WO2020065928A1

WO2020065928A1 - 署名装置、検証装置、署名システム、署名方法、署名プログラム、検証方法及び検証プログラム

Info

Publication number: WO2020065928A1
Application number: PCT/JP2018/036338
Authority: WO
Inventors: 良廣政
Original assignee: 三菱電機株式会社
Priority date: 2018-09-28
Filing date: 2018-09-28
Publication date: 2020-04-02
Also published as: US20210211303A1; CN112740618A; JPWO2020065928A1; JP6818949B2

Abstract

鍵生成装置（１０）は、要素ｓ_１を含む秘密鍵ｓｋと、要素ａと要素ｔ_１とを含む公開鍵ｐｋとのペアを生成する。署名装置（２０）は、メッセージμのハッシュ値ｃと秘密鍵ｓｋの要素ｓ_１とのミドルプロダクトを計算して署名σの要素である署名要素ｚを生成する。また、検証装置（３０）は、署名σの要素である署名要素ｚと公開鍵ｐｋの要素ａとのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算するとともに、署名σの要素であるハッシュ値ｃと公開鍵ｐｋの要素ｔ_１とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、署名σを検証する。

Description

署名装置、検証装置、署名システム、署名方法、署名プログラム、検証方法及び検証プログラム

　この発明は、量子コンピュータを考慮したディジタル署名に関する。

　ディジタル署名は、データの正当性を検証することができる暗号技術である。
　ネットワークを介して通信を行う際には、受け取ったデータが本当に送信者から送られたデータであり、かつ、受け取ったデータが改ざんされていないデータであるというデータの正当性を確かめられるようにする必要がある。送信側でデータに署名を付随させ、受信側でデータに付随する署名を検証することにより、データの正当性を検証することができる。

　格子暗号とは，線形独立な整数ベクトルの線形変換で表されるベクトルの集合である格子を用いて実現される暗号技術である。
　ある格子についての最短ベクトル問題は、その格子に含まれる最も短いベクトルを見つける問題である。格子暗号は、最短ベクトル問題を解くことが量子コンピュータにとっても困難であることを安全性の根拠としているため、格子暗号は、量子コンピュータが実現されたとしても安全であると考えられている暗号方式の１つである。

　効率的な格子暗号は、イデアル格子と呼ばれる特殊な格子の上での最短ベクトル問題を安全性の根拠としている。イデアル格子を定義する多項式である円分多項式の性質より、特定のパラメータにおいては最短ベクトル問題が量子コンピュータによって効率的に解読されることが知られている。

　非特許文献１には、イデアル格子上の最短ベクトル問題を安全性の根拠とした、効率的なディジタル署名方式が示されている。しかし、非特許文献１に示された方法は、特定の円分多項式によって定義される格子上の最短ベクトル問題を安全性の根拠としているため、安全ではない可能性がある。

　非特許文献２には、特定の円分多項式に依存しない格子上の最短ベクトル問題を安全性の根拠とした、効率的なディジタル署名方式が示されている。

Ｌｅｏ　Ｄｕｃａｓ，　Ｅｉｋｅ　Ｋｉｌｔｚ，　Ｔａｎｃｒｅｄｅ　Ｌｅｐｏｉｎｔ，　Ｖａｄｉｍ　Ｌｙｕｂａｓｈｅｖｓｋｙ，　Ｐｅｔｅｒ　Ｓｃｈｗａｂｅ，　Ｇｒｅｇｏｒ　Ｓｅｉｌｅｒ，　ａｎｄ　Ｄａｍｉｅｎ　Ｓｔｅｈｌｅ．　ＣＲＹＳＴＡＬＳ－Ｄｉｌｉｔｈｉｕｍ：　Ａ　Ｌａｔｔｉｃｅ－Ｂａｓｅｄ　Ｄｉｇｉｔａｌ　Ｓｉｇｎａｔｕｒｅ　Ｓｃｈｅｍｅ．　Ｉｎ　ＣＨＥＳ，　ｐａｇｅｓ　２３８－２６８，　２０１８．Ｖａｄｉｍ　Ｌｙｕｂａｓｈｅｖｓｋｙ．　Ｄｉｇｉｔａｌ　Ｓｉｇｎａｔｕｒｅｓ　Ｂａｓｅｄ　ｏｎ　ｔｈｅ　Ｈａｒｄｎｅｓｓ　ｏｆ　Ｉｄｅａｌ　Ｌａｔｔｉｃｅ　Ｐｒｏｂｌｅｍｓ　ｉｎ　ａｌｌ　Ｒｉｎｇｓ．　Ｉｎ　ＡＳＩＡＣＲＹＰＴ，　ｐａｇｅｓ　１９６－２１４，　２０１６．

　非特許文献２で示されているディジタル署名方式は、量子コンピュータがハッシュ関数を計算するような安全性モデルにおいては安全であることが示されていない。格子の上での最短ベクトル問題を安全性の根拠とするディジタル署名方式は、ディジタル署名を生成するためにハッシュ関数を計算している。そのため、厳密な意味での量子コンピュータに対する安全性を考慮するためには、量子コンピュータがハッシュ関数を計算するようなモデルにおいても安全性が示されていることが望ましい。
　この発明は、量子コンピュータに対しても安全性が保証可能なディジタル署名方式を構成可能にすることを目的とする。

　この発明に係る署名装置は、
　メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成する署名生成部と、
　前記署名生成部によって生成された前記署名要素ｚを含む署名σを出力する出力部と
を備える。

　この発明では、メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成する。これにより、量子コンピュータがハッシュ関数を計算するような安全性モデルにおいて安全であることを示すことが可能なディジタル署名方式を構成可能になる。

実施の形態１に係る署名システム１の構成図。実施の形態１に係る鍵生成装置１０の構成図。実施の形態１に係る署名装置２０の構成図。実施の形態１に係る検証装置３０の構成図。実施の形態１に係る鍵生成装置１０の動作のフローチャート。実施の形態１に係る鍵生成処理のフローチャート。実施の形態１に係る署名装置２０の動作のフローチャート。実施の形態１に係る署名生成処理のフローチャート。実施の形態１に係る検証装置３０の動作のフローチャート。変形例１に係る鍵生成装置１０の構成図。変形例１に係る署名装置２０の構成図。変形例１に係る検証装置３０の構成図。

　実施の形態１．

　＊＊＊構成の説明＊＊＊
　図１を参照して、実施の形態１に係る署名システム１の構成を説明する。
　署名システム１は、鍵生成装置１０と、署名装置２０と、検証装置３０とを備える。鍵生成装置１０と、署名装置２０と、検証装置３０とは、インターネットといった通信路４０を介して接続されている。通信路４０は、インターネットに限らず、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）といった他の種別の通信路であってもよい。

　鍵生成装置１０は、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）といったコンピュータである。鍵生成装置１０は、暗号化に利用する公開鍵及び秘密鍵を生成し、通信路４０を介して、秘密鍵を署名装置２０に送信するとともに、公開鍵を検証装置３０に送信する。

　署名装置２０は、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）といったコンピュータである。署名装置２０は、コンピュータ内部に保存されている文書データ等の平文データに対して、保管している秘密鍵で署名を生成することで署名データを生成し、署名データと平文データとを検証装置３０に送信する。

　検証装置３０は、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）といったコンピュータである。検証装置３０は、署名装置２０から受け取った平文データ及び署名データと、鍵生成装置１０から受け取った公開鍵とを用いて、平文データについての署名データの検証結果データを生成する。

　なお、同じコンピュータ内に、鍵生成装置１０と署名装置２０と検証装置３０とのいずれか２つ以上が同時に含まれていてもよい。

　図２を参照して、実施の形態１に係る鍵生成装置１０の構成を説明する。
　鍵生成装置１０は、プロセッサ１１と、メモリ１２と、ストレージ１３と、通信インタフェース１４とのハードウェアを備える。プロセッサ１１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　鍵生成装置１０は、機能構成要素として、受付部１１１と、鍵生成部１１２と、送信部１１３とを備える。鍵生成装置１０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ１３には、鍵生成装置１０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ１１によりメモリ１２に読み込まれ、プロセッサ１１によって実行される。これにより、鍵生成装置１０の各機能構成要素の機能が実現される。
　ストレージ１３は、鍵記憶部１３１の機能を実現する。

　図３を参照して、実施の形態１に係る署名装置２０の構成を説明する。
　署名装置２０は、プロセッサ２１と、メモリ２２と、ストレージ２３と、通信インタフェース２４とのハードウェアを備える。プロセッサ２１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　署名装置２０は、機能構成要素として、受付部２１１と、署名生成部２１２と、出力部２１３とを備える。署名装置２０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ２３には、署名装置２０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ２１によりメモリ２２に読み込まれ、プロセッサ２１によって実行される。これにより、署名装置２０の各機能構成要素の機能が実現される。
　ストレージ２３は、鍵記憶部２３１の機能を実現する。

　図４を参照して、実施の形態１に係る検証装置３０の構成を説明する。
　検証装置３０は、プロセッサ３１と、メモリ３２と、ストレージ３３と、通信インタフェース３４とのハードウェアを備える。プロセッサ３１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　検証装置３０は、機能構成要素として、受付部３１１と、検証部３１２とを備える。検証装置３０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ３３には、検証装置３０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ３１によりメモリ３２に読み込まれ、プロセッサ３１によって実行される。これにより、検証装置３０の各機能構成要素の機能が実現される。
　ストレージ３３は、鍵記憶部３３１と、結果記憶部３３２との機能を実現する。

　プロセッサ１１，２１，３１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１，２１，３１は、具体例としては、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　メモリ１２，２２，３２は、データを一時的に記憶する記憶装置である。メモリ１２，２２，３２は、具体例としては、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　ストレージ１３，２３，３３は、データを保管する記憶装置である。ストレージ１３，２３，３３は、具体例としては、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。また、ストレージ１３，２３，３３は、ＳＤ（登録商標，Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＣＦ（ＣｏｍｐａｃｔＦｌａｓｈ，登録商標）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）といった可搬記憶媒体であってもよい。

　通信インタフェース１４，２４，３４は、外部の装置と通信するためのインタフェースである。通信インタフェース１４，２４，３４は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）、ＨＤＭＩ（登録商標，Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）のポートである。

　図２では、プロセッサ１１は、１つだけ示されている。しかし、鍵生成装置１０は、プロセッサ１１を代替する複数のプロセッサを備えていてもよい。同様に、署名装置２０は、プロセッサ２１を代替する複数のプロセッサを備えていてもよい。検証装置３０は、プロセッサ３１を代替する複数のプロセッサを備えていてもよい。
　これら複数のプロセッサは、各機能構成要素の機能を実現するプログラムの実行を分担する。それぞれのプロセッサは、プロセッサ１１，２１，３１と同じように、演算処理を行うＩＣである。

　＊＊＊動作の説明＊＊＊
　図５から図９を参照して、実施の形態１に係る署名システム１の動作を説明する。
　実施の形態１に係る署名システム１の動作は、実施の形態１に係る署名方法に相当する。また、実施の形態１に係る署名システム１の動作は、実施の形態１に係る署名プログラムの処理に相当する。

　＊＊準備＊＊
　実施の形態１に係る署名システム１の動作の説明に必要な情報を説明する。
　＜記法＞
　以下の説明で用いる記法を説明する。
　自然数の集合を数１１で表し、整数の集合を数１２で表す。以下、文章中では、自然数の集合をＮと表し、整数の集合をＺと表す。

　任意の整数ａ，ｂに対して、（ａ，ｂ）は、数１３に示す集合を表し、［ａ，ｂ］は、数１４に示す集合を表す。

　任意の正の整数ｄ＞０に対して、［ｄ］は、集合｛１，２，．．．，ｄ｝を表す。

　Ｓをある集合とし、Ｐを集合Ｓ上の確率分布とする。このとき、数１５は、ａ∈Ｓが集合Ｓから一様ランダムに選ばれていることを表す。また、数１６は、ｂ∈Ｓが確率分布Ｐに沿って選ばれていることを表す。

　ｎｅｇｌ（λ）は、自然数λについて無視できる関数の集合を表す。

　＜ディジタル署名＞
　ディジタル署名は、ＫｅｙＧｅｎアルゴリズムと、Ｓｉｇｎアルゴリズムと、Ｖｅｒｉｆｙアルゴリズムとの３つのアルゴリズムからなる。

　ＫｅｙＧｅｎアルゴリズムは、セキュリティパラメータλを入力として、秘密鍵ｓｋと公開鍵ｐｋとのペア（ｓｋ，ｐｋ）を出力する。

　Ｓｉｇｎアルゴリズムは、秘密鍵ｓｋと、メッセージμとを入力として、署名σを出力する。

　Ｖｅｒｉｆｙアルゴリズムは、公開鍵ｐｋと、メッセージμと、署名σとを入力として、署名σがメッセージμの有効な署名であれば１を出力し、そうでなければ０を出力する。

　＜Ｍｉｄｄｌｅ－Ｐｒｏｄｕｃｔ　Ｌｅａｒｎｉｎｇ　Ｗｉｔｈ　Ｅｒｒｏｒｓ（ＭＰＬＷＥ）＞
　ＭＰＬＷＥは、文献（Ｍｉｒｕｍａ　Ｒｏｓｃａ，　Ａｍｉｎ　Ｓａｋｚａｄ，　Ｄａｍｉｅｎ　Ｓｔｅｈｌｅ，　ａｎｄ　Ｒｏｎ　Ｓｔｅｉｎｆｅｌｄ．　Ｍｉｄｄｌｅ－Ｐｒｏｄｕｃｔ　Ｌｅａｒｎｉｎｇ　ｗｉｔｈ　Ｅｒｒｏｒｓ．　Ｉｎ　ＣＲＹＰＴＯ，　ｐａｇｅｓ　２８３-２９７，　２０１７．）に記載されている。

　次数が高々ｋ－１＞０で、係数がＺの多項式の集合をＲ^＜ｋで表し、係数がＺ_ｑの多項式の集合をＲ_ｑ ^＜ｋで表す。多項式ｒのＬ_∞ノルムとＬ_２ノルムとをそれぞれ数１７に示すように表す。

　自然数αに対して、数１８を満たす要素ｗの集合をＳ_α ^＜ｋで表す。

　ある多項式ｒ_０＋ｒ_１ｘ＋．．．＋ｒ_ｋ－１ｘ^ｋ－１∈Ｒ^＜ｋ（または、ｒ∈Ｓ^＜ｋ）に対して、数１９と書く。

　ベクトルｒ∈Ｚ^ｋに対して、ｒ［ｉ：ｊ］（０＜ｉ＜ｊ＜ｋ）は、ｒのｉ番目からｊ番目の係数のベクトルを表す。

　（Ｔｏｅｐｌｉｔｚ行列の定義）
　任意のｄ，ｋ＞０と、ａ∈Ｒ^＜ｋとに対して、ｉ行目（ｉ＝１，．．．，ｄ）がｘ^ｉ－１・ａの係数ベクトルであるようなＲ^{ｄ×（ｋ＋ｄ－１）}の行列をＴｏｅｐ^ｄ，ｋ（ａ）で表し、Ｔｏｅｐｌｉｔｚ行列と呼ぶ。

　（Ｍｉｄｄｌｅ－Ｐｒｏｄｕｃｔの定義）
　ｄ_ａ，ｄ_ｂ，ｄ，ｋをｄ_ａ＋ｄ_ｂ－１＝ｄ＋２ｋを満たす整数とする。数２０に示すＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔの写像は、数２１に示す写像である。

　ここで、ｄ_ａ＋ｄ_ｂ－１－ｄが負でなく、かつ偶数であるような全てのｄ_ａ，ｄ_ｂに対して、数２２に示す記法が用いられる。

　以下のように、Ｍｉｄｄｌｅ－ＰｒｏｄｕｃｔをＴｏｅｐｌｉｔｚ行列を用いて表すことができる。Ｔｏｅｐｌｉｔｚ行列とベクトルとの積はＯ（ｎｌｏｇｎ）で計算することができる。

　（補題１）
　ｄ，ｋ＞０とする。数２３であるとする。

　このとき、数２４が成立する。

　（系１）
　数２４は、数２５のように変換することができる。

　対応する次元をもつ多項式に対して、Ｍｉｄｄｌｅ－Ｐｒｏｄｕｃｔと多項式との積は、結合法則のような以下の性質を満たす。
　（補題２）
　ｄ，ｋ，ｎ＞０とする。全てのｒ∈Ｒ^＜ｋ＋１，ａ∈Ｒ^＜ｎ，ｓ∈Ｒ^{＜ｎ＋ｄ＋ｋ－１}に対して、数２６が成立する。

　補題２と同じ次数を持つ多項式について、Ｍｉｄｄｌｅ－Ｐｒｏｄｕｃｔが部分的に可換性を持つことを多項式の積の可換性から示すことができる。
　（系２）
　補題２と同じｒ∈Ｒ^＜ｋ＋１，ａ∈Ｒ^＜ｎ，ｓ∈Ｒ^{＜ｎ＋ｄ＋ｋ－１}に対して、数２７が成立する。

　（ＭＰＬＷＥ分布の定義）
　ｎ，ｄ＞０、ｑ≧２、χをＲ^＜ｄ上の分布とする。ｓ∈Ｚに対して、Ｚ_ｑ ^＜ｎ［ｘ］×Ｒ_ｑ ^＜ｄ上の分布ＭＰＬＷＥ_{ｑ，ｎ，ｄ，χ}（ｓ）は、数２８に示すように、ａ，ｅをサンプルし、数２９を返す分布である。

　決定性のＭＰＬＷＥ問題の定義を説明する。ＭＰＬＷＥ問題は、ＭＰＬＷＥ分布と一様分布とのどちらの確率分布からサンプルされた要素かを識別する問題である。決定性のＭＰＬＷＥ仮定とは、ＭＰＬＷＥ問題が任意の効率的なアルゴリズムによって解くことが困難であるという仮定である。

　（ＭＰＬＷＥ問題の定義）
　ｎ，ｄ＞０、ｑ≧２、χをＲ^＜ｄ上の分布とする。ＭＰＬＷＥ_{ｎ，ｄ，ｑ，χ}問題は、ＭＰＬＷＥ_{ｎ，ｄ，ｑ，χ}（ｓ）からの任意個のサンプルと、Ｚ_ｑ ^＜ｎ［ｘ］×Ｒ_ｑ ^＜ｄからの同じ個数のサンプルとを識別する問題である。
　任意の攻撃者Ａに対して、ＭＰＬＷＥ_{ｎ，ｄ，ｑ，χ}問題についての攻撃者Ａの優位性は、数３０のように定義される。

　ここで、確率は、数３１と攻撃者の乱数上で取られる。

　任意の確率的多項式時間アルゴリズムＡに対して、ＭＰＬＷＥ_{ｎ，ｄ，ｑ，χ}問題を解くことが困難であるとき、つまり、Ａｄｖ_Ａ ^{ＭＰＬＷＥ}（λ）＝ｎｅｇｌ（λ）であるとき、ＭＰＬＷＥ仮定が成立しているという。

　＜付随アルゴリズム＞
　実施の形態１に係る署名システム１によって実現されるディジタル署名で用いられるアルゴリズムを説明する。

　（記法）
　アルゴリズムで用いられる記法を説明する。
　任意の整数ｒと、任意の偶数（または奇数）である整数α＞０とについて、ｒ’＝ｒ　ｍｏｄ^±　αをｒ’＝ｒ　ｍｏｄ　αを満たす一意の要素ｒ’∈（－α／２，α／２］（整数αが奇数の場合には、ｒ’∈［－（α－１）／２，（α－１）／２））とする。また、ｒ’＝ｒ　ｍｏｄ^＋　αをｒ’＝ｒ　ｍｏｄ　αを満たす一意な整数ｒ’∈［０，α）とする。

　Ｂが真であれば１、そうでなければ０となるビットを数３２で表す。

　（アルゴリズム）
　このアルゴリズムは、文献（Ｌｅｏ　Ｄｕｃａｓ，　Ｅｉｋｅ　Ｋｉｌｔｚ，　Ｔａｎｃｒｅｄｅ　Ｌｅｐｏｉｎｔ，　Ｖａｄｉｍ　Ｌｙｕｂａｓｈｅｖｓｋｙ，　Ｐｅｔｅｒ　Ｓｃｈｗａｂｅ，　Ｇｒｅｇｏｒ　Ｓｅｉｌｅｒ，ａｎｄ　Ｄａｍｉｅｎ　Ｓｔｅｈｌｅ．　ＣＲＹＳＴＡＬＳ　－　Ｄｉｌｉｔｈｉｕｍ：　Ａ　Ｌａｔｔｉｃｅ－ｂａｓｅｄ　Ｄｉｇｉｔａｌ　Ｓｉｇｎａｔｕｒｅ　Ｓｃｈｅｍｅ．　Ｉｎ　ＣＨＥＳ，　ｐａｇｅｓ　２３８-２６８，　２０１８．）に記載されている。
　アルゴリズムは整数上で定義されている。しかし、係数毎にアルゴリズムを適用することで多項式に対しても簡単に一般化することができる。

　（Ｐｒｏｗｅｒ２Ｒｏｕｎｄ_ｑ（ｒ，ｄ）アルゴリズム）
　Ｐｒｏｗｅｒ２Ｒｏｕｎｄ_ｑ（ｒ，ｄ）アルゴリズムは、ｒを２^ｄで区切った上位ビットを出力するアルゴリズムである。
　具体的には、Ｐｒｏｗｅｒ２Ｒｏｕｎｄ_ｑ（ｒ，ｄ）アルゴリズムでは、ｒ：＝ｒ　ｍｏｄ^＋　ｑが計算され、さらにｒ_０：＝ｒ　ｍｏｄ^±　２^ｄが計算される。そして、（ｒ－ｒ_０）／２^ｄが出力される。

　（Ｄｅｃｏｍｐｏｓｅ_ｑ（ｒ，α）アルゴリズム）
　Ｄｅｃｏｍｐｏｓｅ_ｑ（ｒ，α）アルゴリズムは、ｒをαで区切った上位ビットｒ_１と下位ビットｒ_０とを出力するアルゴリズムである。
　具体的には、Ｄｅｃｏｍｐｏｓｅ_ｑ（ｒ，α）アルゴリズムでは、ｒ：＝ｒ　ｍｏｄ^＋　ｑが計算され、さらにｒ_０：＝ｒ　ｍｏｄ^±　αが計算される。もし、ｒ－ｒ_０＝ｑ－１なら、ｒ_１：＝０が設定され、ｒ_０：＝ｒ_０－１が設定される。そうでなければ、ｒ_１：＝（ｒ－ｒ_０）／αが設定される。そして、ｒ_１及びｒ_０が出力される。

　（ＨｉｇｈＢｉｔｓ_ｑ（ｒ，α）アルゴリズム）
　ＨｉｇｈＢｉｔｓ_ｑ（ｒ，α）アルゴリズムは、ｒをαで区切った上位ビットｒ_１を出力するアルゴリズムである。
　具体的には、ＨｉｇｈＢｉｔｓ_ｑ（ｒ，α）アルゴリズムでは、（ｒ_０，ｒ_１）：＝Ｄｅｃｏｍｐｏｓｅ_ｑ（ｒ，α）が計算され、ｒ_１が出力される。

　（ＬｏｗＢｉｔｓ_ｑ（ｒ，α）アルゴリズム）
　ＬｏｗＢｉｔｓ_ｑ（ｒ，α）アルゴリズムは、ｒをαで区切った下位ビットｒ_０を出力するアルゴリズムである。
　具体的には、ＬｏｗＢｉｔｓ_ｑ（ｒ，α）アルゴリズムでは、（ｒ_０，ｒ_１）：＝Ｄｅｃｏｍｐｏｓｅ_ｑ（ｒ，α）が計算され、ｒ_０が出力される。

　（ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）アルゴリズム）
　ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）アルゴリズムは、後述するＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α）アルゴリズムの情報に応じて、ｒ＋ｚの上位ビットを復元する。
　具体的には、ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）アルゴリズムでは、ｍ：＝（ｑ－１）／αが設定され、（ｒ_０，ｒ_１）：＝Ｄｅｃｏｍｐｏｓｅ_ｑ（ｒ，α）が計算される。ｈ＝１かつｒ_０＞０であれば、（ｒ_１＋１）　ｍｏｄ^＋　ｍが出力される。ｈ＝１かつｒ_０≦０であれば、（ｒ_１－１）　ｍｏｄ^＋　ｍが出力される。

　（ＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α）アルゴリズム）
　ＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α）アルゴリズムは、ｒに小さい値ｚを足した場合に、ｒの上位ビットが変化するか否かを示す情報を出力する。
　具体的には、ＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α）アルゴリズムでは、ｒ_１：＝ＨｉｇｈＢｉｔｓ_ｑ（ｒ，α）と、ｖ_１：＝ＨｉｇｈＢｉｔｓ_ｑ（ｒ＋ｚ，α）とが計算される。そして、数３３が出力される。

　（補題３）
　ｑとαとは、ｑ＞２αと、数３４とを満たし、αは偶数である正の整数とする。ｒとｚとはＲ_ｑ ^＜ｎの要素であり、数３５であり、ｈ，ｈ’は二進ベクトルであるとする。

　このとき、ＨｉｇｈＢｉｔｓ_ｑ（ｒ，α）アルゴリズムと、ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）アルゴリズムと、ＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α）アルゴリズムとは、以下の性質を満たす。
　性質１：ＵｓｅＨｉｎｔ_ｑ（ＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α），ｒ，α）＝ＨｉｇｈＢｉｔｓ_ｑ（ｒ＋ｚ，α）である。
　性質２：ｖ_１：＝ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）とすると、数３６となる。

　性質３：任意のｈ，ｈ’に対して、ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）＝ＵｓｅＨｉｎｔ_ｑ（ｈ’，ｒ，α）であれば、ｈ＝ｈ’である。

　（補題４）
　数３７かつ数３８であれば、数３９となる。

　＊＊署名システム１の動作＊＊
　以下では、Ｃは多項式の集合である。要素のＬ_∞ノルムは、１であり、Ｌ_２ノルムは多項式がλビットのｍｉｎ－エントロピーを持つように制限される。また、以下の説明におけるβ、β’、γ、γ’、δは、安全性を考慮して決定される値であり、高い安全性を設定するほど、大きい値が設定される。

　＜鍵生成装置１０の動作＞
　図５を参照して、実施の形態１に係る鍵生成装置１０の動作を説明する。
　実施の形態１に係る鍵生成装置１０の動作は、実施の形態１に係る鍵生成方法に相当する。また、実施の形態１に係る鍵生成装置１０の動作は、実施の形態１に係る鍵生成プログラムの処理に相当する。
　鍵生成装置１０は、ディジタル署名の３つのアルゴリズムのうち、ＫｅｙＧｅｎアルゴリズムを実現する。

　（ステップＳ１１：受付処理）
　受付部１１１は、セキュリティパラメータλの入力を受け付ける。
　具体的には、受付部１１１は、鍵生成装置１０の利用者によって入力装置が操作され入力されたセキュリティパラメータλを受け付ける。受付部１１１は、セキュリティパラメータλをメモリ１２に書き込む。

　（ステップＳ１２：鍵生成処理）
　鍵生成部１１２は、セキュリティパラメータλをメモリ１２から読み出す。鍵生成部１１２は、セキュリティパラメータλを入力として、秘密鍵ｓｋと、公開鍵ｐｋとのペアを生成する。

　図６を参照して、実施の形態１に係る鍵生成処理を説明する。
　（ステップＳ１２１：パラメータ設定処理）
　鍵生成部１１２は、セキュリティパラメータλをメモリ１２から読み出す。鍵生成部１１２は、ｎ＝ｎ（λ）、ｄ＝ｄ（λ）、ｋ＝ｋ（λ）、ｑ＝ｑ（λ）を設定する。つまり、ｎ，ｄ，ｋ，ｑはセキュリティパラメータλによって決まる値である。

　（ステップＳ１２２：乱数生成処理）
　鍵生成部１１２は、一様ランダムにａ∈Ｒ_ｑ ^＜ｎを生成する。
　具体的には、鍵生成部１１２は、数４０に示すようにランダムにシードρを選択する。

　そして、鍵生成部１１２は、シードρを入力として疑似乱数生成アルゴリズムによりａ∈Ｒ_ｑ ^＜ｎを生成する。

　（ステップＳ１２３：秘密鍵要素生成処理）
　鍵生成部１１２は、数４１に示すように、秘密鍵ｓｋの要素ｓ_１及び要素ｓ_２を一様ランダムに生成する。

　（ステップＳ１２４：公開鍵要素生成処理）
　鍵生成部１１２は、数４２に示すように、公開鍵ｐｋの要素ｔ_０及び要素ｔ_１を生成する。

　（ステップＳ１２５：鍵設定処理）
　鍵生成部１１２は、秘密鍵ｓｋ：＝（ａ，ｓ_１，ｓ_２，ｔ_０）を設定する。また、鍵生成部１１２は、公開鍵ｐｋ：＝（ａ，ｔ_０，ｔ_１）を設定する。鍵生成部１１２は、秘密鍵ｓｋ及び公開鍵ｐｋをメモリ１２に書き込むとともに、鍵記憶部１３１に書き込む。

　（ステップＳ１３：送信処理）
　送信部１１３は、秘密鍵ｓｋ及び公開鍵ｐｋをメモリ１２から読み出す。送信部１１３は、秘密鍵ｓｋを通信インタフェース１４及び通信路４０を介して署名装置２０に秘密裡に送信する。すると、署名装置２０の受付部２１１は、秘密鍵ｓｋを受け付け、鍵記憶部２３１に書き込む。また、送信部１１３は、公開鍵ｐｋを通信インタフェース１４及び通信路４０を介して検証装置３０に送信する。すると、検証装置３０の受付部３１１は、公開鍵ｐｋを受け付け、鍵記憶部３３１に書き込む。
　ここで、密裡に送信するとは、例えば、既存の暗号化方式により暗号化した上で送信することである。なお、秘密鍵ｓｋ及び公開鍵ｐｋは、可搬記憶媒体に記憶した上で郵送などにより直接的に送信してもよい。公開鍵と秘密鍵は外部の装置で生成されてもよい。

　＜署名装置２０の動作＞
　図７を参照して、実施の形態１に係る署名装置２０の動作を説明する。
　実施の形態１に係る署名装置２０の動作は、実施の形態１に係る署名生成方法に相当する。また、実施の形態１に係る署名装置２０の動作は、実施の形態１に係る署名生成プログラムの処理に相当する。
　署名装置２０は、ディジタル署名の３つのアルゴリズムのうち、Ｓｉｇｎアルゴリズムを実現する。

　（ステップＳ２１：受付処理）
　受付部２１１は、メッセージμの入力を受け付ける。
　具体的には、受付部２１１は、署名装置２０の利用者によって入力装置が操作され入力されたメッセージμを受け付ける。受付部２１１は、メッセージμをメモリ２２に書き込む。

　（ステップＳ２２：署名生成処理）
　署名生成部２１２は、秘密鍵ｓｋを鍵記憶部２３１から読み出すとともに、メッセージμをメモリ２２から読み出す。署名生成部２１２は、秘密鍵ｓｋ及びメッセージμを入力として、メッセージμに対する署名σを生成する。

　図８を参照して、実施の形態１に係る署名生成処理を説明する。
　（ステップＳ２２１：乱数生成処理）
　署名生成部２１２は、数４３に示すように、乱数ｙを生成する。

　（ステップＳ２２２：ハッシュ値ｃ生成処理）
　署名生成部２１２は、数４４に示すように、要素ｗを生成する。

　署名生成部２１２は、数４５に示すように要素ｗ_１を生成する。

　署名生成部２１２は、要素ｗ_１及びメッセージμ入力として、ハッシュ関数Ｈによりハッシュ値ｃを計算する。つまりｃ：＝Ｈ（ｗ_１，μ）∈Ｃである。

　（ステップＳ２２３：要素ｚ生成処理）
　署名生成部２１２は、ハッシュ値ｃと、秘密鍵ｓｋの要素ｓ_１と、乱数ｙとを入力として、数４６に示すように、署名σの要素ｚを生成する。

　つまり、署名生成部２１２は、メッセージμのハッシュ値ｃと秘密鍵ｓｋの要素ｓ_１とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成する。より詳しくは、署名生成部２１２は、ハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して得られた値に小さな係数を持つランダムな値ｙを加えて署名要素ｚを生成する。

　（ステップＳ２２４：要素ｈ生成処理）
　署名生成部２１２は、数４７と数４８とのいずれかであるか否かを判定する。

　署名生成部２１２は、数４７と数４８とのいずれかである場合には、署名要素ｚ及び署名要素ｈに署名生成不可を示す⊥を設定する。つまり、（ｚ，ｈ）：＝（⊥，⊥）である。
　一方、署名生成部２１２は、数４７と数４８とのいずれでもない場合には、数４９に示すように署名要素ｈを生成する。

　（ステップＳ２２５：署名設定処理）
　署名生成部２１２は、署名σ：＝（ｈ，ｚ，ｃ）を設定する。署名生成部２１２は、署名σをメモリ２２に書き込む。

　（ステップＳ２３：出力処理）
　出力部２１３は、署名生成部２１２によって生成された署名要素ｈと署名要素ｚとハッシュ値ｃとを含む署名σ及びメッセージμを出力する。
　具体的には、出力部２１３は、通信インタフェース２４及び通信路４０を介して、署名σ及びメッセージμを検証装置３０に送信する。すると、検証装置３０の受付部３１１は、署名σ及びメッセージμを受け付け、メモリ３２に書き込む。

　＜検証装置３０の動作＞
　図９を参照して、実施の形態１に係る検証装置３０の動作を説明する。
　実施の形態１に係る検証装置３０の動作は、実施の形態１に係る検証方法に相当する。また、実施の形態１に係る検証装置３０の動作は、実施の形態１に係る検証プログラムの処理に相当する。
　検証装置３０は、ディジタル署名の３つのアルゴリズムのうち、Ｖｅｒｉｆｙアルゴリズムを実現する。

　（ステップＳ３１：読出処理）
　検証部３１２は、公開鍵ｐｋを鍵記憶部３３１から読み出すとともに、署名σ及びメッセージμをメモリ３２から読み出す。

　（ステップＳ３２：要素ｗ’_１生成処理）
　検証部３１２は、数５０に示すように要素ｗ’_１を生成する。

　つまり、検証部３１２は、署名σに含まれる署名要素ｚと公開鍵ｐｋの要素ａとのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算するとともに、署名σに含まれるハッシュ値ｃと公開鍵ｐｋの要素ｔ_１とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、要素ｗ’_１を生成する。

　（ステップＳ３３：ノルム判定処理）
　検証部３１２は、数５１が成立するか否かを判定する。

　検証部３１２は、数５１が成立するなら処理をステップＳ３４に進める。一方、検証部３１２は、数５１が成立しないなら処理をステップＳ３６に進める。

　（ステップＳ３４：ハッシュ値判定処理）
　検証部３１２は、要素ｗ’_１及びメッセージμ入力として、ハッシュ関数Ｈによりハッシュ値ｃ’を計算する。つまりｃ：＝Ｈ（ｗ’_１，μ）である。検証部３１２は、署名σに含まれるハッシュ値ｃと、計算されたハッシュ値ｃ’とが等しいか否かを判定する。
　検証部３１２は、ハッシュ値ｃとハッシュ値ｃ’とが等しい場合には、処理をステップＳ３５に進める。一方、検証部３１２は、ハッシュ値ｃとハッシュ値ｃ’とが等しくない場合には、処理をステップＳ３６に進める。

　（ステップＳ３５：正当判定処理）
　検証部３１２は、メッセージμが正当であると判定する。メッセージμが正当であるとは、メッセージμが改ざんされておらず、かつ、メッセージμが秘密鍵ｓｋの保有者によって送信されたという意味である。
　そして、検証部３１２は、メッセージμが正当であることを示す値１を出力する。

　（ステップＳ３６：不当判定処理）
　検証部３１２は、メッセージμが不当であると判定する。メッセージμが不当であるとは、メッセージμが改ざんされている場合と、メッセージμが秘密鍵ｓｋの保有者以外によって送信された場合との少なくともいずれかの場合であるという意味である。
　そして、検証部３１２は、メッセージμが不当であることを示す値０を出力する。

　検証装置３０の動作の正当性を説明する。
　図８のステップＳ２２２で生成された要素ｗ_１と、図９のステップＳ３２で生成された要素ｗ’_１とが等しければ、ハッシュ値ｃとハッシュ値ｃ’とが等しくなる。そこで、ここでは、要素ｗ_１と要素ｗ’_１とが等しくなることを説明する。

　数５０のＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）アルゴリズムにおけるｒに相当する部分は、数５２に示すようになる。

　ここで、数５３に示すｚ及びｔ_１に基づき、数５２の１行目から２行目に変形される。

　括弧を展開することにより、数５２の２行目から３行目に変形される。
　数５４に示すｔを代入することにより、数５２の３行目から４行目に変形される。

　括弧を展開することにより、数５２の４行目から５行目に変形される。
　数５２における数５５及び数５６をキャンセルすることにより、数５２の５行目から６行目に変形される。ここで、補題２に基づき、数５５及び数５６はキャンセル可能である。

　数５７に基づき、数５２の６行目から７行目に変形される。

　次に、数５０は、数５８に示すようになる。

　ここで、補題３の性質１に示すＵｓｅＨｉｎｔ_ｑ（ＭａｋｅＨｉｎｔ_ｑ（ｚ，ｒ，α），ｒ，α）＝ＨｉｇｈＢｉｔｓ_ｑ（ｒ＋ｚ，α）におけるｚ，ｒ，ａは数５９に示す通りである。

　なぜなら、数５２に示すように、ＵｓｅＨｉｎｔ_ｑ（ｈ，ｒ，α）アルゴリズムにおけるｒに相当する部分は、数６０であり、図８のステップＳ２２４では、署名要素ｈを数６１に示すように生成しているためである。

　これにより、数５８の１行目から２行目に変形される。

　数６２と数６３とをキャンセルすることにより、数５８の２行目から３行目に変形される。

　数５８の３行目における数６４は小さい値である。そのため、上位ビットを出力するＨｉｇｈＢｉｔｓ_ｑ（ｒ，α）アルゴリズムでは、無視し得る。したがって、数５８の３行目から４行目に変形される。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係る署名システム１では、署名装置２０は、メッセージμのハッシュ値ｃと秘密鍵ｓｋの要素ｓ_１とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名σの要素である署名要素ｚを生成する。また、検証装置３０は、署名σの要素である署名要素ｚと公開鍵ｐｋの要素ａとのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算するとともに、署名σの要素であるハッシュ値ｃと公開鍵ｐｋの要素ｔ_１とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、署名σを検証する。
　これにより、ＭＰＬＷＥ仮定を安全性の根拠とすることが可能となり、量子コンピュータに対しても安全性が保証可能なディジタル署名方式を構成可能にすることができる。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　実施の形態１では、各機能構成要素がソフトウェアで実現された。しかし、変形例１として、各機能構成要素はハードウェアで実現されてもよい。この変形例１について、実施の形態１と異なる点を説明する。

　図１０を参照して、変形例１に係る鍵生成装置１０の構成を説明する。
　各機能構成要素がハードウェアで実現される場合には、鍵生成装置１０は、プロセッサ１１とメモリ１２とストレージ１３とに代えて、電子回路１５を備える。電子回路１５は、各機能構成要素と、メモリ１２と、ストレージ１３との機能とを実現する専用の回路である。

　図１１を参照して、変形例１に係る署名装置２０の構成を説明する。
　各機能構成要素がハードウェアで実現される場合には、署名装置２０は、プロセッサ２１とメモリ２２とストレージ２３とに代えて、電子回路２５を備える。電子回路２５は、各機能構成要素と、メモリ２２と、ストレージ２３との機能とを実現する専用の回路である。

　図１２を参照して、変形例１に係る検証装置３０の構成を説明する。
　各機能構成要素がハードウェアで実現される場合には、検証装置３０は、プロセッサ３１とメモリ３２とストレージ３３とに代えて、電子回路３５を備える。電子回路３５は、各機能構成要素と、メモリ３２と、ストレージ３３との機能とを実現する専用の回路である。

　電子回路１５，２５，３５としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）が想定される。
　各機能構成要素を１つの電子回路１５，２５，３５で実現してもよいし、各機能構成要素を複数の電子回路１５，２５，３５に分散させて実現してもよい。

　＜変形例２＞
　変形例２として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。

　プロセッサ１１，２１，３１とメモリ１２，２２，３２とストレージ１３，２３，３３と電子回路１５，２５，３５とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。

　１　署名システム、１０　鍵生成装置、１１　プロセッサ、１２　メモリ、１３　ストレージ、１４　通信インタフェース、１５　電子回路、１１１　受付部、１１２　鍵生成部、１１３　送信部、１３１　鍵記憶部、２０　署名装置、２１　プロセッサ、２２　メモリ、２３　ストレージ、２４　通信インタフェース、２５　電子回路、２１１　受付部、２１２　署名生成部、２１３　出力部、２３１　鍵記憶部、３０　検証装置、３１　プロセッサ、３２　メモリ、３３　ストレージ、３４　通信インタフェース、３５　電子回路、３１１　受付部、３１２　検証部、３３１　鍵記憶部、４０　通信路。

Claims

　メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成する署名生成部と、
　前記署名生成部によって生成された前記署名要素ｚを含む署名σを出力する出力部と
を備える署名装置。
　前記署名生成部は、ハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して得られた値に小さな係数を持つランダムな値ｙを加えて前記署名要素ｚを生成する
請求項１に記載の署名装置。
　前記署名生成部は、数１に示す署名要素ｈと前記署名要素ｚと前記ハッシュ値ｃとを含む署名σを生成する
請求項２に記載の署名装置。
　署名要素ｚを含む署名σを受け付ける受付部と、
　前記受付部によって受け付けられた前記署名要素ｚと公開鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、前記署名σを検証する検証部と
を備える検証装置。
　前記受付部は、メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して生成された前記署名要素ｚと、前記ハッシュ値ｃとを含む署名σを受け付け、
　前記検証部は、前記署名要素ｚと公開鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して得られた値ｗ’_１と、前記メッセージμとを入力として、ハッシュ値ｃ’を計算し、計算されたハッシュ値ｃ’と、前記署名データに含まれるハッシュ値ｃとが一致するか否かを判定することにより、前記署名σを検証する
請求項４に記載の検証装置。
　前記公開鍵は、ランダムな多項式ａと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して生成された
請求項４又は５に記載の検証装置。
　前記受付部は、数２に示す署名要素ｈと前記署名要素ｚと前記ハッシュ値ｃとを含む前記署名σを受け付け、
　前記検証部は、数３に示すように、前記値ｗ’_１を計算する
請求項５に記載の検証装置。
　メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成し、前記署名要素ｚを含む署名σを出力する署名装置と、
　前記署名装置によって生成された前記署名要素ｚと公開鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、前記署名σを検証する検証装置と
を備える署名システム。
　署名装置における署名生成部が、メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成し、
　前記署名装置における出力部が、前記署名要素ｚを含む署名σを出力する署名方法。
　署名生成部が、メッセージμのハッシュ値ｃと秘密鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して署名要素ｚを生成する署名生成処理と、
　出力部が、前記署名生成処理によって生成された前記署名要素ｚを含む署名σを出力する出力処理と
を行う署名装置としてコンピュータを機能させる署名プログラム。
　検証装置における受付部が、署名要素ｚを含む署名σを受け付け、
　前記検証装置における検証部が、前記署名要素ｚと公開鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、前記署名σを検証する検証方法。
　受付部が、署名要素ｚを含む署名σを受け付ける受付処理と、
　検証部が、前記受付処理によって受け付けられた前記署名要素ｚと公開鍵とのＭｉｄｄｌｅ－Ｐｒｏｄｕｃｔを計算して、前記署名σを検証する検証処理と
を行う検証装置としてコンピュータを機能させる検証プログラム。