WO2013031413A1 - 情報処理装置、情報処理方法、プログラム、及び記録媒体 - Google Patents
情報処理装置、情報処理方法、プログラム、及び記録媒体 Download PDFInfo
- Publication number
- WO2013031413A1 WO2013031413A1 PCT/JP2012/068322 JP2012068322W WO2013031413A1 WO 2013031413 A1 WO2013031413 A1 WO 2013031413A1 JP 2012068322 W JP2012068322 W JP 2012068322W WO 2013031413 A1 WO2013031413 A1 WO 2013031413A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- sequence
- algorithm
- ternary
- binary
- bits
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/58—Random or pseudo-random number generators
- G06F7/582—Pseudo-random number generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- General Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Complex Calculations (AREA)
Abstract
Description
ここで、以下に記載する本技術の実施形態に関する説明の流れについて簡単に述べる。まず、図1を参照しながら、公開鍵認証方式のアルゴリズム構成について説明する。次いで、図2を参照しながら、電子署名方式のアルゴリズム構成について説明する。次いで、図3を参照しながら、nパスの公開鍵認証方式について説明する。
1:はじめに
1-1:公開鍵認証方式のアルゴリズム
1-2:電子署名方式のアルゴリズム
1-3:nパスの公開鍵認証方式
2:3パスの公開鍵認証方式に係るアルゴリズムの構成
2-1:具体的なアルゴリズムの構成例
2-2:並列化アルゴリズムの構成例
3:5パスの公開鍵認証方式に係るアルゴリズムの構成
3-1:具体的なアルゴリズムの構成例
3-2:並列化アルゴリズムの構成例
4:電子署名方式への変形
4-1:3パスの公開鍵認証方式から電子署名方式への変形
4-2:5パスの公開鍵認証方式から電子署名方式への変形
5:署名検証に要するメモリ量の削減方法について
5-1:ハッシュ関数の構造について
5-2:3パス方式に基づく電子署名方式への適用例
5-3:5パス方式に基づく電子署名方式への適用例
6:2進数の乱数列から3進数の乱数列を抽出する方法について
6-1:抽出方法#1(2ビット区切り)
6-2:抽出方法#2(区切りなし)
6-3:抽出方法#3(kビット区切り)
6-3-1:基本構成
6-3-2:追加抽出方法
7:多変数多項式の係数を効率的に代入する方法について
7-1:基本的な取り決め
7-2:データの構造化
7-2-1:構造化手法#1
7-2-2:構造化手法#2
7-2-3:構造化手法#3
8:ハードウェア構成例
9:まとめ
本実施形態は、多次多変数連立方程式に対する求解問題の困難性に安全性の根拠をおく公開鍵認証方式及び電子署名方式に関する。但し、本実施形態は、HFE電子署名方式などの従来手法とは異なり、効率的に解く手段(トラップドア)を持たない多次多変数連立方程式を利用する公開鍵認証方式及び電子署名方式に関する。まず、公開鍵認証方式のアルゴリズム、電子署名方式のアルゴリズム、及びnパスの公開鍵認証方式について、その概要を簡単に説明する。
まず、図1を参照しながら、公開鍵認証方式のアルゴリズムについて概要を説明する。図1は、公開鍵認証方式のアルゴリズムについて概要を説明するための説明図である。
公開鍵認証方式のモデルには、図1に示すように、証明者と検証者という2つのエンティティが存在する。証明者は、鍵生成アルゴリズムGenを用いて、証明者固有の秘密鍵skと公開鍵pkの組を生成する。次いで、証明者は、鍵生成アルゴリズムGenを用いて生成した秘密鍵skと公開鍵pkの組を利用して検証者と対話プロトコルを実行する。このとき、証明者は、証明者アルゴリズムPを利用して対話プロトコルを実行する。上記の通り、証明者は、証明者アルゴリズムPを利用し、対話プロトコルの中で秘密鍵skを保有している証拠を検証者に提示する。
鍵生成アルゴリズムGenは、証明者により利用される。鍵生成アルゴリズムGenは、証明者に固有の秘密鍵skと公開鍵pkとの組を生成するアルゴリズムである。鍵生成アルゴリズムGenにより生成された公開鍵pkは公開される。そして、公開された公開鍵pkは、検証者により利用される。一方、鍵生成アルゴリズムGenにより生成された秘密鍵skは、証明者が秘密に管理する。そして、証明者により秘密に管理される秘密鍵skは、公開鍵pkに対応する秘密鍵skを証明者が保有していることを検証者に対して証明するために利用される。形式的に、鍵生成アルゴリズムGenは、セキュリティパラメータ1λ(λは0以上の整数)を入力とし、秘密鍵skと公開鍵pkを出力するアルゴリズムとして、下記の式(1)のように表現される。
証明者アルゴリズムPは、証明者により利用される。証明者アルゴリズムPは、公開鍵pkに対応する秘密鍵skを証明者が保有していることを検証者に対して証明するためのアルゴリズムである。つまり、証明者アルゴリズムPは、秘密鍵skと公開鍵pkとを入力とし、対話プロトコルを実行するアルゴリズムである。
検証者アルゴリズムVは、検証者により利用される。検証者アルゴリズムVは、対話プロトコルの中で、公開鍵pkに対応する秘密鍵skを証明者が保有しているか否かを検証するアルゴリズムである。検証者アルゴリズムVは、公開鍵pkを入力とし、対話プロトコルの実行結果に応じて0又は1(1bit)を出力するアルゴリズムである。なお、検証者は、検証者アルゴリズムVが0を出力した場合には証明者が不正なものであると判断し、1を出力した場合には証明者が正当なものであると判断する。形式的に、検証者アルゴリズムVは、下記の式(2)のように表現される。
次に、図2を参照しながら、電子署名方式のアルゴリズムについて概要を説明する。図2は、電子署名方式のアルゴリズムについて概要を説明するための説明図である。
電子署名方式のモデルには、図2に示すように、署名者及び検証者という2つのエンティティが存在する。そして、電子署名方式のモデルは、鍵生成アルゴリズムGen、署名生成アルゴリズムSig、署名検証アルゴリズムVerという3つのアルゴリズムにより構成される。
鍵生成アルゴリズムGenは、署名者により利用される。鍵生成アルゴリズムGenは、署名者固有の署名鍵skと検証鍵pkとの組を生成するアルゴリズムである。鍵生成アルゴリズムGenにより生成された検証鍵pkは公開される。一方、鍵生成アルゴリズムGenにより生成された署名鍵skは、署名者により秘密に管理される。そして、署名鍵skは、文書Mに付与される電子署名σの生成に利用される。例えば、鍵生成アルゴリズムGenは、セキュリティパラメータ1λ(λは0以上の整数)を入力とし、署名鍵sk及び公開鍵pkを出力する。この場合、鍵生成アルゴリズムGenは、形式的に、下記の式(3)のように表現することができる。
署名生成アルゴリズムSigは、署名者により利用される。署名生成アルゴリズムSigは、文書Mに付与される電子署名σを生成するアルゴリズムである。署名生成アルゴリズムSigは、署名鍵skと文書Mとを入力とし、電子署名σを出力するアルゴリズムである。この署名生成アルゴリズムSigは、形式的に、下記の式(4)のように表現することができる。
署名検証アルゴリズムVerは、検証者により利用される。署名検証アルゴリズムVerは、電子署名σが文書Mに対する正当な電子署名であるか否かを検証するアルゴリズムである。署名検証アルゴリズムVerは、署名者の検証鍵pk、文書M、電子署名σを入力とし、0又は1(1bit)を出力するアルゴリズムである。この署名検証アルゴリズムVerは、形式的に、下記の式(5)のように表現することができる。なお、検証者は、署名検証アルゴリズムVerが0を出力した場合(公開鍵pkが文書Mと電子署名σを拒否する場合)に電子署名σが不当であると判断し、1を出力した場合(公開鍵pkが文書Mと電子署名σを受理する場合)に電子署名σが正当であると判断する。
次に、図3を参照しながら、nパスの公開鍵認証方式について説明する。図3は、nパスの公開鍵認証方式について説明するための説明図である。
以下、3パスの公開鍵認証方式に係るアルゴリズムについて説明する。なお、以下の説明において、3パスの公開鍵認証方式のことを「3パス方式」と呼ぶ場合がある。
まず、図4を参照しながら、3パス方式に係る具体的なアルゴリズムの構成例について紹介する。図4は、3パス方式に係る具体的なアルゴリズムの構成について説明するための説明図である。ここでは、公開鍵pkの一部として2次多項式の組(f1(x),…,fm(x))を利用する場合について考える。但し、2次多項式fi(x)は、下記の式(6)のように表現されるものとする。また、ベクトル(x1,…,xn)をxと表記し、2次多項式の組(f1(x),…,fm(x))を多変数多項式F(x)と表記することにする。
鍵生成アルゴリズムGenは、環K上で定義されるm本の多変数多項式f1(x1,…,xn),…,fm(x1,…,xn)、及びベクトルs=(s1,…,sn)∈Knを生成する。次に、鍵生成アルゴリズムGenは、y=(y1,…,ym)←(f1(s),…,fm(s))を計算する。そして、鍵生成アルゴリズムGenは、(f1(x1,…,xn),…,fm(x1,…,xn),y)を公開鍵pkに設定し、sを秘密鍵に設定する。
以下、図4を参照しながら、対話プロトコルの中で証明者アルゴリズムPが実行する処理及び検証者アルゴリズムVが実行する処理について説明する。この対話プロトコルの中で、証明者は、秘密鍵sの情報を検証者に一切漏らさずに、「自身がy=F(s)を満たすsを知っていること」を検証者に示す。一方、検証者は、証明者がy=F(s)を満たすsを知っているか否かを検証する。なお、公開鍵pkは、検証者に公開されているものとする。また、秘密鍵sは、証明者により秘密に管理されているものとする。以下、図4に示したフローチャートに沿って説明を進める。
図4に示すように、まず、証明者アルゴリズムPは、ランダムにベクトルr0,t0∈Kn及びe0∈Kmを生成する。次いで、証明者アルゴリズムPは、r1←s-r0を計算する。この計算は、秘密鍵sをベクトルr0によりマスクする操作に相当する。さらに、証明者アルゴリズムPは、t1←r0-t0を計算する。次いで、証明者アルゴリズムPは、e1←F(r0)-e0を計算する。
次いで、証明者アルゴリズムPは、c0←H(r1,G(t0,r1)+e0)を計算する。次いで、証明者アルゴリズムPは、c1←H(t0,e0)を計算する。次いで、証明者アルゴリズムPは、c2←H(t1,e1)を計算する。工程#1で生成されたメッセージ(c0,c1,c2)は、検証者アルゴリズムVに送られる。
メッセージ(c0,c1,c2)を受け取った検証者アルゴリズムVは、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムVは、検証パターンの種類を表す3つの数値{0,1,2}の中から1つの数値を選択し、選択した数値を要求Chに設定する。この要求Chは証明者アルゴリズムPに送られる。
要求Chを受け取った証明者アルゴリズムPは、受け取った要求Chに応じて検証者アルゴリズムVに送る返答Rspを生成する。Ch=0の場合、証明者アルゴリズムPは、返答Rsp=(r0,t1,e1)を生成する。Ch=1の場合、証明者アルゴリズムPは、返答Rsp=(r1,t0,e0)を生成する。Ch=2の場合、証明者アルゴリズムPは、返答Rsp=(r1,t1,e1)を生成する。工程#3で生成された返答Rspは、検証者アルゴリズムVに送られる。
返答Rspを受け取った検証者アルゴリズムVは、受け取った返答Rspを利用して以下の検証処理を実行する。
次に、図5を参照しながら、図4に示した3パス方式のアルゴリズムを並列化する方法について説明する。なお、鍵生成アルゴリズムGenの構成については説明を省略する。
図5に示すように、まず、証明者アルゴリズムPは、i=1~Nについて以下の処理(1)~処理(6)を実行する。
処理(1):証明者アルゴリズムPは、ランダムにベクトルr0i,t0i∈Kn及びe0i∈Kmを生成する。
処理(2):証明者アルゴリズムPは、r1i←s-r0iを計算する。この計算は、秘密鍵sをベクトルr0iによりマスクする操作に相当する。さらに、証明者アルゴリズムPは、t1i←r0i+t0iを計算する。
処理(3):証明者アルゴリズムPは、e1i←F(r0i)-e0iを計算する。
処理(4):証明者アルゴリズムPは、c0i←H(r1i,G(r1i,t0i)+e0i)を計算する。
処理(5):証明者アルゴリズムPは、c1i←H(t0i,e0i)を計算する。
処理(6):証明者アルゴリズムPは、c2i←H(t1i,e1i)を計算する。
i=1~Nについて上記の処理(1)~処理(6)を実行した後、証明者アルゴリズムPは、Cmt←H(c01,c11,c21,…,c0N,c1N,c2N)を計算する。工程#1で生成されたハッシュ値Cmtは、検証者アルゴリズムVに送られる。このように、メッセージ(c01,c11,c21,…,c0N,c1N,c2N)をハッシュ値に変換してから検証者アルゴリズムVに送ることで、通信量を削減することが可能になる。
ハッシュ値Cmtを受け取った検証者アルゴリズムVは、i=1~Nのそれぞれについて、3つの検証パターンのうち、どの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムVは、i=1~Nのそれぞれについて、検証パターンの種類を表す3つの数値{0,1,2}の中から1つの数値を選択し、選択した数値を要求Chiに設定する。要求Ch1,…,ChNは、証明者アルゴリズムPに送られる。
要求Ch1,…,ChNを受け取った証明者アルゴリズムPは、受け取った要求Ch1,…,ChNのそれぞれ応じて検証者アルゴリズムVに送る返答Rsp1,…,RspNを生成する。Chi=0の場合、証明者アルゴリズムPは、Rspi=(r0i,t1i,e1i,c0i)を生成する。Chi=1の場合、証明者アルゴリズムPは、Rspi=(r1i,t0i,e0i,c2i)を生成する。Chi=2の場合、証明者アルゴリズムPは、Rspi=(r1i,t1i,e1i,c1i)を生成する。
返答Rsp1,…,RspNを受け取った検証者アルゴリズムVは、受け取った返答Rsp1,…,RspNを利用して以下の処理(1)~処理(3)をi=1~Nについて実行する。但し、検証者アルゴリズムVは、Chi=0の場合に処理(1)を実行し、Chi=1の場合に処理(2)を実行し、Chi=2の場合に処理(3)を実行する。
次に、5パスの公開鍵認証方式に係るアルゴリズムについて説明する。なお、以下の説明において、5パスの公開鍵認証方式のことを「5パス方式」と呼ぶ場合がある。
まず、図6を参照しながら、5パス方式に係る具体的なアルゴリズムの構成例について紹介する。図6は、5パス方式に係る具体的なアルゴリズムの構成について説明するための説明図である。ここでは、公開鍵pkの一部として2次多項式の組(f1(x),…,fm(x))を利用する場合について考える。但し、2次多項式fi(x)は、上記の式(6)のように表現されるものとする。また、ベクトル(x1,…,xn)をxと表記し、2次多項式の組(f1(x),…,fm(x))を多変数多項式F(x)と表記することにする。
鍵生成アルゴリズムGenは、環K上で定義される多変数多項式f1(x1,…,xn),…,fm(x1,…,xn)、及びベクトルs=(s1,…,sn)∈Knを生成する。次に、鍵生成アルゴリズムGenは、y=(y1,…,ym)←(f1(s),…,fm(s))を計算する。そして、鍵生成アルゴリズムGenは、(f1,…,fm,y)を公開鍵pkに設定し、sを秘密鍵に設定する。なお、以下では、ベクトル(x1,…,xn)をxと表記し、多変数多項式の組(f1(x),…,fm(x))をF(x)と表記する。
以下、図6を参照しながら、対話プロトコルの中で証明者アルゴリズムP及び検証者アルゴリズムVにより実行される処理について説明する。この対話プロトコルの中で、証明者は、秘密鍵sの情報を検証者に一切漏らさずに、「自身がy=F(s)を満たすsを知っていること」を検証者に示す。一方、検証者は、証明者がy=F(s)を満たすsを知っているか否かを検証する。なお、公開鍵pkは、検証者に公開されているものとする。また、秘密鍵sは、証明者により秘密に管理されているものとする。以下、図6に示したフローチャートに沿って説明を進める。
図6に示すように、まず、証明者アルゴリズムPは、ランダムにベクトルr0∈Kn、t0∈Kn、e0∈Kmを生成する。次いで、証明者アルゴリズムPは、r1←s-r0を計算する。この計算は、秘密鍵sをベクトルr0によりマスクする操作に相当する。次いで、証明者アルゴリズムPは、ベクトルr0,t0,e0のハッシュ値c0を生成する。つまり、証明者アルゴリズムPは、c0←H(r0,t0,e0)を計算する。次いで、証明者アルゴリズムPは、G(t0,r1)+e0及びr1のハッシュ値c1を生成する。つまり、証明者アルゴリズムPは、c0←H(r1,G(t0,r1)+e0)を計算する。工程#1で生成されたメッセージ(c0,c1)は、検証者アルゴリズムVに送られる。
メッセージ(c0,c1)を受け取った検証者アルゴリズムVは、q通り存在する環Kの元からランダムに1つの数ChAを選択し、選択した数ChAを証明者アルゴリズムPに送る。
数ChAを受け取った証明者アルゴリズムPは、t1←ChA・r0-t0を計算する。さらに、証明者アルゴリズムPは、e1←ChA・F(r0)-e0を計算する。そして、証明者アルゴリズムPは、t1及びe1を検証者アルゴリズムVに送る。
t1及びe1を受け取った検証者アルゴリズムVは、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムVは、検証パターンの種類を表す2つの数値{0,1}の中から1つの数値を選択し、選択した数値を要求ChBに設定する。この要求ChBは証明者アルゴリズムPに送られる。
要求ChBを受け取った証明者アルゴリズムPは、受け取った要求ChBに応じて検証者アルゴリズムVに送り返す返答Rspを生成する。ChB=0の場合、証明者アルゴリズムPは、返答Rsp=r0を生成する。ChB=1の場合、証明者アルゴリズムPは、返答Rsp=r1を生成する。工程#5で生成された返答Rspは、検証者アルゴリズムVに送られる。
返答Rspを受け取った検証者アルゴリズムVは、受け取った返答Rspを利用して以下の検証処理を実行する。
次に、図7を参照しながら、図6に示した5パス方式のアルゴリズムを並列化する方法について説明する。なお、鍵生成アルゴリズムGenの構成については説明を省略する。
図7に示すように、まず、証明者アルゴリズムPは、i=1~Nについて処理(1)~処理(4)を実行する。
処理(1):証明者アルゴリズムPは、ランダムにベクトルr0i,t0i∈Kn及びe0i∈Kmを生成する。
処理(2):証明者アルゴリズムPは、r1i←s-r0iを計算する。この計算は、秘密鍵sをベクトルr0iによりマスクする操作に相当する。
処理(3):証明者アルゴリズムPは、c0i←H(r0i,t0i,e0i)を計算する。
処理(4):証明者アルゴリズムPは、c1i←H(r1i,G(t0i,r1i)+e0i)を計算する。
i=1~Nについて処理(1)~処理(4)を実行した後、証明者アルゴリズムPは、ハッシュ値Cmt←H(c01,c11,…,c0N,c1N)を実行する。そして、工程#1で生成されたハッシュ値Cmtは、検証者アルゴリズムVに送られる。
ハッシュ値Cmtを受け取った検証者アルゴリズムVは、i=1~Nのそれぞれについて、q通り存在する環Kの元からランダムに1つの数ChAiを選択し、選択した数ChAi(i=1~N)を証明者アルゴリズムPに送る。
数ChAi(i=1~N)を受け取った証明者アルゴリズムPは、i=1~Nのそれぞれについて、t1i←ChAi・r0i-t0iを計算する。さらに、証明者アルゴリズムPは、i=1~Nのそれぞれについて、e1i←ChAi・F(r0i)-e0iを計算する。次いで、証明者アルゴリズムPは、ハッシュ値d←H(t11,e11,…,t1N,e1N)を計算する。そして、証明者アルゴリズムPは、ハッシュ値dを検証者アルゴリズムVに送る。
ハッシュ値dを受け取った検証者アルゴリズムVは、i=1~Nのそれぞれについて、2つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムVは、検証パターンの種類を表す2つの数値{0,1}の中から1つの数値を選択し、選択した数値を要求ChBiに設定する。要求ChBi(i=1~N)は証明者アルゴリズムPに送られる。
要求ChBi(i=1~N)を受け取った証明者アルゴリズムPは、i=1~Nについて、受け取った要求ChBiに応じて検証者アルゴリズムVに送り返す返答Rspiを生成する。ChBi=0の場合、証明者アルゴリズムPは、返答Rspi=(r0i,t0i,e0i,c1i)を生成する。ChBi=1の場合、証明者アルゴリズムPは、返答Rspi=(r1i,t1i,e1i,c0i)を生成する。工程#5で生成された返答Rspi(i=1~N)は、検証者アルゴリズムVに送られる。
返答Rspi(i=1~N)を受け取った検証者アルゴリズムVは、受け取った返答Rspi(i=1~N)を利用して以下の処理(1)及び処理(2)を実行する。
次に、上記の公開鍵認証方式を電子署名方式へと変形する方法を紹介する。
まず、3パスの公開鍵認証方式から電子署名方式への変形について説明する。
まず、署名生成アルゴリズムSigの構成について述べる。署名生成アルゴリズムSigは、以下の処理(1)~処理(5)で構成される。
処理(2):署名生成アルゴリズムSigは、Cmt←H(c01,c11,c21,…,c0N,c1N,c2N)を計算する。
処理(3):署名生成アルゴリズムSigは、(Ch1,…,ChN)←H(M,Cmt)を計算する。このMは、署名を付与する文書である。
処理(4):署名生成アルゴリズムSigは、Rspi←Select(Chi,ai)を計算する。
処理(5):署名生成アルゴリズムSigは、(Cmt,Rsp1,…,RspN)を署名に設定する。
次に、署名検証アルゴリズムVerの構成について述べる。署名検証アルゴリズムVerは、以下の処理(1)~処理(3)で構成される。
処理(2):署名検証アルゴリズムVerは、Ch1,…,ChN及びRsp1,…,RspNを用いてc01,c11,c21,…,c0N,c1N,c2Nを生成する。
処理(3):署名検証アルゴリズムVerは、再生したc01,c11,c21,…,c0N,c1N,c2Nを用いてCmt=H(c01,c11,c21,…,c0N,c1N,c2N)を検証する。
次に、5パスの公開鍵認証方式から電子署名方式への変形について説明する。
まず、署名生成アルゴリズムSigの構成について述べる。署名生成アルゴリズムSigは、以下の処理(1)~処理(7)で構成される。
処理(2):署名生成アルゴリズムSigは、Cmt←H(c01,c11,…,c0N,c1N)を計算する。
処理(3):署名生成アルゴリズムSigは、(ChA1,…,ChAN)←H(M,Cmt)を計算する。このMは、署名を付与する文書である。
処理(4):署名生成アルゴリズムSigは、i=1~Nについて、bi=(t1i,e1i)を生成する。さらに、署名生成アルゴリズムSigは、d=H(t11,e11,…,t1N,e1N)を算出する。
処理(5):署名生成アルゴリズムSigは、(ChB1,…,ChBN)←H(M,Cmt,ChA1,…,ChAN,d)を計算する。なお、(ChB1,…,ChBN)←H(ChA1,…,ChAN,d)と変形してもよい。
処理(6):署名生成アルゴリズムSigは、Rspi←Select(ChBi,ai,bi)を計算する。
処理(7):署名生成アルゴリズムSigは、(Cmt,d,Rsp1,…,RspN)を電子署名に設定する。
次に、署名検証アルゴリズムVerの構成について述べる。署名検証アルゴリズムVerは、以下の処理(1)~処理(4)で構成される。
処理(2):署名検証アルゴリズムVerは、(ChB1,…,ChBN)←H(M,Cmt,ChA1,…,ChAN,d)を計算する。なお、署名検証アルゴリズムVerが実行する処理(5)において、(ChB1,…,ChBN)←H(ChA1,…,ChAN,d)と変形した場合、署名検証アルゴリズムVerは、(ChB1,…,ChBN)←H(ChA1,…,ChAN,d)を計算する。
処理(3):署名検証アルゴリズムVerは、ChA1,…,ChAN,ChB1,…,ChBN,Rsp1,…,RspNを用いてt11,e11,…,t1N,e1N,c01,c11,…,c0N,c1Nを生成する。
処理(4):署名検証アルゴリズムVerは、再生したc01,c11,…,c0N,c1Nを用いてCmt=H(c01,c11,…,c0N,c1N)及びd=H(t11,e11,…,t1N,e1N,)を検証する。
ところで、上述した電子署名方式のアルゴリズムにおいては、署名検証アルゴリズムVerが電子署名全体を受信した後で署名検証の処理を実行していた。しかし、上述した電子署名方式の場合、電子署名のデータサイズが比較的大きい。そのため、RFID(Radio Frequency IDentification)など、少ないメモリ容量しか持たないデバイスを用いて認証を行う場合には、メモリの空き容量や認証処理中のメモリ使用率などに気を配る必要があった。また、十分なメモリ容量を持たないデバイスを利用する場合、認証を行うことができない場合も想定される。そこで、本件発明者は、署名検証に要するメモリ量の削減方法を考案した。
まず、本件発明者は、ハッシュ関数の構造に注目した。多くの場合、ハッシュ関数は、入力をブロック単位に区切り、ブロック単位で順次処理を進める構造を有している。例えば、SHA-1の場合、ハッシュ関数は、図10に示すような構造を有している。図10に示すハッシュ関数は、パディング済みの入力MをZ個のブロックm1,…,mZに区切り、インデックスjをインクリメントしながら、逐次的に、ブロックmjを初期値IV又は中間値CVjと共に所定の関数CFに作用させてハッシュ値を生成する。従って、中間値CVjが得られた時点で、それ以前に利用したブロックは不要になる。そこで、この特性を利用し、アルゴリズムの実行に必要なメモリ量を効果的に削減する仕組み(以下、メモリ削減方法)を考案した。以下、この仕組みを上述した電子署名方式に適用する方法について説明する。
まず、図8に示した3パス方式に基づく電子署名方式のアルゴリズムに上記のメモリ削減方法を適用する方法について説明する。
通常、上述した電子署名方式に係る署名検証アルゴリズムVerは、図11に示すように、電子署名を構成する(Cmt,Rsp1,…,RspN)を1度に受信する(S101)。次いで、署名検証アルゴリズムVerは、(Ch1,…,ChN)←H(M,Cmt)を実行する(S102)。次いで、署名検証アルゴリズムVerは、(c01,c11,c21,…,c0N,c1N,c2N)←Reproduce(Ch1,…,ChN;Rsp1,…,RspN)を実行する(S103)。次いで、署名検証アルゴリズムVerは、Cmt=H(c01,c11,c21,…,c0N,c1N,c2N)を検証し(S104)、署名検証に係る一連の処理を終了する。
通常の実装方法の場合、図11のステップS101のように、一度に電子署名を受信すると、ステップS103の処理が完了するまで(Rsp1,…,RspN)を保持しておくためのメモリが必要になる。しかし、図5のアルゴリズム構成から分かるように、ステップS103で実行する(c0i,c1i,c2i)の再生には(Chi;Rspi)以外の情報を利用しない。また、図10に示したハッシュ関数の構造を考慮すると、ステップS104において実行されるハッシュ関数の計算はブロック単位で分割して実行できることが分かる。そこで、署名検証に係る処理の構成を図12に示すような構成に改良する。
処理(2):
for i=1 to N
tmpi←Hi(tmpi-1;c0i,c1i,c2i)
end for
処理(3):output tmpN
次に、図9に示した5パス方式に基づく電子署名方式のアルゴリズムに上記のメモリ削減方法を適用する方法について説明する。
通常、上述した電子署名方式に係る署名検証アルゴリズムVerは、図13に示すように、電子署名を構成する(Cmt,d,Rsp1,…,RspN)を1度に受信する(S121)。次いで、署名検証アルゴリズムVerは、(ChA1,…,ChAN)←H(M,Cmt)を実行する(S122)。次いで、署名検証アルゴリズムVerは、(ChB1,…,ChBN)←H(M,Cmt,ChA1,…,ChAN,d)を実行する(S123)。次いで、署名検証アルゴリズムVerは、(c01,c11,…,c0N,c1N,d11,e11,…,d1N,e1N)←Reproduce(ChA1,…,ChAN,ChB1,…,ChBN;Rsp1,…,RspN)を実行する(S124)。次いで、署名検証アルゴリズムVerは、Cmt=H(c01,c11,…,c0N,c1N)とd=H(d11,e11,…,d1N,e1N)を検証し(S125)、署名検証に係る一連の処理を終了する。
図13のステップS121のように、一度に電子署名を受信すると、ステップS124の処理が完了するまで(Rsp1,…,RspN)を保持しておくためのメモリが必要になる。しかしながら、図7のアルゴリズム構成から分かるように、ステップS124で実行する(c0i,c1i,d1i,e1i)の再生には(ChAi,ChBi;Rspi)以外の情報を利用しない。また、図10に示したハッシュ関数の構造を考慮すると、ステップS125において実行されるハッシュ関数の計算はブロック単位で分割して実行できることが分かる。そこで、署名検証に係る処理の構成を図14に示すような構成に改良する。
ところで、3パス方式に基づく公開鍵認証方式のアルゴリズムにおいて、3進数の一様乱数をN個以上生成する場面が存在する。しかし、3進数の一様乱数を生成する優れた乱数生成器は一般的ではない。そのため、2進数の一様乱数を生成する優れた乱数生成器を用いて3進数の一様乱数を生成する方法を考える必要がある。そこで、本件発明者は、2進数の一様乱数から3進数の一様乱数を効率的に生成する方法を考案した。以下、この方法について詳細に説明する。なお、以下の説明において、l進表現(lは2又は3)で表された1つの数を1シンボルと数えることにする。
まず、図15を参照しながら、Mビットの2進数を2ビットずつ区切って3進数を抽出する方法(以下、抽出方法#1)を紹介する。図15に示すように、2進表現の乱数列を2ビットずつ区切ると、M/2個の2ビットの乱数が得られる。例えば、「00」を3進数の「0」、「01」を3進数の「1」、「10」を3進数の「2」に対応付けると、2ビット単位の2進表現の乱数列から3進数の乱数列を得ることができる。但し、2ビットの値「11」は除外する。つまり、抽出方法#1は、2進数2シンボルで表現される22通りの数の中から、3進数1シンボルで表現される31通りの数を抽出する方法である。従って、N個以上の3進数が抽出できない確率P1は、下記の式(13)のようになる。
次に、図16を参照しながら、2進数Mシンボルの乱数を区切らずに利用して3進数Lシンボルの乱数を抽出する方法(以下、抽出方法#2)を紹介する。但し、Lは、3L≦2Mとなる最大の整数である。2進数Mシンボルで表現可能な数は、2M通り存在する。一方、3進数Lシンボルで表現可能な数は、3L通りしか存在しない。そのため、2進数Mシンボルで表現される2M通りの数のうち、2M-3L通りの数は、3進表現の乱数として利用されない。従って、N個以上の3進数が抽出できない確率P2は、下記の式(14)のようになる。
上記の抽出方法#1は、最小の区切り単位で2進表現の乱数列を区切る方法である。一方、上記の抽出方法#2は、(Mビット区切りと考えられるため)最大の区切り単位で2進表現の乱数列を区切る方法である。上記の式(13)及び式(14)から分かるように、区切る長さに応じて、N個以上の3進数が抽出できない確率は異なる。因みに、図17に示すように、kビット単位で2進Mシンボルの乱数列を区切った場合、N個以上の3進数が抽出できない確率P3は、下記の式(15)のようになる。
ここで、図18を参照しながら、2進Mシンボルの乱数列から3進Lシンボルの乱数列を抽出する処理の流れについて説明する。図18に示すように、まず、2進Mシンボルの乱数列が生成される(S201)。次いで、2進Mシンボルの乱数列が、kビット単位に区切られる(S202)。次いで、kビット単位で区切られたビット列X2kのうち、X2k≦3Lとなるビット列が抽出される(S203)。次いで、抽出されたビット列が、3進数表現で出力され(S204)、一連の処理が終了する。
上記の式(15)で表現される確率P3が最小となる区切りの長さkを算出し、図18に示したアルゴリズムを実行することにより、2進表現の乱数列から3進表現の乱数列を効率的に抽出することが可能になる。しかし、本件発明者は、図18のステップS204においてX2k>3Lとなるビット列が利用されない点に注目し、3進表現の乱数列をより効率的に抽出する方法を考案した。以下、この方法について、図19を参照しながら説明する。
さて、これまでは多変数多項式を証明者(又は署名者)と検証者との間で共有する方法について具体的に明示してこなかった。多変数多項式を共有する方法としては、多変数多項式の係数(乱数)を生成する際に用いるシードを両者で共有する方法が考えられる。しかしながら、共有しているシードを利用して生成した乱数を係数に当てはめる順序を両者で共有しない限り、多変数多項式を共有したことにはならない。
そこで、証明者(又は署名者)と検証者との間で、共有しているシードを用いて生成した乱数列を、どの順序で多変数多項式に当てはめるかについて基本的な取り決めを行う。そして、多変数多項式を利用する際に、この基本的な取り決めに従って乱数列を多変数多項式に当てはめる。このような方法を用いれば、証明者(又は署名者)と検証者との間で多変数多項式を共有したことになる。
但し、多変数多項式を構成する係数の数は膨大である。1つの係数が1ビット単位で表現されている場合、多変数多項式を表現するのに最低でも数万ビット以上のデータが必要になる。そのため、数を多変数多項式の係数に代入する処理の負荷は非常に高い。そこで、本件発明者は、多変数多項式の係数を所定の単位で構造化し、係数への代入処理を効率化する手法(構造化手法#1及び#2)を考案した。さらに、本件発明者は、同じ多変数多項式の係数に対して複数回の代入処理を実行する場合に、その処理効率を向上させる手法(構造化手法#3)を考案した。以下、これらの手法について詳細に説明する。
まず、構造化手法#1について説明する。構造化手法#1は、図20に示すように、多変数多項式を構成する同じ種類の項の係数を1つのデータ構造として纏める手法である。図20の例では、係数a1IJ~amIJがデータ構造Aとして纏められ、係数b1I~bmIがデータ構造Bとして纏められている。
for L=1 to M
for I=1 to N
for J=I to N
[fのLビット目]^=[aIJL]&[xのIビット目]&[xのJビット目];
end for
end for
end for
output f;
for I=1 to N
for J=I to N
[fの1~Mビット目]^=[aIJ(1~M)]&[xのIビット目]&[xのJビット目];
end for
end for
output f;
for I=1 to N/k
for J=I to N/k
[fの1~Mビット目]^=aIJ(1~M)[xのk(I-1)+1~kビット目][xのk(J-1)+1~kビット目];
end for
end for
output f;
次に、構造化手法#2について説明する。構造化手法#2は、図21に示すように、多変数多項式を2次形式で表現し、2次形式の行又は列を1つのデータ構造として纏める手法である。図21の例では、行方向にデータ構造が纏められている。
for I=1 to N
T^=AI&[xのIビット目];
end for
T&=x;
output Q(T);
z=z^(z>>1);
z=z^(z>>2);
z=z^(z>>4);
z=z^(z>>8);
・・・
z=z^(z>>2Log(N));
return z&1;
}
for I=1 to N/k
T^=AI[xのk(I-1)+1~k(I-1)+kビット目];
end for
T&=x;
output Q(T);
次に、構造化手法#3について説明する。構造化手法#3は、同じ多変数多項式にN回(N≧2)代入処理を行なう場合に、乱数から多項式をN回生成して代入処理を行うのではなく、「係数を一部生成し、その部分に関するN回分の処理を行なう」部分を単位とする逐次的な処理をN回分並列して行なうという手法である。この手法を適用すると、乱数生成のコストが無視できない場合にN回分の処理全体でのスループットが改善される。
上記の各アルゴリズムは、例えば、図22に示す情報処理装置のハードウェア構成を用いて実行することが可能である。つまり、当該各アルゴリズムの処理は、コンピュータプログラムを用いて図22に示すハードウェアを制御することにより実現される。なお、このハードウェアの形態は任意であり、例えば、パーソナルコンピュータ、携帯電話、PHS、PDA等の携帯情報端末、ゲーム機、接触式又は非接触式のICチップ、接触式又は非接触式のICカード、又は種々の情報家電がこれに含まれる。但し、上記のPHSは、Personal Handy-phone Systemの略である。また、上記のPDAは、Personal Digital Assistantの略である。
最後に、本技術の実施形態に係る技術内容について簡単に纏める。ここで述べる技術内容は、例えば、PC、携帯電話、ゲーム機、情報端末、情報家電、カーナビゲーションシステム等、種々の情報処理装置に対して適用することができる。なお、以下で述べる情報処理装置の機能は、1台の情報処理装置を利用して実現することも可能であるし、複数台の情報処理装置を利用して実現することも可能である。また、以下で述べる情報処理装置が処理を実行する際に用いるデータ記憶手段及び演算処理手段は、当該情報処理装置に設けられたものであってもよいし、ネットワークを介して接続された機器に設けられたものであってもよい。
Mビット(M≧2)の2進数で表現される2進乱数列を生成する2進乱数生成部と、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成する3進数列生成部と、
を備え、
前記3進数列生成部は、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
情報処理装置。
N個の3進数を生成する場合、前記3進数列生成部は、上記の式(15)で表現される確率P3が所定値よりも小さくなるkに基づいて前記3進数列を生成する、
上記(1)に記載の情報処理装置。
前記3進数列生成部は、前記確率Pが最小となるkに基づいて前記3進数列を生成する、
上記(2)に記載の情報処理装置。
前記3進数列生成部は、X'>3Lを満たす前記kビットの2進数列X'から3Lを減算して新たなkビットの2進数列Yを生成し、当該kビットの2進数列Yの中から、Y'≦3L'(但し、L'は3L'≦2k-3Lを満たす最大の整数)を満たす前記kビットの2進数列Y'を前記L'シンボルの3進数で表現して3進数列を更に生成する、
上記(1)~(3)のいずれか1項に記載の情報処理装置。
前記3進数列生成部は、
L(0)=Lに設定し、インデックスjを0から順に更新しつつ、
Xj>3L(j)を満たす前記kビットの2進数列Xjから3L(j)を減算して新たなkビットの2進数列Yjを生成する処理と、
前記kビットの2進数列Yjの中から、Yj+1≦3L(j+1)(但し、L(j+1)は3L(j+1)≦2k-3L(j)を満たす最大の整数)を満たす前記kビットの2進数列Yj+1を前記L(j+1)シンボルの3進数で表現して3進数列を更に生成する処理と、
を繰り返し実行する、
上記(1)~(3)のいずれか1項に記載の情報処理装置。
環K上で定義される多次多変数多項式の組F=(f1,…,fm)及びベクトルy=(y1,…,ym)=(f1(s),…,fm(s))を保持する情報保持部と、
前記多次多変数多項式の組F及びベクトルs∈Knに基づいて生成されたメッセージを取得するメッセージ取得部と、
前記メッセージを提供した証明者に対し、3通りの検証パターンの中からランダムに選択した1つの検証パターンの情報を提供するパターン情報提供部と、
前記選択した検証パターンに対応する回答情報を前記証明者から取得する回答取得部と、
前記メッセージ、前記多次多変数多項式の組F、前記ベクトルy、及び前記回答情報に基づいて前記証明者が前記ベクトルsを保持しているか否かを検証する検証部と、
を備え、
前記ベクトルsは秘密鍵であり、
前記多次多変数多項式の組F及び前記ベクトルyは公開鍵であり、
前記メッセージは、前記公開鍵及び前記回答情報を利用して、当該回答情報に対応する検証パターン用に予め用意された演算を実行することで得られる情報であり、
前記2進乱数列から生成された3進数は、前記1つの検証パターンを選択する際に利用される、
上記(1)~(5)のいずれか1項に記載の情報処理装置。
Mビット(M≧2)の2進数で表現される2進乱数列を生成するステップと、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成するステップと、
を含み、
前記3進数列を生成するステップでは、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
情報処理方法。
Mビット(M≧2)の2進数で表現される2進乱数列を出力する2進乱数生成機能と、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成する3進数列生成機能と、
をコンピュータに実現させるためのプログラムであり、
前記3進数列生成機能は、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
プログラム。
Mビット(M≧2)の2進数で表現される2進乱数列を出力する2進乱数生成機能と、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成する3進数列生成機能と、
をコンピュータに実現させるためのプログラムが記録された、コンピュータにより読み取り可能な記録媒体であり、
前記3進数列生成機能は、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
記録媒体。
上記の証明者アルゴリズムPは、乱数生成部、メッセージ生成部、メッセージ提供部、回答提供部、中間情報生成部、中間情報提供部の一例である。また、上記の署名生成アルゴリズムSigは、乱数生成部、署名生成部、署名提供部の一例である。
P 証明者アルゴリズム
V 検証者アルゴリズム
Sig 署名生成アルゴリズム
Ver 署名検証アルゴリズム
Claims (9)
- Mビット(M≧2)の2進数で表現される2進乱数列を生成する2進乱数生成部と、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成する3進数列生成部と、
を備え、
前記3進数列生成部は、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
情報処理装置。 - 前記3進数列生成部は、前記確率Pが最小となるkに基づいて前記3進数列を生成する、
請求項2に記載の情報処理装置。 - 前記3進数列生成部は、X'>3Lを満たす前記kビットの2進数列X'から3Lを減算して新たなkビットの2進数列Yを生成し、当該kビットの2進数列Yの中から、Y'≦3L'(但し、L'は3L'≦2k-3Lを満たす最大の整数)を満たす前記kビットの2進数列Y'を前記L'シンボルの3進数で表現して3進数列を更に生成する、
請求項1に記載の情報処理装置。 - 前記3進数列生成部は、
L(0)=Lに設定し、インデックスjを0から順に更新しつつ、
Xj>3L(j)を満たす前記kビットの2進数列Xjから3L(j)を減算して新たなkビットの2進数列Yjを生成する処理と、
前記kビットの2進数列Yjの中から、Yj+1≦3L(j+1)(但し、L(j+1)は3L(j+1)≦2k-3L(j)を満たす最大の整数)を満たす前記kビットの2進数列Yj+1を前記L(j+1)シンボルの3進数で表現して3進数列を更に生成する処理と、
を繰り返し実行する、
請求項1に記載の情報処理装置。 - 環K上で定義される多次多変数多項式の組F=(f1,…,fm)及びベクトルy=(y1,…,ym)=(f1(s),…,fm(s))を保持する情報保持部と、
前記多次多変数多項式の組F及びベクトルs∈Knに基づいて生成されたメッセージを取得するメッセージ取得部と、
前記メッセージを提供した証明者に対し、3通りの検証パターンの中からランダムに選択した1つの検証パターンの情報を提供するパターン情報提供部と、
前記選択した検証パターンに対応する回答情報を前記証明者から取得する回答取得部と、
前記メッセージ、前記多次多変数多項式の組F、前記ベクトルy、及び前記回答情報に基づいて前記証明者が前記ベクトルsを保持しているか否かを検証する検証部と、
を備え、
前記ベクトルsは秘密鍵であり、
前記多次多変数多項式の組F及び前記ベクトルyは公開鍵であり、
前記メッセージは、前記公開鍵及び前記回答情報を利用して、当該回答情報に対応する検証パターン用に予め用意された演算を実行することで得られる情報であり、
前記2進乱数列から生成された3進数は、前記1つの検証パターンを選択する際に利用される、
請求項1に記載の情報処理装置。 - Mビット(M≧2)の2進数で表現される2進乱数列を生成するステップと、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成するステップと、
を含み、
前記3進数列を生成するステップでは、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
情報処理方法。 - Mビット(M≧2)の2進数で表現される2進乱数列を出力する2進乱数生成機能と、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成する3進数列生成機能と、
をコンピュータに実現させるためのプログラムであり、
前記3進数列生成機能は、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
プログラム。 - Mビット(M≧2)の2進数で表現される2進乱数列を出力する2進乱数生成機能と、
前記2進乱数列をkビット単位で区切ってkビットの2進数列を生成し、前記kビットの2進数列をLシンボル(但し、Lは3L≦2Mを満たす最大の整数)の3進数で表現して3進数列を生成する3進数列生成機能と、
をコンピュータに実現させるためのプログラムが記録された、コンピュータにより読み取り可能な記録媒体であり、
前記3進数列生成機能は、X≦3Lを満たす前記kビットの2進数列Xを前記Lシンボルの3進数で表現して3進数列を生成する、
記録媒体。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020147003782A KR20140054059A (ko) | 2011-08-29 | 2012-07-19 | 정보 처리 장치, 정보 처리 방법, 프로그램 및 기록 매체 |
US14/237,794 US20140211940A1 (en) | 2011-08-29 | 2012-07-19 | Information processing apparatus, information processing method, program, and recording medium |
CN201280040701.7A CN103782332A (zh) | 2011-08-29 | 2012-07-19 | 信息处理设备、信息处理方法、程序以及记录介质 |
EP12828489.0A EP2752837A4 (en) | 2011-08-29 | 2012-07-19 | INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD, PROGRAM, AND RECORDING MEDIUM |
RU2014106522/08A RU2014106522A (ru) | 2011-08-29 | 2012-07-19 | Устройство обработки информации, способ обработки информации, программа носитель информации |
BR112014004059A BR112014004059A2 (pt) | 2011-08-29 | 2012-07-19 | aparelho de processamento de informação, método de processamento de informação, programa, e, mídia de gravação |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011185945A JP2013047727A (ja) | 2011-08-29 | 2011-08-29 | 情報処理装置、情報処理方法、プログラム、及び記録媒体 |
JP2011-185945 | 2011-08-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2013031413A1 true WO2013031413A1 (ja) | 2013-03-07 |
Family
ID=47755921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2012/068322 WO2013031413A1 (ja) | 2011-08-29 | 2012-07-19 | 情報処理装置、情報処理方法、プログラム、及び記録媒体 |
Country Status (9)
Country | Link |
---|---|
US (1) | US20140211940A1 (ja) |
EP (1) | EP2752837A4 (ja) |
JP (1) | JP2013047727A (ja) |
KR (1) | KR20140054059A (ja) |
CN (1) | CN103782332A (ja) |
BR (1) | BR112014004059A2 (ja) |
RU (1) | RU2014106522A (ja) |
TW (1) | TW201310957A (ja) |
WO (1) | WO2013031413A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5790288B2 (ja) * | 2011-08-12 | 2015-10-07 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003535377A (ja) * | 2000-06-01 | 2003-11-25 | タオ グループ リミテッド | 疑似乱数発生器 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004226852A (ja) * | 2003-01-24 | 2004-08-12 | Sony Corp | 擬似乱数生成装置 |
JP2006080642A (ja) * | 2004-09-07 | 2006-03-23 | Sony Corp | 情報処理装置および方法、プログラム並びに記録媒体 |
JP2006215824A (ja) * | 2005-02-03 | 2006-08-17 | Sanyo Electric Co Ltd | 乱数生成回路 |
JP4398904B2 (ja) * | 2005-06-21 | 2010-01-13 | 株式会社東芝 | 乱数系列生成装置、乱数系列生成方法、演算処理装置、演算処理方法及びプログラム |
JP4586163B2 (ja) * | 2005-09-09 | 2010-11-24 | 国立大学法人岩手大学 | 暗号化システム |
JP6069852B2 (ja) * | 2011-08-29 | 2017-02-01 | ソニー株式会社 | 情報処理装置、情報処理方法、及びプログラム |
JP5790319B2 (ja) * | 2011-08-29 | 2015-10-07 | ソニー株式会社 | 署名検証装置、署名検証方法、プログラム、及び記録媒体 |
JP6041133B2 (ja) * | 2012-06-08 | 2016-12-07 | パナソニックIpマネジメント株式会社 | 画像処理装置、画像処理方法、画像処理プログラムおよびチップ回路 |
-
2011
- 2011-08-29 JP JP2011185945A patent/JP2013047727A/ja active Pending
-
2012
- 2012-07-19 EP EP12828489.0A patent/EP2752837A4/en not_active Withdrawn
- 2012-07-19 RU RU2014106522/08A patent/RU2014106522A/ru not_active Application Discontinuation
- 2012-07-19 WO PCT/JP2012/068322 patent/WO2013031413A1/ja active Application Filing
- 2012-07-19 CN CN201280040701.7A patent/CN103782332A/zh active Pending
- 2012-07-19 BR BR112014004059A patent/BR112014004059A2/pt not_active IP Right Cessation
- 2012-07-19 KR KR1020147003782A patent/KR20140054059A/ko not_active Application Discontinuation
- 2012-07-19 US US14/237,794 patent/US20140211940A1/en not_active Abandoned
- 2012-08-03 TW TW101127902A patent/TW201310957A/zh unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003535377A (ja) * | 2000-06-01 | 2003-11-25 | タオ グループ リミテッド | 疑似乱数発生器 |
Non-Patent Citations (5)
Title |
---|
JACQUES PATARIN: "Asymmetric Cryptography with a Hidden Monomial", CRYPTO, 1996, pages 45 - 60, XP019194414 |
KOICHI SAKUMOTO ET AL.: "Public-Key Identification Schemes based on Multivariate Quadratic Polynomials", 18 August 2011 (2011-08-18), XP019161037, Retrieved from the Internet <URL:http://www.iacr.org/cryptodb/archive/2011/CRYPTO/presentation/13-1-Sakumoto.pdf> [retrieved on 20120806] * |
KOICHI SAKUMOTO ET AL.: "Public-Key Identification Schemes Based on Multivariate Quadratic Polynomials", ADVANCES IN CRYPTOLOGY-CRYPTO 2011 31ST ANNUAL CRYPTOLOGY CONFERENCE, vol. 6841, 6 August 2011 (2011-08-06), SANTA BARBARA, CA, USA, pages 706 - 723, XP019161037 * |
PATARIN, J.; COURTOIS, N.; GOUBIN, L: "Topics in Cryptology - CT-RSA 2001", vol. 2020, April 2001, SPRINGER-VERLAG, article "QUARTZ, 128-Bit Long Digital Signatures", pages: 282 - 297 |
See also references of EP2752837A4 |
Also Published As
Publication number | Publication date |
---|---|
EP2752837A4 (en) | 2015-10-14 |
BR112014004059A2 (pt) | 2017-03-07 |
EP2752837A1 (en) | 2014-07-09 |
RU2014106522A (ru) | 2015-08-27 |
CN103782332A (zh) | 2014-05-07 |
US20140211940A1 (en) | 2014-07-31 |
JP2013047727A (ja) | 2013-03-07 |
KR20140054059A (ko) | 2014-05-08 |
TW201310957A (zh) | 2013-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5790319B2 (ja) | 署名検証装置、署名検証方法、プログラム、及び記録媒体 | |
JP6069852B2 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
JP5593850B2 (ja) | 認証装置、認証方法、プログラム、及び署名生成装置 | |
JP5790318B2 (ja) | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム | |
JP2014068140A (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5790289B2 (ja) | 情報処理装置、情報処理方法、プログラム、及び記録媒体 | |
JP5790287B2 (ja) | 情報処理装置、情報処理方法、プログラム、及び記録媒体 | |
WO2013129084A1 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
JP5790291B2 (ja) | 情報処理装置、署名提供方法、署名検証方法、プログラム、及び記録媒体 | |
WO2013129119A1 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
JP5790286B2 (ja) | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム | |
WO2013031413A1 (ja) | 情報処理装置、情報処理方法、プログラム、及び記録媒体 | |
WO2013031420A1 (ja) | 情報処理装置、署名生成装置、署名検証装置、情報処理方法、署名生成方法、及び署名検証方法 | |
WO2013024633A1 (ja) | 情報処理装置、及び情報処理方法 | |
WO2013024630A1 (ja) | 情報処理装置、及び情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 12828489 Country of ref document: EP Kind code of ref document: A1 |
|
REEP | Request for entry into the european phase |
Ref document number: 2012828489 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2012828489 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 14237794 Country of ref document: US |
|
ENP | Entry into the national phase |
Ref document number: 20147003782 Country of ref document: KR Kind code of ref document: A |
|
ENP | Entry into the national phase |
Ref document number: 2014106522 Country of ref document: RU Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
REG | Reference to national code |
Ref country code: BR Ref legal event code: B01A Ref document number: 112014004059 Country of ref document: BR |
|
ENP | Entry into the national phase |
Ref document number: 112014004059 Country of ref document: BR Kind code of ref document: A2 Effective date: 20140221 |