージと、乱数と、前記グループ管理装置によって発行されたメンバ登録証明 書及び署名者確認用情報と、前記グループ署名鍵とにもとづいて、前記署名者確認 用情報を所定の変換によって復元可能なデータである変換データを含むグループ 署名データを生成し、

認証装置は、

前記署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置に前記メッセージ及びグループ署名データを送信することによ つて、前記グループ署名データを生成した署名装置のユーザが現時点においてグ ループの有効なメンバとしての資格をもっか否かを問い合わせ、

前記メンバ状態判定装置は、

失効メンバの署名装置に対応する署名者確認用情報のリストを、失効メンバのリスト であるメンバ失効リストとして記憶し、

認証装置からメッセージ及びグループ署名データを受信し、

前記グループ署名データを認証すると、

前記メンバ失効リストにもとづいて、前記グループ署名データを生成した署名装置 のユーザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 2又は請求項 3記載のグループ署名システム。

[14] グループ管理装置は、

新たにグループのメンバとなるユーザの署名装置に、メンバ登録証明書及び署名 者確認用情報を発行し、

前記メンバ登録証明書と、前記署名者確認用情報と、前記署名装置に対応する ID 情報とを、メンバ情報として記憶し、

グループの有効なメンバの署名装置に対応する署名者確認用情報と、メンバ状態 が有効な状態であることを示す情報とをメンバ状態判定装置に送信し、

グループのメンバとしての資格を失効させたユーザである失効メンバの署名装置に 対応する署名者確認用情報と、メンバ状態が失効された状態であることを示す情報と をメンバ状態判定装置に送信し、

認証装置は、

署名装置からメッセージとグループ署名データとを受信し、

メンバ状態判定装置にグループ署名データに含まれる変換データを送信すること によって、前記グループ署名データを生成した署名装置のユーザが現時点において グループの有効なメンバとしての資格をもっか否かを問い合わせ、

前記メンバ状態判定装置は、

失効メンバに対応する署名者確認用情報のリストを、メンバ失効リストとして記憶し、 認証装置から前記変換データを受信し、

前記メンバ失効リストにもとづいて、グループ署名データを生成した署名装置のュ 一ザのメンバ状態を判定し、

前記メンバ状態の判定結果を認証装置に送信する

請求項 13記載のグループ署名システム。

[15] グループ管理装置は、グループ署名データを生成した署名装置を特定する署名装 置特定手段を有する請求項 2から請求項 14のうちのいずれか 1項に記載のグループ 署名システム。

[16] メッセージに対する署名データを生成し、前記署名データがグループのうちのいず れかのメンバの端末によって作成されたものであるカゝ否かを認証するグループ署名 システムであって、

メッセージに対して、当該メッセージがグループのうちのいずれかのメンバの端末に よって作成されたものであることを示す署名データであるグループ署名データを生成 する署名端末と、

前記署名端末から、通信ネットワークを介してグループ署名データを受信し、前記 受信したグループ署名データを認証する認証端末と、

グループ署名データを生成した署名端末のユーザが現時点にお!/、てグループの 有効なメンバとしての資格をもつカゝ否かを示すメンバ状態を判定するメンバ状態判定 サーバとを備え、

前記認証端末は、グループ署名データがグループのうちのいずれかのメンバの署 名端末によって作成されたものであると判断すると、メンバ状態の判定要求を通信ネ ットワークを介して前記メンバ状態判定サーバに送信し、

前記メンバ状態判定サーバは、

前記認証端末からメンバ状態の判定要求を受信すると、前記グループ署名データ を生成した署名端末のユーザのメンバ状態を判定する

ことを特徴とするグループ署名システム。

[17] メッセージがグループのうちのいずれかのメンバの装置によって作成されたもので あることを示す署名データであるグループ署名データを生成した装置のユーザが、 現時点においてグループの有効なメンバとしての資格をもつカゝ否かを示すメンバ状 態を判定するメンバ状態判定装置であって、

グループのメンバとしての資格を失効されたユーザである失効メンバのリストである メンバ失効リストを記憶する失効リスト記憶手段と、

グループ署名データを認証する認証装置から、通信ネットワークを介してメンバ状 態の判定要求を受信する判定要求受信手段と、

前記判定要求受信手段が判定要求を受信すると、前記失効リスト記憶手段が記憶 するメンバ失効リストにもとづいて、グループ署名データを生成した装置のユーザのメ ンバ状態を判定する状態判定手段と、

前記状態判定手段が判定したメンバ状態の判定結果を、通信ネットワークを介して 前記認証装置に送信する判定結果送信手段とを

備えたことを特徴とするメンバ状態判定装置。

[18] 失効リスト記憶手段は、失効メンバの装置に対応する 情報のリストを、メンバ失効 リストとして記憶し、

判定要求受信手段は、メンバ状態の判定要求として、メッセージ及びグループ署名 データを認証装置から受信し、

状態判定手段は、

前記判定要求受信手段が受信したメッセージ及びグループ署名データと、グルー プ署名データを開封するための暗号鍵である開封情報とを用いて、グループ署名デ ータを生成した装置の Iひ f青報を特定し、

前記失効リスト記憶手段が記憶するメンバ失効リストと前記特定した Iひ f青報とにもと づ 、て、前記グループ署名データを生成した装置のユーザのメンバ状態を判定する 請求項 17記載のメンバ状態判定装置。

[19] 失効リスト記憶手段は、失効メンバの装置に対応する、グループのメンバであること を示すメンバ登録証明書と、メンバ状態が有効な状態又は失効された状態であること を示す状態情報とを対応づけたリストを、メンバ失効リストとして記憶し、

判定要求受信手段は、メンバ状態の判定要求として、メンバ登録証明書を所定の 変換によって復元可能なデータである変換データを認証装置力 受信し、

状態判定手段は、

前記判定要求受信手段が受信した変換データにもとづいてメンバ登録証明書を生 成し、

前記失効リスト記憶手段が記憶するメンバ失効リストに含まれる状態情報のうち、前 記生成したメンバ登録証明書に対応する状態情報にもとづ！/ヽて、前記グループ署名 データを生成した装置のユーザのメンバ状態を判定する

請求項 17記載のメンバ状態判定装置。

[20] 失効リスト記憶手段は、失効メンバの装置に対応する、グループ署名データが特定 のユーザの装置によって作成されたことを確認可能な情報である署名者確認用情報 のリストを、メンバ失効リストとして記憶し、

判定要求受信手段は、メンバ状態の判定要求として、メッセージ及びグループ署名 データを認証装置から受信し、

状態判定手段は、前記判定要求受信手段が受信したメッセージ及びグループ署 名データと、前記失効リスト記憶手段が記憶する失効メンバリストに含まれる署名者 確認用情報とにもとづいて、前記グループ署名データを生成した装置のユーザのメ ンバ状態を判定する

請求項 17記載のメンバ状態判定装置。

[21] メッセージに対する署名データを生成し、前記署名データがグループのうちのいず れかのメンバの装置によって作成されたものであるカゝ否かを認証するグループ署名 方法であって、

署名データを生成する署名装置が、メッセージに対して、当該メッセージがグルー プのうちのいずれかのメンバの装置によって作成されたものであることを示す署名デ ータであるグループ署名データを生成するステップと、

前記署名装置が、生成したグループ署名データを、通信ネットワークを介して、署 名データを認証する認証装置に送信するステップと、

前記認証装置が、前記署名装置から受信したグループ署名データを認証するステ ップと、

前記認証装置力 グループ署名データがグループのうちのいずれかのメンバの署 名装置によって作成されたものであると判断すると、グループ署名データを生成した 署名装置のユーザが現時点においてグループの有効なメンバとしての資格をもっか 否かを示すメンバ状態を判定するメンバ状態判定サーバに、通信ネットワークを介し てメンバ状態の判定要求を送信するステップと、

前記メンバ状態判定サーバが、前記認証装置からメンバ状態の判定要求を受信す ると、前記グループ署名データを生成した署名装置のユーザのメンバ状態を判定す るステップとを含む

ことを特徴とするグループ署名方法。

[22] メンバ状態判定装置が、失効メンバの装置に対応する Iひ f青報のリストを、グループ のメンバとしての資格を失効されたユーザである失効メンバのリストであるメンバ失効 リストとして記憶するステップと、

署名装置が、メッセージ及びグループ署名データを、通信ネットワークを介して認証 装置に送信するステップと、

認証装置力 グループ署名データがグループのうちのいずれかのメンバの署名装 置によって作成されたものであると判断すると、メンバ状態の判定要求としてメッセ一 ジ及びグループ署名データを、通信ネットワークを介して前記メンバ状態判定装置に 送信するステップと、

前記メンバ状態判定装置が、前記認証装置から受信したメッセージ及びグループ 署名データと、グループ署名データを開封するための暗号鍵である開封情報とを用 V、て、グループ署名データを生成した署名装置の HD情報を特定するステップと、 前記メンバ状態判定装置が、前記記憶したメンバ失効リストと前記特定した Iひ f青報 とにもとづいて、前記グループ署名データを生成した署名装置のユーザのメンバ状 態を判定するステップとを含む

請求項 21記載のグループ署名方法。

[23] メンバ状態判定装置が、失効メンバの装置に対応する、グループのメンバであるこ とを示すメンバ登録証明書と、メンバ状態が有効な状態又は失効された状態であるこ とを示す状態情報とを対応づけたリストを、グループのメンバとしての資格を失効され たユーザである失効メンバのリストであるメンバ失効リストとして記憶するステップと、 認証装置力 グループ署名データがグループのうちのいずれかのメンバの署名装 置によって作成されたものであると判断すると、メンバ状態の判定要求として、メンバ 登録証明書を所定の変換によって復元可能なデータである変換データを、通信ネッ トワークを介して前記メンバ状態判定装置に送信するステップと、

前記メンバ状態判定装置が、前記認証装置から受信した変換データにもとづ!/ヽてメ ンバ登録証明書を生成するステップと、

前記メンバ状態判定装置が、前記記憶したメンバ失効リストに含まれる状態情報の うち、前記生成したメンバ登録証明書に対応する状態情報にもとづいて、前記グルー プ署名データを生成した署名装置のユーザのメンバ状態を判定するステップとを含 む

請求項 21記載のグループ署名方法。

[24] メンバ状態判定装置が、失効メンバの装置に対応する、グループ署名データが特 定のユーザの装置によって作成されたことを確認可能な情報である署名者確認用情 報のリストを、グループのメンバとしての資格を失効されたユーザである失効メンバの リストであるメンバ失効リストとして記憶するステップと、 署名装置が、メッセージ及びグループ署名データを、通信ネットワークを介して認証 装置に送信するステップと、

認証装置力 グループ署名データがグループのうちのいずれかのメンバの署名装 置によって作成されたものであると判断すると、メンバ状態の判定要求としてメッセ一 ジ及びグループ署名データを、通信ネットワークを介して前記メンバ状態判定装置に 送信するステップと、

前記メンバ状態判定装置が、前記認証装置から受信したメッセージ及びグループ 署名データと、前記記憶した失効メンバリストに含まれる署名者確認用情報とにもと づ 、て、前記グループ署名データを生成した署名装置のユーザのメンバ状態を判定 するステップとを含む

請求項 21記載のグループ署名方法。

[25] メッセージがグループのうちのいずれかのメンバの装置によって作成されたもので あることを示す署名データであるグループ署名データを生成した装置のユーザが、 現時点においてグループの有効なメンバとしての資格をもつカゝ否かを示すメンバ状 態を判定するためのメンバ状態判定プログラムであって、

グループのメンバとしての資格を失効されたユーザである失効メンバのリストである メンバ失効リストを記憶する失効リスト記憶手段を備えたコンピュータに、

グループ署名データを認証する認証装置から、通信ネットワークを介してメンバ状 態の判定要求を受信する処理と、

前記認証装置から判定要求を受信すると、前記失効リスト記憶手段が記憶するメン バ失効リストにもとづいて、グループ署名データを生成した装置のユーザのメンバ状 態を判定する処理と、

前記判定したメンバ状態の判定結果を、通信ネットワークを介して前記認証装置に 送信する処理とを

実行させるためのメンバ状態判定プログラム。

[26] 失効メンバの装置に対応する HD情報のリストを、メンバ失効リストとして記憶する失 効リスト記'隐手段を備えたコンピュータに、

メンバ状態の判定要求として、メッセージ及びグループ署名データを認証装置から 受信する処理と、

前記認証装置から受信したメッセージ及びグループ署名データと、グループ署名 データを開封するための暗号鍵である開封情報とを用いて、グループ署名データを 生成した装置の Iひ f青報を特定する処理と、

前記失効リスト記憶手段が記憶するメンバ失効リストと前記特定した Iひ f青報とにもと づ 、て、前記グループ署名データを生成した装置のユーザのメンバ状態を判定する 処理とを実行させる

請求項 25記載のメンバ状態判定プログラム。

[27] 失効メンバの装置に対応する、グループのメンバであることを示すメンバ登録証明 書と、メンバ状態が有効な状態又は失効された状態であることを示す状態情報とを対 応づけたリストを、メンバ失効リストとして記憶する失効リスト記憶手段を備えたコンビ ユータに、

メンバ状態の判定要求として、メンバ登録証明書を所定の変換によって復元可能な データである変換データを認証装置力 受信する処理と、

前記認証装置から受信した変換データにもとづいてメンバ登録証明書を生成する 処理と、

前記失効リスト記憶手段が記憶するメンバ失効リストに含まれる状態情報のうち、前 記生成したメンバ登録証明書に対応する状態情報にもとづ！/ヽて、前記グループ署名 データを生成した装置のユーザのメンバ状態を判定する処理とを実行させる 請求項 25記載のメンバ状態判定プログラム。

[28] 失効メンバの装置に対応する、グループ署名データが特定のユーザの装置によつ て作成されたことを確認可能な情報である署名者確認用情報のリストを、メンバ失効 リストとして記憶する失効リスト記憶手段を備えたコンピュータに、

メンバ状態の判定要求として、メッセージ及びグループ署名データを認証装置から 受信する処理と、

前記認証装置から受信したメッセージ及びグループ署名データと、前記失効リスト 記憶手段が記憶する失効メンバリストに含まれる署名者確認用情報とにもとづいて、 前記グループ署名データを生成した装置のユーザのメンバ状態を判定する処理とを 実行させる

請求項 25記載のメンバ状態判定プログラム。