WO2007007836A1 - 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体 - Google Patents

Abstract

　検証装置は、対比情報の内容に依存し、情報量に依存しない検証情報と、第１任意情報と、を第１記憶部に記憶させる。また、検証装置は、認証情報生成因子を、第１任意情報を用いて生成して証明装置に送信する。証明装置は、当該認証情報生成因子と保持情報とを用い、認証情報生成因子と保持情報との内容に依存し、保持情報の情報量に依存しない認証情報を生成して検証装置に送信する。検証装置の判定部は、その認証情報と検証情報と第１任意情報との間に、所定の関係が成立するか否かを判定する。これにより、検証装置は、証明装置に格納された保持情報が、対比情報と同一であることを検証する。

Description

明 細 書

認証システム、認証方法、証明装置、検証装置、それらのプログラム及び 記録媒体

技術分野

[0001] 本発明は、メッセージ認証技術に関し、詳しくは、特定または不特定の装置が、所 定の情報を内部に保持していることを証明 ·検証することを可能とする技術に関する 背景技術

[0002] 特定または不特定の装置が、所定の情報を内部（例えばノヽードディスクなどの記憶 部）に保持していることを認証する技術は、メッセージ認証技術と呼ばれる。この技術 には、認証の過程で必要とされる通信量が、保持していることを証明したい情報の量 (情報量）に依存しないという特徴がある。

従来におけるメッセージ認証技術の概要を説明する。証明装置と検証装置は予め 秘密鍵 kを共有しておく。次に証明装置はその保持する情報 sに対して一定の長さを 有するメッセージ認証子 M (s, k)を計算し、検証装置に送付する。検証装置は情報 s のコピーを保持していて、証明装置力も送付されたメッセージ認証子 M (s, k)の正当 性を検証する。

[0003] メッセージ認証子は、おもに共通鍵暗号やハッシュ関数に関する技術を用いて設 計されて!、る。メッセージ認証子の構成方法にっ ヽての一例を記述した文献を非特 許文献 1に示す。

非特許文献 l : Tetsu Iwata, Kaoru Kurosawa, "OMAC: One-Key CBC MAC", LNCS 2887(2003),ppl29- 153, Springer- Verlag.

発明の開示

発明が解決しょうとする課題

[0004] メッセージ認証子を用いる方式にぉ 、ては、認証子の正当性を検証するために、 検証装置は検証対象の情報 sのコピーを保持しておく必要がある。このため、この方 式においては検証装置の記憶容量の効率に課題があった。また、この方式では、メッ セージ認証に先立って、証明装置と検証装置との間で、予め秘密鍵 kを共有しておく 必要がある。そして、秘密鍵 kが外部に漏洩した場合、この方式の安全性は保てない 。よって、このような秘密鍵 kの証明装置と検証装置への配布や、証明装置と検証装 置での管理には、秘密鍵 kが第三者へ漏洩することを防止するための煩雑な手法や 構成が必要となる。つまり、メッセージ認証子を用いる方式には、利便性と安全性に も課題があった。

[0005] 本発明は、このような点に鑑みてなされたものであり、証明装置に所定の情報が保 持されて!ヽることを検証装置が検証する技術にぉ ヽて、検証装置の記憶容量を有効 活用し、なおかつ、利便性と安全性を向上させることを目的とする。

課題を解決するための手段

[0006] 本発明では、保持情報が格納された証明装置に通信可能に接続された検証装置 力 当該保持情報と、任意の対比情報と、の同一性を検証する (なお、「対比情報」及 び「保持情報」は、ビット情報である。 ) o

そのために、まず、検証装置は、対比情報の内容に依存する内容を有し、対比情 報の情報量に依存しな!、情報量を有する検証情報と、任意の情報である第 1任意情 報と、を第 1記憶部に記憶させる。また、検証装置は、証明装置に認証情報を生成さ せるための認証情報生成因子を、第 1記憶部に記憶された第 1任意情報を用いて生 成し、生成した認証情報生成因子を証明装置に送信する。

[0007] 証明装置は、上記の認証情報生成因子を受信し、当該認証情報生成因子と、第 2 記憶部に記憶された保持情報とを用い、認証情報生成因子と保持情報との内容に 依存する内容を有し、保持情報の情報量に依存しな ヽ情報量を有する認証情報を 生成する。次に、証明装置は、この認証情報を検証装置に送信する。

検証装置は、証明装置が送信した認証情報を受信し、検証装置の判定部が、その 認証情報と、第 1記憶部に記憶された検証情報及び第 1任意情報との間に、所定の 関係が成立するか否かを判定する。これにより、検証装置は、証明装置に格納された 保持情報が、対比情報と同一であることを検証する。

[0008] ここで、本発明の検証装置が、検証処理を行うために自ら保持しておかなければな らないのは、対比情報の情報量に依存しない情報量を有する検証情報であり、対比 情報自体ではない。よって、検証対象となる証明装置に格納された保持情報の情報 量が大きぐ対比情報の情報量も大きくなる場合であっても、検証装置に必要な記録 容量は、さほど増大しない。また、本発明では、証明装置と検証装置との間で秘密鍵 を共有する必要がな 、ため、利便性と安全性が高 、。

また、本発明において好ましくは、検証情報は、可換な半群をなす演算が定義され た有限集合の元を底とし、対比情報を冪数として、当該半群で定義された冪乗を行 つた演算結果であり、認証情報生成因子は、当該有限集合の元を底とし、第 1任意 情報を冪数として、半群で定義された冪乗を行った演算結果であり、認証情報は、認 証情報生成因子を底とし、保持情報を冪数として、半群で定義された冪乗を行った 演算結果である。そして、判定部は、検証情報を底とし、第 1任意情報を冪数として、 半群で定義された冪乗を行った演算結果と、認証情報と、が等しいか否かを判定す る。

[0009] この構成での検証情報は、可換な半群をなす演算が定義された有限集合の元を底 とし、対比情報を冪数として、当該半群で定義された冪乗を行った演算結果である。 この検証情報は、必ず、当該半群上定義された有限集合の元となる。よって、検証情 報の情報量は、対応する対比情報の情報量に拘らず、当該有限集合の何れか元の 情報量と同一になる。そのため、検証情報を格納するために検証装置に要求される 記憶容量も抑制できる。また、この構成では、証明装置と検証装置との間で秘密鍵を 共有する必要がな 、ため、利便性と安全性が高 、。

[0010] なお、当該本発明の好ましい構成の場合でも、上記の半群を特定するための情報 と有限集合の元とを、検証情報と証明装置とで共有する必要はある。しかし、これらの 情報は、必ずしも秘密情報である必要はなぐこれらの情報が攻撃者に漏洩しても、 認証方式の安全性は確保できる。よって、これらの情報を証明装置と検証装置との 間で共有することに起因する利便性や安全性の問題は発生しない。

また、より好ましくは、上記の半群として、当該半群で定義された有限集合の位数の 算出が困難なものを用いる。攻撃者が上記の半群で定義された有限集合の位数を 算出できた場合、この攻撃者は、算出した位数を、検証に合格する認証情報を不正 に作成するための情報として利用することができるからである。すなわち、認証情報 生成因子を底とし、保持情報を冪数として、半群で定義された冪乗を行った演算結 果と、認証情報生成因子を底とし、当該保持情報 +任意の整数 X位数を冪数として 、当該半群で定義された冪乗を行った演算結果とは等しい (衝突: collision)。これは 、位数を知った攻撃者は、保持情報自体を見つけなくても、保持情報 +任意の整数 X位数の何れかを見つけることにより、検証装置での検証に合格する認証情報を生 成できること、を知ることを意味する。この情報は、攻撃者が検証に合格する認証情 報を効率的に探索するための情報となる。よって、上記位数が攻撃者に知られること により、本発明の安全性は低下する。そのため、上記の半群は、位数の算出が困難 なものであることが望まし 、。

[0011] また、本発明にお ヽて、好ましくは、検証情報は、定数 Nを法とし、 N未満の値 g (好 ましくは、 2以上 N未満の値 g)を底とし、対比情報 s'を冪数とした冪乗剰余演算結果 C (s' )であり、認証情報生成因子は、 Nを法とし、値 gを底とし、第 1任意情報 rを冪数 とした冪乗剰余演算結果 Rであり、認証情報は、 Nを法とし、認証情報生成因子 Rを 底とし、保持情報 sを冪数とした冪乗剰余演算結果 R (s)である。そして、判定部は、 Nを法とし、検証情報 C (s' )を底とし、第 1任意情報 rを冪数とした冪乗剰余演算結果 と、認証情報 R(s)と、が等しいか否かを判定する。

[0012] この構成での検証情報は、定数 Nを法とし、 N未満の値 gを底とし、対比情報 s'を冪 数とした冪乗剰余演算結果 C (s' )である。その場合、検証情報は、対比情報 s'の情 報量に拘らず、必ず、 0以上 N— 1以下の整数となる。これは、検証情報を格納する ために検証装置に要求される記憶容量を抑制できることを意味する。また、この構成 でも、証明装置と検証装置との間で秘密鍵を共有する必要がないため、利便性と安 全性は高い。なお、この構成の場合でも、定数 Nと値 gとの情報を、検証情報と証明 装置とで共有する必要はある。しかし、これらの情報が攻撃者に漏洩しても認証方式 の安全性は確保できる。よって、これらの情報を証明装置と検証装置との間で共有す ることに起因する利便性や安全性の問題は発生しない。

[0013] ここで、より好ましくは、定数 Nは、素数であることが判定可能な数を除く自然数であ つて、素因数分解困難な数である。定数 Nが素数である場合、定数 Nを法とした剰余 環 (Z/NZ)*の乗法についての位数は、 N—1の計算によって容易に求めることができ る。よって、素数であることが判定可能な数を定数 Nとしないことが望ましい。また、定 数 Nが合成数 (但し、 N = p ' qであり、 p, qは十分大きな素数)である場合、定数 Nを 法とした剰余環は、乗法に関して位数 p ' q-p-q+1の巡回群となる。よって、この定数 N の素因数分解が容易なのであれば、 N=p ' qを満たす p, qから、定数 Nを法とした剰余 環の乗法に関しての位数を求めることができる。逆に、当該位数が分かり、冪乗剰余 演算結果を衝突させることができるのであれば、それらの情報を用いて当該定数 Nの 素因数分解ができることも知られている（例えば、 G. Miller. Riemanann's hypothesis and tests ror pnmality. Journal of Computer systems science, Vol. 1ύ, pages ύ00~3 17, 1976.など参照)。すなわち、定数 Νが合成数である場合、上記位数を求めること は、当該定数 Νの素因数分解を行う以上に困難である (Νが 2つの素数の積からなる 合成数である場合、これらの困難性は同等)。

[0014] よって、素数であることが判定可能な数を除く自然数であって、素因数分解困難な 数を Νとすることは望ましい。なお、「素数であることが判定可能な数」とは、本願出願 時に公然知られた素数判定法を用いることによって「素数であること」が判定可能な 数、及び、本願出願時に「素数であること」が公然知られた数を意味する。

また、本発明において定数 Ν力 3つ以上の素数の積力もなる合成数であってもよ い。この場合、たとえ攻撃者が定数 Νを素因数分解できたとしても、この攻撃者は、当 該定数 Νを法とした剰余環の乗法に関しての位数を容易に算出できな ヽからである 。なお、演算効率の面からは、素数であることが判定可能な数を除く自然数であって 、素因数分解困難な数を Ν (但し、 Νが合成数の場合、 N = p ' qであり、 p, qは十分 大きな素数)とすることが望ま U、。

[0015] また、本発明において好ましくは、上記の第 1任意情報 rは、 Vを所定の自然数とし た場合における、 0≤r≤N ' 2 ^v— 1の範囲から任意に選択される値である。このような 範囲から第 1任意情報 rが任意に選択される場合、 Nを法とし、値 gを底とし、第 1任意 情報 rを冪数とした冪乗剰余演算結果が、 Nを法とした剰余環の乗法にっ ヽての巡 回群の元から任意に選択した値〔≡ (Z/NZ)*〕と識別不能な分布を持つことが証明で きる。これは、 Nを法とし、値 gを底とし、第 1任意情報 rを冪数とした冪乗剰余演算結 果力 第 1任意情報 rを求める困難性と、 Nを法とした剰余環の乗法についての巡回 群の元から任意に選択した値の離散対数問題を解く困難性と、が同等であることを 示している。すなわち、第 1任意情報 r力O≤r≤N ' 2 ^v— lの範囲から任意に選択され る値である限り、上記冪乗剰余演算結果から第 1任意情報 rを特定することは十分困 難である。そして、これよりも上限を広げた範囲力ゝら第 1任意情報 rを選択する構成と しても、安全性は向上せず、冪乗演算の演算コストが上昇するだけである。

[0016] また、本発明において、好ましくは、検証情報は、対比情報を複数に分割した第 1 分割情報ごとに、それぞれの当該第 1分割情報を用いて生成された情報であり、認 証情報は、認証情報生成因子と、証明装置に記憶された保持情報を複数に分割し た第 2分割情報の全てと、を用いて生成された情報である。

この場合、認証情報は、証明装置に記憶された保持情報を複数に分割した第 2分 割情報を全て用いて生成される。よって、保持情報そのものを用いて認証情報を生 成する場合に比べ、多様な演算方法を採ることが可能となる。そのため、採用する演 算方法によっては、認証情報の生成を高速で行うことができる。

[0017] ここで好ましくは、検証情報は、可換な半群をなす演算が定義された有限集合の元 を底とし、第 1分割情報を冪数として、当該半群で定義された冪乗を行った演算結果 であり、認証情報生成因子は、有限集合の元を底とし、第 1任意情報を冪数として、 半群で定義された冪乗を行った演算結果であり、認証情報は、認証情報生成因子を 底とし、第 2分割情報の全てを用いて算出した値であって保持情報よりも情報量が少 ないものを冪数として、半群で定義された冪乗を行った演算結果である。そして、判 定部は、検証情報の全てを用いて算出した値を底とし、第 1任意情報を冪数として、 半群で定義された冪乗を行った演算結果と、認証情報と、が等しいか否かを判定す る。

[0018] この認証情報は、認証情報生成因子を底とし、第 2分割情報の全てを用いて算出し た値であって保持情報よりも情報量が少な ヽものを冪数として、半群で定義された冪 乗を行った演算結果である。冪乗演算の演算コストは、冪数の値に大きくなるにつれ て急激に大きくなるため、冪数の値を小さくすることは演算コストの低減に大きく貢献 する。第 2分割情報の全てを用いて算出した値であって保持情報よりも情報量が少な いものを冪数とすることにより、認証情報を算出するための冪乗演算のコストを大幅に 低減できる。

また、本発明において好ましくは、認証情報は、各上記第 2分割情報の保持情報内 のビット位置に対応する事前準備困難な情報と、第 2分割情報の全てとを用いて算 出した値であって保持情報よりも情報量が少な 、ものを冪数とし、認証情報生成因子 を底として、半群で定義された冪乗を行った演算結果である。

[0019] 各上記第 2分割情報の保持情報内のビット位置に対応する事前準備困難な情報と 、第 2分割情報の全てとを用いて算出した値を冪数として認証情報を生成することに より、保持情報を保持しておらず、各第 2分割情報が保持情報内のどのビット位置の 情報であるかを知らないが各分割情報のみを知っている攻撃者が、検証装置での検 証に合格する認証情報を偽造する不正を防止できる。

また、本発明において、好ましくは、検証情報は、定数 Nを法とし、 N未満の値 gを 底とし、第 1分割情報 s 'を冪数とした冪乗剰余演算結果 であり、認証情報生 成因子は、 Nを法とし、値 gを底とし、第 1任意情報 rを冪数とした冪乗剰余演算結果 Rであり、認証情報は、第 2分割情報 sに対応する i及び検証装置から送信される何ら かの情報に値が依存する情報 Hと、第 2分割情報 sと、の積を全ての iについて合計 した値を冪数とし、認証情報生成因子 Rを底とし、 Nを法とした冪乗剰余演算結果 R( s)である。そして、判定部は、全ての iに対応する各検証情報 C (s' )をそれらにそれ ぞれ対応する情報 Hによって冪乗した各値の積を底とし、第 1任意情報!:を冪数とし、 Nを法とした冪乗剰余演算結果と、認証情報 R(s)と、が等しいか否かを判定する。な お、 iは、第 1分割情報 s 'の対比情報内におけるビット位置、及び、第 2分割情報 sの 保持情報内におけるビット位置を示すインデックスである。

[0020] この認証情報は、第 2分割情報 sに対応する i及び検証装置から送信される何らか の情報に値が依存する情報 Hと、第 2分割情報 sと、の積を全ての iについて合計した 値を冪数とし、認証情報生成因子 Rを底とし、 Nを法とした冪乗剰余演算結果 R ( で ある。この場合、保持情報を保持しておらず、各第 2分割情報が保持情報内のどの 位置の情報である力を知らな 、が各分割情報のみを知って 、る攻撃者が、検証装置 での検証に合格する認証情報を偽造する不正を防止できる。

ここで、より好ましくは、情報 Hは、第 2分割情報 sに対応する iと検証装置から送信 される何らかの情報とに値が依存する一方向性関数値である。

[0021] この場合、複数種類の「検証装置カゝら送信される何らかの情報」及び「i」の組に対 応する各情報 Hが同一の値となってしまうこと (衝突： collision)を防止できる。その結 果、誤った「検証装置力も送信される何らかの情報」及び「i」の組から、検証装置での 検証に合格する認証情報が生成されることを防止でき、検証の信頼性と安全性が向 上する。

さらに、本発明では、認証情報生成因子が、検証装置に記憶された第 1任意情報 を用いて正当に生成されたことを、検証装置が証明装置に、対話証明によって証明 してもよい。この場合、検証装置は、証明装置が受信した認証情報生成因子が検証 装置に記憶された第 1任意情報を用いて生成されたことを、証明装置との対話証明 によって証明装置に証明し、証明装置は、認証情報生成因子が、検証装置に記憶さ れた第 1任意情報を用いて生成されたことを、検証装置との対話証明によって検証 する。そして、証明装置は、認証情報生成因子が、検証装置に記憶された第 1任意 情報を用いて生成されたことを確認できた場合に、認証情報を検証装置に送信する

[0022] このような構成により、攻撃者の装置が当該対話証明に介在しない限り、正規の証 明装置と検証装置との間に介在した攻撃者の装置が、正規の検証装置に対して証 明装置に成り済まし、正規の証明装置に対して検証装置に成り済まし、保持情報を 保持していると検証装置を誤認させる不正を抑制できる。すなわち、このような構成を 採らない場合、正規の証明装置と検証装置との間に介在した攻撃者の装置が、証明 装置に成り済まして正規の検証装置から認証情報生成因子を受け取り、さらに、検証 装置に成り済まして正規の証明装置に当該認証情報生成因子を送信し、正規の証 明装置力も送信された認証情報を受け取ることができる。そして、この攻撃者の装置 は、認証情報を正規の検証装置に送信することにより、この攻撃者の装置が保持情 報を保持した装置であると、検証装置を誤認させることができる。これに対し、証明装 置が、認証情報生成因子が検証装置に記憶された第 1任意情報を用いて生成され たことを確認できた場合にのみ、認証情報を検証装置に送信する構成を採った場合 、攻撃者の装置が当該対話証明に介在しない限り、攻撃者の装置が、検証装置に成 り済まして正規の認証装置力も認証情報を受け取ることが困難となる。その結果、正 規の証明装置と検証装置との間に介在した攻撃者の装置が、保持情報を保持して V、ると検証装置を誤認させる不正を防止できる。

[0023] また、このような構成では、正規の検証装置が不正な第 1任意情報を生成し、何ら かの不正行為（例えば、偽りの検証処理のログを生成することなど）をも防止できる。 さらにまた、この構成では、対比情報ではなぐ第 1任意情報を対話証明の対象とし ているので、検証対象の保持情報のデータ量が大きぐ対比情報のデータ量が大き な場合であっても、対話証明に必要な演算コストや通信データ量を低く抑えることが できる。

また、この対話証明を含む処理は、好ましくは、以下のように行う。

まず、証明装置が、可換な半群をなす演算が定義された有限集合の元 gを底とし、 任意の情報である第 2任意情報 aを冪数として、半群で定義された冪乗を行った演算 値 Aを生成し、演算値 Aを検証装置に送信する。検証装置は、この演算値 Aを受信し 、有限集合の元 gを底とし、第 1任意情報 rを冪数として、半群で定義された冪乗を行 つて認証情報生成因子 Rを生成する。さら〖こ、検証装置は、演算値 Aを底とし、第 1 任意情報 rを冪数として、半群で定義された冪乗を行って演算値 Bを生成し、認証情 報生成因子 Rと演算値 Bとを証明装置に送信する。証明装置は、認証情報生成因子 Rと演算値 Bとを受信し、第 2受信部が受信した認証情報生成因子 Rを底とし、第 2任 意情報 aを冪数として、半群で定義された冪乗を行った演算結果と、演算値 Bと、が 等しいか否かを判定し、これらが等しカゝつた場合に、認証情報を、検証装置に送信す る。

[0024] このような構成により、攻撃者の装置が当該対話証明に介在しない限り、正規の証 明装置と検証装置との間に介在した攻撃者の装置が、保持情報を保持していると検 証装置を誤認させる不正を抑制できる。また、この構成では、第 1任意情報 rを対話 証明の対象としているので、対話証明に必要な演算コストや通信データ量を低く抑え ることがでさる。

また、このような構成では、正規の検証装置が不正な第 1任意情報を生成し、偽りの 検証処理のログを生成することをも防止できる。 さらにまた、この構成では、対比情報ではなぐ第 1任意情報を対話証明の対象とし ているので、検証対象の保持情報のデータ量が大きぐ対比情報のデータ量が大き な場合であっても、対話証明に必要な演算コストや通信データ量を低く抑えることが できる。

[0025] このような構成において、さらに好ましくは、証明装置は、認証情報生成因子 Rを底 とし、第 2任意情報 aを冪数として半群で定義された冪乗を行った演算結果と、演算 値 Bと、が等しいことを確認できた場合に、さらに、第 2任意情報 aを、検証装置に送 信する。検証装置は、この第 2任意情報 aを受信し、有限集合の元 gを底とし、第 2任 意情報 aを冪数として、半群で定義された冪乗を行った演算結果と、演算値 Aと、が 等しいか否かを判定する。

このような処理を追加することにより、保持情報 sは知らないが、 Aを決定でき、上記 半群において C (s) =g^LA^mとなる L, mを知っている攻撃者による不正を防止できる。 すなわち、このような処理が実行されない場合、保持情報 sも対比情報 s'も知らない 力 Aを決定でき、 C (s' ) =g^LA^m (上記半群で定義された演算）となる L, mを知って いる攻撃者の装置は、検証装置から認証情報生成因子 Rと演算値 Bとを受け取り、 R m (上記半群で定義された演算)を計算し、これを認証情報であると偽って検証装 置に送信することが可能である。ここで、 R^LB^m=g^rLA^rm= (g^LA^m) r=C (s' )を満たす ため、このような攻撃者の装置は、自らが保持情報 sを保持していると検証装置を誤 認させることができる。一方、このような攻撃者は、 A=g^a (上記半群で定義された演 算）となる第 2任意情報 aを知らない。もし、このような攻撃者が当該第 2任意情報 aを 知っているならば、その攻撃者は、 C (s) =g^LA^m=g^L+a'^m=g^s'を算出できることになり 、その攻撃者が保持情報 sも対比情報 s'も知らないことと矛盾する力もである。よって 、上述のように、検証装置が受け取った第 2任意情報 aを用い、 A = g^a (上記半群で 定義された演算）を満たすか否かを判定する処理を追加することによって、このような 攻撃者の不正を防止できる。

[0026] なお、このような処理の各冪乗演算は、有限集合の位数の算出が困難な半群で定 義された剰余演算によって行われることが望ましい。攻撃者が上記の半群で定義さ れた有限集合の位数を算出できた場合、この攻撃者は、算出した位数を、 A=g^aを満 たす第 2任意情報 aを探知するための情報として、利用することができるからである。 また、本発明において好ましくは、上記演算値 Aは、定数 Nを法とし、 N未満の値 g を底とし、任意の情報である第 2任意情報 aを冪数とした冪乗剰余演算結果であり、 認証情報生成因子 Rは、 Nを法とし、値 gを底とし、第 1任意情報 rを冪数とした冪乗 剰余演算結果であり、演算値 Bは、 Nを法とし、演算値 Aを底とし、第 1任意情報 rを 冪数とした冪乗剰余演算結果である。また、上述した、第 2受信部が受信した認証情 報生成因子 Rを底とし、第 2任意情報 aを冪数として、半群で定義された冪乗を行つ た演算結果は、 Nを法とし、認証情報生成因子 Rを底とし、第 2任意情報 aを冪数とし た冪乗剰余演算結果である。なお、定数 Nは、素数であることが判定可能な数を除く 自然数であって、素因数分解困難な数であることが望ましい。また、定数 Nは、 3っ以 上の素数の積力もなる合成数であってもよ 、。

[0027] また、さら〖こ好ましくは、上述した、有限集合の元 gを底とし、第 2任意情報 aを冪数 として、半群で定義された冪乗を行った演算結果は、 Nを法とし、有限集合の元 gを 底とし、第 2任意情報 aを冪数とした冪乗剰余演算結果である。

また、さらに好ましくは、第 2任意情報 aは、 Vを所定の自然数とした場合における、 0≤a≤N'2^v— 1の範囲から任意に選択される値である。このように第 2任意情報 aが 選択される場合、 Nを法とし、値 gを底とし、第 2任意情報 aを冪数とした冪乗剰余演 算結果が、 Nを法とした剰余環の乗法にっ 、ての巡回群力 任意に選択した値〔≡ ( Z/NZ)*〕と識別不能な分布を持つことが証明できる。これは、 Nを法とし、値 gを底とし 、第 2任意情報 aを冪数とした冪乗剰余演算結果から、第 2任意情報 aを求める困難 性と、 Nを法とした剰余環の乗法についての巡回群から任意に選択した値の離散対 数問題を解く困難性と、が同等であることを示している。すなわち、第 2任意情報 aが 0≤ a≤ N · 2 ^v— 1の範囲から任意に選択される値である限り、上記冪乗剰余演算結 果カも第 2任意情報 aを特定することは十分困難である。そして、これよりも上限を広 げた範囲力ゝら第 2任意情報 aを選択する構成としても、安全性は向上せず、冪乗演算 の演算コストが上昇するだけである。

発明の効果

[0028] 本発明によれば、証明装置に所定の情報が保持されていることを検証装置が検証 する技術において、検証装置の記憶容量を有効活用し、なおかつ、利便性と安全性 を向上させることができる。

図面の簡単な説明

[図 1]図 1は、第 1実施形態に係る証明装置（1)のハードウェア構成を例示した構成 ブロック図である。

[図 2]図 2は、第 1実施形態に係る検証装置 (2)のハードウェア構成を例示した構成 ブロック図である。

[図 3]図 3は、第 1実施形態におけるネットワーク構成例である。

[図 4]図 4は、第 1実施形態に係る検証装置（2)の機能ブロック図（その 1)である。

[図 5]図 5は、第 1実施形態に係る証明装置（1)の機能ブロック図である。

[図 6]図 6は、第 1実施形態に係る検証装置（2)の機能ブロック図（その 2)である。

[図 7]図 7は、第 1実施形態における処理フローを示す図である。

[図 8]図 8は、第 2実施形態に係る第三者装置 (3)のハードウェア構成を例示した構 成ブロック図である。

[図 9]図 9は、第 2実施形態におけるネットワーク構成例である。

[図 10]図 10は、第 2実施形態に係る第三者装置（3)の機能ブロック図である。

[図 11]図 11は、第 2実施形態に係る検証装置（2)の機能ブロック図である。

[図 12]図 12は、第 2実施形態に係る証明装置（1)の機能ブロック図である。

[図 13]図 13は、第 2実施形態における処理フローを示す図（その 1)である。

[図 14]図 14は、第 2実施形態における処理フローを示す図（その 2)である。

[図 15]図 15は、第 3実施形態に係る第三者装置（3)の機能ブロック図である。

[図 16]図 16は、第 3実施形態に係る検証装置（2)の機能ブロック図（その 1)である。

[図 17]図 17は、第 3実施形態に係る証明装置（1)の機能ブロック図である。

[図 18]図 18は、第 3実施形態に係る検証装置（2)の機能ブロック図（その 2)である。

[図 19]図 19は、第 3実施形態における処理フローを示す図（その 1)である。

[図 20]図 20は、第 3実施形態における処理フローを示す図（その 2)である。

[図 21]図 21は、第 4実施形態に係る証明装置（1)の機能ブロック図（その 1)である。

[図 22]図 22は、第 4実施形態に係る検証装置（2)の機能ブロック図（その 1)である。 [図 23]図 23は、第 4実施形態に係る証明装置（1)の機能ブロック図（その 2)である。

[図 24]図 24は、第 4実施形態に係る検証装置（2)の機能ブロック図（その 2)である。

[図 25]図 25は、第 4実施形態に係る証明装置（1)の機能ブロック図（その 3)である。

[図 26]図 26は、第 4実施形態における処理フローを示す図（その 1)である。

[図 27]図 27は、第 4実施形態における処理フローを示す図（その 2)である。

[図 28]図 28は、第 4実施形態における処理フローを示す図（その 3)である。

[図 29]図 29は、第 4実施形態における処理フローを示す図（その 4)である。

[図 30]図 30は、第 5実施形態に係る検証装置（2)の機能ブロック図（その 1)である。

[図 31]図 31は、第 5実施形態に係る証明装置（1)の機能ブロック図（その 1)である。

[図 32]図 32は、第 5実施形態に係る検証装置（2)の機能ブロック図（その 2)である。

[図 33]図 33は、第 5実施形態に係る証明装置（1)の機能ブロック図（その 2)である。

[図 34]図 34は、第 5実施形態に係る検証装置（2)の機能ブロック図（その 3)である。

[図 35]図 35は、第 5実施形態における処理フローを示す図（その 1)である。

[図 36]図 36は、第 5実施形態における処理フローを示す図（その 2)である。

[図 37]図 37は、第 5実施形態における処理フローを示す図（その 3)である。

[図 38]図 38は、第 6実施形態に係る検証装置（2)の機能ブロック図（その 1)である。

[図 39]図 39は、第 6実施形態に係る証明装置（1)の機能ブロック図（その 1)である。

[図 40]図 40は、第 6実施形態に係る証明装置（1)の機能ブロック図（その 2)である。

[図 41]図 41は、第 6実施形態に係る検証装置（2)の機能ブロック図（その 2)である。

[図 42]図 42は、第 6実施形態における処理フローを示す図（その 1)である。

[図 43]図 43は、第 6実施形態における処理フローを示す図（その 2)である。

[図 44]図 44は、第 6実施形態における処理フローを示す図（その 3)である。

符号の説明

1 証明装置

2 検証装置

3 第三者装置

141 認証情報生成部

142 生成部 143 乱数生成部

145 認証判定部

148 A生成部

160 第 1判定部

241 検証情報生成部

242 乱数生成部

243 認証情報生成因子生成部

244 判定部

247 W生成部

248 z生成部

249 B生成部

250 対話判定部

260 第 2判定部

340 N生成部

341 g生成部

342 検証情報生成部

発明を実施するための最良の形態

<第 1実施形態 >

発明を実施するための最良の形態を、図面を参照しつつ説明する。

[証明装置]

第 1実施形態における証明装置について説明する。

図 1は、第 1実施形態に係わる証明装置（1)のハードウェア構成を例示した構成ブ ロック図である。

図 1に例示するように、証明装置（1)は、キーボードやマウスなどの入力装置が接 続可能な入力部（11)、液晶ディスプレイなどの出力装置が接続可能な出力部（12) 、証明装置（1)外部に通信可能な通信装置 (例えば、通信ケーブル、 LANカード、 ハブ、ルータ、モデムなど）が接続可能な通信部（13)、 CPU (Central Processing Un it) (14)〔キャッシュメモリなどを備えていてもよい。〕、メモリである RAM (15)、 ROM (16)、ハードディスクや光ディスクや半導体メモリなどである外部記憶装置（17)並び にこれらの入力部（11)、出力部（12)、通信部（13)、 CPU (14)、 RAM (15)、 RO M ( 16)、外部記憶装置（ 17)間のデータのやり取りが可能なように接続するバス（ 18 )を有している。また必要に応じて、証明装置（1)に、 CD— ROM (Compact Disc Rea d Only Memory)、 DVD (Digital Versatile Disc)などの記憶媒体を読み書きできる装 置 (ドライブ)などを設けるとしてもよ!/ヽ。

[0032] 証明装置（1)の外部記憶装置（17)には、証明対象である所定の情報 s〔保持情報 〕を保持して 、ることを証明するのに必要となるプログラム〔証明装置用プログラム〕お よびこのプログラムの処理において必要となるデータなどが保存されている。また、こ れらのプログラムの処理によって得られるデータなどは、 RAMや外部記憶装置など に保存される。

より具体的には、証明装置（1)の外部記憶装置（17)〔あるいは ROMなど〕には、 認証情報を生成するためのプログラムおよびこれらのプログラムの処理において必要 となるデータ（情報 sなど)などが保存されている。その他、これらのプログラムに基づく 処理を制御するための制御プログラムも外部記憶装置（17)等に保存しておく。

[0033] 本明細書において証明対象となる情報 sは、説明の便宜上、ビット列からなるものと する。特に、証明装置（1)、後述する検証装置'第三者装置をコンピュータによって 実現する場合には、いかなる情報 (例えば人間が意味理解可能なテキスト形式の情 報などがある。）であっても、 2進数表記されるビット列として外部記憶装置に保存され ることはいうまでもない。

証明装置（1)では、外部記憶装置（17)〔あるいは ROMなど〕に記憶された各プロ グラムとこの各プログラムの処理に必要なデータが RAM (15)に読み込まれる。 CP U (14)は、これらの各プログラムを実行して、各データを処理する。その結果、 CPU (14)が所定の機能 (認証情報生成部、制御部)を実現する。

[0034] [検証装置]

第 1実施形態における検証装置について説明する。

図 2は、第 1実施形態に係わる検証装置 (2)のハードウェア構成を例示した構成ブ ロック図である。 図 2に例示するように、検証装置（2)は、キーボードやマウスなどの入力装置が接 続可能な入力部（21)、液晶ディスプレイなどの出力装置が接続可能な出力部（22) 、検証装置（2)外部に通信可能な通信装置 (例えば通信ケーブル、 LANカード、ハ ブ、ルータ、モデムなど）が接続可能な通信部（23)、 CPU (Central Processing Unit ) (24)〔キャッシュメモリなどを備えていてもよい。〕、メモリである RAM (25)、 ROM ( 26)、ハードディスクや光ディスクや半導体メモリなどである外部記憶装置（27)並び にこれらの入力部 (21)、出力部 (22)、通信部 (23)、 CPU (24)、 RAM (25)、 RO M (26)、外部記憶装置（27)間のデータのやり取りが可能なように接続するバス（28 )を有している。また必要に応じて、検証装置（2)に、 CD—ROM、 DVDなどの記憶 媒体を読み書きできる装置 (ドライブ)などを設けるとしてもよ!/ヽ。

[0035] 検証装置 (2)の外部記憶装置 (27)には、証明装置（1)に情報 s〔保持情報〕が保 持されていることを検証するのに必要となるプログラム〔検証装置用プログラム〕およ びこのプログラムの処理において必要となるデータなどが保存されている。また、これ らのプログラムの処理によって得られるデータなどは、 RAMや外部記憶装置などに 保存される。

より具体的には、検証装置（2)の外部記憶装置（27)〔あるいは ROMなど〕には、 検証情報を生成するためのプログラム、認証情報生成因子を生成するためのプログ ラム、乱数を生成するためのプログラム、証明装置から受信した情報と検証装置に保 持される情報との一致を判定するためのプログラム、およびこれらのプログラムの処 理において必要となるデータなどが保存されている。その他、これらのプログラムに基 づく処理を制御するための制御プログラムも外部記憶装置（27)等に保存しておく。

[0036] 検証装置（2)では、外部記憶装置（27)〔あるいは ROMなど〕に記憶された各プロ グラムとこの各プログラムの処理に必要なデータ力 必要に応じて RAM (25)に読み 込まれる。 CPU (24)は、これらの各プログラムを実行して、各データを処理する。そ の結果、 CPU (24)が所定の機能 (検証情報生成部、認証情報生成因子生成部、乱 数生成部、判定部、制御部)を実現する。

[0037] [ネットワーク構成]

第 1実施形態の認証システムのネットワーク構成について説明する。 図 3は、第 1実施形態の認証システムのネットワーク構成を示す図である。

図 3に示すように、第 1実施形態では、 1つの証明装置（1)と、 1つの検証装置（2)と 1S ネットワーク（5)を介して相互に通信可能に接続されている。もちろん、ネットヮー ク（5)を介して相互に通信可能に接続される証明装置（1)および検証装置（2)はそ れぞれ 1つずつに限定されるものではない。複数の証明装置（1)と複数の検証装置（ 2)とが、ネットワーク（5)を介して相互に通信可能に接続されるとしてもよい。ただ、検 証装置（2)は 1つであるのが一般的である（つまり、検証装置（2)は 1つで十分な場 合が多い。）。なお、ネットワーク（5)の構成には特に制限はなぐインターネット、 LA N (Local Area Network)、 Peer- to- Peerネットワーク等どのようなものであってもよい

[0038] なお、第 1実施形態に係わるネットワーク構成においては、証明装置（1)と検証装 置 (2)との間の通信は、通信傍受の可能性などが否定できないなど、必ずしも通信 の秘密の安全性が保証されたものでなくてもょ 、（以下に記載の各実施形態にぉ ヽ ても同様である。 ) o

[認証]

本発明の認証システム '方法の第 1実施形態は、基本的な実施形態を示しており、 本発明の趣旨を逸脱するものでないならば、種々の実施の形態に拡張可能である。 以下、図 4〜図 7を参照しながら説明する。なお、各装置の機能ブロック図を示す図 では、同じ符号が与えられた機能部が示されている力 各別のものを示すものではな ぐ説明の便宜力 各別に示しているに過ぎない。このことは各実施形態における図 でも同様である。

[0039] 証明装置（1)の外部記憶装置（17)には、保持していることの証明対象である情報 s〔保持情報〕が保存されているとする。また、予め、検証装置 (2)の外部記憶装置 (2 7)にも、情報 s〔対比情報 s '〕が保存されているとする。なお、説明の便宜上、各実施 形態では、対比情報 s 'を「s」と表現する。しかし、これは、対比情報と保持情報とが、 必ず同一であることを意味するものではな 、。

さらに、第 1実施形態における認証システムにおいて共通のパラメータとして、十分 大きい数 Nと、 N未満の数 g (好ましくは、 2以上 N未満の数 g)が、予め、証明装置（1 )の外部記憶装置（17)および検証装置（2)の外部記憶装置（27)に保存されて 、る とする。なお、前述の通り、 Nを法とした剰余環の乗法についての位数が第三者に知 られた場合、当該認証システムの安全性は低下する。そして、前述のように、 Nが素 数であることが明らかである場合、 Nを法とした剰余環の乗法についての位数を求め ることは容易である。また、 Nが合成数である場合、 Nを法とした剰余環の乗法につい ての位数を求めることは、当該 Nを素因数分解することよりも困難である（Nが 2つの 素数の積からなる合成数である場合、これらの困難性は同等)。よって、安全性の見 地から、 Nは、素数であることが判定可能な数を除く自然数であって、素因数分解が 困難な数であることが望ましい。このような Nとしては、例えば、素因数分解困難な合 成数である RSAモジュラス〔N=p · q (p,qは素数)であって、（p-l)/2,(q-l)/2もまた素数 となっている N〕や、素数である力否かが判定できない自然数などを例示できる。また 、 2のべき乗に近い数、例えば 2^m—lの形で表せる数 (メルセンヌ数）を Nとしてもよい 。このような Nによる剰余計算は、例えば 2^mを 1に置換することで計算ができ、このよう な演算は通常の CPUにおいてシフト演算またはビットの並び替えで実現することが できる。従って高速な剰余演算を実現することができる。そのような Nを確率的ァルゴ リズムによって効率的に生成することもできるし、素因数分解が困難な数の表は公知 であるから、そのような表から 2のべき乗に近 、Nを選択するようにしてもょ 、。

[0040] また、 gは、 Nと互いに素であることが望ましい。 gが Nと互いに素でなぐその旨の情 報が攻撃者に知られた場合、この攻撃者は、 gの情報を、 Nを素因数分解するための 情報として利用できる場合がある力 である（例えば、 gの約数が Nの約数となる力否 かを試していく処理等)。

また、予め定められた自然数 V (セキュリティパラメータ）が、検証装置（2)の外部記 憶装置（27)に保存されて 、るとする。

まず、検証装置 (2)の制御部（290)は、外部記憶装置 (27)から g、 V、情報 sを 読み込み、それぞれを RAM (25)の所定の格納領域に格納しておく〔図 4参照〕。以 後、「RAMから〇〇を読み込む」旨の説明をした場合は、「RAMにおいて〇〇が格 納されて 、る所定の格納領域から〇〇を読み込む」ことを意味するとする。

[0041] 検証装置（2)の検証情報生成部（241)は、 RAM (25)力 g、 N、情報 sを読み込 み、式（1)に従った演算を行い、この演算結果 C (s)〔検証情報〕を RAM (25)の所 定の格納領域に格納する (ステップ S1)〔図 4参照〕。ここでは、ビット列の情報 sを自 然数の 2進数表記と同一視した。

[数 1]

C(s) = g^s modN ( 1 )

[0042] 次に、検証装置（2)の制御部（290)は、外部記憶装置（27)に保存される情報 sを 消除する (ステップ S2)〔図 4参照〕。ここで消除とは、対象となる情報が格納される格 納領域を開放することであり、例えば格納領域を上書き（つまり、新たな情報を格納 する。）可能な状態にしたり、あるいは Null値で格納領域を上書きしたりすることであ る。

次に、検証装置（2)の乱数生成部（242)は、 RAM (25)から vを読み込み、高々 2 程度の大きさの乱数!:〔第 1任意情報〕を生成し、乱数 rを RAM (25)の所定の格 納領域に格納する (ステップ S3)〔図 4参照〕。なお、乱数生成部（242)が、 0≤r≤N • 2 ^v—lの範囲から乱数 rを生成してもよい。前述のように、このような範囲力も乱数 r が選択される構成が、安全性と演算コストの両立という観点力も望ましいからである。 また、必ずしも rは乱数である必要はなぐ値が任意に選択されるものであればよい。 また、第 1実施形態では乱数生成部（242)が、第 1任意情報である乱数 rを生成する としたが、予め所定の値を第 1任意情報として外部記憶装置（27)に保存しておき、こ の値を外部記憶装置（27)力 読み込むとしてもよい。この場合には、安全性の見地 から、当該所定の値を、検証装置（2)の外部に対して秘匿しておかなければならな い。

[0043] 次に、検証装置（2)の認証情報生成因子生成部（243)は、 RAM (25)から g、 N、 r を読み込み、式（2)に従った演算を行い、この演算結果 R〔認証情報生成因子〕を R AM (25)の所定の格納領域に格納する (ステップ S4)〔図 4参照〕。

[0044] [数 2]

R - g' modN ( 2) [0045] 次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、 RAM (25)か ら読み込んだステップ S4で得られた認証情報生成因子 Rを、証明装置（1)に対して 送信する (ステップ S5)〔図 4参照〕。

なお、ステップ Sl、 S3、 S4で得られた検証情報 C (s)、乱数！:、認証情報生成因子 Rは、検証装置（2)の制御部（290)の制御によって、外部記憶装置（27)に保存され る。

次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、ステップ S5に おいて送信された認証情報生成因子 Rを受信し、制御部（190)が、この認証情報生 成因子 Rを外部記憶装置（17)に保存する (ステップ S6)〔図 5参照〕。

[0046] 次に、証明装置（1)の制御部（190)は、外部記憶装置（17)から N、情報 s、認証情 報生成因子 Rを読み込み、それぞれを RAM (15)の所定の格納領域に格納する〔図 5参照〕。

次に、証明装置（1)の認証情報生成部（141)は、 RAM (15)力も N、情報 s、認証 情報生成因子 Rを読み込み、式（3)に従った演算を行い、この演算結果 R(s)〔認証 情報〕を RAM (15)の所定の格納領域に格納する (ステップ S7)〔図 5参照〕。

[数 3]

R(s) = R^s modN ( 3 )

[0047] 次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、 RAM (15) から読み込んだ (ステップ S7で得られた)認証情報 R (s)を検証装置（2)に対して送 信する (ステップ S8)〔図 5参照〕。

次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S8に ぉ 、て送信された認証情報 R (s)を受信し、制御部（290)力 この認証情報 R (s)を 外部記憶装置 (27)に保存する (ステップ S9)〔図 6参照〕。

次に、検証装置（2)の制御部（290)は、外部記憶装置（27)から N、乱数!:、認証情 報 R (s)、検証情報 C (s)を読み込み、それぞれを RAM (25)の所定の格納領域に格 納する〔図 6参照〕。

[0048] 次に、検証装置（2)の判定部（244)は、 RAM (25)から N、乱数!:、認証情報 R(s) 、検証情報 C (s)を読み込み、式 (4)に示す関係が成立するか否かの判定を行う (ス テツプ S10)〔図 6参照〕。この判定結果が関係成立の場合には、関係成立を示す予 め定めた情報 a (例えば値 α = 1)を RAM (25)の所定の格納領域に格納する (ステ ップ S l l)。また、この判定結果が関係不成立の場合には、関係不成立を示す予め 定めた情報 a (例えば値 α =0)を RAM (25)の所定の格納領域に格納する (ステツ プ S12)。

画

R(s) = C(s)^r modN ( 4 )

[0049] ここで、式 (4)に示す関係が成立する場合は、証明装置（1)が情報 sを保持してい ることを表し、式 (4)に示す関係が成立しない場合は、証明装置（1)が情報 sを保持 して 、るとは限らな 、ことを表す。

以上のとおり、検証装置 (2)は、情報 sを保持していなくても、証明装置（1)が情報 s を保持して!/ヽることの認証を行うことができる。

[0050] <第 2実施形態 >

次に、本発明の第 2実施形態について、図 8から図 14を参照しながら説明する。 第 1実施形態では、素数であることが判定可能な数を除く自然数であって、素因数 分解が困難な大きな数 Nが、予め証明装置（1)の外部記憶装置（17)および検証装 置（2)の外部記憶装置（27)に保存されて 、るとした。

第 2実施形態では、この明細書に記載する実施形態に示す認証システム '方法に おいて頑強な安全性が保証される Nを生成する。なお、 Nは一義的な方法で生成さ れるものではなぐ種々の方法で生成可能である。第 2実施形態では、第三者装置（ 3)によって Nを生成するものとする。この第三者装置（3)は必ずしも物理的に独立し て 、る必要はなぐ証明装置（1)や検証装置（2)の内部に存在するモジュールとして 実現してちょい。

なお、第 2実施形態では、第 1実施形態と同一の機能 '処理については同一の符号 を与えるなどして説明を省略する。

[0051] [証明装置] 第 2実施形態における証明装置（1)は、第 1実施形態で説明した証明装置と同様 であるから説明を略する。

[0052] [検証装置]

第 2実施形態における検証装置（2)の外部記憶装置（27)〔あるいは ROMなど〕に は、第 1実施形態と異なり、検証情報を生成するためのプログラムが不要である。 検証装置（2)では、外部記憶装置（27)〔あるいは ROMなど〕に記憶された各プロ グラムとこの各プログラムの処理に必要なデータ力 必要に応じて RAM (25)に読み 込まれる。 CPU (24)は、これらの各プログラムを実行して、各データを処理する。そ の結果、 CPU (24)が所定の機能 (認証情報生成因子生成部、乱数生成部、判定部 、制御部）を実現する。

[0053] [第三者装置]

第 2実施形態における第三者装置について説明する。

図 8は、第 2実施形態の第三者装置（3)のハードウェア構成を例示した構成ブロッ ク図である。

図 8に例示するように、第三者装置（3)は、キーボードやマウスなどの入力装置が 接続可能な入力部（31)、液晶ディスプレイなどの出力装置が接続可能な出力部（3 2)、第三者装置 (3)外部に通信可能な通信装置 (例えば通信ケーブル、 LANカー ド、ハブ、ルータ、モデムなど）が接続可能な通信部（33)、 CPU (Central Processing Unit) (34)〔キャッシュメモリなどを備えていてもよい。〕、メモリである RAM (35)、 R OM (36)、ハードディスクや光ディスクや半導体メモリなどである外部記憶装置（37) 並びにこれらの入力部（31)、出力部（32)、通信部（33)、 CPU (34)、 RAM (35)、 ROM (36)、外部記憶装置（37)間のデータのやり取りが可能なように接続するバス（ 38)を有している。また必要に応じて、第三者装置（3)に、 CD— ROMや DVDなど の記憶媒体を読み書きできる装置 (ドライブ)などを設けるとしてもよ!/、。

[0054] 第三者装置（3)の外部記憶装置（37)には、 Nを生成するためのプログラム、 gを生 成するためのプログラム、検証情報を生成するためのプログラムおよびこのプログラム の処理において必要となるデータ (情報 s)などが保存されている。その他、これらの プログラムに基づく処理を制御するための制御プログラムも外部記憶装置（37)等に 保存しておく。また、これらのプログラムの処理によって得られるデータなどは、 RAM や外部記憶装置などに保存される。

第三者装置（3)では、外部記憶装置（37)〔あるいは ROMなど〕に記憶された各プ ログラムとこの各プログラムの処理に必要なデータ力 必要に応じて RAM (35)に読 み込まれる。 CPU (34)は、これらの各プログラムを実行して、各データを処理する。 その結果、 CPU (34)が所定の機能 (N生成部、 g生成部、検証情報生成部、制御部 )を実現する。

[0055] [ネットワーク構成]

第 2実施形態の認証システムのネットワーク構成について説明する。

図 9は、第 2実施形態の認証システムのネットワーク構成を示す図である。 図 9に示すように、第 2実施形態では、 1つの証明装置（1)と、 1つの検証装置（2)と 、 1つの第三者装置（3)とが、ネットワーク（5)を介して相互に通信可能に接続されて いる。第三者装置（3)は 1つに限定されるものではない。しかし、複数の証明装置が ある場合に、各証明装置が保持する情報 (保持情報)と同一の情報 (対比情報)を第 三者装置に保存しておけば、各証明装置に対応する検証情報を生成可能であるか ら、一般的には、 1つの第三者装置で十分である。

[0056] [認証]

第三者装置 (3)の外部記憶装置 (37)には、情報 s〔対比情報〕が保存されて 、ると する。また、予め定められた自然数 Vが、検証装置 (2)の外部記憶装置 (27)に保存 されているとする。

まず、第三者装置（3)の制御部（390)は、外部記憶装置（37)から情報 sを読み込 み、これを RAM (35)の所定の格納領域に格納しておく〔図 10参照〕。

第三者装置 (3)の N生成部（340)は、素数であることが判定可能な数を除く自然 数であって、素因数分解が困難な数 Nを生成し、この Nを RAM (35)の所定の格納 領域に格納する（ステップ SOt)〔図 10参照〕。なお、前述の RSAモジュラスを Nとする 場合、 Nは例えば以下のように生成される。即ち、素数の組 p、qで、（p— 1) /2, (q 1) Z2もまた素数になるものを求め、 N = p 'qを演算する。このような p、 qは無限に 存在して、 Nは確率的アルゴリズムによって効率的に計算可能である。 [0057] 第三者装置を用いて Nを定めるのではなぐ例えば、証明装置あるいは検証装置 のプロセッサで実行されるプログラムモジュールによって Nを定めることでもよ!/、。この ような方法の一例として、マルチパーティープロトコルがある（参考文献 1参照)。この 方法によれば、 Nを定める計算に参加する装置のいずれもが Nの素因数分解をでき ることはなく、上記の要件を充たす任意の Nを生成することが可能である。

(参考文献 1)

J.Algesheimer, J.Camenish and V.Snoup, Efficient Computation Moaulo a Shared ¾ ecret with Application to the Generation of Shared Safe-Prime Products , CRYPTO 2002, LNCS 2442, pp.417- 432, 2002, Springer- Verlag.

また、素因数分解が困難な Nとして、前述の 2のべき乗に近い数、例えば 2^m— 1の 形で表せる N (メルセンヌ数）を生成するようにしてもょ ヽ。そのような Nは確率的アル ゴリズムによって効率的に生成することもできるし、素因数分解が困難な数の表は公 知であるから、そのような表から 2のべき乗に近 、Nを選択するようにしてもょ 、。

[0058] 次に、第三者装置（3)の g生成部（341)は、 RAM (35)力 Nを読み込み、 N未満 の正整数 gを生成し、この gを RAM (35)の所定の格納領域に格納する (ステップ Sit )〔図 10参照〕。

次に、第三者装置（3)の検証情報生成部（342)は、 RAM (35)から g、 N、情報 sを 読み込み、上記の式（1)に従った演算を行い、この演算結果 C (s)〔検証情報〕を RA M (35)の所定の格納領域に格納する (ステップ S2t)〔図 10参照〕。

次に、第三者装置（3)の制御部（390)の制御に従い、通信部（33)が、 RAM (35) 力も読み込んだ (ステップ S0t、 Slt、 S2tで得られた) N、 g、検証情報 C (s)を検証装 置（2)に対して送信する (ステップ S3t)〔図 10参照〕。

[0059] 次に、必要に応じて、第三者装置（3)の制御部（390)は、外部記憶装置（37)に保 存される情報 sを消除する (ステップ S4t)。

検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S3tにおい て送信された N、 g、検証情報 C (s)を受信し、これら g、検証情報 C (s)を外部記 憶装置（27)に保存する (ステップ S3v)。

ステップ S3vに続くステップ S3および S4は、第 1実施形態における処理と同じであ るから説明を略する。

[0060] 第 1実施形態におけるステップ S5の処理では、検証装置（2)は、認証情報生成因 子 Rを証明装置（1)に送信したが、第 2実施形態では、認証情報生成因子 Rに加え、 N、 gも証明装置（1)に送信する (ステップ S5 ' )〔図 11参照〕。

第 1実施形態におけるステップ S6の処理では、証明装置（1)は、認証情報生成因 子 Rを検証装置（2)から受信したが、第 2実施形態では、認証情報生成因子 Rに加 え、 N、 gも検証装置 (2)から受信する (ステップ S6' )〔図 12参照〕。

ステップ S6'に続くステップ S7〜S12は、第 1実施形態における処理と同じである から説明を略する。

[0061] <第 3実施形態 >

次に、本発明の第 3実施形態について、図 15〜図 20を参照しながら説明する。 第 3実施形態では、第 1実施形態ないし第 2実施形態における計算効率の向上を 図るための技術を説明する。この計算効率向上のための技術は、第 1実施形態及び 第 2実施形態の何れにも適用可能である。しかし、第 3実施形態では、説明の便宜か ら、一例として、第 2実施形態にこの計算効率向上のための技術を適用する場合を 説明する。

計算効率の向上のために、情報 sを複数の情報に分割する。第 3実施形態ではそ の一例を示すことにする。ビット列で表される情報 sを、 k個の分割情報 s、 s、 · · ·、 s

0 1 k- に分割し、情報 Sは、 k個の分割情報 S、 S、 · · ·、 S のビット列の結合として表される

1 0 1 k- 1

とする。即ち、 s = s II s II… II s とする。第 3実施形態では、分割数 kの値と i = 0,

0 1 k- 1

1, 2, · · ·, k— 1について sのビット長は、予め、証明装置（1)、検証装置（2)、第三者 装置（3)の外部記憶装置それぞれに保存されているものとする。勿論、例えば第三 者装置 (3)にお ヽて任意にこれらを決定し、検証装置 (2)、証明装置（1)へ送信する ようにしてもよぐ適宜に設計変更可能である。

また、効率のために、分割数 kを予め定めた固定値としたり、 sのビット長が sのビット 長を均等割したものとする旨のプロトコルを定めておいたりしてもよい。

第 3実施形態では、第 2実施形態と同一の機能 '処理については同一の符号を与 えるなどして説明を省略する。また、以下では、単に情報 sと云えば、 k個の分割情報 s、 s、 · ··、 s の総称を意味するものとする。

0 1 k-1

[0062] [証明装置]

第 3実施形態における証明装置（1)は、第 1実施形態で説明した証明装置と同様 であるから説明を略する。

[検証装置]

第 3実施形態における検証装置 (2)は、第 2実施形態で説明した検証装置と同様 であるから説明を略する。

[第三者装置]

第 3実施形態における第三者装置 (3)は、第 2実施形態で説明した第三者装置と 同様であるから説明を略する。

C準備]

Vを予め定められた自然数とする。 Vは、検証装置（2)の外部記憶装置（27)に保 存されているとする。また、 H (i, u, R)を予め定められた関数とする。例として、 H (i, u, R) = とおくこともできるし、 H (i, u, R) =umod E (Eは、 2^Vよりも大きな素数が 好ましい）とおくこともできるし、その他に SHA—1などのハッシュ関数を用いることが できる。また、 u, Rの少なくとも一方を変数とした i毎に相違する関数を H (i, u, R)と してもよい（例えば、 i= lのときには H (i, u, R) =uとし、 i= 2のときには H (i, u, R) =u^i+Rとするなど)。その他、 u, Rの少なくとも一方と iとに依存して関数値が定まる関 数であれば、どのような関数を H (i, u, R)としてもよい。

[0063] ただし、安全性の観点力もは、関数 H (i, u, R)は、以下のような条件を満たす関数 H (i, X) (Xは、 u, Rの少なくとも一方）であることが望ましい。このような関数 H (i, X) を用いる場合、 k個の分割情報 s、 s、 · ··、 s 全てに対応する H (i, u, R)を正しく求

0 1 k-1

められる者しか当プロトコルの検証に合格できないことが証明できる力 である。

(1) j = 0とする。

(2)ランダムに Xを選んで、 i=0, 1, k— 1について、 a =H (i, X)とする。

i+l, j + 1

(3) j =j + 1として、 j >k- 1でなければ (2)に戻る。

(4) j >k— 1となったとき、行列（a ) (i=0, 1, ···, k l、j = 0, 1, ···, k 1)が

i + l, j + 1

、高!、確率で非退化（nondegenerate)である。 ノ、ッシュ関数や上述の H (i, u, R) =u mod Eは、この条件を満たす関数である（ ί列えば、「H. Anton and C. Rorres. Elementary Linear Algebra with Applications. 9t h ed.， John Wiley & Sons, 2005」など参照）。よって、安全性の観点からは、ハッシュ 関数や上述の H (i, u, R) =umod Eを用いることが望ましい。

また、前述のように、 H (i, u, R)を一方向性関数とした場合には、関数値の衝突 (c ollision)を防止できるため、検証の信頼性と安全性が向上する。

[0064] [認証]

第三者装置 (3)の外部記憶装置 (37)には、情報 s〔対比情報〕が保存されて 、ると する。

ステップ SOtおよび Sitは、第 2実施形態における処理と同じであるから説明を略す る。

[0065] ステップ Sitに続いて、第三者装置（3)の検証情報生成部（342)は、 RAM (35) 力も g、 N、 k個の分割情報 s、 s、 · ··、 s 〔対比情報を複数に分割した第 1分割情報

0 1 k- 1

〕を読み込み〔予め外部記憶装置（37)から読み込まれているとする。〕、分割情報 s 毎に、式（5)に従った演算を行 、、これらの演算結果 C (s) = {C (s) } 〔 i i i=0， 1， 2, ...， k- 1 検証情報〕を RAM (35)の所定の格納領域に格納する (ステップ S2a)〔図 15参照〕。 ただし、ビット列 sを自然数の 2進数表記と同一視した。

[数 5]

[0066] 次に、第三者装置（3)の制御部（390)の制御に従い、通信部（33)が、 RAM (35) 力も読み込んだ (ステップ S0t、 Slt、 S2aで得られた) N、 g、検証情報 C (s) = {C (s ) } を検証装置 (2)に対して送信する (ステップ S3a)〔図 15参照〕。

i = 0, 1， 2,…， k- 1

ステップ S4tは、第 2実施形態における処理と同じであるから説明を略する。

検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S3aにおい て送信された N、 g、検証情報 C (s) = {C (s) } を受信し、これら N、 g、検 i i i=0, 1, 2, k- 1

証情報 Ci (s)を外部記憶装置（27)に保存する (ステップ S3va)〔図 16参照〕。

[0067] ステップ S3vaに続くステップ S3および S4は、第 1実施形態における処理と同じで ある力 説明を略する。

ステップ S4に続き、検証装置（2)の乱数生成部（242)は、 RAM (25)から vを読 み込み（予め外部記憶装置（27)力 読み込まれているとする。）、高々 Vビット程度 の大きさの乱数 uを生成し、乱数 uを RAM (25)の所定の格納領域に格納する (ステ ップ S4a)〔図 16参照〕。なお、所定の値を乱数 uに相当する値として外部記憶装置（ 27)に保存しておき、この値を外部記憶装置（27)力も読み込むとしてもよい。この場 合には、安全性の見地から、乱数 uに相当する所定の値を検証装置（2)の外部に対 して秘匿しておかなければならな 、。

[0068] 第 2実施形態におけるステップ S5'の処理では、認証情報生成因子 R、 N、 gを証 明装置（1)に送信したが、第 3実施形態では、認証情報生成因子 R、 N、 gに加え、 乱数 uも証明装置（1)に送信する (ステップ S5a)〔図 16参照〕。

第 2実施形態におけるステップ S6'の処理では、証明装置（1)は、認証情報生成因 子 R、 N、 gを検証装置（2)から受信したが、第 3実施形態では、認証情報生成因子 R 、 N、 gに加え、乱数 uも検証装置（2)から受信する (ステップ S6a)〔図 17参照〕。

[0069] 第 1実施形態 (第 2実施形態）におけるステップ S7の処理では、式（3)に従って認 証情報 R (s)を生成したが、第 3実施形態では、次の処理を行う。即ち、証明装置（1) の認証情報生成部（141)は、 RAM (15)力も N、 k個の分割情報 s、 s、 · ··、 s 〔保

0 1 k- 1 持情報を複数に分割した第 2分割情報〕、認証情報生成因子 R、乱数 uを読み込み（ 予め外部記憶装置（17)力 読み込まれているとする。）、式 (6)に従った演算を行い 、この演算結果 R(s)〔認証情報〕を RAM (15)の所定の格納領域に格納する (ステツ プ S7a)〔図 17参照〕。

[数 6]

R(s) = R^∑i=°^{, SiH(i}'^u,R) modN ( 6 )

[0070] なお、式 (6)によって算出される R (s)は、「第 2分割情報 sに対応する i及び検証装 置（2)から送信される何らかの情報に値が依存する情報 Hと、第 2分割情報 _Siと、の 積を全ての iについて合計した値を冪数とし、認証情報生成因子 Rを底とし、 Nを法と した冪乗剰余演算結果」の一例である。ここで、式 (6)では、「検証装置（2)から送信 される何らかの情報」として u, Rの少なくとも一方を用い、「情報 H」として、 u, Rの少 なくとも一方と iとに依存して定まる関数値 H (i, u, R)を用いている。しかし、「検証装 置（2)から送信される何らかの情報」として、検証装置（2)から送信された u, R以外 の情報を含んでもよい。また、「検証装置（2)から送信される何らかの情報」及び iと、「 情報 H」とを対応付けたテーブルを、証明装置（1)と検証装置 (2)とで共有しておき、 認証情報生成部（141)が、このテーブルを用いて「情報 H」を決定してもよ!/、。

[0071] ここで、式 (6)の冪数のビット長は、保持情報 s全体のビット長に比べて格段に短ぐ 式 (6)の演算コストは、第 1実施形態の式（3)の演算コストに比べ、 lZk程度である。 さらに、 kなどのパラメータを適切に選べば、システム全体の演算コストは、 SHA- 1 等のノ、ッシュ関数を用いた公知のメッセージ認証子による認証方法の演算コストより も少なくなる。

ステップ S7aに続くステップ S8、 S9は、第 1実施形態 (第 2実施形態）における処理 と同じであるから説明を略する。

[0072] 第 1実施形態 (第 2実施形態）におけるステップ S10の処理では、式 (4)に従って判 定を行ったが、第 3実施形態では、次の判定処理を行う。即ち、検証装置（2)の判定 部（244)は、 RAM (25)カゝら N、乱数！:、乱数 u、認証情報生成子 R、認証情報 R(s) 、検証情報 C (s)を読み込み（予め外部記憶装置（27)力も読み込まれて 、るとする。 )、式 (7)に示す関係が成立するか否かの判定を行う (ステップ SlOa)〔図 18参照〕。

[数 7]

R(s) = modN ( 7 )

ステップ SlOaに続くステップ Sl lおよび S12の処理は、第 1実施形態 (第 2実施形 態）における処理と同じであるから説明を略する。

[0073] <第 4実施形態 >

次に、本発明の第 4実施形態について、図 21から図 29を参照しながら説明する。 第 4実施形態は、第 1実施形態、第 2実施形態、第 3実施形態における安全性の向 上を図るための技術を説明する。この安全性向上のための技術は、第 1実施形態、 第 2実施形態及び第 3実施形態の何れにも適用可能である。しかし、第 4実施形態で は、説明の便宜から、一例として、第 3実施形態にこの安全性向上のための技術を適 用する場合を説明する。

[0074] 第 1実施形態、第 2実施形態、第 3実施形態では、認証情報生成因子 Rを送信した 検証装置を、信頼のおける検証装置と看做していた。しかし、前述のように、検証装 置が不正な方法で認証情報生成因子 Rを生成する場合や、検証装置に成り済ました 攻撃者の装置が本発明のシステムに介在する場合があることを否定できな 、。このよ うな場合に対処するために、証明装置は、その直接の通信相手である検証装置が確 力に所定の処理に基づいて認証情報生成因子 Rを生成したものであることを、対話 証明によって認証する。第 4実施形態では、その一例として乱数 rに関するゼロ知識 対話証明を利用した検証装置の認証について説明する。なお、知識のゼロ知識証 明の構成方法はさまざまなものが公知であり、第 4実施形態に示す構成はその一例 である。例えば、第 4実施形態で説明するゼロ知識証明の構成に代え、楕円曲線上 のスカラー倍演算を用いたものによって構成することも可能である。

[0075] なお、安全性の観点からは、ゼロ知識性の数学的証明がなされている対話証明を 用いることが望ましい。これにより、乱数 rの内容を傍受したいと考える攻撃者に対し、 乱数 rが知られな 、と 、う安全性が保証できるからである。ここで「証明装置が rを保持 していることを検証装置に証明する対話証明のゼロ知識性の数学的証明がなされて いる」とは、ある証明装置が、対話証明の規格通りに検証装置に受け答えし、これに 対して検証装置が合格であると判定した場合に、その被検証装置を改造して rを出力 する装置を構成できることが証明されていることである（例えば、「0. Goldreich Found ations of し ryptography, volume I. Cambridge University Press, 2001」等参照)。この ような証明がなされた対話証明の場合、 rを知っているもののみが規格通りに受け答 えできるといえる。このような対話証明の性質を知識健全性という。

[0076] このように、安全性の観点からは知識の証明はゼロ知職証明であることが望ましい 力 効率のために、現時点ではゼロ知識性の数学的証明が完全になされていない手 段、たとえば後述する を、ノ、ッシュ関数を用いたビットコミットメントで代替することも できる。 第 4実施形態では、第 3実施形態と同一の機能'処理については同一の符号を与 えるなどして説明を省略する。

[証明装置]

第 4実施形態における証明装置（1)の外部記憶装置（17)〔あるいは ROMなど〕に は、認証情報を生成するためのプログラム、後述する c"を生成するためのプログラム 、認証情報生成因子が検証装置において正当に生成されたことを対話証明によって 認証するためのプログラムおよびこれらのプログラムの処理において必要となるデー タ（情報 sなど)などが保存されている。その他、これらのプログラムに基づく処理を制 御するための制御プログラムも外部記憶装置（17)等に保存しておく。

第 4実施形態における証明装置（1)では、外部記憶装置（17)〔あるいは ROMなど 〕に記憶された各プログラムとこの各プログラムの処理に必要なデータ力 必要に応じ て RAM (15)に読み込まれる。 CPU (14)は、これらの各プログラムを実行して、各デ ータを処理する。その結果、 CPU (14)が所定の機能 ( 生成部、認証判定部、認証 情報生成部、制御部)を実現する。

[検証装置]

第 4実施形態における検証装置（2)の外部記憶装置（27)〔あるいは ROMなど〕に は、認証情報生成因子を生成するためのプログラム、乱数を生成するためのプロダラ ム、後述する W、 zを生成するためのプログラム、認証情報生成因子が検証装置にお V、て正当に生成されたことを対話証明によって証明するためのプログラム、証明装置 力 受信した情報と検証装置に保持される情報との一致を判定するためのプログラム 、およびこれらのプログラムの処理にお!、て必要となるデータなどが保存されて 、る。 その他、これらのプログラムに基づく処理を制御するための制御プログラムも外部記 憶装置 (27)等に保存しておく。

検証装置（2)では、外部記憶装置（27)〔あるいは ROMなど〕に記憶された各プロ グラムとこの各プログラムの処理に必要なデータ力 必要に応じて RAM (25)に読み 込まれる。 CPU (24)は、これらの各プログラムを実行して、各データを処理する。そ の結果、 CPU (24)が所定の機能 (認証情報生成因子生成部、乱数生成部、 W生成 部、 z生成部、対話判定部、判定部、制御部)を実現する。 [0078] [第三者装置]

第 4実施形態における第三者装置 (3)は、第 2実施形態で説明した第三者装置と 同様であるから説明を略する。

C準備]

tを予め定められた自然数 (但し、 Nよりも小さいとする。）とする。 tは、証明装置（1) の外部記憶装置（17)および検証装置（2)の外部記憶装置（27)に保存されて 、ると する。また、第 3実施形態と同様な関数 H (i, u, R)を予め定めておく。例として、 H (i , u, R) = とおくこともできるし、その他に SHA—1などのハッシュ関数を用いること ができる。

[0079] [認証]

第 4実施形態における対話証明の処理は、第 3実施形態で説明したステップ S6aの 処理とステップ S 7aの処理との間に行われる。

そこで、ステップ SOt〜ステップ S6a、ステップ S 7a〜ステップ SI 2の説明を略し、こ の対話証明の処理について説明を加えることにする。

まず、ステップ S6aの処理の後、証明装置（1)の制御部（190)は、外部記憶装置（ 17)から₈、 t、 Nを読み込み、これを RAM (15)の所定の格納領域に格納しておく。

[0080] 証明装置（1)の乱数生成部（143)は、 RAM (15)から tを読み込み、 0以上 t未満 の乱数 cおよび 0以上 N未満の Nと互いに素な乱数で ξを生成し、この乱数 cおよび 乱数 ξを RAM (15)の所定の格納領域に格納する (ステップ S611)〔図 21参照〕。 なお、 0以上 2 1以下の乱数 cを生成する構成であってもよい。

次に、証明装置（1)の 生成部（142)は、 RAM (15)力も N、 g、 t、乱数 乱数 ξ を読み込み、式（8)に従った演算を行い、この演算結果 c"を RAM (15)の所定の格 納領域に格納する (ステップ S612)〔図 21参照〕。

[数 8]

[0081] 次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)力 RAM (15)か ら読み込んだ (ステップ S612で得られた) c "を検証装置（2)に対して送信する (ステ ップ S613)〔図 21参照〕。

なお、ステップ S611で得られた乱数 c、乱数 ξは、証明装置（1)の制御部（190) の制御によって、外部記憶装置（17)に保存される。

次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S61 3において送信された を受信し、この を外部記憶装置（27)に記憶する (ステップ S614)〔図 22参照〕。

[0082] 次に、検証装置（2)の制御部（290)は、外部記憶装置（27)から N、 gを読み込み、 それぞれを RAM (25)の所定の格納領域に格納する〔図 22参照〕。

次に、検証装置（2)の乱数生成部（242)は、 RAM (25)力も Nを読み込み、 0以上 N未満の乱数 wを生成し、この乱数 wを RAM (25)の所定の格納領域に格納する (ス テツプ S615)〔図 22参照〕。なお、 0以上 N' 2^3t— 1以下の乱数 wが生成される構成 であってもよい。後述のように、検証装置（2)は、証明装置（1)に z = c 'r+wを送信 する (ステップ S623)。 0以上 N' 2^3t— 1以下の乱数 wが選択される場合、どのような 方法で c, rが与えられても、 z = c 'r+wの分布と、このような範囲で生成される乱数 w 'の分布とが識別不能となることが証明できる。つまり、このような範囲で wが選択され る場合、攻撃者力 = c'r+wから rを推測することが十分困難であることがいえ、プロ トコルの安全性が確保できる。

[0083] 次に、検証装置（2)の W生成部（247)は、 RAM (25)力 N、 g、乱数 wを読み込 み、式（9)に従った演算を行い、この演算結果 Wを RAM (25)の所定の格納領域に 格納する (ステップ S616)〔図 22参照〕。

[数 9]

W = g^w modN ( 9 )

[0084] 次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、 RAM (25)か ら読み込んだステップ S616で得られた Wを証明装置（1)に対して送信する (ステツ プ S617)〔図 22参照〕。

なお、ステップ S615で得られた乱数 wは、検証装置（2)の制御部（290)の制御に よって、外部記憶装置（27)に保存される。 次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、ステップ S61 7において送信された Wを受信し、この Wを外部記憶装置（17)に保存する (ステップ S618)〔図 23参照〕。

[0085] 次に、証明装置（1)の制御部（190)は、外部記憶装置（17)力も乱数 cおよび乱数

ξを読み込み、それぞれを RAM (15)の所定の格納領域に格納する。そして、証明 装置（ 1)の制御部（ 190)の制御に従 、、通信部（ 13)が、 RAM ( 15)から読み込ん だ乱数 cおよび乱数 ξを検証装置（2)に対して送信する (ステップ S619)〔図 23参照

L

次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S61 9において送信された乱数 cおよび乱数 ξを受信し、この乱数 cおよび乱数 ξを外部 記憶装置（27)に保存する (ステップ S620)〔図 24参照〕。

[0086] 次に、検証装置（2)の制御部（290)は、外部記憶装置（27)力も乱数 c、乱数 、 g 、 t、 N、乱数!:、乱数 w、 c"を読み込み、それぞれを RAM (25)の所定の格納領域に 格納する〔図 24参照〕。

次に、検証装置（2)の対話判定部（250)は、 RAM (25)から g、 c、 t、 N、乱数 ξ、 を読み込み、式 (8)に示す関係が成立するか否かの判定を行う（ステップ S621)〔 図 24参照〕。この判定結果が関係不成立の場合には、検証装置（2)の制御部（290 )の制御の下、以下の処理を実行せずに終了する (ステップ S622)。この判定結果が 関係成立の場合には、検証装置（2)の制御部（290)の制御の下、続くステップ S62 3が実行される。

[0087] 検証装置（2)の z生成部（248)は、 RAM (25)力 乱数 c、乱数！:、乱数 wを読み込 み、式（10)に従った演算を行い、この演算結果 zを RAM (25)の所定の格納領域に 格納する (ステップ S623)〔図 24参照〕。

[数 10] z = cr + w ( 1 0)

[0088] 次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、 RAM (25)か ら読み込んだステップ S623で得られた zを証明装置（1)に対して送信する (ステップ S624)〔図 24参照〕。

次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、ステップ S62 4において送信された zを受信し、この zを外部記憶装置（17)に保存する (ステップ S 625)〔図 25参照〕。

次に、証明装置（1)の制御部（190)は、外部記憶装置（17)から、 g、 N、認証情報 生成因子 R、 z、乱数 乱数 u、情報 s、 Wを読み込み、それぞれを RAM (15)の所 定の格納領域に格納する〔図 25参照〕。

[0089] 次に、証明装置（1)の認証判定部（145)は、 RAM (15)力 g、 z、 N、乱数 W、 認証情報生成因子 Rを読み込み、式（11)に示す関係が成立するか否かの判定を行 う（ステップ S626)〔図 25参照〕。この判定結果が関係不成立の場合には、証明装置 (1)の制御部（190)の制御の下、以下の処理を実行せずに終了する（ステップ S62 7)。この判定結果が関係成立の場合には、証明装置（1)の制御部（190)の制御の 下、続くステップ S7aが実行される。ステップ S7a以降の処理は第 2実施形態におけ るのと同じ処理である。

[数 11] g^z = R^cW modN ( 1 1 ) なお、ステップ S611力も S612, S618, S619, S625, S626の各処理を実行する 部分が「対話証明部」に相当する。また、ステップ S614から S617, S620力 S624 までの各処理を実行する部分が「対話検証部」に相当する。

[0090] <第 5実施形態 >

次に、本発明の第 5実施形態について、図 30〜図 37を参照しながら説明する。 第 5実施形態は、第 1実施形態ないし第 2実施形態の安全性向上のために、本発 明独自の対話証明手法を適用したものである。ここでは説明の便宜から、第 2実施形 態に本発明独自の対話証明手法を適用した形態を説明する。

第 5実施形態では、第 2実施形態および第 4実施形態と同一の機能'処理について は同一の符号を与えるなどして説明を省略する。

[0091] [証明装置] 第 5実施形態における証明装置（1)の外部記憶装置（17)〔あるいは ROMなど〕に は、認証情報を生成するためのプログラム、後述する Aを生成するためのプログラム、 乱数を生成するためのプログラム、検証装置が第 1任意情報を正しく用いて認証情 報生成因子を生成したかを判定するためのプログラムおよびこれらのプログラムの処 理において必要となるデータ (情報 sなど）などが保存されている。その他、これらのプ ログラムに基づく処理を制御するための制御プログラムも外部記憶装置（17)等に保 存しておく。

証明装置（1)では、外部記憶装置（17)〔あるいは ROMなど〕に記憶された各プロ グラムとこの各プログラムの処理に必要なデータ力 必要に応じて RAM (15)に読み 込まれる。 CPU (14)は、これらの各プログラムを実行して、各データを処理する。そ の結果、 CPU (14)が所定の機能 (A生成部、乱数生成部、第 1判定部、認証情報 生成部、制御部)を実現する。

[0092] [検証装置]

第 5実施形態における検証装置（2)の外部記憶装置（27)〔あるいは ROMなど〕に は、認証情報生成因子を生成するためのプログラム、乱数を生成するためのプロダラ ム、後述する Bを生成するためのプログラム、証明装置が正しく前記の Aを生成した かを判定するためのプログラム、証明装置力 受信した情報と検証装置に保持される 情報との一致を判定するためのプログラムおよびこれらのプログラムの処理において 必要となるデータなどが保存されている。その他、これらのプログラムに基づく処理を 制御するための制御プログラムも外部記憶装置（27)等に保存しておく。

[0093] 検証装置（2)では、外部記憶装置（27)〔あるいは ROMなど〕に記憶された各プロ グラムとこの各プログラムの処理に必要なデータ力 必要に応じて RAM (25)に読み 込まれる。 CPU (24)は、これらの各プログラムを実行して、各データを処理する。そ の結果、 CPU (24)が所定の機能 (認証情報生成因子生成部、 B生成部、乱数生成 部、第 2判定部、判定部、制御部)を実現する。

[0094] [第三者装置]

第 5実施形態における第三者装置 (3)は、第 2実施形態で説明した第三者装置と 同様であるから説明を略する。 固]

vを予め定められた自然数とする。 Vは、証明装置（1)の外部記憶装置（17)およ び検証装置（2)の外部記憶装置（27)に保存されて ヽるとする。

[認証]

ステップ SOtからステップ S3vまでの処理は、第 2実施形態における処理と同じであ るから説明を略する。

ステップ S3vに続 、て、次のような処理が順次行われる。

[0095] まず、検証装置（2)の制御部（290)は、外部記憶装置（27)力 Nおよび gを読み 込み、それぞれを RAM (25)の所定の格納領域に格納する。そして、検証装置（2) の制御部（290)の制御に従い、通信部（23)が、 RAM (25)から読み込んだ Nおよ び gを証明装置（1)に対して送信する (ステップ S700)〔図 30参照〕。

次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、ステップ S70 0において送信された Nおよび gを受信し、この Nおよび gを外部記憶装置（17)に保 存する (ステップ S701)〔図 31参照〕。

[0096] 次に、証明装置（1)の制御部（190)は、外部記憶装置（17)から N、 g、 vを読み込 み、それぞれを RAM ( 15)の所定の格納領域に格納する〔図 31参照〕。

次に、証明装置（1)の乱数生成部（143)は、 RAM (15)から vを読み込み、高々 2 程度の大きさの乱数 aを生成し、この乱数 aを RAM (15)の所定の格納領域に格 納する (ステップ S702)〔図 31参照〕。なお、乱数生成部（143)が、 0≤a≤N' 2^v— 1の範囲から乱数 aを生成してもよい。前述のように、このような範囲から乱数 aが選択 される構成が、安全性と演算コストの両立という観点から望ましいからである。また、必 ずしも aは乱数である必要はなぐ値が任意に選択されるものであればよ!、。

[0097] 次に、証明装置（1)の A生成部（148)は、 RAM (15)力も N、 g、乱数 aを読み込み 、式（12)に従った演算を行い、この演算結果 Aを RAM (15)の所定の格納領域に 格納する (ステップ S703)〔図 31参照〕。

[数 12]

A = g^a modN ( 1 2 ) [0098] 次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、 RAM (15)か ら読み込んだステップ S703で得られた Aを検証装置（2)に対して送信する (ステップ

5704)〔図 31参照〕。

なお、ステップ S703、 S704で得られた乱数 a、 Aは、証明装置（1)の制御部（190 )の制御によって、外部記憶装置（17)に保存される。

次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S70 4において送信された Aを受信し、この Aを外部記憶装置（27)に保存する (ステップ

5705)〔図 32参照〕。

[0099] 次に、検証装置（2)の制御部（290)は、外部記憶装置（27)から N、 g、 v、 Aを読 み込み、それぞれを RAM (25)の所定の格納領域に格納する〔図 32参照〕。

次に、検証装置（2)の乱数生成部（242)は、 RAM (25)から vを読み込み、高々 2 程度の大きさの乱数 rを生成し、この乱数 rを RAM (25)の所定の格納領域に格 納する (ステップ S706)〔図 32参照〕。なお、乱数生成部（242)力 0≤r≤N'2^v— 1 の範囲力 乱数 rを生成してもよい。前述のように、このような範囲力 乱数 rが選択さ れる構成が、安全性と演算コストの両立という観点から望ましいからである。また、必 ずしも rは乱数である必要はなぐ値が任意に選択されるものであればよ!、。

[0100] 次に、検証装置（2)の認証情報生成因子生成部（243)は、 RAM (25)から N、 g、 乱数 rを読み込み、上記の式（2)に従った演算を行い、この演算結果 R〔認証情報生 成因子〕を RAM (25)の所定の格納領域に格納する（ステップ S707)〔図 32参照〕。 次に、検証装置（2)の B生成部（249)は、 RAM (25)から N、乱数!:、 Aを読み込み 、式（13)に従った演算を行い、この演算結果 Bを RAM (25)の所定の格納領域に 格納する (ステップ S708)〔図 32参照〕。

[数 13]

B = A^r modN ( 1 3 )

[0101] 次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、 RAM (25)か ら読み込んだステップ S707、 S708で得られた、認証情報生成因子 R、 Bを証明装 置（1)に対して送信する (ステップ S709)〔図 32参照〕。 なお、ステップ S706、 S707、 S708で得られた乱数！:、認証情報生成因子 R、 Bは 、検証装置（2)の制御部（290)の制御によって、外部記憶装置（27)に保存される。 次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、ステップ S70 9において送信された認証情報生成因子 R、 Bを受信し、この認証情報生成因子 R、 Bを外部記憶装置（17)に保存する (ステップ S710)〔図 33参照〕。

[0102] 次に、証明装置（1)の制御部（190)は、外部記憶装置（17)から B、認証情報生成 因子 乱数 a、情報 s、 Nを読み込み、それぞれを RAM (15)の所定の格納領域に 格納する。

次に、証明装置（1)の第 1判定部（160)は、 RAM (15)から B、認証情報生成因子 R、乱数 a、 Nを読み込み、式（14)に示す関係が成立するか否かの判定を行う（ステ ップ S711)〔図 33参照〕。この判定結果が関係不成立の場合には、証明装置（1)の 制御部（190)の制御の下、以下の処理を実行せずに終了する (ステップ S712)。こ の判定結果が関係成立の場合には、証明装置（1)の制御部（190)の制御の下、続 くステップ S713が実行される。

[数 14]

B = R^a modN ( 1 4)

[0103] 次に、証明装置（1)の認証情報生成部（141)は、 RAM (15)力も N、情報 s、認証 情報生成因子 Rを読み込み、上記の式（3)に従った演算を行い、この演算結果 R(s) 〔認証情報〕を RAM (15)の所定の格納領域に格納する (ステップ S713)〔図 33参照

L

次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)力 RAM (15)か ら読み込んだステップ S713で得られた認証情報 R(s)およびステップ S702で得られ た乱数 aを検証装置 (2)に対して送信する (ステップ S714)〔図 33参照〕。

[0104] 次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、ステップ S71 4にお ヽて送信された認証情報 R (s)および乱数 aを受信し、この認証情報 R (s)およ び乱数 aを外部記憶装置（27)に保存する (ステップ S715)〔図 34参照〕。

次に、検証装置（2)の制御部（290)は、外部記憶装置（27)から N、乱数!:、認証情 報 R (s)、検証情報 C (s)、 A、乱数 a、 gを読み込み、それぞれを RAM (25)の所定の 格納領域に格納する〔図 34参照〕。

[0105] 次に、検証装置（2)の第 2判定部（260)は、 RAM (25)からん g、乱数 a、 Nを読 み込み、式（15)に示す関係が成立するか否かの判定を行う（ステップ S716)〔図 34 参照〕。この判定結果が関係不成立の場合には、検証装置（2)の制御部（290)の制 御の下、以下の処理を実行せずに終了する (ステップ S717)。この判定結果が関係 成立の場合には、検証装置（2)の制御部（290)の制御の下、続くステップ S 10以降 の処理が実行される。ステップ S 10以降の処理は既に説明したので略する。なお、判 定結果が関係不成立の場合に、検証装置（2)力 ステップ S716とステップ S10の何 れの処理で関係不成立となったのかを、証明装置に送信しない構成が望ましい。こ の情報が送信されるプロトコルでは安全性が保てないからである。

[数 15]

A = g^a modN ( 1 5 ) なお、本形態のステップ S702から S704, S710, S711の各処理を実行する部分 力 S「対話証明部」に相当する。また、本形態のステップ S705から S709, S715, S71 6の各処理を実行する部分が「対話検証部」に相当する。

[0106] <第 6実施形態 >

次に、本発明の第 6実施形態について、図 38から図 44を参照しながら説明する。 第 6実施形態は、第 5実施形態における計算効率の向上を図る形態である。計算 効率の向上を図るための手法は、第 3実施形態と同様である。ここでは説明の便宜か ら、第 2実施形態に第 5実施形態で説明した本発明独自の対話証明手法を適用し、 さらに、第 3実施形態で説明した計算効率の向上を図るための手法を適用する構成 を説明する。

第 6実施形態では、第 3実施形態および第 5実施形態と同一の機能'処理について は同一の符号を与えるなどして説明を省略する。また、以下では、単に情報 sと云え ば、 k個の分割情報 s、 s、 · ··、 s の総称を意味するものとする。

0 1 k- 1

[0107] [証明装置] 第 6実施形態における証明装置（1)は、第 5実施形態で説明した証明装置と同様 であるから説明を略する。

[検証装置]

第 6実施形態における検証装置 (2)は、第 5実施形態で説明した検証装置と同様 であるから説明を略する。

[第三者装置]

第 6実施形態における第三者装置 (3)は、第 2実施形態で説明した第三者装置と 同様であるから説明を略する。

[0108] [準備]

Vを予め定められた自然数とする。 Vは、証明装置（1)の外部記憶装置（17)およ び検証装置（2)の外部記憶装置（27)に保存されて ヽるとする。

[認証]

ステップ SOtからステップ S3vaまでの処理は、第 3実施形態における処理と同じで ある力 説明を略する。

ステップ S3vaに続 、て、次のような処理が順次行われる。

[0109] まず、検証装置（2)の制御部（290)は、外部記憶装置（27)から v、 N、 gを読み込 み、それぞれを RAM (25)の所定の格納領域に格納する〔図 38参照〕。

次に、検証装置（2)の乱数生成部（242)は、 RAM (25)から vを読み込み、高々 Vビット程度の大きさの乱数 uを生成し、この乱数 uを RAM (25)の所定の格納領域 に格納する（ステップ S800)〔図 38参照〕。

次に、検証装置（2)の制御部（290)の制御に従い、通信部（23)が、 RAM (25)か ら読み込んだ乱数 u、 N、 gを証明装置（1)に対して送信する (ステップ S801)〔図 38 参照〕。

[0110] なお、ステップ S800で得られた乱数 uは、検証装置（2)の制御部（290)の制御に よって、外部記憶装置（27)に保存される。

次に、証明装置（1)の制御部（190)の制御に従い、通信部（13)が、ステップ S80 1において送信された乱数 u、 N、 gを受信し、この乱数 u、 N、 gを外部記憶装置（17) に保存する (ステップ S802)〔図 39参照〕。 ステップ S802に続いてステップ S702から S712が処理される力 第 5実施形態に おいて説明したとおりであるから、説明を略する。

[0111] ステップ S711に続いて（つまり、ステップ S712の終了処理をしない場合である。）、 次のステップ S803が処理される。即ち、証明装置（1)の認証情報生成部（141)は、 RAM (15)力も N、情報 s、認証情報生成因子 R、乱数 u、 A、 Bを読み込み（予め外 部記憶装置（17)から読み込まれているとする。）、式（16)に従った演算を行い、この 演算結果 R (s)〔認証情報〕を RAM (15)の所定の格納領域に格納する (ステップ S8 03)〔図 40参照〕。

[数 16]

(_s) _{= R}∑d siH(i,u,R,A,B) _{mod N} ( _{1 6} )

R

[0112] ステップ S803に続き、ステップ S8、 S9、 S716が順次処理される力 第 5実施形態 において説明したとおりであるから、説明を略する。

ステップ S716に続いて（つまり、ステップ S717の終了処理をしない場合である。）、 次のステップ S804が処理される。即ち、検証装置（2)の判定部（244)は、 RAM (25 )から N、乱数！:、乱数 u、認証情報生成因子 R、認証情報 R (s)、検証情報 C (s)、 A、 Bを読み込み（予め外部記憶装置（27)力も読み込まれているとする。）、式（17)に示 す関係が成立するか否かの判定を行う（ステップ S804)〔図 41参照〕。

[数 17]

[0113] ステップ S804に続くステップ S11および S12の処理は、第 3実施形態における処 理と同じであるから説明を略する。

本発明である認証システム '方法は上述の実施形態に限定されるものではなぐ本 発明の趣旨を逸脱しない範囲で適宜変更が可能である。

例えば、各実施形態では、「可換な半群」として、定数 Nを法とした剰余環の乗法に ついての巡回群を用いた。しかし、本発明で用いることが可能な「可換な半群」はこれ に限定されない。例えば、多項式を法とした剰余環の乗法についての巡回群を「可 換な半群」として用いてもょ 、。

[0114] また、各実施形態では、可換な半群で定義された冪乗演算の底 (例えば g)を、自 然数などの数値とした。しかし、この冪乗演算の底を多項式としてもよい。

また、各実施形態では、 Nは、素数であることが判定可能な数を除く自然数であつ て、素因数分解が困難な数であることが望ましいと説明した。しかし、これ以外の Nを 用いてもよい。例えば、 3つ以上の素数の積力もなる合成数を Nとしてもよい。また、 例えば、攻撃者の存在を無視できる用途に本発明を適用するのであれば、安全性の 観点からは、 Nはどのような値であっても力まわない。すなわち、このような用途に本 発明を適用するのであれば、「可換な半群」は、必ずしも、その半群で定義された有 限集合の位数の算出が困難なものである必要はない。

[0115] また、第 2実施形態、第 3実施形態及び第 6実施形態において関数 H (i, u, R)を 用いない構成としてもよい。この場合の各処理は、例えば、 H (i, u, R) = 1とおいたも のとなる。

各実施形態で用いた乱数の代わりにその他の任意の数を用いてもよい。また、各 実施形態で、外部記憶装置に格納されると説明したデータ力 RAMに格納されても よいし、 RAMに格納されると説明したデータ力 外部記憶装置に格納されてもよい。 その他、認証情報の生成方法や判定の方法は適宜に変更可能である。また、上記 認証システム '方法において説明した処理は、記載の順に従って時系列に実行され るのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にある いは個別に実行されるとしてもよい。

[0116] また、上記証明装置、検証装置、第三者装置における処理機能を、プロセッサを中 心に構成されるコンピュータによって実現する場合、証明装置、検証装置、第三者装 置が有すべき機能の処理内容はプログラムによって記述される。そして、このプロダラ ムをコンピュータで実行することにより、上記証明装置、検証装置、第三者装置にお ける処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に 記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば 、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよ い。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルデ イスク、磁気テープ等を、光ディスクとして、 DVD (Digital Versatile Disc)、 DVD-R AM (Random Access Memory)、 CD— ROM (Compact Disc Read Only Memory;、 CD— R (Recordable) ZRW (Rewritable)等を、光磁気記録媒体として、 MO (Magne to-Optical disc)等を、半導体メモリとして EEP— ROM (Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。

[0117] また、このプログラムの流通は、例えば、そのプログラムを記録した DVD、 CD-R OM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプ ログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サ 一バコンピュータカ 他のコンピュータにそのプログラムを転送することにより、このプ ログラムを流通させる構成としてもよ!/、。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に 記録されたプログラムもしくはサーバコンピュータ力も転送されたプログラムを、ー且、 自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記 録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実 行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体 力 直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよ く、さらに、このコンピュータにサーバコンピュータ力 プログラムが転送されるたびに 、逐次、プロセッサが、受け取ったプログラムに従った処理を実行することとしてもよい 。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、そ の実行指示と結果取得のみによって処理機能を実現する、 V、わゆる ASP (Applicatio n Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。 なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報で あってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンビュ ータの処理を規定する性質を有するデータ等)を含むものとする。

[0118] また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、証 明装置、検証装置、第三者装置を構成することとしたが、これらの処理内容の少なく とも一部をノヽードウエア的に実現することとしてもょ 、。

産業上の利用可能性

本発明は、特定ないし不特定の証明装置が所定の情報を保持していることの認証 に有用である。本発明は、各分野に汎用性のある基盤的技術に関するものであるが 、本発明の具体的な利用分野としては、例えば、ファイル流通又はネットワークストレ ージサービスでの監視や相手認証、高品質デジタルメディア配信やデータベースの 整合性確認などを例示できる。

Claims

請求の範囲

[1] 認証システムであって、

保持情報が格納された証明装置と、

上記証明装置に通信可能に接続され、上記保持情報が対比情報と同一であること を検証する検証装置と、を含み、

上記検証装置は、

上記対比情報の内容に依存する内容を有し、上記対比情報の情報量に依存しな い情報量を有する検証情報と、任意の情報である第 1任意情報と、を記憶する第 1記 憶部と、

上記証明装置に認証情報を生成させるための認証情報生成因子を、上記第 1記 憶部に記憶された上記第 1任意情報を用いて生成する認証情報生成因子生成部と 上記認証情報生成因子生成部が生成した上記認証情報生成因子を上記証明装 置に送信する第 1送信部と、

上記証明装置が送信した上記認証情報を受信する第 1受信部と、

上記第 1受信部が受信した上記認証情報と、上記第 1記憶部に記憶された上記検 証情報及び上記第 1任意情報との間に、所定の関係が成立するか否かを判定する 判定部と、を含み、

上記証明装置は、

上記保持情報を記憶する第 2記憶部と、

上記第 1送信部が送信した上記認証情報生成因子を受信する第 2受信部と、 上記第 2受信部が受信した上記認証情報生成因子と、上記第 2記憶部に記憶され た上記保持情報とを用い、上記認証情報生成因子と上記保持情報との内容に依存 する内容を有し、上記保持情報の情報量に依存しな 、情報量を有する上記認証情 報を生成する認証情報生成部と、

上記認証情報生成部によって生成された上記認証情報を上記検証装置に送信す る第 2送信部と、を含む。

[2] 請求項 1に記載の認証システムであって、 上記検証情報は、

可換な半群をなす演算が定義された有限集合の元を底とし、上記対比情報を冪数 として、当該半群で定義された冪乗を行った演算結果であり、

上記認証情報生成因子は、

上記有限集合の元を底とし、上記第 1任意情報を冪数として、上記半群で定義され た冪乗を行った演算結果であり、

上記認証情報は、

上記認証情報生成因子を底とし、上記保持情報を冪数として、上記半群で定義さ れた冪乗を行った演算結果であり、

上記判定部は、

上記検証情報を底とし、上記第 1任意情報を冪数として、上記半群で定義された冪 乗を行った演算結果と、上記認証情報と、が等しいか否かを判定する。

[3] 請求項 2に記載の認証システムであって、

上記半群は、

上記有限集合の位数の算出が困難なものである。

[4] 請求項 2に記載の認証システムであって、

上記検証情報は、

定数 Nを法とし、 N未満の値 gを底とし、上記対比情報 s'を冪数とした冪乗剰余演 算結果 C (s，）であり、

上記認証情報生成因子は、

上記 Nを法とし、上記値 gを底とし、上記第 1任意情報 rを冪数とした冪乗剰余演算 結果 Rであり、

上記認証情報は、

上記 Nを法とし、上記認証情報生成因子 Rを底とし、上記保持情報 sを冪数とした冪 乗剰余演算結果 R (s)であり、

上記判定部は、

上記 Nを法とし、上記検証情報 C (s' )を底とし、上記第 1任意情報 rを冪数とした冪 乗剰余演算結果と、上記認証情報 R(s)と、が等しいか否かを判定する。 [5] 請求項 4に記載の認証システムであって、

上記定数 Nは、

素数であることが判定可能な数を除く自然数であって、素因数分解困難な数である

[6] 請求項 4に記載の認証システムであって、

上記定数 Nは、

3つ以上の素数の積からなる合成数である。

[7] 請求項 5に記載の認証システムであって、

上記第 1任意情報 rは、

Vを所定の自然数とした場合における、 0≤r≤N'2^v— 1の範囲から任意に選択さ れる値である。

[8] 請求項 1に記載の認証システムであって、

上記検証情報は、

上記対比情報を複数に分割した第 1分割情報ごとに、それぞれの当該第 1分割情 報を用いて生成される情報であり、

上記認証情報生成部は、

上記第 2受信部が受信した上記認証情報生成因子と、上記第 2記憶部に記憶され た上記保持情報を複数に分割した第 2分割情報の全てと、を用いて、上記認証情報 を生成する。

[9] 請求項 8に記載の認証システムであって、

上記検証情報は、

可換な半群をなす演算が定義された有限集合の元を底とし、上記第 1分割情報を 冪数として、当該半群で定義された冪乗を行った演算結果であり、

上記認証情報生成因子は、

上記有限集合の元を底とし、上記第 1任意情報を冪数として、上記半群で定義され た冪乗を行った演算結果であり、

上記認証情報は、

上記認証情報生成因子を底とし、上記第 2分割情報の全てを用いて算出した値で あって上記保持情報よりも情報量が少な 、ものを冪数として、上記半群で定義された 冪乗を行った演算結果であり、

上記判定部は、

上記検証情報の全てを用いて算出した値を底とし、上記第 1任意情報を冪数として

、上記半群で定義された冪乗を行った演算結果と、上記認証情報と、が等しいか否 かを判定する。

[10] 請求項 9に記載の認証システムであって、

上記認証情報は、

各上記第 2分割情報の上記保持情報内のビット位置に対応する事前準備困難な 情報と、上記第 2分割情報の全てとを用いて算出した値であって上記保持情報よりも 情報量が少ないものを冪数とし、上記認証情報生成因子を底として、上記半群で定 義された冪乗を行った演算結果である。

[11] 請求項 9に記載の認証システムであって、

上記半群は、

上記有限集合の位数の算出が困難な半群である。

[12] 請求項 9に記載の認証システムであって、

上記検証情報は、

定数 Nを法とし、 N未満の値 gを底とし、上記第 1分割情報 s 'を冪数とした冪乗剰余 演算結果 C (s' )であり、

上記認証情報生成因子は、

上記 Nを法とし、上記値 gを底とし、上記第 1任意情報 rを冪数とした冪乗剰余演算 結果 Rであり、

上記認証情報は、

上記第 2分割情報 sに対応する i及び上記検証装置カゝら送信される何らかの情報に 値が依存する情報 Hと、上記第 2分割情報 sと、の積を全ての iについて合計した値を 冪数とし、上記認証情報生成因子 Rを底とし、上記 Nを法とした冪乗剰余演算結果 R (s)であり、

上記判定部は、 全ての iに対応する各上記検証情報 ^( ）をそれらにそれぞれ対応する上記情報 Hによって冪乗した各値の積を底とし、上記第 1任意情報 rを冪数とし、上記 Nを法と した冪乗剰余演算結果と、上記認証情報 R(s)と、が等しいか否かを判定する。

[13] 請求項 12に記載の認証システムであって、

上記定数 Nは、素数であることが判定可能な数を除く自然数であって、素因数分解 困難な数である。

[14] 請求項 12に記載の認証システムであって、

上記情報 Hは、

上記第 2分割情報 sに対応する iと上記検証装置から送信される何らかの情報と〖こ 値が依存する一方向性関数値である。

[15] 請求項 1に記載の認証システムであって、

上記検証装置は、

上記証明装置の上記第 2受信部が受信した上記認証情報生成因子が、上記第 1 記憶部に記憶された上記第 1任意情報を用いて生成されたことを、上記証明装置と の対話証明によって、上記証明装置に証明する対話証明部を含み、

上記証明装置は、

上記第 2受信部が受信した上記認証情報生成因子が、上記検証装置の上記第 1 記憶部に記憶された上記第 1任意情報を用いて生成されたことを、上記検証装置と の対話証明によって検証する対話検証部を含み、

上記証明装置の第 2送信部は、

上記第 2受信部が受信した上記認証情報生成因子が、上記検証装置の上記第 1 記憶部に記憶された上記第 1任意情報を用いて生成されたことを、上記対話検証部 が確認できた場合に、上記認証情報生成部によって生成された上記認証情報を、そ の検証装置に送信する。

[16] 請求項 1に記載の認証システムであって、

上記証明装置は、

可換な半群をなす演算が定義された有限集合の元 gを底とし、任意の情報である 第 2任意情報 aを冪数として、上記半群で定義された冪乗を行った演算値 Aを生成す る A生成部を含み、

上記証明装置の第 2送信部は、

上記演算値 Aを上記検証装置に送信し、

上記検証装置の第 1受信部は、

上記証明装置が送信した上記演算値 Aを受信し、

上記検証装置の上記認証情報生成因子生成部は、

上記有限集合の元 gを底とし、上記第 1任意情報 rを冪数として、上記半群で定義さ れた冪乗を行って上記認証情報生成因子 Rを生成し、

上記検証装置は、

上記演算値 Aを底とし、上記第 1任意情報 rを冪数として、上記半群で定義された 冪乗を行って演算値 Bを生成する B生成部を含み、

上記検証装置の第 1送信部は、

上記認証情報生成因子 Rと上記演算値 Bとを上記証明装置に送信し、

上記証明装置の上記第 2受信部は、

上記検証装置から送信された上記認証情報生成因子 Rと上記演算値 Bとを受信し 上記証明装置は、

上記第 2受信部が受信した上記認証情報生成因子 Rを底とし、上記第 2任意情報 a を冪数として、上記半群で定義された冪乗を行った演算結果と、上記演算値 Bと、が 等しいか否かを判定する第 1判定部を含み、

上記証明装置の第 2送信部は、

上記第 2受信部が受信した上記認証情報生成因子 Rを底とし、上記第 2任意情報 a を冪数として、上記半群で定義された冪乗を行った演算結果と、上記演算値 Bと、が 等しいことを、上記第 1判定部が確認できた場合に、上記認証情報生成部によって 生成された上記認証情報を、上記検証装置に送信する。

請求項 16に記載の認証システムであって、

上記証明装置の第 2送信部は、

上記第 2受信部が受信した上記認証情報生成因子 Rを底とし、上記第 2任意情報 a を冪数として、上記半群で定義された冪乗を行った演算結果と、上記演算値 Bと、が 等しいことを、上記第 1判定部が確認できた場合に、さらに、上記第 2任意情報 aを、 上記検証装置に送信し、

上記検証装置の第 1受信部は、

上記証明装置から送信された上記第 2任意情報 aを受信し、

上記検証装置は、

上記有限集合の元 gを底とし、上記第 2任意情報 aを冪数として、上記半群で定義さ れた冪乗を行った演算結果と、上記演算値 Aと、が等しいか否かを判定する第 2判定 部を含む。

[18] 請求項 16に記載の認証システムであって、

上記半群は、

上記有限集合の位数の算出が困難な半群である。

[19] 請求項 16に記載の認証システムであって、

上記演算値 Aは、

定数 Nを法とし、 N未満の値 gを底とし、任意の情報である第 2任意情報 aを冪数とし た冪乗剰余演算結果であり、

上記認証情報生成因子 Rは、

上記 Nを法とし、上記値 gを底とし、上記第 1任意情報 rを冪数とした冪乗剰余演算 結果であり、

上記演算値 Bは、

上記 Nを法とし、上記演算値 Aを底とし、上記第 1任意情報 rを冪数とした冪乗剰余 演算結果であり、

上記第 2受信部が受信した上記認証情報生成因子 Rを底とし、上記第 2任意情報 a を冪数として、上記半群で定義された冪乗を行った演算結果は、

上記 Nを法とし、上記認証情報生成因子 Rを底とし、上記第 2任意情報 aを冪数とし た冪乗剰余演算結果である。

[20] 請求項 19に記載の認証システムであって、

上記有限集合の元 gを底とし、上記第 2任意情報 aを冪数として、上記半群で定義さ れた冪乗を行った演算結果は、

上記 Nを法とし、上記有限集合の元 gを底とし、上記第 2任意情報 aを冪数とした冪 乗剰余演算結果である。

[21] 請求項 19に記載の認証システムであって、

上記定数 Nは、

素数であることが判定可能な数を除く自然数であって、素因数分解困難な数である

[22] 請求項 19に記載の認証システムであって、

上記第 2任意情報 aは、

Vを所定の自然数とした場合における、 0≤a≤N'2^v— 1の範囲力も任意に選択さ れる値である。

[23] 格納している保持情報が対比情報と同一であることを検証装置に証明する証明装 置であって、

上記保持情報を記憶する記憶部と、

上記検証装置が送信した認証情報生成因子を受信する受信部と、

上記受信部が受信した上記認証情報生成因子と、上記記憶部に記憶された上記 保持情報と、を用い、上記認証情報生成因子及び上記保持情報の内容に依存する 内容を有し、上記保持情報の情報量に依存しな 、情報量を有する上記認証情報を 生成する認証情報生成部と、

上記認証情報生成部によって生成された上記認証情報を上記検証装置に送信す る送信部と、を含む。

[24] 証明装置に格納された保持情報が対比情報と同一であることを検証する検証装置 であって、

上記対比情報の内容に依存する内容を有し、上記対比情報の情報量に依存しな い情報量を有する検証情報と、任意の情報である任意情報と、を記憶する記憶部と、 上記証明装置に認証情報を生成させるための認証情報生成因子を、上記記憶部 に記憶された上記任意情報を用いて生成する認証情報生成因子生成部と、 上記認証情報生成因子生成部が生成した上記認証情報生成因子を上記証明装 置に送信する送信部と、

上記証明装置が送信した上記認証情報を受信する受信部と、

上記受信部が受信した上記認証情報と、上記記憶部に記憶された上記検証情報 及び上記任意情報との間に、所定の関係が成立するか否かを判定する判定部と、を 含む。

[25] 証明装置の記憶部に格納された保持情報が対比情報と同一であることを検証装置 が検証する認証方法であって、

上記対比情報の内容に依存する内容を有し、上記対比情報の情報量に依存しな い情報量を有する検証情報を、上記検証装置の記憶部に記憶する過程と、 任意の情報である任意情報を、上記検証装置の記憶部に記憶する過程と、 上記検証装置の認証情報生成因子生成部が、上記証明装置に認証情報を生成さ せるための認証情報生成因子を、上記検証装置の記憶部に記憶された上記任意情 報を用いて生成する過程と、

上記検証装置の送信部が、上記認証情報生成因子を上記証明装置に送信する過 程と、

上記証明装置の受信部が、上記認証情報生成因子を受信する過程と、 上記証明装置の認証情報生成部が、上記認証情報生成因子と、上記証明装置の 記憶部に記憶された上記保持情報とを用い、上記認証情報生成因子と上記保持情 報との内容に依存する内容を有し、上記保持情報の情報量に依存しない情報量を 有する上記認証情報を生成する過程と、

上記証明装置の送信部が、上記認証情報を上記検証装置に送信する過程と、 上記検証装置の受信部が、上記認証情報を受信する過程と、

上記検証装置の判定部が、上記認証情報と、上記検証装置の記憶部に記憶され た上記検証情報及び上記任意情報との間に、所定の関係が成立するか否かを判定 する過程と、を含む。

[26] 請求項 25に記載の認証方法であって、

上記検証情報は、

上記対比情報を複数に分割した第 1分割情報ごとに、それぞれの当該第 1分割情 報を用いて生成される情報であり、

上記認証情報は、

上記証明装置の受信部が受信した上記認証情報生成因子と、上記証明装置の記 憶部に記憶された上記保持情報を複数に分割した第 2分割情報の全てと、を用いて 生成される。

[27] 請求項 25に記載の認証方法であって、

上記任意情報を上記検証装置の記憶部に記憶する過程から、上記認証情報を上記 検証装置に送信する過程までの間に行われる、

(a)上記証明装置の受信部が受信した上記認証情報生成因子が上記検証装置の 記憶部に記憶された上記任意情報を用いて生成されたことを、上記検証装置の対話 証明部が、上記証明装置との対話証明によって上記証明装置に証明する過程と、

(b)上記証明装置の受信部が受信した上記認証情報生成因子が、上記検証装置の 記憶部に記憶された上記任意情報を用いて生成されたことを、上記証明装置の対話 検証部が、上記検証装置との対話証明によって検証する過程と、を含み、

上記証明装置の受信部が受信した上記認証情報生成因子が、上記検証装置の記 憶部に記憶された上記任意情報を用いて生成されたことを、上記証明装置の対話検 証部が確認できた場合に行われる、

(c)上記証明装置の送信部が、上記認証情報生成部によって生成された上記認証 情報を、上記検証装置に送信する過程、を含む。

[28] 少なくとも、

保持情報を記憶部に記憶させる過程と、

検証装置の送信部カゝら送信された認証情報生成因子を受信部に受信させる過程 と、

上記認証情報生成因子及び上記保持情報の内容に依存する内容を有し、上記保 持情報の情報量に依存しない情報量を有する上記認証情報を生成する過程と、 送信部によって、上記認証情報を上記検証装置に送信させる過程と、 をプロセッサに実行させるための証明装置用プログラム。

[29] 請求項 28記載の証明装置用プログラムであって、 上記保持情報が複数に分割された分割情報の全てを上記記憶部に記憶させる過 程を、さらに、プロセッサに実行させるためのものであり、

上記認証情報を生成する過程は、

上記受信部が受信した上記認証情報生成因子と、上記記憶部に記憶された上記 分割情報の全てと、を用いて、上記認証情報を生成する過程である。

[30] 請求項 28記載の証明装置用プログラムであって、

上記受信部が受信した上記認証情報生成因子が、検証装置の記憶部に記憶され た任意情報を用いて生成されたことを、上記検証装置との対話証明によって検証す る過程と、

上記受信部が受信した上記認証情報生成因子が上記検証装置の上記記憶部に 記憶された上記任意情報を用いて生成されたことが確認された場合に、上記認証情 報を、上記送信部によって、上記検証装置に送信させる過程とを、

さらに、プロセッサに実行させるためのものである。

[31] 少なくとも、

対比情報の内容に依存する内容を有し、当該対比情報の情報量に依存しない情 報量を有する検証情報と、任意の情報である任意情報と、を記憶部に記憶させる過 程と、

証明装置に認証情報を生成させるための認証情報生成因子を、上記記憶部に記 憶された上記任意情報を用いて生成する過程と、

送信部によって、上記認証情報生成因子を上記証明装置に送信させる過程と、 上記証明装置が送信した上記認証情報を受信部に受信させる過程と、 上記受信部が受信した上記認証情報と、上記記憶部に記憶された上記検証情報 及び上記任意情報との間に、所定の関係が成立するか否かを判定する過程と、 をプロセッサに実行させるための検証装置用プログラム。

[32] 請求項 31記載の検証装置用プログラムであって、

上記検証情報は、

上記対比情報を複数に分割した分割情報ごとに、それぞれの当該分割情報を用い て生成される情報である。 [33] 請求項 31記載の検証装置用プログラムであって、

上記証明装置の受信部が受信した上記認証情報生成因子が、上記記憶部に記憶 された上記任意情報を用いて生成されたことを、上記証明装置との対話証明によつ て、上記証明装置に証明する過程を、

さらに、プロセッサに実行させるためのものである。

[34] 請求項 28記載の証明装置用プログラムを格納したコンピュータ読み取り可能な記 録媒体。

[35] 請求項 31記載の検証装置用プログラムを格納したコンピュータ読み取り可能な記 録媒体。