WO2010090068A1 - Authentication system, method and program - Google Patents

Authentication system, method and program Download PDF

Info

Publication number
WO2010090068A1
WO2010090068A1 PCT/JP2010/050538 JP2010050538W WO2010090068A1 WO 2010090068 A1 WO2010090068 A1 WO 2010090068A1 JP 2010050538 W JP2010050538 W JP 2010050538W WO 2010090068 A1 WO2010090068 A1 WO 2010090068A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
verification
commit
authentication
authentication information
Prior art date
Application number
PCT/JP2010/050538
Other languages
French (fr)
Japanese (ja)
Inventor
賢 尾花
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Publication of WO2010090068A1 publication Critical patent/WO2010090068A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the present invention relates to an authentication system, a setup device, a commit data generation / verification device, an authentication method, a setup device program, and a commit data generation / verification device program, and in particular, a commitment scheme that does not rely on computational assumptions for safety. It relates to the authentication system.
  • a technique called Commitment is known as a method to prevent the advancement of the protocol after determining the data of the other party after knowing the other party's data, as is the case after such a janken. ing.
  • Commitment is a protocol that consists of two phases, commit and disclosure / verification, in the presence of both sender and receiver.
  • the sender In the commit phase, the sender outputs commit data, disclosure data, and proof data based on the input data, and passes the commit data to the receiver.
  • the verifier passes disclosure data, commit data, and proof data to the receiver, and the receiver uses the passed disclosure data, commit data, and proof data as input, and verifies it.
  • the result “0” or “1” is output.
  • a verification result of 1 means that the input data and the disclosed data match, and a verification result of 0 means that the input data and the disclosed data are different. .
  • a and B execute a disclosure / verification phase, confirm the correctness of J_A and J_B, and then confirm which has won the janken.
  • the above protocol it becomes impossible for A and B to change their hands after sending the commit data, and either A or B sees the other's hand first. But you won't be able to change your hand to your advantage.
  • Non-Patent Document 1 to Non-Patent Document 4 shown below can be cited.
  • Non-Patent Document 1 describes a commitment scheme that has computational complexity and complete constraint using a pseudo-random number generator.
  • Non-Patent Document 2 describes a commitment method having complete secrecy and computational constraint using the difficulty of the discrete logarithm problem.
  • Non-Patent Document 3 it is assumed that there is a reliable third party who passes data used in the commit phase and the disclosure / verification phase, respectively, before the commit phase starts. Commitmen and methods that are both sex and fully constrained are described.
  • Non-Patent Document 4 also describes a completely confidential commitment scheme assuming the existence of a reliable third party who plays the same role as Non-Patent Document 3.
  • the method of Non-Patent Document 4 is a broadcast-type commitment method, in which n people receive one commit data at the same time, and at the time of disclosure / verification, the validity of the commit data is verified using the information each has. It is possible to verify. In addition, this method guarantees complete restraint unless k or more people collide.
  • Non-Patent Documents 3 and 4 are the commitment methods having both the property and the complete constraint.
  • Non-Patent Document 3 and Non-Patent Document 4 when many users participate in the protocol and it is not known in advance who will commit the data, each user can generate commit data, and In order to verify the commit data of other users, there is a disadvantage that data proportional to the total number of users n must be retained.
  • Non-Patent Document 3 assumes a commitment between a single sender and a single receiver, and calculates commit data for a plurality of receivers. There is a disadvantage that the bit length of the commit data increases in proportion to the number of recipients.
  • Non-Patent Document 4 in a situation where n participants commit their data as in multi-party calculation, each participant must hold an amount of data proportional to n. There is an inconvenience.
  • the object of the present invention is to reduce the amount of information that each participant must hold to the total number of users n even in a situation where it is not known in advance which n users will commit data, such as multi-party computation.
  • the object is to provide a setup device program and a commit / data generation / verification device program.
  • an authentication system of the present invention generates two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified, and each of the commit data
  • a setup device for operating each of the generation / verification devices, and the setup device includes an authentication information generation unit that generates authentication data and an authenticator used for the verification of each commit data generation / verification device.
  • the commit data generation / verification device includes an authentication information storage unit that stores a part of the authentication data and the authenticator, and the authentication information generation unit sets a constant in one of the variables in the two-variable polynomial. The authentication data and the authenticator are generated based on the substituted data.
  • a setup apparatus of the present invention generates commit data and operates each of two or more commit data generation / verification apparatuses that verify whether or not the verification target data relating to the commit data is falsified.
  • a setup device comprising: an authentication information generator for generating authentication data and an authenticator used for the verification of each commit data generation / verification device, wherein the authentication information generator is one of the variables in the two-variable polynomial. The authentication data and the authenticator are generated based on data in which a constant is substituted for.
  • a commit data generation / verification apparatus is a commit data generation / verification apparatus that generates commit data and verifies whether or not the verification target data relating to the commit data is falsified.
  • a mask data storage unit that stores mask data generated to conceal the verification target data
  • an authentication information storage unit that stores authentication data used for the verification and an authenticator for the mask data
  • a verification target data storage unit for storing verification target data
  • a commit data generation unit for generating the commit data for concealing the verification target data based on the mask data
  • all other devices and the own device output Commit data storage for storing each commit data, and mask data in other devices
  • Commit data verification that verifies the non-falsification of other verification target data and outputs the verification result on the basis of the authenticator, its authenticator, a part of the authentication data in its own device, and the other commit data
  • the authentication information storage unit stores the authentication data and the authenticator generated based on data in which a constant is substituted for one of the variables in the two-variable polynomial
  • the authentication method of the present invention includes two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified,
  • An authentication system comprising a setup device for operating each commit data generation / verification device, wherein the commit data generation / verification device is an authentication method for verifying the verification target data.
  • the mask data generation unit in the setup device generates mask data for concealing the verification target data, and subsequently generates authentication information for the verification and authentication information for the mask data in the setup device.
  • the setup device program of the present invention operates at least two commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified.
  • a program for a setup device capable of realizing various functions in a computer included in the setup device for generating a mask data for concealing the verification target data related to each commit data generation / verification device
  • One of the variables in the bivariate polynomial Is characterized in that the function of generating the authentication data and the authenticator and its contents based on the data obtained by substituting the constant, to achieve this in the computer.
  • the commit data generation / verification apparatus program generates commit data and verifies whether or not the verification target data relating to the commit data is falsified.
  • a commit data generation / verification apparatus program capable of realizing various functions in a computer included in the apparatus, the mask data storage function storing mask data generated to conceal the verification target data;
  • An authentication information storage function for storing authentication data used for the verification and an authenticator for the mask data, a verification target data storage function for storing the verification target data, and concealing the verification target data based on the mask data
  • Commit data generation function for generating the commit data, and others Commit data storage function for storing all commit data output by the device and the device itself, mask data and its authenticator in the other device, a part of the authentication data in the device, and the other commit
  • a commit data verification function that verifies the non-falsification of other verification target data based on the data and outputs the verification result is realized in the computer.
  • the computer is caused to execute a function of storing the authentication data
  • the authentication information generation unit Is configured to generate authentication data and an authenticator based on data obtained by assigning a constant to one of the variables in the bivariate polynomial, the data required for generating and verifying the commit data is Can be reduced to an amount proportional to k ( ⁇ n), which is the number of commit data generation / verification devices that need to be collocated to threaten the security, thereby enabling authentication such as commit data generation / verification Therefore, it is possible to reduce the amount of data necessary for authentication and increase the processing speed for authentication.
  • the commitment generation / verification system 1 generates two or more commit data generation / verification apparatuses 200 (200-1) that generate commit data and verify whether or not the verification target data relating to the commit data has been falsified. 200-n) and a setup device 100 for operating each of the commit data generation / verification devices 200 (200-1 to 200-n).
  • the number of commit data generation / verification apparatuses 200 is represented as n.
  • the device numbers are i and j.
  • the setup apparatus 100 includes an authentication information generation unit 102 that generates authentication data and an authenticator used for the verification of the commit data generation / verification apparatuses 200 (200-1 to 200-n).
  • the setup apparatus 100 outputs a mask value stored in the all commit data generation / verification apparatus 200 and authentication information including an authenticator for the mask value.
  • the authentication information generation unit 102 generates the authentication data and the authenticator based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
  • the commit data generation unit 205-1 receives the verification target data stored in the data storage unit 201-1 in the apparatus, and outputs the commit data.
  • the commit / data verification unit 206-1 outputs another commit / data output from another commit / data generation / verification device 200 (with the device number j) stored in the commit / data storage unit 204-1 in the device.
  • Data other verification target data stored in the data storage unit 201-j of the device number j, a part of the authentication information stored in the authentication information storage unit 202-j of the device number j, and the device number j
  • the other mask value (other mask data) stored in the mask value storage unit 203-j is input, and the other verification target data stored in the device number j is the commit data generated by the device number j.
  • Whether or not falsification has been made is verified from other verification target data at the time, and 1 is output when it is determined that no falsification has been made, and 0 is output when it is determined that falsification has been performed. *
  • the authentication information generation unit is configured to generate authentication data and an authenticator based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
  • the data necessary for the generation / verification of commit data is proportional to k ( ⁇ n), which is the number of commit data generation / verification devices 200 that need to be collocated in order to threaten the constraint of the commitment method. It is possible to reduce the amount of data required for authentication such as commit / data generation / verification, thereby reducing the processing speed required for authentication. It is possible to increase the speed.
  • FIG. 1 is a block diagram showing an example of the overall configuration of the commitment generation / verification system according to the first embodiment of the present invention.
  • the commitment generation / verification system 1 of this embodiment includes a setup device 100 and a plurality of commit data generation / verification devices 200 (200-1 to 200-n). Communication between the setup device 100 and each commit data generation / verification device 200 (200-1 to 200-n), between each commit data generation / verification device 200 (200-1 to 200-n), etc. It is possible to exchange data and information.
  • the setup apparatus 100 includes a mask value generation unit 101 as a mask data generation unit and an authentication information generation unit 102.
  • the mask value generation unit 101 generates and outputs n independent random numbers r_1, r_2,..., R_n for masking data held by the commit data generation / verification apparatuses 200-1 to 200-n. It has a function.
  • the authenticator a_i generated here is generated based on a method that makes it difficult to generate a valid authenticator a′_i for a value r′_i other than r_i even when less than k devices cooperate. It is characterized by being.
  • the present embodiment is characterized in that a bivariate polynomial is used to generate such an authenticator.
  • the authentication information generation unit 102 includes a two-variable polynomial generation / calculation unit 1021 for generating an authenticator.
  • This two-variable polynomial generator / arithmetic unit 1021 generates a plurality of two-variable polynomials internally, and outputs a value obtained by substituting the device number i for one variable of all the generated polynomials as e_i.
  • a variable obtained by substituting the device number i for the variable that has not been substituted for e_i for the polynomial is output as f_i.
  • the authentication information generation unit 102 has a two-variable Kth order polynomial random generation function that randomly and independently generates at least two two-variable Kth order polynomials.
  • the authentication information generation unit 102 may include a constant such as first data in which a constant, for example, a device number is substituted for one of the variables in one of the generated two-variable Kth order polynomials, and one of the variables in the other two-variable Kth order polynomials.
  • a constant such as first data in which a constant, for example, a device number is substituted for one of the variables in one of the generated two-variable Kth order polynomials, and one of the variables in the other two-variable Kth order polynomials.
  • the authentication information generation unit 102 uses a constant such as the third data in which a constant, for example, a device number is substituted for the other variable in the generated one-variable K-degree polynomial, and a constant, for example, the other variable in the other two-variable K-degree polynomial.
  • An authentication information verification key generation function for generating an authentication information verification key based on the fourth data substituted with the device number is provided.
  • the authentication information generation unit 102 has an authenticator generation function for generating an authenticator for the mask data based on the generated authentication information generation key and mask data.
  • the mask value generation unit 101 as the mask data generation unit has independent random numbers corresponding to the number of the devices for masking the verification target data held by the commit / data generation / verification devices 200, respectively. Each data is generated as mask data.
  • the authentication information generation unit 102 outputs each random number data, each authentication information verification key, and each authenticator.
  • the data storage unit 201-i is a storage device that stores data d_i (data to be verified) that is a target of commitment.
  • the data storage unit 201-i outputs data to the commit data generation unit 205 when generating commit data, Data is output to the commit data verification unit 206-j (i ⁇ j).
  • the authentication information storage unit 202-i stores the authentication information verification key f_i that is data generated by the authentication information generation unit 102 and is a part of the authentication data used for verification, and an authenticator for the mask data (random number data). Store a_i. In other words, the authentication information storage unit 202-i stores the authentication data and the authenticator generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
  • the mask value storage unit 203-i stores the mask data (mask information) r_i output from the mask value generation unit 101 in order to keep the verification target data confidential.
  • the commit data generation unit 205-i receives the data d_i stored in the data storage unit 201-i and the mask data r_i stored in the mask value storage unit 203-i as input, and the data stored in the data storage unit 201-i Generate and output commit data c_i for d_i. Thereby, the commit data generation unit 205-i generates the commit data c_i that conceals data (data to be verified) d_i based on the mask data r_i.
  • the commit data verification unit 206-i includes the mask data r_j in the other device 200-j and its authenticator a_j, the authentication information verification key f_i that is a part of the authentication data in the own device 200-i, and the other Based on the commit data c_j, the non-falsification of the other verification target data d_j is verified and the verification result is output.
  • the commit data verification unit 206-i is generated based on the other detection target data d_j stored in the data storage unit 201-j of the other commit data generation / verification device 200-j.
  • the other commit data c_j stored in the section 204-i, the authentication information verification key f_i stored in the authentication information storage section 202-i, and the mask value storage section 203-j of the other commit data verification section 206-j The other mask data r_j to be stored and the other authenticator a_j stored in the authentication information storage unit 202-j of the other commit data verification unit 206-j) are input, and “0” or “ 1 "is output.
  • the verification result “1” means that the input data and the disclosed data match, and the verification result “0” means that the input data and the disclosed data are different. It means that
  • the setup device 100 and the commit data generation / verification device 200 shown in FIG. 1 are realized by a semiconductor integrated circuit such as an LSI (Large Scale Inter- lation) or a DSP (Digital Signal Processor) configured by a logic circuit, for example.
  • LSI Large Scale Inter- lation
  • DSP Digital Signal Processor
  • the setup device 100 and the commit / data generation / verification device 200 input a command, information, and the like to the processing device 10 that executes predetermined processing according to a program and the processing device 10. It may be realized on software by a computer including an input device 20 for monitoring and an output device 30 for monitoring the processing result of the processing device 10.
  • the processing device 10 shown in FIG. 2 includes a CPU 11, a main storage device 12 that temporarily stores information necessary for the processing of the CPU 11, a setup device 100 described later in the CPU 11, and a commit data generation unit 205 (205-1 to 205). -N) and a recording medium 13 on which a program for executing processing as the commit data verification unit 206 (206-1 to 206-n) is recorded.
  • the processing device 10 also includes a data storage device 14 that stores data to be committed, authentication information, a mask value, and commit data, a main storage device 12, a recording medium 13, and a data storage device 14.
  • a memory control interface unit 15 that controls data transfer to and from the I / O interface unit 16 that is an interface unit between the input device 10 and the output device 30, and a communication interface (not shown). Connected configuration.
  • the data storage device 14 does not need to be in the processing device 10 and may be provided independently of the processing device 10.
  • the processing device 10 includes a setup device 100, a commit data generation unit 205 (205-1 to 205-n), and a commit data verification unit 206 (206-1 to 206-n), which will be described later, according to the program recorded on the recording medium 13.
  • the recording medium 13 may be a magnetic disk, a semiconductor memory, an optical disk, or other recording medium.
  • FIG. 3 is a flowchart showing an example of an operation processing procedure of the setup device in the commitment generation / verification system according to the embodiment of the present invention.
  • FIG. 4 is a flowchart showing an example of an operation processing procedure at the time of commit / data generation of the commit / data generation / verification apparatus.
  • FIG. 5 is a flowchart illustrating an example of an operation processing procedure at the time of commit data verification.
  • the operation processing procedure in commitment generation / verification includes two or more commit data generation / verification devices 200 that generate commit data and verify whether or not the verification target data relating to the commit data has been tampered with,
  • the authentication system includes a setup device 100 for operating each commit data generation / verification device 200, and performs authentication for verifying the verification target data.
  • the overall operation processing procedure in the commitment generation / verification according to the present embodiment is as a basic procedure: mask data for concealing the verification target data related to each commit data generation / verification device 200 is the setup device 100. Is generated by a mask value generation unit 101 as a mask data generation unit (step S1: mask data generation step shown in FIG. 3).
  • an authentication information generation unit 102 in the setup apparatus 101 generates authentication data for the verification data and the mask data used for the verification as authentication information (steps consisting of steps S2 to S4 shown in FIG. 3: authentication information) Generation step).
  • the commit data for concealing the verification target data based on the mask data is converted into the commit data generation unit 205 (205-1 to 205-n) in the commit data generation / verification apparatus 200 (200-1 to 200-n). (Step consisting of step C1 to step C3 shown in FIG. 4: commit data generation step).
  • the mask data and its authenticator that is, other mask data and other authenticator
  • the commit data verification unit 206-i in the commit data generation / verification apparatus 200-i verifies the non-falsification of the other verification target data based on the commit data of this and outputs the verification result (step shown in FIG. 5) Step consisting of R1 to R6: commit data verification step).
  • the authentication data and the authenticator are generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
  • the first data in which the device number is substituted into one of the variables in the generated one-variable K-degree polynomial and the other two variables when generating the authentication information, the first data in which the device number is substituted into one of the variables in the generated one-variable K-degree polynomial and the other two variables.
  • An authentication information generation key generation process is performed to generate an authentication information generation key based on the second data in which the device number is substituted into one of the variables in the Kth order polynomial.
  • the third data in which the device number is substituted for the other variable in the generated one-variable K-degree polynomial and the other two-variable An authentication information verification key generation process for generating an authentication information verification key is performed based on the fourth data in which the device number is substituted for the other variable in the Kth order polynomial.
  • an authenticator generation process for generating an authenticator for the mask data based on the generated authentication information generation key and the mask data is performed.
  • step S2 authentication information generation key generation step or function, authentication information verification key generation step or function).
  • the random number data (mask data) r_i generated in step S1 is stored in the mask value storage unit 203-i as a mask data storage unit, and the authentication information verification key f_i generated in step S2 is generated in step S3.
  • Each authentication code a_i is stored in the authentication information storage unit 202-i (step S4: mask data storage step or function, authentication information storage step or function).
  • the commit data generation / verification apparatus 200-i generates commit data from the data storage unit 201-i serving as the verification target data storage unit and the verification target data d_i from the mask value storage unit. Each is read into the unit 205-i (step C1).
  • the commit data generation unit 205-i generates commit data c_i that is a value obtained by masking the verification target data d_i with the random number data r_i.
  • the commit data c_i is generated based on a method in which the value related to the verification target data d_i can be completely concealed from the commit data c_i (step C2).
  • the commit data generation / verification device 200-i authenticates the other verification target data d_j from the data storage unit 201-j of the other commit data generation / verification device 200-j (j ⁇ i).
  • the other authenticator a_j from the information storage unit 202-j, the other random number data (other mask data) r_j from the mask value storage unit 203-j, and the authentication information verification key from the authentication information storage unit in the own device (200-i) f_i is read from the commit data storage unit 204-i and the other commit data c_j is read into the commit data verification unit 206-i, respectively (step R1).
  • step R2 other verification target data restoration step or function.
  • the commit data verification unit 206-i receives the other verification target data d_j restored in step R2, the other authenticator a_j related to the other verification target data d_j, and the authentication information verification key f_i of the own device 200-i. And verifying whether there is any contradiction among the other verification target data d_j, the other authenticator a_j, and the authentication information verification key f_i (step R3: other verification target data verification step or function).
  • the commit data verification unit 206-i outputs “1” and ends (step R4). If a contradiction is detected, “0” is output and the process ends (step R5).
  • the authentication information for the mask value output by the setup device is substituted with a known constant for one or both variables of one or a plurality of two-variable polynomials generated at random.
  • each block in the block diagram shown in FIG. 1 may have a software module configuration showing a functionalized state by a program executable by a computer.
  • the physical configuration is, for example, one or a plurality of CPUs (or one or a plurality of CPUs and one or a plurality of memories), but the software configuration by each unit (circuit / means) is exhibited by the CPU by controlling the program.
  • a plurality of functions are expressed as components by a plurality of units (means).
  • each unit (means) is configured in the CPU.
  • a static state in which the program is not executed, the entire program (or each program part included in the configuration of each unit) that realizes the configuration of each unit is stored in a storage area such as a memory.
  • Each unit (means) described above may be configured such that a computer functionalized by a program can be realized together with the function of the program, or a plurality of electronic circuits permanently functionalized by specific hardware You may comprise with the apparatus which consists of a block. Therefore, these functional blocks can be realized in various forms by hardware only, software only, or a combination thereof, and is not limited to any one.
  • each unit may be configured as a device including a dedicated computer capable of communication, and the system may be configured by each of these devices. Conversely, a system in which each unit is configured as a single device may be used.
  • the second embodiment shows a specific example of the above-described first embodiment, and will be described using the same diagram as that of the first embodiment.
  • the commitment generation / verification system 1 uses GF (p) (p: prime number or prime number width, GF: Galois field) for each verification target data d_i.
  • GF Galois field
  • a Galois field is a set of remainders obtained by dividing an integer by a prime number, and is a set in which elements are finite and four arithmetic operations are closed.
  • a Galois field having element (element) p is defined as GF (p).
  • the mask value generation unit 101 of the setup apparatus 100 generates n pieces of random number data r_1, r_2,..., R_n on GF (p) as mask data.
  • the authentication information generation unit 102 generates at least two bivariate Kth order polynomials h_0 (x, y) and h_1 (x, y) on the Galois field GF (p) randomly and independently. It has a polynomial random generation function.
  • the authentication information generation unit 102 receives the authentication information generation key e_i and the authentication information verification key f_i.
  • the authentication information generation unit 102 assigns one of the variables in one of the generated two-variable Kth order polynomials to one of the variables in the first data and the other two-variable Kth order polynomial.
  • An authentication information generation key generation function for generating an authentication information generation key e_i based on the second data substituted with a constant (for example, a device number) is provided.
  • the authentication information generation unit 102 assigns the third data obtained by assigning a constant (for example, a device number) to the other of the variables in one of the generated two-variable Kth order polynomials and the other of the variables in the other two-variable Kth order polynomials.
  • a constant for example, a device number
  • the authentication information generation unit 102 has an authenticator generation function for generating an authenticator a_i (x) for the generated mask information (mask data) r_i.
  • the setup device 100 has a function of storing the authentication information verification key f_i and the authenticator a_i (x) in the authentication information storage unit 202-i and storing mask data (random number data) r_i in the mask value storage unit 203-i. Prepare.
  • the mask value generator 101 masks the verification target data d_1 to d_n held by the commit / data generation / verification apparatuses 200 (200-1 to 200-n), respectively.
  • a function of generating n pieces of independent random number data r_1 to r_n as mask data is provided.
  • the authentication information generation unit 102 has a function of outputting the random number data r_1 to r_n, the authentication information verification keys f_1 to f_n, and the authenticators a_1 (x) to a_n (x).
  • the authentication information generation key generation function in the authentication information generation unit 102 is based on one generated two-variable Kth order polynomial h_0 (x, y) and the other two-variable Kth order polynomial h_1 (x, y).
  • the function of generating two types of h — 0 (x, i) and h — 1 (x, i) per device is provided.
  • an authentication information verification key f_i for the device number i of the own device is obtained.
  • f_i (h — 0 (i, y), h — 1 (i, y))
  • h_0 (i, y) and h_1 (i, y) per device is obtained.
  • the authenticator a_i (x) for the random number data r_i is converted into the h_0 (x, i) based on the generated authentication information generation key e_i and the random number data r_i.
  • a_i (x) e_ ⁇ i0 ⁇ (x) + r_i ⁇ e_ ⁇ i1 ⁇ (x) It has the function to generate by.
  • the commit data generation unit 205 calculates the sum of the verification target data stored in the data storage unit 201 serving as the verification target data storage unit and the random number data stored in the mask value storage unit 203 serving as a mask data storage unit. Thus, the commit data is generated and stored in the commit data storage unit 204.
  • the commit data generation unit 205-i sends the generated commit data c_i to the commit data storage unit 204 (204-1 to 204-n) of all the commit data generation / verification devices 200 (200-1 to 200-n).
  • the function to store is provided.
  • the commit data generation unit 205-1 uses the generated commit data c_1 as the commit data storage unit 204 (204-1 to 204-1) of all the commit data generation / verification apparatuses 200 (200-1 to 200-n). 204-n).
  • the commit data generation unit 205-n converts the generated commit data c_n into commit data storage units 204 (204-1 to 204) of all the commit data generation / verification apparatuses 200 (200-1 to 200-n).
  • -Store in n Therefore, commit data c_1 to c_n are stored in the commit data storage unit 204-1. Similarly, commit data c_1 to c_n are stored in the commit data storage unit 204-n.
  • the commit data verification unit 206 includes another verification target data restoration function for restoring other verification target data from other commit data and other random number data, and another verification target restored by the other verification target data restoration function. There is no contradiction between the other verification target data, other authenticators, and the authentication information verification key using the data, the other authenticators related to the other verification target data, and the authentication information verification key related to the local device. And other verification target data verification function for verifying whether or not.
  • the generated commit data c_i is stored in the commit data storage unit 204 of all the commit data generation / verification apparatuses 200.
  • the commit data verification unit 206-i receives other mask data (other random number data) r_j and other authenticator a_j (x) from the other commit data generation / verification device 200-j, and authentication information of the own device.
  • the authentication information verification key f_i is read from the storage unit 202-i and the other commit data c_j is read from the commit data storage unit 204-i of its own device, and it is checked whether or not the following equation is satisfied.
  • a_j (i) f_ ⁇ i0 ⁇ (j) + (c_j ⁇ r_j) ⁇ f_ ⁇ i1 ⁇ (j)
  • the authentication information generation unit 102 uses the degree K of the polynomial as the number of devices as k, the natural number does not exceed (3k ⁇ 2) / 2.
  • the natural number does not exceed (3k ⁇ 2) / 2.
  • the size of the data necessary for verifying the commit for example, the authentication information stored for verifying the commit is also about log (p) ⁇ (9k-6) / 2 bits. .
  • the size of the data necessary for verifying the commit is also about log (p) ⁇ (9k-6) / 2 bits. .
  • the third embodiment shows still another specific example of the first embodiment described above, and will be described with reference to the same drawing as that of the first embodiment.
  • the commitment generation / verification system in the present embodiment also adds GF (p) (p to each verification target data d_ ⁇ i1 ⁇ , d_ ⁇ i2 ⁇ , ..., d_ ⁇ im ⁇ . : Prime number or prime width, GF: Galois field).
  • the mask value generation unit 101 of the setup apparatus 100 Nxm random number data on GF (p) r_ ⁇ 11 ⁇ , r_ ⁇ 12 ⁇ , ..., r_ ⁇ 1m ⁇ , r_ ⁇ 21 ⁇ , r_ ⁇ 22 ⁇ , ..., r_ ⁇ 2m ⁇ , ... r_ ⁇ n1 ⁇ , r_ ⁇ n2 ⁇ , ..., r_ ⁇ nm ⁇ , Is generated as mask data.
  • the mask value generation unit 101 as the mask data generation unit stores m random number data r_ ⁇ i1 ⁇ , r_ ⁇ i2 ⁇ ,...
  • the mask value storage unit 203-i as the mask data storage unit for the device number i. .., R_ ⁇ im ⁇ is stored.
  • the authentication information generation unit 102 includes a bivariate K-th order polynomial h_ ⁇ 01 ⁇ (x, y), h_ ⁇ 02 ⁇ (x, y),..., H_ ⁇ on m + 1 GF (p). 0m ⁇ (x, y) and h_1 (x, y) are randomly and independently generated.
  • the authentication information generation unit 102 receives the authentication information generation key e_ ⁇ il ⁇ and the authentication information verification key f_i, respectively.
  • the authentication information generation unit 102 has an authenticator generation function for generating an authenticator a_ ⁇ il ⁇ (x) for mask information (random data that is an example of mask data) r_ ⁇ il ⁇ .
  • the setup device 100 stores the authentication information verification key f_i and the authenticator a_ ⁇ il ⁇ (x) in the authentication information storage unit 202-i and r_ ⁇ il ⁇ in the mask value storage unit 203-i.
  • the mask data generation unit 101 stores m random numbers r_ ⁇ i1 ⁇ , r_ ⁇ i2 ⁇ ,..., R_ ⁇ im ⁇ in the mask data storage unit for the device number i.
  • m + 1 bivariate Kth order polynomials h_ ⁇ 01 ⁇ (x, y), h_ ⁇ 02 ⁇ (x, y),. ⁇ 0m ⁇ (x, y), h_1 (x, y) are provided randomly and independently.
  • a function for generating m + 1 types of the generated keys per apparatus is provided.
  • the function of generating m + 1 types per apparatus is provided.
  • the other verification object data verification function in the second embodiment includes the other random number data r_ ⁇ jl ⁇ and the other authenticator a_ ⁇ jl ⁇ (x) in the device number j of the other device, and the authentication in the device number i of the own device.
  • the authentication information verification key f_i of the information storage unit and the other commit data c_ ⁇ jl ⁇ of the commit data storage unit in the device number i of the own device are read, and the device number i is substituted for x of the a_ ⁇ jl ⁇ (x).
  • a_j (i) is calculated, and f_ ⁇ iOl ⁇ (j) and f_ ⁇ i1 ⁇ (j) are calculated by substituting the device number j into the two expressions f_i, respectively.
  • a_ ⁇ jl ⁇ (i) f_ ⁇ iOl ⁇ (j) + (c_ ⁇ jl ⁇ ⁇ r_ ⁇ jl ⁇ ) ⁇ f_ ⁇ i1 ⁇ (j)
  • the authentication information generation unit 102 sets the degree K of the bivariate Kth order polynomial to a natural number not exceeding (3k ⁇ 2) / 2 when the number of devices is k, and based on this, the authentication information generation unit 102 sets the authentication.
  • a function of generating data and the authenticator is provided.
  • the generated commit data c_ ⁇ il ⁇ is stored in the commit data storage unit 204 of all the commit data generation / verification apparatuses 200.
  • a_ ⁇ jl ⁇ (i) f_ ⁇ iOl ⁇ (j) + (c_ ⁇ jl ⁇ ⁇ r_ ⁇ jl ⁇ ) ⁇ f_ ⁇ i1 ⁇ (j) If the above formula is satisfied, “1” is output, and if not, “0” is output.
  • Each of the commit data generation / verification units 206-i can calculate commitments for up to m verification target data d_ ⁇ i1 ⁇ , d_ ⁇ i2 ⁇ ,..., D_ ⁇ im ⁇ . It has the characteristics, and it is possible to remove the restriction that only the commitment for one data, which was the restriction of the second embodiment of the present invention, can be generated.
  • the number, position, shape, and the like of the above-described constituent members are not limited to the above-described embodiment, and can be set to a suitable number, position, shape, and the like in carrying out the present invention.
  • a setup apparatus operates at least two commit data generation / verification apparatuses that generate commit data and verify whether or not the verification target data relating to the commit data is falsified.
  • the setup device includes a mask data generation function for generating mask data for concealing the verification target data related to each commit data generation / verification device, and an authentication used for the verification related to each commit data generation / verification device.
  • an authentication information generation function for generating an authenticator for each of the data and the mask data.
  • the authentication information generation function includes a function of generating the authentication data and the authenticator based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
  • the commit data generation / verification apparatus generates commit data and verifies whether or not the verification target data related to the commit data is falsified.
  • the commit data generation / verification device stores a mask data storage function for storing mask data generated for concealing the verification target data, an authentication data used for the verification, and an authenticator for the mask data.
  • An authentication information storage function a verification target data storage function for storing the verification target data; a commit data generation function for generating the commit data for concealing the verification target data based on the mask data; Commit data storage function for storing all commit data output by the own device, other mask data in other devices, other authenticators, a part of the authentication data in the own device, and other commit data Commit data that verifies the non-falsification of other verification target data and outputs the verification result based on And the verification function, may comprise.
  • the authentication information storage function includes a function for storing the authentication data and the authenticator generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
  • key cryptography using a multivariable polynomial including a two-variable K polynomial is an encryption scheme that seeks a ground for security for an NP complete problem. Even though the quantum computer can break the RSA cipher and the elliptical cipher, it is predicted that the NP complete problem cannot be solved. Therefore, the key cipher using the multivariable polynomial functions as a quantum computer key cipher.
  • key cryptography using multivariate polynomials does not require quantum information processing such as quantum cryptography, and is an encryption method that can be used on current networks. The low introduction cost using this network can be realized. *
  • the authentication system may be configured such that each communication device and the management device are connected to each other via a communication network to exchange information between the communication devices.
  • the bit commitment protocol is implemented between the communication devices, this can be realized by installing a commit data generation / verification device in each communication device and a setup device in the management device.
  • the communication structure is not limited to the client server system, but is a system based on peer-to-peer communication in which terminals form a network without passing through a server and transmit / receive data to / from each other. There may be.
  • the steps shown in the flowchart include processes that are executed in parallel or individually even if they are not necessarily processed in time series, as well as processes that are executed in time series according to the described procedure. It is a waste.
  • the order in which the program procedures (steps) are executed may be changed.
  • the specific procedures (steps) described herein may be implemented, removed, added, or rearranged as a combined procedure (step) as needed for implementation.
  • wireless communication and wired communication as well as communication in which wireless communication and wired communication are mixed, that is, wireless communication is performed in a certain section and wired communication is performed in another section. There may be. Further, communication from one device to another device may be performed by wired communication, and communication from another device to one device may be performed by wireless communication.
  • the present invention can be used for authentication systems in general.
  • Commitment generation / verification system (authentication system) 100 Setup Device 101 Mask Value Generation Unit (Mask Data Generation Unit) 102 Authentication Information Generation Unit 1021 Bivariate Polynomial Generation / Calculation Unit 200 (200-1 to 200-n) Commit Data Generation / Verification Device 201 (201-1 to 201-n) Data Storage Unit (Verification Target Data Storage Unit) 202 (202-1 to 202-n) Authentication information storage unit (authentication information storage unit) 203 (203-1 to 203-n) Mask value storage unit (mask data storage unit) 204 (204-1 to 204-n) Commit data storage unit (commit data storage unit) 205 (205-1 to 205-n) Commit data generation unit 206 (206-1 to 206-n) Commit data verification unit

Abstract

Provided is an authentication system which enables the amount of information held by each participant to be smaller than the amount proportional to the total number (n) of users. A setup device (100) for activating two or more commit data generation/verification devices (200) for generating commit data and verifying the presence or absence of falsification of data to be verified relating to the commit data is provided with an authentication information generation unit (102) for generating authentication data and authenticators used for the verification.  The authentication information generation unit (102) generates the authentication data and the authenticators on the basis of data obtained by assigning a constant to one variable in a bivariate polynomial.

Description

認証システム、方法及びプログラムAuthentication system, method and program
 本発明は、認証システム、セットアップ装置、コミットデータ生成・検証装置、認証方法、セットアップ装置用プログラム、及びコミットデータ生成・検証装置用プログラムに関し、特に安全性を計算量的仮定に依拠しないコミットメント方式の認証システムに関する。 The present invention relates to an authentication system, a setup device, a commit data generation / verification device, an authentication method, a setup device program, and a commit data generation / verification device program, and in particular, a commitment scheme that does not rely on computational assumptions for safety. It relates to the authentication system.
 複数のユーザが協力して、各々の保有するデータに基づいて何らかのプロトコルを実行する際、あるユーザが別の参加者の保有するユーザを知ることにより、データを知ったユーザが有利にプロトコルを実行することが可能となるケースが多く存在する。 When multiple users collaborate to execute a protocol based on the data held by each user, a user who knows the data executes the protocol advantageously by knowing the user owned by another user. There are many cases where this is possible.
 そのような例として典型的なものとして、ネットワーク上でのジャンケンを行うことを考えてみる。この際、あるユーザが、他のユーザの出す手を知ることで、手を知ったユーザは確率1でジャンケンに勝つことが可能になる。 As a typical example of such an example, consider performing janken on a network. At this time, when a certain user knows the hand that another user puts out, the user who knows the hand can win the janken with a probability of 1.
 このようなジャンケンの後だしのように、相手のデータを知った後で、自分のデータを決定し、プロトコルを優位に進めることを防止する方式として、コミットメント(ビットコミットメントプロトコル)という技術が知られている。 A technique called Commitment (Bit Commitment Protocol) is known as a method to prevent the advancement of the protocol after determining the data of the other party after knowing the other party's data, as is the case after such a janken. ing.
 コミットメントは、送信者、受信者の二者が存在する下、コミット、開示・検証という二つのフェイズから構成されるプロトコルである。
 コミットフェイズでは、送信者は、入力データに基づきコミット・データと開示データおよび証明データを出力し、受信者にコミット・データを渡す。 Commitment is a protocol that consists of two phases, commit and disclosure / verification, in the presence of both sender and receiver.
In the commit phase, the sender outputs commit data, disclosure data, and proof data based on the input data, and passes the commit data to the receiver.
 開示・検証フェイズでは、検証者は、受信者に対して、開示データと、コミット・データと証明データを渡し、受信者は、渡された開示データ、コミット・データおよび証明データを入力とし、検証結果「0」または「1」を出力する。
 検証結果が1であることは、入力データと開示データが一致していることを意味しており、検証結果が0であることは、入力データと開示データが異なっていることを意味している。 In the disclosure / verification phase, the verifier passes disclosure data, commit data, and proof data to the receiver, and the receiver uses the passed disclosure data, commit data, and proof data as input, and verifies it. The result “0” or “1” is output.
A verification result of 1 means that the input data and the disclosed data match, and a verification result of 0 means that the input data and the disclosed data are different. .
 コミットメントの安全性要件には、秘匿性と拘束性という二つの要件が存在する。
 秘匿性は、コミット・データから入力データが分からないことを保証するものであり、拘束性は、受信者がコミット・データを受け取った後で、送信者が、入力データと異なるデータ開示データ受信者に渡して、検証結果を1にすることはできないことを保証するものである。 There are two requirements for commitment safety: confidentiality and binding.
Confidentiality guarantees that the input data is not known from the commit data, and constrainedness means that after the receiver receives the commit data, the sender is a data disclosure data receiver that is different from the input data. To verify that the verification result cannot be 1.
 以下では、ある種の計算量理論的仮定の下での秘匿性を計算量的秘匿性と呼び、計算量的仮定を置かない秘匿性を完全秘匿と呼ぶことにする。
 また、拘束性についても、ある種の計算量理論的仮定の下での拘束性を計算量的拘束性と呼び、計算量的仮定を置かない拘束性を完全拘束性と呼ぶ。 In the following, confidentiality under a certain computational complexity assumption is called computational confidentiality, and confidentiality without making computational assumptions is called perfect concealment.
In terms of restraint, restraint under certain computational complexity assumptions is called computational restraint, and restraint with no computational assumptions is called perfect restraint.
 コミットメントを利用することで、先に記したジャンケンの後だしを次のように防止することができる。
 ユーザAとユーザBがジャンケンをする時、ユーザA、Bはともに自分の出そうとしている手J_A、J_Bを入力データとして、コミット・フェイズを実行し、コミット・データc_A、c_Bと開示データr_A、r_Bを出力、Aはc_AをBに渡し、Bは、c_BをAに渡す。 By using the commitment, it is possible to prevent the follow-up of janken described above as follows.
When the user A and the user B play a junk, both the users A and B execute the commit phase using the hands J_A and J_B that they are about to input as input data, the commit data c_A and c_B, and the disclosed data r_A, r_B is output, A passes c_A to B, and B passes c_B to A.
 次に、A、Bは、開示・検証フェィズを実行し、J_A、J_Bの正しさを確認した後、どちらがジャンケンに勝ったかを確認する。
 上記のようなプロトコルを実行すると、A、Bはコミット・データを送信して以後、自分の手を変えることは不可能になり、A、Bのいずれかが先に相手の手を見たとしても、自分に有利になるように自分の手を変更することはできなくなる。 Next, A and B execute a disclosure / verification phase, confirm the correctness of J_A and J_B, and then confirm which has won the janken.
When the above protocol is executed, it becomes impossible for A and B to change their hands after sending the commit data, and either A or B sees the other's hand first. But you won't be able to change your hand to your advantage.
 このようなコミットメントに関する代表的な関連技術として、例えば以下に示す非特許文献1~非特許文献4などが挙げられる。 As typical related technologies related to such commitments, for example, Non-Patent Document 1 to Non-Patent Document 4 shown below can be cited.
 非特許文献1には、擬似乱数生成器を利用した計算量的秘匿性と完全拘束性を有するコミットメント方式について記載されている。
 また、非特許文献2には、離散対数問題の困難さを利用した完全秘匿性と計算量的拘束性を有するコミットメント方式について記載されている。 Non-Patent Document 1 describes a commitment scheme that has computational complexity and complete constraint using a pseudo-random number generator.
Non-Patent Document 2 describes a commitment method having complete secrecy and computational constraint using the difficulty of the discrete logarithm problem.
 非特許文献3には、コミット・フェイズ開始前に、送信者と受信者それぞれ、コミット・フェイズ、開示・検証フェイズで用いられるデータを渡す信頼できる第三者の存在を仮定した下で、完全秘匿性と完全拘束性の両方を有するコミットメンと方式について記載されている。 In Non-Patent Document 3, it is assumed that there is a reliable third party who passes data used in the commit phase and the disclosure / verification phase, respectively, before the commit phase starts. Commitmen and methods that are both sex and fully constrained are described.
 非特許文献4も、非特許文献3と同様の役割を果たす信頼できる第三者の存在を仮定した下での完全秘匿なコミットメント方式について記載している。
 非特許文献4の方式は、放送型のコミットメント方式になっており、一つのコミット・データをn人が同時に受け取り、開示・検証時には、各々の有する情報を用いて、コミット・データの正当性を検証することが可能である。
 また、この方式ではk人以上が結託しない限り完全拘束性が保証される。 Non-Patent Document 4 also describes a completely confidential commitment scheme assuming the existence of a reliable third party who plays the same role as Non-Patent Document 3.
The method of Non-Patent Document 4 is a broadcast-type commitment method, in which n people receive one commit data at the same time, and at the time of disclosure / verification, the validity of the commit data is verified using the information each has. It is possible to verify.
In addition, this method guarantees complete restraint unless k or more people collide.
 このような関連技術において、コミット・フェイズ開始前に、送信者と受信者それぞれ、コミット・フェイズ、開示・検証フェイズで用いられるデータを渡す信頼できる第三者の存在を仮定した下で、完全秘匿性と完全拘束性の両方を有するコミットメント方式は、非特許文献3、4の場合である。 In such related technology, before the commit phase begins, it is assumed that there is a reliable third party that passes data used in the commit phase and the disclosure / verification phase, respectively, in the sender and receiver. Non-Patent Documents 3 and 4 are the commitment methods having both the property and the complete constraint.
 しかしながら、非特許文献3や非特許文献4では、多くのユーザがプロトコルに参加し、その中で誰がデータをコミットするかが予め分からない場合には、各ユーザは、コミット・データの生成、および他のユーザのコミット・データの検証のために、全ユーザ数 n に比例するデータを保持しなければならない、という不都合があった。 However, in Non-Patent Document 3 and Non-Patent Document 4, when many users participate in the protocol and it is not known in advance who will commit the data, each user can generate commit data, and In order to verify the commit data of other users, there is a disadvantage that data proportional to the total number of users n must be retained.
 すなわち、非特許文献3に記載されている方式は、単一の送信者と単一の受信者間でのコミットメントを想定しており、複数の受信者に対してコミット・データを計算する場合、コミット・データのビット長が受信者の数に比例して大きくなる、という不都合がある。 That is, the method described in Non-Patent Document 3 assumes a commitment between a single sender and a single receiver, and calculates commit data for a plurality of receivers. There is a disadvantage that the bit length of the commit data increases in proportion to the number of recipients.
 又、非特許文献4では、マルチパーティ計算のように、n人の参加者がそれぞれのデータをコミットするような状況では、各参加者は、nに比例する量のデータを保持しなければならない、という不都合がある。 In Non-Patent Document 4, in a situation where n participants commit their data as in multi-party calculation, each participant must hold an amount of data proportional to n. There is an inconvenience.
 本発明の目的は、マルチパーティ計算のようにn人のどのユーザがデータをコミットするようかが前もって分からない状況においても、各参加者の保持しなければならない情報の量を全ユーザ数nに比例する量よりも低減可能ならしめることによりコミット・データの生成・検証等の認証のために必要なデータ量の低減を図った認証システム、セットアップ装置、コミット・データ生成・検証装置、認証方法、セットアップ装置用プログラム、及びコミット・データ生成・検証装置用プログラムを提供することにある。 The object of the present invention is to reduce the amount of information that each participant must hold to the total number of users n even in a situation where it is not known in advance which n users will commit data, such as multi-party computation. An authentication system, a setup device, a commit data generation / verification device, an authentication method, which aims to reduce the amount of data necessary for authentication such as commit data generation / verification by making it possible to reduce it from a proportional amount, The object is to provide a setup device program and a commit / data generation / verification device program.
 上記目的を達成するため、本発明の認証システムは、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置と、前記各コミットデータ生成・検証装置を各々稼働するためのセットアップ装置と、を備え、前記セットアップ装置は、前記各コミットデータ生成・検証装置にかかる前記検証に用いる認証データ及び認証子をそれぞれ生成する認証情報生成部を有し、前記コミットデータ生成・検証装置は、前記認証データの一部及び前記認証子を格納する認証情報格納部を有し、前記認証情報生成部が、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成することを特徴としている。 In order to achieve the above object, an authentication system of the present invention generates two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified, and each of the commit data A setup device for operating each of the generation / verification devices, and the setup device includes an authentication information generation unit that generates authentication data and an authenticator used for the verification of each commit data generation / verification device. The commit data generation / verification device includes an authentication information storage unit that stores a part of the authentication data and the authenticator, and the authentication information generation unit sets a constant in one of the variables in the two-variable polynomial. The authentication data and the authenticator are generated based on the substituted data.
 上記目的を達成するため、本発明のセットアップ装置は、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置を各々稼働するためのセットアップ装置であって、前記各コミットデータ生成・検証装置にかかる前記検証に用いる認証データ及び認証子をそれぞれ生成する認証情報生成部を備え、前記認証情報生成部が、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成することを特徴としている。 In order to achieve the above object, a setup apparatus of the present invention generates commit data and operates each of two or more commit data generation / verification apparatuses that verify whether or not the verification target data relating to the commit data is falsified. A setup device, comprising: an authentication information generator for generating authentication data and an authenticator used for the verification of each commit data generation / verification device, wherein the authentication information generator is one of the variables in the two-variable polynomial. The authentication data and the authenticator are generated based on data in which a constant is substituted for.
 上記目的を達成するため、本発明のコミット・データ生成・検証装置は、コミット・データを生成するとともに当該コミット・データにかかる検証対象データの改竄の有無を検証するコミット・データ生成・検証装置であって、前記検証対象データを秘匿するために生成されたマスクデータを格納するマスクデータ格納部と、前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ格納する認証情報格納部と、前記検証対象データを格納する検証対象データ格納部と、前記検証対象データを前記マスクデータに基づき秘匿する前記コミット・データを生成するコミット・データ生成部と、他の装置および自装置が出力した全ての各コミット・データを格納するコミット・データ格納部と、他の装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミット・データとに基づいて、他の検証対象データの非改竄性を検証しこの検証結果を出力するコミット・データ検証部と、を備え、前記認証情報格納部には、二変数多項式における変数の一方に定数を代入したデータに基づいて生成された前記認証データおよび前記認証子が格納されることを特徴としている。 To achieve the above object, a commit data generation / verification apparatus according to the present invention is a commit data generation / verification apparatus that generates commit data and verifies whether or not the verification target data relating to the commit data is falsified. A mask data storage unit that stores mask data generated to conceal the verification target data, an authentication information storage unit that stores authentication data used for the verification and an authenticator for the mask data, and A verification target data storage unit for storing verification target data, a commit data generation unit for generating the commit data for concealing the verification target data based on the mask data, and all other devices and the own device output Commit data storage for storing each commit data, and mask data in other devices Commit data verification that verifies the non-falsification of other verification target data and outputs the verification result on the basis of the authenticator, its authenticator, a part of the authentication data in its own device, and the other commit data The authentication information storage unit stores the authentication data and the authenticator generated based on data in which a constant is substituted for one of the variables in the two-variable polynomial.
 上記目的を達成するため、本発明の認証方法は、コミット・データを生成するとともに当該コミット・データにかかる検証対象データの改竄の有無を検証する2以上のコミット・データ生成・検証装置と、前記各コミット・データ生成・検証装置を各々稼働するためのセットアップ装置とを備えた認証システムにあって、前記検証対象データを検証するための認証方法であって、前記各コミット・データ生成・検証装置にかかる前記検証対象データを秘匿するためのマスクデータを前記セットアップ装置におけるマスクデータ生成部が生成し、続いて、前記検証に用いる認証データ及び前記マスクデータに対する認証子を前記セットアップ装置における認証情報生成部がそれぞれ認証情報として生成し、次に、前記検証対象データを前記マスクデータに基づき秘匿する前記コミット・データを前記コミット・データ生成・検証装置におけるコミット・データ生成部が生成し、しかる後、他の前記コミット・データ生成・検証装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミット・データとに基づいて、他の検証対象データの非改竄性を前記コミット・データ生成・検証装置におけるコミット・データ検証部が検証しこの検証結果を出力し、前記認証情報を生成するに際しては、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成することを特徴としている。 To achieve the above object, the authentication method of the present invention includes two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified, An authentication system comprising a setup device for operating each commit data generation / verification device, wherein the commit data generation / verification device is an authentication method for verifying the verification target data. The mask data generation unit in the setup device generates mask data for concealing the verification target data, and subsequently generates authentication information for the verification and authentication information for the mask data in the setup device. Each generates authentication information, and then the verification target data is The commit data generating unit in the commit data generation / verification device generates the commit data to be concealed based on the data, and then the mask data and the authenticator in the other commit data generation / verification device, Based on a part of the authentication data in the own device and the other commit data, the commit data verification unit in the commit data generation / verification device verifies the non-falsification of the other verification target data. When generating a verification result and generating the authentication information, the authentication data and the authenticator are generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
 上記目的を達成するため、本発明のセットアップ装置用プログラムは、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置を各々稼働するためのセットアップ装置が備えるコンピュータに諸機能を実現させることが可能なセットアップ装置用プログラムであって、前記各コミットデータ生成・検証装置にかかる前記検証対象データを秘匿するためのマスクデータを生成するマスクデータ生成機能と、前記各コミットデータ生成・検証装置にかかる前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ生成する認証情報生成機能と、前記コンピュータに実現させ、前記認証情報生成機能では、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成する機能をその内容とし、これを前記コンピュータに実現させることを特徴としている。 To achieve the above object, the setup device program of the present invention operates at least two commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified. A program for a setup device capable of realizing various functions in a computer included in the setup device for generating a mask data for concealing the verification target data related to each commit data generation / verification device A data generation function, an authentication information generation function for generating an authentication data for the verification data and the mask data used for the verification of each commit data generation / verification device, and an authentication information generation function for realizing the computer, , One of the variables in the bivariate polynomial Is characterized in that the the function of generating the authentication data and the authenticator and its contents based on the data obtained by substituting the constant, to achieve this in the computer.
 上記目的を達成するため、本発明のコミット・データ生成・検証装置用プログラムは、コミット・データを生成するとともに当該コミット・データにかかる検証対象データの改竄の有無を検証するコミット・データ生成・検証装置が備えたコンピュータに諸機能を実現させることが可能なコミット・データ生成・検証装置用プログラムであって、前記検証対象データを秘匿するために生成されたマスクデータを格納するマスクデータ格納機能と、前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ格納する認証情報格納機能と、前記検証対象データを格納する検証対象データ格納機能と、前記検証対象データを前記マスクデータに基づき秘匿する前記コミット・データを生成するコミット・データ生成機能と、他の装置および自装置が出力した全ての各コミット・データを格納するコミット・データ格納機能と、他の装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミット・データとに基づいて、他の検証対象データの非改竄性を検証しこの検証結果を出力するコミット・データ検証機能と、を前記コンピュータに実現させ、前記認証情報格納機能では、二変数多項式における変数の一方に定数を代入したデータに基づいて生成された前記認証データおよび前記認証子が格納される機能を前記コンピュータに実行させることを特徴としている。 To achieve the above object, the commit data generation / verification apparatus program according to the present invention generates commit data and verifies whether or not the verification target data relating to the commit data is falsified. A commit data generation / verification apparatus program capable of realizing various functions in a computer included in the apparatus, the mask data storage function storing mask data generated to conceal the verification target data; An authentication information storage function for storing authentication data used for the verification and an authenticator for the mask data, a verification target data storage function for storing the verification target data, and concealing the verification target data based on the mask data Commit data generation function for generating the commit data, and others Commit data storage function for storing all commit data output by the device and the device itself, mask data and its authenticator in the other device, a part of the authentication data in the device, and the other commit A commit data verification function that verifies the non-falsification of other verification target data based on the data and outputs the verification result is realized in the computer. In the authentication information storage function, The computer is caused to execute a function of storing the authentication data and the authenticator generated based on data obtained by assigning a constant to one of the variables.
 前述した関連技術では、コミットデータの生成および検証のために、全コミットデータ生成装置数nに比例したデータを事前に格納する必要があったのに対し、本発明によれば、認証情報生成部が二変数多項式における変数の一方に定数を代入したデータに基づいて認証データおよび認証子を生成するように構成したので、コミットデータの生成・検証のために必要なデータは、コミットメント方式の拘束性を脅かすために結託する必要のあるコミットデータ生成・検証装置の台数であるk(≦n)に比例する量まで削減することが可能となり、これにより、コミットデータの生成・検証等の認証のために必要なデータ量を低減して認証にかかる処理速度の高速化を図ることができる。 In the related art described above, in order to generate and verify commit data, it is necessary to store in advance data proportional to the total number of commit data generation devices n. According to the present invention, the authentication information generation unit Is configured to generate authentication data and an authenticator based on data obtained by assigning a constant to one of the variables in the bivariate polynomial, the data required for generating and verifying the commit data is Can be reduced to an amount proportional to k (≦ n), which is the number of commit data generation / verification devices that need to be collocated to threaten the security, thereby enabling authentication such as commit data generation / verification Therefore, it is possible to reduce the amount of data necessary for authentication and increase the processing speed for authentication.
本発明の認証システムを適用した一実施の形態によるコミットメント生成・検証システムの全体構成の一例を示すブロック図である。It is a block diagram which shows an example of the whole structure of the commitment production | generation / verification system by one Embodiment to which the authentication system of this invention is applied. 図1のコミットメント生成・検証システムにおけるハードウエア構成の一例を示すブロック図である。It is a block diagram which shows an example of the hardware constitutions in the commitment production | generation / verification system of FIG. 本発明の一実施の形態によるコミットメント生成・検証システムおけるセットアップ装置の動作処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the operation processing procedure of the setup apparatus in the commitment production | generation / verification system by one embodiment of this invention. 本発明の一実施の形態によるコミットメント生成・検証システムおけるコミット・データ生成・ 検証装置のコミット・データ生成時の動作処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the operation | movement process sequence at the time of the commit data production | generation of the commit data production | generation / verification apparatus in the commitment production | generation / verification system by one embodiment of this invention. 本発明の一実施の形態によるコミットメント生成・検証システムおけるコミット・データ生成・ 検証装置のコミット・データ検証時の動作処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the operation | movement process sequence at the time of the commit data verification of the commit data production | generation / verification apparatus in the commitment production | generation / verification system by one embodiment of this invention.
 以下、本発明の「認証システム」をコミットメント生成・検証システムに適用した好適な実施の形態の一例について、図面を参照して具体的に説明する。 Hereinafter, an example of a preferred embodiment in which the “authentication system” of the present invention is applied to a commitment generation / verification system will be specifically described with reference to the drawings.
〔第1の実施の形態〕
 (コミットメント生成・検証システムの基本的構成)
 先ず、コミットメント生成・検証システムの基本的構成について説明する。図1に示すように、コミットメント生成・検証システム1は、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置200(200-1~200-n)と、前記各コミットデータ生成・検証装置200(200-1~200-n)を各々稼働するためのセットアップ装置100とを備える。
 ここで、コミットデータ生成・検証装置200の個数をnと表記する。又、装置番号をi、jとする。 [First Embodiment]
(Basic configuration of commitment generation / verification system)
First, the basic configuration of the commitment generation / verification system will be described. As shown in FIG. 1, the commitment generation / verification system 1 generates two or more commit data generation / verification apparatuses 200 (200-1) that generate commit data and verify whether or not the verification target data relating to the commit data has been falsified. 200-n) and a setup device 100 for operating each of the commit data generation / verification devices 200 (200-1 to 200-n).
Here, the number of commit data generation / verification apparatuses 200 is represented as n. The device numbers are i and j.
 前記セットアップ装置100は、前記各コミットデータ生成・検証装置200(200-1~200-n)にかかる前記検証に用いる認証データ及び認証子をそれぞれ生成する認証情報生成部102を備える。
 又、セットアップ装置100は、全コミットデータ生成・検証装置200が格納するマスク値と、マスク値に対する認証子を含む認証情報とを出力する。 The setup apparatus 100 includes an authentication information generation unit 102 that generates authentication data and an authenticator used for the verification of the commit data generation / verification apparatuses 200 (200-1 to 200-n).
The setup apparatus 100 outputs a mask value stored in the all commit data generation / verification apparatus 200 and authentication information including an authenticator for the mask value.
 又、1つの前記コミットデータ生成・検証装置200-1は、前記認証データの一部及び前記認証子を格納する認証情報格納部としての認証情報記憶部202-1を備える。 One commit data generation / verification apparatus 200-1 includes an authentication information storage unit 202-1 as an authentication information storage unit that stores a part of the authentication data and the authenticator.
 前記認証情報生成部102が、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成する。 The authentication information generation unit 102 generates the authentication data and the authenticator based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
 更に、一つのコミットデータ生成・検証装置200(200-1)は、コミットデータ生成部205-1と、コミットデータ検証部206-1と複数の記憶部を備える。 Furthermore, one commit data generation / verification apparatus 200 (200-1) includes a commit data generation unit 205-1, a commit data verification unit 206-1, and a plurality of storage units.
 コミットデータ生成部205-1は、装置内のデータ記憶部201-1に格納されている検証対象データを入力として、コミットデータを出力する。 The commit data generation unit 205-1 receives the verification target data stored in the data storage unit 201-1 in the apparatus, and outputs the commit data.
 コミット・データ検証部206-1は、装置内のコミット・データ記憶部204-1に格納されている他のコミット・データ生成・検証装置200(装置番号をjとする)が出力した他コミット・データと、装置番号jのデータ記憶部201-jに格納されている他検証対象データと、装置番号jの認証情報記憶部202-jに格納されている認証情報の一部と、装置番号jのマスク値記憶部203-jに格納されている他マスク値(他マスクデータ)とを入力とし、装置番号jに格納されている前記他検証対象データが装置番号jがコミット・データを生成した時点の他検証対象データから改竄がなされていないかの検証を行い、改竄がなされていないと判断した場合には1を、改竄がなされていると判断した場合には0を出力する。  The commit / data verification unit 206-1 outputs another commit / data output from another commit / data generation / verification device 200 (with the device number j) stored in the commit / data storage unit 204-1 in the device. Data, other verification target data stored in the data storage unit 201-j of the device number j, a part of the authentication information stored in the authentication information storage unit 202-j of the device number j, and the device number j The other mask value (other mask data) stored in the mask value storage unit 203-j is input, and the other verification target data stored in the device number j is the commit data generated by the device number j. Whether or not falsification has been made is verified from other verification target data at the time, and 1 is output when it is determined that no falsification has been made, and 0 is output when it is determined that falsification has been performed. *
 上記のような構成をとり、セットアップ装置が出力する認証情報を、ひとつまたは複数の二変数多項式の一方の変数または両方の変数に既知の定数を代入したデータとし、前記二変数多項式の次数を適切に調整することによって、各コミット・データ生成・検証装置200の認証情報記憶部に格納する認証情報のサイズを削減することが可能となる。 With the above configuration, the authentication information output by the setup device is data obtained by substituting a known constant for one or both variables of one or a plurality of bivariate polynomials, and the order of the bivariate polynomial is appropriate. Thus, the size of the authentication information stored in the authentication information storage unit of each commit / data generation / verification apparatus 200 can be reduced.
 すなわち、上述のような基本的構成によると、前述した関連技術では、コミット・データの生成および検証のために、全コミット・データ生成装置数nに比例したデータを事前に格納する必要があったのに対し、本実施の形態の基本的構成によれば、認証情報生成部が二変数多項式における変数の一方に定数を代入したデータに基づいて認証データおよび認証子を生成するように構成したので、コミット・データの生成・検証のために必要なデータは、コミットメント方式の拘束性を脅かすために結託する必要のあるコミット・データ生成・検証装置200の台数であるk(≦n)に比例する量まで削減することが可能となり、これにより、コミット・データの生成・検証等の認証のために必要なデータ量を低減して認証にかかる処理速度の高速化を図ることができる。 That is, according to the basic configuration as described above, in the related technology described above, it is necessary to store in advance data proportional to the total number of commit data generation devices n in order to generate and verify commit data. On the other hand, according to the basic configuration of the present embodiment, the authentication information generation unit is configured to generate authentication data and an authenticator based on data obtained by assigning a constant to one of the variables in the two-variable polynomial. The data necessary for the generation / verification of commit data is proportional to k (≦ n), which is the number of commit data generation / verification devices 200 that need to be collocated in order to threaten the constraint of the commitment method. It is possible to reduce the amount of data required for authentication such as commit / data generation / verification, thereby reducing the processing speed required for authentication. It is possible to increase the speed.
 (コミットメント生成・検証システムの詳細構成)
 次に、本実施の形態のコミットメント生成・検証システムの具体的構成について、全体構成から説明し、続いて各部の詳細構成について説明することとする。図1は、本発明における第1実施の形態のコミットメント生成・検証システムの全体構成の一例を示すブロック図である。 (Detailed configuration of commitment generation / verification system)
Next, the specific configuration of the commitment generation / verification system according to the present embodiment will be described from the overall configuration, followed by the detailed configuration of each unit. FIG. 1 is a block diagram showing an example of the overall configuration of the commitment generation / verification system according to the first embodiment of the present invention.
 以下に述べる実施の形態は、本発明の好適な実施の形態であるから、技術的に好ましい種々の限定が付されているが、本発明の範囲は、以下の説明において特に本発明を限定する旨の記載がない限り、これらの態様に限られるものではない。 Since the embodiments described below are preferred embodiments of the present invention, various technically preferable limitations are given, but the scope of the present invention is particularly limited in the following description. As long as there is no description of the effect, it is not restricted to these aspects.
 最初に本明細書で使用する用語について簡単に説明する。
 演算子:本明細書において、+、-、×、^の記号をそれぞれ、和、差、積、冪乗演算子として用いる。 First, terms used in this specification will be briefly described.
Operator: In this specification, the symbols +, −, ×, and ^ are used as a sum, difference, product, and power operator, respectively.
 図1に示すように、本実施の形態のコミットメント生成・検証システム1は、セットアップ装置100と複数のコミットデータ生成・検証装置200(200―1~200―n)とを備える。セットアップ装置100と各々のコミットデータ生成・検証装置200(200―1~200―n)、各々のコミットデータ生成・検証装置200(200―1~200―n)相互間ではネットワークを介した通信等によりデータ、情報の授受が可能となっている。 As shown in FIG. 1, the commitment generation / verification system 1 of this embodiment includes a setup device 100 and a plurality of commit data generation / verification devices 200 (200-1 to 200-n). Communication between the setup device 100 and each commit data generation / verification device 200 (200-1 to 200-n), between each commit data generation / verification device 200 (200-1 to 200-n), etc. It is possible to exchange data and information.
 セットアップ装置100は、マスクデータ生成部としてのマスク値生成部101と、認証情報生成部102とを備えている。 The setup apparatus 100 includes a mask value generation unit 101 as a mask data generation unit and an authentication information generation unit 102.
 マスク値生成部101は、コミットデータ生成・検証装置200―1~200―nが保持するデータをマスクするためのn個の独立な乱数r_1、r_2、・・・、r_nを生成し、出力する機能を備える。 The mask value generation unit 101 generates and outputs n independent random numbers r_1, r_2,..., R_n for masking data held by the commit data generation / verification apparatuses 200-1 to 200-n. It has a function.
 認証情報生成部102は、r_i(i=1、2、・・・、n)を入力とし、各r_iの改竄を全てのコミットデータ生成・検証装置200―1~200―nが検知可能にするための認証情報生成鍵e_1、e_2、・・・、e_nと、認証情報検証鍵f_1、f_2、・・・、f_nと、各r_iに対して、鍵e_1を用いて生成したr_iの認証子a_iとを生成し、r_i、f_i、a_i(i=1、2、・・・、n)を出力する機能を備える。 The authentication information generation unit 102 receives r_i (i = 1, 2,..., N) as input, and makes it possible for all commit data generation / verification devices 200-1 to 200-n to detect t_r alteration of each r_i. , E_n, authentication information verification keys f_1, f_2,..., F_n, and an authenticator a_i of r_i generated using the key e_1 for each r_i And output r_i, f_i, a_i (i = 1, 2,..., N).
 ここで生成される認証子a_iは、k個未満の装置が協力した場合でも、r_i以外の値r´_iに対する正当な認証子a´_iを生成することが困難であるような方法に基づき生成されることを特徴とする。 The authenticator a_i generated here is generated based on a method that makes it difficult to generate a valid authenticator a′_i for a value r′_i other than r_i even when less than k devices cooperate. It is characterized by being.
 本実施形態は、このような認証子の生成を行うために、二変数多項式を用いることを特徴としている。
 具体的には、認証子生成のために、認証情報生成部102は、二変数多項式生成・演算部1021を備える。 The present embodiment is characterized in that a bivariate polynomial is used to generate such an authenticator.
Specifically, the authentication information generation unit 102 includes a two-variable polynomial generation / calculation unit 1021 for generating an authenticator.
 この二変数多項式生成・演算部1021が、内部で複数の二変数多項式を生成し、生成した全ての多項式の一方の変数に装置番号iを代入したものをe_iとして出力し、内部で生成された多項式に対してe_iに代入されなかった方の変数に装置番号iを代入したものをf_iとして出力する。 This two-variable polynomial generator / arithmetic unit 1021 generates a plurality of two-variable polynomials internally, and outputs a value obtained by substituting the device number i for one variable of all the generated polynomials as e_i. A variable obtained by substituting the device number i for the variable that has not been substituted for e_i for the polynomial is output as f_i.
 すなわち、前記認証情報生成部102は、少なくとも2つの二変数K次多項式をランダムかつ独立に生成する二変数K次多項式ランダム生成機能を備える。 That is, the authentication information generation unit 102 has a two-variable Kth order polynomial random generation function that randomly and independently generates at least two two-variable Kth order polynomials.
 又、前記認証情報生成部102は、生成された一方の二変数K次多項式における変数の一方に定数例えば装置番号を代入した第1データと他方の二変数K次多項式における変数の一方に定数例えば装置番号を代入した第2データとに基づいて認証情報生成鍵を生成する認証情報生成鍵生成機能を備える。 In addition, the authentication information generation unit 102 may include a constant such as first data in which a constant, for example, a device number is substituted for one of the variables in one of the generated two-variable Kth order polynomials, and one of the variables in the other two-variable Kth order polynomials. An authentication information generation key generation function for generating an authentication information generation key based on the second data into which the device number is substituted is provided.
 更に、前記認証情報生成部102は、生成された一方の二変数K次多項式における変数の他方に定数例えば装置番号を代入した第3データと他方の二変数K次多項式における変数の他方に定数例えば装置番号を代入した第4データとに基づいて認証情報検証鍵を生成する認証情報検証鍵生成機能を備える。 Further, the authentication information generation unit 102 uses a constant such as the third data in which a constant, for example, a device number is substituted for the other variable in the generated one-variable K-degree polynomial, and a constant, for example, the other variable in the other two-variable K-degree polynomial. An authentication information verification key generation function for generating an authentication information verification key based on the fourth data substituted with the device number is provided.
 更に又、前記認証情報生成部102は、生成された認証情報生成鍵とマスクデータとに基づいて当該マスクデータに対する認証子を生成する認証子生成機能を備える。 Furthermore, the authentication information generation unit 102 has an authenticator generation function for generating an authenticator for the mask data based on the generated authentication information generation key and mask data.
 又、前記マスクデータ生成部としてのマスク値生成部101は、前記各コミット・データ生成・検証装置200が各々保持する前記各検証対象データを各々マスクするための当該装置の個数分の独立な乱数データをマスクデータとして各々生成するものである。
 前記認証情報生成部102は、前記各乱数データ、前記各認証情報検証鍵、各認証子をそれぞれ出力するものである。 Further, the mask value generation unit 101 as the mask data generation unit has independent random numbers corresponding to the number of the devices for masking the verification target data held by the commit / data generation / verification devices 200, respectively. Each data is generated as mask data.
The authentication information generation unit 102 outputs each random number data, each authentication information verification key, and each authenticator.
 コミットデータ生成・検証装置200―i(i=1、2、・・・、n)は、検証対象データ格納部としてのデータ記憶部201―iと、認証情報格納部としての認証情報記憶部202―iと、マスクデータ格納部としてのマスク値記憶部203―iと、コミットデータ格納部としてのコミットデータ記憶部204―iと、コミットデータ生成部205―iと、コミットデータ検証部206―iとを備えている。 The commit data generation / verification apparatus 200-i (i = 1, 2,..., N) includes a data storage unit 201-i as a verification target data storage unit and an authentication information storage unit 202 as an authentication information storage unit. -I, a mask value storage unit 203-i as a mask data storage unit, a commit data storage unit 204-i as a commit data storage unit, a commit data generation unit 205-i, and a commit data verification unit 206-i And.
 データ記憶部201―iは、コミットメントの対象となるデータd_i(検証対象データ)を格納する記憶装置であり、コミットデータ生成時にコミットデータ生成部205にデータを出力したり、コミットデータ検証時に別のコミットデータ検証部206―j(i≠j)にデータを出力したりする。 The data storage unit 201-i is a storage device that stores data d_i (data to be verified) that is a target of commitment. The data storage unit 201-i outputs data to the commit data generation unit 205 when generating commit data, Data is output to the commit data verification unit 206-j (i ≠ j).
 認証情報記憶部202―iは、前記認証情報生成部102が生成したデータであり検証に用いる認証データの一部である認証情報検証鍵f_iを格納するとともに前記マスクデータ(乱数データ)に対する認証子a_iを格納する。
 すなわち、認証情報記憶部202―iは、二変数多項式における変数の一方に定数を代入したデータに基づいて生成された前記認証データおよび前記認証子をそれぞれ格納する。 The authentication information storage unit 202-i stores the authentication information verification key f_i that is data generated by the authentication information generation unit 102 and is a part of the authentication data used for verification, and an authenticator for the mask data (random number data). Store a_i.
In other words, the authentication information storage unit 202-i stores the authentication data and the authenticator generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
 マスク値記憶部203―iは、検証対象データを秘匿するために前記マスク値生成部101が出力したマスクデータ(マスク情報)r_iを格納する。 The mask value storage unit 203-i stores the mask data (mask information) r_i output from the mask value generation unit 101 in order to keep the verification target data confidential.
 コミットデータ生成部205―iは、データ記憶部201―iが格納するデータd_iと、マスク値記憶部203―iが格納するマスクデータr_iとを入力とし、データ記憶部201―iが格納するデータd_iに対するコミットデータc_iを生成、出力する。
 これにより、コミットデータ生成部205―iは、データ(検証対象データ)d_iを前記マスクデータr_iに基づき秘匿する前記コミットデータc_iを生成する。 The commit data generation unit 205-i receives the data d_i stored in the data storage unit 201-i and the mask data r_i stored in the mask value storage unit 203-i as input, and the data stored in the data storage unit 201-i Generate and output commit data c_i for d_i.
Thereby, the commit data generation unit 205-i generates the commit data c_i that conceals data (data to be verified) d_i based on the mask data r_i.
 コミットデータ記憶部204―iは、コミットデータ生成部205―iの出力であるコミットデータc_iと、他のコミットデータ生成部205―j(j=1、2、・・・、i-1、i+1、・・・、n)の出力であるコミットデータc_jを一つまたは複数格納する。
 すなわち、1つのコミットデータ記憶部204―iは、他の装置および自装置が出力した全ての各コミットデータc_1、・・、c_i、・・、c_nを格納する。 The commit data storage unit 204-i includes the commit data c_i that is the output of the commit data generation unit 205-i and the other commit data generation unit 205-j (j = 1, 2,..., I−1, i + 1). ,..., N), one or a plurality of commit data c_j is stored.
That is, one commit data storage unit 204-i stores all commit data c_1,..., C_i,.
 コミットデータ検証部206―iは、他の装置200-jにおけるマスクデータr_j及びその認証子a_jと、自装置200-iにおける前記認証データの一部である認証情報検証鍵f_iと、前記他のコミットデータc_jとに基づいて、他の検証対象データd_jの非改竄性を検証しこの検証結果を出力する。 The commit data verification unit 206-i includes the mask data r_j in the other device 200-j and its authenticator a_j, the authentication information verification key f_i that is a part of the authentication data in the own device 200-i, and the other Based on the commit data c_j, the non-falsification of the other verification target data d_j is verified and the verification result is output.
 より具体的には、コミットデータ検証部206―iは、他のコミットデータ生成・検証装置200―jのデータ記憶部201―jが格納する他の検知対象データd_jに基づいて生成されコミットデータ記憶部204―iが格納する他のコミットデータc_jと、認証情報記憶部202-iが格納する認証情報検証鍵f_iと、(他のコミットデータ検証部206―jのマスク値記憶部203―jが格納する他のマスクデータr_jと、他のコミットデータ検証部206―jの認証情報記憶部202―jが格納する他の認証子a_jと、)を入力とし、検証結果となる「0」または「1」を出力する。 More specifically, the commit data verification unit 206-i is generated based on the other detection target data d_j stored in the data storage unit 201-j of the other commit data generation / verification device 200-j. The other commit data c_j stored in the section 204-i, the authentication information verification key f_i stored in the authentication information storage section 202-i, and the mask value storage section 203-j of the other commit data verification section 206-j The other mask data r_j to be stored and the other authenticator a_j stored in the authentication information storage unit 202-j of the other commit data verification unit 206-j) are input, and “0” or “ 1 "is output.
 前述の通り、検証結果が「1」であることは、入力データと開示データが一致していることを意味しており、検証結果が「0」であることは、入力データと開示データが異なっていることを意味している。 As described above, the verification result “1” means that the input data and the disclosed data match, and the verification result “0” means that the input data and the disclosed data are different. It means that
 (ハードウエア構成)
 図1に示したセットアップ装置100およびコミットデータ生成・検証装置200は、例えば論理回路等から構成されるLSI(Large Scale Intergration)やDSP(Digital Signal Processor)等の半導体集積回路によって実現される。 (Hardware configuration)
The setup device 100 and the commit data generation / verification device 200 shown in FIG. 1 are realized by a semiconductor integrated circuit such as an LSI (Large Scale Inter- lation) or a DSP (Digital Signal Processor) configured by a logic circuit, for example.
 また、セットアップ装置100およびコミット・データ生成・検証装置200は、図2に示すように、プログラムにしたがって所定の処理を実行する処理装置10と、処理装置10に対してコマンドや情報等を入力するための入力装置20と、処理装置10の処理結果をモニタするための出力装置30とを備えたコンピュータによってソフトウェア上で実現してもよい。 Further, as shown in FIG. 2, the setup device 100 and the commit / data generation / verification device 200 input a command, information, and the like to the processing device 10 that executes predetermined processing according to a program and the processing device 10. It may be realized on software by a computer including an input device 20 for monitoring and an output device 30 for monitoring the processing result of the processing device 10.
 図2に示す処理装置10は、CPU11と、CPU11の処理に必要な情報を一時的に記憶する主記憶装置12と、CPU11に後述するセットアップ装置100、コミットデータ生成部205(205-1~205-n)およびコミットデータ検証部206(206-1~206-n)としての処理を実行させるためのプログラムが記録された記録媒体13とを備える。 The processing device 10 shown in FIG. 2 includes a CPU 11, a main storage device 12 that temporarily stores information necessary for the processing of the CPU 11, a setup device 100 described later in the CPU 11, and a commit data generation unit 205 (205-1 to 205). -N) and a recording medium 13 on which a program for executing processing as the commit data verification unit 206 (206-1 to 206-n) is recorded.
 又、処理装置10は、コミットの対象となるデータと、認証情報と、マスク値と、コミット・データとが格納されるデータ蓄積装置14と、主記憶装置12、記録媒体13及びデータ蓄積装置14とのデータ転送を制御するメモリ制御インターフェース部15と、入力装置10及び出力装置30とのインターフェース部であるI/Oインタフェース部16と図示しない通信インターフェースとを有し、それらがバス部18を介して接続された構成である。 The processing device 10 also includes a data storage device 14 that stores data to be committed, authentication information, a mask value, and commit data, a main storage device 12, a recording medium 13, and a data storage device 14. A memory control interface unit 15 that controls data transfer to and from the I / O interface unit 16 that is an interface unit between the input device 10 and the output device 30, and a communication interface (not shown). Connected configuration.
 ここで、データ蓄積装置14は、処理装置10内にある必要はなく、処理装置10から独立して備えていてもよい。 Here, the data storage device 14 does not need to be in the processing device 10 and may be provided independently of the processing device 10.
 処理装置10は、記録媒体13に記録されたプログラムにしたがって後述するセットアップ装置100、コミットデータ生成部205(205-1~205-n)およびコミットデータ検証部206(206-1~206-n)としての機能を実現する。
 記録媒体13は、磁気ディスク、半導体メモリ、光ディスクあるいはその他の記録媒体であってもよい。 The processing device 10 includes a setup device 100, a commit data generation unit 205 (205-1 to 205-n), and a commit data verification unit 206 (206-1 to 206-n), which will be described later, according to the program recorded on the recording medium 13. As a function.
The recording medium 13 may be a magnetic disk, a semiconductor memory, an optical disk, or other recording medium.
 (動作処理手順について)
 (全体の概略動作)
 次に、上述のような構成を有するコミットメント生成・検証システム(秘密情報分散システム)における全体の動作処理手順について、図3乃至図5を参照しつつ説明する。図3は、本発明の一実施の形態によるコミットメント生成・検証システムおけるセットアップ装置の動作処理手順の一例を示すフローチャートである。図4は、コミット・データ生成・ 検証装置のコミット・データ生成時の動作処理手順の一例を示すフローチャートである。図5は、コミットデータ検証時の動作処理手順の一例を示すフローチャートである。 (About operation procedure)
(Overall outline operation)
Next, an overall operation processing procedure in the commitment generation / verification system (secret information distribution system) having the above-described configuration will be described with reference to FIGS. FIG. 3 is a flowchart showing an example of an operation processing procedure of the setup device in the commitment generation / verification system according to the embodiment of the present invention. FIG. 4 is a flowchart showing an example of an operation processing procedure at the time of commit / data generation of the commit / data generation / verification apparatus. FIG. 5 is a flowchart illustrating an example of an operation processing procedure at the time of commit data verification.
 本実施の形態に係るコミットメント生成・検証における動作処理手順は、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置200と、前記各コミットデータ生成・検証装置200を各々稼働するためのセットアップ装置100とを備えた認証システムにあって、前記検証対象データを検証するための認証を行うものを対象とするものである。 The operation processing procedure in commitment generation / verification according to the present embodiment includes two or more commit data generation / verification devices 200 that generate commit data and verify whether or not the verification target data relating to the commit data has been tampered with, The authentication system includes a setup device 100 for operating each commit data generation / verification device 200, and performs authentication for verifying the verification target data.
 本実施の形態に係るコミットメント生成・検証における全体の動作処理手順は、基本的手順として、前記各コミットデータ生成・検証装置200にかかる前記検証対象データを秘匿するためのマスクデータを前記セットアップ装置100におけるマスクデータ生成部としてのマスク値生成部101が生成する(図3に示すステップS1:マスクデータ生成ステップ)。 The overall operation processing procedure in the commitment generation / verification according to the present embodiment is as a basic procedure: mask data for concealing the verification target data related to each commit data generation / verification device 200 is the setup device 100. Is generated by a mask value generation unit 101 as a mask data generation unit (step S1: mask data generation step shown in FIG. 3).
 続いて、前記検証に用いる認証データ及び前記マスクデータに対する認証子を前記セットアップ装置101における認証情報生成部102がそれぞれ認証情報として生成する(図3に示すステップS2~ステップS4からなるステップ:認証情報生成ステップ)。 Subsequently, an authentication information generation unit 102 in the setup apparatus 101 generates authentication data for the verification data and the mask data used for the verification as authentication information (steps consisting of steps S2 to S4 shown in FIG. 3: authentication information) Generation step).
 次に、前記検証対象データを前記マスクデータに基づき秘匿する前記コミットデータを前記コミットデータ生成・検証装置200(200―1~200―n)におけるコミットデータ生成部205(205―1~205―n)が生成する(図4に示すステップC1~ステップC3からなるステップ:コミットデータ生成ステップ)。 Next, the commit data for concealing the verification target data based on the mask data is converted into the commit data generation unit 205 (205-1 to 205-n) in the commit data generation / verification apparatus 200 (200-1 to 200-n). (Step consisting of step C1 to step C3 shown in FIG. 4: commit data generation step).
 しかる後、他の前記コミットデータ生成・検証装置200-jにおけるマスクデータ及びその認証子(すなわち、他マスクデータ、他認証子)と、自装置200-iにおける前記認証データの一部と、他のコミットデータとに基づいて他の検証対象データの非改竄性を前記コミットデータ生成・検証装置200-iにおけるコミットデータ検証部206-iが検証しこの検証結果を出力する(図5に示すステップR1~ステップR6からなるステップ:コミットデータ検証ステップ)。 Thereafter, the mask data and its authenticator (that is, other mask data and other authenticator) in the other commit data generation / verification apparatus 200-j, a part of the authentication data in the own apparatus 200-i, and the like The commit data verification unit 206-i in the commit data generation / verification apparatus 200-i verifies the non-falsification of the other verification target data based on the commit data of this and outputs the verification result (step shown in FIG. 5) Step consisting of R1 to R6: commit data verification step).
 前記認証情報を生成するに際しては、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成する。 When generating the authentication information, the authentication data and the authenticator are generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
 又、このコミットメント生成・検証における動作処理手順では、前記認証情報を生成するに際しては、少なくとも2つの二変数K次多項式をランダムかつ独立に生成する二変数K次多項式ランダム生成処理を行う。 Further, in the operation processing procedure in this commitment generation / verification, when generating the authentication information, a two-variable K-order polynomial random generation process for randomly and independently generating at least two two-variable K-order polynomials is performed.
 又、このコミットメント生成・検証における動作処理手順では、前記認証情報を生成するに際しては、生成された一方の二変数K次多項式における変数の一方に装置番号を代入した第1データと他方の二変数K次多項式における変数の一方に装置番号を代入した第2データとに基づいて認証情報生成鍵を生成する認証情報生成鍵生成処理を行う。 Further, in the operation processing procedure in the commitment generation / verification, when generating the authentication information, the first data in which the device number is substituted into one of the variables in the generated one-variable K-degree polynomial and the other two variables. An authentication information generation key generation process is performed to generate an authentication information generation key based on the second data in which the device number is substituted into one of the variables in the Kth order polynomial.
 又、このコミットメント生成・検証における動作処理手順では、前記認証情報を生成するに際しては、生成された一方の二変数K次多項式における変数の他方に装置番号を代入した第3データと他方の二変数K次多項式における変数の他方に装置番号を代入した第4データとに基づいて認証情報検証鍵を生成する認証情報検証鍵生成処理を行う。 In the operation processing procedure in this commitment generation / verification, when generating the authentication information, the third data in which the device number is substituted for the other variable in the generated one-variable K-degree polynomial and the other two-variable An authentication information verification key generation process for generating an authentication information verification key is performed based on the fourth data in which the device number is substituted for the other variable in the Kth order polynomial.
 又、このコミットメント生成・検証における動作処理手順では、前記認証情報を生成するに際しては、生成された認証情報生成鍵とマスクデータとに基づいて当該マスクデータに対する認証子を生成する認証子生成処理を行う。 Further, in the operation processing procedure in the commitment generation / verification, when generating the authentication information, an authenticator generation process for generating an authenticator for the mask data based on the generated authentication information generation key and the mask data is performed. Do.
 (詳細動作)
 以下、これを詳述する。
 図3に示すように、まず、マスク値生成部101がn個の独立かつランダムなマスクデータ(マスク値)としての乱数データr_i(i=1、2、・・・、n)を出力する(ステップS1:マスクデータ生成ステップないしは機能)。 (Detailed operation)
This will be described in detail below.
As shown in FIG. 3, first, the mask value generation unit 101 outputs random number data r_i (i = 1, 2,..., N) as n independent and random mask data (mask values) ( Step S1: Mask data generation step or function).
 次に、マスク値生成部101の出力r_iが認証情報生成部102に入力されると、認証情報生成部102は、内部で二変数多項式生成・演算部1021を動作させn個の認証データである認証情報生成鍵e_i、認証情報検証鍵f_i(i=1、2、・・・、n)を生成する(ステップS2:認証情報生成鍵生成ステップないしは機能、認証情報検証鍵生成ステップないしは機能)。 Next, when the output r_i of the mask value generation unit 101 is input to the authentication information generation unit 102, the authentication information generation unit 102 operates the two-variable polynomial generation / calculation unit 1021 to obtain n pieces of authentication data. An authentication information generation key e_i and an authentication information verification key f_i (i = 1, 2,..., N) are generated (step S2: authentication information generation key generation step or function, authentication information verification key generation step or function).
 次に、認証情報生成部102は、乱数データ(マスクデータ)r_iと認証データである認証情報生成鍵e_iから乱数データ(マスクデータ)r_iに対する認証子ai(i=1、2、・・・、n)を生成する(ステップS3:認証子生成ステップないしは機能)。 Next, the authentication information generation unit 102 authenticates ai (i = 1, 2,...) For the random number data (mask data) r_i from the random number data (mask data) r_i and the authentication information generation key e_i that is authentication data. n) is generated (step S3: authenticator generation step or function).
 ステップS1で生成された乱数データ(マスクデータ)r_iをマスクデータ格納部としてのマスク値記憶部203―iに格納するとともに、ステップS2で生成された認証情報検証鍵f_iと、ステップS3で生成された認証子a_iとを認証情報記憶部202―iにそれぞれ格納する(ステップS4:マスクデータ格納ステップないしは機能、認証情報格納ステップないしは機能)。 The random number data (mask data) r_i generated in step S1 is stored in the mask value storage unit 203-i as a mask data storage unit, and the authentication information verification key f_i generated in step S2 is generated in step S3. Each authentication code a_i is stored in the authentication information storage unit 202-i (step S4: mask data storage step or function, authentication information storage step or function).
 図4に示すように、コミットデータ生成・検証装置200―iは、検証対象データ格納部としてのデータ記憶部201―iから検証対象データd_iを、マスク値記憶部から乱数データr_iをコミットデータ生成部205―iにそれぞれ読み込む(ステップC1)。 As shown in FIG. 4, the commit data generation / verification apparatus 200-i generates commit data from the data storage unit 201-i serving as the verification target data storage unit and the verification target data d_i from the mask value storage unit. Each is read into the unit 205-i (step C1).
 次に、コミットデータ生成部205―iは、検証対象データd_iを乱数データr_iでマスクした値であるコミットデータc_iを生成する。
 この時、コミットデータc_iから検証対象データd_iに関する値が完全に秘匿できるような方法に基づいてコミットデータc_iの生成を行うものとする(ステップC2)。 Next, the commit data generation unit 205-i generates commit data c_i that is a value obtained by masking the verification target data d_i with the random number data r_i.
At this time, the commit data c_i is generated based on a method in which the value related to the verification target data d_i can be completely concealed from the commit data c_i (step C2).
 次に、コミットデータ生成部205―iは、ステップC2で生成されたコミットデータc_iを全てのコミットデータ記憶部204―j(j=1、2、・・・、n)に格納する(ステップC3) Next, the commit data generation unit 205-i stores the commit data c_i generated in step C2 in all the commit data storage units 204-j (j = 1, 2,..., N) (step C3 )
 図5に示すように、コミットデータ生成・検証装置200―iは、他のコミットデータ生成・検証装置200―j(j≠i)のデータ記憶部201―jから他検証対象データd_jを、認証情報記憶部202―jから他認証子a_jを、マスク値記憶部203―jから他乱数データ(他マスクデータ)r_jを、自装置(200―i)内の認証情報記憶部から認証情報検証鍵f_iを、コミットデータ記憶部204―iから他コミットデータc_jを、それぞれコミットデータ検証部206―iに読み込む(ステップR1)。 As shown in FIG. 5, the commit data generation / verification device 200-i authenticates the other verification target data d_j from the data storage unit 201-j of the other commit data generation / verification device 200-j (j ≠ i). The other authenticator a_j from the information storage unit 202-j, the other random number data (other mask data) r_j from the mask value storage unit 203-j, and the authentication information verification key from the authentication information storage unit in the own device (200-i) f_i is read from the commit data storage unit 204-i and the other commit data c_j is read into the commit data verification unit 206-i, respectively (step R1).
 次に、コミットデータ検証部206―iは、他コミットデータc_jと他乱数データr_jから他検証対象データd_jを復元する(ステップR2:他検証対象データ復元ステップないしは機能)。 Next, the commit data verification unit 206-i restores the other verification target data d_j from the other commit data c_j and the other random number data r_j (step R2: other verification target data restoration step or function).
 次に、コミットデータ検証部206―iは、ステップR2で復元された他検証対象デーチャd_jと、他検証対象データd_jにかかる他認証子a_jと、自装置200―iの認証情報検証鍵f_iを用いて、他検証対象データd_j、他認証子a_j、認証情報検証鍵f_iの相互間に矛盾がないかどうかを検証する(ステップR3:他検証対象データ検証ステップないしは機能)。 Next, the commit data verification unit 206-i receives the other verification target data d_j restored in step R2, the other authenticator a_j related to the other verification target data d_j, and the authentication information verification key f_i of the own device 200-i. And verifying whether there is any contradiction among the other verification target data d_j, the other authenticator a_j, and the authentication information verification key f_i (step R3: other verification target data verification step or function).
 矛盾がない場合には、コミットデータ検証部206―iは「1」を出力して終了する(ステップR4)。
 矛盾が検出された場合には、「0」を出力して終了する(ステップR5)。   If there is no contradiction, the commit data verification unit 206-i outputs “1” and ends (step R4).
If a contradiction is detected, “0” is output and the process ends (step R5).
 以上のように本実施の形態によれば、セットアップ装置が出力するマスク値に対する認証情報を、ランダムに生成したひとつまたは複数の二変数多項式の一方の変数または両方の変数に既知の定数を代入したデータとし、前記二変数多項式の次数を適切に調整することによって、各コミット・データ生成・検証装置の認証情報格納部に格納する認証情報のサイズを削減することが可能となる。 As described above, according to the present embodiment, the authentication information for the mask value output by the setup device is substituted with a known constant for one or both variables of one or a plurality of two-variable polynomials generated at random. By appropriately adjusting the order of the bivariate polynomial as data, it is possible to reduce the size of the authentication information stored in the authentication information storage unit of each commit / data generation / verification device.
 ここで、図1に示すブロック図における一部の各ブロックは、コンピュータにより実行可能なプログラムにより機能化された状態を示すソフトウエアモジュール構成であってもよい。 Here, a part of each block in the block diagram shown in FIG. 1 may have a software module configuration showing a functionalized state by a program executable by a computer.
 すなわち、物理的構成は例えば一又は複数のCPU(或いは一又は複数のCPUと一又は複数のメモリ)等ではあるが、各部(回路・手段)によるソフトウェア構成は、プログラムの制御によってCPUが発揮する複数の機能を、それぞれ複数の部(手段)による構成要素として表現したものである。 That is, the physical configuration is, for example, one or a plurality of CPUs (or one or a plurality of CPUs and one or a plurality of memories), but the software configuration by each unit (circuit / means) is exhibited by the CPU by controlling the program. A plurality of functions are expressed as components by a plurality of units (means).
 CPUがプログラムによって実行されている動的状態(プログラムを構成する各手順を実行している状態)を機能表現した場合、CPU内に各部(手段)が構成されることになる。プログラムが実行されていない静的状態にあっては、各手段の構成を実現するプログラム全体(或いは各手段の構成に含まれるプログラム各部)は、メモリなどの記憶領域に記憶されている。 When the CPU expresses a dynamic state in which the CPU is executed by the program (a state in which each procedure constituting the program is being executed), each unit (means) is configured in the CPU. In a static state in which the program is not executed, the entire program (or each program part included in the configuration of each unit) that realizes the configuration of each unit is stored in a storage area such as a memory.
 以上に示した各部(手段)は、プログラムにより機能化されたコンピュータをプログラムの機能と共に実現し得るように構成しても、また、固有のハードウエアにより恒久的に機能化された複数の電子回路ブロックからなる装置で構成してもよい。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組み合わせによっていろいろな形で実現でき、いずれかに限定されるものではない。 Each unit (means) described above may be configured such that a computer functionalized by a program can be realized together with the function of the program, or a plurality of electronic circuits permanently functionalized by specific hardware You may comprise with the apparatus which consists of a block. Therefore, these functional blocks can be realized in various forms by hardware only, software only, or a combination thereof, and is not limited to any one.
 また、各部は、通信可能な専用のコンピュータからなる装置としてそれぞれ構成し、これらの各装置によりシステムを構成してもよい。逆に、各部を単一の装置として構成したシステムであってもよい。 Further, each unit may be configured as a device including a dedicated computer capable of communication, and the system may be configured by each of these devices. Conversely, a system in which each unit is configured as a single device may be used.
 [第2の実施の形態]
 次に、本発明にかかる第2の実施の形態について説明する。本第2の実施の形態では、上述の第1の実施の形態の具体的例を示すものであり、前記第1の実施の形態と同様の図を用いて説明する。 [Second Embodiment]
Next, a second embodiment according to the present invention will be described. The second embodiment shows a specific example of the above-described first embodiment, and will be described using the same diagram as that of the first embodiment.
 本第2実施形態におけるにコミットメント生成・検証システム1は、各検証対象データd_iにGF(p)(p:素数または素数の巾、GF:ガロア体)を用いる。ガロア体とは、整数を素数で除算した余りの集合であり、要素が有限で四則演算が閉じている集合である。要素(元)pをもつガロア体をGF(p)とする。 In the second embodiment, the commitment generation / verification system 1 uses GF (p) (p: prime number or prime number width, GF: Galois field) for each verification target data d_i. A Galois field is a set of remainders obtained by dividing an integer by a prime number, and is a set in which elements are finite and four arithmetic operations are closed. A Galois field having element (element) p is defined as GF (p).
 ここで、本実施の形態に係るセットアップ装置100及びコミットデータ生成・検証装置200―i(i=1、2、・・・、n)について説明する。 Here, the setup device 100 and the commit data generation / verification device 200-i (i = 1, 2,..., N) according to the present embodiment will be described.
 セットアップ時に、セットアップ装置100のマスク値生成部101は、GF(p)上のn個の乱数データr_1、r_2、・・・、r_nをマスクデータとして生成する。 At the time of setup, the mask value generation unit 101 of the setup apparatus 100 generates n pieces of random number data r_1, r_2,..., R_n on GF (p) as mask data.
 次に、認証情報生成部102は、ガロア体GF(p)上の少なくとも2つの二変数K次多項式h_0(x、y)、h_1(x、y)をランダムかつ独立に生成する二変数K次多項式ランダム生成機能を備えている。 Next, the authentication information generation unit 102 generates at least two bivariate Kth order polynomials h_0 (x, y) and h_1 (x, y) on the Galois field GF (p) randomly and independently. It has a polynomial random generation function.
 また、認証情報生成部102は、認証情報生成鍵e_i、認証情報検証鍵f_iを、
 e_i=(e_{i0}(x)、e_{i1}(x))
    = (h_0(x、i)、h_1(x、i))、
 f_i=(f_{i0}(y)、f_{i1}(y))
    = (h_0(i、y)、h_1(i、y))
 としてそれぞれ生成する機能を備える。 Further, the authentication information generation unit 102 receives the authentication information generation key e_i and the authentication information verification key f_i.
e_i = (e_ {i0} (x), e_ {i1} (x))
= (H_0 (x, i), h_1 (x, i)),
f_i = (f_ {i0} (y), f_ {i1} (y))
= (H — 0 (i, y), h — 1 (i, y))
As a function of generating each.
 すなわち、認証情報生成部102は、生成された一方の二変数K次多項式における変数の一方に定数(例えば装置番号など)を代入した第1データと他方の二変数K次多項式における変数の一方に定数(例えば装置番号など)を代入した第2データとに基づいて認証情報生成鍵e_iを生成する認証情報生成鍵生成機能を備える。 That is, the authentication information generation unit 102 assigns one of the variables in one of the generated two-variable Kth order polynomials to one of the variables in the first data and the other two-variable Kth order polynomial. An authentication information generation key generation function for generating an authentication information generation key e_i based on the second data substituted with a constant (for example, a device number) is provided.
 更に、認証情報生成部102は、生成された一方の二変数K次多項式における変数の他方に定数(例えば装置番号など)を代入した第3データと他方の二変数K次多項式における変数の他方に定数(例えば装置番号など)を代入した第4データとに基づいて認証情報検証鍵f_iを生成する認証情報検証鍵生成機能を備える。 Furthermore, the authentication information generation unit 102 assigns the third data obtained by assigning a constant (for example, a device number) to the other of the variables in one of the generated two-variable Kth order polynomials and the other of the variables in the other two-variable Kth order polynomials. An authentication information verification key generation function for generating an authentication information verification key f_i based on the fourth data substituted with a constant (for example, a device number) is provided.
 また、認証情報生成部102は、生成されたマスク情報(マスクデータ)r_iに対する認証子a_i(x)を生成する認証子生成機能を備える。 Also, the authentication information generation unit 102 has an authenticator generation function for generating an authenticator a_i (x) for the generated mask information (mask data) r_i.
 セットアップ装置100は、認証情報検証鍵f_i、認証子a_i(x)を認証情報記憶部202―iに格納すると共に、マスクデータ(乱数データ)r_iをマスク値記憶部203―iに格納する機能を備える。 The setup device 100 has a function of storing the authentication information verification key f_i and the authenticator a_i (x) in the authentication information storage unit 202-i and storing mask data (random number data) r_i in the mask value storage unit 203-i. Prepare.
 すなわち、前記マスク値生成部101は、前記各コミット・データ生成・検証装置200(200―1~200―n)が各々保持する前記各検証対象データd_1~d_nを各々マスクするための当該装置の個数分nの独立な乱数データr_1~r_nをマスクデータとして各々生成する機能を備える。これにより、認証情報生成部102は、前記各乱数データr_1~r_n、前記各認証情報検証鍵f_1~f_n、各認証子a_1(x)~a_n(x)をそれぞれ出力する機能を備える。 That is, the mask value generator 101 masks the verification target data d_1 to d_n held by the commit / data generation / verification apparatuses 200 (200-1 to 200-n), respectively. A function of generating n pieces of independent random number data r_1 to r_n as mask data is provided. Accordingly, the authentication information generation unit 102 has a function of outputting the random number data r_1 to r_n, the authentication information verification keys f_1 to f_n, and the authenticators a_1 (x) to a_n (x).
 更に、前記認証情報生成部102における認証情報生成鍵生成機能では、生成された一方の二変数K次多項式h_0(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報生成鍵e_iを、
 e_i=(h_0(x、i)、h_1(x、i))
 として1つの装置につきh_0(x、i)及びh_1(x、i)の2種類生成する機能を備える。 Further, the authentication information generation key generation function in the authentication information generation unit 102 is based on one generated two-variable Kth order polynomial h_0 (x, y) and the other two-variable Kth order polynomial h_1 (x, y). The authentication information generation key e_i in the device number i of the own device is
e_i = (h — 0 (x, i), h — 1 (x, i))
The function of generating two types of h — 0 (x, i) and h — 1 (x, i) per device is provided.
 又、前記認証情報生成部102における認証情報検証鍵生成機能では、
 生成された一方の二変数K次多項式h_0(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報検証鍵f_iを、
 f_i=(h_0(i、y)、h_1(i、y))
 として1つの装置につきh_0(i、y)及びh_1(i、y)の2種類生成する機能を備える。 In the authentication information verification key generation function in the authentication information generation unit 102,
Based on one of the generated two-variable Kth order polynomial h_0 (x, y) and the other two-variable Kth order polynomial h_1 (x, y), an authentication information verification key f_i for the device number i of the own device is obtained.
f_i = (h — 0 (i, y), h — 1 (i, y))
As a function of generating two types of h_0 (i, y) and h_1 (i, y) per device.
 更に、前記認証情報生成部102における認証子生成機能では、生成された認証情報生成鍵e_iと乱数データr_iとに基づいて当該乱数データr_iに対する認証子a_i(x)を、前記h_0(x、i)による生成鍵e_{i0}(x)と前記h_1(x、i)による生成鍵e_{i1}(x)を用いて以下の式、
 a_i(x)=e_{i0}(x)+ r_i × e_{i1}(x)
 により生成する機能を備える。 Further, in the authenticator generation function in the authentication information generation unit 102, the authenticator a_i (x) for the random number data r_i is converted into the h_0 (x, i) based on the generated authentication information generation key e_i and the random number data r_i. ) Generated key e_ {i0} (x) and h_1 (x, i) generated key e_ {i1} (x)
a_i (x) = e_ {i0} (x) + r_i × e_ {i1} (x)
It has the function to generate by.
 前記コミットデータ生成部205は、前記検証対象データ格納部としてのデータ記憶部201に格納された前記検証対象データとマスクデータ格納部としてのマスク値記憶部203に格納された前記乱数データとの和により前記コミットデータを生成しコミットデータ記憶部204に格納するものである。 The commit data generation unit 205 calculates the sum of the verification target data stored in the data storage unit 201 serving as the verification target data storage unit and the random number data stored in the mask value storage unit 203 serving as a mask data storage unit. Thus, the commit data is generated and stored in the commit data storage unit 204.
 すなわち、コミットデータ生成部205―iが、検証対象データd_iとマスクデータ(乱数データ)r_iをそれぞれデータ記憶部201―iとマスク値記憶部203―iから読み出し、コミットデータc_iをc_i=d_i+r_iにより生成する機能を備える。 That is, the commit data generation unit 205-i reads the verification target data d_i and the mask data (random number data) r_i from the data storage unit 201-i and the mask value storage unit 203-i, respectively, and the commit data c_i by c_i = d_i + r_i. It has a function to generate.
 コミットデータ生成部205―iは、生成したコミットデータc_iを、全てのコミットデータ生成・検証装置200(200―1~200―n)のコミットデータ記憶部204(204―1~204―n)に格納する機能を備える。
 具体的には、コミットデータ生成部205―1は、生成したコミットデータc_1を、全てのコミットデータ生成・検証装置200(200―1~200―n)のコミットデータ記憶部204(204―1~204―n)に格納する。
 同様にして、コミットデータ生成部205―nは、生成したコミットデータc_nを、全てのコミットデータ生成・検証装置200(200―1~200―n)のコミットデータ記憶部204(204―1~204―n)に格納する。
 このため、コミットデータ記憶部204―1には、コミットデータc_1~c_nが格納される。同様に、コミットデータ記憶部204―nには、コミットデータc_1~c_nが格納される。 The commit data generation unit 205-i sends the generated commit data c_i to the commit data storage unit 204 (204-1 to 204-n) of all the commit data generation / verification devices 200 (200-1 to 200-n). The function to store is provided.
Specifically, the commit data generation unit 205-1 uses the generated commit data c_1 as the commit data storage unit 204 (204-1 to 204-1) of all the commit data generation / verification apparatuses 200 (200-1 to 200-n). 204-n).
Similarly, the commit data generation unit 205-n converts the generated commit data c_n into commit data storage units 204 (204-1 to 204) of all the commit data generation / verification apparatuses 200 (200-1 to 200-n). -Store in n).
Therefore, commit data c_1 to c_n are stored in the commit data storage unit 204-1. Similarly, commit data c_1 to c_n are stored in the commit data storage unit 204-n.
 前記コミットデータ検証部206は、他のコミットデータと他の乱数データとから他の検証対象データを復元する他検証対象データ復元機能と、他検証対象データ復元機能にて復元された他の検証対象データと、他の検証対象データにかかる他の認証子と、自装置にかかる認証情報検証鍵を用いて、他の検証対象データ、他の認証子、認証情報検証鍵の相互間に矛盾がないかどうかを検証する他検証対象データ検証機能と、を含む。 The commit data verification unit 206 includes another verification target data restoration function for restoring other verification target data from other commit data and other random number data, and another verification target restored by the other verification target data restoration function. There is no contradiction between the other verification target data, other authenticators, and the authentication information verification key using the data, the other authenticators related to the other verification target data, and the authentication information verification key related to the local device. And other verification target data verification function for verifying whether or not.
 又、前記他検証対象データ検証機能は、他装置の装置番号jにおける他乱数データr_j及び他認証子a_j(x)、自装置の装置番号iにおける前記認証情報格納部の認証情報検証鍵f_i及び自装置の装置番号iにおける前記コミット・データ格納部の他コミット・データc_jを読み出し、前記a_j(x)のxに装置番号iを代入してa_j(i)を算出するとともに、前記f_iの2つの式に装置番号jを代入してf_{i0}(j)、f_{i1}(j)をそれぞれ算出した場合における以下に示す式
 a_j(i)=f_{i0}(j)+(c_j―r_j) × f_{i1}(j)
 が成立するかどうかを検証するものである。 The other verification object data verification function includes other random number data r_j and other authenticator a_j (x) in the device number j of the other device, authentication information verification key f_i of the authentication information storage unit in the device number i of the own device, and The other commit data c_j of the commit data storage unit in the device number i of the own device is read, and the device number i is substituted for x of the a_j (x) to calculate a_j (i), and the f_i of 2 Substituting the device number j into two equations and calculating f_ {i0} (j) and f_ {i1} (j) respectively, a_j (i) = f_ {i0} (j) + (c_j −r_j) × f_ {i1} (j)
It verifies whether or not holds.
 (動作)
 次に、本実施の形態におけるコミットデータ生成時のコミットデータ生成・検証装置の動作について説明する。 (Operation)
Next, the operation of the commit data generation / verification apparatus when generating commit data according to the present embodiment will be described.
 コミットデータ生成時には、コミットデータ生成部が、検証対象データd_iとマスクデータ(乱数データ)r_iをそれぞれデータ記憶部とマスク値記憶部から読み出し、コミットデータc_iを
 c_i=d_i+r_iにより生成する。 At the time of generating the commit data, the commit data generating unit reads the verification target data d_i and the mask data (random number data) r_i from the data storage unit and the mask value storage unit, respectively, and generates the commit data c_i by c_i = d_i + r_i.
 生成したコミットデータc_iは、全てのコミットデータ生成・検証装置200のコミットデータ記憶部204に格納する。 The generated commit data c_i is stored in the commit data storage unit 204 of all the commit data generation / verification apparatuses 200.
 次に、本実施例におけるコミットデータ検証時のコミットデータ生成・検証装置200―iの動作について説明する。 Next, the operation of the commit data generation / verification apparatus 200-i at the time of verifying commit data in this embodiment will be described.
 コミットデータ検証時には、コミットデータ検証部206―iが、他のコミットデータ生成・検証装置200―jから他マスクデータ(他乱数データ)r_j、他認証子a_j(x)を、自装置の認証情報記憶部202―iから認証情報検証鍵f_iを、自装置のコミットデータ記憶部204―iから他コミットデータc_jを読み出し、次式が成立するかどうかをチェックする。
 a_j(i)=f_{i0}(j)+(c_j―r_j) × f_{i1}(j) At the time of commit data verification, the commit data verification unit 206-i receives other mask data (other random number data) r_j and other authenticator a_j (x) from the other commit data generation / verification device 200-j, and authentication information of the own device. The authentication information verification key f_i is read from the storage unit 202-i and the other commit data c_j is read from the commit data storage unit 204-i of its own device, and it is checked whether or not the following equation is satisfied.
a_j (i) = f_ {i0} (j) + (c_j−r_j) × f_ {i1} (j)
 上式が成立する場合には「1」を、成立しない場合には「0」を出力する。 “1” is output when the above formula is satisfied, and “0” is output when it is not satisfied.
 以上で説明したように、本第2の実施の形態によると、認証情報生成部102が、多項式の次数Kを装置の数をkとした場合に(3k―2)/2を越えない自然数となるように設定するとともにこれに基づいてした上で認証データおよび認証子を生成する機能を有するようにすることで、k個の装置が結託した場合でも、方式の拘束性が破られる確立を1/pに抑えることが可能となる。 As described above, according to the second embodiment, when the authentication information generation unit 102 uses the degree K of the polynomial as the number of devices as k, the natural number does not exceed (3k−2) / 2. In addition to having a function for generating authentication data and an authenticator based on this setting, even if k devices collide, it is possible to establish a system that breaks the constraint of the system. / P can be suppressed.
 又、本第2の実施の形態によると、コミットの検証に必要なデータ、例えばコミットの検証のために格納する認証情報のサイズもlog(p) × (9k―6)/2 ビット程度となる。このため、kに比例するサイズに抑えることが可能となり、kがnと比較して小さな場合には、関連技術の方式と比較して格納すべきデータのサイズを削減することが可能になっている。  In addition, according to the second embodiment, the size of the data necessary for verifying the commit, for example, the authentication information stored for verifying the commit is also about log (p) × (9k-6) / 2 bits. . For this reason, it is possible to reduce the size to be proportional to k, and when k is smaller than n, it is possible to reduce the size of data to be stored as compared with the related art method. Yes. *
 その他の構成およびその他のステップないしは機能並びにその作用効果については、前述した第1実施形態の場合と同一となっている。また、上記の説明において、上述した各ステップの動作内容及び各部の構成要素並びにそれらによる各機能をプログラム化(ソフトウエアプログラム)し、コンピュータに実行させてもよい。 Other configurations, other steps or functions, and operation effects thereof are the same as those in the first embodiment described above. In the above description, the operation content of each step described above, the constituent elements of each unit, and the functions thereof may be programmed (software program) and executed by a computer.
 [第3の実施の形態]
 次に、本発明にかかる第3の実施の形態について説明する。本第3の実施の形態では、上述の第1の実施の形態のさらに他の具体的例を示すものであり、前記第1の実施の形態と同様の図を用いて説明する。 [Third Embodiment]
Next, a third embodiment according to the present invention will be described. The third embodiment shows still another specific example of the first embodiment described above, and will be described with reference to the same drawing as that of the first embodiment.
 本実施の形態におけるにコミットメント生成・検証システムも、前記第2の実施形態同様、各検証対象データd_{i1}、d_{i2}、・・・、d_{im}にGF(p) (p:素数または素数の巾、GF:ガロア体)を用いる。 As in the second embodiment, the commitment generation / verification system in the present embodiment also adds GF (p) (p to each verification target data d_ {i1}, d_ {i2}, ..., d_ {im}. : Prime number or prime width, GF: Galois field).
 次に、本実施の形態に係るセットアップ装置100及びコミットデータ生成・検証装置200―i(i=1、2、・・・、n)について説明する。 Next, the setup device 100 and the commit data generation / verification device 200-i (i = 1, 2,..., N) according to the present embodiment will be described.
 セットアップ時に、セットアップ装置100のマスク値生成部101は、
 GF(p)上のn×m個の乱数データ
 r_{11}、r_{12}、・・・、r_{1m}、
 r_{21}、r_{22}、・・・、r_{2m}、
    ・・・・・・・、
 r_{n1}、r_{n2}、・・・、r_{nm}、
 をマスクデータとして生成する。 At the time of setup, the mask value generation unit 101 of the setup apparatus 100
Nxm random number data on GF (p) r_ {11}, r_ {12}, ..., r_ {1m},
r_ {21}, r_ {22}, ..., r_ {2m},
...
r_ {n1}, r_ {n2}, ..., r_ {nm},
Is generated as mask data.
 すなわち、前記マスクデータ生成部としてのマスク値生成部101は、装置番号iにおけるマスクデータ格納部としてのマスク値記憶部203―iにm個の乱数データr_{i1}、r_{i2}、・・・、r_{im}を格納するようにした機能を備える。 That is, the mask value generation unit 101 as the mask data generation unit stores m random number data r_ {i1}, r_ {i2},... In the mask value storage unit 203-i as the mask data storage unit for the device number i. .., R_ {im} is stored.
 次に、認証情報生成部102は、m+1個のGF(p)上の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)、h_1(x、y)をランダムかつ独立に生成する機能を備える。 Next, the authentication information generation unit 102 includes a bivariate K-th order polynomial h_ {01} (x, y), h_ {02} (x, y),..., H_ {on m + 1 GF (p). 0m} (x, y) and h_1 (x, y) are randomly and independently generated.
 又、認証情報生成部102は、認証情報生成鍵e_{il}、認証情報検証鍵f_iをそれぞれ、
 e_{il}=(e_{i0l}(x)、e_{i1l}(x))
       = (h_{0l}(x、i)、h_1(x、i))
            (l=1、2、・・・、m)
   
 f_i=(f_{i01}(y)、f_{i02}(y)、・・・
           、f_{i0m}、f_{i1}(y))
 
    = (h_{01}(i、y)、h_{02}(i、y)、・・
          ・、h_{0m}(i、y)、h_1(i、y))
 として生成する機能を備える。 Further, the authentication information generation unit 102 receives the authentication information generation key e_ {il} and the authentication information verification key f_i, respectively.
e_ {il} = (e_ {iOl} (x), e_ {i1l} (x))
= (H_ {01} (x, i), h_1 (x, i))
(L = 1, 2, ..., m)

f_i = (f_ {i01} (y), f_ {i02} (y),...
, F_ {i0m}, f_ {i1} (y))

= (H_ {01} (i, y), h_ {02} (i, y), ...
., H_ {0m} (i, y), h_1 (i, y))
It has the function to generate as.
 また、認証情報生成部102は、マスク情報(マスクデータの一例である乱数データ)r_{il}に対する認証子a_{il}(x)を生成する認証子生成機能を備える。 In addition, the authentication information generation unit 102 has an authenticator generation function for generating an authenticator a_ {il} (x) for mask information (random data that is an example of mask data) r_ {il}.
 セットアップ装置100は、認証情報検証鍵f_i、認証子a_{il}(x)を認証情報記憶部202―iに、r_{il}をマスク値記憶部203―iに格納する。 The setup device 100 stores the authentication information verification key f_i and the authenticator a_ {il} (x) in the authentication information storage unit 202-i and r_ {il} in the mask value storage unit 203-i.
 より詳細には、前記マスクデータ生成部101は、装置番号iにおけるマスクデータ格納部にm個の乱数r_{i1}、r_{i2}、・・・、r_{im}を格納する。 More specifically, the mask data generation unit 101 stores m random numbers r_ {i1}, r_ {i2},..., R_ {im} in the mask data storage unit for the device number i.
 前記認証情報生成部102における二変数K次多項式ランダム生成機能では、m+1個の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)、h_1(x、y)をランダムかつ独立に生成する機能を備える。 In the bivariate Kth order polynomial random generation function in the authentication information generation unit 102, m + 1 bivariate Kth order polynomials h_ {01} (x, y), h_ {02} (x, y),. {0m} (x, y), h_1 (x, y) are provided randomly and independently.
 又、前記認証情報生成部102における認証情報生成鍵生成機能では、生成された一方の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報生成鍵e_iを、
 e_{il}=(h_{0l}(x、i)、h_1(x、i))
            (l=1、2、・・・、m)
 により1つの装置につき当該生成鍵をm+1種類生成する機能を備える。 In the authentication information generation key generation function in the authentication information generation unit 102, one of the generated two-variable K-th order polynomials h_ {01} (x, y), h_ {02} (x, y),. , H_ {0m} (x, y) and the other two-variable K-th order polynomial h_1 (x, y), the authentication information generation key e_i in the device number i of the own device,
e_ {il} = (h_ {01} (x, i), h_1 (x, i))
(L = 1, 2, ..., m)
Thus, a function for generating m + 1 types of the generated keys per apparatus is provided.
 更に、前記認証情報生成部102における認証情報検証鍵生成機能では、生成された一方の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報検証鍵f_iを、
 f_i= (h_{01}(i、y)、h_{02}(i、y)、・・
          ・、h_{0m}(i、y)、h_1(i、y))
 により1つの装置につきm+1種類生成する機能を備える。 Further, in the authentication information verification key generation function in the authentication information generation unit 102, one of the generated two-variable K-th order polynomials h_ {01} (x, y), h_ {02} (x, y),. , H_ {0m} (x, y) and the other two-variable K-th order polynomial h_1 (x, y), the authentication information verification key f_i in the device number i of its own device,
f_i = (h_ {01} (i, y), h_ {02} (i, y),...
., H_ {0m} (i, y), h_1 (i, y))
The function of generating m + 1 types per apparatus is provided.
 更に、前記認証情報生成部102における認証子生成機能では、生成された認証情報生成鍵e_iと乱数データr_iとに基づいて当該乱数データr_{il}に対する認証子a_{il}(x)を、前記h_{0l}(x、i)(l=1、2、・・・、m)による生成鍵e_{i0l}(x)と前記h_1(x、i)による生成鍵e_{i1}(x)を用いて以下の式、
 a_{il}(x)=e_{i0l}(x)+r_{il}×e_{i1}(x)
                 (l=1、2、・・・、m)
 により生成する機能を備える。 Further, in the authenticator generation function in the authentication information generation unit 102, the authenticator a_ {il} (x) for the random number data r_ {il} based on the generated authentication information generation key e_i and the random number data r_i, Generated key e_ {i01} (x) based on h_ {01} (x, i) (l = 1, 2,..., M) and generated key e_ {i1} (x) based on h_1 (x, i) )
a_ {il} (x) = e_ {i01} (x) + r_ {il} × e_ {i1} (x)
(L = 1, 2, ..., m)
It has the function to generate by.
 又、装置番号iにおける前記コミットデータ生成部205-iは、検証対象データ格納部としてのデータ記憶部201-iに格納された検証対象データd_{il }(l =1、2、・・・、m)と前記乱数データr_{il }とに基づいて前記コミットデータc_{il }を、
 c_{il }=d_{il }+r_{il }(l =1、2、・・・、m)
 により生成しコミットデータ格納部としてのコミットデータ記憶部204-iに格納する機能を備える。 Further, the commit data generation unit 205-i in the apparatus number i is the verification target data d_ {il} (l = 1, 2,...) Stored in the data storage unit 201-i as the verification target data storage unit. M) and the random number data r_ {il}, the commit data c_ {il}
c_ {il} = d_ {il} + r_ {il} (l = 1, 2,..., m)
And a function for storing in the commit data storage unit 204-i as a commit data storage unit.
 又、第2実施形態における前記他検証対象データ検証機能は、他装置の装置番号jにおける他乱数データr_{jl}及び他認証子a_{jl}(x)、自装置の装置番号iにおける認証情報格納部の認証情報検証鍵f_i、自装置の装置番号iにおけるコミット・データ格納部の他コミット・データc_{jl}を読み出し、前記a_{jl}(x)のxに装置番号iを代入してa_j(i)を算出するとともに、前記f_iの2つの式に装置番号jを代入してf_{i0l}(j)、f_{i1}(j)をそれぞれ算出した場合における以下に示す式
 a_{jl}(i)=
  f_{i0l}(j)+(c_{jl}―r_{jl})×f_{i1}(j)
 が成立するかどうかを検証する機能を備える。 Further, the other verification object data verification function in the second embodiment includes the other random number data r_ {jl} and the other authenticator a_ {jl} (x) in the device number j of the other device, and the authentication in the device number i of the own device. The authentication information verification key f_i of the information storage unit and the other commit data c_ {jl} of the commit data storage unit in the device number i of the own device are read, and the device number i is substituted for x of the a_ {jl} (x). Then, a_j (i) is calculated, and f_ {iOl} (j) and f_ {i1} (j) are calculated by substituting the device number j into the two expressions f_i, respectively. a_ {jl} (i) =
f_ {iOl} (j) + (c_ {jl} −r_ {jl}) × f_ {i1} (j)
Has a function to verify whether or not
 更に、前記マスクデータ生成部101は、前記マスクデータを、使い捨て鍵暗号であるバーナム暗号による暗号鍵を用いて生成する機能を備える。 Further, the mask data generation unit 101 has a function of generating the mask data using an encryption key based on a Burnham encryption that is a disposable key encryption.
 又、前記認証情報生成部102が、二変数K次多項式の次数Kを、装置の台数をkとしたときに(3k―2)/2を越えない自然数に設定するとともにこれに基づいて前記認証データ及び前記認証子を生成する機能を備える。 The authentication information generation unit 102 sets the degree K of the bivariate Kth order polynomial to a natural number not exceeding (3k−2) / 2 when the number of devices is k, and based on this, the authentication information generation unit 102 sets the authentication. A function of generating data and the authenticator is provided.
 次に、本実施の形態におけるコミットデータ生成時のコミットデータ生成・検証装置の動作について説明する。 Next, the operation of the commit data generation / verification apparatus when generating commit data in the present embodiment will be described.
 コミットデータ生成時には、コミットデータ生成部205が、d_{il}とr_{il}をそれぞれデータ記憶部201とマスク値記憶部203から読み出し、コミットデータc_{il}を
 c_{il}=d_{il}+r_{il}
 により生成する。 At the time of generating commit data, the commit data generating unit 205 reads d_ {il} and r_ {il} from the data storage unit 201 and the mask value storage unit 203, respectively, and the commit data c_ {il} is c_ {il} = d_ {. il} + r_ {il}
Generate by.
 生成したコミットデータc_{il}は、全てのコミットデータ生成・検証装置200のコミットデータ記憶部204に格納する。 The generated commit data c_ {il} is stored in the commit data storage unit 204 of all the commit data generation / verification apparatuses 200.
 次に、本実施例におけるコミットデータ検証時のコミットデータ生成・検証装置200―iの動作について説明する。 Next, the operation of the commit data generation / verification apparatus 200-i at the time of verifying commit data in this embodiment will be described.
 コミットデータ検証時には、コミットデータ検証部206―iが、他のコミットデータ生成・検証装置200―jから、他マスクデータr_{jl}、他認証子a_{jl}(x)を、自装置の認証情報記憶部202―iから認証情報検証鍵f_iを、自装置のコミットデータ記憶部204―iから他コミットデータc_{jl}を読み出し、次式が成立するかどうかをチェックする。
 a_{jl}(i)=
  f_{i0l}(j)+(c_{jl}―r_{jl})×f_{i1}(j)
 上式が成立する場合には「1」を、成立しない場合には「0」を出力する。 At the time of commit data verification, the commit data verification unit 206-i sends other mask data r_ {jl} and other authenticator a_ {jl} (x) from the other commit data generation / verification apparatus 200-j to the own apparatus. The authentication information verification key f_i is read from the authentication information storage unit 202-i, and the other commit data c_ {jl} is read from the commit data storage unit 204-i of the own apparatus, and it is checked whether or not the following equation is satisfied.
a_ {jl} (i) =
f_ {iOl} (j) + (c_ {jl} −r_ {jl}) × f_ {i1} (j)
If the above formula is satisfied, “1” is output, and if not, “0” is output.
 以上で説明したように、本第3の実施の形態によると、
各コミット・データ生成・検証部206―iは、最大m個までの検証対象データd_{i1}、d_{i2}、・・・、d_{im}に対するコミットメントを計算することが可能であるという特徴を有しており、本発明の第2の実施形態の制限であったひとつのデータに対するコミットメントしか生成できないという制限を外すことが可能になっている。 As explained above, according to the third embodiment,
Each of the commit data generation / verification units 206-i can calculate commitments for up to m verification target data d_ {i1}, d_ {i2},..., D_ {im}. It has the characteristics, and it is possible to remove the restriction that only the commitment for one data, which was the restriction of the second embodiment of the present invention, can be generated.
 その他の構成およびその他のステップないしは機能並びにその作用効果については、前述した前記第1実施形態および第2実施形態の場合と同一となっている。また、上記の説明において、上述した各ステップの動作内容及び各部の構成要素並びにそれらによる各機能をプログラム化(ソフトウエアプログラム)し、コンピュータに実行させてもよい。 Other configurations, other steps or functions, and operational effects thereof are the same as those in the first embodiment and the second embodiment described above. In the above description, the operation content of each step described above, the constituent elements of each unit, and the functions thereof may be programmed (software program) and executed by a computer.
 [その他の各種変形例]
 また、本発明にかかる装置及び方法は、そのいくつかの特定の実施の形態に従って説明してきたが、本発明の主旨および範囲から逸脱することなく本発明の本文に記述した実施の形態に対して種々の変形が可能である。 [Other variations]
Also, although the apparatus and method according to the present invention have been described according to some specific embodiments thereof, the embodiments described in the text of the present invention can be used without departing from the spirit and scope of the present invention. Various modifications are possible.
 例えば、上記構成部材の数、位置、形状等は上記実施の形態に限定されず、本発明を実施する上で好適な数、位置、形状等にすることができる。 For example, the number, position, shape, and the like of the above-described constituent members are not limited to the above-described embodiment, and can be set to a suitable number, position, shape, and the like in carrying out the present invention.
 本発明の一実施形態におけるセットアップ装置は、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置を各々稼働する。
 このセットアップ装置は、前記各コミットデータ生成・検証装置にかかる前記検証対象データを秘匿するためのマスクデータを生成するマスクデータ生成機能と、前記各コミットデータ生成・検証装置にかかる前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ生成する認証情報生成機能と、を備えてよい。
 前記認証情報生成機能では、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成する機能を備える。 A setup apparatus according to an embodiment of the present invention operates at least two commit data generation / verification apparatuses that generate commit data and verify whether or not the verification target data relating to the commit data is falsified.
The setup device includes a mask data generation function for generating mask data for concealing the verification target data related to each commit data generation / verification device, and an authentication used for the verification related to each commit data generation / verification device. And an authentication information generation function for generating an authenticator for each of the data and the mask data.
The authentication information generation function includes a function of generating the authentication data and the authenticator based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
 また、本発明の一実施形態におけるコミットデータ生成・検証装置は、コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する。
 このコミット・データ生成・検証装置は、前記検証対象データを秘匿するために生成されたマスクデータを格納するマスクデータ格納機能と、前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ格納する認証情報格納機能と、前記検証対象データを格納する検証対象データ格納機能と、前記検証対象データを前記マスクデータに基づき秘匿する前記コミット・データを生成するコミット・データ生成機能と、他の装置および自装置が出力した全ての各コミット・データを格納するコミット・データ格納機能と、他の装置における他マスクデータと、他認証子と、自装置における前記認証データの一部と、他コミット・データとに基づいて他検証対象データの非改竄性を検証しこの検証結果を出力するコミット・データ検証機能と、を備えてよい。
 前記認証情報格納機能では、二変数多項式における変数の一方に定数を代入したデータに基づいて生成された前記認証データおよび前記認証子が格納される機能を備える。 In addition, the commit data generation / verification apparatus according to the embodiment of the present invention generates commit data and verifies whether or not the verification target data related to the commit data is falsified.
The commit data generation / verification device stores a mask data storage function for storing mask data generated for concealing the verification target data, an authentication data used for the verification, and an authenticator for the mask data. An authentication information storage function; a verification target data storage function for storing the verification target data; a commit data generation function for generating the commit data for concealing the verification target data based on the mask data; Commit data storage function for storing all commit data output by the own device, other mask data in other devices, other authenticators, a part of the authentication data in the own device, and other commit data Commit data that verifies the non-falsification of other verification target data and outputs the verification result based on And the verification function, may comprise.
The authentication information storage function includes a function for storing the authentication data and the authenticator generated based on data obtained by assigning a constant to one of the variables in the two-variable polynomial.
 ところで、二変数K多項式を含む多変数多項式を用いた鍵暗号では、NP完全問題に安全性の根拠を求めようとする暗号方式である。量子コンピュータはRSA暗号や楕円暗号を破ることはできても、NP完全問題は解けないと予測されるため、多変数多項式を用いた鍵暗号は耐量子コンピュータ鍵暗号として機能する。また、多変数多項式を用いた鍵暗号は量子暗号などの量子情報処理を必要とせず、現用のネットワーク上で利用可能な暗号方式であるため、量子コンピュータによる解読に対する安全性を確保しながらも既存のネットワークを利用した低導入コストを実現できる。   By the way, key cryptography using a multivariable polynomial including a two-variable K polynomial is an encryption scheme that seeks a ground for security for an NP complete problem. Even though the quantum computer can break the RSA cipher and the elliptical cipher, it is predicted that the NP complete problem cannot be solved. Therefore, the key cipher using the multivariable polynomial functions as a quantum computer key cipher. In addition, key cryptography using multivariate polynomials does not require quantum information processing such as quantum cryptography, and is an encryption method that can be used on current networks. The low introduction cost using this network can be realized. *
 また、認証システムは、各通信装置と管理装置とが通信網を介して通信接続され各通信装置間で情報の授受を行う構成としてよい。各通信装置間でビットコミットメントプロトコルを実装するに際し、前記各通信装置に各々コミットデータ生成・検証装置を搭載し、管理装置にセットアップ装置を搭載することでこれを実現できる。 In addition, the authentication system may be configured such that each communication device and the management device are connected to each other via a communication network to exchange information between the communication devices. When the bit commitment protocol is implemented between the communication devices, this can be realized by installing a commit data generation / verification device in each communication device and a setup device in the management device.
 またさらに、上記実施の形態におけるシステムにおいて、通信構造は、クライアントサーバーシステムに限らず、サーバを介さずに端末同士がネットワークを組み、相互にデータを送受信するピアツーピア(Peer To Peer)通信によるシステムであってもよい。 Furthermore, in the system according to the above embodiment, the communication structure is not limited to the client server system, but is a system based on peer-to-peer communication in which terminals form a network without passing through a server and transmit / receive data to / from each other. There may be.
 さらに、本明細書において、フローチャートに示されるステップは、記載された手順に従って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理を含むものである。また、実装では、プログラム手順(ステップ)が実行される順序を変更してもよい。さらに、実装の必要に応じて、本明細書で説明した特定の手順(ステップ)を、組み合わされた手順(ステップ)として実装、除去、追加、または再配置してもよい。 Further, in the present specification, the steps shown in the flowchart include processes that are executed in parallel or individually even if they are not necessarily processed in time series, as well as processes that are executed in time series according to the described procedure. It is a waste. In the implementation, the order in which the program procedures (steps) are executed may be changed. Furthermore, the specific procedures (steps) described herein may be implemented, removed, added, or rearranged as a combined procedure (step) as needed for implementation.
 さらに、「通信」では、無線通信および有線通信は勿論、無線通信と有線通信とが混在した通信、即ち、ある区間では無線通信が行われ、他の区間では有線通信が行われるようなものであってもよい。さらに、ある装置から他の装置への通信が有線通信で行われ、他の装置からある装置への通信が無線通信で行われるようなものであってもよい。 Further, in “communication”, wireless communication and wired communication as well as communication in which wireless communication and wired communication are mixed, that is, wireless communication is performed in a certain section and wired communication is performed in another section. There may be. Further, communication from one device to another device may be performed by wired communication, and communication from another device to one device may be performed by wireless communication.
 ところで、このような装置は、単独で存在する場合もあるし、ある機器に組み込まれた状態で利用されることもあるなど、発明の思想としてはこれに限らず、各種の態様を含むものである。 By the way, such an apparatus may exist independently, or may be used in a state where it is incorporated in a certain device, but the idea of the invention is not limited to this and includes various aspects.
 又、明細書中の記載において広義な用語(マスクデータ、格納部、認証データ等)として引用された用語(乱数データ、記憶部、認証情報生成鍵および認証情報検証鍵等)は、明細書中の他の記載においても広義な用語に置き換えることができる。更に、明細書中の記載において、各ステップが各々処理する各動作内容は、各ステップの動作説明に記載されていないが、前記記憶媒体における各々の特定の記憶領域に各々書き込む処理を各々実行することを含むものである。 In addition, terms (random number data, storage unit, authentication information generation key, authentication information verification key, etc.) cited as broad terms in the description (mask data, storage unit, authentication data, etc.) In other descriptions, broad terms can be used. Further, in the description in the specification, each operation content to be processed by each step is not described in the operation description of each step, but each write process is executed in each specific storage area in the storage medium. Including things.
 また、発明の範囲は、図示例に限定されないものとする。さらに、上記各実施の形態には種々の段階が含まれており、開示される複数の構成要件における適宜な組み合わせにより種々の発明が抽出され得る。つまり、上述の各実施の形態同士、あるいはそれらのいずれかと各変形例のいずれかとの組み合わせによる例をも含む。 Further, the scope of the invention is not limited to the illustrated example. Further, the above embodiments include various stages, and various inventions can be extracted by appropriately combining a plurality of disclosed constituent elements. That is, examples include combinations of the above-described embodiments, or any of them and any of the modifications.
 この出願は2009年2月3日に出願された日本出願特願2009-022837を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority based on Japanese Patent Application No. 2009-022837 filed on Feb. 3, 2009, the entire disclosure of which is incorporated herein.
 本発明は、認証システム全般に利用できる。 The present invention can be used for authentication systems in general.
 1 コミットメント生成・検証システム(認証システム)
 100 セットアップ装置
 101 マスク値生成部(マスクデータ生成部)
 102 認証情報生成部
 1021 二変数多項式生成・演算部
 200(200―1~200―n) コミットデータ生成・検証装置
 201(201―1~201―n) データ記憶部(検証対象データ格納部)
 202(202―1~202―n) 認証情報記憶部(認証情報格納部)
 203(203―1~203―n) マスク値記憶部(マスクデータ格納部)
 204(204―1~204―n) コミットデータ記憶部(コミットデータ格納部)
 205(205―1~205―n) コミットデータ生成部
 206(206―1~206―n) コミットデータ検証部   1 Commitment generation / verification system (authentication system)
100 Setup Device 101 Mask Value Generation Unit (Mask Data Generation Unit)
102 Authentication Information Generation Unit 1021 Bivariate Polynomial Generation / Calculation Unit 200 (200-1 to 200-n) Commit Data Generation / Verification Device 201 (201-1 to 201-n) Data Storage Unit (Verification Target Data Storage Unit)
202 (202-1 to 202-n) Authentication information storage unit (authentication information storage unit)
203 (203-1 to 203-n) Mask value storage unit (mask data storage unit)
204 (204-1 to 204-n) Commit data storage unit (commit data storage unit)
205 (205-1 to 205-n) Commit data generation unit 206 (206-1 to 206-n) Commit data verification unit

Claims (28)

  1.  コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置と、前記各コミットデータ生成・検証装置を各々稼働するためのセットアップ装置と、を備え、
     前記セットアップ装置は、前記各コミットデータ生成・検証装置にかかる前記検証に用いる認証データ及び認証子をそれぞれ生成する認証情報生成部を有し、
     前記コミットデータ生成・検証装置は、前記認証データの一部及び前記認証子を格納する認証情報格納部を有し、
     前記認証情報生成部が、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成することを特徴とする認証システム。     Two or more commit data generation / verification devices for generating commit data and verifying whether or not the verification target data relating to the commit data is falsified, and a setup device for operating each of the commit data generation / verification devices, With
    The set-up device includes an authentication information generation unit that generates authentication data and an authenticator used for the verification according to each commit data generation / verification device,
    The commit data generation / verification device includes an authentication information storage unit that stores a part of the authentication data and the authenticator,
    The authentication system, wherein the authentication information generation unit generates the authentication data and the authenticator based on data obtained by assigning a constant to one of variables in a two-variable polynomial.
  2.  請求項1に記載の認証システムにおいて、
     前記セットアップ装置は、前記各コミットデータ生成・検証装置にかかる前記検証対象データを秘匿するためのマスクデータを生成するマスクデータ生成部を備え、
     前記認証情報生成部は、生成された前記マスクデータに対する認証子を生成するものであることを特徴とする認証システム。     The authentication system according to claim 1,
    The set-up device includes a mask data generation unit that generates mask data for concealing the verification target data according to each commit data generation / verification device,
    The authentication information generation unit is configured to generate an authenticator for the generated mask data.
  3.  請求項2に記載の認証システムにおいて、
     前記コミットデータ生成・検証装置は、
     前記検証対象データを格納する検証対象データ格納部と、前記マスクデータを格納するマスクデータ格納部と、前記検証対象データを前記マスクデータに基づき秘匿する前記コミットデータを生成するコミットデータ生成部と、全ての前記各コミットデータ生成・検証装置が各々出力した前記各コミットデータを格納するコミットデータ格納部と、を備えると共に、
     前記他のコミットデータ生成・検証装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミットデータとに基づいて、他の検証対象データの非改竄性を検証しこの検証結果を出力するコミットデータ検証部を備えることを特徴とする認証システム。     The authentication system according to claim 2,
    The commit data generation / verification device includes:
    A verification target data storage unit for storing the verification target data; a mask data storage unit for storing the mask data; a commit data generation unit for generating the commit data for concealing the verification target data based on the mask data; A commit data storage unit that stores the commit data output by each of the commit data generation / verification devices.
    Based on the mask data and its authenticator in the other commit data generation / verification apparatus, a part of the authentication data in the own apparatus, and the other commit data, the non-falsification of other verification target data is verified. An authentication system comprising a commit data verification unit that outputs the verification result.
  4.  請求項3に記載の認証システムにおいて、
     前記認証情報生成部は、
     少なくとも2つの二変数K次多項式をランダムかつ独立に生成する二変数K次多項式ランダム生成機能を備えていることを特徴とする認証システム。     The authentication system according to claim 3,
    The authentication information generation unit
    An authentication system comprising a bivariate Kth order polynomial random generation function that randomly and independently generates at least two bivariate Kth order polynomials.
  5.  請求項4に記載の認証システムにおいて、
     前記認証情報生成部は、
     生成された一方の二変数K次多項式における変数の一方に定数を代入した第1データと他方の二変数K次多項式における変数の一方に定数を代入した第2データとに基づいて認証情報生成鍵を生成する認証情報生成鍵生成機能を備えることを特徴とする認証システム。      The authentication system according to claim 4,
    The authentication information generation unit
    An authentication information generation key based on the first data in which a constant is substituted for one of the variables in one of the generated two-variable Kth order polynomials and the second data in which a constant is substituted for one of the variables in the other two-variable Kth order polynomial An authentication system comprising an authentication information generation key generation function for generating
  6.  請求項5に記載の認証システムにおいて、
     前記認証情報生成部は、
     生成された一方の二変数K次多項式における変数の他方に定数を代入した第3データと他方の二変数K次多項式における変数の他方に定数を代入した第4データとに基づいて認証情報検証鍵を生成する認証情報検証鍵生成機能を備えることを特徴とする認証システム。      The authentication system according to claim 5,
    The authentication information generation unit
    An authentication information verification key based on the third data in which a constant is substituted for the other variable in the one two-variable K-degree polynomial and the fourth data in which a constant is substituted for the other variable in the other two-variable K-degree polynomial. An authentication system comprising an authentication information verification key generation function for generating
  7.  請求項6に記載の認証システムにおいて、
     前記認証情報生成部は、
     生成された認証情報生成鍵とマスクデータとに基づいて当該マスクデータに対する認証子を生成する認証子生成機能を備えることを特徴とする認証システム。      The authentication system according to claim 6,
    The authentication information generation unit
    An authentication system comprising an authenticator generation function for generating an authenticator for the mask data based on the generated authentication information generation key and mask data.
  8.  請求項7に記載の認証システムにおいて、
     前記マスクデータ生成部は、
     前記各コミット・データ生成・検証装置が各々保持する前記各検証対象データを各々マスクするための当該装置の個数分の独立な乱数データをマスクデータとして各々生成するようにしたものであり、
     前記認証情報生成部は、
     前記各乱数データ、前記各認証情報検証鍵、各認証子をそれぞれ出力するようにしたものであることを特徴とする認証システム。     The authentication system according to claim 7,
    The mask data generation unit
    Each of the commit data generation / verification devices is configured to generate, as mask data, independent random number data corresponding to the number of the devices for masking the verification target data respectively held by the commit data generation / verification devices,
    The authentication information generation unit
    The authentication system, wherein each random number data, each authentication information verification key, and each authenticator are output.
  9.  請求項8に記載の認証システムにおいて、 
     前記認証情報生成部における認証情報生成鍵生成機能は、
     生成された一方の二変数K次多項式h_0(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報生成鍵e_iを、e_i=(h_0(x、i)、h_1(x、i))として、1つの装置につきh_0(x、i)及びh_1(x、i)の2種類を生成する機能であることを特徴とする認証システム。     The authentication system according to claim 8,
    The authentication information generation key generation function in the authentication information generation unit is
    Based on one generated two-variable Kth order polynomial h_0 (x, y) and the other two-variable Kth order polynomial h_1 (x, y), an authentication information generation key e_i for the device number i of the own device is set to e_i = (H_0 (x, i), h_1 (x, i)) is an authentication system characterized by a function that generates two types of h_0 (x, i) and h_1 (x, i) per device. .
  10.  請求項9に記載の認証システムにおいて、 
     前記認証情報生成部における認証情報検証鍵生成機能は、
     生成された一方の二変数K次多項式h_0(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報検証鍵f_iを、f_i=(h_0(i、y)、h_1(i、y))として、1つの装置につきh_0(i、y)及びh_1(i、y)の2種類を生成する機能であることを特徴とする認証システム。     The authentication system according to claim 9,
    The authentication information verification key generation function in the authentication information generation unit is:
    Based on one of the two-variable K-th order polynomial h_0 (x, y) and the other two-variable K-th order polynomial h_1 (x, y), the authentication information verification key f_i for the device number i of the own device is expressed as f_i = (H — 0 (i, y), h — 1 (i, y)) as an authentication system, which is a function that generates two types of h — 0 (i, y) and h — 1 (i, y) per device .
  11.  請求項10に記載の認証システムにおいて、 
     前記認証情報生成部における認証子生成機能は、
     生成された認証情報生成鍵e_iと乱数データr_iとに基づいて当該乱数データr_iに対する認証子a_i(x)を、前記h_0(x、i)による生成鍵e_{i0}(x)と前記h_1(x、i)による生成鍵e_{i1}(x)を用いて以下の式、
     a_i(x)=e_{i0}(x)+ r_i × e_{i1}(x)
     により生成する機能であることを特徴とする認証システム。      The authentication system according to claim 10,
    The authenticator generating function in the authentication information generating unit is
    Based on the generated authentication information generation key e_i and the random number data r_i, the authentication code a_i (x) for the random number data r_i is changed to the generation key e_ {i0} (x) generated by the h_0 (x, i) and the h_1 ( x, i) using the generated key e_ {i1} (x),
    a_i (x) = e_ {i0} (x) + r_i × e_ {i1} (x)
    An authentication system characterized in that it is a function generated by.
  12.  請求項11に記載の認証システムにおいて、
     前記コミットデータ生成部は、
     前記検証対象データ格納部に格納された前記検証対象データと前記乱数データとの和により前記コミットデータを生成しコミットデータ記憶部に格納するようにしたものであることを特徴とする認証システム。     The authentication system according to claim 11,
    The commit data generation unit
    An authentication system, wherein the commit data is generated and stored in a commit data storage unit by a sum of the verification target data stored in the verification target data storage unit and the random number data.
  13.  請求項12に記載の認証システムにおいて、
     前記コミットデータ検証部は、
     他のコミットデータと他の乱数データとから他の検証対象データを復元する他検証対象データ復元機能と、
     前記他検証対象データ復元機能にて復元された前記他の検証対象データと、当該他の検証対象データにかかる他の認証子と、自装置にかかる認証情報検証鍵を用いて、前記他の検証対象データ、前記他の認証子、前記認証情報検証鍵の相互間に矛盾がないかどうかを検証する他検証対象データ検証機能と、
     を含むことを特徴とする認証システム。     The authentication system according to claim 12,
    The commit data verification unit
    Other verification target data restoration function for restoring other verification target data from other commit data and other random number data,
    Using the other verification target data restored by the other verification target data restoration function, another authenticator relating to the other verification target data, and an authentication information verification key relating to the own apparatus, the other verification Other verification target data verification function for verifying whether or not there is a contradiction between target data, the other authenticator, and the authentication information verification key;
    An authentication system comprising:
  14.  請求項13に記載の認証システムにおいて、
     前記他検証対象データ検証機能は、
     他の装置の装置番号jにおける乱数データr_j及び認証子a_j(x)、自装置の装置番号iにおける前記認証情報格納部の認証情報検証鍵f_i及び自装置の装置番号iにおける前記コミット・データ格納部の他のコミット・データc_jを読み出し、前記a_j(x)のxに装置番号iを代入してa_j(i)を算出するとともに、前記f_iの2つの式に装置番号jを代入してf_{i0}(j)、f_{i1}(j)をそれぞれ算出した場合における以下に示す式
     a_j(i)=f_{i0}(j)+(c_j―r_j) × f_{i1}(j)
     が成立するかどうかを検証するようにしたものであることを特徴とする認証システム。      The authentication system according to claim 13,
    The other verification target data verification function is:
    Random number data r_j and authenticator a_j (x) in device number j of another device, authentication information verification key f_i in authentication information storage unit in device number i of own device, and commit data storage in device number i of own device The other commit data c_j is read, a_j (i) is calculated by substituting the device number i for x of the a_j (x), and the device number j is substituted for the two equations of f_i to obtain f_ {I0} (j) and f_ {i1} (j) are calculated as follows: a_j (i) = f_ {i0} (j) + (c_j−r_j) × f_ {i1} (j)
    An authentication system characterized by verifying whether or not is established.
  15.  請求項14に記載の認証システムにおいて、
     前記マスクデータ生成部は、
     装置番号iにおけるマスクデータ格納部にm個の乱数データ
     r_{i1}、r_{i2}、・・・、r_{im}を格納するようにしたものであることを特徴とする認証システム。     The authentication system according to claim 14,
    The mask data generation unit
    An authentication system, characterized in that m random number data r_ {i1}, r_ {i2},..., R_ {im} are stored in a mask data storage unit for apparatus number i.
  16.  請求項15に記載の認証システムにおいて、
     前記認証情報生成部における二変数K次多項式ランダム生成機能は、 
     m+1個の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)、h_1(x、y)をランダムかつ独立に生成するようにした機能であることを特徴とする認証システム。     The authentication system according to claim 15, wherein
    The bivariate Kth order polynomial random generation function in the authentication information generation unit is:
    m + 1 bivariate Kth order polynomials h_ {01} (x, y), h_ {02} (x, y),..., h_ {0m} (x, y), h_1 (x, y) are randomly selected An authentication system characterized in that the function is generated independently.
  17.  請求項16に記載の認証システムにおいて、
     前記認証情報生成部における認証情報生成鍵生成機能は、
     生成された一方の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報生成鍵e_iを、
     e_{il}=(h_{0l}(x、i)、h_1(x、i))
                (l=1、2、・・・、m)
     により1つの装置につき当該生成鍵をm+1種類生成する機能であることを特徴とすることを特徴とする認証システム。     The authentication system according to claim 16, wherein
    The authentication information generation key generation function in the authentication information generation unit is
    One bivariate K-order polynomial h_ {01} (x, y), h_ {02} (x, y),..., H_ {0m} (x, y) and the other two-variable K-th order Based on the polynomial h_1 (x, y), the authentication information generation key e_i in the device number i of the own device is
    e_ {il} = (h_ {01} (x, i), h_1 (x, i))
    (L = 1, 2, ..., m)
    An authentication system characterized by having a function of generating m + 1 types of the generated keys per apparatus.
  18.  請求項17に記載の認証システムにおいて、
     前記認証情報生成部における認証情報検証鍵生成機能では、
     生成された一方の二変数K次多項式h_{01}(x、y)、h_{02}(x、y)、・・・、h_{0m}(x、y)と他方の二変数K次多項式h_1(x、y)とに基づいて自装置の装置番号iにおける認証情報検証鍵f_iを、
     f_i= (h_{01}(i、y)、h_{02}(i、y)、・・
              ・、h_{0m}(i、y)、h_1(i、y))
     により1つの装置につき当該検証鍵をm+1種類生成する機能であることを特徴とすることを特徴とする認証システム。     The authentication system according to claim 17,
    In the authentication information verification key generation function in the authentication information generation unit,
    One bivariate K-order polynomial h_ {01} (x, y), h_ {02} (x, y),..., H_ {0m} (x, y) and the other two-variable K-th order Based on the polynomial h_1 (x, y), the authentication information verification key f_i in the device number i of the own device is
    f_i = (h_ {01} (i, y), h_ {02} (i, y),...
    ., H_ {0m} (i, y), h_1 (i, y))
    An authentication system characterized by having a function of generating m + 1 types of verification keys for each device.
  19.  請求項18に記載の認証システムにおいて、
     前記認証情報生成部における認証子生成機能は、
     生成された認証情報生成鍵e_iと乱数データr_iとに基づいて当該乱数データr_{il}に対する認証子a_{il}(x)を、前記h_{0l}(x、i)(l=1、2、・・・、m)による生成鍵e_{i0l}(x)と前記h_1(x、i)による生成鍵e_{i1}(x)を用いて以下の式、
     a_{il}(x)=e_{i0l}(x)+r_{il}×e_{i1}(x)
                (l=1、2、・・・、m)
     により生成する機能であることを特徴とする認証システム。     The authentication system according to claim 18,
    The authenticator generating function in the authentication information generating unit is
    Based on the generated authentication information generation key e_i and random number data r_i, the authenticator a_ {il} (x) for the random number data r_ {il} is changed to h_ {01} (x, i) (l = 1, 2,..., M) using the generated key e_ {i01} (x) and the generated key e_ {i1} (x) based on h_1 (x, i)
    a_ {il} (x) = e_ {i01} (x) + r_ {il} × e_ {i1} (x)
    (L = 1, 2, ..., m)
    An authentication system characterized in that it is a function generated by.
  20.  請求項19に記載の認証システムにおいて、
     装置番号iにおける前記コミットデータ生成部は、
     検証対象データ格納部に格納された検証対象データd_{il }(l =1、2、・・・、m)と前記乱数データr_{il }とに基づいて前記コミットデータc_{il }を、
     c_{il }=d_{il }+r_{il }(l =1、2、・・・、m)
     により生成しコミットデータ格納部に格納する機能を備えていることを特徴とする認証システム。      The authentication system according to claim 19,
    The commit data generation unit in the device number i is
    Based on the verification target data d_ {il} (l = 1, 2,..., M) stored in the verification target data storage unit and the random number data r_ {il}, the commit data c_ {il} is
    c_ {il} = d_ {il} + r_ {il} (l = 1, 2,..., m)
    An authentication system characterized by having a function of generating and storing in a commit data storage unit.
  21.  請求項20に記載の認証システムにおいて、
     前記他検証対象データ検証機能は、
     他装置の装置番号jにおける乱数データr_{jl}及び認証子a_{jl}(x)、自装置の装置番号iにおける認証情報格納部の認証情報検証鍵f_i、自装置の装置番号iにおけるコミット・データ格納部の他のコミット・データc_{jl}を読み出し、前記a_{jl}(x)のxに装置番号iを代入してa_j(i)を算出するとともに、前記f_iの2つの式に装置番号jを代入してf_{i0l}(j)、f_{i1}(j)をそれぞれ算出した場合における以下に示す式
     a_{jl}(i)=
      f_{i0l}(j)+(c_{jl}―r_{jl})×f_{i1}(j)
     が成立するかどうかを検証することをその内容とする機能であることを特徴とする認証システム。     The authentication system according to claim 20,
    The other verification target data verification function is:
    Random number data r_ {jl} and authenticator a_ {jl} (x) in device number j of another device, authentication information verification key f_i in the authentication information storage unit in device number i of own device, commit in device number i of own device Read other commit data c_ {jl} of the data storage unit, substitute a device number i for x of the a_ {jl} (x) to calculate a_j (i), and use the two expressions of the f_i Substituting the device number j for f_ {i01} (j) and f_ {i1} (j), respectively, the following formulas a_ {jl} (i) =
    f_ {iOl} (j) + (c_ {jl} −r_ {jl}) × f_ {i1} (j)
    An authentication system characterized in that it is a function whose content is to verify whether or not is established.
  22.  請求項21に記載の認証システムにおいて、
     前記マスクデータ生成部は、
     前記マスクデータを、使い捨て鍵暗号であるバーナム暗号による暗号鍵を用いて生成する機能を備えていることを特徴とする認証システム。     The authentication system according to claim 21, wherein
    The mask data generation unit
    An authentication system comprising a function of generating the mask data using an encryption key based on a Burnham encryption that is a disposable key encryption.
  23.  請求項22に記載の認証システムにおいて、
     前記認証情報生成部が、
     二変数K次多項式の次数Kを、装置の台数をkとしたときに(3k―2)/2を越えない自然数に設定すると共にこれに基づいて前記認証データ及び前記認証子を生成する機能を備えていることを特徴とする認証システム。     The authentication system according to claim 22,
    The authentication information generating unit
    A function of setting the degree K of the bivariate K-degree polynomial to a natural number not exceeding (3k−2) / 2 when the number of devices is k, and generating the authentication data and the authenticator based on the natural number. An authentication system characterized by comprising.
  24.  コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置を各々稼働するためのセットアップ装置であって、
     前記各コミットデータ生成・検証装置にかかる前記検証に用いる認証データ及び認証子をそれぞれ生成する認証情報生成部を備え、
     前記認証情報生成部が、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成することを特徴とするセットアップ装置。     A setup device for operating each of two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data related to the commit data is falsified,
    An authentication information generating unit that generates authentication data and an authenticator used for the verification of each commit data generation / verification device;
    A setup apparatus, wherein the authentication information generation unit generates the authentication data and the authenticator based on data obtained by assigning a constant to one of variables in a two-variable polynomial.
  25.  コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証するコミットデータ生成・検証装置であって、
     前記検証対象データを秘匿するために生成されたマスクデータを格納するマスクデータ格納部と、
     前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ格納する認証情報格納部と、
     前記検証対象データを格納する検証対象データ格納部と、
     前記検証対象データを前記マスクデータに基づき秘匿する前記コミットデータを生成するコミットデータ生成部と、
     他の装置および自装置が出力した全ての各コミットデータを格納するコミットデータ格納部と、
     他の装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミットデータとに基づいて、他の検証対象データの非改竄性を検証しこの検証結果を出力するコミットデータ検証部と、
     を備え、
     前記認証情報格納部には、
     二変数多項式における変数の一方に定数を代入したデータに基づいて生成された前記認証データおよび前記認証子が格納されることを特徴とするコミットデータ生成・検証装置。     A commit data generation / verification device that generates commit data and verifies whether or not the verification target data relating to the commit data is falsified,
    A mask data storage for storing mask data generated to conceal the verification target data;
    An authentication information storage unit for storing authentication data used for the verification and an authenticator for the mask data;
    A verification target data storage unit for storing the verification target data;
    A commit data generating unit that generates the commit data for concealing the verification target data based on the mask data;
    A commit data storage unit for storing all the commit data output by other devices and the own device;
    Based on the mask data and the authenticator in another device, a part of the authentication data in the own device, and the other commit data, the non-falsification of other verification target data is verified and the verification result is output. A commit data verification unit,
    With
    In the authentication information storage unit,
    An apparatus for generating and verifying commit data, wherein the authentication data and the authenticator generated based on data obtained by assigning a constant to one of variables in a two-variable polynomial are stored.
  26.  コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置と、前記各コミットデータ生成・検証装置を各々稼働するためのセットアップ装置とを備えた認証システムにあって、前記検証対象データを検証するための認証方法であって、
     前記各コミットデータ生成・検証装置にかかる前記検証対象データを秘匿するためのマスクデータを前記セットアップ装置におけるマスクデータ生成部が生成し、
     続いて、前記検証に用いる認証データ及び前記マスクデータに対する認証子を前記セットアップ装置における認証情報生成部がそれぞれ認証情報として生成し、
     次に、前記検証対象データを前記マスクデータに基づき秘匿する前記コミットデータを前記コミットデータ生成・検証装置におけるコミットデータ生成部が生成し、
     しかる後、他の前記コミットデータ生成・検証装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミットデータとに基づいて、他の検証対象データの非改竄性を前記コミットデータ生成・検証装置におけるコミットデータ検証部が検証しこの検証結果を出力し、
     前記認証情報を生成するに際しては、二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成することを特徴とする認証方法。     Two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified, and a setup device for operating each of the commit data generation / verification devices An authentication method for verifying the verification object data, comprising:
    A mask data generation unit in the setup device generates mask data for concealing the verification target data applied to each commit data generation / verification device,
    Subsequently, an authentication data generation unit in the setup device generates authentication data for the authentication data used for the verification and the mask data as authentication information,
    Next, the commit data generating unit in the commit data generating / verifying device generates the commit data for concealing the verification target data based on the mask data,
    Thereafter, based on the mask data and the authenticator in the other commit data generation / verification apparatus, a part of the authentication data in the own apparatus, and the other commit data, the other verification target data is not falsified. The commit data verification unit in the commit data generation / verification device verifies the performance and outputs the verification result,
    An authentication method characterized in that, when generating the authentication information, the authentication data and the authenticator are generated based on data obtained by assigning a constant to one of variables in a two-variable polynomial.
  27.  コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証する2以上のコミットデータ生成・検証装置を各々稼働するためのセットアップ装置が備えるコンピュータに諸機能を実現させることが可能なセットアップ装置用プログラムであって、
     前記各コミットデータ生成・検証装置にかかる前記検証対象データを秘匿するためのマスクデータを生成するマスクデータ生成機能と、
     前記各コミット・データ生成・検証装置にかかる前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ生成する認証情報生成機能とを、
     前記コンピュータに実現させ、
     前記認証情報生成機能では、
     二変数多項式における変数の一方に定数を代入したデータに基づいて前記認証データおよび前記認証子を生成する機能をその内容とし、これを前記コンピュータに実現させることを特徴とするセットアップ装置用プログラム。     Various functions can be realized in a computer provided in a setup device for operating each of two or more commit data generation / verification devices that generate commit data and verify whether or not the verification target data relating to the commit data is falsified. A program for a setup device,
    A mask data generation function for generating mask data for concealing the verification target data according to each of the commit data generation / verification devices;
    An authentication information generation function for generating an authentication data for the verification data and the mask data used for the verification of each commit data generation / verification device;
    Realizing the computer,
    In the authentication information generation function,
    A program for a setup device, characterized in that the contents of a function for generating the authentication data and the authenticator based on data obtained by substituting a constant into one of variables in a two-variable polynomial are realized by the computer.
  28.  コミットデータを生成するとともに当該コミットデータにかかる検証対象データの改竄の有無を検証するコミットデータ生成・検証装置が備えたコンピュータに諸機能を実現させることが可能なコミットデータ生成・検証装置用プログラムであって、
     前記検証対象データを秘匿するために生成されたマスクデータを格納するマスクデータ格納機能と、
     前記検証に用いる認証データ及び前記マスクデータに対する認証子をそれぞれ格納する認証情報格納機能と、
     前記検証対象データを格納する検証対象データ格納機能と、
     前記検証対象データを前記マスクデータに基づき秘匿する前記コミットデータを生成するコミットデータ生成機能と、
     他の装置および自装置が出力した全ての各コミットデータを格納するコミットデータ格納機能と、
     他の装置におけるマスクデータ及びその認証子と、自装置における前記認証データの一部と、前記他のコミットデータとに基づいて、他の検証対象データの非改竄性を検証しこの検証結果を出力するコミットデータ検証機能と、
     を前記コンピュータに実現させ、
     前記認証情報格納機能では、
     二変数多項式における変数の一方に定数を代入したデータに基づいて生成された前記認証データおよび前記認証子が格納される機能をその内容とし、これを前記コンピュータに実現することを特徴とするコミットデータ生成・検証装置用プログラム。     A program for a commit data generation / verification device that can generate various functions in a computer provided with a commit data generation / verification device that generates commit data and verifies whether the verification target data relating to the commit data is falsified There,
    A mask data storage function for storing mask data generated to conceal the verification target data;
    An authentication information storage function for storing authentication data used for the verification and an authenticator for the mask data;
    A verification target data storage function for storing the verification target data;
    A commit data generation function for generating the commit data for concealing the verification target data based on the mask data;
    Commit data storage function for storing all the commit data output by other devices and its own device,
    Based on the mask data and the authenticator in another device, a part of the authentication data in the own device, and the other commit data, the non-falsification of other verification target data is verified and the verification result is output. Commit data verification function,
    To the computer,
    In the authentication information storage function,
    Commit data characterized in that the authentication data generated based on data obtained by substituting a constant into one of the variables in the two-variable polynomial and the function for storing the authenticator are stored in the contents, and this is realized in the computer. Program for generator / verifier.
PCT/JP2010/050538 2009-02-03 2010-01-19 Authentication system, method and program WO2010090068A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2009-022837 2009-02-03
JP2009022837 2009-02-03

Publications (1)

Publication Number Publication Date
WO2010090068A1 true WO2010090068A1 (en) 2010-08-12

Family

ID=42541972

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2010/050538 WO2010090068A1 (en) 2009-02-03 2010-01-19 Authentication system, method and program

Country Status (1)

Country Link
WO (1) WO2010090068A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003143135A (en) * 2001-10-30 2003-05-16 Toshiba Corp Signature distribution system, program and method
JP2006197323A (en) * 2005-01-14 2006-07-27 Nippon Telegr & Teleph Corp <Ntt> Method and system for delivering certification-born program
JP2007157021A (en) * 2005-12-08 2007-06-21 Nippon Telegr & Teleph Corp <Ntt> System for distributing tamper resistance authentication portable program and method therefor
WO2008001628A1 (en) * 2006-06-30 2008-01-03 Nec Corporation Distributed information generator and restoring device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003143135A (en) * 2001-10-30 2003-05-16 Toshiba Corp Signature distribution system, program and method
JP2006197323A (en) * 2005-01-14 2006-07-27 Nippon Telegr & Teleph Corp <Ntt> Method and system for delivering certification-born program
JP2007157021A (en) * 2005-12-08 2007-06-21 Nippon Telegr & Teleph Corp <Ntt> System for distributing tamper resistance authentication portable program and method therefor
WO2008001628A1 (en) * 2006-06-30 2008-01-03 Nec Corporation Distributed information generator and restoring device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YASUYUKI TSUKADA: "Proof Hiding in Interactive Proof-carrying Code and Its Applications", TRANSACTIONS OF INFORMATION PROCESSING SOCIETY OF JAPAN, VOL.46, NO.L, IPSJ JOURNAL, vol. 46, no. 1, 15 January 2005 (2005-01-15), pages 236 - 246 *

Similar Documents

Publication Publication Date Title
Buchmann et al. Post-quantum cryptography: state of the art
Joux Algorithmic cryptanalysis
Waidner et al. The dining cryptographers in the disco: Unconditional sender and recipient untraceability with computationally secure serviceability
US7773747B2 (en) Encryption apparatus, decryption apparatus, and method
Schröder et al. Verifiable data streaming
KR20200035280A (en) Computer-implemented method of generating threshold bolts
US20060083370A1 (en) RSA with personalized secret
GB2538022A (en) Multiple secrets in quorum based data processing
CN110545279A (en) block chain transaction method, device and system with privacy and supervision functions
JP6040313B2 (en) Multi-party secure authentication system, authentication server, multi-party secure authentication method and program
Kuznetsov et al. New approach to the implementation of post-quantum digital signature scheme
US20230224147A1 (en) Generating shared private keys
Andreeva et al. COBRA: A parallelizable authenticated online cipher without block cipher inverse
Gao et al. Quantum election protocol based on quantum public key cryptosystem
Ramesh et al. Secure data storage in cloud: an e-stream cipher-based secure and dynamic updation policy
Dumas et al. Private multi-party matrix multiplication and trust computations
Sengupta et al. Publicly verifiable secure cloud storage for dynamic data using secure network coding
Aumasson Crypto Dictionary: 500 Tasty Tidbits for the Curious Cryptographer
Mohamed et al. Confidential algorithm for golden cryptography using haar wavelet
CN107465508B (en) Method, system and equipment for constructing true random number by combining software and hardware
Faraoun Design of fast one-pass authenticated and randomized encryption schema using reversible cellular automata
WO2010090068A1 (en) Authentication system, method and program
Lin et al. F2p-abs: A fast and secure attribute-based signature for mobile platforms
Wu et al. Bit-oriented quantum public-key cryptosystem based on bell states
Canard et al. Implementing group signature schemes with smart cards

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10738406

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 10738406

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP