WO2007074836A1

WO2007074836A1 - 署名生成装置、署名生成方法及び署名生成プログラム

Info

Publication number: WO2007074836A1
Application number: PCT/JP2006/325945
Authority: WO
Inventors: Yuichi Futa; Motoji Ohmori; Masahiro Mambo
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-12-28
Filing date: 2006-12-26
Publication date: 2007-07-05
Also published as: CN101351988B; JP5001176B2; US8280039B2; US20090094464A1; CN101351988A; JPWO2007074836A1

Abstract

　署名生成の処理に用いられる値を解析困難にすることのできる署名生成装置を提供する。　署名生成装置は、乱数生成モジュールにより、ｌｅｎビットからなる乱数ｕを生成し、選択モジュールにより、生成した乱数ｕをビット表現に変換し、各ビット値に対応する元対をテーブルメモリ部から取得する。署名生成装置は、ランダム元生成モジュールにより、取得したすべての元対に対して、第１の群Ｇ及び第２の群の基本演算を施して、第１の群Ｇ上の元Ｐｋ及び第２の群Ｇａ上の元Ｐａｋを算出する。署名生成装置は、メッセージｍのハッシュ値ｈ、第１の群Ｇ上の元Ｐｋ及び第２の群Ｇａ上の元Ｐａｋ、変換モジュール、主要演算モジュール、逆変換モジュール、乗算モジュール、除算モジュール及び署名データ生成モジュールを用いて、メッセージｍに対する署名データＳを生成する。

Description

明細書

署名生成装置、署名生成方法及び署名生成プログラム

技術分野

[0001] 本発明は、情報セキュリティ技術としてのソフトウェアの難読ィ匕方法、特にディジタル署名方法の難読ィ匕の技術に関する。

背景技術

[0002] 暗号ソフトを実装する場合、鍵や暗号アルゴリズムをそのまま実装すると、ソフトを解析された場合に、簡単に不正使用できる。そのため、ソフト解析を困難にする耐タンパーソフト技術が要望されている。耐タンパ一ソフト技術として、特許文献 1において、演算及び演算領域を変換して、変換前の演算領域を推測困難にすることにより、ソフト解析困難とする方式が記載されている。

[0003] その方式は、一次変換などにより変換を行う。例えば、鍵とデータの加算を変換する場合、鍵とデータを変換し、変換後のデータを変換後の領域における加算を行い、その結果に逆変換を実行することにより鍵とデータの加算結果を得る。このような難読化された加算方法を、共通鍵暗号を用いた暗号ィ匕プログラムや復号ィ匕プログラムに適用することにより、プログラムを解析して鍵を得る攻撃に対する安全性を向上させることが可能になる。

[0004] 以下に、特許文献 1にて開示された技術の具体例を説明する。

ここで、入力 a、 bに対し、演算結果 a + bを出力するプログラムであり、主要演算モジユール、逆変換モジュール、及び出力モジュール力構成される加算プログラムについて説明する。

変換モジュールは、整数 kl、 k2を保持し、入力値 a、 bを受け付けると、保持している整数 kl、 k2を用いて、入力値 a、 bをそれぞれ ta = kl X a + k2、 tb = kl X b + k2 に変換する。ただし、 Xは乗算を示す。次に、主要演算モジュールは、値 ta、 tbに対して、 tab =ta+tbを計算する。逆変換モジュールは、 tabに対して、 c= (tab— 2 X k 2) Zklを計算する。出力モジュールは、演算結果 cを出力する。

[0005] 上記のように処理すると、 tab =ta+tb =kl X a+k2+kl X b+k2=kl X (a+b) + 2 X k2より、（tab— 2 X k2) /kl = a + b力 S成り立つ。した力 Sつて、 c = a + bとなり、加算プログラムは、入力値 _a、 bから aと bの加算結果を算出することができる。

ここで、変換モジュール及び逆変換モジュールを解析困難なように実現した場合、第三者 (解析者）が解析可能なものは、 ta、 tb、 tabのみであり、これらの値力 a、 bを推測するのが難しいため、 a、 bを隠蔽することが可能になる。

[0006] 特許文献 1では、データを一次変換することで変換しており、データ自体を解析しに《しているが、演算の種類、すなわち、「加算」は変換先においても「加算」を実行しており、演算の種類を隠蔽することまではできて、な、。

特許文献 2では、ある情報 (落し戸)を持って!/、れば容易に解ける落し戸付の離散対数問題に基づいて、「加算」を「乗算」もしくは、「楕円曲線上の群の加算」に変換することで、演算の種類の隠蔽を行っている。

[0007] また、ここで、従来用いられている楕円 DSA(Digital Signature Algorithm)署名方式 (以下、「従来型の楕円 DSA署名方式」という。）について説明する。従来型の楕円 DSA署名方式については、非特許文献 3の 4ページに記載されているので、ここでは簡単に説明する。

(1)パラメータ

従来型の楕円 DS A署名方式では、楕円曲線 Eの方程式 y "2 = x"3 + a X x + bの変数 a、 b、楕円曲線 Eの定義体 GF (p)、ベース点 P及びベース点の位数 qをパラメ一タとして持つ。ここで、 x'yは Xの y乗を示し、 qと Pは q * P = 0を満たす。 Oは楕円曲線の群の零元であり、 *は楕円曲線のスカラ倍演算を示し、 q * Pは q個の Pを加算したものを表す。

[0008] (2)秘密鍵及び公開鍵

秘密鍵を ks (0<ks< q)とし、 KP = ks * Pを公開鍵とする。

(3)署名生成

従来型の楕円 DSA署名方式の署名生成では、以下のステップで署名の対象となるメッセージ mのディジタル署名 Sを生成する。

[0009] (ステップ SI) h=Hash (m)を計算する。ここで、 Hash(m)は mのハッシュ値である。メッセージからハッシュ値を求めるハッシュ関数は、例えば、 SHA—1である。ノヽッシュ関数については、非特許文献 1の 192〜 195ページが詳しい。

(ステップ S2) 乱数 kを選択し、楕円曲線上の点 R=k* Pを計算する。

(ステップ S3) r=x (R) mod qを計算する。ここで、 x(R)は Rの x座標を示す。

[0010] (ステップ S4) s= (h+r X ks) /k mod qを計算する。

(ステップ S5) S = (r, s)を出力し終了。

(4)署名検証

従来型の楕円 DSA署名方式の署名検証では、以下のステップでディジタル署名 S を検証し、検証結果 (OKまたは NG)を出力する。

[0011] (ステップ S 10) h=Hash (m)を計算する。

(ステップ Sl l) R' = (h/s mod q) * P+ (r/s mod q) *KPを計算し、 r， =x (R' )とする。

(ステップ S12) r=r'であるかをチェック。成り立つ場合は、 OK、成り立たない場合は、 NGを出力し終了。

特許文献 1 :米国特許第 6, 594, 761号明細書

特許文献 2：国際公開第 2005Ζ098795号パンフレット

特許文献 3 :特許第 3, 402, 441号明細書

非特許文献 1 :岡本龍明、山本博資、「現代暗号」、産業図書 (1997年）

非特許文献 2 : Henri Cohen, A Course in Computational Algebraic Number Theory", GTM 138, Springer— Verlag, 1993, pp. 16— 19 非特許文献 3 :1. Blake, G. Seroussi and N. Smart, "Elliptic Curve s in Cryptography", CAMBRIDGE UNIVERSITY PRESS, 1999 非特許文献 4: N. Kunihiro and K. Koyama, "Two Discrete Log Alg orithms for Super— Anomalous Elliptic Curves", SCIS' 99, 1999, pp. 869-874

発明の開示

発明が解決しょうとする課題

[0012] 従来型の楕円 DSA署名方式の署名生成においては、秘密鍵 ksだけでなぐ乱数 k をも秘密にする必要がある。なぜなら、乱数 kが第三者に知られると、ステップ S4の式を使って ksを逆算することが可能であるからである。

し力しながら、上記従来例の方式は、演算 (加算）の変換を行っており、その演算を使用する部分については、解析困難にすることが可能である力従来型の楕円 DSA 署名方式の署名生成にお!ヽて、乱数 kを解析困難にすることはできなヽ。

[0013] そこで、本発明は、上記課題に鑑みて、署名生成の処理に用いられる値を解析困難にすることのできる署名生成装置、署名生成方法、署名生成プログラム、記録媒体及び集積回路を提供することを目的とする。

課題を解決するための手段

[0014] 上記目的を達成するために、本発明は、群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pにつ!/、て並びに群 Ga上の基本元 Paにつ!/、て基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置であって、複数の数の各々に分解組が予め対応付けられており、各分解組は複数の分解対を含み、各分解対は第 1の分解値と第 2の分解値とを含み、各第 1の分解値は基本元 Pについて任意の正整数を冪とする冪演算が施されて算出された群 G上の元であり、各第 2の分解値は基本元 Paについて当該第 2の分解値に対応する第 1の分解値において用いられた正整数を冪とする冪演算が施されて算出された群 Ga上の元であり、前記署名生成装置は、前記複数の分解組を記憶する分解値記憶手段と、前記複数の数力ランダムに数 uを選択し、選択した数 uに対応する分解組を前記分解値記憶手段から選択する選択手段と、選択された分解組に含まれる 2つ以上の第 1の分解値について、前記群 Gの基本演算を施して、第 1の冪乗元を生成し、選択された分解組に含まれ、且つ前記 2つ以上の第 1の分解値のそれぞれに対応する第 2の分解値につ、て、前記群 Gaの基本演算を施して、第 2の冪乗元を生成する生成手段と、生成された前記第 1の冪乗元及びメッセージそれぞれを群 Ga上の元に変換し、変換された第 1の冪乗元、変換されたメッセージ及び前記第 2の冪乗元に対して前記群 Ga上の演算を施し、第 1の離散対数及び第 2の離散対数を算出し、算出した第 1及び第 2の離散対数を用いて、メッセージに対するディジタル署名を生成する署名手段とを備えることを特徴とする。

発明の効果 [0015] 上記に示した構成によると、署名生成装置は、ディジタル署名に用いる値の隠蔽だけでなぐ演算そのものを隠蔽することができる。

ここで、前記複数の数の各々は、長さが 2以上の所定長力なるビット列で表現される数であり、前記所定長力なるビット列の各ビット値に応じて分解対が対応付けられており、前記選択手段は、選択した前記数 uを前記所定長のビット列からなるビット表現へと変換し、各ビットそれぞれの値に応じた分解対からなる前記分解組を前記分解値記憶手段力も選択するとしてもよ、。

[0016] この構成〖こよると、署名生成装置は、使用する隠蔽された値を容易に選択することができる。

ここで、前記生成手段は、ビット値ごとに選択された分解対からなる前記分解組に含まれる 2つ以上の第 1の分解値に対して、前記群 Gにおける基本演算を施して前記第 1の冪乗元を生成し、ビット値ごとに選択された分解対からなる前記分解組に含まれ、且つ前記 2つ以上の第 1の分解値のそれぞれに対応する第 2の分解値に対して、前記群 Gaにおける前記基本演算を施して前記第 2の冪乗元を生成するとしてもよい。

[0017] この構成によると、群 G及び群 Gaにおける基本演算において、使用する値及び演算を隠匿することができる。

ここで、前記第 1の冪乗元は、 2つ以上の値を含み、前記署名手段は、前記メッセージに対するノ、ッシュ値を冪とし、前記基本元 Paに対して群 Gaにおける前記冪演算を施すことにより、前記ハッシュ値を前記群 Gaに属する変換後ハッシュ値へと変換する変換部と、前記第 1の冪乗元に含まれる 1つの値を用いて、第 1のデータを算出する第 1演算部と、前記変換後ハッシュ値に、前記群 Ga上の基本演算を施し、前記群 Gaに属する第 3の冪乗元を算出する第 2演算部と、前記群 Ga又は前記群 Gaに真に含まれる部分群 Saにお、て、前記第 2の冪乗元及び前記第 3の冪乗元それぞれに対して、前記変換部にて行われる変換の冪演算の逆算を施すことにより、第 1及び第 2の離散対数を求める逆変換部と、前記第 1及び前記第 2の離散対数を用いて、第 2 のデータを算出する第 3演算部と、前記第 1のデータと前記第 2のデータとの糸且からなるディジタル署名を生成するデータ生成部とを含むとしてもよヽ。 [0018] この構成〖こよると、署名生成装置は、署名手段において、使用する値及び演算を隠蔽することができる。

ここで、前記署名生成装置は、さらに、秘密鍵を冪として前記基本元 Paに対して前記群 Gaの基本演算を施して、前記群 Gaに属する変換後秘密鍵を記憶して、る変換後秘密鍵記憶手段を備え、前記第 2演算部は、前記変換後秘密鍵に対して前記第 1 のデータを冪とする前記群 Gaの冪演算を施して得られる前記群 Ga上の元である演算結果と、前記変換後ハッシュ値とに対して前記群 Ga上の基本演算を施して前記第 3の冪乗元を算出するとしてもよい。

[0019] この構成によると、署名生成装置は、第 2演算部において、使用する値及び演算を隠蔽することができる。

ここで、前記群 G及び前記群 Gaは、剰余整数環の乗法群であり、前記群 G及び前記群 Gaのそれぞれにおける基本演算とは、各元に対して乗算を施す乗法演算であり、前記群 G及び前記群 Gaのそれぞれにおける冪演算とは、正整数を冪数とする冪乗演算であるとしてもよい。

[0020] この構成によると、署名生成装置は、第 1、第 2及び第 3の冪乗元の生成に用いられる演算は乗法演算であり、冪乗演算とは異なるので、演算を隠蔽することができるここで、前記群 Gは、楕円曲線の群であり、前記部分群 Saは、ァノマラス楕円曲線の群であり、前記群 G及び前記群 Gaのそれぞれにおける基本演算とは、各元に対して楕円曲線上の加算を施す演算であり、前記群 G及び前記群 Gaのそれぞれにおける冪演算とは、前記正整数に楕円曲線上の乗算を施す演算であるとしてもよい。また、前記群 Gは、楕円曲線の群であり、前記群 Gaは、 2つのァノマラス楕円曲線の直積であり、前記群 G及び前記群 Gaのそれぞれにおける基本演算とは、各元に対して楕円曲線上の加算を施す演算であり、前記群 G及び前記群 Gaのそれぞれにおける冪演算とは、正整数に楕円曲線上の乗算を施す演算であるとしてもよい。

[0021] これらの構成によると、署名生成装置は、第 1、第 2及び第 3の冪乗元の生成に用いられる演算は楕円曲線上の加算演算であり、整数の加算演算とは異なるので、演算を隠蔽することができる。また、本発明は、群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pにつ!、て並びに群 Ga上の基本元 Paにつ!/、て基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置であって、複数の数の各々に分解組が予め対応付けられており、各分解組は複数の分解対を含み、各分解対は第 1の分解値と第 2の分解値とを含み、各第 1の分解値は基本元 Pについて任意の正整数を冪とする冪演算が施されて算出された群 G 上の元であり、各第 2の分解値は基本元 Paについて当該第 2の分解値に対応する第 1の分解値において用いられた正整数を冪とする冪演算が施されて算出された群 Ga 上の元であり、前記署名生成装置は、前記複数の分解組を記憶する分解値記憶手段と、前記複数の数カゝらランダムに数 uを選択し、選択した数 uに対応する分解対を前記分解値記憶手段から選択する選択手段と、選択された分解対に含まれる第 1の分解値及びメッセージそれぞれを群 Ga上の元に変換し、変換された第 1の分解対、変換されたメッセージ及び選択された分解対に含まれる第 2の分解値に対して前記群 Ga上の演算を施し、離散対数問題を解いて第 1及び第 2の離散対数を算出し、算出した第 1及び第 2の離散対数を用いて、メッセージに対するディジタル署名を生成する署名手段とを備えることを特徴とする。

[0022] この構成〖こよると、署名生成装置は、ディジタル署名に使用する値を隠匿することができる。

図面の簡単な説明

[0023] [図 1]署名生成システム 1の概要を示すブロック図である。

[図 2]署名生成装置 10の構成を示すブロック図である。

[図 3]テーブルメモリ部 102に格納している各テーブルのデータ構造の一例を示す図である。

[図 4]署名生成プログラム 110に含まれる各モジュールを示す図である。

[図 5]テーブル生成装置 20の構成を示すブロック図である。

[図 6]署名生成処理の動作を示す流れ図である。図 7へ続く。

[図 7]署名生成処理の動作を示す流れ図である。図 6から続く。

[図 8]テーブル生成装置 20の動作を示す流れ図である。 [図 9]本発明において、値 r、 hから値 s ( = (r X ks+h) Zk mod q)を生成する際の動作の概要を示す図である。

圆 10]本発明の DSA楕円署名方式の特徴部分を示す図である。

符号の説明

1 署名生成システム

10 署名生成装置

20 テーブル生成装置

30 メッセージ受付装置

40 署名データ送信装置

50 署名データ受信装置

60 インターネット

101 プロセッサ

102 テーブルメモリ部

103 秘密パラメータメモリ部

104 公開パラメータメモリ部

105 変換後秘密鍵メモリ部

106 プログラムメモリ部

110 署名生成プログラム

121 ハッシュ値生成モジュ

122 乱数生成モジュール

123 選択モジユーノレ

124 ランダム元生成モジュ

125 変換モジユーノレ

126 主要演算モジュール

127 逆変換モジュール

128 乗算モジュール

129 除算モジュール

130 署名データ生成モジュ 201 公開パラメータメモリ部

202 乱数生成部

203 群演算部

204 格納処理部

発明を実施するための最良の形態

[0025] 以下、発明を実施するための最良の実施形態を、図面を参照しながら説明する。

1.第 1の実施の形態

1. 1 準備

ここでは、本発明にかかる実施の形態を説明する上で、必要となる"楕円曲線上の楕円べき倍演算"について説明する。

[0026] 一例として、 100 *Pの計算について説明する。

100 * P = 2 (2 (P + 2 (2 (2 (P + 2P) ) ) ) )と表すと、 100 * Pは、楕円曲線上の点による 6回の 2倍算と 2回の加算により計算される。

このように、楕円べき倍演算は、楕円曲線上の 2倍算及び加算による演算に帰着する。

ここで、楕円曲線 Eの方程式を y"2 = x"3 +aXx+b とし、楕円曲線上の任意の点 Pの座標を (xl, yl)とし、任意の点 Qの座標を (x2, y2)とする。ここで、 R=P + Qで定まる点 Rの座標を (x3, y3)とする。

[0027] P≠Qの場合、 R=P + Qは、楕円曲線上の加算の演算となる。加算の公式を以下に示す。

x3 ={(y2 -yl)/(x2—xl)厂 2— xl— x2

y3 = { (y2— yl ) / (x2— xl) } (xl— x3)— yl

P = Qの場合、 R=P + Q = P + P = 2XPとなり、 R=P + Qは、楕円曲線上の 2倍算の演算となる。 2倍算の公式を以下に示す。

[0028] χ3 +a)/(2Xyl) 厂 2—（2Xxl)

y3

+a)/(2Xyl) } (xl— x3)— yl

ここで、上記演算は、楕円曲線が定義される有限体上での演算である。

なお、楕円曲線の演算公式については、" Efficient elliptic curve exponent! ation" (Miyaji, Ono, and Cohen著, Advances in cryptology— proceedin gs of ICICS ' 97, Lecture notes in computer science, 1997, Springer -verlag, 282— 290.；)【こ詳しく説明されてヽる。

1. 2 署名生成システム 1の構成

本発明にカゝかる実施の形態としての署名生成システム 1につヽて説明する。

[0029] 署名生成システム 1は、図 1にて示すように、署名生成装置 10、テーブル生成装置 20、メッセージ受付装置 30、署名データ送信装置 40、及び署名データ受信装置 50 から構成されている。

メッセージ受付装置 30は、ユーザ操作によりメッセージ mを受け付け、受け付けたメッセージ mを署名生成装置 10へ出力する。

[0030] テーブル生成装置 20は、本発明における楕円 DSA署名方式 (以下、単に「楕円 D SA署名方式」という。）の署名生成にて使用する複数の元対と、変換後秘密鍵とを生成し、生成した複数の元対と、変換後秘密鍵とを署名生成装置 10へ格納する。ここで、元対とは、第 1の楕円曲線上の群の元と、第 2の楕円曲線上の群の元との組である。また、変換後秘密鍵とは、秘密鍵に第 2の楕円曲線上の楕円べき倍演算を施した演算結果である。

[0031] なお、元対、変換後秘密鍵の詳細については、後述する。

署名生成装置 10は、メッセージ mをメッセージ受付装置 30から受け付け、受け付けたメッセージ mに対し、楕円 DSA署名方式の署名生成により署名データ S (= (r, s) )を生成する。

署名生成装置 10は、生成した署名データ Sと、メッセージ受付装置 30から受け付けたメッセージ mを署名データ送信装置 40へ出力する。

[0032] 署名データ送信装置 40は、例えば、インターネット 60により署名データ受信装置 5 0とネットワーク接続されている。署名データ送信装置 40は、署名生成装置 10からメッセージ mと、メッセージ mに対する署名データ Sとを受け取ると、受け取ったメッセ一ジ m及び署名データ Sを、インターネット 60を介して署名データ受信装置 50へ送信する。

[0033] 署名データ受信装置 50は、署名データ送信装置 40からインターネット 60を介して、メッセージ mと、メッセージ mに対する署名データ Sとを受信すると、署名検証を行う

1. 3 署名生成装置 10の構成

ここでは、署名生成装置 10の構成について説明する。

[0034] 署名生成装置 10は、図 2にて示すように、プロセッサ 101、テーブルメモリ部 102、秘密パラメータメモリ部 103、公開パラメータメモリ部 104、変換後秘密鍵メモリ部 10 5、及びプログラムメモリ部 106から構成されている。

(1)プロセッサ 101

プロセッサ 101は、コンピュータシステムを構成しており、プログラムメモリ部 106に格納された署名生成プログラム 110を読み込み、読み込んだ署名生成プログラム 11 0とハードウェア資源とが協働することにより機能を達成する。

[0035] プロセッサ 101は、プログラムメモリ部 106に記憶されている署名生成プログラム 11 0から 1個ずつコンピュータ命令を読み出し、解釈し、その解釈結果に応じて動作する。

なお、署名生成プログラム 110の詳細にっ、ては後述する。

(2)テーブルメモリ部 102

テーブルメモリ部 102は、第 1の群 Gに属する元と、第 2の群 Gaに属する元の対である元対を複数個記憶している。なお、元対は、テーブル生成装置 20で生成される

[0036] (2— 1)第 1の群 G及び第 2の群 Gaについて

第 1の群 Gは、楕円 DS A署名方式で使用する楕円曲線 Eの点を元とする群である。ここで、楕円曲線 Eの方程式 ¾T2 = x"3 + a X x + bとする。楕円曲線 Eの方程式をもつ体 GF (p)上の楕円曲線の点から構成される群を E (GF (p) )とするとき、第 1の群 Gは、 E (GF (p) )となる。

[0037] 第 2の群 Gaは、 n=pl X p2 (pl、 p2は素数）に対し、 GF (pi)上の楕円曲線 Eaの点から構成される群 Ea (GF (pl) )と、 GF (p2)上の楕円曲線 Eaの点カゝら構成される群 Ea (GF (p²) )の直積 Ea (GF (pl) ) X Ea (GF (p²) )とする。 ZZnZは体ではなぐ環であるため、数学的には「ZZnZ上の楕円曲線」とはよベないが、ここでは便宜上、その直積を ZZnZ上の楕円曲線の群とよぶ。なお、 Zは整数環であり、 ZZnZは、数 nを法とする剰余整数環である。

[0038] ここで、楕円曲線 Eaの方程式を y"2 = x"3 + aaXx + baとする。また、素数 pi及び p2は、楕円曲線 Eのベース点の位数 qとは異なる数であり、第三者が知ることができな、ように生成及び管理がなされて、るものとする。

Ea(GF(pl))上の点 Pal=(xal, yal) mod piと、 Ea(GF(p2))上の点 Pa2 = (xa2, ya2) mod p2に対応する ZZnZ上の楕円曲線 Ea(GF(pl)) XEa(GF( p2))の点 Pa= (xa, ya) mod nは、以下のように定義する。 xaを xa mod pl=x al, xa mod p2 = xa2を満 7こす；、 yaを ya mod pl=yal, ya mod p2=ya2 を満たす数とする。

[0039] この定義より、 Ea(GF(pl)) XEa(GF(p2))上の点 Pa=(xa, ya) mod nに対応する Ea(GF(pl))上の点 Palを Pal=(xal, yal) mod piとし、 Ea(GF(p2)) 上の点 Pa2を Pa2=(xa2, ya2) mod p2とすることで、 Ea(GF(pl)) , Ea(GF(p 2) )を Ea (GF (pi) ) X Ea (GF (p2) )の部分群とみなす。

[0040] 楕円曲線 Eaは mod piでの楕円曲線の位数、すなわち、点の個数が piであるとする。このような体 GF (pi)上の楕円曲線をァノマラス (Anomalous)楕円曲線とよぶ。さらに、 mod p2での楕円曲線の位数が p2である、すなわち、 GF(p2)上でもァノマラス楕円曲線であるとする。このとき、 ZZnZ上の楕円曲線は、スーパーァノマラス (Super— Anomalous)楕円曲線とよぶ。スーパーァノマラス楕円曲線については非特許文献 4が詳しい。このとき、 ZZnZ上の楕円曲線の群は Ea(GF(pl)) XEa( GF (p2) )であるので、楕円曲線の位数は n (=plXp2)となる。

[0041] 素数 piのビット数を 2Xlen+lビットとする。なお、 piのビット数は 2Xlen+lより大きくてもよい。 lenは例えば、 160である。 p2は、例えば、 n=pl Xp2のビット数が 102 4となるような大きさの素数である。

(2-2)テーブルメモリ部 102に格納する元対にっヽて

テーブルメモリ部 102は、 2 ^!1個の元対1^—(1, j)を格納する。ここで、 iは 0または l、jは 0から len— 1の値のいずれかであり、「―」は下付き文字を示し、 i, jは PPのインデックスである。 PP (i, j) = (v (i, j) *P mod p, v (i, j) *Pa mod n) である。 *は、 Pに対しては、楕円曲線 E上のスカラ倍演算、 Paに対しては、楕円曲線 Ea上のスカラ倍演算を示す。 V— (i, j)は、 lenビットの値である。ここで、 PP— (i, j )に含まれる 2点のスカラは等しいことに注意する。

[0042] ここで、元対の格納方法の一例を以下に示す。

テーブルメモリ部 102は、複数の元対を格納するための領域を有している。テープノレメモリ咅 102ίま、図 3にて示すように、テープノレ Τ101、 Τ102、 . - .、 T103 を格納している。つまり、テーブルメモリ部 102は、 len個のテーブルを有している。

[0043] テーブル T101は、テーブル名称 T110 (ここでは、「テーブル 0」）と、 2値項目 T12 0、 T121 (ここでは、「0」、「1」）と各 2値項目 Τ120、Τ121における元対 Τ130、Τ13 1とから構成されている。 1つのテーブルにおいて、 2つの元対が格納されているので、テーブルメモリ部 102は、テーブルを len個格納することにより、 2 X len個の元対を格納することになる。

[0044] テーブル名称 T110は、値 jと対応付けがされている。つまり、テーブル名称 T110 ( テーブル 0)は、 j = 0と対応付けされており、テーブル名称 Ti l l (ここではテーブル 1 )は、 j = 1と対応付けされて、る。これにより、 j = 0、 · · ·、 len— 1のそれぞれに対してテーブル名称が対応付けされて！、る。

また、元対 T130【こお!ヽて、 P一（0, 0) ίま、 V一（0, 0)水 P mod pであり、 Pa一（0 , 0) ί¾、ν—(0, 0) * Pa mod nである。元対 T130【こお!/、て、 P一（1, 0) ί¾、ν—( 1, 0)水 P mod pであり、 Pa一（1, 0) ίま、 V一（1, 0)水 Pa mod nである。 PP一（i , j) = (P_(i, j) , Pa_(i, j) )であることに注意する。

[0045] 元対のそれぞれは、 2進数と対応付けがされている。具体的には、 2進数の値が 0 である場合には、 2値項目「0」における元対が対応付けされ、 2進数の値が 1である場合には、 2値項目「1」における元対が対応付けされている。

(3)秘密パラメータメモリ部 103

秘密パラメータメモリ部 103は、耐タンパ性を有しており、素数 piを記憶している。

[0046] (4)公開パラメータメモリ部 104

公開パラメータメモリ部 104は、楕円曲線 Eの方程式 y"2 = x"3 + a X x + bにおける変数 a、 b、素数 p、楕円曲線 E上のベース点 P、及びその位数 qと、楕円曲線 Eaの方程式 y' 2=x' 3 + aa X x+baにおける変数 aa、 ba、合成数 n ( =pl X p2)、及び楕円曲線 Ea上の点 Paをそれぞれパラメータとして記憶している。ここで、点を記憶するとは、点の座標を記憶することを意味する。また、 p、 qは lenビットの素数とする。

[0047] (5)変換後秘密鍵メモリ部 105

変換後秘密鍵メモリ部 105は、秘密鍵 ksに第 2の楕円曲線 Ea上の楕円べき倍演算を施すことにより、秘密鍵 ksを変換した変換後秘密鍵 KST( = ks * Pa)を格納している。変換後秘密鍵 KSTは、テーブル生成装置 20で生成される。

(6)プログラムメモリ部 106

プログラムメモリ部 106は、署名生成プログラム 110を記憶して、る。

[0048] 署名生成プログラム 110は、図 4にて示すように、ハッシュ値生成モジュール 121、舌 L数生成モジュール 122、選択モジュール 123、ランダム元生成モジュール 124、変換モジュール 125、主要演算モジュール 126、逆変換モジュール 127、乗算モジュール 128、除算モジュール 129、及び署名データ生成モジュール 130から構成されている。

[0049] 本プログラムは、入力であるメッセージ mに対し、 mの署名データ S ( = (r, s) )を出力するものである。

各モジュールは、機械語形式の複数の命令コードを組み合わせて構成されるコンピュータプログラムである。前記機械語形式は、プロセッサ 101により解読され実行される形式である。

[0050] (6— 1)ハッシュ値生成モジュール 121

ハッシュ値生成モジュール 121は、入力であるメッセージ mを、メッセージ受付装置 30から受け付け、受け付けたメッセージ mにハッシュ関数を施して、メッセージ mのハッシュ値 hを計算する。ノ、ッシュ関数は、例えば、 SHA— 1である。

ハッシュ値生成モジュール 121は、ハッシュ値 hを変換モジュール 125へ出力する

[0051] (6— 2)乱数生成モジュール 122

乱数生成モジュール 122は、 lenビットのランダムな正整数ほ L数) uを生成し、生成した乱数 uを選択モジュール 123へ出力する。 (6 3)選択モジュール 123

選択モジュール 123は、乱数生成モジュール 122から乱数 uを受け取り、受け取つた乱数 uをビット表現に変換する。

[0052] 選択モジュール 123は、ビット表現に変換された乱数 u=u— O+u— 1 X 2+u_2

X2"2 + ---+u_ (len- 1) X2" (len- 1)に対し、テーブルメモリ部 102から PP— ( u_0, 0), PP_(u_l, 1), PP_(u_2, 2), ···, PP— (u— (len— 1) , len— 1) を選択する（ここで、 i=0, 1, 2, ···, len— 1に対し u— i=0または 1)。

[0053] ここでは、 u— kにおける添え字 k(k=0, 1, · · ·, len— 1)の値がテーブルメモリ部 102に格納されているテーブルのテーブル名称と対応付けされている。つまり、 u— 0 はテーブル 0と、 u— 1はテーブル 1と、 · · ·、 u— len— 1はテーブル len— 1と対応付けがされている。

選択モジュール 123は、選択した PP— (u— 0, 0), PP_(u_l, 1), PP_(u_2 , 2), ···, PP— (u— (len— 1), len— 1)をランダム元生成モジュール 124へ出力する。

[0054] (6— 4)ランダム元生成モジュール 124

ランダム元生成モジュール 124は、選択モジュール 123から len個の元対 PP—(u _i, i) = (P_(u_i, i), Pa_(u_i, i))を受け取り、受け取った元対それぞれに含まれる P— (u— i, i)を公開パラメータメモリ部 104で記憶している楕円曲線 Eのパラメ一タ&、 b、素数 p、楕円曲線 E上のベース点 Pを用いて、楕円曲線 E上で加算することにより、 Pk(=(v— (u— 0, 0) *P+v— (u— 1, 1) *PH hv— (u— len— 1, le n— 1) *P)を算出する（ここで、 i=0, 1, 2, ···, len— 1)。なお、 Pk=(v— (u— 0, 0)+v_(u_l, l) + ---+v_(u_(len-l), len— 1)) *Pであることに注意する

[0055] ランダム元生成モジュール 124は、公開パラメータメモリ部 104で記憶している楕円曲線 Eaのパラメータ aa、 ba、合成数 nを用いて、 Pa— (u— i, i) mod n(i=0, 1, 2 , ···, len— 1)を楕円曲線 Ea上でカ卩算して Pak mod n(=(v_(u_0, 0)*Pa + v_(u_l, 1) *PaH hv— (u— len— 1, len— 1) * Pa))とする。ここで、 Pak

=(v (u 0, 0) +v (u 1, 1)H hv (u (len—l), len—l)) *Paであることに注意する。

[0056] ランダム元生成モジュール 124は、算出した Pkを主要演算モジュール 126へ出力し、算出した Pakを逆変換モジュール 127へ出力する。

(6— 5)変換モジュール 125

変換モジュール 125は、ハッシュ値生成モジュール 121からハッシュ値 hを受け取ると、公開パラメータメモリ部 104で記憶している楕円曲線 Eaのパラメータ aa、 ba、合成数 nと楕円曲線 Ea上の点 Paと、受け取ったハッシュ値 hとを用いて、 hPa = h * Pa mod nを計算する。

[0057] 変換モジュール 125は、算出した hPaを主要演算モジュール 126へ出力する。

(6 6)主要演算モジュール 126

主要演算モジュール 126は、ランダム元生成モジュール 124から Pkを受け取り、変換モジュール 125から hPaを受け取る。

主要演算モジュール 126は、 r=x (Pk) mod qを計算する。ここで、 x (Pk)は、 P kの X座標を示す。

[0058] 主要演算モジュール 126は、変換後秘密鍵メモリ部 105で記憶している変換後秘密鍵 KSTと、公開パラメータメモリ部 104で記憶している楕円曲線 Eaのパラメータ aa 、 bb、合成数 nを用いて、楕円曲線 Ea上で r * KSTを計算し、 hPaと楕円曲線 Ea上の加算を行い、 Qa=r * KST+hPaとする。

主要演算モジュール 126は、算出した rを署名データ生成モジュール 130へ出力し、算出した Qaを逆変換モジュール 127へ出力する。

[0059] (6— 7)逆変換モジュール 127

逆変換モジュール 127は、ランダム元生成モジュール 124から Pakを受け取り、主要演算モジュール 126から Qaを受け取る。

逆変換モジュール 127は、秘密パラメータメモリ部 103で記憶している素数 piを用いて、 Pa mod piに対する Qaの離散対数 cQと、 Pa mod piに対する Pakの離散対数 ckを計算する。

[0060] 逆変換モジュール 127は、算出した離散対数 cQ、 ckを乗算モジュール 128へ出力する。まず、 Qaの離散対数 cQを求める際の処理を示す。

(ステップ S 20) Qal = Qa mod pi, Pal = Pa mod piを計算。

[0061] (ステップ S21) Palに対する Qalの離散対数 cQ (すなわち、 Qal = cQ * Palを満たす cQ)を計算する。

次に、 Pakの離散対数 ckを求める際の処理を示す。

(ステップ S 30) ckl = Pak mod pi, Pal = Pa mod piを計算。

[0062] (ステップ S31) Palに対する cklの離散対数 ck (すなわち、 ckl = ck * Palを満たす ck)を計算する。

ここで、ステップ S21及び S31で計算している離散対数 cQ及び ckは、ァノマラス楕円曲線上の離散対数問題の解である。

ァノマラス楕円曲線上の離散対数問題を解く方法は、非特許文献 3の 88〜91ベージが詳しい。計算方法はこの文献に記載されているため、ここでは説明を省略する。

[0063] なお、逆変換モジュール 127は、処理内容の解析を困難にするために、ハード対策やソフトウェア対策により耐タンパ性を有する領域で実行されるものとする。

(6 8)乗算モジュール 128

乗算モジュール 128は、逆変換モジュール 127から離散対数 cQ、 ckを受け取ると、乱数 ι8を生成する。

[0064] 乗算モジュール 128は、公開パラメータメモリ部 104で記憶している楕円曲線 E上のベース点 Pの位数 qを用いて、離散対数 cQ及び ckに対し生成した |8を乗じ、 cQ， = cQ X β mod q, ck' =ck X β mod qを計算する。

乗算モジュール 128は、算出した cQ，、 ck，を除算モジュール 129へ出力する。

[0065] なお、乗算モジュール 128は、処理内容の解析を困難にするために、ハード対策やソフトウェア対策により耐タンパ性を有する領域で実行されるものとする。

(6— 9)除算モジュール 129

除算モジュール 129は、乗算モジュール 128から cQ，、 ck，を受け取る。除算モジュール 129は、 ck，の mod qでの逆元である ckiを計算する。ここで、 cki X ck，= l mod qを満たす。

[0066] 除算モジュール 129は、 ckiと cQ，を乗じ mod qをして、 s = cki X cQ， mod qを求める。逆元の計算については、非特許文献 2が詳しい。

除算モジュール 129は、算出した sを署名データ生成モジュール 130へ出力する。 (6- 10)署名データ生成モジュール 130

署名データ生成モジュール 130は、主要演算モジュール 126から rを受け取り、除算モジュール 129から sを受け取る。

[0067] 署名データ生成モジュール 130は、主要演算モジュール 126から受け取った rと、除算モジュール 129から受け取った sを 1対として、署名データ S= (r, s)を生成する署名データ生成モジュール 130は、ノ、ッシュ値生成モジュール 121が受け付けたメッセージ mと、生成した署名データ Sを署名データ送信装置 40へ出力する。

1. 4 テーブル生成装置 20の構成

ここでは、テーブル生成装置 20の構成について説明する。

[0068] テーブル生成装置 20は、図 5にて示すように、公開パラメータメモリ部 201、乱数生成部 202、群演算部 203、及び格納処理部 204から構成されている。

(1)公開パラメータメモリ部 201

公開パラメータメモリ部 201は、楕円曲線 Eの方程式 y"2 = x"3 + a X x + bの変数 a 、 b、素数 p、楕円曲線 E上のベース点 P、その位数 q、楕円曲線 Eaの方程式 y"2 = x '3 + aa X x+baの aa、 ba、合成数 n、楕円曲線 Ea上の点 Paのそれぞれをパラメータとして記憶している。ここで、点を記憶するとは、点の座標を記憶することを意味する。

[0069] (2)乱数生成部 202

乱数生成部 202は、乱数生成部 202は、 2 X len個の lenビットの乱数 V— (i, j) (i =0または l、j = 0, 1, · ··, len— 1)を生成する。

乱数生成部 202は、 1個の lenビットの乱数 ksを生成する（ただし、 0く ksく q)。

[0070] なお、乱数生成部 202が生成した乱数 ksが秘密鍵となることに注意する。

(3)群演算部 203

群演算部 203は、公開パラメータメモリ部 201に記憶している楕円曲線 Eのパラメ一タ&、 b、素数 p、ベース点 Pを用いて、乱数 V— (i, j) (i=0または 1、 j = 0, 1, · ··, le n— 1)に対応するスカラ倍点 v— (i, j) * Pを計算する。 [0071] 群演算部 203は、公開パラメータメモリ部 201に記憶している楕円曲線 Eaのパラメータ aa、 bb、合成数 n、楕円曲線 Ea上の点 Paを用いて、乱数 v— (i, j) (i=0または 1、 j = 0, 1, · ··, len—l)に対応するスカラ倍点 v— (i, j) * Paを計算する。

群演算部 203は、生成した各スカラ倍点 V— (i, j) * Pと、スカラ倍点 v— (i, j) * Pa とを用いて、図 3にて示すテーブル Τ101、 Τ102、 · · ·、 T103を生成する。これにより、群演算部 203は、 2 X len個の元対を生成することになる。

[0072] 群演算部 203は、公開パラメータメモリ部 201に記憶している楕円曲線 Eaのパラメータ aa、 bb、合成数 n、楕円曲線 Ea上の点 Paを用いて、乱数 ksに対するスカラ倍点 KST=ks * Paを計算する。

なお、算出されたスカラ倍点 KSTが変換後秘密鍵となることに注意する。 (4)格納処理部 204

格納処理部 204は、群演算部 203にて生成されたテーブル Τ101、 Τ102、 · · ·、 Τ 103を署名生成装置 10のテーブルメモリ部 102に格納する。これにより、格納処理部 204は、元対 (V— (i, j) * P, v— (i, j) * Pa) (i=0または 1、 j = 0, 1, · ··, len — 1)を署名生成装置 10のテーブルメモリ部 102に格納することができる。

[0073] 格納処理部 204は、群演算部 203にて算出された KST(=ks * Pa)を署名生成装置 10の変換後秘密鍵メモリ部 105に格納する。

1. 5 署名生成装置 10の動作

ここでは、署名生成装置 10にて行われる署名データの生成の動作について説明する。なお、テーブルメモリ部 102には予め len— 1個のテーブル Τ101、 Τ102、 · · · 、 T103がテーブル生成装置 20により格納され、変換後秘密鍵メモリ部 105には予め変換後秘密鍵 KSTがテーブル生成装置 20により格納されているものとする。

[0074] (1)動作概要

署名生成装置 10は、プロセッサ 101により、プログラムメモリ部 106に記憶している署名生成プログラム 110から 1個ずつコンピュータ命令を読み出し、解釈し、その解釈結果に応じて、テーブルメモリ部 102、秘密パラメータメモリ部 103、公開パラメ一タメモリ部 104及び変換後秘密鍵メモリ部 105を読み出しながら、メッセージ mに対する署名データ Sを生成する。署名データ Sの生成処理の具体的な動作については、後述する。

[0075] (2)署名生成処理の動作

ここでは、署名データ Sを生成する署名生成処理の動作について図 6及び図 7にて示す流れ図を用いて説明する。

ハッシュ値生成モジュール 121は、入力であるメッセージ mをメッセージ受付装置 3 0力も受け付け (ステップ S100)、受け付けたメッセージ mのハッシュ値 hを計算する（ステップ S 105)。

[0076] 乱数生成モジュール 122は、 lenビットの正整数ほ L数） uを生成する（ステップ S 11 0)。

選択モジュール 123は、乱数 uのビット表現（u = u— 0 + u— 1 X 2 + u_2 X2"2 + •••+u_(len-l) X2"(len-1) (i=0, 1, 2, ···, len— 1に対し u— i=0または 1 ))に基づいて、テーブルメモリ部 102に記憶している元対 PP— (u— 0, 0), PP_(u —1, 1), PP_(u_2, 2), ···, PP— (u— (len—l), len— 1)を選択する（ステップ S115)。

[0077] ランダム元生成モジュール 124は、選択モジュール 123で選択した PP—(u—i, i)

= (P_(u_i, i), Pa_(u_i, i)) (i=0, 1, 2, ···, len— 1)に対し、 P_(u_i, i) (i=0, 1, 2, ···, len— 1)を公開パラメータメモリ部 104で記憶している楕円曲線 E のパラメータ a、 b、素数 p、楕円曲線 E上のベース点 Pを用いて、楕円曲線 E上でカロ算することにより、 Pk(= (v_(u_0, 0) *P+v_(u_l, 1) *PH hv_(u_l en-1, len—l) *P)を算出する（ステップ SI 20)。

[0078] ランダム元生成モジュール 124は、公開パラメータメモリ部 104で記憶している楕円曲線 Eaのパラメータ aa、 ba、合成数 nを用いて、 Pa— (u— i, i) mod n(i=l, 2, ···, len— 1)を楕円曲線 Ea上で加算することにより、 Pak(= (v_(u_0, 0) *Pa + v_(u_l, 1) *PaH hv— (u— len— 1, len—l) * Pa)を計算する（ステップ S

125)。

[0079] 変換モジュール 125は、公開パラメータメモリ部 104で記憶している楕円曲線 Eaのパラメータ aa、 ba、合成数 nと楕円曲線 Ea上の点 Paとハッシュ値 hとを用いて、 hPa =h*Pa mod nを計算する（ステップ SI 30)。主要演算モジュール 126は、 r=x (Pk) mod qを計算する（ステップ SI 35)。ここで、 x(Pk)は、 Pkの X座標を示す。

[0080] 主要演算モジュール 126は、変換後秘密鍵メモリ部 105で記憶している変換後秘密鍵 KSTと、公開パラメータメモリ部 104で記憶している楕円曲線 Eaのパラメータ aa 、 bb、合成数 nを用いて、楕円曲線 Ea上で r *KSTを計算する（ステップ S140)。主要演算モジュール 126は、 hPaと楕円曲線 Ea上の加算を行うことにより、 Qa=r *KST+hPaを計算する（ステップ S145)。

[0081] 逆変換モジュール 127は、秘密パラメータメモリ部 103で記憶している素数 piを用いて、 Pa mod piに対する Qaの離散対数 cQを算出する（ステップ S150)。

逆変換モジュール 127は、秘密パラメータメモリ部 103で記憶している素数 piを用いて、 Pa mod piに対する Pakの離散対数 ckを算出する（ステップ S155)。

[0082] 乗算モジュール 128は、乱数 βを生成する（ステップ S160)。

乗算モジュール 128は、公開パラメータメモリ部 104で記憶している楕円曲線 E上のベース点 Pの位数 qと、ステップ S150にて算出された離散対数 cQと、乱数 j8とを用いて、 cQ，=cQ X j8 mod qを計算する（ステップ S165)。

乗算モジュール 128は、公開パラメータメモリ部 104で記憶している楕円曲線 E上のベース点 Pの位数 qと、ステップ S 155にて算出された離散対数 ckと、乱数 j8とを用いて、 ck，=ck X j8 mod qを計算する（ステップ SI 70)。

[0083] 除算モジュール 129は、ステップ S170にて算出された ck，の mod qでの逆元である ckiを計算する（ステップ S 175)。ここで、 ckiは、 cki X ck' = 1 mod qを満たす値である。

除算モジュール 129は、公開パラメータメモリ部 104で記憶している楕円曲線 E上のベース点 Pの位数 qと、ステップ S 175にて算出された ckiと、ステップ S 165にて算出された cQ 'とを用いて、 s = cki X cQ， mod qを算出する（ステップ SI 80)。

[0084] 署名データ生成モジュール 130は、ステップ S 135にて生成された rと、ステップ S1 80にて生成された sを 1対とする署名データ S= (r, s)を生成する (ステップ S185)。署名データ生成モジュール 130は、ノ、ッシュ値生成モジュール 121が受け付けたメッセージ mと、生成した署名データ Sを署名データ送信装置 40へ出力する。 1. 6 テーブル生成装置 20の動作

ここでは、テーブル生成装置 20にて行われるテーブル及び変換後秘密鍵の生成の動作にっ、て図 8にて示す流れ図を用いて説明する。

[0085] 乱数生成部 202は、 lenビットの乱数 V— (i, j) (i=0, l、j = 0, 1, · ··, len— 1)を 2 X len個生成する（ステップ S 200)。

乱数生成部 202は、 1個の lenビットの乱数 (秘密鍵) ksを生成する（ステップ S 205) 。ただし、 ksは、 0く ks< qを満たす数である。

群演算部 203は、公開パラメータメモリ部 201に記憶している楕円曲線 Eのパラメ一タ a、b、素数 p、ベース点 Pを用いて、乱数 V— (i, j) (i=0, l、j = 0, 1, · ··, len- 1 )に対応するスカラ倍点 v_(i, j) * Pを計算する (ステップ S210)。

[0086] 群演算部 203は、公開パラメータメモリ部 201に記憶している楕円曲線 Eaのパラメータ aa、 bb、合成数 n、楕円曲線 Ea上の点 Paを用いて、乱数 v— (i, j) (i=0, 1、 j =0, 1, · ··, len— 1)に対応するスカラ倍点 v— (i, j) * Paを計算する (ステップ S21 5)。

群演算部 203は、生成した各スカラ倍点 V— (i, j) * Pと、スカラ倍点 v— (i, j) * Pa とを用いて、 len個のテーブル Τ101、 Τ102、 · · ·、 T103を生成する（ステップ S220

) ο

[0087] 群演算部 203は、公開パラメータメモリ部 201に記憶している楕円曲線 Eaのパラメータ aa、 bb、合成数 n、楕円曲線 Ea上の点 Paを用いて、乱数 ksに対するスカラ倍点 (変換後秘密鍵) KST=ks * Paを計算する (ステップ S225)。

格納処理部 204は、ステップ S220にて生成されたテーブル Τ101、 Τ102、 · · ·、 Τ 103を署名生成装置 10のテーブルメモリ部 102に格納し、ステップ S225にて算出された KST( = ks * Pa)を署名生成装置 10の変換後秘密鍵メモリ部 105に格納する（ステップ S230)。

[0088] これにより、格納処理部 204は、元対 (V— (i, j) * P, v— (i, j) * Pa) (i=0または l、j = 0, 1, · ··, len— 1)を署名生成装置 10のテーブルメモリ部 102に格納することがでさる。

1. 7 実施の形態の動作検証ここでは、上記実施の形態における署名生成プログラム 110が、従来型の楕円 DS A署名方式の署名生成にて生成される署名と同一の署名を生成することを以下に示す。

[0089] 署名生成プログラム 110では、ランダム元生成モジュール 124において、ランダムな点 Pkを計算している。さらに署名生成プログラム 110では、ランダム元生成モジュール 124において、スーパーァノマラス楕円曲線 Eaにおける Pakを計算している。ここで、テーブルメモリ部 102の元対に含まれる楕円曲線 E上の点とスーパーァノマラス楕円曲線 Ea上の点はそれぞれ、点 P、点 Paに対する離散対数が同じ値となっている。すなわち、選択モジュール 123で元対を選択し、ランダム元生成モジュール 12 4では選択した元対に含まれる点をそれぞれの楕円曲線 E、 Ea上で加算するため、 Pに対する Pkの離散対数と、 Paに対する Pakの離散対数は同じ値 (ここでは、 v_(u _0, 0)+v_(u_l, 1) + ···+ν一 (u_len— 1, len— 1)である。）となる。この離散対数を従来型の楕円 DS A署名方式のステップ S 2にて生成される乱数 kとみなすことで、署名生成プログラム 110が生成する S= (r, s)は、従来型の楕円 DSA署名方式の署名生成にて生成される署名 Sと同じとなる。

[0090] 以下、署名生成プログラム 110が生成する S= (r, s)と、従来型の楕円 DSA署名方式の署名生成にて生成される署名 Sとが同一となることを示す。

点 Paに対する点 Qaの離散対数 cQについて考える。上述したように、 Qa=r*KS T+hPaであり、 KST=ks*Pa, hPa = h*Paである。これにより、 Qa=(rXks + h) * Paとなることが分かる。したがって、点 Paに対する点 Qaの離散対数は cQは、 cQ = rXks + hとなる。また、点 Paに対する点 Pakの離散対数は ckは、 ck=kとなる。

[0091] 以下、この理由を示す。

上記【こて示すステップ S30【こより ckl = Pak mod pi, Pal = Pa mod piであり、上記にて示すステップ S31により ckl = ck*Palであることから、 ckl = Pak mod pi =ck*Pa mod pi となる。一方、 Pakの算出方法により、 Pak=k* Pa m od nである。ここで、 n=plXp2であることから、（Pak mod n) mod pi =Pa k mod piとなり、 ckl = Pak mod pi =k*Pa mod piである。したがって、この式より、 ckl = ck*Pal= ck*Pa mod pi =k*Pa mod piとなり、この式より ck = kとなることが分かる。

[0092] 上記（6— 9)にて示すょぅに、5 =。。<3， mod q =cQ ' /ck' mod q =c

Q X β / ick X β ) mod q = (r X ks+h) /k mod q となるので、除算モジュール 129は、従来型の楕円 DSA署名方式の署名生成のステップ S4で求める値 sを算出していることになる。

また、署名生成プログラム 110の主要演算モジュール 126にて算出される値 rは、従来型の楕円 DS A署名方式の署名生成と同じく点 Pの k倍点である。

[0093] したがって、主要演算モジュール 126にて算出される値 rと、除算モジュール 129にて算出される値 sとの組が、従来型の楕円 DS A署名方式の署名生成にて生成される署名 Sと同一になる。

以上より、実施の形態における署名生成プログラム 110は正しく署名生成できることが分かる。

1. 8 実施の形態の効果

秘密パラメータメモリ部 103、署名生成プログラム 110の逆変換モジュール 127と乗算モジュール 128が解析困難な場合に、解析者は nの因数である pl、 p2を知らないため、スーパーァノマラス楕円曲線における離散対数問題を解くことができない。解析者は、変換後秘密鍵 KSTと Pakを解析可能であるが、スーパーァノマラス楕円曲線における離散対数問題を解けな、ため、これらから秘密鍵 ks及び Pakの離散対数 kを求められない。

[0094] ここで、 Pakの離散対数 kを求められな、ようシステムを設計した理由につ、て、以下で説明する。もし、解析者力を知ることができれば、 r、 s、 h及び qは解析者が知ることができるため、 s = (r X ks + h)Zk mod qから、解析者が秘密鍵 ksを求めることができてしまう。したがって、 Pakの離散対数 kは求められないようシステムを設計する必要がある。

[0095] また、従来の楕円 DS A署名方式の署名生成において、秘密鍵 ksだけでなぐ乱数 kをも秘密にする必要がある。

なぜなら、値 h、 r、 sは、解析者 (攻撃者）が知ることができる。さらに、乱数 kが知られると、ステップ S4により秘密鍵 ksを求めることが可能である力もである。そこで、本発明は、乱数 k及び秘密鍵 ksが用いられるステップ S 2及び 4において、解析者による解析を困難にして、る。

[0096] 本発明では、上述したように、ステップ S4の解析を困難にするために、スーパーァノマラス楕円を用いた準同型変換を利用することにより、秘密鍵 ksと乱数 kとをスーパーァノマラス楕円上に点に変換して、解析者が解析できないようにしている。したがつて、解析者は秘密鍵 ksを知ることができなくなるため、実施の形態における署名生成システムは安全である。

[0097] ここで、従来型の楕円 DSA署名方式と本発明の楕円 DSA署名方式との対応について図 9を用いて説明する。

図 9は、本発明の楕円 DSA署名方式の動作のうち、従来型の楕円 DSA署名方式の署名生成におけるステップ S4に対応する動作部分を示す。

図 9において破線で囲んだ処理群 310は、図 6にて示すステップ S140に対応している。ここで、処理群 310は、変換後秘密鍵メモリ部 105と、 r *KSTを算出する処理群 301と力構成されて、る。

[0098] 処理群 311は、ステップ S 130に対応している。ここで、処理群 311は、公開パラメ一タメモリ部 104と、 hPaを算出する処理群 302とから構成されて、る。

処理群 310及び処理群 311による結果を加算する処理群 303は、ステップ S 145に対応している。

離散対数問題 cQを算出する処理群 304はステップ S 150に対応し、離散対数 ckを算出する処理群 305は、ステップ S 155に対応して、る。

[0099] 処理群 304及び 305の算出結果それぞれに βを乗算する処理群 306は、ステップ S160力ら S170に対応して!/ヽる。

さらには、署名データ S= (r, s)に含まれるデータ sを算出する処理群 307は、ステップ S175、 S 180【こ対応して!/ヽる。

処理群 320は解析可能な領域にて実行され、処理群 321は、上述したように、処理内容の解析を困難にするために、ハード対策やソフトウェア対策により耐タンパ性を有する領域で実行される。

[0100] ここで、上述したように、秘密鍵 ksは、 KST( = ks * Pa)に予め変換され記憶されており、秘密鍵 ks自体は署名生成を行う際には現れることはないので、解析者は秘密鍵 ksを知ることができない。また、乱数 kは、そのままの値で、解析可能な領域にて現れることはない。乱数 kは、解析可能な領域では、スーパーァノマラス楕円上に点に変換されているので、解析が困難となる。

[0101] また、スーパーァノマラス楕円を用いた準同型変換を用いると、乱数 kの代わりに、ァノマラス楕円 Eaにおける k * Pが必要になり、さらには、 kを算出するために、楕円 D SA署名方式による署名を行う楕円 Eの k * Pkと、ァノマラス楕円 Eaにおける k * Paとが必要になる。

そこで、本発明は、テーブルメモリ部 102、乱数生成モジュール 122、選択モジユール 123及びランダム元生成モジュール 124を用いて、 kを生成し使用することなく k* P及び k * Paを算出している。これにより、従来型の楕円 DS A署名方式のステップ S 2により R ( = k* P)を求める際には、乱数 kが現れている力本発明では、乱数 kを出現させることなく Pk(=k * P)を算出しているので、 Pkの算出時には kを求めることができない。また、算出結果力も kを求めることも困難にしている。

[0102] 従来、秘密鍵 ks及び乱数 kを解析困難にするためには、ステップ S 2及びステップ S 4の実行において、ハード対策を施す必要がある。し力しながら、本発明では、離散対数問題を解き、解を用いる動作部分 (処理群 304、 305、及び 306)に対して解析が困難になるようにハード対策を施せばよい。これにより、ハード対策を施す部分が限定されるので、署名生成装置の実装が従来より容易となる。

[0103] また、図 10において、従来の楕円 DSA署名方式の署名生成による各ステップと、本発明の署名生成装置 10の構成要素による動作との対応を示す。なお、各構成要素間における接続線は、図 2及び図 4に示しているので、図 10では省略している。

ノ、ッシュ値生成モジュール 121により、ステップ S 1と同等の動作が実現できる。ステップ S2には、テーブルメモリ部 102、乱数生成モジュール 122、選択モジユール 123及びランダム元生成モジュール 124からなる構成群 401により、ステップ S2と同等の動作が実現できる。

[0104] 主要演算モジュール 126にて行われる値 rの算出により、ステップ S3と同等の動作が実現できる。変換モジュール 125、主要演算モジュール 126、逆変換モジュール 127、乗算モジユール 128及び除算モジュール 129からなる構成群 402により、ステップ S4と同等の動作が実現できる。

[0105] 署名データ生成モジュール 130により、ステップ S5と同等の動作が実現できる。

また、秘密パラメータメモリ部 103、公開パラメータメモリ部 104、変換後秘密鍵メモリ部 105は、各モジュールの動作に応じて利用される。

また、逆変換モジュール 127及び乗算モジュール 128からなる構成群 402は、上述したように、解析困難にするためにハード対策を施す必要がある部分である。

[0106] なお、解析困難にするためにハード対策を施すとしたが、これに限定されない。解析を困難にする対策であれば、ハード対策に限らず他の対策でもよい。

1. 9 変形例

上記に説明した実施の形態は、本発明の実施の一例であり、本発明はこの実施の形態に何ら限定されるものではなぐその旨を逸脱しな、範囲にぉ、て種々なる態様で実施し得るものである。例えば、以下のような場合も本発明に含まれる。

[0107] (1)実施の形態において、 p、 q、 uのビット数 lenを 160としている力これに限らない。 160より大きい、例えば 192や 224としてもよい。また、 nのビット数を 1024としてヽる力これに限らな！/、。 1024より大き!/、、 f列えば、 2048や 4096としてもよ!/、。

(2)実施の形態では、署名生成プログラムの形態であるが、これを暗号化プロダラムゃ復号ィ匕プログラムの形態としてもょ、。

[0108] (3)実施の形態においては、第 2の群として楕円曲線 Ea上の群を使用した力これに限定されない。第 2の群として剰余整数環の乗法群や、その他の群を利用するとしてもよい。

また、実施の形態では楕円曲線のスカラ倍演算を行って、整数を変換したが、これに限定されない。整数を変換する演算として、群の冪演算を用いてもよい。ここで、冪演算とは、群の基本演算、すなわち、剰余整数環では乗算、楕円曲線上の群では楕円曲線加算を、整数回行った結果を求める演算である。したがって、剰余整数環の乗法群の冪演算は冪乗演算、楕円曲線上の群の冪演算は楕円曲線のスカラ倍演算である。実施の形態では、第 2の群 Gaは、 Ea (GF (pl) ) X Ea (GF (p2) )であり、離散対数問題はこの「部分群」である、 Ea (GF (pl) )で解いているが、剰余整数環 ZZ nZの乗法群やその他の群の「部分群」にお、て離散対数問題を解、てもよ、。また、第 2の群を特許文献 3における剰余整数環の乗法群としてもよい。

[0109] (4)上記実施の形態において、第 2の群 Gaは、合成数 n (=pl X p2)に対する ZZ nZ上の楕円曲線上の群とした力これに限定されない。なお、 pi, p2は互いに異なるに素数である。

第 2の群 Gaは、合成数 n (=pl "m X p2)に対する対する ZZnZ上の楕円曲線上の群であってもよい。だたし、 mは 1以上の整数である。ここで、 pl 'mは piの m乗を示す。

[0110] または、第 2の群 Gaは、

Χ ρ2)に対する対する ZZnZ上の乗法群であってもよい。だたし、 mは 1以上の整数である。このとき、第 2の群の部分群は、 Z/pl "m Z上の乗法群としてもよい。

(5)上記実施の形態において、署名生成装置 10は、ランダム元生成モジュール 12 4にて 2つのランダム元（Pk、 Pak)を生成したが、これに限定されない。

[0111] ランダム元生成モジュール 124は、 1つのランダム元（例えば、 Pk)のみを生成してもよい。この場合、署名生成装置 10は、 2 X len個の元対の代わりに 2 X len個の P— (i, j)を格納している（i=0, l、j = 0, 1, · · · , len— 1)。署名生成装置 10は、 lenビットの乱数 uを生成すると、生成した乱数 uを用いて第 1の群 Gの元 Pkを算出する。算出方法は、上記実施の形態にて示す方法と同様であるため、ここでの説明は省略する。これにより、署名生成装置 10は、乱数 kを第三者に知られることがないように第 1 の群 Gの元 Pkを算出することができる。

[0112] または、ランダム元生成モジュール 124は、 2個以上のランダム元（Pk、 Pakl、 Pak 2、 · · ·、 Pakn)を生成してもよい（nは、 1以上の整数)。

(6)上記実施の形態において、署名生成装置 10における選択モジュール 123は、乱数生成モジュール 122にて生成された正整数 uをビット数が lenビットからなるビット表現に変換し、各ビットに対応する元対を選択したが、これに限定されない。

[0113] 選択モジュール 123は、乱数生成モジュール 122にて生成された正整数 uから直接元対を求めてもよい。このとき、テーブルメモリ部 102は、正整数 1、 2、 3、 '"に対して、元対 (V— 1*P, v_l * Pa)、 (v_2 * P, v_2 * Pa)、 (v_3 * P, v_3 * Pa)、 · · ·を記憶して!/、る

[0114] 選択モジュール 123は、乱数生成モジュール 122にて生成された正整数 uに対応する元対 (V— u * P, V— u * Pa)をテーブルメモリ部 102が記憶して!/、るテーブルから選択する。

ランダム元生成モジュール 124は、選択された元対 (V— u*P, V— u*Pa)に対して、 Pk=v_u*P、 Pak=v_u*Paとする。

[0115] 以降の動作は、実施の形態と同様であるので、ここでの説明は省略する。

以下、別の例を説明する。

または、テーブルメモリ部 102は、元対（V— 1*P, V— l*Pa)、（v— 2*P, v_2

* Pa)、（v— 3 * P, v— 3 * Pa)、 · · ·、 (v_t * P, v_t * Pa)を記憶して!/、る。 tは 1 以上の整数である。

[0116] 選択モジュール 123は、以下のようにして 1個以上の元対を選択する。

選択モジュール 123は、正整数 11カ¾以下である場合には、元対 (V— u*P, v_u

* Pa)をテーブルメモリ部 102が記憶して、るテーブル力も選択する。

選択モジュール 123は、正整数 11カ¾より大きい場合には、 u=tl+t2+ · · · +tpとなる tl、 t2、 · · ·、 tpを取得する。ここで、 pは、 2以上の整数であり、 tl、 t2、 · · ·、 tp のそれぞれは、 t以下の数である。選択モジュール 123は、取得した tl、 t2、 · · ·、 tp それぞれに対応する元対（v— tl*P, V— tl*Pa)、（v— t2*P, v— t2*Pa)、 ··· 、（v— tp*P, v—tp* Pa)をテーブルメモリ部 102が記憶しているテーブルから選択する。

[0117] ランダム元生成モジュール 124は、選択された元対が 1個である場合には、選択された元対（V一 u*P, V一 u*Pa)に対して、 Pk=v_u*Pゝ Pak=v一 u* Paとするランダム元生成モジュール 124は、選択された元対が 2個以上である場合には、選択された元対（V一 tl*P, V一 tl*Pa)、（V一 t2*P, v_t2*Pa)、 ···、（v一 tp* P, v tp*Pa)に対して、 v tl*P、v t2*P、 '.'、v tp*Pを楕円曲線 E上でカロ算することにより、 Pkを算出し、 V— 11 * Pa、 v_t2 * Pa、 · · ·、 v_tp * Paを楕円曲線 Ea上で加算することにより、 Pakを計算する。

[0118] 以降の動作は、実施の形態と同様であるので、ここでの説明は省略する。

(7)上記実施の形態において、ランダム元生成モジュール 124は、選択モジュール 123にて選択された len個全ての元対を用いて、 Pk及び Pakを算出した力これに限定されない。

ランダム元生成モジュール 124は、選択された len個の元対から w個の元対を選択し、選択した w個の元対を用いて Pk及び Pakを算出してもよい。ここで、 wは、 2以上 1 en以下の数である。

[0119] 例えば、数 wは予め与えられており、ランダム元生成モジュール 124は、選択された len個の元対からランダムに w個の元対を選択する。

また別の例として、ランダム元生成モジュール 124は、選択された len個の元対からビット値「1」に対応する w個の元対のみを選択してもよいし、ビット値「0」に対応する w個の元対のみを選択してもよ!/、。

[0120] または、ランダム元生成モジュール 124は、ビット値が 1であるビットの個数とビット値が「0」であるビットの個数とを比較し、個数が多いほうのビット値に対応する w個の元対のみを選択してもよい。

または、数 wは予め与えられており、ランダム元生成モジュール 124は、選択された len個の元対から、上位ビット w個分の元対を選択する。なお、ランダム元生成モジュール 124は、選択された len個の元対から、下位ビット w個分の元対を選択してもよい

[0121] ここでは、 wは、 2以上 len以下の数であるとした力 wは、 1以上 len以下の数であつてもよい。 w= lの場合、ランダム元生成モジュール 124は、選択された元対 (V— u* P, v_u* Pa)に対して、 Pk=v_u * P、 Pak=v_u * Paとする。

(8)本発明における分解組とは、上記実施の形態にて示すテーブルメモリ部 102の記憶内容としてもよいし、正整数 u毎に対する複数の分解対 (つまり、元対)、すなわち、正整数 uの各ビットに対して選択された分解対の組み合わせとしてもよ、。

[0122] (9)上記実施の形態において、署名生成は、署名生成プログラムにて生成されるとしたが、これに限定されない。

署名生成は、署名を生成するハードウェアにより生成されるとしてもょ、。つまり、署名生成プログラムに含まれる各モジュールは、上記にて説明した機能を達成する手段力もなるとしてもよ、。

[0123] (10)上記の各装置は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードデイスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記 RAMまたはハードディスクユニットには、コンピュータプロダラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムにしたがつて動作することにより、各装置は、その機能を達成する。ここでコンピュータプロダラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

[0124] (11)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI

(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSI であり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコンピュータシステムである。前記 RAMには、コンピュータプログラムが記憶されている。前記マイクロプロセッサ力前記コンピュータプログラムにしたがって動作することにより、システム LSIは、その機能を達成する。

[0125] (12)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能な ICカードまたは単体のモジュール力も構成されて、るとしてもよ、。前記 ICカードまたは前記モジュールは、マイクロプロセッサ、 ROM, RAMなどから構成されるコンピュータシステムである。前記 ICカードまたは前記モジュールは、上記の超多機能 L SIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記 ICカードまたは前記モジュールは、その機能を達成する。この ICカードまたはこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0126] (13)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラム力なるディジタル信号であるとしてもよい。また、本発明は、前記コンピュータプログラムまたは前記ディジタノレ信号をコンビュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD -ROM, MO、 DVDゝ DVD-ROM, DVD -RAM, BD (Blu—ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記コンピュータプログラムまたは前記ディジタル信号であるとしてもよい。

[0127] また、本発明は、前記コンピュータプログラムまたは前記ディジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

[0128] また、前記プログラムまたは前記ディジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記ディジタノレ信号を前記ネットワーク等を経由して移送すること〖こより、独立した他のコンピュータシステムにより実施するとしてちょい。

(14)これらの実施の形態及び変形例の組合せであってもよ!/、。

2.まとめ

本発明は、有限体上や楕円曲線上における離散対数問題を安全性の根拠とする署名方式 (例えば、 DSA署名方式や ECDSA署名方式)を実装したプログラムを、攻撃者が解析困難にするソースコード難読ィ匕方法を提供することを目的とする。

[0129] 以下に、本発明における特徴を以下に示す。

(1)本発明は、秘密鍵を用いて、メッセージに対するディジタル署名を生成する署名生成装置に実行させる署名生成プログラムであって、前記署名生成装置は、第 1 の群 Gに属する第 1の元と第 2の群 Gaに属する第 2の元との対である元対を複数個記憶して、るテーブルメモリ部と、前記署名生成プログラムを記憶して、るプログラムメモリ部と、前記プログラムメモリ部に記憶されている前記署名生成プログラムから 1 個ずつコンピュータ命令を読み出し、解釈し、その解釈結果に応じて動作するプロセッサとを備え、前記署名生成プログラムは、第 1の整数を生成する整数生成モジユールと、前記第 1の整数に基づいて、前記テーブルメモリ部で記憶している複数の前記元対の中から、複数の前記元対を選択し、出力する選択モジュールと、前記選択モジュールが出力した複数の前記対を使用して、前記第 1の群 Gに属する第 3の元と前記第 2の群 Gaに属する第 4の元を計算する群演算モジュールとを含み、前記第 1の元と前記第 2の元はそれぞれ、前記第 1の群 Gに属する予め与えられた元である第 1 の基本元 Pと、前記第 2の群 Gaに属する予め与えられた元である第 2の基本元 Paと、予め与えられた正整数である冪数に対して、前記冪数を冪とした前記第 1の基本元 P の前記第 1の群 Gにおける冪演算を行うことで得られる元と、前記冪数を冪とした前記第 2の基本元 Paの前記第 2の群 Gaにおける冪演算を行うことで得られる元であることを特徴とする。

[0130] (2)上記（1)の署名生成プログラムにおいて、前記選択モジュールは、前記第 1の整数のビット値ごとに一つの前記対を選択するとしてもよい。

(3)上記（2)の署名生成プログラムにおいて、前記第 3の元は、前記選択モジユールが選択した前記対の個々に含まれる前記第 1の群 Gに属する元のすべてに対して、前記第 1の群 Gの基本演算を行った結果得られる前記第 1の群 Gの元であり、前記第 4の元は、前記選択モジュールが選択した前記対の個々に含まれる前記第 2の群 Gaに属する元のすべてに対して、前記第 2の群 Gaの基本演算を行った結果得られる前記第 2の群 Gaの元であるとしてもよ、。

[0131] (4)上記（1)から（3)のいずれかに記載の署名生成プログラムにおいて、前記署名生成プログラムはさらに、前記第 2の群 Ga上の冪演算を行うことにより、整数を前記第 2の群に属する元に変換する変換モジュールと、前記第 2の群 Ga上の基本演算を行う主要演算モジュールと、前記第 2の群 Gaまたは、前記第 2の群 Gaが真に含む前記第 2の群 Gaの部分群 Saにおける前記変換モジュールで行う変換の逆変換を行う逆変換モジュールとを含むとしても、ょ、。

[0132] (5)上記（1)から (4)のいずれかに記載の署名生成プログラムにおいて、前記署名生成装置はさらに、前記秘密鍵と前記第 2の基本元から生成される前記第 2の群に属する元である変換後秘密鍵を記憶して!/、る変換後秘密鍵メモリ部を備え、前記署名生成プログラムはさらに、前記変換後秘密鍵メモリ部に記憶されてヽる変換後秘密鍵を用いて、前記第 2の群 Gaの冪演算を行う変換後秘密鍵演算モジュールとを含むとしてちよい。

[0133] (6)上記（1)から（5)のいずれかに記載の署名生成プログラムにおいて、前記第 1 の群 G及び前記第 2の群 Gaは、剰余整数環の乗法群であるとしてもよ!、。

(7)上記（1)に記載の署名生成プログラムにおいて、前記第 2の群 Gaは、 2つの素数 p、 qと正整数 mを用いて表される n=p"m X qに対し、 Z/nZの乗法群であるとしてもよい (ただし、 x'yは Xの y乗を示す)。

[0134] (8)上記（7)に記載の署名生成プログラムにおいて、前記部分群 Saは、 Z/p"m

Zの乗法群であるとしてもよい。

(9)上記（8)に記載の署名生成プログラムにおいて、前記正整数 mは 2であるとしてもよい。

(10)上記（1)から（5)の、ずれかに記載の署名生成プログラムにお、て、前記第 1 の群 Gは楕円曲線の群であり、前記部分群 Saは、ァノマラス楕円曲線の群であるとしてもよい。

[0135] (11)上記（1)から（5)のいずれかに記載の署名生成プログラムにおいて、前記第 2 の群 Gaは、二つのァノマラス楕円曲線の群の直積であるとしてもよい。

( 12)上記（ 1)から（5)、（ 11)及び（ 12)の、ずれかに記載の署名生成プログラムにおいて、前記逆変換モジュールは、前記第 2の群 Gaに属する元を前記部分群 Saに属する元に還元する還元手段を備えるとしてもよ、。

[0136] (13)本発明は、群の演算を行う演算装置に実行させる演算プログラムであって、前記演算装置は、第 1の群 Gに属する第 1の元と第 2の群 Gaに属する第 2の元との対を複数個記憶して、るテーブルメモリ部と、前記署名生成プログラムを記憶して、るプログラムメモリ部と、前記プログラムメモリ部に記憶されて、る前記署名生成プログラムから 1個ずつコンピュータ命令を読み出し、解釈し、その解釈結果に応じて動作するプロセッサとを備え、前記演算プログラムは、第 1の整数を生成する整数生成モジュールと、前記第 1の整数に基づいて、前記テーブルメモリ部で記憶している複数の前記対の中から、複数の前記対を選択する選択モジュールと、前記選択モジュールが選択した複数の前記対を使用して、前記第 1の群 Gに属する第 3の元と前記第 2の群 Gaに属する第 4の元を計算する群演算モジュールとを含み、前記第 1の元と前記第 2の元はそれぞれ、予め与えられた前記第 1の群 Gに属する元である第 1の基本元 P と、予め与えられた前記第 2の群 Gaに属する元である第 2の基本元 Paと、予め与えられた正整数である冪数に対して、前記冪数を冪とした前記第 1の基本元 Pの前記第 1 の群 Gにおける冪演算を行うことで得られる元と、前記冪数を冪とした前記第 2の基本元 Paの前記第 2の群 Gaにおける冪演算を行うことで得られる元であることを特徴とする。

[0137] (14)本発明は、秘密鍵を用いて、メッセージに対するディジタル署名を生成する署名生成装置であって、第 1の群 Gに属する第 1の元と第 2の群 Gaに属する第 2の元との対を複数個記憶しているテーブルメモリ部と、第 1の整数を生成する整数生成部と、前記第 1の整数に基づいて、前記テーブルメモリ部で記憶している複数の前記対の中から、複数の前記対を選択する選択部と、前記選択部が選択した複数の前記対を使用して、前記第 1の群 Gに属する第 3の元と前記第 2の群 Gaに属する第 4の元を計算する群演算部とを備え、前記第 1の元と前記第 2の元はそれぞれ、予め与えられた前記第 1の群 Gに属する元である第 1の基本元 Pと、予め与えられた前記第 2の群 Gaに属する元である第 2の基本元 Paと、予め与えられた正整数である冪数に対して、前記冪数を冪とした前記第 1の基本元 Pの前記第 1の群 Gにおける冪演算を行うことで得られる元と、前記冪数を冪とした前記第 2の基本元 Paの前記第 2の群 Gaにおける冪演算を行うことで得られる元であることを特徴とする。

[0138] (15)上記（14)に記載の署名生成装置において、前記選択部は、前記第 1の整数のビット値ごとに一つの前記対を選択するとしてもよい。

(16)上記（14)または（15)に記載の署名生成装置において、前記第 3の元は、前記選択部が選択した前記対の個々に含まれる前記第 1の群 Gに属する元のすべてに対して、前記第 1の群 Gの基本演算を行つた結果得られる前記第 1の群 Gの元であり、前記第 4の元は、前記選択部が選択した前記対の個々に含まれる前記第 2の群 Gaに属する元のすべてに対して、前記第 2の群 Gaの基本演算を行った結果得られる前記第 2の群 Gaの元であるとしてもよ、。

[0139] (17)上記にて示す署名生成プログラムにおける署名方式は、有限体上や楕円曲線上における離散対数問題を安全性の根拠としているので、攻撃者が解析困難にすることができ、その価値は大きい。

また、上記にて示す署名生成装置は、有限体上や楕円曲線上における離散対数問題を安全性の根拠とする署名方式にて署名生成を行うので、攻撃者が解析困難にすることができ、その価値は大きい。

[0140] (18)また、本発明は、群 G上の離散対数問題を安全性の根拠として、群 G上の基本元 Pについて基本演算を複数回繰り返す冪演算を施す演算装置であって、複数の数の各々に分解組が予め対応付けられており、各分解組は複数の分解値を含み、各分解値は基本元 Pについて任意の正整数を冪とする冪演算が施されて算出された群 G上の元であり、前記演算装置は、前記複数の分解組を記憶する分解対記憶手段と、前記複数の数カゝらランダムに数 uを選択し、選択した数 uに対応する分解組を前記分解値記憶手段から選択する選択手段と、選択された分解組に含まれる全ての分解値について、前記群 Gの基本演算を施して、冪乗元を生成する生成手段とを備えることを特徴とする。

[0141] (19)以上説明したように、本発明によると、演算に使用する値の隠蔽だけでなぐ演算そのものを隠蔽することができる。

産業上の利用可能性

[0142] 本発明を構成する各装置、各方法及びコンピュータプログラムは、情報を安全かつ確実に扱う必要があるあらゆる産業において、経営的に、また継続的及び反復的に使用することができる。また、本発明を構成する各装置、各方法及び各コンピュータプログラムは、電器機器製造産業において、経営的に、また継続的及び反復的に、製造し、販売することができる。

Claims

請求の範囲

[1] 群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pについて並びに群 Ga上の基本元 Paについて基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置であって、複数の数の各々に分解組が予め対応付けられており、各分解組は複数の分解対を含み、各分解対は第 1の分解値と第 2の分解値とを含み、各第 1の分解値は基本元 Pについて任意の正整数を冪とする冪演算が施されて算出された群 G上の元であり、各第 2の分解値は基本元 Paについて当該第 2の分解値に対応する第 1の分解値において用いられた正整数を冪とする冪演算が施されて算出された群 Ga上の元であり、

前記署名生成装置は、

前記複数の分解組を記憶する分解値記憶手段と、

前記複数の数カゝらランダムに数 uを選択し、選択した数 uに対応する分解組を前記分解値記憶手段から選択する選択手段と、

選択された分解組に含まれる 2つ以上の第 1の分解値について、前記群 Gの基本演算を施して、第 1の冪乗元を生成し、選択された分解組に含まれ、且つ前記 2っ以上の第 1の分解値のそれぞれに対応する第 2の分解値について、前記群 Gaの基本演算を施して、第 2の冪乗元を生成する生成手段と、

生成された前記第 1の冪乗元及びメッセージそれぞれを群 Ga上の元に変換し、変換された第 1の冪乗元、変換されたメッセージ及び前記第 2の冪乗元に対して前記群 Ga上の演算を施し、第 1の離散対数及び第 2の離散対数を算出し、算出した第 1及び第 2の離散対数を用いて、メッセージに対するディジタル署名を生成する署名手段と

を備えることを特徴とする署名生成装置。

[2] 前記複数の数の各々は、長さが 2以上の所定長力もなるビット列で表現される数であり、

前記所定長力もなるビット列の各ビット値に応じて分解対が対応付けられており、前記選択手段は、選択した前記数 Uを前記所定長のビット列力なるビット表現へと変換し、各ビットそれぞれの値に応じた分解対からなる前記分解組を前記分解値記憶手段から選択する

ことを特徴とする請求項 1に記載の署名生成装置。

[3] 前記生成手段は、

ビット値ごとに選択された分解対からなる前記分解組に含まれる 2つ以上の第 1の分解値に対して、前記群 Gにおける基本演算を施して前記第 1の冪乗元を生成し、ビット値ごとに選択された分解対からなる前記分解組に含まれ、且つ前記 2つ以上の第 1の分解値のそれぞれに対応する第 2の分解値に対して、前記群 Gaにおける前記基本演算を施して前記第 2の冪乗元を生成する

ことを特徴とする請求項 2に記載の署名生成装置。

[4] 前記第 1の冪乗元は、 2つ以上の値を含み、

前記署名手段は、

前記メッセージに対するハッシュ値を冪とし、前記基本元 Paに対して群 Gaにおける前記冪演算を施すことにより、前記ハッシュ値を前記群 Gaに属する変換後ハッシュ値へと変換する変換部と、

前記第 1の冪乗元に含まれる 1つの値を用いて、第 1のデータを算出する第 1演算部と、

前記変換後ハッシュ値に、前記群 Ga上の基本演算を施し、前記群 Gaに属する第 3 の冪乗元を算出する第 2演算部と、

前記群 Ga又は前記群 Gaに真に含まれる部分群 Saにお、て、前記第 2の冪乗元及び前記第 3の冪乗元それぞれに対して、前記変換部にて行われる変換の冪演算の逆算を施すことにより、第 1及び第 2の離散対数を求める逆変換部と、

前記第 1及び前記第 2の離散対数を用いて、第 2のデータを算出する第 3演算部と前記第 1のデータと前記第 2のデータとの組からなるディジタル署名を生成するデータ生成部と

を含むことを特徴とする請求項 1に記載の署名生成装置。 [5] 前記署名生成装置は、さらに、

秘密鍵を冪として前記基本元 Paに対して前記群 Gaの基本演算を施して、前記群 Gaに属する変換後秘密鍵を記憶している変換後秘密鍵記憶手段を備え、

前記第 2演算部は、

前記変換後秘密鍵に対して前記第 1のデータを冪とする前記群 Gaの冪演算を施して得られる前記群 Ga上の元である演算結果と、前記変換後ハッシュ値とに対して前記群 Ga上の基本演算を施して前記第 3の冪乗元を算出する

ことを特徴とする請求項 4に記載の署名生成装置。

[6] 前記群 G及び前記群 Gaは、剰余整数環の乗法群であり、

前記群 G及び前記群 Gaのそれぞれにおける基本演算とは、各元に対して乗算を施す乗法演算であり、

前記群 G及び前記群 Gaのそれぞれにおける冪演算とは、正整数を冪数とする冪乗演算である

ことを特徴とする請求項 5に記載の署名生成装置。

[7] 前記群 Gaは、 2つの素数 p、 qと、正整数 mとを用いて表される n = p"m X qに対し、 ZZnZの乗法群であり、 Ίま冪乗算を示す演算子であり、 Xは、乗算を示す演算子であり、 Zは整数環であり、 ZZnZは剰余整数環である

ことを特徴とする請求項 6に記載の署名生成装置。

[8] 前記部分群 Saは、 ZZp"m Zの乗法群である

ことを特徴とする請求項 7に記載の署名生成装置。

[9] 前記正整数 mは 2である

ことを特徴とする請求項 8に記載の署名生成装置。

[10] 前記群 Gは、楕円曲線の群であり、

前記部分群 Saは、ァノマラス楕円曲線の群であり、

前記群 G及び前記群 Gaのそれぞれにおける基本演算とは、各元に対して楕円曲線上の加算を施す演算であり、

前記群 G及び前記群 Gaのそれぞれにおける冪演算とは、前記正整数に楕円曲線上の乗算を施す演算であることを特徴とする請求項 4に記載の署名生成装置。

[11] 前記群 Gは、楕円曲線の群であり、

前記群 Gaは、 2つのァノマラス楕円曲線の直積であり、

前記群 G及び前記群 Gaのそれぞれにおける冪演算とは、正整数に楕円曲線上の乗算を施す演算である

ことを特徴とする請求項 4に記載の署名生成装置。

[12] 前記逆変換部は、前記群 Gaに属する元を、前記部分群 Saに属する元に還元する還元部を含み、

前記逆変換部は、前記還元部を用いて前記第 2の冪乗元及び前記第 3の冪乗元それぞれを、前記部分群 Saに属する元に還元し、還元した元それぞれに対して、前記逆算を施すことにより、前記第 1の離散対数及び前記第 2の離散対数を求めることを特徴とする請求項 4に記載の署名生成装置。

[13] 群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pについて並びに群 Ga上の基本元 Paについて基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置であって、複数の数の各々に分解組が予め対応付けられており、各分解組は複数の分解対を含み、各分解対は第 1の分解値と第 2の分解値とを含み、各第 1の分解値は基本元 Pについて任意の正整数を冪とする冪演算が施されて算出された群 G上の元であり、各第 2の分解値は基本元 Paについて当該第 2の分解値に対応する第 1の分解値において用いられた正整数を冪とする冪演算が施されて算出された群 Ga上の元であり、

前記署名生成装置は、

前記複数の分解組を記憶する分解値記憶手段と、

前記複数の数カゝらランダムに数 uを選択し、選択した数 uに対応する分解対を前記分解値記憶手段から選択する選択手段と、

選択された分解対に含まれる第 1の分解値及びメッセージそれぞれを群 Ga上の元に変換し、変換された第 1の分解対、変換されたメッセージ及び選択された分解対に含まれる第 2の分解値に対して前記群 Ga上の演算を施し、離散対数問題を解!ヽて第 1及び第 2の離散対数を算出し、算出した第 1及び第 2の離散対数を用いて、メッセージに対するディジタル署名を生成する署名手段と

を備えることを特徴とする署名生成装置。

群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pにつヽて並びに群 Ga上の基本元 Paについて基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置で用いられる署名生成方法であって、

複数の数の各々に分解組が予め対応付けられており、各分解組は複数の分解対を含み、各分解対は第 1の分解値と第 2の分解値とを含み、各第 1の分解値は基本元 Pについて任意の正整数を冪とする冪演算が施されて算出された群 G上の元であり、各第 2の分解値は基本元 Paについて当該第 2の分解値に対応する第 1の分解値において用いられた正整数を冪とする冪演算が施されて算出された群 Ga上の元であり、

前記署名生成装置は、

前記複数の分解組を記憶する分解値記憶手段を備え、

前記署名生成方法は、

前記複数の数カゝらランダムに数 uを選択し、選択した数 uに対応する分解組を前記分解値記憶手段から選択する選択ステップと、

選択された分解組に含まれる 2つ以上の第 1の分解値について、前記群 Gの基本演算を施して、第 1の冪乗元を生成し、選択された分解組に含まれ、且つ前記 2っ以上の第 1の分解値のそれぞれに対応する第 2の分解値について、前記群 Gaの基本演算を施して、第 2の冪乗元を生成する生成ステップと、

生成された前記第 1の冪乗元及びメッセージそれぞれを群 Ga上の元に変換し、変換された第 1の冪乗元、変換されたメッセージ及び前記第 2の冪乗元に対して前記群 Ga上の演算を施し、第 1の離散対数及び第 2の離散対数を算出し、算出した第 1及び第 2の離散対数を用いて、メッセージに対するディジタル署名を生成する署名ステップと

を含むことを特徴とする署名生成方法。

[15] 群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pについて並びに群 Ga上の基本元 Paについて基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置で用いられる署名生成プログラムであって、

前記署名生成装置は、

前記複数の分解組を記憶する分解値記憶手段を備え、

前記署名生成プログラムは、

を含むことを特徴とする署名生成プログラム。

[16] 前記複数の数の各々は、長さが 2以上の所定長力なるビット列で表現される数であり、

前記所定長力もなるビット列の各ビット値に応じて分解対が対応付けられており、前記選択ステップは、

選択した前記数 Uを前記所定長のビット列力なるビット表現へと変換し、各ビットそれぞれの値に応じた分解対からなる前記分解組を前記分解値記憶手段から選択する

ことを特徴とする請求項 15に記載の署名生成プログラム。

[17] 前記生成ステップは、

ことを特徴とする請求項 16に記載の署名生成プログラム。

[18] 前記署名生成プログラムは、コンピュータ読み取り可能な記録媒体に記録されて、ることを特徴とする請求項 15に記載の署名生成プログラム。

[19] 群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pについて並びに群 Ga上の基本元 Paについて基本演算を複数回繰り返す冪演算を施すことにより、メッセージに対するディジタル署名を生成する署名生成装置の集積回路であつて、

前記集積回路は、

前記複数の分解組を記憶する分解値記憶手段と、前記複数の数カゝらランダムに数 uを選択し、選択した数 Uに対応する分解組を前記分解値記憶手段から選択する選択手段と、

を備えることを特徴とする集積回路。

群 G及び群 Ga上の離散対数問題を安全性の根拠として、群 G上の基本元 Pにつヽて並びに群 Ga上の基本元 Paについて基本演算を複数回繰り返す冪演算を施す演算装置であって、

前記演算装置は、

前記複数の分解組を記憶する分解値記憶手段と、

選択された分解組に含まれる 2つ以上の第 1の分解値について、前記群 Gの基本演算を施して、第 1の冪乗元を生成し、選択された分解組に含まれ、且つ前記 2っ以上の第 1の分解値のそれぞれに対応する第 2の分解値について、前記群 Gaの基本演算を施して、第 2の冪乗元を生成する生成手段とを備えることを特徴とする演算装置。