WO2006070682A1

WO2006070682A1 - 制限付ブラインド署名システム

Info

Publication number: WO2006070682A1
Application number: PCT/JP2005/023576
Authority: WO
Inventors: Jun Furukawa
Original assignee: Nec Corporation
Priority date: 2004-12-27
Filing date: 2005-12-22
Publication date: 2006-07-06
Also published as: US20080141035A1; JP4973193B2; EP1838031A4; EP1838031A1; JPWO2006070682A1

Abstract

　本発明は、ランダムオラクルモデルを仮定する事なく安全性の証明できるという高い安全性を持った、制限付ブラインド署名システムを提案することを目的とし、その構成は、署名提示装置には、公開鍵と、ブラインド秘密識別子と、ブラインド公開識別子と、ブラインド署名と、乱数と、が入力され、署名検証装置には、署名提示装置に各データが入力されていることを示す場合には「正当」を、その他の場合はには「不当」を出力する。

Description

制限付ブラインド署名システム

技術分野

[0001] 本発明は、署名者が署名受信者の決定したメッセージを知ることなぐこのメッセ一ジに対する署名を署名受信者が受け取ることができるブラインド署名方法および装置に関し、特に、署名受信者が受け取ることができる署名が、署名受信者の公開された識別子と関連づけられたメッセージに限る制限付ブラインド署名システムおよび装置に関する。

背景技術

[0002] [従来の技術 1]

従来の制限付ブラインド署名の例として、非特許文献 1 ("Untraceable OIF-line Ca sn in Wallets with Observers (Extended Abstract , Advances in し ryptology, Proceedings Crypto '93, Lecture Note on Computer Science 773, D. Stinso n, Ed., Springer- Verlag, 1994 pp.302- 318)に掲載されている方法がある。

[0003] 上記の方式を以下に簡単に説明する。制限付ブラインド署名は 3、署名者が用いる署名装置、署名受信者が用いる署名受信装置、署名受取人が示す署名を検証するための署名検証装置の 3個の装置が使われる。以下では、 pと qを q|p-lなる素数. Gを体 (Z/pZ)*の位数 qの元の集合とする。

[0004] g, g[l] と g[2] は G の元、 u[l] は Z/qZ の元で、 I=g[l]^u[1] mod pを署名受取装置の公開された識別子とする。 X は Z/qZ の元で、署名者の秘密鍵で、 h=g^x mod pは署名者の公開鍵とする。 Hash は暗号学的なハッシュ関数とする。

[0005] 署名装置から署名受信装置は以下の手順で制限付ブラインド署名を受け取る。

[0006] 署名装置は

z = (Ig[2])^x mod p

を計算し、署名受信装置に送る。

[0007] 署名装置は、無作為に w を Z から選び、 a = g" mod p

b = (I g[2])^w mod p

を計算し、 a,b を署名受信装置へ送信する。

[0008] 署名受信装置は， s,x[l],x[2],u,v を Z/qZ からランダムに選び、

A = (Ig[2])^s mod p

z = z mod p

B = g[l]^x[11g[2]^x[2] mod p

a' = a g

b' = b A^v mod p

c' = Hash(A,B,z',a',b')

c = c'/u mod q

を計算し、 c を署名装置に送信する。

[0009] 署名装置は

r = c x+ w mod q

を計算して、 r を署名受信装置に送信する。

[0010] 署名受信装置は、

= h a mod p

Ig[2」) = z b mod p

が成り立つことを確認し、成り立たなければ、正当な署名を受け取れな力たものとして修了する。成り立てば、

r = ru+v mod q

を求め、署名受信装置は (A,B,_Z',a',b',r') を制限付ブラインド署名とする。

[0011] 署名検証装置の動作を以下に表す。

[0012] 署名検証装置は、

c'=Hash(A,B,z',a',b',r') を計算し、

g = h a mod p

A^r = z'^c b' mod p

なる関係を満たすかどうかを調べる。両式が満たされるならば制限付ブラインド署名は正当であると見なし、その他の場合は不当な署名であると見なす。

[0013] 上記制限付ブラインド署名の特徴を記す。

[0014] 上記署名検証装置が確認するような関係を満たす、（A,B,_Z',a',b',r') は署名装置の秘密鍵 Xがなくては計算できない値の組であり、このような組は，署名装置が何らかの承認を与えたことを意味すると考えることができる。このような意味にぉ、て本手続きは署名手続きの一種である。

[0015] 又、署名装置は (A,B,_Z',a',b',r') を上記署名手続きにおいて入手することはできない。又、（A,B,_Z',a',b',r') を入手しても、 I に関する署名手続きを行った際に署名受信装置が入手し得たものなの力判別することができない。この意味において、本署名手続きはブラインド署名の一種である。

[0016] 又、（Α,ζ') は、

z = A mod p

を満たす。署名受取人はこのような関係を満たす (A,B,_Z',a',b',r') のみしか署名者との通信によって手にヽれることができなヽと、う意味にぉ、て、このブラインド署名は、制限付ブラインド署名と呼ばれる。

[0017] 上記制限付ブラインド署名の有用な応用例として、オフライン匿名電子現金があげられる。

[0018] この技術を電子現金に応用する場合、銀行が署名装置を保持し、銀行に口座を持つ者の識別子を I とし、電子現金 (A,B,z',a',b',r') を引き落とす。この時、 I の口座から対応する金額を引き落とす。 I は電子現金を使用するとき、 (A,B,z',a',b',r') を相手に渡す。これは、銀行の協力がなければ作れないものであるので、受取人は電子現金を信用することができる。受取人はこれを銀行に持っていき、対応する金額を受け取ることができる。この時、 I と電子現金の対応は、電子現金がブラインド署名であるため銀行には分力もなぐ支払いの匿名性が確保できる。一方、電子現金は単なるデータであるため、二重使用が容易である。しかし、二回使用した場合、電子現金には I と一定の関係があるという制限がついていたため、二重使用を行った Iを特定することができる。この性質により二重使用を避けることができる。上では省略したが、上記の支払い手続きは、単なるデータの受け渡しではなぐ特殊なプロトコルを使うことにより、二回使用した場合に、 Iとの関係が発覚するようになっている。

[0019] 上記従来の技術はランダムオラクモデルを仮定すると安全であることが知られて!/ヽる。ランダムオラクルモデルとは、およそ、上記ハッシュ関数が真の乱数を返す関数であるとする仮定である。

[0020] [従来の技術 2 (グループ署名 ) ]

従来、この種のグループ署名システムは、複数のメンバーから構成されるグループにおいて、グループに所属する、あるユーザが署名を作成し、また、その署名を確認するためのものである。そして、その署名は、署名者がグループのいずれかのメンバ一であることは検証できる力通常ではグループ内のどのメンバーであるかは分からないという性質のものである。ただし、その一方で、万が一のために、署名から実際の署名者を特定する機能 (以下、追跡と称す)がグループ署名システムには備えられている。

[0021] 一般に、グループ署名システムでは、グループ管理者と呼ばれるエンティティがグループ内に存在し、グループへの新たなメンバーの登録手続きおよび署名者の追跡を行う。その場合、グループ署名システムにおいて、グループへのメンバーの登録や、グループ署名の署名者追跡は、全てグループ管理者の権限で行われることとなる。

[0022] 非特許文献 2 (G. Ateniese, J. Camenisch, M. Joye and G. Tsudik, "A Pra ctical and Provable Secure Coalition-Resistant Group Signature Scheme, "In Advances in Cryptology— CRYPTO2000, LNCS 1880, pp.255- 270, Springer- Verlag, 2000. )に記載された第 1の従来技術のグループ署名システムは、公開情報開示手段と署名装置とを有して、る。

[0023] 図 1は、非特許文献 2に開示される技術によるグループ署名システムにおける署名装置の構成を示すブロック図である。図 1を参照すると、署名装置は、第 1の乱数生成器 901、第 2の乱数生成器 902、第 3の乱数生成器 903、第 4の乱数生成器 904、第 5の乱数生成器 905、第 6の乱数生成器 906、第 1の暗号化データ作成手段 907 、第 2の暗号化データ作成手段 908、第 1の変換データ作成手段 909、第 2の変換データ作成手段 910、知識署名作成手段 911、メンバー情報記憶部 912、秘密情報記憶部 913、メッセージ入力手段 914および署名出力手段 915から構成されて、る [0024] 第 1の乱数生成器 901は、第 1の暗号ィ匕データ作成手段 907で使用する乱数を生成する。

[0025] 第 2の乱数生成器 902は、第 2の暗号ィ匕データ作成手段 908で使用する乱数を生成する。

[0026] 第 3の乱数生成器 903は、第 1の変換データ作成手段 909で使用する乱数を生成するとともに、その乱数をグループ署名の要素として署名出力手段 915に出力する。

[0027] 第 4の乱数生成器 904は、第 2の変換データ作成手段 910で使用する乱数を生成するとともに、その乱数をグループ署名の要素として署名出力手段 915に出力する。

[0028] 第 5の乱数生成器 905は、第 2の変換データ作成手段 910で使用する乱数を生成するとともに、その乱数をグループ署名の要素として署名出力手段 915に出力する。

[0029] 第 6の乱数生成器 906は、知識署名作成手段 911で使用する乱数を生成する。

[0030] 第 1の暗号ィ匕データ作成手段 907は、第 1の乱数生成器 901で生成された乱数と、メンバー情報記憶部 912に記憶されて、るメンバー証明書の第 1の要素とを入力として、メンバー証明書の第 1の要素の暗号化データ (以下、第 1の暗号化データと称す )を知識署名作成手段 911および署名出力手段 915に出力する。

[0031] 第 2の暗号ィ匕データ作成手段 908は、第 2の乱数生成器 902で生成された乱数と、秘密情報記憶部 913に記憶されている署名鍵の変換データとを入力として、署名鍵の変換データの第 1の要素の暗号化データ (以下、第 2の暗号化データと称す)を知識署名作成手段 911および署名出力手段 915に出力する。

[0032] 第 1の変換データ作成手段 909は、第 3の乱数生成器 903で生成された乱数と、メンバー情報記憶部 912に記憶されているメンバー証明書の第 1の要素を入力として、メンバー証明書の第 1の要素の変換データ (以下、第 1の変換データと称す)を知識署名作成手段 911および署名出力手段 915に出力する。

[0033] 第 2の変換データ作成手段 910は、第 4の乱数生成器 904および第 5の乱数生成器 905で生成された乱数と、メンバー情報記憶部 912に記憶されているメンバー証明書の第 1の要素を入力として、メンバー証明書の第 1の要素の変換データ (以下、第 2の変換データと称す)を知識署名作成手段 911および署名出力手段 915に出力する。

[0034] 知識署名作成手段 911は、メッセージ入力手段 914から入力されたメッセージ、第 6の乱数生成器 906で生成された乱数、第 1の暗号化データ、第 2の暗号化データ、第 1の変換データ、第 2の変換データ、メンバー証明書の第 1および第 2の要素、および署名鍵を入力として、メンバー証明書および署名鍵に関する情報を漏らすことなくメンバー証明書および署名鍵を正しく所有していることを証明することのできる知識署名データを出力する。

[0035] メンバー情報記憶部 912は、グループ署名を発行するために用いるメンバー証明書を記憶する。メンバー証明書は第 1の要素と第 2の要素とからなる。

[0036] 秘密情報記憶部 913は署名鍵を記憶する。

[0037] メッセージ入力手段 914は、署名を付加すべきメッセージを入力する。

[0038] 署名出力手段 915は、メッセージ、第 1の暗号化データ、第 2の暗号化データ、第 1 の変換データ、第 2の変換データ、第 3の乱数、第 4の乱数、第 5の乱数、および知識署名データをグループ署名として出力する。

[0039] 以上の構成により、第 1の従来技術のグループ署名システムはグループ署名を作成することができる。

[0040] 上記の技術では、ノ、ッシュ関数を使って、るためにランダムオラクルモデルのもとでしか方式の安全性が証明されな、ことである。ランダムオラクルモデルのもとで安全性が証明されたある暗号方式で、ハッシュ関数を具体的な関数に置き換えた場合、そのハッシュ関数カ^、かなる良、性質を持って、ようと、決して安全にならな、こと力 S 非特干文献 3 (Ran Canetti, Oded Goldreich, Snai Halevi: The Random Oracl e Methodology, Revisited (Preliminary Version). STOC 1998: 209— 218])に示されている。

非特許文献 1： "Untraceaole Off- line Cash in Wallets with Observers (Extende d Abstract", Advances in Cryptology, Proceedings Crypto '93, Lecture Note on Computer Science 773, D. Stinson, Ed., Springer— Verlag, 1994 pp.302— 318

非特許文献 2 : G. Ateniese, J. Camenisch, M. Joye and G. Tsudik, "A Pract ical and Provable Secure Coalition-Resistant Group Signature Scheme, "In Advances in Cryptology— CRYPTO2000, LNCS 1880,pp.255— 270,Springer— Verl ag,2000.

非特許文献 3 : Ran Canetti, Oded Goldreich, Shai Halevi: The Random Oracl e Methodology, Revisited (Preliminary Version). STOC 1998: 209-218] 発明の開示

発明が解決しょうとする課題

[0041] 従来の技術の問題点は、ノ、ッシュ関数を使っているためにランダムオラクルモデルのもとでしか方式の安全性が証明されな、ことである。ランダムオラクルモデルのもとで安全性が証明されたある暗号方式で、ノ、ッシュ関数を具体的な関数に置き換えた場合、そのハッシュ関数力 ^、かなる良い性質を持っていようと、決して安全にならない方式であることが知られている。すなわち、ランダムオラクルモデルのもとで安全性が証明された暗号方式は、暗号の安全性が何らかの解くことが困難であろうと予想されている問題の困難性に帰着されるわけではない。このことは、従来の技術の方式に対して示された安全性の根拠はかなり弱いといえる。よって、例えば従来の技術を用いた電子現金は偽造が可能で、使用者が分力ないまま大量に複製して使用することができる可能性がある。

[0042] 本発明の目的は、ランダムオラクルモデルを仮定する事なく安全性を証明できるという高い安全性を持った、制限付ブラインド署名システムを提案することである。課題を解決するための手段

[0043] 本発明の制限付ブラインド署名システムは、署名受信装置と、該署名受信装置と通信する署名装置と、前記署名受信装置出力を入力する署名提示装置と、該署名提示装置と通信する署名検証装置とからなる制限付ブラインド署名システムであって、前記署名装置は、秘密のデータである秘密鍵と、前記公開鍵と、乱数とが入力され、該乱数力第 1のブラインド署名を前記署名受信装置へ出力し、

前記署名受信装置は、前記署名装置の公開鍵と、秘密のデータである秘密識別子と、公開されているデータであり、前記秘密識別子に依存したデータである公開識別子と、乱数とが入力されて、該乱数力秘密のデータであるブラインド因子を生成し、前記秘密識別子と前記ブラインド因子とから計算されるブラインド秘密識別子を生成し、前記ブラインド秘密識別子に依存したデータであるブラインド公開識別子を生成し、前記第 1のブラインド署名力も前記メッセージカ^ンバ一証明書の一部となるグループ署名である第 2のブラインド署名を出力し、前記公開識別子との送信作業を含むデータの通信を前記署名装置と行い、

前記署名提示装置は、前記公開鍵と、前記ブラインド秘密識別子と、前記ブラインド公開識別子と、前記第 2のブラインド署名と、乱数と、が入力され、これらの入力状態を示す信号を前記署名検証装置へ出力し、

前記署名検証装置は、前記公開鍵と、乱数と、が入力され、前記署名提示装置からの信号が、前記ブラインド公開識別子、前記ブラインド秘密識別子、前記第 2のブラインド署名のデータが入力されて、ることを示す場合には「正当」を、その他の場合には「不当」を出力することを特徴とする。

[0044] 本発明の署名受信装置は、上記の制限付ブラインド署名システムを構成する署名受信装置であって、

前記第 2のブラインド署名が前記公開鍵に対応する秘密鍵により生成されたグループ署名であることを特徴とする。

[0045] 本発明の署名装置は、上記の制限付ブラインド署名システムを構成する署名装置であって、

署名受信装置の公開識別子と、秘密識別子と、乱数から生成されるブラインド因子とから計算されるデータであるブラインド秘密識別子のコミットメント獲得する前記通信手段を備え、前記ブラインドコミットメントがコミットしたデータであるブラインド秘密識別子に対する署名である第 1のブラインド署名を前記秘密鍵により生成されたダループ署名として生成することを特徴とする。

[0046] 上記の署名受信装置は、前記秘密識別子と前記乱数とを入力し、前記乱数からブラインド因子を生成し、前記ブラインド因子と前記秘密識別子からブラインド秘密識別子を生成し出力するブラインド秘密識別子生成装置と、

前記公開鍵と前記ブラインド秘密識別子と前記乱数が入力され、前記ブラインド秘密識別子のコミットメントであるブラインドコミットメントを生成し署名装置に送付するブラインドコミットメント生成装置と、

前記公開識別子を署名装置に送付する公開識別子送信装置と、

前記ブラインド秘密識別子と前記乱数とが入力され、署名装置と通信することで、前記ブラインドコミットメントが前記ブラインド秘密識別子のコミットメントであることの知識の証明を署名装置に対して行うブラインドコミットメント証明装置と、

前記署名装置力も前記ブラインドコミットメントによりコミットされた前記ブラインド秘密識別子に対するグループ署名である第 1のブラインド署名を受け取り、前記署名を検証して出力するブラインド署名受信装置と、

を含むこととしてもよい。

[0047] 上記の署名装置は、

署名受信装置と通信することにより署名受信装置の公開識別子を受信する公開識別子受信装置と、

署名受信装置より送られたコミットメントであるブラインドコミットメントを受信し、前記署名装置の公開識別子とブラインドコミットメントと公開鍵と乱数とが入力され、署名受信装置と通信することにより前記公開識別子が依存するデータである秘密識別子と乱数力も生成されたあるブラインド因子とから計算されるあるブラインド秘密識別子が存在している場合には前記ブラインドコミットメントはこのブラインド秘密識別子のコミットメントであることの知識の証明の検証し、証明を正当と認めれば「正当」をその他の場合は「不当」を出力するブラインドコミットメント検証装置と、

前記秘密鍵と公開鍵と前記ブラインドコミットメントと乱数とが入力され、前記ブラインドコミットメント検証装置力 S「正当」を出力すれば前記ブラインドコミットメントがコミットしたブラインド秘密識別子に対するグループ署名を生成し、署名受信装置に送信するグループ署名生成装置と、

を含むこととしてもよい。

[0048] 本発明の署名提示装置は、上記の制限付ブラインド署名システムを構成する署名提示装置であって、

前記ブラインド公開識別子を前記署名検証装置に送付し、

署名装置の公開鍵と、署名受信装置カゝら出力されるブラインド公開識別子と、ブラインド秘密識別子と、第 2のブラインド署名と呼ばれるブラインド秘密識別子に対するグループ署名と、乱数とが入力され、

あるブラインド秘密識別子が存在して、前記ブラインド公開識別子がこのブラインド秘密識別子に依存するデータであることの知識の証明と、このブラインド秘密識別子に対するグループ署名である第 2のブラインド署名の知識の証明とを署名検証装置と通信して行う知識証明装置を含むことを特徴とする。

[0049] 本発明の署名検証装置は、上記の制限付ブラインド署名システムを構成する署名検証装置であって、

ブラインド公開識別子呼ばれるデータを前記署名提示装置より受信し、公開鍵と、乱数と、が入力され、あるブラインド秘密識別子が存在して前記ブラインド公開識別子がこのブラインド秘密識別子に依存するデータであることの知識の証明とこのブラインド秘密識別子に対するグループ署名である第 2のブラインド署名の知識の証明との検証を署名提示装置と通信して行う知識証明検証装置を含むことを特徴とする。

[0050] 上記の署名受信装置は、

前記ブラインドコミットメント証明装置は、

証明コミットメント装置と、挑戦値獲得装置と、証明レスポンス装置とよりなり、前記証明コミットメント装置は、乱数のコミットメントである証明コミットメントを生成するものであり、前記挑戦値獲得装置は証明コミットメントを署名装置に送付し、署名装置から挑戦値を受信するものであり、前記証明レスポンス装置は、前記挑戦値と、前記証明コミツトメントの生成に使った乱数と前記ブラインド秘密識別子と前記ブラインド因子とから証明のレスポンスを生成するものであるとしてもよい。

[0051] 上記の署名装置は、

前記ブラインドコミットメント検証装置は、挑戦値生成装置と、証明検証装置とよりなり、前記挑戦値生成装置は、証明のコミットメントと呼ばれるデータを受信するの待ち、受信したならば前記乱数を用いてランダムな数である挑戦値を生成し、署名受信装置に送付し、前記署名検証装置は、署名受信装置より証明のレスポンスと呼ばれるデータを受信するのを待ち、これを受信したら、前記証明のコミットメント、前記挑戦値、前記証明のレスポンス力ある検証式を満たすかどうかで、「正当」あるいは「不当」を出力するものであるとしてもよい。

[0052] 上記の署名提示装置は、

前記挑戦値獲得装置が、証明のコミットメントの他に公開鍵とブラインド公開識別子が入力され、前記証明のコミットメントと前記公開鍵と前記ブラインド公開識別子を含むデータのハッシュ値を挑戦値として出力するとしてもよい。

[0053] 上記の署名検証装置は、

前記挑戦値生成装置が、前記証明のコミットメントと前記公開鍵と前記ブラインド公開識別子を含むデータのノ、ッシュ値を挑戦値として出力するとしてもよい。

[0054] 本発明の他の形態による制限付ブラインド署名システムは、署名受信装置と、該署名受信装置と通信する署名装置と、前記署名受信装置出力を入力する署名提示装置と、該署名提示装置と通信する署名検証装置とからなる制限付ブラインド署名システムであって、

前記署名装置は、秘密のデータである秘密鍵と、前記公開鍵と、乱数とが入力され、該乱数力第 1のブラインド署名を前記署名受信装置へ出力し、

前記署名受信装置は、前記署名装置の公開鍵と、メッセージと、乱数と、前記第 1 のブラインド署名とが入力され、前記メッセージカ^ンバ一証明書の一部となるダループ署名である第 2のブラインド署名を出力し、

前記署名提示装置には、前記公開鍵と、前記メッセージと、前記署名受信装置の出力である前記第 2のブラインド署名と、乱数と、が入力され、これらの入力状態を示す信号を前記署名検証装置へ出力し、

前記署名検証装置は、前記公開鍵と、乱数と、が入力され、前記署名提示装置からの信号が、前記メッセージ、前記第 2のブラインド署名が入力されていることを示す場合には「正当」を、その他の場合には「不当」を出力することを特徴とする。

[0055] 本発明の他の形態による署名受信装置は、上記の他の形態による制限付ブラインド署名システムを構成する署名受信装置であって、

前記メッセージのコミットメントであるブラインドコミットメントを署名装置に送信することを特徴とする。

[0056] 本発明の他の形態による署名装置は、上記の他の形態による制限付ブラインド署名システムを構成する署名装置であって、

前記メッセージのコミットメントであるブラインドコミットメントを入力し、前記ブラインドコミットメントがコミットしたデータであるメッセージに対する署名であり、かつ、前記秘密鍵により生成された、メンバ証明書に前記メッセージを含むグループ署名である第 1のブラインド署名を生成して前記署名受信装置に送ることを特徴とする。

[0057] 上記の他の形態による署名受信装置は、

前記公開鍵と前記メッセージと前記乱数が入力され、前記メッセージのコミットメントであるブラインドコミットメントを生成し、前記署名装置に送付するブラインドコミットメント生成装置と、

前記メッセージと前記公開鍵と前記乱数とが入力され、署名装置と通信することで，前記ブラインドコミットメントが前記メッセージのコミットメントであることの知識の証明を署名装置に対して行う証明コミットメント装置と、

前記署名装置力も前記ブラインドコミットメントによりコミットメントされた第 1のブラインド署名を受け取って検証し、第 2のブラインド署名を出力するブラインド署名受信装置と、

を含むこととしてもよい。

[0058] 上記の他の形態による署名装置は、

公開鍵と、乱数と、ともに、前記署名受信装置力も送られたブラインドコミットメントとが入力され、前記ブラインドコミットメントが前記メッセージのコミットメントであることの知識の証明を検証し、証明結果が正当と認めるものであれば「正当」を、その他の場合は「不当」を出力する証明検証装置と、

前記秘密鍵と公開鍵と前記ブラインドコミットメントと乱数とが入力され、前記証明検証装置が「正当」を出力すると、前記ブラインドコミットメントがコミットメントしたメッセ一ジをメンバ証明書として含むグループ署名を生成し，署名受信装置に送信するダループ署名生成装置と、

を含むこととしてもよい。

[0059] 本発明の他の形態による署名提示装置は上記の他の形態による制限付ブラインド署名システムを構成する署名提示装置であって、前記メッセージを前記署名検証装置に送付し、メッセージカンバ証明書に含まれるグループ署名について、メンバ証明の知識を保持す知識証明装置を、含むことを特徴とする。

[0060] 本発明の他の形態による署名検証装置は上記の他の形態による制限付ブラインド署名システムを構成する署名検証装置であって、

メッセージを前記署名提示装置より受信し、前記署名提示装置がメッセージをメンバ証明書に含むグループ署名のメンバ証明の知識を保持して、ることの検証を行う知識検証装置を、

含むことを特徴とする。

[0061] 上記の、ずれかに記載の署名受信装置にお!/、ても、

署名装置との通信において，最初に，前記公開鍵に対して前記ブラインド署名に含まれるデータの一部を作用させた値の ElGamal 暗号文を署名装置より受信することとしてちよい。

[0062] 上記の、ずれかに記載の署名装置にお!、ても、

署名受信装置との通信において、最初に、前記公開鍵に対して前記ブラインド署名に含まれるデータの一部を作用させた値の ElGamal 暗号文を署名受信装置に送信することとしてもよい。

発明の効果

[0063] 本発明によれば、署名受信装置の受け取る制限付ブラインド署名は、その安全性力 Sランダムオラクルモデルに依存せずに証明できるため、不正な受信装置が署名装置の助けを借りることなく署名を入手する可能性が非常に低い。このようなことができる不正な受信装置が仮に存在するならば、この受信装置を用いて強 RSA問題あるいは、離散対数問題等を解くことができる。これらの問題は現在の多くの公開鍵暗号方式の安全性が依拠している問題であり、上記不正な受信装置の存在は、現在のほとんどの公開鍵暗号方式を使えなくするほどの影響があり、このようなことが起ることは稀である。

図面の簡単な説明

[0064] [図 1]従来技術のグループ署名システムにおける署名装置の構成を示すブロック図である。

圆 2]本発明の第 1の実施形態の署名受信装置の構成例を示図である。圆 3]本発明の第 2の実施形態の署名装置の構成例を示図である。

圆 4]本発明の第 3の実施形態の署名提示装置の構成例を示図である。圆 5]本発明の第 4の実施形態の署名検証装置の構成例を示図である。圆 6]本発明の第 5の実施形態の挑戦値獲得装置の構成例を示図である。

[図 7]本発明の第 7の実施形態の署名受信装置、署名装置、署名提示装置、署名検証装置力もなるシステムの構成例を示すブロック図である。

圆 8]本発明の第 8の実施形態の署名受信装置の構成例を示すブロック図である。圆 9]本発明の第 9の実施形態の署名装置の構成例を示すブロック図である。

圆 10]本発明の第 10の実施形態の署名提示装置の構成例を示すブロック図である圆 11]本発明の第 11の実施形態の署名検証装置の構成例を示すブロック図である圆 12]本発明の第 12の実施形態の署名受信装置の構成例を示すブロック図である圆 13]本発明の第 13の実施形態の署名装置の構成例を示すブロック図である。圆 14]本発明の第 14の実施形態の署名受信装置の構成例を示すブロック図である圆 15]本発明の第 15の実施形態の署名装置の構成例を示図である符号の説明

100 署名受信装置

101 公開鍵

102 秘密識別子

103 公開識別子

104 乱数

105 ブラインド識別子生成装置

106 ブラインド因子 107 ブラインド秘密識別子

108 ブラインドコミットメント装置

109 ブラインドコミットメント

110 証明コミットメント

111 証明のコミットメント

112 挑戦値

113 挑戦値獲得装置

114 証明レスポンス装置

115 証明のレスポンス

116 ブラインド署名

117 ブラインド公開識別子

118 公開識別子送信装置

200 署名装置

201 秘密鍵

202 乱数

203 挑戦値生成装置

205 証明検証装置

206 検証結果

207 グループ署名生成装置

208 公開識別子受信装置

209 ブラインドコミットメント受信装置

300 署名提示装置

301 乱数

302 証明コミットメント装置

303 証明のコミットメント

304 挑戦値獲得装置

305 挑戦値

306 証明レスポンス生成装置 307 証明のレスポンス

400 署名検証装置

401 舌 L数

402 挑戦値生成装置

403 証明検証装置

404 検証結果

発明を実施するための最良の形態

[0066] 本発明の一実施形態について図面を参照して詳細に説明する。

[0067] 最初に前提となることを説明する。

[0068] L=(Lm,Ls,Lc,Le,Lq,Ln,Lp,LE) は安全性の尺度となる変数の列で、例えば、 (380, 60,160,60,160,2048,1600,382) の値を使えば、現在においてはおよそ安全と言える。これらの値は計算機の性能の向上にしたがって、より大きな値をとる必要がある。

[0069] pと qは素数で、 q|p-l なる関係を満たすとする。 Gは乗法群 (Z/pZ)*の位数 qの部分群である。

[0070] 署名受信装置には秘密の識別子である秘密識別子と、公開の識別子である公開識別子の二つのデータが格納される。

mと nは整数であり、 j=l,...,mに関する B[j] は一様無作為に選ばれた G の要素であり、 p,q,m,n,B[j]は上記識別子の形態を定める要素で、領域変数と呼び、 Dom と記す。

[0071] 具体的には、署名受信装置の秘密識別子は体 Z/qZ 上のランダムに生成された n

X m 行列、

a[ij] e Z/ qZ ； i=l,...,n; j=l,....,m

で、これを Sidと記す。公開識別子は、

D[i] = Π ^mBQ]^aCii] mod p…式 (1)

j=i

なる i=i,...,n に関する D[i]である。これを Pidと記す。

[0072] 署名装置には秘密鍵と公開鍵の二つのデータが格納される。 P,Q,P',Q'は、 P=2P'+ 1、 Q=2Q'+1なる関係を満たすランダムに生成された 4個の素数である。 n=PQなる整数である。 i=l„,.n;j=l,...,m に関して A,H,G[ij]は (Z/nZ)* 力一様無作為に選ばれた要素である。

[0073] 秘密鍵は、（P,Q)で、これを Skeyと記す。

[0074] 公開鍵は領域変数 Domと、 n,A,H,G[ij]:i=l,...,n;j=l,...,mで、これを Pkey と記す。

[0075] 次に、本発明による装置の実施形態を述べる。

[0076] [実施形態 1]

図 2は本発明による署名受信装置 100の構成を示すブロック図である。

[0077] 署名受信装置 100は署名装置 200と送受信し、公開鍵 101、秘密識別子 102、公開識別子 103および乱数 104を入力し、ブラインド公開識別子 117、ブラインド秘密識別子 107、ブラインド署名 116'を出力するもので、ブラインド識別子生成装置 105 、ブラインド因子 106、ブラインド秘密識別子 107、ブラインドコミットメント装置 108、ブラインドコミットメント 109、証明コミットメント装置 110、証明のコミットメント 111、挑戦値 112、挑戦値獲得装置 113、証明レスポンス装置 114、ブラインド署名受信装置 115、ブラインド署名 116、公開識別子送信装置 118、証明のレスポンス 120から構成されている。

[0078] なお、署名受信装置 100は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、ブラインド因子 106、ブラインド秘密識別子 107、ブラインドコミットメント 109、証明のコミットメント 111、挑戦値 112、証明のレスポンス 115、ブラインド署名 116は記憶装置内に設定される。また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の構成要件のうち、証明のコミットメント 111、挑戦値 112、挑戦値獲得装置 113、証明レスポンス装置 114、証明のレスポンス 120は証明部 119を構成する。

[0079] 署名受信装置 100には、

署名装置の公開鍵 101 : Pkey=(Dom,n, A,H,G[ij]:i=l,...,n;j=l,...,m)、ここで、 Dom =(p,q,m,n,B[j]:j=l,...,m)と、

署名受信装置の秘密識別子 102 : Sid=(a[ij] EZ/qZ ： i=l,...,n; j=l,....,m)と、署名受信装置の公開識別子 103 : Pid=(D[i]_:i=l,...,n)と、

乱数 104と、が入力される.

署名受信装置 100を構成するブラインド識別子生成装置 105は、入力された乱数 104から、ランダムに整数 s EZ/qZ を生成し、これをブラインド因子 106とし、ブラインド秘密識別子 107、

b[ijj = s a[ij] mod q i=l,...,n;j=l,...,m…式 (2)

を計算する。

[0080] 署名受信装置 100を構成するブラインドコミットメント装置 108は、入力された乱数 1 04からランダムに整数 r' E{0,l}^W2 を生成し、ブラインド秘密識別子のコミットメントであるブラインドコミットメント 109、

H' = H^r' Π ^ηΠ ^m G[ij]^a'^Cii] mod η· · ·式 (3)

i=l rl

を計算し、署名装置 200に送付する。

[0081] 署名受信装置 100を構成する公開識別子送信装置 118は、署名装置 200に署名受信装置 100の公開識別子 103を送付し、署名装置 200と通信することにより、式 (1) , 式 (2)、式（3)および、 a[ij] E{0,ir^{+I +I} :i=l,...,n;j=l,...,m

を満たす s,r'， a[ij]:i=l,...,n;j=l,...,mの知識を、証明部 119において以下のように証明する。

[0082] [証明手続き始まり]

署名受信装置 100は、入力された乱数 104からランダムな、

t[i] eZ/qZ: i=l,...,n

t'[i] eZ/qZ: i=l,...,n

s， ≡Z/qZ

b'[ij] {0, l} ^+Lc+Ls: i=l , ... ,n;j=l, .... ,m

, _ rハ "！ iLn/2+Lc+Ls

ue{0,l}

を生成する。

[0083] 署名受信装置 100は、証明コミットメント装置 110を用いて、

F[i] = D[i]^sH^tCi] mod p i=l,...,n

F'[i] = D[i]^s'H^t,[i] mod p i=l,...,n

F"[i]=H^t,[i] Π ^mBQ]^b'^[ij] mod p i=l,...,n

j=i

H" =H^U Π "Π ^m G[ij]^b'^Cii] mod n

i=l

を計算し、 F[i]:i=l,...,n,F'[i]:i=l₎...,n,F"[i]:i=l₎...,n,H" を証明のコミットメント 111として署名装置 200に送信する。

[0084] 署名受信装置 100は、挑戦値獲得装置 113に対して、署名装置 200より証明の挑戦値 112 ce{0,l}^Lc が送られるのを待つ。

[0085] これを受信したならば、署名受信装置 100を構成する証明レスポンス装置 114は、 s = sc + s mod q

t [i] = t[i]c + t'[i] mod q i=丄,… ,n

b"[ij]= b[ij] c + b'[ij] i=l,...,n;j=l,....,m

u" = r'c +u i=l,...,n

を計算して、

s" ,t"[i]:i=l,...,n,b"[ij]:i=l,...,n;j=l,....,m,u' を証明のレスポンス 115として署名装置 200に送信する。

[0086] [証明手続き終わり]

署名受信装置 100を行使絵するブラインド署名受信装置 115は、ブラインド署名 1 16 Cer=(Y,E,r") が署名装置 200から送られてくるのを待つ。

[0087] 受信したならば、これがブラインド秘密識別子の正しいグループ署名であることを、以下の式、

A = Y^EH'H^r mod n

E-2^LEe{0,l}^Le+Lc+Ls

r" e{0,l}^{Ln 2}

が成り立つことより確認する。確認できたら、ブラインド公開識別子 117、

Bpid = D'[i] = D[i]^smod p:i=l,...,n

を生成し、ブラインド公開識別子 117、

Bpid = D'[i] = D[i]^s mod p:i=l,...,n

ブラインド秘密識別子 107、

Bsid = b[ij]:i=l,...,n;j=l,...,m

ブラインド署名 116，、

Beer = (Y,E,r=r'+r ) を出力する。

[0088] [実施形態 2]

図 3は本発明による署名装置 200の実施形態の構成を示すブロック図である。

[0089] 署名装置 200は、公開鍵 101、秘密鍵 201および乱数 202を入力し、署名受信装置 100と送受信するもので、挑戦値 112、ブラインド署名 116、挑戦値生成装置 203 、証明検証装置 205、検証結果 206、グループ署名生成装置 207、公開識別子受信装置 208、ブラインドコミットメント受信装置 209から構成される。

[0090] なお、署名装置 200は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、挑戦値 112、ブラインド署名 1 16、検証結果 206は記憶装置内に設定される。また、これら以外の装置もコンビユータシステム内に仮想的に構成される。また、上記の構成要件のうち、挑戦値 112、挑戦値生成装置 203、証明検証装置 205、検証結果 206は検証部 204を構成する。

[0091] 署名装置 200には、

秘密鍵 201 ;(P,Q) と、

公開鍵 101 : Dom, n,A,H,G[ij]:i=l,...,n;j=l,...,m ；ここで、 Dom=(p,q,m,n,B[j]:j=l "."m)と、

乱数 202とが入力される。

[0092] 署名装置 200を構成する公開識別子受信装置 208は、署名受信装置 100からの署名受信装置 100の公開識別子 103 : Pid を受信するのを待つ。

[0093] 署名装置 200を構成するブラインドコミットメント受信装置 209は、署名受信装置 10

0からのブラインドコミットメント 109を署名受信装置 100より送付されるのを待つ。

[0094] これを受信したならば、署名装置 200は署名受信装置 100と通信することにより、式

(1)、式 (2)および、

a[ij] e{0,l}^{l +Lc+Lc} :i=l,...,n;j=l,...,m

を満たす、

s,r , a[ijj:i=l,...,n;j=l,...,m

の知識を署名受信装置 100が持つことを検証部 204により以下のように検証する。

[0095] [検証手続き始まり] さらに署名受信装置 100からの証明のコミットメント 111

F[i]:i=l,...,n,F'[i]:i=l₎...,n,F"[i]:i=l₎...,n,H"

が送られてくるのを待ち、これを受信したならば、挑戦値生成装置 203を用い、入力された乱数より、

証明の挑戦値 112 : ce{0,l}^Lc

をランダムに生成して、署名受信装置 100に送信する。

[0096] 署名装置 200は、署名受信装置 100より証明のレスポンス 115、

s ,t [i]:i=l,...,n,b [ijj:i=l,...,n;j=l,....,m,u

が送られてくるのを待ち、受信したならば、証明検証装置 205を用いて、

D[i]^s Η^ι"^[ί] = F[i]^cF'[i] mod p i=l,...,n

_Ht"[i]_n m _B[j]b"[ij] _=F[i] ' ] _{mod p i=1},...,_n

j=i

H^u" Π "Π ^m G[ij]^b"^[ii] =H'^CH" mod n

i=l

b"[ij] e{0,l} ^+Lc+Ls i=l,...,n;j=l,....,m,u'

u E {0,1}

が全て成り立つことを確認する。確認できたら検証結果 206として正当を出力する。

[0097] [検証手続き 204終わり]

検証結果が正当である場合、署名装置はグループ署名生成装置 207を用いて、入力された乱数 202から、

E=2^LE+e が素数となるような e E{0,l^と r" E{0,l}^W2をランダムに生成する。

[0098] 署名装置 200は、 Y=(A/(H'H^r"))^1/E mod nを計算し，ブラインド署名 116 : Cer=(

Υ,Ε,Γ") を署名受信装置 100に送信し、動作を終了する。

[0099] [実施形態 3, 4]

次に、署名提示装置と署名検証装置が通信することで、署名提示装置がブラインド署名を保有してヽることを、署名検証装置に証明する方法を記述する。

[0100] [実施形態 3]

図 4は本発明による署名提示装置 300の実施形態の構成を示すブロック図である。

[0101] 署名提示装置 300は、ブラインド公開識別子 117、ブラインド秘密識別子 107、ブラインド署名 116'、公開鍵 101、乱数 301を入力し、署名検証装置 400と送受信を行なうもので、証明コミットメント装置 302、証明のコミットメント 303、挑戦値獲得装置 304、挑戦値 305、証明レスポンス生成装置 306、証明のレスポンス 307から構成される。

[0102] なお、署名提示装置 300は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、証明のコミットメント 303、挑戦値 305、証明のレスポンス 307は記憶装置内に設定される。また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の各構成要件により証明部 308を構成する。

[0103] 署名提示装置 300には、

公開鍵 101 : Dom,n,A,H,G[ij]:i=l,...,n;j=l,...,m、ここで、 Dom=(p,q,m,n,B[j]:j=l,..., m) と、

ブラインド公開識別子 117 : Bpid = D'[i] = D[i]^s mod p:i=l,...,nと、

ブラインド秘密識別子 107 : Bsid = b[ij]:i=l,...,n;j=l,...,m と、

ブラインド署名 116 : Beer = (Y,E,r) と、

乱数 301とが入力される。

[0104] 署名提示装置 300はブラインド公開識別子 117 : Bpid を署名検証装置 400に送る

[0105] 署名提示装置 300は署名検証装置 400と通信することにより、

D'[i] = Π ^mBQ]^bCii] mod p i=l,...,n

A =Y^EH^r Π ^ηΠ ^mG[ij]^b[ii] mod n

i=l j=l

E- 2^LEe{0,l}^Le+Lc+Ls

b[ij] e{0,l} ^+Lc+Ls

を満たす

Y,E,r, a[ij]:i=l,...,n;j=l,...,m

の知識を、証明部 308により以下のように証明する。

[0106] [証明手続き始まり]

署名提示装置 300は入力された乱数 301から、

te{o, i}^{Ln 2} し e+し c+し s

b'[ij] e{0,l} ^+Lc+Ls

をランダムに生成する.

署名提示装置 300は、証明コミットメント装置 302を用いて、

U = H^l Y mod n

A' = U^e'H^r' Π ^η Π ^mG[ij]^b'^[ii) mod η

i=l

D"[i]= Π ^mBQ]^b'^Cii] mod η i=l,...,n

j=i

を生成して， U,A' D"[i]:i=l,...,n を証明のコミットメント 303として出力する.

署名提示装置 300を構成する挑戦値獲得装置 304は、証明のコミットメント 303を署名検証装置 400に送り、署名検証装置 400より証明の挑戦値 305 : (^{0,1 力 S 送られるのを待つ。受信したならば、証明レスポンス生成装置 306を用いて、 e = e c +e

r = (r- tti^c +r

b"[ij] = b[ij] c + b'[ij] i=l,...,n;j=l,...,m

を計算して， e" ,r",b"[ij]:i=l,...,n;j=l,...,m を証明のレスポンス 307として署名検証装置 400に送付する。

[0107] [証明手続き終わり]

その後、動作を終了する。

[0108] [実施形態 4]

図 5は本発明による署名検証装置 400の実施形態の構成を示すブロック図である。

[0109] 署名検証装置 400は、乱数 401、公開鍵 101を入力して検証結果 404を出力し、署名提示装置 300と送受信を行なうもので、ブラインド公開識別子 117、証明のコミツトメント 303、挑戦値 305、挑戦値生成装置 402、証明検証装置 403から構成されるなお、署名検証装置 400は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、ブラインド公開識別子 11 7、証明のコミットメント 303、挑戦値 305は記憶装置内に設定される。また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、証明のコミットメント 303、挑戦値 305、挑戦値生成装置 402、証明検証装置 403により検証部 406を構成する。

[0111] 署名検証装置 400には、

公開鍵 101 : Dom,n,A,H,G[ij]:i=l,...,n;j=l,...,m 、ここで、 Dom=(p,q,m,n,B[j]:j=l,.. .,m) と、

乱数 401とが入力される。

[0112] 署名検証装置 400は、署名提示装置 300よりブラインド公開識別子 117 : Bpid 力 S 送られてくるのを待つ。

[0113] 署名検証装置 400は署名提示装置 300と通信することにより、

D'[i] = Π ^mBQ]^bCii] mod p i=l,...,n

j=i

A =Y^EH^r Π ⁿ Π ^mG[ij]^b[ii] mod n

i=l rl

E- 2^LEe{0,l}^Le+Lc+Ls

b[ij] e{0,l} ^+Lc+Ls

を満たす

Y,E,r, a[ij]:i=l,...,n;j=l,...,m

の知識を署名提示装置 300が保有していることを、検証部 406により以下のように検証する。

[0114] [検証手続き始まり]

署名検証装置 400を構成する挑戦値獲得装置 402は、署名提示装置 300より証明のコミットメント 303 U,A' D"[i]:i=l,...,n が送られてくるのを待つ。これを受信したならば、入力された乱数 401より、

証明の挑戦値 3O5 _{: C} E{0,l}^Lc

をランダムに生成して、署名提示装置 300に送信する。

[0115] 署名提示装置 300より、証明のレスポンス 306

e" ,r",b"[ij]:i=l,...,n;j=l,...,m が送られてくるのを待つ。受信したならば、署名検証装置 400を構成する証明検証装置 403は、

c' = c 2^LE+e" とし、

U^c' H^r" Π ⁿ Π ^mG[ij]^b"^[ii] =A^CA' mod n

i=l rl

Π ^mB[j]^b"^[ii] =D[i]^cD"[i] mod p

j=i

e £{0,1}

b"[ij]≡ {0,1} ^+Lc+Lsi=l, ...,n;j=l, ... ,m

が全て成り立つことを確認する。確認できたら証明を検証結果 404として「正当」を出力する。

[0116] [検証手続き終わり]

証明検証が正当であれば署名提示を正当と見なす。

[0117] [実施形態 5]

図 6は、挑戦値獲得関数がハッシュ関数である場合の署名提示装置 500の実施形態の構成を示すブロック図である。

[0118] 挑戦値獲得装置 501は、

(p,q,m,n,BLjj:j=l,...,m),

n,A,H,G[ij]:i=l,...,n;j=l,...,m

Bpid = D'[i] = D[i]^s mod p:i=l,...,n

U,A' D"[i]:i=l,...,n

のハッシュ値を挑戦値 502： cとして出力する。

[0119] [実施形態 6]

挑戦値生成関数がハッシュ関数である場合の署名検証装置の実施形態では、実施形態 4における署名検証装置において挑戦値生成関数が、実施形態 5の挑戦値生成関数と同じものを使用する。

[0120] [実施形態 7]

図 7は実施形態 1〜4の署名受信装置 100、署名装置 200 署名提示装置 300、署名検証装置 400を用いたシステムの構成を示すブロック図である。

[0121] 本実施形態は、署名受信装置 100、署名装置 200、署名提示装置 300、署名検証装置 400とからなるシステムで、署名受信装置 100と署名装置 200は互いに通信する手段 601を備え、署名提示装置 300は署名受信装置 100の出力を入力し、署名提示装置 300と署名検証装置 400は互いに通信する手段 602を備えている。

[0122] 署名受信装置 100には、署名装置の公開鍵と、署名受信装置 100の秘密のデータである秘密識別子 102と、署名受信装置 100の公開されているデータであり、秘密識別子 102に依存したデータである公開識別子 103と、乱数 104とが入力されている。

[0123] 署名装置 200には、署名装置の秘密のデータである秘密鍵 201と、署名装置の公開されているデータである公開鍵 101と、乱数 202とが入力され、署名受信装置 100 と署名装置 200が互いに通信することで、署名受信装置 100が、ブラインド秘密識別子 107と、ブラインド公開識別子 117と、ブラインド署名 116とを出力する。

[0124] 署名提示装置 300には、公開鍵 101と、署名受信装置 100の出力である、ブラインド秘密識別子 107と、ブラインド公開識別子 117と、ブラインド署名 116と、乱数 301 と、が入力されている。

[0125] 署名検証装置 400には、公開鍵 101と、乱数 401とが入力され、署名提示装置 30 0と署名検証装置 400が互いに通信し、署名提示装置 300にブラインド公開識別子 117、ブラインド秘密識別子 107、ブラインド署名 116のデータが入力されていれば、署名検証装置 400は「正当」を検証結果 404として出力し、その他の場合は「不当」を検証結果 404として出力する。

[0126] 以下に、本発明の第 8ないし第 17の実施形態に説明する。

[0127] まず、第 8ないし第 11の実施形態に共通することについて説明する。

[0128] L=(Ls,Lc,Le,Lq,Ln,LE) は安全性の尺度となる変数の列で、例えば (60, 160,60, 16 0,2048,382) の値を使えば 2005年現在においてはおよそ安全と言える. これらの値は計算機の性能の向上にしたがって、より大きな値をとる必要がある。

[0129] 署名受信装置にはメッセージ m ≡ {0,l}^Lqが格納される。

[0130] 署名装置には秘密鍵と公開鍵の二つのデータが格納される。 P,Q,P',Q' は， P=2 P'+l, Q=2Q'+1 なる関係を満たすランダムに生成された 4個の素数であり、 N=PQ なる整数である。 A,H,G,F は QR(N) 力も一様無作為に選ばれた要素である。ここで QR(N) とは、（Z/NZ)* の要素の部分集合で、ある（Z/NZ)* の要素 a が存在して、 a² と表せるもののことである。 [0131] 秘密鍵は，（P,Q)で，これを Skey と記す。

公開鍵は N,A,H,G,F で，これを Pkey と記す。

[0132] 以下に、個々の実施の形態を述べる。

[0133] [実施形態 8]

図 8は本発明による署名受信装置 1100の構成を示すブロック図である。

[0134] 署名受信装置 100は署名装置 1200と送受信し、公開鍵 1101、メッセージ 1103 および乱数 1104を入力し、ブラインドコミットメント 1109、証明のレスポンス 1115、ブラインド署名 1116，を出力するもので、ブラインドコミットメント装置 1108、ブラインドコミットメント 1109、証明コミットメント装置 1110、証明のコミットメント 1111、挑戦値 11 2、挑戦値獲得装置 1113、証明レスポンス装置 1114、証明のレスポンス 1115、ブラインド署名受信装置 1117、ブラインド署名 1116から構成されて、る。

[0135] なお、署名受信装置 1100は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、ブラインドコミットメント 1 109、挑戦値 112、証明のレスポンス 1115、ブラインド署名 1116は記憶装置内に設定される。また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の構成要件のうち、証明コミットメント装置 1110、証明のコミットメント 1111 、挑戦値 112、挑戦値獲得装置 1113、証明レスポンス装置 1114、証明のレスポンス 1115、ブラインド署名受信装置 1117、ブラインド署名 1116は証明部 1119を構成する。

[0136] 署名受信装置 1100には、

署名装置の公開鍵 1101 Pkey=(A,H,G,F) と、

メッセージ 1103 m と、

舌 L数 1104と、

が入力される。

[0137] 署名受信装置 1100を構成するブラインドコミットメント装置 1108は、入力された乱数力ランダムに整数 r',s ≡ {0,l}^{Ln 2} を生成し、ブラインド秘密識別子のコミットメントであるブラインドコミットメント 1109

式 (1) H' = H^r G^m F^s mod N を計算し、署名装置 1200に送付する。

[0138] 署名受信装置 1100は、署名装置 1200と通信することにより，式 (1) および

m,s e{0,l} ^+Lc+Ls

， -, τ Ln/2+Lc+Ls

r ^{0,1}

を満たす

m,s,r

の知識を、以下のように証明する。

[0139] [証明手続き 1119始まり]

署名受信装置 1100は、入力された乱数 1104からランダムな、

m',s' ≡ {0,1} ^+Lc+Ls: i=l,...,n;j=l,....,m

u t= {0,1}

を生成する。

[0140] 署名受信装置 1100を構成する証明コミットメント装置 1110は、

H" =H^uG^m F^s mod N

を計算し、

H " を証明のコミットメント 1111として署名装置 1200に送信する。

[0141] 署名受信装置 1100を構成する挑戦値獲得装置 1113は、署名装置 1200より証明の挑戦値 1112 c {0,1}^LC が送られるのを待つ。

[0142] これを受信したならば、署名受信装置 1100を構成する証明レスポンス装置 1114 は、

S = SC + S

m = m c + m

u = r c +u

を計算して、

s" ,m",u" を証明のレスポンス 1115として署名装置 1200に送信する。

[証明手続き 1119終わり]

署名受信装置 1100を構成するブラインド署名受信装置 1115は、署名 1116 Cer =(Y,E,r") を署名装置 1200から送られてくるのを待つ。 [0143] 受信したならば，これが正しいグループ署名であることを、以下の式、 A = Y^EH'H^r" mod N

E-2^LE ≡ {0, l}^Le+Lc+Ls

, _ 「ハ Ln/2+Lc+Ls

r E {0,1}

が成り立つことより確認する。

[0144] 確認できたら、ブラインド署名 1116'

Beer = (Y,E,r=r +r ,s)

を出力する。

[0145] [実施形態 9]

図 9は本発明による署名装置 1200の実施形態の構成を示すブロック図である。

[0146] 署名装置 1200は、公開鍵 1101、秘密鍵 1201および乱数 1202を入力し、署名受信装置 1100と送受信するもので、挑戦値 1112、ブラインド署名 1116、挑戦値生成装置 1203、証明検証装置 1205、検証結果 1206、グループ署名生成装置 1207

、ブラインドコミットメント受信装置 1209から構成される。

[0147] なお、署名装置 1200は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、挑戦値 1112、ブラインド署名

1116、検証結果 1206は記憶装置内に設定される。また、これら以外の装置もコンビユータシステム内に仮想的に構成される。また、上記の構成要件のうち、挑戦値 111

2、挑戦値生成装置 1203、証明検証装置 1205、検証結果 1206は検証部 1204を構成する。

[0148] 署名装置 1200には、

秘密鍵 201(P,Q) と、

公開鍵 1101 N,A,H,G,Fと、

舌 L数 1202と、

が入力される。

[0149] 署名装置 1200を構成するブラインドコミットメント受信装置 1209は、署名受信装置

1100からブラインドコミットメント H' 1109を受信するのを待つ。

[0150] さらに署名装置 1200は、署名受信装置 1100より証明のコミットメント 1111 H" が送付されるのを待つ。

[0151] これを受信したならば，署名装置 1200は署名受信装置 1100と通信することにより、式 (1) および

s,m e{0, l} ^+Lc+Ls :i=l,...,N;j=l,...,m

r' e{0, l} ^+Lc+Ls :i=l,...,n;j=l,...,m

を満たす

m,s,r'

の知識を署名受信装置 1100が持つことを以下のように検証する。

[0152] [検証部 1204による検証手続き始まり]

署名装置 1200を構成する挑戦値生成装置 1203は、署名受信装置 1100より証明のコミットメント 1111H" を受信すると、入力された乱数より

証明の挑戦値 1112 c ≡ {0,1}^LC

をランダムに生成して、署名受信装置 1100に送信する。

[0153] 署名装置 1200は、署名受信装置 1100より証明のレスポンス 1115

s ,m ,u

が送られてくるのを待ち、

受信したならば、証明検証装置 1205を用いて、

H^u G^m F^s =H'^CH" mod N

" " 「 _ir. iLq+Lc+Ls

m ,s E {0,1}

，， , _ rハ iLn/2+Lc+Ls

u E {0,1}

が全て成り立つことを確認する。確認できたら検証結果 1206として正当を出力する。

[検証手続き 1204終わり]

検証結果が正当である場合、署名装置 1200を構成するグループ署名生成装置 1 207は、入力された乱数 1202から、

E=2^LE+e が素数となるような e ≡ {0, l}^Leと

r" {0,1}^W2を

ランダムに生成する.

署名装置 1200は、 Y=(A/(H'H^r"))^1/E mod N

を計算し、ブラインド署名 1116 Cer=(Y,E,r") を署名受信装置 1100に送信し、動作を終了する。

[0154] 次に、署名提示装置と署名検証装置が通信することで、署名提示装置がブラインド署名を保有してヽることを、署名検証装置に証明する方法にっヽて説明する。

[0155] [実施の形態 10]

図 10は本発明による署名提示装置 1300の実施形態の構成を示すブロック図である。

[0156] 署名提示装置 1300は、公開鍵 1101、ブラインド署名 1116、メッセージ 1117、乱数 1301を入力し、署名検証装置 1400と送受信を行なうもので、証明コミットメント装置 1302、証明のコミットメント 1303、挑戦値獲得装置 1304、挑戦値 1305、証明レスポンス生成装置 1306、証明のレスポンス 1307から構成される。

[0157] なお、署名提示装置 1300は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、証明のコミットメント 130 3、挑戦値 1305、証明のレスポンス 1307は記憶装置内に設定される。また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、上記の各構成要件により証明部 1308を構成する。

[0158] 署名提示装置 1300には、

公開鍵 1101 N,A,H,G,F と、

メッセージ 1117 mと、

ブラインド署名 1116

Beer = (Y,E,r,s) と、

舌 L数 1301と、

が入力される。

[0159] 署名提示装置 1300はメッセージ 1117 m を署名検証装置 1400に送る。

[0160] 署名提示装置 1300は署名検証装置 1400と通信することにより、

A =Y^EH^r G^mF^s mod N

E- 2^LE ≡ {0, l}^Le+Lc+Ls m,s ≡ {0,1} ^+Lc+Ls

を満たす

Y,E,r,s

の知識を以下のように証明する。但し、 m は公開されている。

[0161] [証明部 1308による証明手続き始まり]

署名提示装置 1300は入力された乱数 1301から、

t {o,i}^{Ln 2}

e {0,1}

, _!r, -, iLn/2+LE+Lc+Ls+2

r E {0,1}

b'[ij] ≡ {0,1} ^+Lc+Ls

をランダムに生成する。

[0162] 署名提示装置 1300を構成する証明コミットメント装置 1302は、

U = H^l Y mod N

A' = U^e'H^r F^b mod N

を生成して、 U,A' を証明のコミットメント 1303として出力する。

[0163] 署名提示装置 1300を構成する挑戦値獲得装置 1304は、証明のコミットメント 130

3を署名検証装置に送り、署名検証装置 1400より証明の挑戦値 1305 c ≡ {0,l}^Ll が送られてくるのを待つ。

[0164] 受信したならば，証明レスポンス生成装置 1306を用いて、

e = e c +e

r = (r- tti^c +r

b = s c + b'

を計算して、 e" ,r",b"を証明のレスポンス 1307として署名検証装置 1400に送付する。

[証明手続き終わり]

動作を終了する。

[0165] [実施の形態 11]

図 11は本発明による署名検証装置 1400の実施形態の構成を示すブロック図である。

[0166] 署名検証装置 1400は、乱数 1401、公開鍵 1101を入力して検証結果 1404を出力し、署名提示装置 1300と送受信を行なうもので、メッセージ 1117、証明のコミットメント 1303、挑戦値 1305、挑戦値生成装置 1402、証明検証装置 1403から構成される。

[0167] なお、署名検証装置 1400は、入力装置、出力装置、記憶装置および制御装置からなる一般的なコンピュータシステムにより構成されるもので、メッセージ 1117、証明のコミットメント 1303、挑戦値 1305は記憶装置内に設定される。また、これら以外の装置もコンピュータシステム内に仮想的に構成される。また、証明のコミットメント 130 3、挑戦値 1305、挑戦値生成装置 1402、証明検証装置 1403により検証部 1406を構成する。

[0168] 署名検証装置 1400には、

公開鍵 1101 N,A,H,G,F と、

舌 L数 1401と、

が入力される。

[0169] 署名検証装置 1400は、署名提示装置 1300よりメッセージ 1117 m が送られてくるのを待つ。

署名検証装置 1400は署名提示装置 1300と通信することにより、

A =Y^EH^r G^m F mod N

E- 2^LE ≡ {0,l}^Le+Lc+Ls

m,s ≡ {0,1} ^+Lc+Ls

を満たす

Y,E,r,s

の知識を署名提示装置が保有してヽることを、以下のように検証する。

[0170] [検証部 1406による検証手続き始まり]

署名検証装置 1400は、署名提示装置 1300より証明のコミットメント 1303 U,A' が送られてくるのを待つ. これを受信したならば、挑戦値獲得装置 1402は、入力された乱数 1401より、証明の挑戦値 1305 c ≡ {0,1}^LC

をランダムに生成して、署名提示装置 1300に送信し、署名提示装置 1300より証明のレスポンス 1306e" ,r",b" が送られてくるのを待つ。

[0171] 証明のレスポンス 1306e" ,r",b" を受信したならば、署名検証装置 1400を構成する証明検証装置 1403は、

c' = c 2^LE+e"

とし、

U^c' H^r" F^b"^[ii] =A^CA' G— ^mc mod N

，， , _ rハ Le+Lc+Ls

e £ {0,1}

b" ≡ {o, i}^Lq+Lc+Ls

が全て成り立つことを確認する。確認できたら証明を検証結果 1404 として「正当」を出力する。

[検証手続き 1406終わり]

証明検証が正当であれば署名提示を正当と見なす。

[0172] 次に、本発明の実施形態 12、 13について説明する。まず、これらの実施形態に共通する事柄を説明する。

[0173] L=(Lm,Ls,Lc,Le,Lq,Ln,Lp,LE) は安全性の尺度となる変数の列で，例えば (380,6

0,160,60,160,2048,1600,382) の値を使えば 2005 年現在においてはおよそ安全と言える。これらの値は計算機の性能の向上にしたがって、より大きな値をとる必要がある。

[0174] p と q は素数で， q|p-l なる関係を満たすとする. G は乗法群 (Z/pZ)* の位数 q の部分群である。

[0175] 署名受信装置には秘密の識別子である秘密識別子と、公開の識別子である公開識別子の二つのデータが格納される。

m と n は整数であり，

j=l,...,m に関する B[j] は一様無作為に選ばれた G の要素であり、 p,q,m,n,BQ] は上記識別子の形態を定める要素で、領域変数と呼び、 Dom と記す [0176] 具体的には、署名受信装置の秘密識別子は体 Z/qZ 上のランダムに生成された n X m 行歹 U、

a[ij」 e Z/qZ ； i=l,...,n; j=l,....,m

で、これを Sid と記す。公開識別子は、

式 (1) D[i] = Π ^mB[j]^a[ii] mod p

j=i

なる i=i,...,n に関する D[i] である。これを Pid と記す。

[0177] 署名装置には秘密鍵と公開鍵の二つのデータが格納される。 P,Q,P',Q' は， P=2

P'+l, Q=2Q'+1 なる関係を満たすランダムに生成された 4個の素数で、 N=PQ なる整数である。 i=l,,,.n;j=l,...,m に関して A,H,G[ij] は QR(N) から一様無作為に選ばれた要素である。

[0178] 秘密鍵は（P,Q)で、これを Skey と記す。

[0179] 公開鍵は領域変数 Dom と N,A,H,G[ij]:i=l,...,n;j=l,...,m で、これを Pkey と記す

[0180] 以下に、個々の実施形態について説明する。

[0181] [実施形態 12]

図 12は本発明による署名受信装置 2100の構成を示すブロック図である。

[0182] 本実施形態は、実施形態 1として図 2に示した署名受信装置 100を、署名装置 220

0からの暗号文 2120を公開識別子送信装置 118に入力する構成としたものである。

[0183] 実施の形態 1 において Dom に， E[1],E[2] ≡ QR(N)² を追加し、 E[2]=E[1]^X となる秘密鍵 X に追加する。

[0184] 署名受信装置は最初に，署名装置より (Ε[1],Ε[2])を公開鍵とする ElGamal 暗号方式による暗号文 2120、 (C[ll],C[12]),(C[ijl],C[ij2]):i=l,...,n;j=l,...,m を受信する

[0185] 実施例形態 1に示した署名受信装置 100ではブラインドコミットメント

H' = H^r' Π ^ηΠ ^m G[ij]^a'^[ij] mod N

i=l rl

を計算し、署名装置 200に送付した力署名受信装置 2100は、これの代りに，式 (3) H'[l] = C[ll]^r' Π ^ηΠ ^m G[ijl]^a'^Cii] mod N H'[2] = C[12]^r' Π ^ηΠ ^m G[ij2]^a'^Cij] mod N

i=l j=l

を計算して証明装置 2200に送付する。

[0186] 実施形態 1で行なう証明においては証明のコミットメントを生成する力ここでは， H" の代りに、署名受信装置 2100が署名装置 2200に対して、

H"[l] =C[11]^U Π ^ηΠ ^m G[ijl]^b'^[ij] mod N

i=l

H"[2] =C[12]^U Π ^ηΠ ^m G[ij2]^b'^[ij] mod N

i=l

を計算し、送付する。

[0187] 以上が実施形態 1との違いである。

[0188] [実施形態 13]

図 13は本発明による署名装置 2200の構成を示すブロック図である。

[0189] 本実施形態は、実施形態 2として図 3に示した署名装置 200を、公開鍵 101および乱数 202から暗号文 2120を生成し、署名受信装置 2100へ送信する署名装置 220

0としたものである。

[0190] 以下に、実施形態 2に示した署名装置 200との差異について主に説明する。

[0191] 署名装置 2200は、最初に、

E=2^LE+e が素数となるような e ≡ {0,1}^L°

を生成する。

[0192] 署名装置 2200はズ E[1],E[2])を公開鍵 101とする ElGamal 暗号方式による、 H^VE の暗号文 2120 (C[11],C[12])、と G[ij]^1/E の暗号文 (C[ijl],C[ij2]):i=l,...,n;j=l,..., m を生成して、署名受信装置 2100に送付する。

[0193] 実施形態 2で署名受信装置 100より受け取るブラインドコミットメントは 109H' ≡

QR(N)であった力ここでは (H'[1],H'[2])E QR(N)² である。

[0194] 実施形態 2で署名受信装置 100より受け取る証明のコミットメント 111は H" ≡ Q

R(N)であったが、ここでは (H"[1],H"[2])E QR(N)² である。

[0195] 署名受信装置 2100が署名装置 2200に対して、実施形態 2で行なう検証において

H^u Π ^ηΠ ^m G[ij]^b"^[ii] =H'^CH" mod N

i=l

が成り立つことを確認した力ここでは、これの代りに、 C[ll]^u" Π ^ηΠ ^m C[ijl]^b"^[ii] =H'[1]^CH"[1] mod N

i=l

C[12]^u" Π ^ηΠ ^m C[ij2]^b"^[ii] =H'[2]^CH"[2] mod N

i=l

が成り立つことを確認する。

[0196] 検証結果が正当である場合、署名装置 2200はグループ署名生成装置 207を用いて、入力された乱数 202から、

r" ≡ {0,1}^W2をランダムに生成し、署名装置 200は、

Y= (A /H^r")^1/E I (Η'[2]/Η'[1Γ) mod N

を計算し、ブラインド署名 116 Cer=(Y,E,r") を署名受信装置 2100に送信し、動作を終了する。

[0197] 次に、本発明の実施形態 14、 15について説明する。まず、これらの実施形態の前提となる事柄を説明する。

[0198] L=(Ls,Lc,Le,Lq,Ln,LE) は安全性の尺度となる変数の列で、例えば (60, 160,60, 16 0,2048,382) の値を使えば 2005年現在においてはおよそ安全と言える. これらの値は計算機の性能の向上にしたがって，より大きな値をとる必要がある。

[0199] 署名受信装置にはメッセージ m ≡ {0,l}^Lqが格納される。

[0200] 署名装置には秘密鍵と公開鍵の二つのデータが格納される。 P,Q,P',Q' は， P=2 P'+l, Q=2Q'+1 なる関係を満たすランダムに生成された 4個の素数であり、 N=PQ なる整数である。 A,H,G,F は QR(N) 力も一様無作為に選ばれた要素である。ここで QR(N) とは (Z/NZ)* の要素の部分集合で、ある（Z/NZ)* の要素 a が存在して、 a² と表せるもののことである。

[0201] 秘密鍵は (P,Q)で、これを Skey と記す。

[0202] 公開鍵は N,A,H,G,F で、これを Pkey と記す。

[0203] [実施形態 14]

図 14は本発明による署名受信装置 3100の構成を示すブロック図である。

[0204] 本実施形態の署名受信装置 3100は、実施形態 8として図 8に示した署名受信装置 1100を、署名装置 3200からの暗号文 3120をブラインドコミットメント装置 1108に入力する構成としたものである。

[0205] 本実施形態について、特に実施形態 8 との差異を主として以下に説明する。 [0206] 実施形態 8における Dom に， E[1],E[2] ≡ QR(N)² を追加し、 E[2]=E[1]^X となる X 秘密鍵に追加する。

[0207] 署名受信装置 3100は、最初に、署名装置 3200より (Ε[1],Ε[2])を公開鍵とする E1G amal 暗号方式による暗号文 3120 (C[11],C[12]),(C[21],C[22]),(C[31],C[32])を受信する。

[0208] 実施形態 8の署名受信装置 1100ではブラインドコミットメント

H' = H^r G^m F^s mod N

を計算し、署名装置 1200に送付した力署名受信装置 3100ではこれの代りに、式 (3) H'[l] = C[ll]^r C[2lf C[31]^s mod N

H'[2] = C[12]^r' C[22f C[32]^s mod N

を計算して署名装置 3200に送付する。

[0209] 実施形態 8で行なう証明にお、ては証明のコミットメントを生成する力ここでは、署名受信装置 3100が署名装置 3200に対して、 H" の代りに、

H"[l] =C[ll]^uC[21]^m'c[31]^s mod N

H"[2] =C[12]^uC[22]^m'c[33]^s mod N

を計算し、送付する。

[0210] 以上が実施形態 8との違いである。

[0211] [実施形態 15]

図 15は本発明による署名装置 3200の構成を示すブロック図である。

[0212] 本実施形態は、実施形態 9として図 9に示した署名装置 1200を、公開鍵 1101から暗号文 3120を生成し、署名受信装置 3100へ送信する署名装置 3200としたものである。

[0213] 以下に、実施形態 9に示した署名装置 1200との差異について主に説明する。

[0214] 署名装置 3200は最初に、

E=2^LE+e が素数となるような e ≡ {0,1}^L°

を生成する。

[0215] 署名装置 3200は、（E[1],E[2])を公開鍵とする ElGamal 暗号方式による，暗号文の集合 3120 H^{1 E} の暗号文（C[11],C[12])と、 G^1/E の暗号文 (C[21],C[22]) と、 F¹ ^E の暗号文 (C[31],C[32]) と、を生成して、署名受信装置 3100に送付する。

[0216] 実施形態 9で署名受信装置 1100より受け取るブラインドコミットメントは H' E Q

R(N)であったが、ここでは (H'[1],H'[2])E QR(N)² である。

[0217] 実施形態 9で署名受信装置 1100より受け取る証明のコミットメントは H" ≡ QR(

N)であったが、ここでは(1"["[1],1"["[2]；^ 01¾^)² である。

[0218] 実施形態 12で署名受信装置 2100が署名装置 2200に対して行なう検証において

H^u G^m F^s =H'^CH" mod N

が成り立つことを確認した力ここでは、これの代りに

C[ll]^u C[2lf C[31]^s =H'[1]^CH"[1] mod N

C[12]^u" C[22f" C[32]^s" =H'[2]^CH"[2] mod N

が成り立つことを確認する。

[0219] 検証結果が正当である場合、署名装置はグループ署名生成装置 1207を用いて、入力された乱数 1202から、

r" ≡ {0,1}^W2をランダムに生成し、署名装置 3200は、

Y= (A /H^r")^1/E I (Η'[2]/Η'[1Γ) mod N

を計算し、ブラインド署名 1116 Cer=(Y,E,r") を署名受信装置 3100に送信し、動作を終了する。

[0220] [実施形態 16]

本実施形態は、挑戦値獲得関数がハッシュ関数である場合の署名提示装置の実施形態であり、実施形態 10における署名提示装置 1300において、挑戦値獲得関数 1500は、この関数に入力された値のハッシュ値を挑戦値 1500 c として出力する。

[0221] [実施例 17]

本実施形態は、挑戦値生成関数がハッシュ関数である場合の署名検証装置の実施形態であり、実施形態 11における署名検証装置 1400において、挑戦値生成関数として、実施形態 16の挑戦値生成関数と同じものを使用する。

Claims

請求の範囲

[1] 署名受信装置と、該署名受信装置と通信する署名装置と、前記署名受信装置出力を入力する署名提示装置と、該署名提示装置と通信する署名検証装置とからなる制限付ブラインド署名システムであって、

前記署名検証装置は、前記公開鍵と、乱数と、が入力され、前記署名提示装置からの信号が、前記ブラインド公開識別子、前記ブラインド秘密識別子、前記第 2のブラインド署名のデータが入力されて、ることを示す場合には「正当」を、その他の場合には「不当」を出力することを特徴とする制限付ブラインド署名システム。

[2] 請求項 1記載の制限付ブラインド署名システムを構成する署名受信装置であって、前記第 2のブラインド署名が前記公開鍵に対応する秘密鍵により生成されたグループ署名であることを特徴とする署名受信装置。

[3] 請求項 1記載の制限付ブラインド署名システムを構成する署名装置であって、署名受信装置の公開識別子と、秘密識別子と、乱数から生成されるブラインド因子とから計算されるデータであるブラインド秘密識別子のコミットメント獲得する前記通信手段を備え、前記ブラインドコミットメントがコミットしたデータであるブラインド秘密識別子に対する署名である第 1のブラインド署名を前記秘密鍵により生成されたダループ署名として生成することを特徴とする署名装置。

[4] 請求項 2記載の署名受信装置において、

前記秘密識別子と前記乱数とを入力し、前記乱数からブラインド因子を生成し、前記ブラインド因子と前記秘密識別子からブラインド秘密識別子を生成し出力するブラインド秘密識別子生成装置と、

を含むことを特徴とする署名受信装置。

[5] 請求項 3記載の署名装置において、

を含むことを特徴とする署名装置。

[6] 請求項 1記載の制限付ブラインド署名システムを構成する署名提示装置であって、前記ブラインド公開識別子を前記署名検証装置に送付し、

あるブラインド秘密識別子が存在して、前記ブラインド公開識別子がこのブラインド秘密識別子に依存するデータであることの知識の証明と、このブラインド秘密識別子に対するグループ署名である第 2のブラインド署名の知識の証明とを署名検証装置と通信して行う知識証明装置を含むことを特徴とする署名提示装置。

[7] 請求項 1記載の制限付ブラインド署名システムを構成する署名検証装置であって、ブラインド公開識別子呼ばれるデータを前記署名提示装置より受信し、公開鍵と、乱数と、が入力され、あるブラインド秘密識別子が存在して前記ブラインド公開識別子がこのブラインド秘密識別子に依存するデータであることの知識の証明とこのブラインド秘密識別子に対するグループ署名である第 2のブラインド署名の知識の証明との検証を署名提示装置と通信して行う知識証明検証装置を含むことを特徴とする署名検証装置。

[8] 請求項 4記載の署名受信装置において、

前記ブラインドコミットメント証明装置は、

証明コミットメント装置と、挑戦値獲得装置と、証明レスポンス装置とよりなり、前記証明コミットメント装置は、乱数のコミットメントである証明コミットメントを生成するものであり、前記挑戦値獲得装置は証明コミットメントを署名装置に送付し、署名装置から挑戦値を受信するものであり、前記証明レスポンス装置は、前記挑戦値と、前記証明コミツトメントの生成に使った乱数と前記ブラインド秘密識別子と前記ブラインド因子とから証明のレスポンスを生成するものであることを特徴とする署名受信装置。

[9] 請求項 5記載の署名装置において、

前記ブラインドコミットメント検証装置は、挑戦値生成装置と、証明検証装置とよりなり、前記挑戦値生成装置は、証明のコミットメントと呼ばれるデータを受信するの待ち、受信したならば前記乱数を用いてランダムな数である挑戦値を生成し、署名受信装置に送付し、前記署名検証装置は、署名受信装置より証明のレスポンスと呼ばれるデータを受信するのを待ち、これを受信したら、前記証明のコミットメント、前記挑戦値、前記証明のレスポンス力ある検証式を満たすかどうかで、「正当」あるいは「不当」を出力するものであることを特徴とする署名装置。

[10] 請求項 6記載の署名提示装置において、

前記挑戦値獲得装置が、証明のコミットメントの他に公開鍵とブラインド公開識別子が入力され、前記証明のコミットメントと前記公開鍵と前記ブラインド公開識別子を含むデータのハッシュ値を挑戦値として出力することを特徴とする署名提示装置。

[11] 請求項 7記載の署名検証装置において、

前記挑戦値生成装置が、前記証明のコミットメントと前記公開鍵と前記ブラインド公開識別子を含むデータのハッシュ値を挑戦値として出力することを特徴とする署名検証装置。

[12] 署名受信装置と、該署名受信装置と通信する署名装置と、前記署名受信装置出力を入力する署名提示装置と、該署名提示装置と通信する署名検証装置とからなる制限付ブラインド署名システムであって、

前記署名検証装置は、前記公開鍵と、乱数と、が入力され、前記署名提示装置からの信号が、前記メッセージ、前記第 2のブラインド署名が入力されていることを示す場合には「正当」を、その他の場合には「不当」を出力することを特徴とする制限付ブラインド署名システム。

[13] 請求項 12記載の制限付ブラインド署名システムを構成する署名受信装置であって前記メッセージのコミットメントであるブラインドコミットメントを署名装置に送信することを特徴とする署名受信装置。

[14] 請求項 12記載の制限付ブラインド署名システムを構成する署名装置であって、前記メッセージのコミットメントであるブラインドコミットメントを入力し、前記ブラインドコミットメントがコミットしたデータであるメッセージに対する署名であり、かつ、前記秘密鍵により生成された、メンバ証明書に前記メッセージを含むグループ署名である第 1のブラインド署名を生成して前記署名受信装置に送ることを特徴とする署名装置。

[15] 請求項 13に記載の署名受信装置において、

を含むことを特徴とする署名受信装置。

[16] 請求項 14に記載の署名装置において、

公開鍵と、乱数と、ともに、前記署名受信装置力も送られたブラインドコミットメントとが入力され、前記ブラインドコミットメントが前記メッセージのコミットメントであることの知識の証明を検証し、証明結果が正当と認めるものであれば「正当」を、その他の場合は「不当」を出力する証明検証装置と、前記秘密鍵と公開鍵と前記ブラインドコミットメントと乱数とが入力され、前記証明検証装置が「正当」を出力すると、前記ブラインドコミットメントがコミットメントしたメッセ一ジをメンバ証明書として含むグループ署名を生成し，署名受信装置に送信するダループ署名生成装置と、

を含むことを特徴とする署名装置。

[17] 請求項 12記載の制限付ブラインド署名システムを構成する署名提示装置であって前記メッセージを前記署名検証装置に送付し、メッセージカンバ証明書に含まれるグループ署名について、メンバ証明の知識を保持す知識証明装置を、含むことを特徴とする署名提示装置。

[18] 請求項 12記載の制限付ブラインド署名システムを構成する署名検証装置であってメッセージを前記署名提示装置より受信し、前記署名提示装置がメッセージをメンバ証明書に含むグループ署名のメンバ証明の知識を保持して、ることの検証を行う知識検証装置を、

含むことを特徴とする署名検証装置。

[19] 請求項 2、 4、 8、 13、 15のいずれかに記載の署名受信装置において、

署名装置との通信において，最初に，前記公開鍵に対して前記ブラインド署名に含まれるデータの一部を作用させた値の ElGamal 暗号文を署名装置より受信することを特徴とする署名受信装置。

[20] 請求項 3、 5、 9、 14、 16のいずれかに記載の署名装置において、

署名受信装置との通信において、最初に、前記公開鍵に対して前記ブラインド署名に含まれるデータの一部を作用させた値の ElGamal 暗号文を署名受信装置に送信することを特徴とする署名装置。