アグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラム
【課題】署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付き電子署名を行うことができるアグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラムを提供すること。
【解決手段】アグリゲート署名システムは、各ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに、直前のノードにより生成された署名情報を用いて、自身の署名情報を生成する。
【解決手段】アグリゲート署名システムは、各ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに、直前のノードにより生成された署名情報を用いて、自身の署名情報を生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子署名を利用した電子データのアグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラムに関する。
【背景技術】
【0002】
現在、さまざまな電子情報がネットワークやメディアを介して送信されている。会社やコミュニティーのような組織においても、報告書やレポート、稟議書、連絡簿等さまざまな情報が電子化され、社員又はメンバー間でネットワークを経由して回覧されている。
【0003】
その情報の発信源あるいは閲覧済みであることを保証する仕組みとして電子署名がある。この電子署名を利用することにより、特定の人しか知りえない署名鍵と電子情報を入力値として署名の演算を行い、検証者が検証鍵と言われる公開された情報と署名されたデータを入力値として検証演算を行うことで、その特定の人がそのデータの発信源であることを確認することが可能となる。ここで、検証鍵から署名鍵を導出することは、計算量的に不可能であることから、他の人がその特定者に成りすまして署名を行うことができないため、その署名の正当性が保証される。
【0004】
また、組織における電子情報の回覧においては、複数の人が介在して署名を行うケースが想定され、例えば、電子データの回覧や会社における承認システムがそれに該当する。複数人の署名を行う方式としては、それぞれの署名者を検証できる多重署名(例えば、非特許文献1を参照)や、特定のグループに所属している人の誰かが署名したことを保証できるグループ署名(例えば、特許文献1を参照)が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−166687号公報
【特許文献2】特開平09−270787号公報
【特許文献3】特開2002−040935号公報
【非特許文献】
【0006】
【非特許文献1】新保 淳、「多重署名に適したElGamal署名の一変形方式」、暗号と情報セキュリティシンポジウム(CSS)、SCIS94−2C、電子情報通信学会、1994
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの多重署名やグループ署名では署名者が全て等価な関係で表現される。したがって、一例として示した多重署名システムにおいて電子データがどのように流通してきたのかを、この署名方式だけで表現することができない。
【0008】
これに対し、順序や上下関係を証明する方式としては順序付き多重署名方式(例えば、特許文献2、3を参照)があげられる。これにより署名者の順番が保証され、個人の上下関係が表現できる。しかしながら、これら既存の順序付き多重署名方式は、RSA(Rivest Shamir Adleman)問題ベースのものか、離散対数問題ベースのものが提案されている。RSA問題ベースでは、署名する人数が増えるほど署名サイズが大きくなってしまい、また、離散対数問題ベースでは、ゼロ知識証明を利用するために演算処理に負荷がかかり、効率的な処理にならない。また、両者共、同一のメッセージに対して複数人が署名を行う方式であるため、各署名者がそれぞれ異なるメッセージを対象とするアグリゲート署名を行うことができなかった。
【0009】
本発明は、上記課題を解決するため、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付き電子署名を行うことができるアグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明では、以下のような解決手段を提供する。
【0011】
(1)本発明に係るアグリゲート署名システムは、上記課題を解決するために、あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名システムであって、各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードは、以下の各部を備える。
(a)直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信部。
(b)自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算部。
(c)自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成部。
(d)直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信部。
【0012】
このような構成によれば、アグリゲート署名システムは、各ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに、直前のノードにより生成された署名情報を用いて、自身の署名情報を生成する。アグリゲート署名システムは、この署名情報により、各ノードに至るまでの署名順序を表現することができる。
【0013】
また、このように構成されることにより、アグリゲート署名システムは、署名鍵を知らない第三者がGDHグループの要素である楕円曲線上の点から署名鍵を求めることを、計算量的に困難にすることができる。また、署名者の数(ノードの数)が増えても、生成される署名情報は楕円曲線上の点であるため、署名情報のサイズ(容量)は増大せず一定値以下に抑制することができ、効率的にアグリゲート署名を生成することができる。
【0014】
(2)また、上記アグリゲート署名システムでは、前記署名情報生成部は、前記直前のノードが複数存在する場合、自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードそれぞれのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った複数の結果と、前記直前のノードそれぞれの署名情報とを総和して、自身の署名情報を生成することを特徴とする。
【0015】
このような構成によれば、アグリゲート署名システムは、各ノードにおいて、直前の一又は複数のノードのメッセージから得られたハッシュ値それぞれと、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、自身の署名情報を生成する。アグリゲート署名システムは、この署名情報により、各ノードに至るまでの木構造における署名順序を表現することができる。
なお、木構造とは、対称か非対称かを問わず、任意の構造を持つ木構造全てを指す。本発明は、この任意の構造を持つ木構造に対して適応可能である。
【0016】
(3)また、上記アグリゲート署名システムでは、前記各ノードは、自身の署名情報を公開する公開部を備えることを特徴とする。
【0017】
このような構成によれば、各ノードは、順序付きのアグリゲート署名である署名情報を他のノードに対して公開することができる。
【0018】
(4)また、上記アグリゲート署名システムでは、前記公開部は、前記各ノードの順序情報をさらに公開することを特徴とする。
【0019】
このような構成によれば、各ノードは、署名情報と共に、この署名情報が生成されるまでの過程で署名が行われたノードの順序を公開することができる。
【0020】
(5)本発明に係る検証システムは、上記課題を解決するために、上記アグリゲート署名システムに備えられている前記公開部により公開された署名情報を検証する検証システムであって、前記公開された署名情報が生成される過程の全てのノードのメッセージ又は当該メッセージのハッシュ値、及び当該全てのノードの検証鍵を収集する収集部と、前記収集部により収集されたメッセージに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの前記第2のGDHグループに属するハッシュ値を生成する検証ノード一方向性ハッシュ関数演算部と、前記全てのノードの検証鍵、及び前記全てのノードのメッセージのハッシュ値に基づいて、前記公開された署名情報の正当性を検証する検証部と、を備える。
【0021】
このような構成によれば、検証システムは、検証部により全てのノードの検証鍵とメッセージのハッシュ値とに基づいて、公開された署名情報の正当性を検証する。
【0022】
よって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、公開された署名情報を検証することにより、署名順序を証明することができる。すなわち、検証システムでは、検証ノードの処理負荷を低減して検証作業を実行することができる。
【0023】
(6)また、上記検証システムでは、前記検証部は、同一ノードの検証鍵及びハッシュ値によるペアリング演算の結果と、あるノードの検証鍵及び当該ノードの直前のノードのハッシュ値によるペアリング演算の結果とを全て乗じた値を、前記第1の値及び前記公開された署名情報によるペアリング演算の結果と比較し、双方が一致する場合、前記公開された署名情報が正当であると判定し、双方が一致しない場合、前記公開された署名情報が正当でないと判定することを特徴とする。
【0024】
このような構成によれば、検証システムは、ペアリング演算を用いたGDH署名により、順序付きアグリゲート署名の正当性を、効率的な演算処理で検証できる。
【0025】
(7)本発明に係るアグリゲート署名方法は、上記課題を解決するために、あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法であって、各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードが以下の各工程を実行する。
(a)直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程。
(b)自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程。
(c)自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程。
(d)直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程。
【0026】
(8)本発明に係るアグリゲート署名プログラムは、上記課題を解決するために、あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータに実行させるためのアグリゲート署名プログラムであって、各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードに、以下の各工程を実行させる。
(a)直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程。
(b)自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程。
(c)自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程。
(d)直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程。
【発明の効果】
【0027】
本発明によれば、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付きアグリゲート署名を行うことができる。
【図面の簡単な説明】
【0028】
【図1】第1実施形態に係るアグリゲート署名システムにおけるリーフノードの構成を示すブロック図である。
【図2】第1実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図3】第1実施形態に係るアグリゲート署名システムにおけるルートノードの構成を示すブロック図である。
【図4】第1実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【図5】第1実施形態において、リーフノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図6】第1実施形態において、中間ノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図7】第1実施形態において、ルートノードで署名情報を公開する方法についての説明に供するフローチャートである。
【図8】第1実施形態において、検証ノードで署名情報の正当性を検証する方法についての説明に供するフローチャートである。
【図9】第1実施形態において、アグリゲート署名システムの動作についての説明に供する図である。
【図10】第2実施形態に係るアグリゲート署名システムにおけるリーフノードの構成を示すブロック図である。
【図11】第2実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図12】第2実施形態に係るアグリゲート署名システムにおけるルートノードの構成を示すブロック図である。
【図13】第2実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【発明を実施するための形態】
【0029】
<第1実施形態>
以下、本発明の実施形態の一例である第1実施形態について説明する。本実施形態に係るアグリゲート署名システムは、複数のノードが木構造状に構成され、これら複数のノードで独立したメッセージに対して、下位のノードから順に順序付きの多重署名を行うシステムである。また、最上位のルートノードにより公開された署名情報は、検証システムにおける検証ノードにより正当性が検証される。
【0030】
ところで、各ノードには、予め重複しない署名鍵と検証鍵とが認証局(CA)によってそれぞれ割り当てられている。署名鍵は、所定の自然数(x)からなり、検証鍵は、GDH(GAP−Diffie−Hellman)グループ(G1)の要素である楕円曲線上の点(g1)と固有署名鍵(x)とに基づいて生成される楕円曲線上の点(v=xg1)からなることが好ましい。このように構成されることにより、署名鍵(x)を知らない第三者が「v」や「g1」の値から署名鍵(x)を求めることは計算量的に困難となる。
【0031】
ここで、本実施形態で採用される具体的な署名方式について説明する。アグリゲート署名システムでは、ベースとなる署名方式としてGAP−Diffie−Hellman(GDH)署名を採用する。GDH署名とは、Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名である。
【0032】
次に、ペアリング演算を用いたGDH署名について説明する。楕円曲線上のDiffie−Hellman問題に関連して、GDHグループが定義されている。GDHグループについて簡単に説明する。G1及びG2をそれぞれ異なる楕円曲線上の点の集合とする。g1を集合G1の、g2を集合G2の要素としたとき、楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0033】
DDH問題:あるa、b、cという自然数があり、gx、agx、bgx、cgx(xは1及び2)が与えられた時、c=abかどうかを判定する問題。
CDH問題:あるa、b、cという自然数があり、gx、agx、bgxが与えられた時、abgyを計算する問題(xは1及び2、yは1又は2)。
【0034】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GxをGDHグループと定義する。
【0035】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては次にあげる性質を持つことができるペアリングと呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(P,Q1+Q2)=e(P,Q1)e(P,Q2) ・・・(1)
e(P1+P2,Q)=e(P1,Q)e(P2,Q) ・・・(2)
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab ・・・(3)
【0036】
よって、gxがペアリング演算の可能な楕円曲線上の点である場合には、上記の性質から、(3)式にgx、agx、bgx、cgxを入力すると、例えば、
e(ag1,bg2)=e(g1,g2)ab ・・・(4)
e(g1,cg2)=e(g1,g2)c ・・・(5)
となる。したがって、両者の値が一致するかどうかにより、「ab=c」であるかどうかを判定でき、g1及びg2は、GDHグループG1又はG2の要素となりうる。
【0037】
この性質を利用してGDH署名が構成される。集合G1及びG2は、GDHグループであり、g1及びg2は、それぞれ集合G1及びG2の要素となる点とする。また、一方向性ハッシュ関数H2を、通常使用される任意のビット長のサイズの数値データが固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H2:{0,1}*→G2
のように、任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループG2の要素に写像変換する方式であると定義する。
【0038】
このとき、GDH署名は以下のように定義される。
鍵生成:自然数xを選び、g1からv=xg1を計算する。xを署名鍵、楕円曲線上の点vを検証鍵とする。
署名:署名者は、メッセージ「m∈{0,1}*」に対しh=H2(m)を計算し、さらに自分の署名鍵を用いてσ=xhを計算する。σをmに対する署名として公開する。
検証:検証者は、メッセージmからh=H2(m)を計算し、集合G1に属するg1及びvと、集合G2に属するh及びσを準備する。e(g1,σ)とe(v,h)を計算し、両者の値が一致したら、署名σは、正しい署名と判定する。
【0039】
このとき、hの値は集合G2の要素となるので、ある自然数yを用いてh=yg2と表現できる。その結果、正しく署名が行われていれば(g1,v,h,σ)=(g1,xg1,yg2,xyg2)となる。したがって、正当な署名であれば上記の検証でのペアリング演算は、e(g1,σ)=e(g1,xyg2)=e(g1,g2)xy=e(xg1,yg2)=e(v,h)となり、値が一致することから、検証可能となる。なお、GDHグループの条件であるCDH問題の困難性から、署名鍵xを知らない第三者がg1、g2、v、hの値から署名σを導出することは不可能である。
【0040】
木構造における最下位ノードであるリーフノード10は、図1に示すように、記憶部11と、リーフノード一方向性ハッシュ関数演算部12と、リーフノード署名情報生成部13と、リーフノード送信部14とを備える。
【0041】
記憶部11は、自身(署名者uleafのノード)に割り当てられている署名鍵(xleaf)と、集合G1に属する値g1(第1の値)に対して、この署名鍵により演算を行って生成される集合G1に属する検証鍵(vleaf=xleafg1)とを記憶する。
【0042】
リーフノード一方向性ハッシュ関数演算部12は、自身の署名対象であるメッセージ(mleaf)に対して、一方向性ハッシュ関数演算を行って、集合G2(第2のGDHグループ)に属するハッシュ値を生成する。
【0043】
リーフノード署名情報生成部13は、リーフノード一方向性ハッシュ関数演算部12により演算された、自身の署名対象であるメッセージ(mleaf)のハッシュ値(hleaf=H2(mleaf))に対して自身の署名鍵(xleaf)により演算を行い、署名情報(σleaf=xleafhleaf)を生成する。
【0044】
リーフノード送信部14は、生成した署名情報(σleaf)とメッセージ(mleaf)とを次(直上)のノード、すなわち中間ノード20へ送信する。
【0045】
また、木構造における最下位(リーフノード10)より上のノードである中間ノード20は、図2に示すように、記憶部21と、中間ノード受信部22と、中間ノード一方向性ハッシュ関数演算部23と、中間ノード署名情報生成部24と、中間ノード送信部25と、を備える。
【0046】
記憶部21は、自身(署名者uupのノード)に割り当てられている署名鍵(xup)と、集合G1に属する値g1に対して、この署名鍵により演算を行って生成される集合G1に属する検証鍵(vup=xupg1)とを記憶する。
【0047】
中間ノード受信部22は、直下の一又は複数のノード(署名者ulowのノード)の署名対象であるメッセージ(mlow)と、これら直下のノードにより生成された署名情報(σlow)と、を受信する。
【0048】
中間ノード一方向性ハッシュ関数演算部23は、直下のノードから受信したメッセージ(mlow)のそれぞれと、自身の署名対象であるメッセージ(mup)とに、それぞれ一方向性ハッシュ関数演算を行って、集合G2に属するハッシュ値を生成する。
【0049】
中間ノード署名情報生成部24は、自身のメッセージ(mup)から得られたハッシュ値(hup=H2(mup))に対して自身の固有署名鍵(xup)により演算を行った結果と、直下のノードのメッセージ(mlow)それぞれから得られたハッシュ値(hlow=H2(mlow))に対して自身の固有署名鍵(xup)により演算を行った結果と、直下のノードの署名情報(σlow)とを総和して、自身の中間ノード署名情報(σup=Σlow(σlow+xuphlow)+xuphup)を生成する(Σlowは、直下の一又は複数のノード全てについての総和を示す)。
【0050】
中間ノード送信部25は、次(直上)のノードが存在する場合に、自身の署名対象であるメッセージ(mup)と、中間ノード署名情報(σup)とを、次のノードへ送信する。
【0051】
このような構成によれば、アグリゲート署名システムは、各中間ノード20において、直下のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに直下のノードにより生成された署名情報を総和して、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの木構造における署名経路を保持し、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0052】
また、木構造における最上位の中間ノードであるルートノード30は、図3に示すように、記憶部31と、ルートノード受信部32と、ルートノード一方向性ハッシュ関数演算部33と、ルートノード署名情報生成部34と、公開部35とを備える。
【0053】
記憶部31は、自身(署名者urootのノード)に割り当てられている署名鍵(xroot)と、集合G1に属する値g1に対して、この署名鍵により演算を行って生成される集合G1に属する検証鍵(vroot=xrootg1)を記憶する。
【0054】
なお、ルートノード受信部32は、中間ノード受信部22と同一の構成であり、ルートノード一方向性ハッシュ関数演算部33は、中間ノード一方向性ハッシュ関数演算部23と同一の構成であり、ルートノード署名情報生成部34は、中間ノード署名情報生成部24と同一の構成である。
【0055】
公開部35は、ルートノード署名情報生成部34により生成されたルートノード署名情報を公開する。このような構成によれば、ルートノード30は、自身が生成した署名情報(σroot)を他のノード、特に後述の検証システムにおける検証ノード40に対して公開署名情報(σ)として公開することができる。
【0056】
また、公開部35は、署名順序を示す木構造内における署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報も公開する。
【0057】
次に、ルートノード30により公開された公開署名情報(σ)を検証する検証システムについて説明する。検証システムが有する検証ノード40は、図4に示すように、収集部41と、検証ノード一方向性ハッシュ関数演算部42と、検証部43とを備える。
【0058】
収集部41は、署名を行った全てのノード(リーフノード10、中間ノード20、ルートノード30)それぞれのメッセージ(mi)と、検証鍵(vi)とを収集する。このとき、収集部41は、木構造内における署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報を、必ずしも入手しなくてもよいが、ルートノード30から入手するようにしておくことも好ましい。収集部41がこれらの情報を入手しない場合でも、検証部43は、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関して、全ての組み合わせを演算することにより、公開署名情報の正当性を検証することが可能である。しかし、収集部41がこれらの情報を入手し検証部43へ受け渡すようにしておくと、これらの情報がない場合に比べて検証部43の演算量が少なくてすむ。
【0059】
検証ノード一方向性ハッシュ関数演算部42は、収集部41により収集された各メッセージ(mi)に対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの集合G2に属するハッシュ値(hi=H2(mi))を生成する。
【0060】
検証部43は、収集部41により収集された全てのノードの検証鍵と、検証ノード一方向性ハッシュ関数演算部42により得られたハッシュ値と、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開署名情報(σ)の正当性を検証する。このとき、検証部43は、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報がない場合、これらの対応関係に関する全ての組み合わせを演算する。
【0061】
具体的には、検証部43は、各ノードの検証鍵とハッシュ値とから、同一ノードの検証鍵及びハッシュ値によるペアリング演算の結果と、あるノードの検証鍵及び直前のノードのハッシュ値によるペアリング演算の結果とを全て乗じた値、すなわち、
{Πall−node(e(vi,hi))}{Π(e(vup,hlow))}
を計算する。そして、検証部43は、この計算結果を、g1及び公開署名情報(σ)によるペアリング演算の結果、すなわち、
e(g1,σ)
と比較し、双方が一致する場合、公開署名情報が正当であると判定し、双方が一致しない場合、公開署名情報が正当でないと判定する。
【0062】
このようにして検証ノード40は、検証部43により、全てのノードの検証鍵と、メッセージのハッシュ値と、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開されているルートノード30の署名情報の正当性を検証することができる。ここで、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報については、これらの情報がなくても、検証部43は、署名情報の正当性を検証することが可能である。
【0063】
したがって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、ルートノード30により公開された署名情報を数値演算のみで検証することにより、木構造におけるノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証ノード40の処理負荷を低減して効率的に検証作業を実行することができる。なお、検証ノード40は、検証専用のノードであってもよいし、アグリゲート署名システムのいずれかの中間ノード20やルートノード30であってもよい。
【0064】
次に、アグリゲート署名システムにおいて、各ノードの署名情報を生成する方法と、検証システムにおいて、署名情報の正当性を検証する方法について説明する。
【0065】
リーフノード10(署名者uleaf)は、図5に示すように、リーフノード一方向性ハッシュ関数演算工程ST1と、リーフノード署名情報生成工程ST2と、リーフノード送信工程ST3とにより、リーフノード署名情報を生成して直上のノード(中間ノード20)へ送信する。
【0066】
リーフノード一方向性ハッシュ関数演算工程ST1において、リーフノード10におけるリーフノード一方向性ハッシュ関数演算部12は、自身のメッセージ(mleaf)に対して、一方向性ハッシュ関数演算を行う。
【0067】
リーフノード署名情報生成工程ST2において、リーフノード10におけるリーフノード署名情報生成部13は、リーフノード一方向性ハッシュ関数演算工程ST1により演算されたハッシュ値(hleaf)に対して、自身の署名鍵(xleaf)により演算を行い、署名情報(σleaf)を生成する。
【0068】
リーフノード送信工程ST3において、リーフノード10におけるリーフノード送信部14は、リーフノード署名情報生成工程ST2により生成された署名情報(σleaf)を、直上の中間ノード20へ送信する。
【0069】
リーフノード10以外の中間ノード20(署名者uup)は、図6に示すように、中間ノード受信工程ST11と、中間ノード一方向性ハッシュ関数演算工程ST12と、中間ノード署名情報生成工程ST13と、中間ノード送信工程ST14とにより、中間ノード署名情報を生成して直上の中間ノード20へ送信する。
【0070】
中間ノード受信工程ST11において、署名者uupのノードにおける中間ノード受信部22は、直下のノード(署名者ulow)のメッセージ(mlow)、及び直下のノードにより生成された署名情報(σlow)を受信する。
【0071】
中間ノード一方向性ハッシュ関数演算工程ST12において、署名者uupのノードにおける中間ノード一方向性ハッシュ関数演算部23は、直下のノードのメッセージ(mlow)及び自身のメッセージ(mlow)に対して、それぞれ一方向性ハッシュ関数演算を行う。
【0072】
中間ノード署名情報生成工程ST13において、署名者uupのノードにおける中間ノード署名情報生成部24は、自身のメッセージから演算により得られたハッシュ値(hup)に対して自身の署名鍵(xup)により演算を行った結果と、直下のノードのメッセージから演算により得られたハッシュ値(hlow)に対して自身の署名鍵(xup)により演算を行った結果と、直下のノードから受信した署名情報(σlow)とを総和して、自身のノードの署名情報(σup)を生成する。
【0073】
中間ノード送信工程ST14において、署名者uupのノードにおける中間ノード送信部25は、木構造における直上のノードが存在する場合に、自身のメッセージ(mup)及び自身のノードの署名情報(σup)を、直上のノードへ送信する。
【0074】
また、木構造における最上位のノードであるルートノード30(署名者uroot)は、図7に示すように、ルートノード受信工程ST21と、ルートノード一方向性ハッシュ関数演算工程ST22と、ルートノード署名情報生成工程ST23と、署名情報公開工程ST24とにより、アグリゲート署名システムにおける公開署名情報(σ)を公開する。
【0075】
ルートノード受信工程ST21において、ルートノード30におけるルートノード受信部32は、直下のノード(署名者ulow)のメッセージ(mlow)、及び直下のノードにより生成された署名情報(σlow)を受信する。
【0076】
ルートノード一方向性ハッシュ関数演算工程ST22において、ルートノード30におけるルートノード一方向性ハッシュ関数演算部33は、直下のノードのメッセージ(mlow)及び自身のメッセージ(mroot)に対して、それぞれ一方向性ハッシュ関数演算を行う。
【0077】
ルートノード署名情報生成工程ST23において、ルートノード30におけるルートノード署名情報生成部34は、自身のメッセージから演算により得られたハッシュ値(hroot)に対して自身の署名鍵(xroot)により演算を行った結果と、直下のノードのメッセージから演算により得られたハッシュ値(hlow)に対して自身の署名鍵(xroot)により演算を行った結果と、直下のノードから受信した署名情報(σlow)とを総和して、自身のノードの署名情報(σroot)を生成する。
【0078】
署名情報公開工程ST24において、ルートノード30における公開部35は、ルートノード署名情報生成工程ST23により生成された署名情報を、公開署名情報(σ)として公開する。
【0079】
このように、アグリゲート署名システムに係るアグリゲート署名方法によれば、各中間ノード20において、直下のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに直下のノードにより生成された署名情報を総和して、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの署名経路を保持し、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0080】
また、検証システムにおける検証ノード40は、図8に示すように、収集工程ST31と、検証ノード一方向性ハッシュ関数演算工程ST32と、検証工程ST33とにより、公開署名情報(σ)の正当性を検証する。
【0081】
収集工程ST31において、収集部41は、署名が行われた全てのノードのメッセージ(mi)、及びこれら全てのノードの検証鍵(vi)を収集する。
【0082】
検証ノード一方向性ハッシュ関数演算工程ST32において、検証ノード一方向性ハッシュ関数演算部42は、収集工程ST31により収集されたメッセージのそれぞれに対して、一方向性ハッシュ関数演算を行う。
【0083】
検証工程ST33において、検証部43は、収集工程ST31により収集された全てのノードの検証鍵、及び全てのノードのメッセージから検証ノード一方向性ハッシュ関数演算工程ST32で得られたハッシュ値に基づいて、公開署名情報(σ)の正当性を検証する。
【0084】
このようにして、検証システムは、検証工程ST33により、全てのノードの検証鍵とメッセージのハッシュ値とに基づいて、公開されている中間ノード署名情報(公開署名情報σ)の正当性を検証することができる。
【0085】
したがって、検証システムに係る検証方法では、各ノードにて生成される個々の署名情報等を検証することなく、ルートノード30により公開された署名情報を数値演算のみで検証することにより、木構造におけるノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証工程ST33の処理負荷を低減して検証作業を実行することができる。
【0086】
[実施例]
ここで、木構造が3分木3階層で構成されている場合におけるアグリゲート署名システムの動作について図9を参照しながら具体的に説明する。なお、以下では、第1層をルートノード30であるとし、第2層を中間ノード20とし、第3層をリーフノード10とする。
【0087】
すなわち、第1層には、一つのルートノード30が配置されている。また、第2層には、三つの中間ノード20が配置され、urootの直下にu1からu3が配置されている。また、第3層には、九つのリーフノード10が配置され、u1の直下にu11からu13が配置され、u2の直下にu21からu23が配置され、u3の直下にu31からu33が配置されている。
【0088】
また、認証局(CA)は、予め各ノードに重複しない署名鍵と検証鍵を、以下のように付与している。なお、sとtはそれぞれ、1≦s≦3、1≦t≦3となる整数の符号である。
第1層:(署名鍵,検証鍵)=(xroot,vroot)=(xroot,xrootg1)
第2層:(署名鍵,検証鍵)=(xs,vs)=(xs,xsg1)
第3層:(署名鍵,検証鍵)=(xst,vst)=(xst,xstg1)
【0089】
第3層の九つのリーフノード10(ユーザust)は、自身の署名対象であるメッセージ(mst)に対してハッシュ値(hst=H2(mst))を求め、ハッシュ値に対して自身の署名鍵xstにより演算を行い、署名情報(σst=xsthst)を生成する。また、リーフノード10(ユーザust)は、生成した署名情報(σst)と、メッセージ(mst)とを直上のノード(ユーザus)に送信する。
【0090】
第2層の三つの中間ノード20(ユーザus)は、まず自身の署名対象であるメッセージ(ms)から、ハッシュ値(hs=H2(ms))を求める。
次に、中間ノード20(ユーザus)は、直下のノード(ユーザus1、us2、us3)から受信したメッセージ(ms1、ms2、ms3)から、ハッシュ値(hs1=H2(ms1)、hs2=H2(ms2)、hs3=H2(ms3))を求める。
【0091】
さらに、中間ノード20(ユーザus)は、直下のノードから受信した署名情報(σs1、σs2、σs3)を用いて、
σs=σs1+xshs1+σs2+xshs2+σs3+xshs3
+xshs ・・・(6)
=xs1hs1+xshs1+xs2hs2+xshs2
+xs3hs3+xshs3+xshs ・・・(7)
を計算する。そして、中間ノード20(ユーザus)は、生成した署名情報(σs)と、メッセージ(ms)とを直上のノード(ユーザuroot)に送信する。
【0092】
第1層のルートノード30(ユーザuroot)は、まず自身の署名対象であるメッセージ(mroot)から、ハッシュ値(hroot=H2(mroot))を求める。
次に、ルートノード30(ユーザuroot)は、直下のノード(ユーザu1、u2、u3)から受信したメッセージ(m1、m2、m3)から、ハッシュ値(h1=H2(m1)、h2=H2(m2)、h3=H2(m3))を求める。
【0093】
さらに、ルートノード30(ユーザuroot)は、直下のノードから受信した署名情報(σ1、σ2、σ3)を用いて、
σ=σ1+xrooth1+σ2+xrooth2+σ3+xrooth3
+xroothroot ・・・(8)
=x11h11+x1h11+x12h12+x1h12
+x13h13+x1h13+x1h1+xrooth1
+x21h21+x2h21+x22h22+x2h22
+x23h23+x2h23+x2h2+xrooth2
+x31h31+x3h31+x32h32+x3h32
+x33h33+x3h33+x3h3+xrooth3
+xroothroot ・・・(9)
を計算する。そして、ルートノード30(ユーザuroot)は、生成した署名情報(σ)を、全ユーザのアグリゲート署名情報として公開する。
【0094】
また、ルートノード30は、署名者の木構造における署名位置情報も公開する。署名位置情報は、例えば、{(u11,u1),(u12,u1),(u13,u1),(u21,u2),(u22,u2),(u23,u2),(u31,u3),(u32,u3),(u33,u3),(u1,uroot),(u2,uroot),(u3,uroot)}のように、隣接するノードの組み合わせの列として表現される。
【0095】
このようにして、アグリゲート署名システムは、木構造上において連続(隣接)する2つのノード間の関係を署名鍵とハッシュ値の積で表すことにより、木構造を表現することができる。また、ノードの数が増えても、公開されるのは、ルートノード30で生成される公開署名情報(σ)である。この署名情報は楕円曲線上の点であるため、情報のサイズ(容量)は増大せず、一定値以下に抑制することができ、効率的に順序付きアグリゲート署名を生成することができる。
【0096】
また、検証ノード40は、以下の検証過程1から検証過程3により公開署名情報(σ)の正当性を検証する。
【0097】
(検証過程1)検証ノード40は、署名を行った全てのノードが署名対象としたメッセージ(mroot、m1、m2、m3、m11、m12、m13、m21、m22、m23、m31、m32、m33)を収集し、これらに対してハッシュ値(hroot=H2(mroot)、h1=H2(m1)、h2=H2(m2)、h3=H2(m3)、h11=H2(m11)、h12=H2(m12)、h13=H2(m13)、h21=H2(m21)、h22=H2(m22)、h23=H2(m23)、h31=H2(m31)、h32=H2(m32)、h33=H2(m33))を求める。
【0098】
(検証過程2)検証ノード40は、署名を行った全てのノードの検証鍵(vroot、v1、v2、v3、v11、v12、v13、v21、v22、v23、v31、v32、v33)を収集する。
【0099】
(検証過程3)検証ノード40は、公開された公開署名情報(σ)の正当性を検証する。具体的には、検証ノード40は、検証過程1で求めたハッシュ値と、収集した全てのノードの検証鍵とから、
e(v11,h11)・e(v1,h11)
・e(v12,h12)・e(v1,h12)
・e(v13,h13)・e(v1,h13)
・e(v1,h1)・e(vroot,h1)
・e(v21,h21)・e(v2,h21)
・e(v22,h22)・e(v2,h22)
・e(v23,h23)・e(v2,h23)
・e(v2,h2)・e(vroot,h2)
・e(v31,h31)・e(v3,h31)
・e(v32,h32)・e(v3,h32)
・e(v33,h33)・e(v3,h33)
・e(v3,h3)・e(vroot,h3)
・e(vroot,hroot) ・・・(10)
を計算し、この値とe(g1,σ)の値が一致することを確認する。これらの値が一致した場合には、公開署名情報(σ)が正当であると判断する。
【0100】
ここで、(検証過程3)における「e(g1,σ)」を展開すると、
e(g1,σ)
=e(g1,x11h11)・e(g1,x1h11)
・e(g1,x12h12)・e(g1,x1h12)
・e(g1,x13h13)・e(g1,x1h13)
・e(g1,x1h1)・e(g1,xrooth1)
・e(g1,x21h21)・e(g1,x2h21)
・e(g1,x22h22)・e(g1,x2h22)
・e(g1,x23h23)・e(g1,x2h23)
・e(g1,x2h2)・e(g1,xrooth2)
・e(g1,x31h31)・e(g1,x3h31)
・e(g1,x32h32)・e(g1,x3h32)
・e(g1,x33h33)・e(g1,x3h33)
・e(g1,x3h3)・e(g1,xrooth3)
・e(g1,xroothroot) ・・・(11)
=e(x11g1,h11)・e(x1g1,h11)
・e(x12g1,h12)・e(x1g1,h12)
・e(x13g1,h13)・e(x1g1,h13)
・e(x1g1,h1)・e(xrootg1,h1)
・e(x21g1,h21)・e(x2g1,h21)
・e(x22g1,h22)・e(x2g1,h22)
・e(x23g1,h23)・e(x2g1,h23)
・e(x2g1,h2)・e(xrootg1,h2)
・e(x31g1,h31)・e(x3g1,h31)
・e(x32g1,h32)・e(x3g1,h32)
・e(x33g1,h33)・e(x3g1,h33)
・e(x3g1,h3)・e(xrootg1,h3)
・e(xrootg1,hroot) ・・・(12)
=e(v11,h11)・e(v1,h11)
・e(v12,h12)・e(v1,h12)
・e(v13,h13)・e(v1,h13)
・e(v1,h1)・e(vroot,h1)
・e(v21,h21)・e(v2,h21)
・e(v22,h22)・e(v2,h22)
・e(v23,h23)・e(v2,h23)
・e(v2,h2)・e(vroot,h2)
・e(v31,h31)・e(v3,h31)
・e(v32,h32)・e(v3,h32)
・e(v33,h33)・e(v3,h33)
・e(v3,h3)・e(vroot,h3)
・e(vroot,hroot) ・・・(13)
となり、署名の過程が正しく行われていれば、(10)式と一致する。よって、公開されているユーザの検証鍵と、全てのメッセージから求めたハッシュ値とから、アグリゲート署名の検証が可能となる。
【0101】
ここで、σの値に着目すると、ユーザustはhstにのみ署名処理(xsthstの演算)を行っており、他のhs及びhrootにはこのような署名処理を行っていない。これにより、ユーザustが最初、すなわち木構造におけるリーフノード10の署名者であることが分かる。
【0102】
また、「xshst」の項により、この最初の署名者が署名処理したhstに対して署名処理を行っているのがユーザusであることが表されているので、このユーザusが2番目(中間ノード20)の署名者であることが分かる。ユーザusは同時にhsに対して署名処理(xshs)を行っている。同様に「xrooths」の項により、このhsに対して署名処理を行っているのがユーザurootであることが表されているので、このユーザurootが3番目の署名者であることが分かる。
【0103】
さらに、hrootに対して署名処理を行っているユーザはなく、ユーザurootで収束しているため、この3番目の署名者がルートノード30であることが分かる。
【0104】
また、(11)式において、CDH問題や楕円曲線上の離散対数問題から、秘密情報である署名鍵を知らない第三者が、右辺の各項(xαhβ又はxβhβ)を任意に取り除くことはできないため、第三者による順序の入れ替えは不可能である。すなわち、アグリゲート署名システム及び検証システムが採用する本署名方式は、木構造における署名順序を署名鍵とハッシュ値の積により表現することができる。
【0105】
また、署名者の数(ノードの数)が増えても、公開される情報は公開署名情報(σ)のみである。この公開署名情報(σ)は一つの楕円曲線上の点であるため、情報のサイズ(容量)は増大せず、一定値以下に抑制することができる。
【0106】
さらに、検証システムでは、検証過程3で示した数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。したがって、順序管理のための装置を別途用意することなく、検証システムの処理負荷を低減して効率的に検証作業を実行することができる。
【0107】
<第2実施形態>
以下、本発明の実施形態の一例である第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
【0108】
本実施形態に係るアグリゲート署名システムにおいて、リーフノード10は、リーフノード一方向性ハッシュ関数演算部12及びリーフノード送信部14の構成が第1実施形態と異なる。
すなわち、リーフノード送信部14は、リーフノード一方向性ハッシュ関数演算部12の演算結果であるハッシュ値(hleaf)とリーフノード署名情報(σleaf)とを、直上のノード(中間ノード20)へ送信する。
【0109】
中間ノード20は、中間ノード受信部22、中間ノード一方向性ハッシュ関数演算部23、及び中間ノード送信部25の構成が第1実施形態と異なる。
すなわち、中間ノード受信部22は、直下のノードから、メッセージ(mlow)の代わりにハッシュ値(hlow)を受信して中間ノード署名情報生成部24へ供給する。これにより、中間ノード20は、直前のノードのメッセージ(mlow)に対して一方向性ハッシュ関数演算を行う必要がなくなる。
【0110】
また、中間ノード送信部25は、中間ノード一方向性ハッシュ関数演算部23の演算結果であるハッシュ値(hup)と中間ノード署名情報(σup)とを、直上のノードへ送信する。
【0111】
ルートノード30は、ルートノード受信部32及びルートノード一方向性ハッシュ関数演算部33の構成が第1実施形態と異なる。
すなわち、ルートノード受信部32は、直下のノードから、メッセージ(mlow)の代わりにハッシュ値(hlow)を受信してルートノード署名情報生成部34へ供給する。これにより、ルートノード30は、直下のノードのメッセージ(mlow)に対して一方向性ハッシュ関数演算を行う必要がなくなる。
【0112】
本実施形態に係る検証システムにおいて、検証ノード40は、収集部41の構成が第1実施形態と異なる。さらに、検証ノード40は、第1実施形態における検証ノード一方向性ハッシュ関数演算部42を必要としない。
【0113】
すなわち、収集部41は、各ノードから、メッセージ(mi)の代わりにハッシュ値(hi)を受信して検証部43へ供給する。これにより、検証ノード40は、各ノードのメッセージ(mi)に対して一方向性ハッシュ関数演算を行う必要がなくなる。
【0114】
本実施形態によれば、各ノードにおける一方向性ハッシュ関数演算の処理負荷を低減することができる。
具体的には、第1実施形態における中間ノード一方向性ハッシュ関数演算工程ST12と、ルートノード一方向性ハッシュ関数演算工程ST22の処理負荷が低減され、検証ノード一方向性ハッシュ関数演算工程ST32は不要となる。
【0115】
なお、各ノード間においては、メッセージ(mi)又はハッシュ値(hi)のいずれかが送受信されればよく、アグリゲート署名システム及び検証システム内において統一されていなくてもよい。また、メッセージ及びハッシュ値の双方を送受信することとしてもよい。
【0116】
以上で説明した各実施形態におけるアグリゲート署名システム及び検証システムは、各ノードで独立したメッセージを署名対象とするので、例えば署名済みの素材を集めてコンテンツを生成する場合のように、下位(部分)から上位(全体)へのボトムアップの署名方式を提供することができる。
【0117】
また、上述の各実施形態において、ペアリング関数への入力である2つの引数は、ペアリングの演算が可能な楕円曲線上の点g1又はg2のスカラー倍として表されるが、この楕円曲線は、第1引数と第2引数とで異なっている。すなわち、ペアリング関数の第1引数用と第2引数用とに、それぞれ異なる楕円曲線(G1又はG2)上の2点(g1又はg2)が与えられている。具体的には、第1引数に関する検証鍵は、g1のスカラー倍(G1上の点)となり、第2引数に関するハッシュ値及び署名情報は、g2のスカラー倍(G2上の点)となる。
【0118】
このことにより、演算回数が増加する場合があるが、ペアリング関数の演算において並列して処理できるため、計算時間の短縮が期待できる。
また、集合G1又はG2のいずれかに不具合が発見された場合、一方を共用する、又は他のGDHグループに交換することにより、アグリゲート署名システム及び検証システムが維持される
【0119】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【0120】
上述の実施形態では、ルートノード30が公開部35を備えているが、他のノード(中間ノード20、リーフノード10)も備えていてよい。この場合、検証ノード40は、公開された署名情報に基づいて、公開したノードに至るまでの署名経路の正当性を検証可能である。さらに、各ノードの公開部35は、自身のノードの検証鍵を公開し、検証ノード40へ提供してもよい。
【0121】
また、上述の実施形態では、署名鍵及び検証鍵は、認証局によって割り当てられることとしたが、本発明はこれには限られない。例えば、アグリゲート署名システムにおいて、署名鍵となる自然数x、及び集合G1に属する値g1を決定し、検証鍵を演算により算出(v=xg1)してもよい。
【0122】
また、上述の実施形態では、中間ノード20に対して直下のノードが複数存在する木構造における順序付き多重署名について説明したが、本発明はこれには限られない。すなわち、中間ノード20に対して直下のノードが単一であり、複数のノードが一列に連なっている場合にも、本発明は適用可能である。
【0123】
この場合、アグリゲート署名システム及び検証システムは、各ノードで独立したメッセージを署名対象とするので、例えば電子掲示板やブログのコメント等のように、前のメッセージを受けて次のメッセージを追加する連作に対して利用することができる。
【0124】
なお、この場合、ルートノード30(最終ノード)が公開する署名者の署名順序情報(署名位置情報)は、例えば、{(1,u1),(2,u2),・・・,(k,uk)}のように、順序番号を付加したノードの列として表現される。
【0125】
また、アグリゲート署名システム及び検証システムによる一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【符号の説明】
【0126】
10 リーフノード
11 記憶部
12 リーフノード一方向性ハッシュ関数演算部
13 リーフノード署名情報生成部
14 リーフノード送信部
20 中間ノード
21 記憶部
22 中間ノード受信部
23 中間ノード一方向性ハッシュ関数演算部
24 中間ノード署名情報生成部
25 中間ノード送信部
30 ルートノード
31 記憶部
32 ルートノード受信部
33 ルートノード一方向性ハッシュ関数演算部
34 ルートノード署名情報生成部
35 公開部
40 検証ノード
41 収集部
42 検証ノード一方向性ハッシュ関数演算部
43 検証部
【技術分野】
【0001】
本発明は、電子署名を利用した電子データのアグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラムに関する。
【背景技術】
【0002】
現在、さまざまな電子情報がネットワークやメディアを介して送信されている。会社やコミュニティーのような組織においても、報告書やレポート、稟議書、連絡簿等さまざまな情報が電子化され、社員又はメンバー間でネットワークを経由して回覧されている。
【0003】
その情報の発信源あるいは閲覧済みであることを保証する仕組みとして電子署名がある。この電子署名を利用することにより、特定の人しか知りえない署名鍵と電子情報を入力値として署名の演算を行い、検証者が検証鍵と言われる公開された情報と署名されたデータを入力値として検証演算を行うことで、その特定の人がそのデータの発信源であることを確認することが可能となる。ここで、検証鍵から署名鍵を導出することは、計算量的に不可能であることから、他の人がその特定者に成りすまして署名を行うことができないため、その署名の正当性が保証される。
【0004】
また、組織における電子情報の回覧においては、複数の人が介在して署名を行うケースが想定され、例えば、電子データの回覧や会社における承認システムがそれに該当する。複数人の署名を行う方式としては、それぞれの署名者を検証できる多重署名(例えば、非特許文献1を参照)や、特定のグループに所属している人の誰かが署名したことを保証できるグループ署名(例えば、特許文献1を参照)が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−166687号公報
【特許文献2】特開平09−270787号公報
【特許文献3】特開2002−040935号公報
【非特許文献】
【0006】
【非特許文献1】新保 淳、「多重署名に適したElGamal署名の一変形方式」、暗号と情報セキュリティシンポジウム(CSS)、SCIS94−2C、電子情報通信学会、1994
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの多重署名やグループ署名では署名者が全て等価な関係で表現される。したがって、一例として示した多重署名システムにおいて電子データがどのように流通してきたのかを、この署名方式だけで表現することができない。
【0008】
これに対し、順序や上下関係を証明する方式としては順序付き多重署名方式(例えば、特許文献2、3を参照)があげられる。これにより署名者の順番が保証され、個人の上下関係が表現できる。しかしながら、これら既存の順序付き多重署名方式は、RSA(Rivest Shamir Adleman)問題ベースのものか、離散対数問題ベースのものが提案されている。RSA問題ベースでは、署名する人数が増えるほど署名サイズが大きくなってしまい、また、離散対数問題ベースでは、ゼロ知識証明を利用するために演算処理に負荷がかかり、効率的な処理にならない。また、両者共、同一のメッセージに対して複数人が署名を行う方式であるため、各署名者がそれぞれ異なるメッセージを対象とするアグリゲート署名を行うことができなかった。
【0009】
本発明は、上記課題を解決するため、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付き電子署名を行うことができるアグリゲート署名システム、検証システム、アグリゲート署名方法及びアグリゲート署名プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明では、以下のような解決手段を提供する。
【0011】
(1)本発明に係るアグリゲート署名システムは、上記課題を解決するために、あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名システムであって、各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードは、以下の各部を備える。
(a)直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信部。
(b)自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算部。
(c)自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成部。
(d)直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信部。
【0012】
このような構成によれば、アグリゲート署名システムは、各ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに、直前のノードにより生成された署名情報を用いて、自身の署名情報を生成する。アグリゲート署名システムは、この署名情報により、各ノードに至るまでの署名順序を表現することができる。
【0013】
また、このように構成されることにより、アグリゲート署名システムは、署名鍵を知らない第三者がGDHグループの要素である楕円曲線上の点から署名鍵を求めることを、計算量的に困難にすることができる。また、署名者の数(ノードの数)が増えても、生成される署名情報は楕円曲線上の点であるため、署名情報のサイズ(容量)は増大せず一定値以下に抑制することができ、効率的にアグリゲート署名を生成することができる。
【0014】
(2)また、上記アグリゲート署名システムでは、前記署名情報生成部は、前記直前のノードが複数存在する場合、自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードそれぞれのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った複数の結果と、前記直前のノードそれぞれの署名情報とを総和して、自身の署名情報を生成することを特徴とする。
【0015】
このような構成によれば、アグリゲート署名システムは、各ノードにおいて、直前の一又は複数のノードのメッセージから得られたハッシュ値それぞれと、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、自身の署名情報を生成する。アグリゲート署名システムは、この署名情報により、各ノードに至るまでの木構造における署名順序を表現することができる。
なお、木構造とは、対称か非対称かを問わず、任意の構造を持つ木構造全てを指す。本発明は、この任意の構造を持つ木構造に対して適応可能である。
【0016】
(3)また、上記アグリゲート署名システムでは、前記各ノードは、自身の署名情報を公開する公開部を備えることを特徴とする。
【0017】
このような構成によれば、各ノードは、順序付きのアグリゲート署名である署名情報を他のノードに対して公開することができる。
【0018】
(4)また、上記アグリゲート署名システムでは、前記公開部は、前記各ノードの順序情報をさらに公開することを特徴とする。
【0019】
このような構成によれば、各ノードは、署名情報と共に、この署名情報が生成されるまでの過程で署名が行われたノードの順序を公開することができる。
【0020】
(5)本発明に係る検証システムは、上記課題を解決するために、上記アグリゲート署名システムに備えられている前記公開部により公開された署名情報を検証する検証システムであって、前記公開された署名情報が生成される過程の全てのノードのメッセージ又は当該メッセージのハッシュ値、及び当該全てのノードの検証鍵を収集する収集部と、前記収集部により収集されたメッセージに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの前記第2のGDHグループに属するハッシュ値を生成する検証ノード一方向性ハッシュ関数演算部と、前記全てのノードの検証鍵、及び前記全てのノードのメッセージのハッシュ値に基づいて、前記公開された署名情報の正当性を検証する検証部と、を備える。
【0021】
このような構成によれば、検証システムは、検証部により全てのノードの検証鍵とメッセージのハッシュ値とに基づいて、公開された署名情報の正当性を検証する。
【0022】
よって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、公開された署名情報を検証することにより、署名順序を証明することができる。すなわち、検証システムでは、検証ノードの処理負荷を低減して検証作業を実行することができる。
【0023】
(6)また、上記検証システムでは、前記検証部は、同一ノードの検証鍵及びハッシュ値によるペアリング演算の結果と、あるノードの検証鍵及び当該ノードの直前のノードのハッシュ値によるペアリング演算の結果とを全て乗じた値を、前記第1の値及び前記公開された署名情報によるペアリング演算の結果と比較し、双方が一致する場合、前記公開された署名情報が正当であると判定し、双方が一致しない場合、前記公開された署名情報が正当でないと判定することを特徴とする。
【0024】
このような構成によれば、検証システムは、ペアリング演算を用いたGDH署名により、順序付きアグリゲート署名の正当性を、効率的な演算処理で検証できる。
【0025】
(7)本発明に係るアグリゲート署名方法は、上記課題を解決するために、あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法であって、各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードが以下の各工程を実行する。
(a)直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程。
(b)自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程。
(c)自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程。
(d)直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程。
【0026】
(8)本発明に係るアグリゲート署名プログラムは、上記課題を解決するために、あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータに実行させるためのアグリゲート署名プログラムであって、各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードに、以下の各工程を実行させる。
(a)直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程。
(b)自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程。
(c)自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程。
(d)直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程。
【発明の効果】
【0027】
本発明によれば、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付きアグリゲート署名を行うことができる。
【図面の簡単な説明】
【0028】
【図1】第1実施形態に係るアグリゲート署名システムにおけるリーフノードの構成を示すブロック図である。
【図2】第1実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図3】第1実施形態に係るアグリゲート署名システムにおけるルートノードの構成を示すブロック図である。
【図4】第1実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【図5】第1実施形態において、リーフノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図6】第1実施形態において、中間ノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図7】第1実施形態において、ルートノードで署名情報を公開する方法についての説明に供するフローチャートである。
【図8】第1実施形態において、検証ノードで署名情報の正当性を検証する方法についての説明に供するフローチャートである。
【図9】第1実施形態において、アグリゲート署名システムの動作についての説明に供する図である。
【図10】第2実施形態に係るアグリゲート署名システムにおけるリーフノードの構成を示すブロック図である。
【図11】第2実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図12】第2実施形態に係るアグリゲート署名システムにおけるルートノードの構成を示すブロック図である。
【図13】第2実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【発明を実施するための形態】
【0029】
<第1実施形態>
以下、本発明の実施形態の一例である第1実施形態について説明する。本実施形態に係るアグリゲート署名システムは、複数のノードが木構造状に構成され、これら複数のノードで独立したメッセージに対して、下位のノードから順に順序付きの多重署名を行うシステムである。また、最上位のルートノードにより公開された署名情報は、検証システムにおける検証ノードにより正当性が検証される。
【0030】
ところで、各ノードには、予め重複しない署名鍵と検証鍵とが認証局(CA)によってそれぞれ割り当てられている。署名鍵は、所定の自然数(x)からなり、検証鍵は、GDH(GAP−Diffie−Hellman)グループ(G1)の要素である楕円曲線上の点(g1)と固有署名鍵(x)とに基づいて生成される楕円曲線上の点(v=xg1)からなることが好ましい。このように構成されることにより、署名鍵(x)を知らない第三者が「v」や「g1」の値から署名鍵(x)を求めることは計算量的に困難となる。
【0031】
ここで、本実施形態で採用される具体的な署名方式について説明する。アグリゲート署名システムでは、ベースとなる署名方式としてGAP−Diffie−Hellman(GDH)署名を採用する。GDH署名とは、Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名である。
【0032】
次に、ペアリング演算を用いたGDH署名について説明する。楕円曲線上のDiffie−Hellman問題に関連して、GDHグループが定義されている。GDHグループについて簡単に説明する。G1及びG2をそれぞれ異なる楕円曲線上の点の集合とする。g1を集合G1の、g2を集合G2の要素としたとき、楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0033】
DDH問題:あるa、b、cという自然数があり、gx、agx、bgx、cgx(xは1及び2)が与えられた時、c=abかどうかを判定する問題。
CDH問題:あるa、b、cという自然数があり、gx、agx、bgxが与えられた時、abgyを計算する問題(xは1及び2、yは1又は2)。
【0034】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GxをGDHグループと定義する。
【0035】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては次にあげる性質を持つことができるペアリングと呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(P,Q1+Q2)=e(P,Q1)e(P,Q2) ・・・(1)
e(P1+P2,Q)=e(P1,Q)e(P2,Q) ・・・(2)
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab ・・・(3)
【0036】
よって、gxがペアリング演算の可能な楕円曲線上の点である場合には、上記の性質から、(3)式にgx、agx、bgx、cgxを入力すると、例えば、
e(ag1,bg2)=e(g1,g2)ab ・・・(4)
e(g1,cg2)=e(g1,g2)c ・・・(5)
となる。したがって、両者の値が一致するかどうかにより、「ab=c」であるかどうかを判定でき、g1及びg2は、GDHグループG1又はG2の要素となりうる。
【0037】
この性質を利用してGDH署名が構成される。集合G1及びG2は、GDHグループであり、g1及びg2は、それぞれ集合G1及びG2の要素となる点とする。また、一方向性ハッシュ関数H2を、通常使用される任意のビット長のサイズの数値データが固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H2:{0,1}*→G2
のように、任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループG2の要素に写像変換する方式であると定義する。
【0038】
このとき、GDH署名は以下のように定義される。
鍵生成:自然数xを選び、g1からv=xg1を計算する。xを署名鍵、楕円曲線上の点vを検証鍵とする。
署名:署名者は、メッセージ「m∈{0,1}*」に対しh=H2(m)を計算し、さらに自分の署名鍵を用いてσ=xhを計算する。σをmに対する署名として公開する。
検証:検証者は、メッセージmからh=H2(m)を計算し、集合G1に属するg1及びvと、集合G2に属するh及びσを準備する。e(g1,σ)とe(v,h)を計算し、両者の値が一致したら、署名σは、正しい署名と判定する。
【0039】
このとき、hの値は集合G2の要素となるので、ある自然数yを用いてh=yg2と表現できる。その結果、正しく署名が行われていれば(g1,v,h,σ)=(g1,xg1,yg2,xyg2)となる。したがって、正当な署名であれば上記の検証でのペアリング演算は、e(g1,σ)=e(g1,xyg2)=e(g1,g2)xy=e(xg1,yg2)=e(v,h)となり、値が一致することから、検証可能となる。なお、GDHグループの条件であるCDH問題の困難性から、署名鍵xを知らない第三者がg1、g2、v、hの値から署名σを導出することは不可能である。
【0040】
木構造における最下位ノードであるリーフノード10は、図1に示すように、記憶部11と、リーフノード一方向性ハッシュ関数演算部12と、リーフノード署名情報生成部13と、リーフノード送信部14とを備える。
【0041】
記憶部11は、自身(署名者uleafのノード)に割り当てられている署名鍵(xleaf)と、集合G1に属する値g1(第1の値)に対して、この署名鍵により演算を行って生成される集合G1に属する検証鍵(vleaf=xleafg1)とを記憶する。
【0042】
リーフノード一方向性ハッシュ関数演算部12は、自身の署名対象であるメッセージ(mleaf)に対して、一方向性ハッシュ関数演算を行って、集合G2(第2のGDHグループ)に属するハッシュ値を生成する。
【0043】
リーフノード署名情報生成部13は、リーフノード一方向性ハッシュ関数演算部12により演算された、自身の署名対象であるメッセージ(mleaf)のハッシュ値(hleaf=H2(mleaf))に対して自身の署名鍵(xleaf)により演算を行い、署名情報(σleaf=xleafhleaf)を生成する。
【0044】
リーフノード送信部14は、生成した署名情報(σleaf)とメッセージ(mleaf)とを次(直上)のノード、すなわち中間ノード20へ送信する。
【0045】
また、木構造における最下位(リーフノード10)より上のノードである中間ノード20は、図2に示すように、記憶部21と、中間ノード受信部22と、中間ノード一方向性ハッシュ関数演算部23と、中間ノード署名情報生成部24と、中間ノード送信部25と、を備える。
【0046】
記憶部21は、自身(署名者uupのノード)に割り当てられている署名鍵(xup)と、集合G1に属する値g1に対して、この署名鍵により演算を行って生成される集合G1に属する検証鍵(vup=xupg1)とを記憶する。
【0047】
中間ノード受信部22は、直下の一又は複数のノード(署名者ulowのノード)の署名対象であるメッセージ(mlow)と、これら直下のノードにより生成された署名情報(σlow)と、を受信する。
【0048】
中間ノード一方向性ハッシュ関数演算部23は、直下のノードから受信したメッセージ(mlow)のそれぞれと、自身の署名対象であるメッセージ(mup)とに、それぞれ一方向性ハッシュ関数演算を行って、集合G2に属するハッシュ値を生成する。
【0049】
中間ノード署名情報生成部24は、自身のメッセージ(mup)から得られたハッシュ値(hup=H2(mup))に対して自身の固有署名鍵(xup)により演算を行った結果と、直下のノードのメッセージ(mlow)それぞれから得られたハッシュ値(hlow=H2(mlow))に対して自身の固有署名鍵(xup)により演算を行った結果と、直下のノードの署名情報(σlow)とを総和して、自身の中間ノード署名情報(σup=Σlow(σlow+xuphlow)+xuphup)を生成する(Σlowは、直下の一又は複数のノード全てについての総和を示す)。
【0050】
中間ノード送信部25は、次(直上)のノードが存在する場合に、自身の署名対象であるメッセージ(mup)と、中間ノード署名情報(σup)とを、次のノードへ送信する。
【0051】
このような構成によれば、アグリゲート署名システムは、各中間ノード20において、直下のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに直下のノードにより生成された署名情報を総和して、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの木構造における署名経路を保持し、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0052】
また、木構造における最上位の中間ノードであるルートノード30は、図3に示すように、記憶部31と、ルートノード受信部32と、ルートノード一方向性ハッシュ関数演算部33と、ルートノード署名情報生成部34と、公開部35とを備える。
【0053】
記憶部31は、自身(署名者urootのノード)に割り当てられている署名鍵(xroot)と、集合G1に属する値g1に対して、この署名鍵により演算を行って生成される集合G1に属する検証鍵(vroot=xrootg1)を記憶する。
【0054】
なお、ルートノード受信部32は、中間ノード受信部22と同一の構成であり、ルートノード一方向性ハッシュ関数演算部33は、中間ノード一方向性ハッシュ関数演算部23と同一の構成であり、ルートノード署名情報生成部34は、中間ノード署名情報生成部24と同一の構成である。
【0055】
公開部35は、ルートノード署名情報生成部34により生成されたルートノード署名情報を公開する。このような構成によれば、ルートノード30は、自身が生成した署名情報(σroot)を他のノード、特に後述の検証システムにおける検証ノード40に対して公開署名情報(σ)として公開することができる。
【0056】
また、公開部35は、署名順序を示す木構造内における署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報も公開する。
【0057】
次に、ルートノード30により公開された公開署名情報(σ)を検証する検証システムについて説明する。検証システムが有する検証ノード40は、図4に示すように、収集部41と、検証ノード一方向性ハッシュ関数演算部42と、検証部43とを備える。
【0058】
収集部41は、署名を行った全てのノード(リーフノード10、中間ノード20、ルートノード30)それぞれのメッセージ(mi)と、検証鍵(vi)とを収集する。このとき、収集部41は、木構造内における署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報を、必ずしも入手しなくてもよいが、ルートノード30から入手するようにしておくことも好ましい。収集部41がこれらの情報を入手しない場合でも、検証部43は、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関して、全ての組み合わせを演算することにより、公開署名情報の正当性を検証することが可能である。しかし、収集部41がこれらの情報を入手し検証部43へ受け渡すようにしておくと、これらの情報がない場合に比べて検証部43の演算量が少なくてすむ。
【0059】
検証ノード一方向性ハッシュ関数演算部42は、収集部41により収集された各メッセージ(mi)に対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの集合G2に属するハッシュ値(hi=H2(mi))を生成する。
【0060】
検証部43は、収集部41により収集された全てのノードの検証鍵と、検証ノード一方向性ハッシュ関数演算部42により得られたハッシュ値と、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開署名情報(σ)の正当性を検証する。このとき、検証部43は、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報がない場合、これらの対応関係に関する全ての組み合わせを演算する。
【0061】
具体的には、検証部43は、各ノードの検証鍵とハッシュ値とから、同一ノードの検証鍵及びハッシュ値によるペアリング演算の結果と、あるノードの検証鍵及び直前のノードのハッシュ値によるペアリング演算の結果とを全て乗じた値、すなわち、
{Πall−node(e(vi,hi))}{Π(e(vup,hlow))}
を計算する。そして、検証部43は、この計算結果を、g1及び公開署名情報(σ)によるペアリング演算の結果、すなわち、
e(g1,σ)
と比較し、双方が一致する場合、公開署名情報が正当であると判定し、双方が一致しない場合、公開署名情報が正当でないと判定する。
【0062】
このようにして検証ノード40は、検証部43により、全てのノードの検証鍵と、メッセージのハッシュ値と、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開されているルートノード30の署名情報の正当性を検証することができる。ここで、署名者の配置、及び各署名者と署名を行ったメッセージとの対応関係に関する情報については、これらの情報がなくても、検証部43は、署名情報の正当性を検証することが可能である。
【0063】
したがって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、ルートノード30により公開された署名情報を数値演算のみで検証することにより、木構造におけるノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証ノード40の処理負荷を低減して効率的に検証作業を実行することができる。なお、検証ノード40は、検証専用のノードであってもよいし、アグリゲート署名システムのいずれかの中間ノード20やルートノード30であってもよい。
【0064】
次に、アグリゲート署名システムにおいて、各ノードの署名情報を生成する方法と、検証システムにおいて、署名情報の正当性を検証する方法について説明する。
【0065】
リーフノード10(署名者uleaf)は、図5に示すように、リーフノード一方向性ハッシュ関数演算工程ST1と、リーフノード署名情報生成工程ST2と、リーフノード送信工程ST3とにより、リーフノード署名情報を生成して直上のノード(中間ノード20)へ送信する。
【0066】
リーフノード一方向性ハッシュ関数演算工程ST1において、リーフノード10におけるリーフノード一方向性ハッシュ関数演算部12は、自身のメッセージ(mleaf)に対して、一方向性ハッシュ関数演算を行う。
【0067】
リーフノード署名情報生成工程ST2において、リーフノード10におけるリーフノード署名情報生成部13は、リーフノード一方向性ハッシュ関数演算工程ST1により演算されたハッシュ値(hleaf)に対して、自身の署名鍵(xleaf)により演算を行い、署名情報(σleaf)を生成する。
【0068】
リーフノード送信工程ST3において、リーフノード10におけるリーフノード送信部14は、リーフノード署名情報生成工程ST2により生成された署名情報(σleaf)を、直上の中間ノード20へ送信する。
【0069】
リーフノード10以外の中間ノード20(署名者uup)は、図6に示すように、中間ノード受信工程ST11と、中間ノード一方向性ハッシュ関数演算工程ST12と、中間ノード署名情報生成工程ST13と、中間ノード送信工程ST14とにより、中間ノード署名情報を生成して直上の中間ノード20へ送信する。
【0070】
中間ノード受信工程ST11において、署名者uupのノードにおける中間ノード受信部22は、直下のノード(署名者ulow)のメッセージ(mlow)、及び直下のノードにより生成された署名情報(σlow)を受信する。
【0071】
中間ノード一方向性ハッシュ関数演算工程ST12において、署名者uupのノードにおける中間ノード一方向性ハッシュ関数演算部23は、直下のノードのメッセージ(mlow)及び自身のメッセージ(mlow)に対して、それぞれ一方向性ハッシュ関数演算を行う。
【0072】
中間ノード署名情報生成工程ST13において、署名者uupのノードにおける中間ノード署名情報生成部24は、自身のメッセージから演算により得られたハッシュ値(hup)に対して自身の署名鍵(xup)により演算を行った結果と、直下のノードのメッセージから演算により得られたハッシュ値(hlow)に対して自身の署名鍵(xup)により演算を行った結果と、直下のノードから受信した署名情報(σlow)とを総和して、自身のノードの署名情報(σup)を生成する。
【0073】
中間ノード送信工程ST14において、署名者uupのノードにおける中間ノード送信部25は、木構造における直上のノードが存在する場合に、自身のメッセージ(mup)及び自身のノードの署名情報(σup)を、直上のノードへ送信する。
【0074】
また、木構造における最上位のノードであるルートノード30(署名者uroot)は、図7に示すように、ルートノード受信工程ST21と、ルートノード一方向性ハッシュ関数演算工程ST22と、ルートノード署名情報生成工程ST23と、署名情報公開工程ST24とにより、アグリゲート署名システムにおける公開署名情報(σ)を公開する。
【0075】
ルートノード受信工程ST21において、ルートノード30におけるルートノード受信部32は、直下のノード(署名者ulow)のメッセージ(mlow)、及び直下のノードにより生成された署名情報(σlow)を受信する。
【0076】
ルートノード一方向性ハッシュ関数演算工程ST22において、ルートノード30におけるルートノード一方向性ハッシュ関数演算部33は、直下のノードのメッセージ(mlow)及び自身のメッセージ(mroot)に対して、それぞれ一方向性ハッシュ関数演算を行う。
【0077】
ルートノード署名情報生成工程ST23において、ルートノード30におけるルートノード署名情報生成部34は、自身のメッセージから演算により得られたハッシュ値(hroot)に対して自身の署名鍵(xroot)により演算を行った結果と、直下のノードのメッセージから演算により得られたハッシュ値(hlow)に対して自身の署名鍵(xroot)により演算を行った結果と、直下のノードから受信した署名情報(σlow)とを総和して、自身のノードの署名情報(σroot)を生成する。
【0078】
署名情報公開工程ST24において、ルートノード30における公開部35は、ルートノード署名情報生成工程ST23により生成された署名情報を、公開署名情報(σ)として公開する。
【0079】
このように、アグリゲート署名システムに係るアグリゲート署名方法によれば、各中間ノード20において、直下のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている署名鍵によって演算を行い、さらに直下のノードにより生成された署名情報を総和して、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの署名経路を保持し、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0080】
また、検証システムにおける検証ノード40は、図8に示すように、収集工程ST31と、検証ノード一方向性ハッシュ関数演算工程ST32と、検証工程ST33とにより、公開署名情報(σ)の正当性を検証する。
【0081】
収集工程ST31において、収集部41は、署名が行われた全てのノードのメッセージ(mi)、及びこれら全てのノードの検証鍵(vi)を収集する。
【0082】
検証ノード一方向性ハッシュ関数演算工程ST32において、検証ノード一方向性ハッシュ関数演算部42は、収集工程ST31により収集されたメッセージのそれぞれに対して、一方向性ハッシュ関数演算を行う。
【0083】
検証工程ST33において、検証部43は、収集工程ST31により収集された全てのノードの検証鍵、及び全てのノードのメッセージから検証ノード一方向性ハッシュ関数演算工程ST32で得られたハッシュ値に基づいて、公開署名情報(σ)の正当性を検証する。
【0084】
このようにして、検証システムは、検証工程ST33により、全てのノードの検証鍵とメッセージのハッシュ値とに基づいて、公開されている中間ノード署名情報(公開署名情報σ)の正当性を検証することができる。
【0085】
したがって、検証システムに係る検証方法では、各ノードにて生成される個々の署名情報等を検証することなく、ルートノード30により公開された署名情報を数値演算のみで検証することにより、木構造におけるノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証工程ST33の処理負荷を低減して検証作業を実行することができる。
【0086】
[実施例]
ここで、木構造が3分木3階層で構成されている場合におけるアグリゲート署名システムの動作について図9を参照しながら具体的に説明する。なお、以下では、第1層をルートノード30であるとし、第2層を中間ノード20とし、第3層をリーフノード10とする。
【0087】
すなわち、第1層には、一つのルートノード30が配置されている。また、第2層には、三つの中間ノード20が配置され、urootの直下にu1からu3が配置されている。また、第3層には、九つのリーフノード10が配置され、u1の直下にu11からu13が配置され、u2の直下にu21からu23が配置され、u3の直下にu31からu33が配置されている。
【0088】
また、認証局(CA)は、予め各ノードに重複しない署名鍵と検証鍵を、以下のように付与している。なお、sとtはそれぞれ、1≦s≦3、1≦t≦3となる整数の符号である。
第1層:(署名鍵,検証鍵)=(xroot,vroot)=(xroot,xrootg1)
第2層:(署名鍵,検証鍵)=(xs,vs)=(xs,xsg1)
第3層:(署名鍵,検証鍵)=(xst,vst)=(xst,xstg1)
【0089】
第3層の九つのリーフノード10(ユーザust)は、自身の署名対象であるメッセージ(mst)に対してハッシュ値(hst=H2(mst))を求め、ハッシュ値に対して自身の署名鍵xstにより演算を行い、署名情報(σst=xsthst)を生成する。また、リーフノード10(ユーザust)は、生成した署名情報(σst)と、メッセージ(mst)とを直上のノード(ユーザus)に送信する。
【0090】
第2層の三つの中間ノード20(ユーザus)は、まず自身の署名対象であるメッセージ(ms)から、ハッシュ値(hs=H2(ms))を求める。
次に、中間ノード20(ユーザus)は、直下のノード(ユーザus1、us2、us3)から受信したメッセージ(ms1、ms2、ms3)から、ハッシュ値(hs1=H2(ms1)、hs2=H2(ms2)、hs3=H2(ms3))を求める。
【0091】
さらに、中間ノード20(ユーザus)は、直下のノードから受信した署名情報(σs1、σs2、σs3)を用いて、
σs=σs1+xshs1+σs2+xshs2+σs3+xshs3
+xshs ・・・(6)
=xs1hs1+xshs1+xs2hs2+xshs2
+xs3hs3+xshs3+xshs ・・・(7)
を計算する。そして、中間ノード20(ユーザus)は、生成した署名情報(σs)と、メッセージ(ms)とを直上のノード(ユーザuroot)に送信する。
【0092】
第1層のルートノード30(ユーザuroot)は、まず自身の署名対象であるメッセージ(mroot)から、ハッシュ値(hroot=H2(mroot))を求める。
次に、ルートノード30(ユーザuroot)は、直下のノード(ユーザu1、u2、u3)から受信したメッセージ(m1、m2、m3)から、ハッシュ値(h1=H2(m1)、h2=H2(m2)、h3=H2(m3))を求める。
【0093】
さらに、ルートノード30(ユーザuroot)は、直下のノードから受信した署名情報(σ1、σ2、σ3)を用いて、
σ=σ1+xrooth1+σ2+xrooth2+σ3+xrooth3
+xroothroot ・・・(8)
=x11h11+x1h11+x12h12+x1h12
+x13h13+x1h13+x1h1+xrooth1
+x21h21+x2h21+x22h22+x2h22
+x23h23+x2h23+x2h2+xrooth2
+x31h31+x3h31+x32h32+x3h32
+x33h33+x3h33+x3h3+xrooth3
+xroothroot ・・・(9)
を計算する。そして、ルートノード30(ユーザuroot)は、生成した署名情報(σ)を、全ユーザのアグリゲート署名情報として公開する。
【0094】
また、ルートノード30は、署名者の木構造における署名位置情報も公開する。署名位置情報は、例えば、{(u11,u1),(u12,u1),(u13,u1),(u21,u2),(u22,u2),(u23,u2),(u31,u3),(u32,u3),(u33,u3),(u1,uroot),(u2,uroot),(u3,uroot)}のように、隣接するノードの組み合わせの列として表現される。
【0095】
このようにして、アグリゲート署名システムは、木構造上において連続(隣接)する2つのノード間の関係を署名鍵とハッシュ値の積で表すことにより、木構造を表現することができる。また、ノードの数が増えても、公開されるのは、ルートノード30で生成される公開署名情報(σ)である。この署名情報は楕円曲線上の点であるため、情報のサイズ(容量)は増大せず、一定値以下に抑制することができ、効率的に順序付きアグリゲート署名を生成することができる。
【0096】
また、検証ノード40は、以下の検証過程1から検証過程3により公開署名情報(σ)の正当性を検証する。
【0097】
(検証過程1)検証ノード40は、署名を行った全てのノードが署名対象としたメッセージ(mroot、m1、m2、m3、m11、m12、m13、m21、m22、m23、m31、m32、m33)を収集し、これらに対してハッシュ値(hroot=H2(mroot)、h1=H2(m1)、h2=H2(m2)、h3=H2(m3)、h11=H2(m11)、h12=H2(m12)、h13=H2(m13)、h21=H2(m21)、h22=H2(m22)、h23=H2(m23)、h31=H2(m31)、h32=H2(m32)、h33=H2(m33))を求める。
【0098】
(検証過程2)検証ノード40は、署名を行った全てのノードの検証鍵(vroot、v1、v2、v3、v11、v12、v13、v21、v22、v23、v31、v32、v33)を収集する。
【0099】
(検証過程3)検証ノード40は、公開された公開署名情報(σ)の正当性を検証する。具体的には、検証ノード40は、検証過程1で求めたハッシュ値と、収集した全てのノードの検証鍵とから、
e(v11,h11)・e(v1,h11)
・e(v12,h12)・e(v1,h12)
・e(v13,h13)・e(v1,h13)
・e(v1,h1)・e(vroot,h1)
・e(v21,h21)・e(v2,h21)
・e(v22,h22)・e(v2,h22)
・e(v23,h23)・e(v2,h23)
・e(v2,h2)・e(vroot,h2)
・e(v31,h31)・e(v3,h31)
・e(v32,h32)・e(v3,h32)
・e(v33,h33)・e(v3,h33)
・e(v3,h3)・e(vroot,h3)
・e(vroot,hroot) ・・・(10)
を計算し、この値とe(g1,σ)の値が一致することを確認する。これらの値が一致した場合には、公開署名情報(σ)が正当であると判断する。
【0100】
ここで、(検証過程3)における「e(g1,σ)」を展開すると、
e(g1,σ)
=e(g1,x11h11)・e(g1,x1h11)
・e(g1,x12h12)・e(g1,x1h12)
・e(g1,x13h13)・e(g1,x1h13)
・e(g1,x1h1)・e(g1,xrooth1)
・e(g1,x21h21)・e(g1,x2h21)
・e(g1,x22h22)・e(g1,x2h22)
・e(g1,x23h23)・e(g1,x2h23)
・e(g1,x2h2)・e(g1,xrooth2)
・e(g1,x31h31)・e(g1,x3h31)
・e(g1,x32h32)・e(g1,x3h32)
・e(g1,x33h33)・e(g1,x3h33)
・e(g1,x3h3)・e(g1,xrooth3)
・e(g1,xroothroot) ・・・(11)
=e(x11g1,h11)・e(x1g1,h11)
・e(x12g1,h12)・e(x1g1,h12)
・e(x13g1,h13)・e(x1g1,h13)
・e(x1g1,h1)・e(xrootg1,h1)
・e(x21g1,h21)・e(x2g1,h21)
・e(x22g1,h22)・e(x2g1,h22)
・e(x23g1,h23)・e(x2g1,h23)
・e(x2g1,h2)・e(xrootg1,h2)
・e(x31g1,h31)・e(x3g1,h31)
・e(x32g1,h32)・e(x3g1,h32)
・e(x33g1,h33)・e(x3g1,h33)
・e(x3g1,h3)・e(xrootg1,h3)
・e(xrootg1,hroot) ・・・(12)
=e(v11,h11)・e(v1,h11)
・e(v12,h12)・e(v1,h12)
・e(v13,h13)・e(v1,h13)
・e(v1,h1)・e(vroot,h1)
・e(v21,h21)・e(v2,h21)
・e(v22,h22)・e(v2,h22)
・e(v23,h23)・e(v2,h23)
・e(v2,h2)・e(vroot,h2)
・e(v31,h31)・e(v3,h31)
・e(v32,h32)・e(v3,h32)
・e(v33,h33)・e(v3,h33)
・e(v3,h3)・e(vroot,h3)
・e(vroot,hroot) ・・・(13)
となり、署名の過程が正しく行われていれば、(10)式と一致する。よって、公開されているユーザの検証鍵と、全てのメッセージから求めたハッシュ値とから、アグリゲート署名の検証が可能となる。
【0101】
ここで、σの値に着目すると、ユーザustはhstにのみ署名処理(xsthstの演算)を行っており、他のhs及びhrootにはこのような署名処理を行っていない。これにより、ユーザustが最初、すなわち木構造におけるリーフノード10の署名者であることが分かる。
【0102】
また、「xshst」の項により、この最初の署名者が署名処理したhstに対して署名処理を行っているのがユーザusであることが表されているので、このユーザusが2番目(中間ノード20)の署名者であることが分かる。ユーザusは同時にhsに対して署名処理(xshs)を行っている。同様に「xrooths」の項により、このhsに対して署名処理を行っているのがユーザurootであることが表されているので、このユーザurootが3番目の署名者であることが分かる。
【0103】
さらに、hrootに対して署名処理を行っているユーザはなく、ユーザurootで収束しているため、この3番目の署名者がルートノード30であることが分かる。
【0104】
また、(11)式において、CDH問題や楕円曲線上の離散対数問題から、秘密情報である署名鍵を知らない第三者が、右辺の各項(xαhβ又はxβhβ)を任意に取り除くことはできないため、第三者による順序の入れ替えは不可能である。すなわち、アグリゲート署名システム及び検証システムが採用する本署名方式は、木構造における署名順序を署名鍵とハッシュ値の積により表現することができる。
【0105】
また、署名者の数(ノードの数)が増えても、公開される情報は公開署名情報(σ)のみである。この公開署名情報(σ)は一つの楕円曲線上の点であるため、情報のサイズ(容量)は増大せず、一定値以下に抑制することができる。
【0106】
さらに、検証システムでは、検証過程3で示した数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。したがって、順序管理のための装置を別途用意することなく、検証システムの処理負荷を低減して効率的に検証作業を実行することができる。
【0107】
<第2実施形態>
以下、本発明の実施形態の一例である第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
【0108】
本実施形態に係るアグリゲート署名システムにおいて、リーフノード10は、リーフノード一方向性ハッシュ関数演算部12及びリーフノード送信部14の構成が第1実施形態と異なる。
すなわち、リーフノード送信部14は、リーフノード一方向性ハッシュ関数演算部12の演算結果であるハッシュ値(hleaf)とリーフノード署名情報(σleaf)とを、直上のノード(中間ノード20)へ送信する。
【0109】
中間ノード20は、中間ノード受信部22、中間ノード一方向性ハッシュ関数演算部23、及び中間ノード送信部25の構成が第1実施形態と異なる。
すなわち、中間ノード受信部22は、直下のノードから、メッセージ(mlow)の代わりにハッシュ値(hlow)を受信して中間ノード署名情報生成部24へ供給する。これにより、中間ノード20は、直前のノードのメッセージ(mlow)に対して一方向性ハッシュ関数演算を行う必要がなくなる。
【0110】
また、中間ノード送信部25は、中間ノード一方向性ハッシュ関数演算部23の演算結果であるハッシュ値(hup)と中間ノード署名情報(σup)とを、直上のノードへ送信する。
【0111】
ルートノード30は、ルートノード受信部32及びルートノード一方向性ハッシュ関数演算部33の構成が第1実施形態と異なる。
すなわち、ルートノード受信部32は、直下のノードから、メッセージ(mlow)の代わりにハッシュ値(hlow)を受信してルートノード署名情報生成部34へ供給する。これにより、ルートノード30は、直下のノードのメッセージ(mlow)に対して一方向性ハッシュ関数演算を行う必要がなくなる。
【0112】
本実施形態に係る検証システムにおいて、検証ノード40は、収集部41の構成が第1実施形態と異なる。さらに、検証ノード40は、第1実施形態における検証ノード一方向性ハッシュ関数演算部42を必要としない。
【0113】
すなわち、収集部41は、各ノードから、メッセージ(mi)の代わりにハッシュ値(hi)を受信して検証部43へ供給する。これにより、検証ノード40は、各ノードのメッセージ(mi)に対して一方向性ハッシュ関数演算を行う必要がなくなる。
【0114】
本実施形態によれば、各ノードにおける一方向性ハッシュ関数演算の処理負荷を低減することができる。
具体的には、第1実施形態における中間ノード一方向性ハッシュ関数演算工程ST12と、ルートノード一方向性ハッシュ関数演算工程ST22の処理負荷が低減され、検証ノード一方向性ハッシュ関数演算工程ST32は不要となる。
【0115】
なお、各ノード間においては、メッセージ(mi)又はハッシュ値(hi)のいずれかが送受信されればよく、アグリゲート署名システム及び検証システム内において統一されていなくてもよい。また、メッセージ及びハッシュ値の双方を送受信することとしてもよい。
【0116】
以上で説明した各実施形態におけるアグリゲート署名システム及び検証システムは、各ノードで独立したメッセージを署名対象とするので、例えば署名済みの素材を集めてコンテンツを生成する場合のように、下位(部分)から上位(全体)へのボトムアップの署名方式を提供することができる。
【0117】
また、上述の各実施形態において、ペアリング関数への入力である2つの引数は、ペアリングの演算が可能な楕円曲線上の点g1又はg2のスカラー倍として表されるが、この楕円曲線は、第1引数と第2引数とで異なっている。すなわち、ペアリング関数の第1引数用と第2引数用とに、それぞれ異なる楕円曲線(G1又はG2)上の2点(g1又はg2)が与えられている。具体的には、第1引数に関する検証鍵は、g1のスカラー倍(G1上の点)となり、第2引数に関するハッシュ値及び署名情報は、g2のスカラー倍(G2上の点)となる。
【0118】
このことにより、演算回数が増加する場合があるが、ペアリング関数の演算において並列して処理できるため、計算時間の短縮が期待できる。
また、集合G1又はG2のいずれかに不具合が発見された場合、一方を共用する、又は他のGDHグループに交換することにより、アグリゲート署名システム及び検証システムが維持される
【0119】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【0120】
上述の実施形態では、ルートノード30が公開部35を備えているが、他のノード(中間ノード20、リーフノード10)も備えていてよい。この場合、検証ノード40は、公開された署名情報に基づいて、公開したノードに至るまでの署名経路の正当性を検証可能である。さらに、各ノードの公開部35は、自身のノードの検証鍵を公開し、検証ノード40へ提供してもよい。
【0121】
また、上述の実施形態では、署名鍵及び検証鍵は、認証局によって割り当てられることとしたが、本発明はこれには限られない。例えば、アグリゲート署名システムにおいて、署名鍵となる自然数x、及び集合G1に属する値g1を決定し、検証鍵を演算により算出(v=xg1)してもよい。
【0122】
また、上述の実施形態では、中間ノード20に対して直下のノードが複数存在する木構造における順序付き多重署名について説明したが、本発明はこれには限られない。すなわち、中間ノード20に対して直下のノードが単一であり、複数のノードが一列に連なっている場合にも、本発明は適用可能である。
【0123】
この場合、アグリゲート署名システム及び検証システムは、各ノードで独立したメッセージを署名対象とするので、例えば電子掲示板やブログのコメント等のように、前のメッセージを受けて次のメッセージを追加する連作に対して利用することができる。
【0124】
なお、この場合、ルートノード30(最終ノード)が公開する署名者の署名順序情報(署名位置情報)は、例えば、{(1,u1),(2,u2),・・・,(k,uk)}のように、順序番号を付加したノードの列として表現される。
【0125】
また、アグリゲート署名システム及び検証システムによる一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【符号の説明】
【0126】
10 リーフノード
11 記憶部
12 リーフノード一方向性ハッシュ関数演算部
13 リーフノード署名情報生成部
14 リーフノード送信部
20 中間ノード
21 記憶部
22 中間ノード受信部
23 中間ノード一方向性ハッシュ関数演算部
24 中間ノード署名情報生成部
25 中間ノード送信部
30 ルートノード
31 記憶部
32 ルートノード受信部
33 ルートノード一方向性ハッシュ関数演算部
34 ルートノード署名情報生成部
35 公開部
40 検証ノード
41 収集部
42 検証ノード一方向性ハッシュ関数演算部
43 検証部
【特許請求の範囲】
【請求項1】
あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名システムであって、
各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードは、
直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信部と、
自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算部と、
自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成部と、
直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信部と、を備えるアグリゲート署名システム。
【請求項2】
前記署名情報生成部は、前記直前のノードが複数存在する場合、自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードそれぞれのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った複数の結果と、前記直前のノードそれぞれの署名情報とを総和して、自身の署名情報を生成する請求項1に記載のアグリゲート署名システム。
【請求項3】
前記各ノードは、自身の署名情報を公開する公開部を備える請求項1又は請求項2に記載のアグリゲート署名システム。
【請求項4】
前記公開部は、前記各ノードの順序情報をさらに公開する請求項3に記載のアグリゲート署名システム。
【請求項5】
請求項3又は請求項4に記載のアグリゲート署名システムに備えられている前記公開部により公開された署名情報を検証する検証システムであって、
前記公開された署名情報が生成される過程の全てのノードのメッセージ又は当該メッセージのハッシュ値、及び当該全てのノードの検証鍵を収集する収集部と、
前記収集部により収集されたメッセージに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの前記第2のGDHグループに属するハッシュ値を生成する検証ノード一方向性ハッシュ関数演算部と、
前記全てのノードの検証鍵、及び前記全てのノードのメッセージのハッシュ値に基づいて、前記公開された署名情報の正当性を検証する検証部と、を備える検証システム。
【請求項6】
前記検証部は、同一ノードの検証鍵及びハッシュ値によるペアリング演算の結果と、あるノードの検証鍵及び当該ノードの直前のノードのハッシュ値によるペアリング演算の結果とを全て乗じた値を、前記第1の値及び前記公開された署名情報によるペアリング演算の結果と比較し、双方が一致する場合、前記公開された署名情報が正当であると判定し、双方が一致しない場合、前記公開された署名情報が正当でないと判定する請求項5に記載の検証システム。
【請求項7】
あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法であって、
各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードが、
第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、自身の署名鍵により演算を行って、当該第1のGDHグループに属する自身の検証鍵を生成する検証鍵生成工程と、
直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程と、
自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程と、
自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程と、
直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程と、を実行するアグリゲート署名方法。
【請求項8】
あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータに実行させるためのアグリゲート署名プログラムであって、
各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードに、
第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、自身の署名鍵により演算を行って、当該第1のGDHグループに属する自身の検証鍵を生成する検証鍵生成工程と、
直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程と、
自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程と、
自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程と、
直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程と、を実行させるためのアグリゲート署名プログラム。
【請求項1】
あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名システムであって、
各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードは、
直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信部と、
自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算部と、
自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成部と、
直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信部と、を備えるアグリゲート署名システム。
【請求項2】
前記署名情報生成部は、前記直前のノードが複数存在する場合、自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードそれぞれのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った複数の結果と、前記直前のノードそれぞれの署名情報とを総和して、自身の署名情報を生成する請求項1に記載のアグリゲート署名システム。
【請求項3】
前記各ノードは、自身の署名情報を公開する公開部を備える請求項1又は請求項2に記載のアグリゲート署名システム。
【請求項4】
前記公開部は、前記各ノードの順序情報をさらに公開する請求項3に記載のアグリゲート署名システム。
【請求項5】
請求項3又は請求項4に記載のアグリゲート署名システムに備えられている前記公開部により公開された署名情報を検証する検証システムであって、
前記公開された署名情報が生成される過程の全てのノードのメッセージ又は当該メッセージのハッシュ値、及び当該全てのノードの検証鍵を収集する収集部と、
前記収集部により収集されたメッセージに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの前記第2のGDHグループに属するハッシュ値を生成する検証ノード一方向性ハッシュ関数演算部と、
前記全てのノードの検証鍵、及び前記全てのノードのメッセージのハッシュ値に基づいて、前記公開された署名情報の正当性を検証する検証部と、を備える検証システム。
【請求項6】
前記検証部は、同一ノードの検証鍵及びハッシュ値によるペアリング演算の結果と、あるノードの検証鍵及び当該ノードの直前のノードのハッシュ値によるペアリング演算の結果とを全て乗じた値を、前記第1の値及び前記公開された署名情報によるペアリング演算の結果と比較し、双方が一致する場合、前記公開された署名情報が正当であると判定し、双方が一致しない場合、前記公開された署名情報が正当でないと判定する請求項5に記載の検証システム。
【請求項7】
あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法であって、
各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードが、
第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、自身の署名鍵により演算を行って、当該第1のGDHグループに属する自身の検証鍵を生成する検証鍵生成工程と、
直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程と、
自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程と、
自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程と、
直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程と、を実行するアグリゲート署名方法。
【請求項8】
あるノードから別のノードへの順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータに実行させるためのアグリゲート署名プログラムであって、
各ノードには、所定の自然数からなる署名鍵と、第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、当該署名鍵により演算を行って生成される当該第1のGDHグループに属する検証鍵とがそれぞれ割り当てられており、当該各ノードに、
第1のGDH(GAP−Diffie−Hellman)グループに属する第1の値に対して、自身の署名鍵により演算を行って、当該第1のGDHグループに属する自身の検証鍵を生成する検証鍵生成工程と、
直前のノードが存在する場合、当該直前のノードの署名対象であるメッセージ又は当該メッセージのハッシュ値、及び当該直前のノードの署名情報を受信する受信工程と、
自身のメッセージと、前記直前のノードが存在する場合、当該直前のノードのメッセージとに対して、それぞれ一方向性ハッシュ関数演算を行って、各メッセージの第2のGDHグループに属するハッシュ値を生成する署名ノード一方向性ハッシュ関数演算工程と、
自身のメッセージのハッシュ値に対して自身の署名鍵により演算を行った結果と、前記直前のノードが存在する場合、当該直前のノードのメッセージのハッシュ値に対して自身のノードの署名鍵により演算を行った結果、及び前記直前のノードの署名情報とを総和して、自身の署名情報を生成する署名情報生成工程と、
直後のノードが存在する場合、自身のメッセージ又は当該メッセージのハッシュ値、及び自身の署名情報を、当該直後のノードへ送信する送信工程と、を実行させるためのアグリゲート署名プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−175634(P2012−175634A)
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願番号】特願2011−38387(P2011−38387)
【出願日】平成23年2月24日(2011.2.24)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願日】平成23年2月24日(2011.2.24)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]