アグリゲート署名システム及び検証システム及びアグリゲート署名方法及びアグリゲート署名プログラム
【課題】署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付き電子署名を行うことができるアグリゲート署名システム及び検証システム及びアグリゲート署名方法及びアグリゲート署名プログラムを提供すること。
【解決手段】アグリゲート署名システムは、各中間ノード20において、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。
【解決手段】アグリゲート署名システムは、各中間ノード20において、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子署名を利用した電子データのアグリゲート署名システム及び検証システム及びアグリゲート署名方法及びアグリゲート署名プログラムに関する。
【背景技術】
【0002】
現在、さまざまな電子情報がネットワークやメディアを介して送信されている。会社やコミュニティーのような組織においても、報告書やレポート、稟議書、連絡簿等さまざまな情報が電子化され、社員又はメンバー間でネットワークを経由して回覧されている。
【0003】
その情報の発信源あるいは閲覧済みであることを保証する仕組みとして電子署名がある。この電子署名を利用することにより、特定の人しか知りえない署名鍵と電子情報を入力値として署名の演算を行い、検証者が検証鍵と言われる公開された情報と署名されたデータを入力値として検証演算を行うことで、その特定の人がそのデータの発信源であることを確認することが可能となる。ここで、検証鍵から署名鍵を導出することは、計算量的に不可能であることから、他の人がその特定者に成りすまして署名を行うことができないため、その署名の正当性が保証される。
【0004】
また、組織における電子情報の回覧においては、複数の人が介在して署名を行うケースが想定され、例えば、電子データの回覧や会社における承認システムがそれに該当する。複数人の署名を行う方式としては、それぞれの署名者を検証できる多重署名(例えば、非特許文献1を参照)や、特定のグループに所属している人の誰かが署名したことを保証できるグループ署名(例えば、特許文献1を参照)が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−166687号公報
【特許文献2】特開平09−270787号公報
【特許文献3】特開2002−040935号公報
【非特許文献】
【0006】
【非特許文献1】新保 淳、「多重署名に適したElGamal署名の一変形方式」、暗号と情報セキュリティシンポジウム(CSS)、SCIS94−2C、電子情報通信学会、1994
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの多重署名やグループ署名では署名者が全て等価な関係で表現される。したがって、一例として示した多重署名システムにおいて電子データがどのように流通してきたのかを、この署名方式だけで表現することができない。
【0008】
これに対し、順序や上下関係を証明する方式としては順序付き多重署名方式(例えば、特許文献2、3を参照)があげられる。これにより署名者の順番が保証され、個人の上下関係が表現できる。しかしながら、これら既存の順序付き多重署名方式は、RSA(Rivest Shamir Adleman)問題ベースのものか、離散対数問題ベースのものが提案されている。RSA問題ベースでは、署名する人数が増えるほど署名サイズが大きくなってしまい、また、離散対数問題ベースでは、ゼロ知識証明を利用するために演算処理に負荷がかかり、効率的な処理にならない。また、両者共、同一のメッセージに対して複数人が署名を行う方式であるため、各署名者がそれぞれ異なるメッセージを対象とするアグリゲート署名を行うことができなかった。
【0009】
本発明は、上記課題を解決するため、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付き電子署名を行うことができるアグリゲート署名システム及び検証システム及びアグリゲート署名方法及びアグリゲート署名プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明では、以下のような解決手段を提供する。
【0011】
(1)本発明に係るアグリゲート署名システムは、上記課題を解決するために、複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、前記順序における最初のノードである第1ノードは、第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成部と、第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信部と、を備え、前記順序における2番目以降のノードである中間ノードは、直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信部と、直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成部と、前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信部と、を備える。
【0012】
このような構成によれば、アグリゲート署名システムは、各中間ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。アグリゲート署名システムは、この署名情報により、自身のノードに至るまでの署名順序を表現することができる。
【0013】
(2)また、上記アグリゲート署名システムでは、前記固有署名鍵は、所定の自然数からなり、前記固有検証鍵は、GDH(GAP−Diffie−Hellman)グループの要素である楕円曲線上の点と前記固有署名鍵とに基づいて生成される、当該楕円曲線上の点からなることを特徴とする。
【0014】
このように構成されることにより、アグリゲート署名システムは、固有署名鍵を知らない第三者がGDHグループの要素である楕円曲線上の点から固有署名鍵を求めることを、計算量的に困難にすることができる。また、署名者の数(ノードの数)が増えても、生成される中間ノード署名情報は楕円曲線上の点であるため、情報のサイズ(容量)は増大せず一定値以下に抑制することができ、効率的にアグリゲート署名を生成することができる。
【0015】
(3)また、上記アグリゲート署名システムでは、前記中間ノードに含まれており、前記順序における最後のノードである最終ノードは、前記中間ノード署名情報生成部により生成された前記中間ノード署名情報を公開する公開部を備えることを特徴とする。
【0016】
このような構成によれば、最終ノードは、順序付きのアグリゲート署名である中間ノード署名情報を他のノードに対して公開することができる。
【0017】
(4)本発明に係る検証システムは、上記課題を解決するために、上記アグリゲート署名システムに備えられている公開部により公開された中間ノード署名情報を検証する検証システムであって、署名が行われた全てのノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び当該全てのノードの固有検証鍵を収集する収集部と、前記収集部により収集されたメッセージのそれぞれに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、前記全てのノードの固有検証鍵、及び前記全てのノードのメッセージから演算により得られたハッシュ値に基づいて、前記中間ノード署名情報の正当性を検証する検証部と、を備える。
【0018】
このような構成によれば、検証システムは、検証部により全てのノードの固有検証鍵とメッセージのハッシュ値とに基づいて、公開された中間ノード署名情報の正当性を検証する。
【0019】
よって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、最終ノードで生成される署名情報を検証することにより、署名順序を証明することができる。すなわち、検証システムでは、検証ノードの処理負荷を低減して検証作業を実行することができる。
【0020】
(5)本発明に係るアグリゲート署名方法は、上記課題を解決するために、複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、前記順序における最初のノードである第1ノードは、第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、を備え、前記順序における2番目以降のノードである中間ノードは、直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、を備える。
【0021】
このような構成によれば、アグリゲート署名方法は、各中間ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。アグリゲート署名方法は、この署名情報により、自身のノードに至るまでの署名順序を表現することができる。
【0022】
(6)本発明に係るアグリゲート署名プログラムは、上記課題を解決するために、複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータによって実現するためのアグリゲート署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、が前記順序における最初のノードである第1ノードによって実行され、直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、直前のノードのメッセージ及び自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、自身のメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記順序における次のノードが存在する場合に、自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、が前記順序における2番目以降のノードである中間ノードによって実行される。
【0023】
このような構成によれば、アグリゲート署名プログラムは、各中間ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。アグリゲート署名プログラムは、この署名情報により、自身のノードに至るまでの署名順序を表現することができる。
【発明の効果】
【0024】
本発明によれば、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付きアグリゲート署名を行うことができる。
【図面の簡単な説明】
【0025】
【図1】第1実施形態に係るアグリゲート署名システムにおける第1ノードの構成を示すブロック図である。
【図2】第1実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図3】第1実施形態に係るアグリゲート署名システムにおける最終ノードの構成を示すブロック図である。
【図4】第1実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【図5】第1実施形態において、第1ノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図6】第1実施形態において、中間ノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図7】第1実施形態において、最終ノードで署名情報を公開する方法についての説明に供するフローチャートである。
【図8】第1実施形態において、検証ノードで署名情報の正当性を検証する方法についての説明に供するフローチャートである。
【図9】第1実施形態において、アグリゲート署名システムの動作についての説明に供する図である。
【図10】第2実施形態に係るアグリゲート署名システムにおける第1ノードの構成を示すブロック図である。
【図11】第2実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図12】第2実施形態に係るアグリゲート署名システムにおける最終ノードの構成を示すブロック図である。
【図13】第2実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【発明を実施するための形態】
【0026】
<第1実施形態>
以下、本発明の実施形態の一例である第1実施形態について説明する。本実施形態に係るアグリゲート署名システムは、第1ノードから順に複数の中間ノードを経由して、それぞれのノードで独立したメッセージである電子データに署名を行いつつ、これらのメッセージと署名情報とを回覧する。また、最後の中間ノード、すなわち最終ノードにより公開された署名情報は、検証システムにおける検証ノードにより正当性が検証される。
【0027】
ところで、各ノードには、予め重複しない固有署名鍵と固有検証鍵が認証局(CA)によってそれぞれ割り当てられている。固有署名鍵は、所定の自然数(x)からなり、固有検証鍵は、GDH(GAP−Diffie−Hellman)グループ(G)の要素である楕円曲線上の点(g)と固有署名鍵(x)とに基づいて生成される楕円曲線上の点(v=xg)からなることが好ましい。このように構成されることにより、固有署名鍵(x)を知らない第三者が「v」や「g」の値から固有署名鍵(x)を求めることは計算量的に困難となる。
【0028】
ここで、本実施形態で採用される具体的な署名方式について説明する。アグリゲート署名システムでは、ベースとなる署名方式としてGAP−Diffie−Hellman(GDH)署名を採用する。GDH署名とは、Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名である。
【0029】
次に、ペアリング演算を用いたGDH署名について説明する。楕円曲線上のDiffie−Hellman問題に関連して、GDHグループが定義されている。GDHグループについて簡単に説明する。Gをある楕円曲線上の点の集合とする。「g」を集合Gの要素としたとき、集合Gにおける楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0030】
DDH問題:あるa、b、cという自然数があり、g、ag、bg、cgが与えられた時、c=abかどうかを判定する問題。
CDH問題:あるa、b、cという自然数があり、g、ag、bgが与えられた時、abgを計算する問題。
【0031】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GをGDHグループと定義する。
【0032】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては次にあげる性質を持つことができるペアリングと呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(P,Q1+Q2)=e(P,Q1)e(P,Q2) ・・・(1)
e(P1+P2,Q)=e(P1,Q)e(P2,Q) ・・・(2)
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab ・・・(3)
【0033】
よって、gがペアリング演算の可能な楕円曲線上の点である場合には、上記の性質から、(3)式にg、ag、bg、cgを入力すると、
e(ag,bg)=e(g,g)ab ・・・(4)
e(g,cg)=e(g,g)c ・・・(5)
となり、両者の値が一致するかどうかにより、「ab=c」であるかどうかを判定でき、gはGDHグループGの要素となりうる。
【0034】
この性質を利用してGDH署名が構成される。集合Gは、GDHグループであり、gは集合Gの要素となる点とする。また、一方向性ハッシュ関数Hを、通常使用される任意のビット長のサイズの数値データが固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H:{0,1}*→G
のように任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループGの要素に写像変換する方式であると定義する。
【0035】
このとき、GDH署名は以下のように定義される。
鍵生成:自然数xを選び、gからv=xgを計算する。xを署名鍵、楕円曲線上の点vを検証鍵とする。
署名:署名者は、メッセージ「m∈{0,1}*」に対しh=H(m)を計算し、さらに自分の署名鍵を用いてσ=xhを計算する。σをmに対する署名として公開する。
検証:検証者は、メッセージmからh=H(m)を計算し、g、v、h、σを準備する。e(g,σ)とe(v,h)を計算し、両者の値が一致したら、署名σは、正しい署名と判定する。
【0036】
このとき、hの値は集合Gの要素となるので、ある自然数yを用いてh=ygと表現できる。その結果、正しく署名が行われていれば(g,v,h,σ)=(g,xg,yg,xyg)となる。したがって、正当な署名であれば上記の検証でのペアリング演算は、e(g,σ)=e(g,xyg)=e(g,g)xy=e(xg,yg)=e(v,h)となり、値が一致することから、検証可能となる。なお、GDHグループの条件であるCDH問題の困難性から、署名鍵xを知らない第三者がg、v、hの値から署名σを導出することは不可能である。
【0037】
第1ノード10は、図1に示すように、記憶部11と、第1ノード一方向性ハッシュ関数演算部12と、第1ノード署名情報生成部13と、第1ノード送信部14と、を備える。
【0038】
記憶部11は、自身(署名者u1のノード)に割り当てられている固有署名鍵(x1)と固有検証鍵(v1=x1g)を記憶する。
第1ノード一方向性ハッシュ関数演算部12は、自身の署名対象であるメッセージ(m1)に一方向性ハッシュ関数演算を行う。
【0039】
第1ノード署名情報生成部13は、第1ノード一方向性ハッシュ関数演算部12により演算されたハッシュ値(h1=H(m1))に自身の固有署名鍵(x1)により演算を行い、署名情報(σ1=x1h1)を生成する。
第1ノード送信部14は、生成した署名情報(σ1)とメッセージ(m1)とを次のノード、すなわち署名者u2の中間ノード20へ送信する。
【0040】
また、署名順序の2番目以降(i番目)のノードである中間ノード20は、図2に示すように、記憶部21と、中間ノード受信部22と、中間ノード一方向性ハッシュ関数演算部23と、中間ノード署名情報生成部24と、中間ノード送信部25と、を備える。
【0041】
記憶部21は、自身(署名者uiのノード)に割り当てられている固有署名鍵(xi)と固有検証鍵(vi=xig)を記憶する。
中間ノード受信部22は、直前のノード(i−1番目のノード)のメッセージ(mi−1)と、直前のノードにより生成された署名情報(σi−1)と、を受信する。
【0042】
中間ノード一方向性ハッシュ関数演算部23は、直前のノードから受信したメッセージ(mi−1)と自身の署名対象であるメッセージ(mi)とに一方向性ハッシュ関数演算を行う。
【0043】
中間ノード署名情報生成部24は、自身のメッセージ(mi)から得られたハッシュ値(hi=H(mi))に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードのメッセージ(mi−1)から得られたハッシュ値(hi−1=H(mi−1))に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードの署名情報(σi−1)と、を用いて、自身の中間ノード署名情報(σi=σi−1+xihi−1+xihi)を生成する。
【0044】
中間ノード送信部25は、次(i+1番目)のノードが存在する場合に、自身の署名対象であるメッセージ(mi)と、中間ノード署名情報(σi)と、を次のノードへ送信する。
【0045】
このような構成によれば、アグリゲート署名システムは、各中間ノード20において、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの署名経路を保持しつつ、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0046】
また、署名順序における最後(k番目)の中間ノードである最終ノード30は、図3に示すように、記憶部31と、最終ノード受信部32と、最終ノード一方向性ハッシュ関数演算部33と、最終ノード署名情報生成部34と、公開部35と、を備える。
【0047】
記憶部31は、自身(署名者ukのノード)に割り当てられている固有署名鍵(xk)と固有検証鍵(vk=xkg)を記憶する。
なお、最終ノード受信部32は、中間ノード受信部22と同一の構成であり、最終ノード一方向性ハッシュ関数演算部33は、中間ノード一方向性ハッシュ関数演算部23と同一の構成であり、最終ノード署名情報生成部34は、中間ノード署名情報生成部24と同一の構成である。
【0048】
公開部35は、最終ノード署名情報生成部34により生成された中間ノード署名情報を公開する。このような構成によれば、最終ノード30は、自身が生成した署名情報を他のノード、特に後述の検証システムにおける検証ノード40に対して公開署名情報として公開することができる。
【0049】
次に、最終ノード30により公開された公開署名情報を検証する検証システムについて説明する。検証システムが有する検証ノード40は、図4に示すように、収集部41と、検証ノード一方向性ハッシュ関数演算部42と、検証部43と、を備える。
【0050】
収集部41は、署名を行った全てのノード(第1ノード10、中間ノード20、最終ノード30)それぞれのメッセージ(mi、1≦i≦k)と、固有検証鍵(vi、1≦i≦k)と、を収集する。このとき、収集部41は、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報を、必ずしも入手しなくてもよいが、最終ノード30から入手するようにしておくことも好ましい。収集部41がこれらの情報を入手しない場合でも、検証部43は、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関して、全ての組み合わせを演算することにより、公開署名情報の正当性を検証することが可能である。しかし、収集部41がこれらの情報を入手し検証部43へ受け渡すようにしておくと、これらの情報がない場合に比べて検証部43の演算量が少なくてすむ。
【0051】
検証ノード一方向性ハッシュ関数演算部42は、収集部41により収集された各メッセージ(mi)に一方向性ハッシュ関数演算を行う(hi=H(mi))。
【0052】
検証部43は、収集部41により収集された全てのノードの固有検証鍵と、検証ノード一方向性ハッシュ関数演算部42により得られたハッシュ値と、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開署名情報(σk)の正当性を検証する。このとき、検証部43は、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報がない場合、これらの対応関係に関する全ての組み合わせを演算する。
【0053】
具体的には、検証部43は、各ノードの固有検証鍵とハッシュ値とから、「e(v1,h1)e(v2,h1+h2)・・・e(vk,hk−1+hk)」を計算し、この計算結果と「e(g,σk)」の値が一致することを確認することによって、公開署名情報(σk)の正当性を検証する。
【0054】
このようにして検証ノード40は、検証部43により、全てのノードの固有検証鍵と、メッセージのハッシュ値と、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開されている最終ノード30の署名情報の正当性を検証することができる。ここで、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報については、これらの情報がなくても、検証部43は、署名情報の正当性を検証することが可能である。
【0055】
したがって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、最終ノード30により公開された署名情報を数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証ノード40の処理負荷を低減して効率的に検証作業を実行することができる。なお、検証ノード40は、検証専用のノードであってもよいし、アグリゲート署名システムのいずれかの中間ノード20や最終ノード30であってもよい。
【0056】
次に、アグリゲート署名システムにおいて、各ノードの署名情報を生成する方法と、検証システムにおいて、署名情報の正当性を検証する方法について説明する。
【0057】
第1ノード10(署名者u1)は、図5に示すように、第1ノード一方向性ハッシュ関数演算工程ST1と、第1ノード署名情報生成工程ST2と、第1ノード送信工程ST3と、により、第1ノード署名情報を生成して第2ノード(中間ノード20)へ送信する。
【0058】
第1ノード一方向性ハッシュ関数演算工程ST1において、署名者u1のノードにおける第1ノード一方向性ハッシュ関数演算部12は、自身のメッセージ(m1)に一方向性ハッシュ関数演算を行う。
【0059】
第1ノード署名情報生成工程ST2において、署名者u1のノードにおける第1ノード署名情報生成部13は、第1ノード一方向性ハッシュ関数演算工程ST1により演算されたハッシュ値(h1)に自身の固有署名鍵(x1)により演算を行い、署名情報(σ1)を生成する。
【0060】
第1ノード送信工程ST3において、署名者u1のノードにおける第1ノード送信部14は、第1ノード署名情報生成工程ST2により生成された署名情報(σ1)を、次の第2ノード(署名者u2)へ送信する。
【0061】
第2ノード以降の中間ノード20(署名者ui)は、図6に示すように、中間ノード受信工程ST11と、中間ノード一方向性ハッシュ関数演算工程ST12と、中間ノード署名情報生成工程ST13と、中間ノード送信工程ST14と、により、中間ノード署名情報を生成して次の中間ノード20(署名者ui+1)へ送信する。
【0062】
中間ノード受信工程ST11において、署名者uiのノードにおける中間ノード受信部22は、直前のノード(署名者ui−1)のメッセージ(mi−1)、及び直前のノードにより生成された署名情報(σi−1)を受信する。
【0063】
中間ノード一方向性ハッシュ関数演算工程ST12において、署名者uiのノードにおける中間ノード一方向性ハッシュ関数演算部23は、直前のノードのメッセージ(mi−1)及び自身のメッセージ(mi)にそれぞれ一方向性ハッシュ関数演算を行う。
【0064】
中間ノード署名情報生成工程ST13において、署名者uiのノードにおける中間ノード署名情報生成部24は、自身のメッセージから演算により得られたハッシュ値(hi)に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードのメッセージから演算により得られたハッシュ値(hi−1)に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードから受信した署名情報(σi−1)と、を用いて自身のノードの署名情報(σi)を生成する。
【0065】
中間ノード送信工程ST14において、署名者uiのノードにおける中間ノード送信部25は、署名順序における次のノード(署名者ui+1)が存在する場合に、自身のメッセージ(mi)及び自身のノードの署名情報(σi)を、次のノードへ送信する。
【0066】
また、署名順序の最後のノードである最終ノード30(署名者uk)は、図7に示すように、最終ノード受信工程ST21と、最終ノード一方向性ハッシュ関数演算工程ST22と、最終ノード署名情報生成工程ST23と、署名情報公開工程ST24と、により、アグリゲート署名システムにおける公開署名情報(σk)を公開する。
【0067】
最終ノード受信工程ST21において、署名者ukのノードにおける最終ノード受信部32は、直前のノード(署名者uk−1)のメッセージ(mk−1)、及び直前のノードにより生成された署名情報(σk−1)を受信する。
【0068】
最終ノード一方向性ハッシュ関数演算工程ST22において、署名者ukのノードにおける最終ノード一方向性ハッシュ関数演算部33は、直前のノードのメッセージ(mk−1)及び自身のメッセージ(mk)にそれぞれ一方向性ハッシュ関数演算を行う。
【0069】
最終ノード署名情報生成工程ST23において、署名者ukのノードにおける最終ノード署名情報生成部34は、自身のメッセージから演算により得られたハッシュ値(hk)に自身の固有署名鍵(xk)により演算を行った結果と、直前のノードのメッセージから演算により得られたハッシュ値(hk−1)に自身の固有署名鍵(xk)により演算を行った結果と、直前のノードから受信した署名情報(σk−1)と、を用いて自身のノードの署名情報(σk)を生成する。
【0070】
署名情報公開工程ST24において、署名者ukのノードにおける公開部35は、最終ノード署名情報生成工程ST23により生成された署名情報を、公開署名情報(σk)として公開する。
【0071】
このように、アグリゲート署名システムに係るアグリゲート署名方法によれば、各中間ノード20において、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの署名経路を保持し、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0072】
また、検証システムにおける検証ノード40は、図8に示すように、収集工程ST31と、検証ノード一方向性ハッシュ関数演算工程ST32と、検証工程ST33と、により、公開署名情報(σk)の正当性を検証する。
【0073】
収集工程ST31において、収集部41は、署名が行われた全てのノードのメッセージ(m1、・・・、mk)、及びこれら全てのノードの固有検証鍵(v1、・・・、vk)を収集する。
【0074】
検証ノード一方向性ハッシュ関数演算工程ST32において、検証ノード一方向性ハッシュ関数演算部42は、収集工程ST31により収集されたメッセージのそれぞれに一方向性ハッシュ関数演算を行う。
【0075】
検証工程ST33において、検証部43は、収集工程ST31により収集された全てのノードの固有検証鍵、及び全てのノードのメッセージから検証ノード一方向性ハッシュ関数演算工程ST32により得られたハッシュ値に基づいて公開署名情報(σk)の正当性を検証する。
【0076】
このようにして、検証システムは、検証工程ST33により全てのノードの固有検証鍵とメッセージのハッシュ値とに基づいて、公開されている中間ノード署名情報(公開署名情報σk)の正当性を検証することができる。
【0077】
したがって、検証システムに係る検証方法では、各ノードにて生成される個々の署名情報等を検証することなく、最終ノード30により公開された署名情報を数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証工程ST33の処理負荷を低減して検証作業を実行することができる。
【0078】
[実施例]
ここで、アグリゲート署名システムの動作について、図9を参照しながら具体的に説明する。なお、この例では、ノード1からノードkがそれぞれ独立したメッセージに対して順序付きの多重署名を行う。また、記号の定義は、GDH署名の時に準ずる。
【0079】
ユーザui(iは、1≦i≦kとなる自然数の符号)に対し、自然数xi(ただしp≠qならxp≠xq)を選び、gからvi=xigを計算する。ここで、xiを固有署名鍵(以下、署名鍵という)とし、楕円曲線上の点viを固有検証鍵(以下、検証鍵という)として各ノードに割り当てる。
【0080】
最初の署名者であるユーザu1(ノード1)は、メッセージm1に対しハッシュ値(h1=H(m1))を求め、署名情報(σ1=x1h1)を計算する。そして、ノード1は、署名情報(σ1)と、自身のメッセージ(m1)を次のユーザu2(ノード2)に送信する。
【0081】
i番目のユーザui(ノードi)は、直前のユーザui−1(ノードi−1)から受信したメッセージ(mi−1)のハッシュ値(hi−1=H(mi−1))を求め、また、自身の署名対象であるメッセージ(mi)のハッシュ値(hi=H(mi))を求める。続いて、ユーザuiは、さらに直前のユーザui−1から受信した署名情報(σi−1)を用いて、
【数1】
を計算する。そして、ユーザuiは、この署名情報(σi)とメッセージ(mi)を次のユーザui+1(ノードi+1)へ送信する。
【0082】
最後のユーザuk(ノードk)は、直前のユーザuk−1(ノードk−1)から受信したメッセージ(mk−1)のハッシュ値(hk−1=H(mk−1))を求め、また、自身の署名対象であるメッセージ(mk)のハッシュ値(hk=H(mk))を求める。続いて、ユーザukは、さらに直前のユーザuk−1から受信した署名情報(σk−1)を用いて、
【数2】
を計算する。そして、ユーザukは、この署名情報(σk)を、全ユーザのアグリゲート署名情報として公開する。
【0083】
また、検証ノード40は、以下の検証過程1から検証過程3により公開署名情報(σk)の正当性を検証する。
【0084】
(検証過程1)検証ノード40は、署名を行った全てのノード(ノード1〜ノードk)が署名対象としたメッセージmi(m1、・・・、mk)を収集し、これらに対してハッシュ値(hi=H(mi))を求める。
【0085】
(検証過程2)検証ノード40は、署名を行った全てのノード(ノード1〜ノードk)の検証鍵(v1、・・・、vk)を収集する。
【0086】
(検証過程3)検証ノード40は、公開された公開署名情報(σk)の正当性を検証する。具体的には、検証ノード40は、検証過程1で求めたハッシュ値と、収集した全てのノードの検証鍵とから、
【数3】
を計算し、この値とe(g,σk)の値が一致することを確認する。これらの値が一致した場合には、公開署名情報(σk)が正当であると判断する。
【0087】
ここで、(検証過程3)における「e(g,σk)」を展開すると、
【数4】
となり、署名の過程が正しく行われていれば、(8)式と一致する。よって、公開されているユーザの検証鍵(vi)と、全てのメッセージから求めたハッシュ値(hi)とから、アグリゲート署名の検証が可能となる。
【0088】
ここで、σkの値に着目すると、ユーザu1はh1にのみ署名処理(x1h1の演算)を行っており、他のhiにはこのような署名処理を行っていない。これにより、ユーザu1が最初の署名者であることが分かる。
【0089】
また、「x2h1」の項により、この最初の署名者が署名処理したh1に対して署名処理を行っているのがユーザu2であることが表されているので、このユーザu2が2番目の署名者であることが分かる。ユーザu2は同時にh2に対して署名処理(x2h2)を行っている。同様に「x3h2」の項により、このh2に対して署名処理を行っているのがユーザu3であることが表されているので、このユーザu3が3番目の署名者であることが分かる。
【0090】
このように順に繰り返すことで、どの順序で署名されてきたかが分かり、その結果としてユーザukが最後の署名者であることが分かる。
【0091】
また、(9)式において、CDH問題や楕円曲線上の離散対数問題から、秘密情報である署名鍵を知らない第三者が、右辺の各項(xihi−1又はxihi)を任意に取り除くことはできないため、第三者による順序の入れ替えは不可能である。すなわち、アグリゲート署名システム及び検証システムが採用する本署名方式は、署名順序を署名鍵とハッシュ値の積により表現することができる。
【0092】
また、署名者の数(ノードの数)が増えても、公開される情報は公開署名情報(σk)のみである。この公開署名情報(σk)は一つの楕円曲線上の点であるため、情報のサイズ(容量)は増大せず、一定値以下に抑制することができる。
【0093】
さらに、検証システムでは、検証過程3で示した数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。したがって、順序管理のための装置を別途用意することなく、検証システムの処理負荷を低減して効率的に検証作業を実行することができる。
【0094】
<第2実施形態>
以下、本発明の実施形態の一例である第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
【0095】
本実施形態に係るアグリゲート署名システムにおいて、第1ノード10は、第1ノード一方向性ハッシュ関数演算部12及び第1ノード送信部14の構成が第1実施形態と異なる。
すなわち、第1ノード送信部14は、第1ノード一方向性ハッシュ関数演算部12の演算結果であるハッシュ値(h1)と第1ノード署名情報(σ1)とを、次のノード(第2ノード)へ送信する。
【0096】
中間ノード20は、中間ノード受信部22、中間ノード一方向性ハッシュ関数演算部23、及び中間ノード送信部25の構成が第1実施形態と異なる。
すなわち、中間ノード受信部22は、直前のノードから、メッセージ(mi−1)の代わりにハッシュ値(hi−1)を受信して中間ノード署名情報生成部24へ供給する。これにより、中間ノード一方向性ハッシュ関数演算部23は、直前のノードのメッセージ(mi−1)に一方向性ハッシュ関数演算を行う必要がなくなる。
【0097】
また、中間ノード送信部25は、中間ノード一方向性ハッシュ関数演算部23の演算結果であるハッシュ値(hi)と中間ノード署名情報(σi)とを、次のノードへ送信する。
【0098】
最終ノード30は、最終ノード受信部32及び最終ノード一方向性ハッシュ関数演算部33の構成が第1実施形態と異なる。
すなわち、最終ノード受信部32は、直前のノードから、メッセージ(mk−1)の代わりにハッシュ値(hk−1)を受信して最終ノード署名情報生成部34へ供給する。これにより、最終ノード一方向性ハッシュ関数演算部33は、直前のノードのメッセージ(mk−1)に一方向性ハッシュ関数演算を行う必要がなくなる。
【0099】
本実施形態に係る検証システムにおいて、検証ノード40は、収集部41の構成が第1実施形態と異なる。さらに、検証ノード40は、第1実施形態における検証ノード一方向性ハッシュ関数演算部42を必要としない。
【0100】
すなわち、収集部41は、各ノードから、メッセージ(mi)の代わりにハッシュ値(hi)を受信して検証部43へ供給する。これにより、検証ノード一方向性ハッシュ関数演算部42は、各ノードのメッセージ(mi)に一方向性ハッシュ関数演算を行う必要がなくなる。
【0101】
本実施形態によれば、各ノードにおける一方向性ハッシュ関数演算の処理負荷を低減することができる。
具体的には、第1実施形態における中間ノード一方向性ハッシュ関数演算工程ST12と、最終ノード一方向性ハッシュ関数演算工程ST22の処理負荷が低減され、検証ノード一方向性ハッシュ関数演算工程ST32は不要となる。
【0102】
なお、各ノード間においては、メッセージ(mi)又はハッシュ値(hi)のいずれかが送受信されればよく、アグリゲート署名システム及び検証システム内において統一されていなくてもよい。また、メッセージ及びハッシュ値の双方を送受信することとしてもよい。
【0103】
以上で説明した各実施形態におけるアグリゲート署名システム及び検証システムは、各ノードで独立したメッセージを署名対象とするので、例えば電子掲示板やブログのコメント等のように、前のメッセージを受けて次のメッセージを追加する連作に対して利用することができる。
【0104】
また、アグリゲート署名システム及び検証システムによる一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【符号の説明】
【0105】
10 第1ノード
11 記憶部
12 第1ノード一方向性ハッシュ関数演算部
13 第1ノード署名情報生成部
14 第1ノード送信部
20 中間ノード
21 記憶部
22 中間ノード受信部
23 中間ノード一方向性ハッシュ関数演算部
24 中間ノード署名情報生成部
25 中間ノード送信部
30 最終ノード
31 記憶部
32 最終ノード受信部
33 最終ノード一方向性ハッシュ関数演算部
34 最終ノード署名情報生成部
35 公開部
40 検証ノード
41 収集部
42 検証ノード一方向性ハッシュ関数演算部
43 検証部
【技術分野】
【0001】
本発明は、電子署名を利用した電子データのアグリゲート署名システム及び検証システム及びアグリゲート署名方法及びアグリゲート署名プログラムに関する。
【背景技術】
【0002】
現在、さまざまな電子情報がネットワークやメディアを介して送信されている。会社やコミュニティーのような組織においても、報告書やレポート、稟議書、連絡簿等さまざまな情報が電子化され、社員又はメンバー間でネットワークを経由して回覧されている。
【0003】
その情報の発信源あるいは閲覧済みであることを保証する仕組みとして電子署名がある。この電子署名を利用することにより、特定の人しか知りえない署名鍵と電子情報を入力値として署名の演算を行い、検証者が検証鍵と言われる公開された情報と署名されたデータを入力値として検証演算を行うことで、その特定の人がそのデータの発信源であることを確認することが可能となる。ここで、検証鍵から署名鍵を導出することは、計算量的に不可能であることから、他の人がその特定者に成りすまして署名を行うことができないため、その署名の正当性が保証される。
【0004】
また、組織における電子情報の回覧においては、複数の人が介在して署名を行うケースが想定され、例えば、電子データの回覧や会社における承認システムがそれに該当する。複数人の署名を行う方式としては、それぞれの署名者を検証できる多重署名(例えば、非特許文献1を参照)や、特定のグループに所属している人の誰かが署名したことを保証できるグループ署名(例えば、特許文献1を参照)が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−166687号公報
【特許文献2】特開平09−270787号公報
【特許文献3】特開2002−040935号公報
【非特許文献】
【0006】
【非特許文献1】新保 淳、「多重署名に適したElGamal署名の一変形方式」、暗号と情報セキュリティシンポジウム(CSS)、SCIS94−2C、電子情報通信学会、1994
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの多重署名やグループ署名では署名者が全て等価な関係で表現される。したがって、一例として示した多重署名システムにおいて電子データがどのように流通してきたのかを、この署名方式だけで表現することができない。
【0008】
これに対し、順序や上下関係を証明する方式としては順序付き多重署名方式(例えば、特許文献2、3を参照)があげられる。これにより署名者の順番が保証され、個人の上下関係が表現できる。しかしながら、これら既存の順序付き多重署名方式は、RSA(Rivest Shamir Adleman)問題ベースのものか、離散対数問題ベースのものが提案されている。RSA問題ベースでは、署名する人数が増えるほど署名サイズが大きくなってしまい、また、離散対数問題ベースでは、ゼロ知識証明を利用するために演算処理に負荷がかかり、効率的な処理にならない。また、両者共、同一のメッセージに対して複数人が署名を行う方式であるため、各署名者がそれぞれ異なるメッセージを対象とするアグリゲート署名を行うことができなかった。
【0009】
本発明は、上記課題を解決するため、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付き電子署名を行うことができるアグリゲート署名システム及び検証システム及びアグリゲート署名方法及びアグリゲート署名プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明では、以下のような解決手段を提供する。
【0011】
(1)本発明に係るアグリゲート署名システムは、上記課題を解決するために、複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、前記順序における最初のノードである第1ノードは、第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成部と、第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信部と、を備え、前記順序における2番目以降のノードである中間ノードは、直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信部と、直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成部と、前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信部と、を備える。
【0012】
このような構成によれば、アグリゲート署名システムは、各中間ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。アグリゲート署名システムは、この署名情報により、自身のノードに至るまでの署名順序を表現することができる。
【0013】
(2)また、上記アグリゲート署名システムでは、前記固有署名鍵は、所定の自然数からなり、前記固有検証鍵は、GDH(GAP−Diffie−Hellman)グループの要素である楕円曲線上の点と前記固有署名鍵とに基づいて生成される、当該楕円曲線上の点からなることを特徴とする。
【0014】
このように構成されることにより、アグリゲート署名システムは、固有署名鍵を知らない第三者がGDHグループの要素である楕円曲線上の点から固有署名鍵を求めることを、計算量的に困難にすることができる。また、署名者の数(ノードの数)が増えても、生成される中間ノード署名情報は楕円曲線上の点であるため、情報のサイズ(容量)は増大せず一定値以下に抑制することができ、効率的にアグリゲート署名を生成することができる。
【0015】
(3)また、上記アグリゲート署名システムでは、前記中間ノードに含まれており、前記順序における最後のノードである最終ノードは、前記中間ノード署名情報生成部により生成された前記中間ノード署名情報を公開する公開部を備えることを特徴とする。
【0016】
このような構成によれば、最終ノードは、順序付きのアグリゲート署名である中間ノード署名情報を他のノードに対して公開することができる。
【0017】
(4)本発明に係る検証システムは、上記課題を解決するために、上記アグリゲート署名システムに備えられている公開部により公開された中間ノード署名情報を検証する検証システムであって、署名が行われた全てのノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び当該全てのノードの固有検証鍵を収集する収集部と、前記収集部により収集されたメッセージのそれぞれに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、前記全てのノードの固有検証鍵、及び前記全てのノードのメッセージから演算により得られたハッシュ値に基づいて、前記中間ノード署名情報の正当性を検証する検証部と、を備える。
【0018】
このような構成によれば、検証システムは、検証部により全てのノードの固有検証鍵とメッセージのハッシュ値とに基づいて、公開された中間ノード署名情報の正当性を検証する。
【0019】
よって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、最終ノードで生成される署名情報を検証することにより、署名順序を証明することができる。すなわち、検証システムでは、検証ノードの処理負荷を低減して検証作業を実行することができる。
【0020】
(5)本発明に係るアグリゲート署名方法は、上記課題を解決するために、複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、前記順序における最初のノードである第1ノードは、第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、を備え、前記順序における2番目以降のノードである中間ノードは、直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、を備える。
【0021】
このような構成によれば、アグリゲート署名方法は、各中間ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。アグリゲート署名方法は、この署名情報により、自身のノードに至るまでの署名順序を表現することができる。
【0022】
(6)本発明に係るアグリゲート署名プログラムは、上記課題を解決するために、複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータによって実現するためのアグリゲート署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、が前記順序における最初のノードである第1ノードによって実行され、直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、直前のノードのメッセージ及び自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、自身のメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記順序における次のノードが存在する場合に、自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、が前記順序における2番目以降のノードである中間ノードによって実行される。
【0023】
このような構成によれば、アグリゲート署名プログラムは、各中間ノードにおいて、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。アグリゲート署名プログラムは、この署名情報により、自身のノードに至るまでの署名順序を表現することができる。
【発明の効果】
【0024】
本発明によれば、署名する人数が増えても署名サイズを一定値に抑制し、かつ効率的な演算処理によって順序付きアグリゲート署名を行うことができる。
【図面の簡単な説明】
【0025】
【図1】第1実施形態に係るアグリゲート署名システムにおける第1ノードの構成を示すブロック図である。
【図2】第1実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図3】第1実施形態に係るアグリゲート署名システムにおける最終ノードの構成を示すブロック図である。
【図4】第1実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【図5】第1実施形態において、第1ノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図6】第1実施形態において、中間ノードの署名情報を生成する方法についての説明に供するフローチャートである。
【図7】第1実施形態において、最終ノードで署名情報を公開する方法についての説明に供するフローチャートである。
【図8】第1実施形態において、検証ノードで署名情報の正当性を検証する方法についての説明に供するフローチャートである。
【図9】第1実施形態において、アグリゲート署名システムの動作についての説明に供する図である。
【図10】第2実施形態に係るアグリゲート署名システムにおける第1ノードの構成を示すブロック図である。
【図11】第2実施形態に係るアグリゲート署名システムにおける中間ノードの構成を示すブロック図である。
【図12】第2実施形態に係るアグリゲート署名システムにおける最終ノードの構成を示すブロック図である。
【図13】第2実施形態に係るアグリゲート署名システムにおける検証ノードの構成を示すブロック図である。
【発明を実施するための形態】
【0026】
<第1実施形態>
以下、本発明の実施形態の一例である第1実施形態について説明する。本実施形態に係るアグリゲート署名システムは、第1ノードから順に複数の中間ノードを経由して、それぞれのノードで独立したメッセージである電子データに署名を行いつつ、これらのメッセージと署名情報とを回覧する。また、最後の中間ノード、すなわち最終ノードにより公開された署名情報は、検証システムにおける検証ノードにより正当性が検証される。
【0027】
ところで、各ノードには、予め重複しない固有署名鍵と固有検証鍵が認証局(CA)によってそれぞれ割り当てられている。固有署名鍵は、所定の自然数(x)からなり、固有検証鍵は、GDH(GAP−Diffie−Hellman)グループ(G)の要素である楕円曲線上の点(g)と固有署名鍵(x)とに基づいて生成される楕円曲線上の点(v=xg)からなることが好ましい。このように構成されることにより、固有署名鍵(x)を知らない第三者が「v」や「g」の値から固有署名鍵(x)を求めることは計算量的に困難となる。
【0028】
ここで、本実施形態で採用される具体的な署名方式について説明する。アグリゲート署名システムでは、ベースとなる署名方式としてGAP−Diffie−Hellman(GDH)署名を採用する。GDH署名とは、Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名である。
【0029】
次に、ペアリング演算を用いたGDH署名について説明する。楕円曲線上のDiffie−Hellman問題に関連して、GDHグループが定義されている。GDHグループについて簡単に説明する。Gをある楕円曲線上の点の集合とする。「g」を集合Gの要素としたとき、集合Gにおける楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0030】
DDH問題:あるa、b、cという自然数があり、g、ag、bg、cgが与えられた時、c=abかどうかを判定する問題。
CDH問題:あるa、b、cという自然数があり、g、ag、bgが与えられた時、abgを計算する問題。
【0031】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GをGDHグループと定義する。
【0032】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては次にあげる性質を持つことができるペアリングと呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(P,Q1+Q2)=e(P,Q1)e(P,Q2) ・・・(1)
e(P1+P2,Q)=e(P1,Q)e(P2,Q) ・・・(2)
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab ・・・(3)
【0033】
よって、gがペアリング演算の可能な楕円曲線上の点である場合には、上記の性質から、(3)式にg、ag、bg、cgを入力すると、
e(ag,bg)=e(g,g)ab ・・・(4)
e(g,cg)=e(g,g)c ・・・(5)
となり、両者の値が一致するかどうかにより、「ab=c」であるかどうかを判定でき、gはGDHグループGの要素となりうる。
【0034】
この性質を利用してGDH署名が構成される。集合Gは、GDHグループであり、gは集合Gの要素となる点とする。また、一方向性ハッシュ関数Hを、通常使用される任意のビット長のサイズの数値データが固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H:{0,1}*→G
のように任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループGの要素に写像変換する方式であると定義する。
【0035】
このとき、GDH署名は以下のように定義される。
鍵生成:自然数xを選び、gからv=xgを計算する。xを署名鍵、楕円曲線上の点vを検証鍵とする。
署名:署名者は、メッセージ「m∈{0,1}*」に対しh=H(m)を計算し、さらに自分の署名鍵を用いてσ=xhを計算する。σをmに対する署名として公開する。
検証:検証者は、メッセージmからh=H(m)を計算し、g、v、h、σを準備する。e(g,σ)とe(v,h)を計算し、両者の値が一致したら、署名σは、正しい署名と判定する。
【0036】
このとき、hの値は集合Gの要素となるので、ある自然数yを用いてh=ygと表現できる。その結果、正しく署名が行われていれば(g,v,h,σ)=(g,xg,yg,xyg)となる。したがって、正当な署名であれば上記の検証でのペアリング演算は、e(g,σ)=e(g,xyg)=e(g,g)xy=e(xg,yg)=e(v,h)となり、値が一致することから、検証可能となる。なお、GDHグループの条件であるCDH問題の困難性から、署名鍵xを知らない第三者がg、v、hの値から署名σを導出することは不可能である。
【0037】
第1ノード10は、図1に示すように、記憶部11と、第1ノード一方向性ハッシュ関数演算部12と、第1ノード署名情報生成部13と、第1ノード送信部14と、を備える。
【0038】
記憶部11は、自身(署名者u1のノード)に割り当てられている固有署名鍵(x1)と固有検証鍵(v1=x1g)を記憶する。
第1ノード一方向性ハッシュ関数演算部12は、自身の署名対象であるメッセージ(m1)に一方向性ハッシュ関数演算を行う。
【0039】
第1ノード署名情報生成部13は、第1ノード一方向性ハッシュ関数演算部12により演算されたハッシュ値(h1=H(m1))に自身の固有署名鍵(x1)により演算を行い、署名情報(σ1=x1h1)を生成する。
第1ノード送信部14は、生成した署名情報(σ1)とメッセージ(m1)とを次のノード、すなわち署名者u2の中間ノード20へ送信する。
【0040】
また、署名順序の2番目以降(i番目)のノードである中間ノード20は、図2に示すように、記憶部21と、中間ノード受信部22と、中間ノード一方向性ハッシュ関数演算部23と、中間ノード署名情報生成部24と、中間ノード送信部25と、を備える。
【0041】
記憶部21は、自身(署名者uiのノード)に割り当てられている固有署名鍵(xi)と固有検証鍵(vi=xig)を記憶する。
中間ノード受信部22は、直前のノード(i−1番目のノード)のメッセージ(mi−1)と、直前のノードにより生成された署名情報(σi−1)と、を受信する。
【0042】
中間ノード一方向性ハッシュ関数演算部23は、直前のノードから受信したメッセージ(mi−1)と自身の署名対象であるメッセージ(mi)とに一方向性ハッシュ関数演算を行う。
【0043】
中間ノード署名情報生成部24は、自身のメッセージ(mi)から得られたハッシュ値(hi=H(mi))に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードのメッセージ(mi−1)から得られたハッシュ値(hi−1=H(mi−1))に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードの署名情報(σi−1)と、を用いて、自身の中間ノード署名情報(σi=σi−1+xihi−1+xihi)を生成する。
【0044】
中間ノード送信部25は、次(i+1番目)のノードが存在する場合に、自身の署名対象であるメッセージ(mi)と、中間ノード署名情報(σi)と、を次のノードへ送信する。
【0045】
このような構成によれば、アグリゲート署名システムは、各中間ノード20において、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの署名経路を保持しつつ、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0046】
また、署名順序における最後(k番目)の中間ノードである最終ノード30は、図3に示すように、記憶部31と、最終ノード受信部32と、最終ノード一方向性ハッシュ関数演算部33と、最終ノード署名情報生成部34と、公開部35と、を備える。
【0047】
記憶部31は、自身(署名者ukのノード)に割り当てられている固有署名鍵(xk)と固有検証鍵(vk=xkg)を記憶する。
なお、最終ノード受信部32は、中間ノード受信部22と同一の構成であり、最終ノード一方向性ハッシュ関数演算部33は、中間ノード一方向性ハッシュ関数演算部23と同一の構成であり、最終ノード署名情報生成部34は、中間ノード署名情報生成部24と同一の構成である。
【0048】
公開部35は、最終ノード署名情報生成部34により生成された中間ノード署名情報を公開する。このような構成によれば、最終ノード30は、自身が生成した署名情報を他のノード、特に後述の検証システムにおける検証ノード40に対して公開署名情報として公開することができる。
【0049】
次に、最終ノード30により公開された公開署名情報を検証する検証システムについて説明する。検証システムが有する検証ノード40は、図4に示すように、収集部41と、検証ノード一方向性ハッシュ関数演算部42と、検証部43と、を備える。
【0050】
収集部41は、署名を行った全てのノード(第1ノード10、中間ノード20、最終ノード30)それぞれのメッセージ(mi、1≦i≦k)と、固有検証鍵(vi、1≦i≦k)と、を収集する。このとき、収集部41は、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報を、必ずしも入手しなくてもよいが、最終ノード30から入手するようにしておくことも好ましい。収集部41がこれらの情報を入手しない場合でも、検証部43は、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関して、全ての組み合わせを演算することにより、公開署名情報の正当性を検証することが可能である。しかし、収集部41がこれらの情報を入手し検証部43へ受け渡すようにしておくと、これらの情報がない場合に比べて検証部43の演算量が少なくてすむ。
【0051】
検証ノード一方向性ハッシュ関数演算部42は、収集部41により収集された各メッセージ(mi)に一方向性ハッシュ関数演算を行う(hi=H(mi))。
【0052】
検証部43は、収集部41により収集された全てのノードの固有検証鍵と、検証ノード一方向性ハッシュ関数演算部42により得られたハッシュ値と、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開署名情報(σk)の正当性を検証する。このとき、検証部43は、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報がない場合、これらの対応関係に関する全ての組み合わせを演算する。
【0053】
具体的には、検証部43は、各ノードの固有検証鍵とハッシュ値とから、「e(v1,h1)e(v2,h1+h2)・・・e(vk,hk−1+hk)」を計算し、この計算結果と「e(g,σk)」の値が一致することを確認することによって、公開署名情報(σk)の正当性を検証する。
【0054】
このようにして検証ノード40は、検証部43により、全てのノードの固有検証鍵と、メッセージのハッシュ値と、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報と、に基づいて、公開されている最終ノード30の署名情報の正当性を検証することができる。ここで、署名者の署名順、及び各署名者と署名を行ったメッセージとの対応関係に関する情報については、これらの情報がなくても、検証部43は、署名情報の正当性を検証することが可能である。
【0055】
したがって、検証システムでは、各ノードにて生成される個々の署名情報等を検証することなく、最終ノード30により公開された署名情報を数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証ノード40の処理負荷を低減して効率的に検証作業を実行することができる。なお、検証ノード40は、検証専用のノードであってもよいし、アグリゲート署名システムのいずれかの中間ノード20や最終ノード30であってもよい。
【0056】
次に、アグリゲート署名システムにおいて、各ノードの署名情報を生成する方法と、検証システムにおいて、署名情報の正当性を検証する方法について説明する。
【0057】
第1ノード10(署名者u1)は、図5に示すように、第1ノード一方向性ハッシュ関数演算工程ST1と、第1ノード署名情報生成工程ST2と、第1ノード送信工程ST3と、により、第1ノード署名情報を生成して第2ノード(中間ノード20)へ送信する。
【0058】
第1ノード一方向性ハッシュ関数演算工程ST1において、署名者u1のノードにおける第1ノード一方向性ハッシュ関数演算部12は、自身のメッセージ(m1)に一方向性ハッシュ関数演算を行う。
【0059】
第1ノード署名情報生成工程ST2において、署名者u1のノードにおける第1ノード署名情報生成部13は、第1ノード一方向性ハッシュ関数演算工程ST1により演算されたハッシュ値(h1)に自身の固有署名鍵(x1)により演算を行い、署名情報(σ1)を生成する。
【0060】
第1ノード送信工程ST3において、署名者u1のノードにおける第1ノード送信部14は、第1ノード署名情報生成工程ST2により生成された署名情報(σ1)を、次の第2ノード(署名者u2)へ送信する。
【0061】
第2ノード以降の中間ノード20(署名者ui)は、図6に示すように、中間ノード受信工程ST11と、中間ノード一方向性ハッシュ関数演算工程ST12と、中間ノード署名情報生成工程ST13と、中間ノード送信工程ST14と、により、中間ノード署名情報を生成して次の中間ノード20(署名者ui+1)へ送信する。
【0062】
中間ノード受信工程ST11において、署名者uiのノードにおける中間ノード受信部22は、直前のノード(署名者ui−1)のメッセージ(mi−1)、及び直前のノードにより生成された署名情報(σi−1)を受信する。
【0063】
中間ノード一方向性ハッシュ関数演算工程ST12において、署名者uiのノードにおける中間ノード一方向性ハッシュ関数演算部23は、直前のノードのメッセージ(mi−1)及び自身のメッセージ(mi)にそれぞれ一方向性ハッシュ関数演算を行う。
【0064】
中間ノード署名情報生成工程ST13において、署名者uiのノードにおける中間ノード署名情報生成部24は、自身のメッセージから演算により得られたハッシュ値(hi)に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードのメッセージから演算により得られたハッシュ値(hi−1)に自身の固有署名鍵(xi)により演算を行った結果と、直前のノードから受信した署名情報(σi−1)と、を用いて自身のノードの署名情報(σi)を生成する。
【0065】
中間ノード送信工程ST14において、署名者uiのノードにおける中間ノード送信部25は、署名順序における次のノード(署名者ui+1)が存在する場合に、自身のメッセージ(mi)及び自身のノードの署名情報(σi)を、次のノードへ送信する。
【0066】
また、署名順序の最後のノードである最終ノード30(署名者uk)は、図7に示すように、最終ノード受信工程ST21と、最終ノード一方向性ハッシュ関数演算工程ST22と、最終ノード署名情報生成工程ST23と、署名情報公開工程ST24と、により、アグリゲート署名システムにおける公開署名情報(σk)を公開する。
【0067】
最終ノード受信工程ST21において、署名者ukのノードにおける最終ノード受信部32は、直前のノード(署名者uk−1)のメッセージ(mk−1)、及び直前のノードにより生成された署名情報(σk−1)を受信する。
【0068】
最終ノード一方向性ハッシュ関数演算工程ST22において、署名者ukのノードにおける最終ノード一方向性ハッシュ関数演算部33は、直前のノードのメッセージ(mk−1)及び自身のメッセージ(mk)にそれぞれ一方向性ハッシュ関数演算を行う。
【0069】
最終ノード署名情報生成工程ST23において、署名者ukのノードにおける最終ノード署名情報生成部34は、自身のメッセージから演算により得られたハッシュ値(hk)に自身の固有署名鍵(xk)により演算を行った結果と、直前のノードのメッセージから演算により得られたハッシュ値(hk−1)に自身の固有署名鍵(xk)により演算を行った結果と、直前のノードから受信した署名情報(σk−1)と、を用いて自身のノードの署名情報(σk)を生成する。
【0070】
署名情報公開工程ST24において、署名者ukのノードにおける公開部35は、最終ノード署名情報生成工程ST23により生成された署名情報を、公開署名情報(σk)として公開する。
【0071】
このように、アグリゲート署名システムに係るアグリゲート署名方法によれば、各中間ノード20において、直前のノードのメッセージから得られたハッシュ値と、自身のメッセージから得られたハッシュ値とに対して、自身のノードに割り当てられている固有署名鍵によって演算を行い、さらに直前のノードにより生成された署名情報を用いて、中間ノード署名情報を生成する。この署名情報は、自身のノードに至るまでの署名経路を保持し、かつ楕円曲線上の点のみで生成される。すなわち、署名者(ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0072】
また、検証システムにおける検証ノード40は、図8に示すように、収集工程ST31と、検証ノード一方向性ハッシュ関数演算工程ST32と、検証工程ST33と、により、公開署名情報(σk)の正当性を検証する。
【0073】
収集工程ST31において、収集部41は、署名が行われた全てのノードのメッセージ(m1、・・・、mk)、及びこれら全てのノードの固有検証鍵(v1、・・・、vk)を収集する。
【0074】
検証ノード一方向性ハッシュ関数演算工程ST32において、検証ノード一方向性ハッシュ関数演算部42は、収集工程ST31により収集されたメッセージのそれぞれに一方向性ハッシュ関数演算を行う。
【0075】
検証工程ST33において、検証部43は、収集工程ST31により収集された全てのノードの固有検証鍵、及び全てのノードのメッセージから検証ノード一方向性ハッシュ関数演算工程ST32により得られたハッシュ値に基づいて公開署名情報(σk)の正当性を検証する。
【0076】
このようにして、検証システムは、検証工程ST33により全てのノードの固有検証鍵とメッセージのハッシュ値とに基づいて、公開されている中間ノード署名情報(公開署名情報σk)の正当性を検証することができる。
【0077】
したがって、検証システムに係る検証方法では、各ノードにて生成される個々の署名情報等を検証することなく、最終ノード30により公開された署名情報を数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。すなわち、順序管理のための別の装置を要することなく、検証工程ST33の処理負荷を低減して検証作業を実行することができる。
【0078】
[実施例]
ここで、アグリゲート署名システムの動作について、図9を参照しながら具体的に説明する。なお、この例では、ノード1からノードkがそれぞれ独立したメッセージに対して順序付きの多重署名を行う。また、記号の定義は、GDH署名の時に準ずる。
【0079】
ユーザui(iは、1≦i≦kとなる自然数の符号)に対し、自然数xi(ただしp≠qならxp≠xq)を選び、gからvi=xigを計算する。ここで、xiを固有署名鍵(以下、署名鍵という)とし、楕円曲線上の点viを固有検証鍵(以下、検証鍵という)として各ノードに割り当てる。
【0080】
最初の署名者であるユーザu1(ノード1)は、メッセージm1に対しハッシュ値(h1=H(m1))を求め、署名情報(σ1=x1h1)を計算する。そして、ノード1は、署名情報(σ1)と、自身のメッセージ(m1)を次のユーザu2(ノード2)に送信する。
【0081】
i番目のユーザui(ノードi)は、直前のユーザui−1(ノードi−1)から受信したメッセージ(mi−1)のハッシュ値(hi−1=H(mi−1))を求め、また、自身の署名対象であるメッセージ(mi)のハッシュ値(hi=H(mi))を求める。続いて、ユーザuiは、さらに直前のユーザui−1から受信した署名情報(σi−1)を用いて、
【数1】
を計算する。そして、ユーザuiは、この署名情報(σi)とメッセージ(mi)を次のユーザui+1(ノードi+1)へ送信する。
【0082】
最後のユーザuk(ノードk)は、直前のユーザuk−1(ノードk−1)から受信したメッセージ(mk−1)のハッシュ値(hk−1=H(mk−1))を求め、また、自身の署名対象であるメッセージ(mk)のハッシュ値(hk=H(mk))を求める。続いて、ユーザukは、さらに直前のユーザuk−1から受信した署名情報(σk−1)を用いて、
【数2】
を計算する。そして、ユーザukは、この署名情報(σk)を、全ユーザのアグリゲート署名情報として公開する。
【0083】
また、検証ノード40は、以下の検証過程1から検証過程3により公開署名情報(σk)の正当性を検証する。
【0084】
(検証過程1)検証ノード40は、署名を行った全てのノード(ノード1〜ノードk)が署名対象としたメッセージmi(m1、・・・、mk)を収集し、これらに対してハッシュ値(hi=H(mi))を求める。
【0085】
(検証過程2)検証ノード40は、署名を行った全てのノード(ノード1〜ノードk)の検証鍵(v1、・・・、vk)を収集する。
【0086】
(検証過程3)検証ノード40は、公開された公開署名情報(σk)の正当性を検証する。具体的には、検証ノード40は、検証過程1で求めたハッシュ値と、収集した全てのノードの検証鍵とから、
【数3】
を計算し、この値とe(g,σk)の値が一致することを確認する。これらの値が一致した場合には、公開署名情報(σk)が正当であると判断する。
【0087】
ここで、(検証過程3)における「e(g,σk)」を展開すると、
【数4】
となり、署名の過程が正しく行われていれば、(8)式と一致する。よって、公開されているユーザの検証鍵(vi)と、全てのメッセージから求めたハッシュ値(hi)とから、アグリゲート署名の検証が可能となる。
【0088】
ここで、σkの値に着目すると、ユーザu1はh1にのみ署名処理(x1h1の演算)を行っており、他のhiにはこのような署名処理を行っていない。これにより、ユーザu1が最初の署名者であることが分かる。
【0089】
また、「x2h1」の項により、この最初の署名者が署名処理したh1に対して署名処理を行っているのがユーザu2であることが表されているので、このユーザu2が2番目の署名者であることが分かる。ユーザu2は同時にh2に対して署名処理(x2h2)を行っている。同様に「x3h2」の項により、このh2に対して署名処理を行っているのがユーザu3であることが表されているので、このユーザu3が3番目の署名者であることが分かる。
【0090】
このように順に繰り返すことで、どの順序で署名されてきたかが分かり、その結果としてユーザukが最後の署名者であることが分かる。
【0091】
また、(9)式において、CDH問題や楕円曲線上の離散対数問題から、秘密情報である署名鍵を知らない第三者が、右辺の各項(xihi−1又はxihi)を任意に取り除くことはできないため、第三者による順序の入れ替えは不可能である。すなわち、アグリゲート署名システム及び検証システムが採用する本署名方式は、署名順序を署名鍵とハッシュ値の積により表現することができる。
【0092】
また、署名者の数(ノードの数)が増えても、公開される情報は公開署名情報(σk)のみである。この公開署名情報(σk)は一つの楕円曲線上の点であるため、情報のサイズ(容量)は増大せず、一定値以下に抑制することができる。
【0093】
さらに、検証システムでは、検証過程3で示した数値演算のみで検証することにより、ノード間をどのような順序で署名されてきたかを証明することができる。したがって、順序管理のための装置を別途用意することなく、検証システムの処理負荷を低減して効率的に検証作業を実行することができる。
【0094】
<第2実施形態>
以下、本発明の実施形態の一例である第2実施形態について説明する。なお、第1実施形態と同様の構成については、同一の符号を付し、説明を省略又は簡略化する。
【0095】
本実施形態に係るアグリゲート署名システムにおいて、第1ノード10は、第1ノード一方向性ハッシュ関数演算部12及び第1ノード送信部14の構成が第1実施形態と異なる。
すなわち、第1ノード送信部14は、第1ノード一方向性ハッシュ関数演算部12の演算結果であるハッシュ値(h1)と第1ノード署名情報(σ1)とを、次のノード(第2ノード)へ送信する。
【0096】
中間ノード20は、中間ノード受信部22、中間ノード一方向性ハッシュ関数演算部23、及び中間ノード送信部25の構成が第1実施形態と異なる。
すなわち、中間ノード受信部22は、直前のノードから、メッセージ(mi−1)の代わりにハッシュ値(hi−1)を受信して中間ノード署名情報生成部24へ供給する。これにより、中間ノード一方向性ハッシュ関数演算部23は、直前のノードのメッセージ(mi−1)に一方向性ハッシュ関数演算を行う必要がなくなる。
【0097】
また、中間ノード送信部25は、中間ノード一方向性ハッシュ関数演算部23の演算結果であるハッシュ値(hi)と中間ノード署名情報(σi)とを、次のノードへ送信する。
【0098】
最終ノード30は、最終ノード受信部32及び最終ノード一方向性ハッシュ関数演算部33の構成が第1実施形態と異なる。
すなわち、最終ノード受信部32は、直前のノードから、メッセージ(mk−1)の代わりにハッシュ値(hk−1)を受信して最終ノード署名情報生成部34へ供給する。これにより、最終ノード一方向性ハッシュ関数演算部33は、直前のノードのメッセージ(mk−1)に一方向性ハッシュ関数演算を行う必要がなくなる。
【0099】
本実施形態に係る検証システムにおいて、検証ノード40は、収集部41の構成が第1実施形態と異なる。さらに、検証ノード40は、第1実施形態における検証ノード一方向性ハッシュ関数演算部42を必要としない。
【0100】
すなわち、収集部41は、各ノードから、メッセージ(mi)の代わりにハッシュ値(hi)を受信して検証部43へ供給する。これにより、検証ノード一方向性ハッシュ関数演算部42は、各ノードのメッセージ(mi)に一方向性ハッシュ関数演算を行う必要がなくなる。
【0101】
本実施形態によれば、各ノードにおける一方向性ハッシュ関数演算の処理負荷を低減することができる。
具体的には、第1実施形態における中間ノード一方向性ハッシュ関数演算工程ST12と、最終ノード一方向性ハッシュ関数演算工程ST22の処理負荷が低減され、検証ノード一方向性ハッシュ関数演算工程ST32は不要となる。
【0102】
なお、各ノード間においては、メッセージ(mi)又はハッシュ値(hi)のいずれかが送受信されればよく、アグリゲート署名システム及び検証システム内において統一されていなくてもよい。また、メッセージ及びハッシュ値の双方を送受信することとしてもよい。
【0103】
以上で説明した各実施形態におけるアグリゲート署名システム及び検証システムは、各ノードで独立したメッセージを署名対象とするので、例えば電子掲示板やブログのコメント等のように、前のメッセージを受けて次のメッセージを追加する連作に対して利用することができる。
【0104】
また、アグリゲート署名システム及び検証システムによる一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【符号の説明】
【0105】
10 第1ノード
11 記憶部
12 第1ノード一方向性ハッシュ関数演算部
13 第1ノード署名情報生成部
14 第1ノード送信部
20 中間ノード
21 記憶部
22 中間ノード受信部
23 中間ノード一方向性ハッシュ関数演算部
24 中間ノード署名情報生成部
25 中間ノード送信部
30 最終ノード
31 記憶部
32 最終ノード受信部
33 最終ノード一方向性ハッシュ関数演算部
34 最終ノード署名情報生成部
35 公開部
40 検証ノード
41 収集部
42 検証ノード一方向性ハッシュ関数演算部
43 検証部
【特許請求の範囲】
【請求項1】
複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
前記順序における最初のノードである第1ノードは、
第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成部と、
第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信部と、を備え、
前記順序における2番目以降のノードである中間ノードは、
直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信部と、
直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、
中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成部と、
前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信部と、を備えるアグリゲート署名システム。
【請求項2】
前記固有署名鍵は、所定の自然数からなり、
前記固有検証鍵は、GDH(GAP−Diffie−Hellman)グループの要素である楕円曲線上の点と前記固有署名鍵とに基づいて生成される、当該楕円曲線上の点からなることを特徴とする請求項1に記載のアグリゲート署名システム。
【請求項3】
前記中間ノードに含まれており、前記順序における最後のノードである最終ノードは、
前記中間ノード署名情報生成部により生成された前記中間ノード署名情報を公開する公開部を備えることを特徴とする請求項1又は請求項2に記載のアグリゲート署名システム。
【請求項4】
請求項3に記載のアグリゲート署名システムに備えられている公開部により公開された中間ノード署名情報を検証する検証システムであって、
署名が行われた全てのノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び当該全てのノードの固有検証鍵を収集する収集部と、
前記収集部により収集されたメッセージのそれぞれに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、
前記全てのノードの固有検証鍵、及び前記全てのノードのメッセージから演算により得られたハッシュ値に基づいて、前記中間ノード署名情報の正当性を検証する検証部と、を備える検証システム。
【請求項5】
複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
前記順序における最初のノードである第1ノードは、
第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、
第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、を備え、
前記順序における2番目以降のノードである中間ノードは、
直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、
直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、を備えるアグリゲート署名方法。
【請求項6】
複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータによって実現するためのアグリゲート署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、
自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、が前記順序における最初のノードである第1ノードによって実行され、
直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、
直前のノードのメッセージ及び自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
自身のメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記順序における次のノードが存在する場合に、自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、が前記順序における2番目以降のノードである中間ノードによって実行されるアグリゲート署名プログラム。
【請求項1】
複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
前記順序における最初のノードである第1ノードは、
第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成部と、
第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信部と、を備え、
前記順序における2番目以降のノードである中間ノードは、
直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信部と、
直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、
中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成部と、
前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信部と、を備えるアグリゲート署名システム。
【請求項2】
前記固有署名鍵は、所定の自然数からなり、
前記固有検証鍵は、GDH(GAP−Diffie−Hellman)グループの要素である楕円曲線上の点と前記固有署名鍵とに基づいて生成される、当該楕円曲線上の点からなることを特徴とする請求項1に記載のアグリゲート署名システム。
【請求項3】
前記中間ノードに含まれており、前記順序における最後のノードである最終ノードは、
前記中間ノード署名情報生成部により生成された前記中間ノード署名情報を公開する公開部を備えることを特徴とする請求項1又は請求項2に記載のアグリゲート署名システム。
【請求項4】
請求項3に記載のアグリゲート署名システムに備えられている公開部により公開された中間ノード署名情報を検証する検証システムであって、
署名が行われた全てのノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び当該全てのノードの固有検証鍵を収集する収集部と、
前記収集部により収集されたメッセージのそれぞれに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、
前記全てのノードの固有検証鍵、及び前記全てのノードのメッセージから演算により得られたハッシュ値に基づいて、前記中間ノード署名情報の正当性を検証する検証部と、を備える検証システム。
【請求項5】
複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
前記順序における最初のノードである第1ノードは、
第1ノード自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、
第1ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、を備え、
前記順序における2番目以降のノードである中間ノードは、
直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、
直前のノードのメッセージ及び中間ノード自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
中間ノード自身のメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に中間ノード自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記順序における次のノードが存在する場合に、中間ノード自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、を備えるアグリゲート署名方法。
【請求項6】
複数のノードにおいて、それぞれ独立したメッセージに対して順序付きのアグリゲート署名を行うアグリゲート署名方法をコンピュータによって実現するためのアグリゲート署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
自身のメッセージに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に自身の固有署名鍵により演算を行って第1ノード署名情報を生成する第1ノード署名情報生成工程と、
自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記第1ノード署名情報を、第2ノードへ送信する第1ノード送信工程と、が前記順序における最初のノードである第1ノードによって実行され、
直前のノードのメッセージ又は当該メッセージから演算により得られたハッシュ値、及び直前のノードにより生成された直前ノード署名情報を受信する中間ノード受信工程と、
直前のノードのメッセージ及び自身のメッセージにそれぞれ一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
自身のメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、直前のノードのメッセージから演算により得られたハッシュ値に自身の固有署名鍵により演算を行った結果、及び前記直前ノード署名情報を用いて中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記順序における次のノードが存在する場合に、自身のメッセージ又は当該メッセージから演算により得られたハッシュ値、及び前記中間ノード署名情報を、次のノードへ送信する中間ノード送信工程と、が前記順序における2番目以降のノードである中間ノードによって実行されるアグリゲート署名プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−55424(P2011−55424A)
【公開日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願番号】特願2009−204803(P2009−204803)
【出願日】平成21年9月4日(2009.9.4)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願日】平成21年9月4日(2009.9.4)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]