WO2012176408A1

WO2012176408A1 - 署名検証方法、署名検証システム及び署名検証プログラム

Info

Publication number: WO2012176408A1
Application number: PCT/JP2012/003896
Authority: WO
Inventors: 勇寺西
Original assignee: 日本電気株式会社
Priority date: 2011-06-24
Filing date: 2012-06-14
Publication date: 2012-12-27

Abstract

鍵生成手段８１は、公開鍵と、秘密鍵と、秘密鍵の更新に用いられるデータである更新用データとを生成する。署名手段８２は、平文と、公開鍵と、秘密鍵とを用いて、その平文の署名文を作成する。検証手段８３は、公開鍵と平文と署名文との間の妥当性を検証する。秘密鍵更新手段８４は、更新用データを用いて秘密鍵を更新する。署名手段８２は、群から予め定めた個数の元を選択した第四の組を抽出する。署名手段１１５は、第一の組に含まれる元と、第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算する。

Description

署名検証方法、署名検証システム及び署名検証プログラム

　本発明は、秘密鍵の部分情報が漏洩しても安全に署名および検証を行う署名検証方法、署名検証システム及び署名検証プログラムに関する。

　署名方式は、電子的な文書の真正性を保証するために必須の技術である。署名方式では、文書に署名文というデータを付加する事で、その文書の真正性を保証する。署名文は、作成者のみが知る秘密鍵というデータを用いて計算される。したがって、秘密鍵を知らない他のユーザによって署名文が偽造されないことが期待される。

　なお、署名及び検証を行う方法（以下、署名検証方法と記す。）に関する技術は、例えば、非特許文献１～非特許文献６に記載されている。例えば、署名文を作成する方法の一例は、非特許文献５および非特許文献６に記載されている。非特許文献５および非特許文献６に記載された方法は、「知識の署名」という方法を用いて署名文を作成する。「知識の署名」とは、公開鍵ｐｋに対応する秘密鍵ｓｋを知っていることを、秘密鍵ｓｋを明かさずに証明すること（ゼロ知識証明）により署名文を作成する方法である。

　また、署名文を計算する装置がサイドチャネル攻撃に長時間曝されると、秘密鍵が完全に漏洩してしまう恐れがある。サイドチャネル攻撃とは、署名文を計算する装置（以下、署名装置と記す）のＣＰＵから放たれる電磁波や、ＣＰＵの消費電力量のような物理的な情報を観測する事で秘密鍵を推測する攻撃である。既存の署名方式を用いた場合、サイドチャネル攻撃に対して、その安全性が保証されない可能性があることも知られている。そこで、このような危険性を防ぐため、一定頻度で秘密鍵を更新し、新しい秘密鍵に取り替える技術が知られている（例えば、非特許文献１，２，３，４参照）。

　なお、特許文献１には、署名データに対するTranscript attack を防止する署名生成装置が記載されている。特許文献１に記載された署名生成装置では、一つの公開鍵に複数の秘密鍵が対応している署名方式の鍵生成方法を用いている。特許文献１に記載された署名生成装置は、その鍵生成方法を用いて生成される複数の秘密鍵のうち、前回署名に利用した秘密鍵とは異なる秘密鍵を用いて署名データを生成する。

　また、特許文献２には、公開鍵を用いて電子署名を検証する方法が記載されている。特許文献２に記載された方法では、公開鍵暗号方式としてＮＴＲＵ方式を用いている。

再表ＷＯ２００６／０７７８２０号特開２００９－１０４５７５号公報

Yevgeniy Dodis, Kristiyan Haralambiev, Adriana Lopez-Alt, Daniel Wichs. "Cryptography Against Continuous Memory Attacks." FOCS 2010. Zvika Brakerski, Yael Tauman Kalai, Jonathan Katz, Vinod Vaikuntanathan. Overcoming the Hole in the Bucket: Public-Key "Cryptography Resilient to Continual Memory Leakage." FOKS 2010. Tal Malkin, Isamu Teranishi, Yevgeniy Vahlis, Moti Yung. "Signatures Resilient to Continual Leakage on Memory and Computation." eprint 522. Yevgeniy Dodis, Kristiyan Haralambiev, Adriana Lopez-Alt, and Daniel Wichs. "Cryptography Against Continuous Memory Attacks." eprint 196. Joel Alwen, Yevgeniy Dodis, and Daniel Wichs: "Leakage-Resilient Public-Key Cryptography in the Bounded-Retrieval Model." CRYPTO 2009: pp.36-54. Jonathan Katz, and Vinod Vaikuntanathan: "Signature Schemes with Bounded Leakage Resilience." ASIACRYPT 2009: pp.703-720

　上述の通り、サイドチャネル攻撃によって秘密鍵の部分情報が漏洩する可能性がある。そのため、秘密鍵の部分情報が漏洩しても、安全性が担保される署名検証方法が望まれる。そのためには、一定頻度で秘密鍵を更新する方法が有効である。しかし、秘密鍵と公開鍵は通常はセットで生成されるため、単純な方法で秘密鍵を更新しようとすると、公開鍵も更新する必要が生じてしまう。公開鍵は、世界中に公開されるデータなので、一度公開された公開鍵を更新するのは容易でない。したがって、公開鍵を更新せずに秘密鍵だけを更新する方法が望まれる。なお、非特許文献５および非特許文献６に記載された方法では、鍵更新を行うことは記載されていない。

　非特許文献１に記載された方法や、特許文献２に記載された第１の方法は、署名文計算時にデータが漏洩しないことを仮定した方法である。そのため、非特許文献１および非特許文献２に記載された方法では、安全性が担保されているとは言い難い。また、非特許文献２に記載された第２の方法も、署名文それ自身が秘密鍵の情報を漏洩してしまうという問題がある。すなわち、非特許文献２に記載された第２の方法では、安全性が担保されているとは言い難く、また、署名文を作成するたびに秘密鍵を更新しなければならないため効率が悪いという問題がある。

　一方、非特許文献３および非特許文献４に記載された方法では、公開鍵を更新することなく秘密鍵を更新することができるため、秘密鍵の秘匿性を回復することができる。そのため、秘密鍵の部分情報が漏洩しても、安全性を担保することが可能である。また、非特許文献３および非特許文献４に記載された方法では、非特許文献１や非特許文献２の方法とは異なり、作成した署名文それ自身からは秘密鍵の情報は漏洩することはない。さらに、非特許文献３および非特許文献４に記載された方法では、署名文計算時にデータが漏洩しても安全性を担保することが可能である。

　しかし、非特許文献３および非特許文献４に記載された方法では、署名の検証が効率よく行うことができないという問題がある。一般に、多くの署名検証方法では、楕円曲線上の点においてｇ^ｘを計算する演算（スカラー倍算）を複数回行うことで署名の検証が行われる。非特許文献３および非特許文献４に記載された方法でも、演算処理が複数回行われるため、この計算により計算コストが増大してしまうという問題がある。そのため、秘密鍵の部分情報が漏洩する状況が想定される場合であっても、安全性を担保しつつ、署名文の作成および署名文の検証が効率的に行えることが望ましい。

　そこで、本発明は、秘密鍵の部分情報が漏洩する状況が想定される場合であっても、安全性を担保しつつ、署名文の作成および署名文の検証を効率的に行うことができる署名検証方法、署名検証システムおよび署名検証プログラムを提供することを目的とする。

　本発明による署名検証方法は、群から予め定めた個数の元を選択した組を２組抽出し、２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像の全てを乗じた値が０になる元の組を選択し、群から上記個数の元を選択した第三の組を抽出し、第一の組に含まれる元と、第三の組に含まれる対応する元の双線形写像の全てを乗じた値を、公開鍵の一部のデータとして計算し、第三の組が示すデータを秘密鍵とし、第一の組が示すデータ及び公開鍵の一部のデータを公開鍵とし、第二の組が示すデータを秘密鍵の更新時に用いるデータである更新データとして、鍵情報記憶手段にそれぞれ記憶させ、群から上記個数の元を選択した第四の組を抽出し、鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算し、その値と平文とを含むデータに基づいて第一ハッシュ値を計算し、鍵情報記憶手段に記憶された秘密鍵を示す第三の組に含まれる各元を第一ハッシュ値でべき乗し、そのべき乗した値に第四の組に含まれる対応する元を乗じた値の組である第五の組を計算し、ハッシュ値および第五の組を含むデータを署名文として出力し、鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算し、公開鍵の一部のデータをハッシュ値に－１を乗じた値でべき乗した値と中間値とを乗じた値と平文とを含むデータに基づいて計算される第二ハッシュ値が第一ハッシュ値と一致する場合に署名文を受理し、第二ハッシュ値が第一ハッシュ値と一致しない場合に署名文を拒否し、鍵情報記憶手段に記憶された更新データを示す第二の組に含まれる各元を任意の値でべき乗し、そのべき乗した値に第三の組に含まれる対応する元を乗じた値の組が示すデータを新たな秘密鍵として鍵情報記憶手段に記憶された秘密鍵を更新することを特徴とする。

　本発明による署名検証システムは、公開鍵と、秘密鍵と、秘密鍵の更新に用いられるデータである更新用データとを生成する鍵生成手段と、平文と、公開鍵と、秘密鍵とを用いて、その平文の署名文を作成する署名手段と、公開鍵と平文と署名文との間の妥当性を検証する検証手段と、更新用データを用いて秘密鍵を更新する秘密鍵更新手段とを備え、鍵生成手段が、群から予め定めた個数の元を選択した組を２組抽出し、その２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像の全てを乗じた値が０になる元の組を選択し、群から上記個数の元を選択した第三の組を抽出し、第一の組に含まれる元と、第三の組に含まれる対応する元の双線形写像の全てを乗じた値を公開鍵の一部のデータとして計算し、第三の組が示すデータを秘密鍵とし、第一の組が示すデータ及び公開鍵の一部のデータを公開鍵とし、第二の組が示すデータを更新用データとして、鍵情報記憶手段にそれぞれ記憶させ、署名手段が、群から上記個数の元を選択した第四の組を抽出し、鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算し、その値と平文とを含むデータに基づいて第一ハッシュ値を計算し、鍵情報記憶手段に記憶された秘密鍵を示す第三の組に含まれる各元を第一ハッシュ値でべき乗し、そのべき乗した値に第四の組に含まれる対応する元を乗じた値の組である第五の組を計算し、ハッシュ値および第五の組を含むデータを平文の署名文として作成し、検証手段が、鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算し、公開鍵の一部のデータをハッシュ値に－１を乗じた値でべき乗した値と中間値とを乗じた値と平文とを含むデータに基づいて計算される第二ハッシュ値が第一ハッシュ値と一致する場合に署名文を受理し、第二ハッシュ値が第一ハッシュ値と一致しない場合に署名文を拒否し、秘密鍵更新手段が、鍵情報記憶手段に記憶された更新データを示す第二の組に含まれる各元を任意の値でべき乗し、そのべき乗した値に第三の組に含まれる対応する元を乗じた値の組が示すデータを新たな秘密鍵として鍵情報記憶手段に記憶された秘密鍵を更新することを特徴とする。

　本発明による署名検証プログラムは、コンピュータに、公開鍵と、秘密鍵と、秘密鍵の更新に用いられるデータである更新用データとを生成する鍵生成処理、平文と、公開鍵と、秘密鍵とを用いて、その平文の署名文を作成する署名処理、公開鍵と平文と署名文との間の妥当性を検証する検証処理、および、更新用データを用いて秘密鍵を更新する秘密鍵更新処理を実行させ、鍵生成処理で、群から予め定めた個数の元を選択した組を２組抽出させ、その２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像の全てを乗じた値が０になる元の組を選択させ、群から上記個数の元を選択した第三の組を抽出させ、第一の組に含まれる元と、第三の組に含まれる対応する元の双線形写像の全てを乗じた値を公開鍵の一部のデータとして計算させ、第三の組が示すデータを秘密鍵とし、第一の組が示すデータ及び公開鍵の一部のデータを公開鍵とし、第二の組が示すデータを更新用データとして、鍵情報記憶手段にそれぞれ記憶させ、署名処理で、群から上記個数の元を選択した第四の組を抽出させ、鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算させ、その値と平文とを含むデータに基づいて第一ハッシュ値を計算させ、鍵情報記憶手段に記憶された秘密鍵を示す第三の組に含まれる各元を第一ハッシュ値でべき乗し、そのべき乗した値に第四の組に含まれる対応する元を乗じた値の組である第五の組を計算させ、ハッシュ値および第五の組を含むデータを平文の署名文として作成させ、検証処理で、鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算させ、公開鍵の一部のデータをハッシュ値に－１を乗じた値でべき乗した値と中間値とを乗じた値と平文とを含むデータに基づいて計算される第二ハッシュ値が第一ハッシュ値と一致する場合に署名文を受理させ、第二ハッシュ値が第一ハッシュ値と一致しない場合に署名文を拒否させ、秘密鍵更新処理で、鍵情報記憶手段に記憶された更新データを示す第二の組に含まれる各元を任意の値でべき乗し、そのべき乗した値に第三の組に含まれる対応する元を乗じた値の組が示すデータを新たな秘密鍵として鍵情報記憶手段に記憶された秘密鍵を更新させることを特徴とする。

　本発明によれば、秘密鍵の部分情報が漏洩する状況が想定される場合であっても、安全性を担保しつつ、署名文の作成および署名文の検証を効率的に行うことができる。

本発明による署名検証システムの一実施形態を示すブロック図である。本発明による署名装置の一実施形態を示すブロック図である。公開鍵、秘密鍵、および更新用データを作成する処理の例を示すフローチャートである。秘密鍵を更新する処理の例を示すフローチャートである。署名文を作成する処理の例を示すフローチャートである。署名文を検証する処理の例を示すフローチャートである。本発明による署名検証システムの最小構成の例を示すブロック図である。

　以下、本発明の実施形態を図面を参照して説明する。

　図１は、本発明による署名検証システムの一実施形態を示すブロック図である。本実施形態における署名検証システムは、署名装置１１と、検証装置１２とを備えている。

　署名装置１１は、演算部１１１と、記憶部１１２とを含む。検証装置１２は、演算部１２１と、記憶部１２２とを含む。これらの演算部および記憶部を用いることで、本発明における署名検証システムが、利用者の指示に応じて、データの演算を行ったり、データの記憶をしたりすることができる。

　また、署名装置１１および検証装置１２は、それぞれ通信手段（図示せず）を含む。署名装置１１および検証装置１２は、この通信手段を用いて、他の装置とデータの送受信を行う。

　演算部１１１，１２１は、例えば、コンピュータのＣＰＵを用いて実現される。また、記憶部１１２、１２２は、例えば、コンピュータのメモリやハードディスクを用いて実現される。また、通信手段は、例えば、インターネットを介して相互に通信を行う。

　また、本発明では、システムパラメータと呼ばれるデータが署名装置１１および検証装置１２に事前に周知され、各装置の記憶部１１２，１２２に記憶されているものとする。システムパラメータは、素数ｑ、位数ｑの群Ｇ，Ｈ，Ｔ、および、双線形写像ｅ：Ｇ×Ｈ→Ｔを含む。また、システムパラメータには、群Ｇ，Ｈ，Ｔにおける群演算を行うために十分な情報が含まれているものとする。さらに、システムパラメータには、双線形写像ｅ：Ｇ×Ｈ→Ｔを計算するために十分な情報も含まれているものとする。

　なお、安全性上の観点から、群Ｇ，Ｈ，Ｔ上の離散対数問題が困難であることが望ましい。このような群の例として、楕円曲線群や、その素数位数部分群が挙げられる。楕円曲線群は、必ず、Ｙ^２＝Ｘ^３＋ａＸ＋ｂ　ｍｏｄ　ｐで示される代数方程式により特徴づけられる。そのため、例えば、（ａ、ｂ、ｐ）が存在すれば、楕円曲線群上の群演算を行うことができる。

　楕円曲線群の素数位数部分群を使う場合、その部分群の生成元も必要である。また、双線形写像ｅとして、例えば、ＷｅｉｌペアリングやＴａｔｅペアリングを用いることができる。署名装置１１および検証装置１２は、必要に応じてシステムパラメータを記憶部１１２，１２２から読み込み、各種の計算に利用する。

　署名装置１１の演算部１１１は、鍵生成手段１１３と、秘密鍵更新手段１１４と、署名手段１１５とを有する。

　鍵生成手段１１３は、公開鍵、秘密鍵、および更新用データを作成し、記憶部１１２に記憶させる。更新用データとは、後述する秘密鍵更新手段１１４が秘密鍵を更新する際に使用するデータである。

　以下の説明では、署名装置１１が鍵生成手段１１３を備える場合について説明する。ただし、署名装置１１とは別の装置が鍵生成手段１１３を備える構成であってもよい。すなわち、署名装置１１とは別の装置が備える鍵生成手段１１３が、公開鍵、秘密鍵、および更新用データを作成し、その出力結果を署名装置１１の記憶部１１２に記憶させるようにしてもよい。

　秘密鍵更新手段１１４は、秘密鍵および更新用データを記憶部１１２から読み込む。そして、秘密鍵更新手段１１４は、秘密鍵を更新し、更新した新しい秘密鍵を記憶部１１２に記憶させる。

　署名手段１１５は、公開鍵、秘密鍵、およびメッセージを記憶部１１２から読み込む。そして、署名手段１１５は、署名文を作成し、署名文を付加したメッセージを他の装置に出力する。ここで、メッセージとは、署名文を付加する対象の情報を意味する。以下の説明では、メッセージを文書、または平文と記すこともある。本実施形態では、出力されたメッセージおよび署名文は、検証装置１２の記憶部１２２に記憶されるものとする。

　なお、鍵生成手段１１３、秘密鍵更新手段１１４および署名手段１１５の動作については、後述する。また、鍵生成手段１１３と、秘密鍵更新手段１１４と、署名手段１１５とは、プログラム（署名検証プログラム）に従って動作するコンピュータのＣＰＵによって実現される。例えば、プログラムは、署名装置１１の記憶部１１２に記憶され、ＣＰＵは、そのプログラムを読み込み、プログラムに従って、鍵生成手段１１３、秘密鍵更新手段１１４および署名手段１１５として動作してもよい。また、鍵生成手段１１３と、秘密鍵更新手段１１４と、署名手段１１５とは、それぞれが専用のハードウェアで実現されていてもよい。

　検証装置１２の演算部１２１は、検証手段１２３を有する。

　検証手段１２３は、公開鍵、メッセージおよび署名文を記憶部１２２から読み込む。そして、検証手段１２３は、読み込んだ署名文を検証し、その署名文を受理するか拒否するかを表す情報を出力する。なお、検証手段１２３の動作については、後述する。また、検証手段１２３は、プログラム（検証検証プログラム）に従って動作するコンピュータのＣＰＵによって実現される。

　なお、本実施形態では、署名装置１１と、検証装置１２とが、別の装置で実現されている場合を例に説明する。ただし、署名装置１１と、検証装置１２とが、同一の装置で実現されていてもよい。図２は、本発明による署名装置の一実施形態を示すブロック図である。図２に例示する署名装置は、演算部２１と、入出力手段２２と、記憶部２３と、通信手段２４とを備えている。演算部２１は、図１に例示する演算部１１１および演算部１２１に相当する。記憶部２３は、図１に例示する記憶部１１２および記憶部１２２に相当する。通信手段２４は、図１に例示する署名検証システムにおいて図示していない通信手段に相当する。入出力手段２３は、署名文を作成するためのメッセージの入力や、検証結果の出力などを行う。

　次に、本実施形態における署名検証システムの動作の概要を説明する。まず、署名装置１１の鍵生成手段１１３は、公開鍵ｐｋ、秘密鍵ｓｋおよび更新用データｕｐを作成し、これらのデータを記憶部１１２に記憶させる。その後、署名装置１１は、公開鍵ｐｋを公開する。検証装置１２は、公開された公開鍵ｐｋを受信し、記憶部１２２に記憶させる。

　次に、署名装置１１の秘密鍵更新手段１１４は、適切な頻度で、秘密鍵ｓｋおよび更新用データｕｐを記憶部１１２から読み込む。そして、秘密鍵更新手段１１４は、その秘密鍵ｓｋをもとに秘密鍵を更新し、新しい秘密鍵ｓｋを記憶部１１２に記憶させる。なお、署名装置１１の秘密鍵更新手段１１４が、秘密鍵を更新する頻度は任意である。更新する頻度が高ければ高いほど、高い安全性が保証される。

　任意のタイミングで、署名すべきメッセージＭが署名装置１１の記憶部１１２に記憶させる。署名装置１１の署名手段１１５は、そのメッセージＭ、公開鍵ｐｋおよび秘密鍵ｓｋを記憶部１２２から読み込む。そして、署名手段１１５は、メッセージＭ、公開鍵ｐｋおよび秘密鍵ｓｋをもとに署名文σを作成する。署名手段１１５は、メッセージＭと作成した署名文σを検証装置１２に送信する。検証装置１２は、メッセージＭおよび署名文σを受信し、記憶部１２２に記憶させる。

　次に、検証装置１２の検証手段１２３は、公開鍵ｐｋ、メッセージＭおよび署名文σを記憶部１２２から読み込む。そして、検証手段１２３は、公開鍵ｐｋ、メッセージＭおよび署名文σをもとに、その署名文σを受理するか拒否するかを決定する。

　上記処理において、署名装置１１は、どのような方法で公開鍵ｐｋを公開してもよい。署名装置１１は、例えば、ＰＫＩ（Public Key Infrastructure ）の仕組みを用いて、公開鍵ｐｋを公開してもよい。

　また、安全性の観点から、署名装置１１は、可能な限り秘密裡かつ改竄されない方法で秘密鍵を保管する必要がある。一方、署名装置１１は、更新用データｕｐを必ずしも秘密裡に保管する必要はない。ただし、署名装置１１は、更新用データｕｐを改竄されない方法で保管する必要がある。

　次に、本実施形態における署名検証システムの動作を詳細に説明する。図３は、鍵生成手段１１３が公開鍵、秘密鍵、および更新用データを作成する処理の例を示すフローチャートである。

　以下の説明では、鍵生成手段１１３が、公開鍵ｐｋ＝（Ｂ［１］，・・・，Ｂ［ｎ］，Δ），秘密鍵ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］），更新用データｕｐ＝（Ｖ［１］，・・・，Ｖ［ｎ］）を作成するものとする。ここで、ｎは、２以上の整数である。

　まず、鍵生成手段１１３は、Ｃを群Ｇからランダムに選択し、Ｗを群Ｈからランダムに選択する。次に、鍵生成手段１１３は、素数ｑの既約剰余類群からｎ個の元（ｂ［１］，・・・，ｂ［ｎ］）および（ｖ［１］，・・・，ｖ［ｎ］）を、内積ｂ［１］ｖ［１］＋・・・＋ｂ［ｎ］ｖ［ｎ］＝０を満たすようにランダムに選択する。すなわち、鍵生成手段１１３は、（ｂ［１］，・・・，ｂ［ｎ］），（ｖ［１］，・・・，ｖ［ｎ］）∈（Ｚ／ｑＺ）^ｎ、かつ、ｂ［１］ｖ［１］＋・・・＋ｂ［ｎ］ｖ［ｎ］＝０を満たす元をランダムに選択する。

　そして、鍵生成手段１１３は、（Ｂ［１］，・・・，Ｂ［ｎ］）＝（Ｃ^ｂ［１］，・・・，Ｃ^ｂ［ｎ］），更新用データｕｐ＝（Ｖ［１］，・・・，Ｖ［ｎ］）＝（Ｗ^ｖ［１］，・・・，Ｗ^ｖ［ｎ］）を計算する（ステップＳ３１）。

　次に、鍵生成手段１１３は、秘密鍵ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］）の各データをＨ^ｎからランダムに選択する。そして、鍵生成手段１１３は、Δ＝ｅ（Ｂ［１］，Ｙ［１］）・・・ｅ（Ｂ［ｎ］，Ｙ［ｎ］）を計算する（ステップＳ３２）。

　鍵生成手段１１３は、以上のように計算した公開鍵ｐｋ＝（Ｂ［１］，・・・，Ｂ［ｎ］，Δ）、秘密鍵ｓｋおよび更新用データｕｐを出力する（ステップＳ３３）。具体的には、鍵生成手段１１３は、公開鍵ｐｋ、秘密鍵ｓｋおよび更新用データｕｐを記憶部１１２に記憶させる。

　以上の方法で生成した（Ｂ［１］，・・・，Ｂ［ｎ］）および（Ｖ［１］，・・・，Ｖ［ｎ］）は、ｅ（Ｂ［１］，Ｖ［１］）・・・ｅ（Ｂ［ｎ］，Ｖ［ｎ］）＝０を満たす。なお、鍵生成手段１１３は、ｅ（Ｂ［１］，Ｖ［１］）・・・ｅ（Ｂ［ｎ］，Ｖ［ｎ］）＝０を満たす（Ｂ［１］，・・・，Ｂ［ｎ］）および（Ｖ［１］，・・・，Ｖ［ｎ］）のランダムな組を、上記の方法とは別の方法で生成してもよい。

　なお、本実施形態では、群Ｇ，Ｈ，Ｔが、素数ｑ、位数ｑの群である場合について説明した。ただし、位数が素数ｑでなくても、鍵を生成することは可能である。ただし、安全性の観点から、位数が素数であること、または、素因数が少ないことが望ましい。

　以上のように、鍵生成手段１１３は、群Ｇ，Ｈからそれぞれｎ個の元を選択した２つの組（Ｂ［１］，・・・，Ｂ［ｎ］）および（Ｖ［１］，・・・，Ｖ［ｎ］）を抽出する。なお、鍵生成手段１１３は、この２組の元を、ｅ（Ｂ［１］，Ｖ［１］）・・・ｅ（Ｂ［ｎ］，Ｖ［ｎ］）＝０を満たすように選択する。また、鍵生成手段１１３は、Ｈ^ｎからｎ個の元を選択し、この組が示すデータを秘密鍵ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］）として出力する。また、鍵生成手段１１３は、Δ＝ｅ（Ｂ［１］，Ｙ［１］）・・・ｅ（Ｂ［ｎ］，Ｙ［ｎ］）を計算し、（Ｂ［１］，・・・，Ｂ［ｎ］）およびΔを含むデータを公開鍵ｐｋ＝（Ｂ［１］，・・・，Ｂ［ｎ］，Δ）として出力する。また、鍵生成手段１１３は、（Ｖ［１］，・・・，Ｖ［ｎ］）を更新用データとして出力する。

　図４は、秘密鍵更新手段１１４が秘密鍵を更新する処理の例を示すフローチャートである。まず、秘密鍵更新手段１１４は、秘密鍵ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］）および更新用データｕｐ＝（Ｖ［１］，・・・，Ｖ［ｎ］）を記憶部１１２から読み込む（ステップＳ４１）。秘密鍵更新手段１１４は、ランダムにｓ∈Ｚ／ｑＺを選択し、（Ｙ［１］Ｖ［１］＾ｓ，・・・，Ｙ［ｎ］Ｖ［ｎ］＾ｓ）を計算する（ステップＳ４２）。秘密鍵更新手段１１４は、秘密鍵ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］）を算出した（Ｙ［１］Ｖ［１］＾ｓ，・・・，Ｙ［ｎ］Ｖ［ｎ］＾ｓ）で上書きする。そして、秘密鍵更新手段１１４は、上書きされた秘密鍵ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］）を記憶部１１２に記憶させる（ステップＳ４３）。

　上記説明では、ｓを素数ｑの巡回群（Ｚ／ｑＺ）から選択する場合について説明した。なお、ｓを素数ｑの巡回群から選択しなくてもよい。しかし、素数ｑの巡回群からｓを選択する方が、安全性の観点からより好ましい。

　以上のように、秘密鍵更新手段１１４は、（Ｖ［１］，・・・，Ｖ［ｎ］）の各元を任意の値ｓでべき乗し、そのべき乗した値に、（Ｙ［１］，・・・，Ｙ［ｎ］）の対応する元をそれぞれ乗じた値の組が示すデータを新たな秘密鍵として更新する。

　図５は、署名手段１１５が署名文を作成する処理の例を示すフローチャートである。署名手段１１５は、平文Ｍおよび（Ｂ［１］，・・・，Ｂ［ｎ］）を、記憶部１１２から読み込む（ステップＳ５１）。署名手段１１５は、ランダムにＲ［１］，・・・，Ｒ［ｎ］∈Ｈを選択し、Θ＝ｅ（Ｂ［１］，Ｒ［１］）・・・ｅ（Ｂ［ｎ］，Ｒ［ｎ］）を計算する（ステップＳ５２）。さらに、署名手段１１５は、ｃ＝Ｈａｓｈ（Θ，Ｍ）を計算する（ステップＳ５３）。ここで、Ｈａｓｈは、定義域がＴ×｛０，１｝^＊、値域がＺ／ｑＺのハッシュ関数である。

　次に、署名手段１１５は、（Ｚ［１］，・・・，Ｚ［ｎ］）＝（Ｙ［１］^ｃＲ［１］，・・・，Ｙ［ｎ］^ｃＲ［ｎ］）を計算する（ステップＳ５４）。そして、署名手段１１５は、署名文σ＝（ｃ，Ｚ［１］，・・・，Ｚ［ｎ］）を出力する（ステップＳ５５）。本実施形態では、署名手段１１５は、署名文σおよび平文Ｍを記憶部１２２に記憶させる。

　以上のように、署名手段１１５は、群Ｈから（Ｒ［１］，・・・，Ｒ［ｎ］）を抽出する。署名手段１１５は、Θ＝ｅ（Ｂ［１］，Ｒ［１］）・・・ｅ（Ｂ［ｎ］，Ｒ［ｎ］）を計算し、Θと平文Ｍとを含むデータに基づいてハッシュ値ｃを計算する。署名手段１１５は、（Ｙ［１］，・・・，Ｙ［ｎ］）に含まれる元をハッシュ値ｃでべき乗し、そのべき乗した値に、（Ｒ［１］，・・・，Ｒ［ｎ］）の対応する元を乗じた値の組（Ｚ［１］，・・・，Ｚ［ｎ］）を計算する。そして、署名手段１１５は、ハッシュ値ｃと（Ｚ［１］，・・・，Ｚ［ｎ］）とを署名文として出力する。

　図６は、検証手段１２３が署名文を検証する処理の例を示すフローチャートである。検証手段１２３は、平文Ｍ、署名文σ＝（ｃ，Ｚ［１］，・・・，Ｚ［ｎ］）および、（Ｂ［１］，・・・，Ｂ［ｎ］）を記憶部１２２から読み込む（ステップＳ６１）。検証手段１２３は、ｃ＝Ｈａｓｈ（Δ^－ｃｅ（Ｂ［１］，Ｚ［１］）・・・ｅ（Ｂ［ｎ］，Ｚ［ｎ］），Ｍ）を満たすか否か検証する。上記式を満たす場合、検証手段１２３は、その署名文を受理する情報を出力する。一方、上記式を満たさない場合、検証手段１２３は、署名文を拒否することを表す情報を出力する（ステップＳ５２）。

　以上のように、検証手段１２３は、ｅ（Ｂ［１］，Ｚ［１］）・・・ｅ（Ｂ［ｎ］，Ｚ［ｎ］）とΔ^－ｃとを乗じた値と、平文Ｍとを含むデータに基づいてハッシュ値を計算する。検証手段１２３は、その値が、ハッシュ値ｃと一致する場合に、署名文σを受理し、ハッシュ値ｃと位置しない場合に、署名文σを拒否する。

　以上のような処理を行うことで、秘密鍵の部分情報が漏洩する状況が想定される場合であっても、安全性を担保しつつ、署名文の作成および署名文の検証を効率的に行うことができる。

　次に、本発明における署名方法と、一般的な署名方法との違いについて説明する。例えば、非特許文献５および非特許文献６に記載された方法は、同時期に提案されたほぼ同一の方法である。非特許文献５および非特許文献６に記載された方法は、鍵を更新する機能を含まない。

　一方、その後に提案された非特許文献１および非特許文献２に記載された方法は、非特許文献５および非特許文献６に記載された方法と全く異なる方法であり、鍵を更新する機能を含むものである。しかし、上述するように、非特許文献１および非特許文献２に記載された方法は、署名文計算時にデータが漏洩しないことを仮定した方法である。ただし、この仮定は、署名および検証に関する部分の仮定であり、鍵更新に関する部分の仮定ではない。

　なお、非特許文献１に記載された方法で用いられている鍵と、非特許文献５および非特許文献６に記載された方法で用いられている鍵とは形が大きく異なるため、両方法を組み合わせることは困難である。

　また、上述するように、非特許文献３および非特許文献４に記載された方法を用いることで安全性を担保することが可能であるが、非特許文献３および非特許文献４に記載された方法では、署名の検証が効率よく行うことができないという問題がある。なお、非特許文献３に記載された方法と、非特許文献４に記載された方法は、同時期に独立に提案されているが、両方法は酷似している。

　本実施形態による署名検証方法は、非特許文献３および非特許文献４に記載された方法と同等の性質を満たしつつ、かつ、これらの方法よりも効率的であるという効果が得られる。

　具体的には、本実施形態における署名検証方法は、非特許文献３および非特許文献４に記載された方法よりも、安全性を示す上で必要になる仮定（ランダムオラクル）を適切に行うことで、効率化を図っている。すなわち、実用上は、適切に仮定を設定したうえで署名処理が行われるため、本実施形態における署名検証方法は、より実用に則した署名検証方法であるといえる。

　例えば、非特許文献５及び非特許文献６に記載された方法では、秘密鍵ｓｋ＝（ｙ［１］，・・・，ｙ［ｎ］）、公開鍵ｐｋ＝（Ｕ，Ｂ［１］，・・・，Ｂ［ｎ］）と定義される。ここで、Ｕ＝Ｂ［１］＾ｙ［１］・・・Ｂ［１］＾ｙ［ｎ］という関係を満たす。また、各ｙ［ｉ］は、Ｚ／ｐＺの元であり、ｇ［ｉ］は、群の元である。

　非特許文献５及び非特許文献６に記載された方法は、上述した通り、「知識の署名」という方法を用いて署名文を作成するが、鍵を更新する機能を含んでいない。そのため、非特許文献３及び非特許文献４に記載された方法では、非特許文献１に記載された方法による鍵更新方法を取り入れるため、公開鍵および秘密鍵の形が変更されている。非特許文献４に記載された方法は、非特許文献３に記載された方法と類似するため、以下、本発明による署名方法と、非特許文献３に記載された方法とを比較して説明する。

　非特許文献５及び非特許文献６に記載された方法では、秘密鍵は、Ｚ／ｐＺの元ｙ［ｉ］からなる組であった。一方、非特許文献３に記載された方法では、秘密鍵は、ｓｋ＝（Ｙ［１］，・・・，Ｙ［ｎ］）である。すなわち、秘密鍵ｓｋが群の元Ｙ［ｉ］の組である。

　また、非特許文献３に記載された方法における公開鍵は、ｐｋ＝（Δ、Ｂ［１］，・・・，Ｂ［ｎ］）で定義される。ここで、Δ＝ｅ（Ｂ［１］，Ｙ［１］）・・・ｅ（Ｂ［ｎ］，Ｙ［ｎ］）という関係を満たす。また、ｅ（・，・）は、双線型写像である。

　上記記載からも明らかないように、秘密鍵が、Ｚ／ｐＺの元ｙ［ｉ］の組から群の元Ｙ［ｉ］の組に換わっている。秘密鍵がＺ／ｐＺの元の組の場合、効率的な「知識の署名」を行う方法は知られている。しかし、秘密鍵が群の元の組の場合には、そのような効率的な方法は知られていない。すなわち、非特許文献３に記載された方法では、非特許文献５および非特許文献６に記載された署名方法を流用できなくなる。

　そこで、非特許文献３に記載された方法では、Ｇｒｏｔｈ－Ｓａｈａｉ証明という技術と、Ｗａｔｅｒｓ関数という技術を用いて署名を行っている。しかし、これらの技術を用いた処理は、効率的とは言い難い。その結果、非特許文献３に記載された署名方法、および、その署名方法に対応する検証方法も、効率的とは言い難い。

　ここで、一般的に使用されている効率的な「知識の証明」の内容を説明し、併せて、秘密鍵が群の元の組である場合に「知識の証明」が使用できない理由を説明する。「知識の署名」は、３つのフェーズを含む。第１のフェーズでは、乱数ｒが選択され、乱数ｒと公開鍵ｐｋとを使って「コミットメント」というデータが計算される。第２のフェーズでは、コミットメントのハッシュ値が計算される。このハッシュ値は、「チャレンジ」と呼ばれる。第３のフェーズでは、第１のフェーズで選択された乱数ｒと秘密鍵ｓｋとから、「レスポンス」というデータが計算される。

　通常の「知識の証明」では、乱数ｒとしてＺ／ｐＺの元が選択される。秘密鍵ｓｋもＺ／ｐＺの元であれば、第３のフェーズにおいて、乱数ｒと秘密鍵ｓｋとを加算したり、乗算したりする操作を行うことで、「レスポンス」を計算できる。しかし、秘密鍵ｓｋがＺ／ｐＺの元ではなく、群の元の組であるとする。この場合、群の元の組と乱数ｒとの間で、上述する加算や乗算を行うことができない。このため、「レスポンス」を計算できない。

　しかし、本発明による署名検証方法では、乱数ｒも群の元の組としている。このようにすることで、上述する問題を回避できる。ただし、通常の「知識の署名」の第１のフェーズでは、公開鍵ｐｋのｒ乗を計算する処理が行われるが、この場合、乱数ｒが群の元であれば、「ｒ乗」という計算は意味を持たなくなってしまう。そこで、本発明による署名検証方法では、ペアリングを用いる。本発明による署名検証方法では、公開鍵ｐｋが群の元Ｂ［１］，・・・，Ｂ［ｎ］含む組であり、ｒが群の元Ｒ［１］，・・・，Ｒ［ｎ］を含む組である。

　具体的には、本発明による署名検証方法では、第１のフェーズにおいて、公開鍵ｐｋをｒ乗する代わりに、Θ＝ｅ（Ｂ［１］，Ｒ［１］）…ｅ（Ｂ［ｎ］，Ｒ［ｎ］）を計算する。このΘは、「コミットメント」として用いられる。すなわち、本発明による署名検証方法では、「公開鍵のｒ乗」という意味の無い計算が、「ペアリングの計算」という意味のある計算に置き換わっている。そのため、上述する問題を回避できる。

　また、本発明による署名検証方法と、非特許文献３および非特許文献４に記載された方法との効率性を比較する。非特許文献３および非特許文献４に記載された方法を用いた場合、署名および検証時に行われるスカラー倍算の回数は、本発明による署名検証方法で署名および検証時に行われるスカラー倍算の回数のＯ（ｋ）倍になる。ここで、ｋは、セキュリティパラメータである。一般的に、ｋは１６０程度に設定される。この場合、本発明による署名検証方法は、非特許文献３および非特許文献４に記載された方法よりも１６０倍程度効率的であるといえる。

　なお、特許文献１に記載された署名生成装置では、ＮＴＲＵを用いている。一方、本発明による署名検証方法では、離散対数ベースの暗号化を行っている。離散対数ベースの暗号化の場合、準同型性ｇ＾ｘｇ＾ｙ＝ｇ＾｛ｘ＋ｙ｝が成立する。一方、ＮＴＲＵでは、この性質を満たさない。

　次に、本発明の最小構成の例を説明する。図７は、本発明による署名検証システムの最小構成の例を示すブロック図である。本発明による署名検証システムは、公開鍵（例えば、ｐｋ）と、秘密鍵（例えば、ｓｋ）と、秘密鍵の更新に用いられるデータである更新用データ（例えば、ｕｐ）とを生成する鍵生成手段８１（例えば、鍵生成手段１１３）と、平文（例えば、平文Ｍ）と、公開鍵と、秘密鍵とを用いて、その平文の署名文（例えば、σ）を作成する署名手段８２（例えば、署名手段１１５）と、公開鍵と平文と署名文との間の妥当性を検証する検証手段８３（例えば、検証手段１２３）と、更新用データを用いて秘密鍵を更新する秘密鍵更新手段８４（例えば、秘密鍵更新手段１１４）とを備えている。

　鍵生成手段８１は、群（例えば、群Ｇ，Ｈ）から予め定めた個数（例えば、ｎ個）の元を選択した組を２組（例えば、（Ｂ［１］，・・・，Ｂ［ｎ］），（Ｖ［１］，・・・，Ｖ［ｎ］））抽出する。鍵生成手段８１は、その２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像（例えば、ｅ：Ｇ×Ｈ→Ｔ）の全てを乗じた値が０になる元の組を選択する。鍵生成手段８１は、群（例えば、Ｈ^ｎ）から上記個数（ｎ個）の元を選択した第三の組（例えば、（Ｙ［１］，・・・，Ｙ［ｎ］））を抽出する。鍵生成手段８１は、第一の組に含まれる元と、第三の組に含まれる対応する元の双線形写像の全てを乗じた値（例えば、Δ）を公開鍵の一部のデータとして計算する。鍵生成手段８１は、第三の組が示すデータを秘密鍵とし、第一の組が示すデータ及び公開鍵の一部のデータを公開鍵とし、第二の組が示すデータを更新用データとしてそれぞれ、鍵情報記憶手段９０（例えば、記憶部１１２）にそれぞれ記憶させる。

　署名手段８２は、群（例えば、Ｈ）から上記個数（ｎ個）の元を選択した第四の組（例えば、（Ｒ［１］，・・・，Ｒ［ｎ］））を抽出する。署名手段８２は、鍵情報記憶手段９０に記憶された公開鍵中の第一の組に含まれる元と、第四の組に含まれる対応する元の双線形写像の全てを乗じた値（例えば、Θ）を計算する。署名手段８２は、その値と平文とを含むデータに基づいて第一ハッシュ値（例えば、ハッシュ値ｃ）を計算する。署名手段８２は、鍵情報記憶手段９０に記憶された秘密鍵を示す第三の組に含まれる各元を第一ハッシュ値でべき乗する。署名手段８２は、そのべき乗した値に第四の組に含まれる対応する元を乗じた値の組である第五の組（例えば、（Ｚ［１］，・・・，Ｚ［ｎ］））を計算する。署名手段８２は、ハッシュ値および第五の組を含むデータを平文の署名文（例えば、署名文σ）として作成する。

　検証手段８３は、鍵情報記憶手段９０に記憶された公開鍵中の第一の組に含まれる元と、第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算する。検証手段８３は、公開鍵の一部のデータをハッシュ値に－１を乗じた値でべき乗した値（例えば、Δ^－ｃ）と中間値とを乗じた値と平文とを含むデータに基づいて計算される第二ハッシュ値が第一ハッシュ値と一致する場合に署名文を受理する。検証手段８３は、第二ハッシュ値が第一ハッシュ値と一致しない場合に署名文を拒否する。

　秘密鍵更新手段８４は、鍵情報記憶手段９０に記憶された更新データを示す第二の組に含まれる各元を任意の値（例えば、ｓ）でべき乗する。秘密鍵更新手段８４は、そのべき乗した値に第三の組に含まれる対応する元を乗じた値の組（例えば、（Ｙ［１］Ｖ［１］＾ｓ，・・・，Ｙ［ｎ］Ｖ［ｎ］＾ｓ））が示すデータを新たな秘密鍵として鍵情報記憶手段９０に記憶された秘密鍵を更新する。

　そのような構成により、秘密鍵の部分情報が漏洩する状況が想定される場合であっても、安全性を担保しつつ、署名文の作成および署名文の検証を効率的に行うことができる。

　以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１１年６月２４日に出願された日本特許出願２０１１－１４０４４７を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、秘密鍵の部分情報が漏洩しても安全に署名および検証を行う署名検証システムに好適に適用される。

　１１　署名装置
　１２　検証装置
　１１１，１２１　演算部
　１１２，１２２　記憶部
　１１３　鍵生成手段
　１１４　秘密鍵更新手段
１１５　署名手段

Claims

　群から予め定めた個数の元を選択した組を２組抽出し、
　前記２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像の全てを乗じた値が０になる元の組を選択し、
　群から前記個数の元を選択した第三の組を抽出し、
　前記第一の組に含まれる元と、前記第三の組に含まれる対応する元の双線形写像の全てを乗じた値を、公開鍵の一部のデータとして計算し、
　前記第三の組が示すデータを秘密鍵とし、前記第一の組が示すデータ及び前記公開鍵の一部のデータを公開鍵とし、前記第二の組が示すデータを秘密鍵の更新時に用いるデータである更新データとして、鍵情報記憶手段にそれぞれ記憶させ、
　群から前記個数の元を選択した第四の組を抽出し、
　前記鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、前記第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算し、当該値と平文とを含むデータに基づいて第一ハッシュ値を計算し、
　前記鍵情報記憶手段に記憶された秘密鍵を示す第三の組に含まれる各元を前記第一ハッシュ値でべき乗し、当該べき乗した値に前記第四の組に含まれる対応する元を乗じた値の組である第五の組を計算し、
　前記ハッシュ値および前記第五の組を含むデータを署名文として出力し、
　前記鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、前記第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算し、
　前記公開鍵の一部のデータを前記ハッシュ値に－１を乗じた値でべき乗した値と前記中間値とを乗じた値と前記平文とを含むデータに基づいて計算される第二ハッシュ値が前記第一ハッシュ値と一致する場合に前記署名文を受理し、前記第二ハッシュ値が前記第一ハッシュ値と一致しない場合に前記署名文を拒否し、
　前記鍵情報記憶手段に記憶された更新データを示す第二の組に含まれる各元を任意の値でべき乗し、当該べき乗した値に前記第三の組に含まれる対応する元を乗じた値の組が示すデータを新たな秘密鍵として前記鍵情報記憶手段に記憶された秘密鍵を更新する
　ことを特徴とする署名検証方法。
　群からｎ個の元の組として第一の組である（Ｂ［１］，・・・，Ｂ［ｎ］）および第二の組である（Ｖ［１］，・・・，Ｖ［ｎ］）を抽出し、
　１以上ｎ以下の各ｉに対して、前記第一の組に含まれるＢ［ｉ］と前記第二の組に含まれるＶ［ｉ］それぞれの双線形写像の全てを乗じた値が０になるである元の組を生成し、
　群からランダムに選択したｎ個の元の組として、第三の組である（Ｙ［１］，・・・，Ｙ［ｎ］）を抽出し、
　１以上ｎ以下の各ｉに対して、前記第一の組に含まれるＢ［ｉ］と前記第三の組に含まれるＹ［ｉ］のそれぞれの双線形写像の全てを乗じた値Δを計算し、
　前記（Ｙ［１］，・・・，Ｙ［ｎ］）を含むデータを秘密鍵として出力し、
　前記（Ｂ［１］，・・・，Ｂ［ｎ］）および前記Δを含むデータを公開鍵として出力し、
　前記（Ｖ［１］，・・・，Ｖ［ｎ］を更新用データとして出力し、
　群からランダムに選択したｎ個の元の組として、第四の組である（Ｒ［１］，・・・，Ｒ［ｎ］）を抽出し、
　１以上ｎ以下の各ｉに対して、前記第一の組に含まれるＢ［ｉ］と前記第四の組に含まれるＲ［ｉ］のそれぞれの双線形写像の全てを乗じた値Θを計算し、
　前記Θと平文を含むデータのハッシュ値ｃを計算し、
　前記第三の組に含まれるＹ［ｉ］をｉごとに前記ハッシュ値ｃでべき乗した値に、前記第四の組に含まれるＲ［ｉ］を乗じた値の組として、第五の組である（Ｚ［１］，・・・，Ｚ［ｎ］）を計算し、
　前記ハッシュ値ｃおよび前記（Ｚ［１］，・・・，Ｚ［ｎ］）を含むデータを署名文として出力し、
　１以上ｎ以下の各ｉに対して前記第一の組に含まれるＢ［ｉ］と前記第五の組に含まれるＺ［ｉ］のそれぞれの双線形写像の全てを乗じた値と、前記ハッシュ値ｃに－１を乗じた値で前記Δをべき乗した値とを乗じた値と、前記平文Ｍを含むデータのハッシュ値ｃと一致するか否かを検証し、
　一致する場合に前記署名文を受理し、一致しない場合に前記署名文を拒否し、
　１以上ｎ以下の各ｉに対し、前記第二の組に含まれるＶ［ｉ］をランダムに選択した値ｓでべき乗し、当該べき乗した値に前記第三の組に含まれるＹ［ｉ］を乗じた値の組が示すデータを新たな秘密鍵として更新する
　請求項１記載の署名検証方法。
　第一の組、第二の組、第三の組、第四の組のうちの、少なくともいずれかの組を元を選択する群は、素数位数の群である
　請求項１または請求項２記載の署名検証方法。
　秘密鍵を更新する際に選択される値は、素数の巡回群から選択される
　請求項１から請求項３のうちのいずれか１項に記載の署名検証方法。
　公開鍵と、秘密鍵と、前記秘密鍵の更新に用いられるデータである更新用データとを生成する鍵生成手段と、
　平文と、前記公開鍵と、前記秘密鍵とを用いて、当該平文の署名文を作成する署名手段と、
　前記公開鍵と前記平文と前記署名文との間の妥当性を検証する検証手段と、
　前記更新用データを用いて前記秘密鍵を更新する秘密鍵更新手段とを備え、
　前記鍵生成手段は、群から予め定めた個数の元を選択した組を２組抽出し、当該２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像の全てを乗じた値が０になる元の組を選択し、群から前記個数の元を選択した第三の組を抽出し、前記第一の組に含まれる元と、前記第三の組に含まれる対応する元の双線形写像の全てを乗じた値を公開鍵の一部のデータとして計算し、前記第三の組が示すデータを秘密鍵とし、前記第一の組が示すデータ及び前記公開鍵の一部のデータを公開鍵とし、前記第二の組が示すデータを前記更新用データとして、鍵情報記憶手段にそれぞれ記憶させ、
　署名手段は、群から前記個数の元を選択した第四の組を抽出し、前記鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、前記第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算し、当該値と平文とを含むデータに基づいて第一ハッシュ値を計算し、前記鍵情報記憶手段に記憶された秘密鍵を示す第三の組に含まれる各元を前記第一ハッシュ値でべき乗し、当該べき乗した値に前記第四の組に含まれる対応する元を乗じた値の組である第五の組を計算し、前記ハッシュ値および前記第五の組を含むデータを前記平文の署名文として作成し、
　検証手段は、前記鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、前記第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算し、前記公開鍵の一部のデータを前記ハッシュ値に－１を乗じた値でべき乗した値と前記中間値とを乗じた値と前記平文とを含むデータに基づいて計算される第二ハッシュ値が前記第一ハッシュ値と一致する場合に前記署名文を受理し、前記第二ハッシュ値が前記第一ハッシュ値と一致しない場合に前記署名文を拒否し、
　秘密鍵更新手段は、前記鍵情報記憶手段に記憶された更新データを示す第二の組に含まれる各元を任意の値でべき乗し、当該べき乗した値に前記第三の組に含まれる対応する元を乗じた値の組が示すデータを新たな秘密鍵として前記鍵情報記憶手段に記憶された秘密鍵を更新する
　ことを特徴とする署名検証システム。
　コンピュータに、
　公開鍵と、秘密鍵と、前記秘密鍵の更新に用いられるデータである更新用データとを生成する鍵生成処理、
　平文と、前記公開鍵と、前記秘密鍵とを用いて、当該平文の署名文を作成する署名処理、
　前記公開鍵と前記平文と前記署名文との間の妥当性を検証する検証処理、および、
　前記更新用データを用いて前記秘密鍵を更新する秘密鍵更新処理を実行させ、
　前記鍵生成処理で、群から予め定めた個数の元を選択した組を２組抽出させ、当該２組の元を選択する際、第一の組に含まれる元と第二の組に含まれる対応する元の双線形写像の全てを乗じた値が０になる元の組を選択させ、群から前記個数の元を選択した第三の組を抽出させ、前記第一の組に含まれる元と、前記第三の組に含まれる対応する元の双線形写像の全てを乗じた値を公開鍵の一部のデータとして計算させ、前記第三の組が示すデータを秘密鍵とし、前記第一の組が示すデータ及び前記公開鍵の一部のデータを公開鍵とし、前記第二の組が示すデータを前記更新用データとして、鍵情報記憶手段にそれぞれ記憶させ、
　前記署名処理で、群から前記個数の元を選択した第四の組を抽出させ、前記鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、前記第四の組に含まれる対応する元の双線形写像の全てを乗じた値を計算させ、当該値と平文とを含むデータに基づいて第一ハッシュ値を計算させ、前記鍵情報記憶手段に記憶された秘密鍵を示す第三の組に含まれる各元を前記第一ハッシュ値でべき乗し、当該べき乗した値に前記第四の組に含まれる対応する元を乗じた値の組である第五の組を計算させ、前記ハッシュ値および前記第五の組を含むデータを前記平文の署名文として作成させ、
　前記検証処理で、前記鍵情報記憶手段に記憶された公開鍵中の第一の組に含まれる元と、前記第五の組に含まれる対応する値の双線形写像の全てを乗じた値を中間値として計算させ、前記公開鍵の一部のデータを前記ハッシュ値に－１を乗じた値でべき乗した値と前記中間値とを乗じた値と前記平文とを含むデータに基づいて計算される第二ハッシュ値が前記第一ハッシュ値と一致する場合に前記署名文を受理させ、前記第二ハッシュ値が前記第一ハッシュ値と一致しない場合に前記署名文を拒否させ、
　前記秘密鍵更新処理で、前記鍵情報記憶手段に記憶された更新データを示す第二の組に含まれる各元を任意の値でべき乗し、当該べき乗した値に前記第三の組に含まれる対応する元を乗じた値の組が示すデータを新たな秘密鍵として前記鍵情報記憶手段に記憶された秘密鍵を更新させる
　ための署名検証プログラム。