WO2021245807A1

WO2021245807A1 - 署名検証システム、署名装置、署名検証方法、およびプログラム

Info

Publication number: WO2021245807A1
Application number: PCT/JP2020/021825
Authority: WO
Inventors: 寛人田宮; バトニヤマエンケタイワン; 寿幸一色
Original assignee: 日本電気株式会社
Priority date: 2020-06-02
Filing date: 2020-06-02
Publication date: 2021-12-09
Also published as: US20230224165A1; JP7405253B2; JPWO2021245807A1

Abstract

署名検証システム１００は、データの変更者の公開鍵と、データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、データの変更不可部分と、変更者の公開鍵を用いて算出されたデータ全体の第２のカメレオンハッシュ値とに対して署名を行う署名装置１２０と、署名がなされた署名付きデータを受け取って、変更者の秘密鍵を用いて、仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する変更装置１３０と、実際の委託先変更者が指定された署名付きデータを受け取って、実際の委託先変更者の秘密鍵を用いて、データの変更可能部分を変更する委託先変更装置１４０と、データの変更可能部分が変更された署名付きデータを受け取って、変更者の公開鍵と実際の委託先変更者の公開鍵とを用いて、署名を検証する検証装置１５０とを含む。

Description

署名検証システム、署名装置、署名検証方法、およびプログラム

　本発明は、署名検証システム、署名装置、署名検証方法、およびプログラムに関する。

　近年のＡＩ（人工知能）分析性能の向上により、分析対象となるデータの価値が向上している。そこで、個人が自分のデータを、それを欲する企業に提供し、その対価を受け取る仕組みが検討されている。その仕組みの一つとして、個人のデータを管理し、運用する情報銀行が注目を集めている。

　情報銀行の仕組みでは、まず、情報提供者が個人に関するデータを作成し、署名する。署名付きデータは、個人に提供される。署名付きデータを受け取った個人は、当該署名付きデータを情報銀行に預託する。情報銀行は、預託された署名付きデータを情報利用者に提供する。

　情報提供者による署名は、データの出所を明らかにし、データの信頼性を保つために行われる。したがって、データが変更されると、署名の検証には失敗してしまう。しかしながら、署名の有効性を維持したまま、データの一部を変更したい場合がある。例えば、データが個人の健康診断情報を含む場合、個人は、健康診断情報の一部を隠したい場合があり得る。具体的には、健康診断情報のうち、体重のデータは渡すが、血液型のデータは渡したくない場合等があり得る。

　さらに、情報銀行は、情報利用者の要望に応じて個人のデータを変更し、変更したデータを情報利用者に提供したい場合があり得る。このような場合に情報銀行がデータを変更できないと、その都度、個人に、情報利用者の要望に応じたデータの提供を依頼しなくてはならず、手間がかかってしまう。したがって、個人が情報銀行を指定し、指定された情報銀行によるデータの変更を許可することで、そのような手間をなくすことができる。これを、データを変更することができる個人（すなわち、変更者）による変更能力の委託とも称する。また、変更能力が委託される情報銀行を、委託先変更者とも称する。

　非特許文献１に記載の技術を利用すると、データの変更能力を委託先（情報銀行）に委託するために、変更者（個人）が委託先に対する署名を新しく生成し、署名者（情報提供者）からの署名に追加することで、変更能力を委託することが可能である。

C. Brzuska, M. Fischlin, A. Lehmann, and D. Schroder, "Santizable signatures: How to partially delegate control for authenticated data", In BIOSIG, pages 117-128, 2009

　しかしながら、非特許文献１に記載の技術では、署名の数が増えることで署名サイズが大きくなり、検証のための計算コストも高くなってしまう。

　本発明の目的は、署名サイズや検証のための計算コストを増加させずに、データの変更能力を委託することが可能な署名検証システム、署名装置、署名検証方法、およびプログラムを提供することにある。

　本発明の一態様による署名検証システムは、データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データ全体の第２のカメレオンハッシュ値とに対して署名を行う署名装置と、前記署名がなされた署名付きデータを受け取って、前記変更者の秘密鍵を用いて、前記仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する変更装置と、前記実際の委託先変更者が指定された署名付きデータを受け取って、前記実際の委託先変更者の秘密鍵を用いて、前記データの変更可能部分を変更する委託先変更装置と、前記データの変更可能部分が変更された署名付きデータを受け取って、前記変更者の公開鍵と前記実際の委託先変更者の公開鍵とを用いて、前記署名を検証する検証装置とを含む。

　本発明の一態様による署名装置は、データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データの全体の第２のカメレオンハッシュ値とに対して署名を行う。

　本発明の一態様による署名検証方法は、データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データ全体の第２のカメレオンハッシュ値とに対して署名を行う署名ステップと、前記署名がなされた署名付きデータを受け取って、前記変更者の秘密鍵を用いて、前記仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する第１の変更ステップと、前記実際の委託先変更者が指定された署名付きデータを受け取って、前記実際の委託先変更者の秘密鍵を用いて、前記データの変更可能部分を変更する第２の変更ステップと、前記データの内容が変更された署名付きデータを受け取って、前記変更者の公開鍵と前記実際の委託先変更者の公開鍵とを用いて、前記署名を検証する検証ステップとを含む。

　本発明の一態様によるプログラムは、コンピュータに上記署名検証方法を実行させる。

　本発明によれば、署名サイズや検証のための計算コストを増加させずに、データの変更能力を委託することが可能になる。

本発明の実施形態の概要を説明する図である。本発明の実施形態における変更能力の委託方法を説明する図である。第１の実施形態における署名検証システムの構成例を示すブロック図である。第１の実施形態における署名検証システムの具体的な構成例を示す機能ブロック図である。第１の実施形態における署名検証処理のシーケンス図である。第１の実施形態におけるコンピュータのハードウェア構成例を示す概略ブロック図である。第２の実施形態における署名検証システムの具体的な構成例を示す機能ブロック図である。

　以下、本発明の各実施形態を、図面を参照して説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　説明は、以下の順序で行われる。
　１．本発明の実施形態の概要
　２．第１の実施形態
　　２．１．システム構成
　　２．２．動作例
　　２．３．具体例
　　２．４．ハードウェア構成
　　２．５．効果の説明
　３．第２の実施形態
　　３．１．システム構成
　　３．２．動作例
　　３．３．効果の説明
　４．他の実施形態

　＜＜１．本発明の実施形態の概要＞＞
　図１は、本発明の実施形態の概要を説明する図である。本発明の実施形態は、上述したように、個人のデータを管理し、運用する情報銀行を含むシステムに基づいて説明する。

　図示されるように、本発明の一実施形態におけるシステムは、情報提供者１０と、個人２０と、情報銀行３０と、情報利用者４０とを含む。

　情報提供者１０は、個人２０に関するデータを生成し、生成したデータに対して署名し、署名付きデータを個人２０に提供する。データは、後述するように、個人２０によって実際の委託先変更者を指定するための仮の委託先変更者情報を含む。情報提供者１０は、本発明の実施形態におけるデータの署名者となり得る。

　個人２０は、情報提供者１０による署名の有効性を維持したまま、受け取った署名付きデータに含まれる仮の委託先変更者情報を実際の委託先変更者情報に変更し、委託先変更者情報が変更された署名付きデータを情報銀行３０に提供する。また、データは、変更可能部分と変更不可部分とを含み、個人２０は、データの変更可能部分を変更してもよい。個人２０は、本発明の実施形態におけるデータの変更者となり得る。

　情報銀行３０は、自身が委託先変更者情報によって指定されている場合に、情報提供者１０による署名の有効性を維持したまま、データの変更可能部分を変更することができ、変更された署名付きデータを情報利用者４０に提供する。情報銀行３０は、本発明の実施形態におけるデータの変更能力が委託された委託先変更者となり得る。

　情報利用者４０は、情報銀行３０から受け取った署名付きデータの署名を検証する。情報利用者４０は、検証が成功すると、データを利用する。情報利用者４０は、本発明の実施形態におけるデータの検証者となり得る。

　本発明の実施形態では、このようなシステムにおいて、署名サイズや検証のための計算コストを増加させずに、データの変更能力を委託することを可能にする。なお、情報提供者１０、個人２０、情報銀行３０、および情報利用者４０の数は、図示された数に限定されない。

　また、本発明の実施形態では、いわゆる墨塗署名（sanitizable signature）として、変更者（個人２０）および委託先変更者（情報銀行３０）がメッセージ（データ）の所定部分を、元の署名者（情報提供者１０）とやり取りせずに変更し、変更されたメッセージに対する有効な署名を生成することができる電子署名を用いる。

　また、本発明の実施形態における墨塗署名は、カメレオンハッシュを用いて実現する。通常のハッシュ関数（カメレオンハッシュでないハッシュ関数）は、入力されたメッセージを所定のビット長の値（ハッシュ値）に圧縮し、同じメッセージでない限り、同じハッシュ値を生成しないという性質を有する。すなわち、メッセージをｍおよびｍ´で表し、ハッシュ関数をＨ（）で表すとすると、ｍ≠ｍ´である場合、Ｈ（ｍ）≠Ｈ（ｍ´）である。この性質は、衝突困難性と呼ばれる。また、通常のハッシュ関数は、ハッシュ値から衝突を見つけることはできないという性質を有する。つまり、ｍとＨ（ｍ）から、Ｈ（ｍ´）となるｍ´は求めることができない。なお、ｍ≠ｍ´である。この性質は、第２原像計算困難性と呼ばれる。一方、カメレオンハッシュは、ある秘密鍵がわかる場合に、衝突を見つけられるハッシュ関数である。

　図２は、本発明の実施形態における変更能力の委託方法を説明する図である。以下では、本発明の実施形態において、データの変更能力を有する変更者が、署名者による署名の有効性を維持したまま、変更能力の委託先である委託先変更者を指定する方法を説明する。

　まず、図２（ａ）を参照して、上述した非特許文献１に記載の技術を利用した委託先変更者の指定方法を説明する。

　図２（ａ）では、平文＋署名（署名者の鍵）２０１について、変更者が変更能力を委託する場合、委託先情報＋署名（変更者の鍵）２０２が追加される。すなわち、平文＋署名（署名者の鍵）２０１に、委託先情報＋署名（変更者の鍵）２０２を付与することで、委託先変更者を指定する。この方法では、委託先情報に対して新たな署名が必要となるため、署名サイズや検証のための計算コストが増加してしまう。

　次に、図２（ｂ）を参照して、本発明の実施形態における委託先変更者の指定方法を説明する。

　図２（ｂ）では、まず、平文に仮の委託先情報を加えた状態で、署名者の鍵により署名を行う（２１１）。委託先変更者を指定する場合、変更者は、署名者による署名の有効性を維持したまま、仮の委託先情報を実際の委託先情報に変更する（２１２）。この方法では、委託先情報に対して新たな署名を必要としないので、署名サイズや検証のための計算コストを増加させずに、変更能力を委託することが可能になる。

　＜＜２．第１の実施形態＞＞
　＜２．１．システム構成＞
　図３は、第１の実施形態における署名検証システムの構成例を示すブロック図である。署名検証システム１００は、鍵生成装置１１０と、署名装置１２０と、変更装置１３０と、委託先変更装置１４０と、検証装置１５０とを含む。署名検証システム１００の各構成要素については、図４を参照して詳細に説明する。

　図４は、第１の実施形態における署名検証システムの具体的な構成例を示す機能ブロック図である。

　鍵生成装置１１０は、鍵生成部１１１と鍵提供部１１２とを有する。鍵生成部１１１は、データの署名に用いられる鍵のペアを生成する。具体的には、鍵生成部１１１は、署名および検証用の公開鍵ｐｋ_ｓｉｇｎと秘密鍵ｓｋ_ｓｉｇｎのペア、変更者が変更能力の委託先を指定する際に用いる公開鍵ｐｋ_ｓａｎと秘密鍵ｓｋ_ｓａｎのペア、および、委託先変更者がデータを変更する際に用いるデータ変更用の公開鍵ｐｋ_ｄｓａｎと秘密鍵ｓｋ_ｄｓａｎのペアを生成する。鍵提供部１１２は、生成された鍵を署名装置１２０、変更装置１３０、委託先変更装置１４０、および検証装置１５０に提供する。なお、鍵の提供は、任意の方法で行うことができ、ネットワークを介して送信してもよいし、取り外し可能な記憶装置に記憶させて搬送してもよい。また、鍵生成装置１１０における鍵生成は、署名装置１２０や変更装置１３０が行ってもよい。

　署名装置１２０は、データ生成部１２１、署名部１２２、およびデータ送信部１２３を有する。署名装置１２０は、上述した情報提供者１０が利用する装置に対応する。データ生成部１２１は、対象のデータを生成する。データは、変更することが可能な変更可能部分と、変更することができない変更不可部分とを含む。データは、平文とも称する。署名部１２２は、変更者の公開鍵及び委託先変更者の仮の公開鍵を用いたカメレオンハッシュ値と、平文の固定部分（変更不可部分）と、平文全体のカメレオンハッシュ値とに対して署名する。データ送信部１２３は、署名付きデータを変更装置１３０に送信する。

　変更装置１３０は、データ変更部１３１、署名部１３２、委託先指定部１３３、およびデータ送信部１３４を有する。変更装置１３０は、上述した個人２０が利用する装置に対応する。データ変更部１３１は、署名付きデータにおける平文の変更可能部分を変更する。署名部１３２は、変更された平文に対して墨塗署名を行う。委託先指定部１３３は、委託先変更者の仮の公開鍵を、実際の委託先変更者の公開鍵に変更することで、実際の委託先変更者を指定する。データ送信部１３４は、変更後の署名付きデータを委託先変更装置１４０に送信する。

　委託先変更装置１４０は、データ変更部１４１、署名部１４２、およびデータ送信部１４３を有する。委託先変更装置１４０は、上述した情報銀行３０が利用する装置に対応する。データ変更部１４１は、署名付きデータにおける平文の変更可能部分を変更する。署名部１４２は、変更された平文に対して墨塗署名を行う。データ送信部１４３は、変更後の署名付きデータを検証装置１５０に送信する。

　検証装置１５０は、検証部１５１を有する。検証装置１５０は、上述した情報利用者４０が利用する装置に対応する。検証部１５１は、署名用の秘密鍵に対応する公開鍵、変更者の公開鍵、および委託先変更者の公開鍵を用いて、変更後の署名付きデータの署名を検証する。検証に成功すると、情報利用者４０は、検証に成功したデータを所望の目的に利用することができる。

　上述した各装置の各処理部は、例えば、プログラムに従って動作するコンピュータのＣＰＵ（Central Processing Unit）、および、そのコンピュータの通信インタフェースによって実現される。例えば、ＣＰＵが、そのコンピュータのプログラム記憶装置等のプログラム記録媒体からプログラムを読み込み、そのプログラムに従って、必要に応じて通信インタフェースを用いて、上述した各装置の各処理部として動作することができる。

　＜２．２．動作例＞
　次に、第１の実施形態における動作例について説明する。

　図５は、第１の実施形態における署名検証処理のシーケンス図である。なお、既に説明した事項については、詳細な説明は省略する。

　まず、ステップＳ５０１において、署名装置１２０は、変更者の公開鍵及び委託先変更者の仮の公開鍵を用いたカメレオンハッシュ値と、平文の固定部分（変更不可部分）と、平文全体のカメレオンハッシュ値とに対して署名する。署名自体は、署名用の秘密鍵を用いた一般的な方式で行われる。署名がなされた署名付きデータは、変更装置１３０へ提供される。

　次いで、ステップＳ５０２において、変更装置１３０は、署名付きデータのうち、変更可能部分を変更する。データの変更は、変更装置１３０が、変更者用の公開鍵に対応する秘密鍵を有している場合に行うことができる。その後、ステップＳ５０３において、変更装置１３０は、変更後のデータに墨塗署名する。さらに、ステップＳ５０４において、変更装置１３０は、仮の委託先変更者の公開鍵を、実際の委託先変更者の公開鍵に変更することで、委託先変更者を指定する。署名付きの変更後データは、委託先変更装置１４０へ提供される。

　次いで、ステップＳ５０５において、委託先変更装置１４０は、署名付きデータのうち、変更可能部分を変更する。データの変更は、委託先変更装置１４０が、委託先変更者用の公開鍵に対応する秘密鍵を有している場合に行うことができる。その後、ステップＳ５０６において、委託先変更装置１４０は、変更後のデータに墨塗署名する。署名付きの変更後データは、検証装置１５０へ提供される。

　次いで、ステップＳ５０７において、検証装置１５０は、署名用の秘密鍵に対応する公開鍵、変更者の公開鍵、および委託先変更者の公開鍵を用いて、署名付きの変更後データの署名を検証する。

　以上説明したように、本実施形態における署名検証処理は実施される。

　＜２．３．具体例＞
　次に、本実施形態における署名検証処理の具体例について説明する。

　まず、本実施形態におけるカメレオンハッシュベースの墨塗署名の拡張について説明する。

　本実施形態では、２種類のカメレオンハッシュを用いる。２種類のカメレオンハッシュとは、平文変更カメレオンハッシュ（ＭＣＨとも称する）と、鍵及び平文変更カメレオンハッシュ（ＫＭＣＨとも称する）である。

　平文変更カメレオンハッシュ（ＭＣＨ）では、公開鍵ｐｋ、変更前メッセージｍ、乱数ｒ、及び変更後メッセージｍ´に対して、公開鍵ｐｋに対する秘密鍵ｓｋを利用して、以下の式（１）を満たす乱数ｒ´を算出することが可能である。

　また、鍵及び平文変更カメレオンハッシュ（ＫＭＣＨ）では、公開鍵ｐｋ、変更前メッセージｍ、乱数ｒ、及び変更後メッセージｍ´に対して、公開鍵ｐｋ´に対する秘密鍵ｓｋ´を利用して、以下の式（２）を満たす乱数ｒ´を算出することが可能である。

　次に、上述した２種類のカメレオンハッシュを用いて、署名から検証までの流れを説明する。

　まず、署名者（署名装置１２０）は、以下の式（３）に示すように、仮の委託先情報のＭＣＨハッシュ値、固定部分の平文ｍ_ＦＩＸ、平文全体ｍ_ＦｕｌｌのＫＭＣＨハッシュ値に対して、一般的な署名方法を利用して署名を行う。一般的な署名方法としては、例えば、ＤＳＡ（Digital Signature Algorithm）方式の署名方法などがある。

　ここでは、ＭＣＨにおける２番目のｐｋ_ｓａｎ（すなわち、変更者の公開鍵）が、仮の委託先変更者の公開鍵として用いられている。

　次いで、変更者（変更装置１３０）は、以下の式（４）に示すように、仮の委託先変更者の公開鍵ｐｋ_ｓａｎを、ＭＣＨの性質を利用して実際の委託先変更者の公開鍵ｐｋ_ｄｓａｎに変更する。

　ここで、実際には、乱数ｒ_ｍｃｈが乱数ｒ´_ｍｃｈに変更される。

　次いで、委託先変更者（委託先変更装置１４０）は、以下の式（５）に示すように、ＫＭＣＨの性質を利用して、固定部分以外（すなわち、変更可能部分）の平文を委託先変更者の秘密鍵を使って変更する。

　ここで、実際には、乱数ｒ_ｋｍｃｈが乱数ｒ´_ｋｍｃｈに変更される。また、平文の全体を表すｍ_ＦＵＬＬが、ｍ´_ＦＵＬＬに変更されている。

　次いで、検証者（検証装置１５０）は、乱数、平文、並びに、検証者、変更者及び委託先変更者の公開鍵を利用して、ハッシュ値を再現して署名を検証する。

　次に、カメレオンハッシュベースの墨塗署名について、より詳細に説明する。

　署名者（署名装置１２０）は、以下の式（６）に示すように、平文の固定部分ｍ_ＦＩＸと平文全体ｍ_ＦＵＬＬの変更者の公開鍵ｐｋ_ｓａｎを用いたＭＣＨハッシュ値に対して、一般的な署名方式で署名者の秘密鍵ｓｋ_ｓｉｇを用いて署名する。署名とハッシュ計算に利用した乱数ｒは、変更者（変更装置１３０）へ渡す。

　変更者（変更装置１３０）は、以下の式（７）に示すように、平文ｍと乱数ｒと変更者の秘密鍵ｓｋ_ｓａｎを用いて新しい平文ｍ´に対応するＭＣＨの乱数ｒ´を作成し、ハッシュ計算に利用した乱数ｒと置き換えて、検証者（検証装置１５０）へ渡す。

　検証者（検証装置１５０）は、平文ｍと乱数ｒ、並びに、署名者の公開鍵ｐｋ_ｓｉｇ及び変更者の公開鍵ｐｋ_ｓａｎを用いて、ＭＣＨハッシュ値を再計算し、署名σを検証する。
　このように、本実施形態では、ＭＣＨの性質により、変更者は秘密鍵ｓｋ_ｓａｎを利用して、ＭＣＨハッシュ値が同値となる平文ｍ´_ＦＵＬＬに対する乱数ｒ´を算出することができる。

　次に、一般的な鍵生成、署名、及び検証アルゴリズムを説明する。

　鍵生成アルゴリズムは、以下の式（８）に示すように、セキュリティパラメータλを入力として、公開鍵ｐｋと秘密鍵ｓｋを出力する。

　署名アルゴリズムは、以下の式（９）に示すように、秘密鍵ｓｋと平文ｍを入力として、平文ｍに対する署名σを出力する。

　検証アルゴリズムは、以下の式（１０）に示すように、公開鍵ｐｋと平文ｍ、署名σを入力として、署名が有効な場合はＴｒｕｅを返し、無効な場合はＦａｌｓｅを返す。

　次に、平文変更カメレオンハッシュ（ＭＣＨ）における各アルゴリズムを説明する。

　鍵生成アルゴリズムは、以下の式（１１）に示すように、セキュリティパラメータλを入力として、公開鍵ｐｋと秘密鍵ｓｋを出力する。

　ハッシュアルゴリズムは、以下の式（１２）に示すように、公開鍵ｐｋと平文ｍを入力として、ハッシュ値ｈと乱数ｒを出力する。

　再ハッシュアルゴリズムは、以下の式（１３）に示すように、公開鍵ｐｋと平文ｍ、乱数ｒを入力として、ハッシュ値ｈを出力する。

　適合アルゴリズムは、以下の式（１４）に示すように、秘密鍵ｓｋ、平文ｍ、変更後の平文ｍ´、乱数ｒを入力として、以下の式（１５）を満たす新しい乱数ｒ´を出力する。

　次に、鍵及び平文変更カメレオンハッシュ（ＫＭＣＨ）における各アルゴリズムを説明する。

　鍵生成アルゴリズムは、以下の式（１６）に示すように、セキュリティパラメータλを入力として、公開鍵ｐｋと秘密鍵ｓｋを出力する。

　ハッシュアルゴリズムは、以下の式（１７）に示すように、公開鍵ｐｋと平文ｍを入力として、ハッシュ値ｈと乱数ｒを出力する。

　再ハッシュアルゴリズムは、以下の式（１８）に示すように、公開鍵ｐｋと平文ｍ、乱数ｒを入力として、ハッシュ値ｈを出力する。

　適合アルゴリズムは、以下の式（１９）に示すように、秘密鍵ｓｋ´、平文ｍ、変更後の平文ｍ´、乱数ｒを入力として、以下の式（２０）を満たす新しい乱数ｒ´を出力する。

　以下では、本実施形態における各処理のアルゴリズムについて具体的に説明する。

　下記の表は、署名者、変更者、および委託先変更者の鍵生成アルゴリズムを示す。

　ここでは、署名者の鍵ペアに関して、セキュリティパラメータλを入力として、公開鍵ｐｋ_ｓｉｇと秘密鍵ｓｋ_ｓｉｇが出力される。また、変更者の鍵ペアに関して、セキュリティパラメータλを入力として、公開鍵ｐｋ_ｓａｎと秘密鍵ｓｋ_ｓａｎが出力される。また、委託先変更者の鍵ペアに関して、セキュリティパラメータλを入力として、公開鍵ｐｋ_ｄｅｌと秘密鍵ｓｋ_ｄｅｌが出力される。

　下記の表は、署名者の署名アルゴリズムを示す。

　ここでは、署名者の秘密鍵ｓｋ_ｓｉｇと変更者の公開鍵ｐｋ_ｓａｎ、平文ｍを入力として、平文ｍの署名σが出力される。

　下記の表は、変更者の墨塗署名アルゴリズムを示す。

　ここでは、変更者の秘密鍵ｓｋ_ｓａｎと平文ｍ、変更後の平文ｍ´、平文ｍの署名σを入力として、変更後の平文ｍ´の署名σ´が出力される。

　下記の表は、検証者の検証アルゴリズムを示す。

　ここでは、署名者の公開鍵ｐｋｓｉｇと変更者の公開鍵ｐｋｓａｎ、平文ｍと署名σを入力として、署名が有効な場合はＴｒｕｅが返され、無効な場合はＦａｌｓｅが返される。

　下記の表は、変更者の委託アルゴリズムを示す。

　ここでは、変更者の公開鍵ｐｋｓａｎと変更者の秘密鍵ｓｋｓａｎ、委託先変更者の公開鍵ｐｋｓａｎと委託前の署名σを入力として、委託後の署名σ´が出力される。

　下記の表は、委託先変更者の墨塗署名アルゴリズムを示す。

　ここでは、委託先変更者の秘密鍵ｓｋｄｅｌ平文ｍ、変更後の平文ｍ´、平文ｍの署名σを入力として、変更後の平文ｍ´の署名σ´が出力される。

　下記の表は、検証者の委託先検証アルゴリズムを示す。

　ここでは、署名者の公開鍵ｐｋｓｉｇと変更者の公開鍵ｐｋｓａｎ、委託先変更者の公開鍵ｐｋｄｅｌ、平文ｍと署名σを入力として、署名が有効な場合はＴｒｕｅが返され、無効な場合はＦａｌｓｅが返される。

　なお、ＫＭＣＨはＭＣＨを包含するため、ＭＣＨをＫＭＣＨで置き換えてもよい。

　＜２．４．ハードウェア構成＞
　図６は、本実施形態におけるコンピュータのハードウェア構成例を示す概略ブロック図である。図示されたコンピュータは、本実施形態の署名検証システムを構成する各装置として動作し得る。

　コンピュータ６００は、ＣＰＵ６０１と、主記憶装置６０２と、補助記憶装置６０３と、インタフェース６０４と、通信インタフェース６０５とを備える。

　コンピュータ６００の動作は、プログラムの形式で補助記憶装置６０３に記憶されている。ＣＰＵ６０１は、そのプログラムを補助記憶装置６０３から読み出して主記憶装置６０２に展開し、そのプログラムに従って、本実施形態で説明した各装置の動作を実行する。

　補助記憶装置６０３は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース６０４を介して接続される磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ（Compact Disk Read Only Memory ）、ＤＶＤ－ＲＯＭ（Digital Versatile Disk Read Only Memory ）、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ６００に配信される場合、配信を受けたコンピュータ６００がそのプログラムを主記憶装置６０２に展開し、そのプログラムに従って動作してもよい。

　また、各装置の各構成要素の一部または全部は、汎用または専用の回路（circuitry）、プロセッサ等や、これらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。

　＜２．５．効果の説明＞
　本実施形態によると、署名サイズや検証のための計算コストを増加させずに、データの変更能力を委託することが可能になる。

　＜＜３．第２の実施形態＞＞
　次に、図７を参照して、本発明の第２の実施形態を説明する。上述した第１の実施形態は具体的な実施形態であるが、第２の実施形態は、より一般化された実施形態である。

　＜３．１．システム構成＞
　図７は、第２の実施形態における署名検証システムの具体的な構成例を示す機能ブロック図である。本実施形態における署名検証システム７００は、署名装置７１０と、変更装置７２０と、委託先変更装置７３０と、検証装置７４０とを含む。なお、署名装置７１０、変更装置７２０、委託先変更装置７３０、および検証装置７４０の数は、図示された数に限定されない。また、署名装置７１０、変更装置７２０、委託先変更装置７３０、および検証装置７４０は、互いに通信ネットワークを介して接続されてもよい。

　署名装置７１０は、署名部７１１を有する。署名部７１１は、データの変更者の公開鍵と、データの変更を委託される委託先変更者の仮の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、データの変更不可部分と、変更者の公開鍵を用いて算出されたデータ全体の第２のカメレオンハッシュ値とに対して署名を行う。

　変更装置７２０は、委託先指定部７２１を有する。委託先指定部７２１は、署名がなされた署名付きデータを受け取って、変更者の秘密鍵を用いて、委託先変更者の仮の公開鍵を実際の委託先変更者の公開鍵に変更する。

　委託先変更装置７３０は、データ変更部７３１を有する。データ変更部７３１は、実際の委託先変更者が指定された署名付きデータを受け取って、実際の委託先変更者の秘密鍵を用いて、データの変更可能部分を変更する。

　検証装置７４０は、検証部７４１を有する。検証部７４１は、データの変更可能部分が変更された署名付きデータを受け取って、変更者の公開鍵と実際の委託先変更者の公開鍵とを用いて、署名を検証する。

　＜３．２．動作例＞
　次に、第２の実施形態における動作例について説明する。

　第２の実施形態によれば、署名装置７１０（署名部７１１）は、データの変更者の公開鍵と、データの変更を委託される委託先変更者の仮の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、データの変更不可部分と、変更者の公開鍵を用いて算出されたデータ全体の第２のカメレオンハッシュ値とに対して署名を行う。変更装置７２０（委託先指定部７２１）は、署名がなされた署名付きデータを受け取って、変更者の秘密鍵を用いて、委託先変更者の仮の公開鍵を実際の委託先変更者の公開鍵に変更する。委託先変更装置７３０（データ変更部７３１）は、実際の委託先変更者が指定された署名付きデータを受け取って、実際の委託先変更者の秘密鍵を用いて、データの変更可能部分を変更する。検証装置７４０（検証部７４１）は、データの変更可能部分が変更された署名付きデータを受け取って、変更者の公開鍵と実際の委託先変更者の公開鍵とを用いて、署名を検証する。

　－第１の実施形態との関係
　一例として、第２の実施形態における署名装置７１０、変更装置７２０、委託先変更装置７３０、および検証装置７４０はそれぞれ、第１の実施形態における署名装置１２０、変更装置１３０、委託先変更装置１４０、及び検証装置１５０である。この場合に、第１の実施形態についての説明は、第２の実施形態にも適用され得る。

　なお、第２の実施形態は、この例に限定されない。

　＜３．３．効果の説明＞
　第２の実施形態によれば、署名サイズや検証のための計算コストを増加させずに、データの変更能力を委託することが可能になる。

　＜＜４．他の実施形態＞＞
　なお、本発明は上述した実施形態に限定されるものではない。上述した実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理は、必ずしも上述した順序に沿って時系列に実行されなくてよい。例えば、各処理は、上述した順序と異なる順序で実行されても、並列的に実行されてもよい。また、各処理の一部が実行されなくてもよく、さらなる処理が追加されてもよい。

　また、本明細書において説明した署名検証システムの構成要素を備える装置（例えば、署名検証システムを構成する複数の装置（又はユニット）のうちの１つ以上の装置（又はユニット）、又は上記複数の装置（又はユニット）のうちの１つのためのモジュール）が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory　computer　readable　medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記の本発明の実施形態は、以下の付記のようにも記載され得るが、以下に限定されるわけではない。

（付記１）
　データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データ全体の第２のカメレオンハッシュ値とに対して署名を行う署名装置と、
　前記署名がなされた署名付きデータを受け取って、前記変更者の秘密鍵を用いて、前記仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する変更装置と、
　前記実際の委託先変更者が指定された署名付きデータを受け取って、前記実際の委託先変更者の秘密鍵を用いて、前記データの変更可能部分を変更する委託先変更装置と、
　前記データの変更可能部分が変更された署名付きデータを受け取って、前記変更者の公開鍵と前記実際の委託先変更者の公開鍵とを用いて、前記署名を検証する検証装置と
を含む署名検証システム。

（付記２）
　前記変更装置は、前記第１のカメレオンハッシュ値の計算に利用された乱数を、前記実際の委託先変更者の公開鍵に対応する乱数に置き換えることを特徴とする付記１に記載の署名検証システム。

（付記３）
　前記委託先変更装置は、前記第２のカメレオンハッシュ値の計算に利用された乱数を、前記実際の委託先変更者の秘密鍵を用いて算出された前記変更されたデータに対応する乱数に置き換えることを特徴とする付記１または２に記載の署名検証システム。

（付記４）
　前記検証装置は、前記変更者の公開鍵と、前記実際の委託先変更者の公開鍵と、前記実際の委託先変更者の公開鍵に対応する乱数とから前記第１のカメレオンハッシュ値を再現し、前記変更されたデータと、前記実際の委託先変更者の公開鍵と、前記変更されたデータに対する乱数とから前記第２のカメレオンハッシュ値を再現し、前記再現された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記第２のカメレオンハッシュ値と、署名者の公開鍵とを用いて前記署名を検証することを特徴とする付記１乃至３のいずれか１項に記載の署名検証システム。

（付記５）
　前記変更装置は、前記変更者の秘密鍵を用いて、前記データの変更可能部分を変更することを特徴とする付記１乃至４のいずれか１項に記載の署名検証システム。

（付記６）
　前記署名装置は、前記仮の委託先変更者の公開鍵として、前記変更者の公開鍵を用いて前記第１のカメレオンハッシュ値を算出することを特徴とする付記１乃至５のいずれか１項に記載の署名検証システム。

（付記７）
　データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データの全体の第２のカメレオンハッシュ値とに対して署名を行うことを特徴とする署名装置。

（付記８）
　データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データ全体の第２のカメレオンハッシュ値とに対して署名を行う署名ステップと、
　前記署名がなされた署名付きデータを受け取って、前記変更者の秘密鍵を用いて、前記仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する第１の変更ステップと、
　前記実際の委託先変更者が指定された署名付きデータを受け取って、前記実際の委託先変更者の秘密鍵を用いて、前記データの変更可能部分を変更する第２の変更ステップと、
　前記データの内容が変更された署名付きデータを受け取って、前記変更者の公開鍵と前記実際の委託先変更者の公開鍵とを用いて、前記署名を検証する検証ステップと
を含む署名検証方法。

（付記９）
　コンピュータに付記８に記載の署名検証方法を実行させるためのプログラム。

産業上の利用の可能性

　本発明は、データの委託先変更者を指定することが可能な墨塗署名を利用する署名検証システムに好適に適用され得る。

　１００　署名検証システム
　１１０　鍵生成装置
　１１１　鍵生成部
　１１２　鍵提供部
　１２０　署名装置
　１２１　データ生成部
　１２２　署名部
　１２３　データ送信部
　１３０　変更装置
　１３１　データ変更部
　１３２　署名部
　１３３　委託先指定部
　１３４　データ送信部
　１５０　検証装置
　１５１　検証部

Claims

　データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データ全体の第２のカメレオンハッシュ値とに対して署名を行う署名装置と、
　前記署名がなされた署名付きデータを受け取って、前記変更者の秘密鍵を用いて、前記仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する変更装置と、
　前記実際の委託先変更者が指定された署名付きデータを受け取って、前記実際の委託先変更者の秘密鍵を用いて、前記データの変更可能部分を変更する委託先変更装置と、
　前記データの変更可能部分が変更された署名付きデータを受け取って、前記変更者の公開鍵と前記実際の委託先変更者の公開鍵とを用いて、前記署名を検証する検証装置と
を含む署名検証システム。
　前記変更装置は、前記第１のカメレオンハッシュ値の計算に利用された乱数を、前記実際の委託先変更者の公開鍵に対応する乱数に置き換えることを特徴とする請求項１に記載の署名検証システム。
　前記委託先変更装置は、前記第２のカメレオンハッシュ値の計算に利用された乱数を、前記実際の委託先変更者の秘密鍵を用いて算出された前記変更されたデータに対応する乱数に置き換えることを特徴とする請求項１または２に記載の署名検証システム。
　前記検証装置は、前記変更者の公開鍵と、前記実際の委託先変更者の公開鍵と、前記実際の委託先変更者の公開鍵に対応する乱数とから前記第１のカメレオンハッシュ値を再現し、前記変更されたデータと、前記実際の委託先変更者の公開鍵と、前記変更されたデータに対する乱数とから前記第２のカメレオンハッシュ値を再現し、前記再現された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記第２のカメレオンハッシュ値と、署名者の公開鍵とを用いて前記署名を検証することを特徴とする請求項１乃至３のいずれか１項に記載の署名検証システム。
　前記変更装置は、前記変更者の秘密鍵を用いて、前記データの変更可能部分を変更することを特徴とする請求項１乃至４のいずれか１項に記載の署名検証システム。
　前記署名装置は、前記仮の委託先変更者の公開鍵として、前記変更者の公開鍵を用いて前記第１のカメレオンハッシュ値を算出することを特徴とする請求項１乃至５のいずれか１項に記載の署名検証システム。
　データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データの全体の第２のカメレオンハッシュ値とに対して署名を行うことを特徴とする署名装置。
　データの変更者の公開鍵と、前記データの仮の委託先変更者の公開鍵とを用いて算出された第１のカメレオンハッシュ値と、前記データの変更不可部分と、前記変更者の公開鍵を用いて算出された前記データ全体の第２のカメレオンハッシュ値とに対して署名を行う署名ステップと、
　前記署名がなされた署名付きデータを受け取って、前記変更者の秘密鍵を用いて、前記仮の委託先変更者の公開鍵を実際の委託先変更者の公開鍵に変更する第１の変更ステップと、
　前記実際の委託先変更者が指定された署名付きデータを受け取って、前記実際の委託先変更者の秘密鍵を用いて、前記データの変更可能部分を変更する第２の変更ステップと、
　前記データの内容が変更された署名付きデータを受け取って、前記変更者の公開鍵と前記実際の委託先変更者の公開鍵とを用いて、前記署名を検証する検証ステップと
を含む署名検証方法。
　コンピュータに請求項８に記載の署名検証方法を実行させるためのプログラム。