コミットメントシステム、コミットメント生成装置、コミットメント受信装置、その方法及びプログラム
【課題】新しいSSTC方式のコミットメントシステム等を提供する。
【解決手段】公開検証可能なタグベース鍵カプセル化メカニズムΠが定める関係Rprivpk,tagを
とする。コミットメント受信装置は暗号化アルゴリズムに対し公開鍵とタグ情報を与え、第一暗号文と第一鍵との組を生成する。コミットメント生成装置は第一暗号文を受信し、公開鍵とタグ情報を用いて、第一暗号文が真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対するsimΣを計算し、コミットメント情報aをコミットメント受信装置に送信する。コミットメント受信装置はコミットメント情報を受信し、を格納しておき、秘匿情報を受信すると、関係Rprivpk,tagのΣ−プロトコルに対するΣvrfyを用いて、秘匿情報が変更されていないかを判定する。
【解決手段】公開検証可能なタグベース鍵カプセル化メカニズムΠが定める関係Rprivpk,tagを
とする。コミットメント受信装置は暗号化アルゴリズムに対し公開鍵とタグ情報を与え、第一暗号文と第一鍵との組を生成する。コミットメント生成装置は第一暗号文を受信し、公開鍵とタグ情報を用いて、第一暗号文が真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対するsimΣを計算し、コミットメント情報aをコミットメント受信装置に送信する。コミットメント受信装置はコミットメント情報を受信し、を格納しておき、秘匿情報を受信すると、関係Rprivpk,tagのΣ−プロトコルに対するΣvrfyを用いて、秘匿情報が変更されていないかを判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、秘匿情報をコミットしコミットメント情報を生成するコミットメント生成装置、コミットメント情報を受信するコミットメント受信装置、コミットメント装置とコミットメント受信装置とからなるコミットメントシステム、その方法及びプログラムに関する。
【背景技術】
【0002】
暗号におけるコミットメントとは、電子的に行う「封じ手」のことである。コミットメントは、送信者(sender)と、受信者(receiver)に分かれる。送信者は、受信者に情報mを秘匿しながらも「委託」(commit)する。委託された情報mは、後に開示することになるが、委託する時点で決定した値mから変更することは出来ない。この性質を「秘匿性」(hiding)と「拘束性」(binding)と言う。例えばコミットメントを利用して、電子的なジャンケンやコイン投げ(もちろん、将棋や碁の封じ手でも良い)を行うことができる。
【0003】
コミットメントは、最も基本的な暗号プリミティブであるため、多くの暗号プロトコルの中で頻繁に利用される。近年では、暗号プロトコルをより現実の環境に近づけるため、複雑な組み合わせの中で利用した場合の安全性も求められている。このような複雑な組み合わせの中では、古典的安全性モデルで定義されたコミットメントでは、秘匿性と拘束性を満たせなくなってしまう。
【0004】
複雑な組み合わせの中で利用するために頑強なコミットメント方式が必要となる。なお、あるコミットメント方式が、頑強(non-malleable)であるとは、そのコミットメント方式を同時にどのように実行しても、秘匿性と拘束性が満たされる場合をいう。
【0005】
頑強なコミットメント方式よりもさらに強い安全性を持つ汎用結合コミットメントというものもある。汎用結合性とは、コミットメントに限ったものではなく、多くの暗号方式の上で定義できる。暗号方式が汎用結合であると、他の汎用結合な暗号方式と組み合わせて実行しても、お互いの単独で満たされる安全性が確保される。つまり、汎用結合である暗号方式は、いかなる汎用結合な暗号方式と組み合わせても汎用結合な暗号方式になる(非特許文献1及び2参照)。
【0006】
コミットメント方式の中には、送信者と受信者の双方がアクセス可能な(送信者、受信者の何れでもない第三者により正しく作られた)共通情報(crs: common reference string)を必要とするものもある。技術的な問題により、この共通情報は、コミットメントごとに使い捨てなければいけない場合と、使い捨てずに同じ共通情報をずっと使える場合に分かれる。但し、共通情報をずっと使えるコミットメント方式の方がより実用性が高い。
【0007】
さらに、落し戸付きコミットメント(trap-door commitment)方式は、落し戸(trap-door) を知っていれば、コミット時点とは異なる秘匿情報でコミットメント情報を開封できる。よって、落し戸付きコミットメント方式において、落し戸は、送信者には秘密である。
【0008】
落し戸付きコミットメントであり、かつ頑強なコミットメント(non-malleable trap-door com-mitment)方式も存在する。落し戸付きコミットメントの頑強性は、non-malleability with respect to openingという名前で定義される(非特許文献3、4、5、6及び7参照)。
【0009】
さらに、simulation-sound という定義を満たす落し戸付きコミットメント方式も存在する(非特許文献4及び6参照)。simulation-sound落し戸付きコミットメント(以下「SSTC」という)方式であれば、non-malleability with respect to open コミットメント方式、つまり頑強な落し戸付きコミットメントである。simulation-sound落し戸付きコミットメントは、Σ−プロトコル(非特許文献8参照)と呼ばれる標準的な認証プロトコルの安全性を大幅に上げることができ、さらに、非特許文献9の技術と組み合わせると、汎用結合可能コミットメントを構成できる。
【先行技術文献】
【非特許文献】
【0010】
【非特許文献1】R. Canetti, "Universally composable security: A new paradigm for cryptographic protocols", In Proceedings of the 42th IEEE Annual Symposium on Foundations of Computer Science (FOCS'01), Oct 2001, p.136-145
【非特許文献2】Ran Canetti, "Universally composable security: A new paradigm for cryptograpic protocols", Technical report, Cryptology ePrint Archive, Report 2000/067, 2005, Preliminary version appeared in FOCS'01
【非特許文献3】Ivan Damgard and Jens Groth, "Non-interactive and reusable non-malleable commitment schemes", In STOC03, 2003, p.426-437
【非特許文献4】J.Groth, "Honest verifier Zero-Knowledge Arguments Applied", PhD thesis, Basic Resarch in Computer Science, University of Aarhus, 2004
【非特許文献5】J. A. Garay, P. Mackenzie, and K. Yang, "Strengthening zero-knowledge protocols using signatures", In Advances in Cryptology-EUROCRYPT 2003, Springer-Verlag, 2003, volume 2656 of Lecture Notes in Computer Science, p.177-194
【非特許文献6】P. D. MacKenzie and K. Yang, "On simulation-sound trapdoor commitments", In C. Cachin and J. Camenisch, editors, Advances in Cryptology - EUROCRYPT 2004, Springer-Verlag, 2004, volume 3027 of Lecture Notes in Computer Science, p.382-400
【非特許文献7】R. Gennaro, "Multi-trapdoor commitments and their applications to proofs of knowledge secure under concurrent man-in-the-middle attacks", In Advances in Cryptology - CRYPTO'04, 2004, volume 3152 of Lecture Notes in Computer Science, p.220-236
【非特許文献8】R. Cramer, I. Damgard, and B. Schoenmakers, "Proofs of partial knowledge and simplied design of witness hiding protocols", In Y. G. Desmedt, editor, Advances in Cryptology - CRYPTO'94, Springer-Verlag, 1994, volume 839 of Lecture Notes in Computer Science, p.174-187
【非特許文献9】I. Damgard and J. Nielsen, "Perfect hiding and perfect binding universally composable commitment schemes with constant expansion factor", In Advances in Cryptology - CRYPTO2002, 2002, p.581-596
【発明の概要】
【発明が解決しようとする課題】
【0011】
しかしながら、非特許文献3、4、5、6及び7記載の従来技術は、全て使い捨てでない署名から共通の変換方法の基にsimulation-sound落し戸付きコミットメント(SSTC)を構成する。そのため、従来の署名が破られると、同時に従来技術のコミットメント方式も破られる可能性がある。
【0012】
本発明では、公開検証可能なタグベース鍵カプセル化メカニズムを用いて、新しいSSTC方式のコミットメントシステム、コミットメント生成装置、コミットメント受信装置、その方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0013】
上記の課題を解決するために、本発明の第一の態様によれば、コミットメントシステムはコミットメント生成装置とコミットメント受信装置からなる。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、コミットメント生成装置とコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0014】
【数1】
【0015】
とする。コミットメント受信装置は暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、第一暗号文Cをコミットメント生成装置に送信する。コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、コミットメント生成装置は第一暗号文Cを受信し、公開鍵pkとタグ情報tagを用いて、第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aをコミットメント受信装置に送信する。コミットメント受信装置はコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する。
【0016】
上記の課題を解決するために、本発明の第二の態様によれば、コミットメント生成装置は秘匿情報mをコミットし、コミットメント情報aを生成する。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、当該コミットメント生成装置とコミットメント情報aを受信するコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0017】
【数2】
【0018】
とし、コミットを開封するときの証拠の一部をzとする。第一暗号文Cを受信し、公開鍵pkとタグ情報tagとを用いて、受信した第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aをコミットメント受信装置に送信する。
【0019】
上記の課題を解決するために、本発明の第三の態様によれば、コミットメント受信装置は、コミットメント情報aを受信する。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、秘匿情報mをコミットし、コミットメント情報aを生成するコミットメント生成装置と当該コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0020】
【数3】
【0021】
とする。暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、第一暗号文Cをコミットメント受信装置に送信し、コミットを開封するときの証拠の一部をzとし、コミットメント生成装置からコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、Σ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する。
【0022】
上記の課題を解決するために、本発明の第四の態様によれば、コミットメント方法は、コミットメント生成装置とコミットメント受信装置を用いる。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、コミットメント生成装置とコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0023】
【数4】
【0024】
とする。コミットメント受信装置において、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、第一暗号文Cをコミットメント生成装置に送信する。コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、コミットメント生成装置が、第一暗号文Cを受信し、コミットメント生成装置において、公開鍵pkとタグ情報tagを用いて、第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aをコミットメント受信装置に送信する。コミットメント受信装置において、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する。
【発明の効果】
【0025】
本発明は、従来の署名のみに基づかずに、公開検証可能なタグベース鍵カプセル化メカニズムを用いて、新しいSSTC方式を構成するため、従来の署名が破られた場合にも安全であるという効果を奏する。
【図面の簡単な説明】
【0026】
【図1】コミットメントシステム1の構成例を示す図。
【図2】コミットメントシステム1の処理フローを示す図。
【図3】第三者装置11の機能構成例を示すブロック図。
【図4】第三者装置11の処理フローを示す図。
【図5】コミットメント受信装置15の機能構成例を示すブロック図。
【図6】コミットメント受信装置15の処理フローを示す図。
【図7】コミットメント生成装置13の機能構成例を示すブロック図。
【図8】コミットメント生成装置13の処理フローを示す図。
【発明を実施するための形態】
【0027】
以下、本発明の実施形態について、説明する。
【0028】
<定義>
まず、本形態で使用する用語や記号を定義する。
【0029】
{0,1}kは、kビット長のバイナリ系列(データ)の集合を意味し、{0,1}*は全てのバイナリ系列、つまり、{0,1}*=∪k≧0{0,1}kを表す。
確率的アルゴリズムMは,入力x∈{0;1}*とMの内部乱数rの二入力関数である。
y=M(x;r)は、入力x、乱数rのときの出力がyであることを意味する。
y←M(x)は、Mの入力xでの確率的試行を表す。例えば、Pr[y←M(x):y=1]<1/2とは、乱数rに従って出力された確率変数yが、1である確率が1/2未満であることを意味する。
【0030】
「A(X)の試行の後、B(Y)の試行が起き、さらに…」のような確率的試行の時系列的並びを、a←A(X);b←B(Y);…のように書く。
【0031】
Pr[a←A;b←B:event]は、確率的試行a←A;b←Bの下での事象eventの条件付き生起確率を表す。なお、記述を短くするため、Pr[y←M(x):y=1]のかわりにPr[M(x)=1]と書く場合がある。
【0032】
なお、確定的(deterministic)なアルゴリズムは、内部コインの無い確率的アルゴリズムと考えてもよい。
【0033】
[タグベース鍵カプセル化メカニズム(Tag−KEM: Tag-based Key Encapsulation Mechanisim)]
Π=(Gen,Enc,Dec)が、Tag−KEM(参考文献1及び2参照)であるとは、Πが次のような性質1〜性質4を満たすアルゴリズムの集合であるときをいう。
(参考文献1):V. Shoup, "A proposal for an ISO standard for public key encryption", Technical report, December 2001, Cryptology ePrint Archive, Report 2001/112
(参考文献2):M. Abe, R. Gennaro, and K. Kurosawa, "Tag-KEM/DEM: A new framework for hybrid encryption", Journal of Cryptology, 2008, Volume 21, Number 1, p.97-130
【0034】
(性質1)(pk,sk)←Gen(1n):鍵生成アルゴリズムGenは、セキュリティパラメータnを入力にとり、公開鍵・秘密鍵の組(pk,sk)を出力する確率的アルゴリズムである。
(性質2)(C,K)←Enc(pk,tag)。暗号化アルゴリズムEncは、公開鍵pkとタグ情報tag∈{0;1}*を入力とし、乱数r∈Grを内部発生させ、暗号文Cと鍵Kを計算し出力する確率的アルゴリズムである。
(性質3)復号アルゴリズムDecは、秘密鍵sk、タグ情報tag及び暗号文Cを入力としてとり、鍵K=Dec(sk,tag,C)を計算する確定的アルゴリズムである。
(性質4)全てのn∈N,全てのtag∈{0,1}*に対して、
Pr[(pk,sk)←Gen(1n);(C,K)←Enc(pk,tag):Dec(sk,tag,C)=K]=1
である。
【0035】
[暗号文と鍵との間のNP関係と公開検証可能性]
Tag−KEM Πに関する以下のようなNP関係を定義する。
【0036】
【数5】
【0037】
暗号文C∈{0;1}*が、対応する鍵Kが存在する真の暗号文である(すなわち、あるKが存在して(C,K)∈Rprivpk,tag)かを、公開鍵pkとtagのみで検証できるとき、Tag−KEM Πは「公開検証可能」という。
【0038】
[Σ―プロトコル]
R={(x,w)}をNP関係とする。関係Rから定義される言語をLR(:={x|∃w s.t.(x,w)∈R})とする。但し、「A:=B」は「Aという記号の意味するところをBと定義する」ことを意味する。関係RのΣ−プロトコル(非特許文献8参照)とは、証明者と検証者からなる三交信の次のような認証プロトコルである。なお、(x,w)∈Rとする。xを証明者と検証者への共通入力として、証明者は、さらにwを与えられる。
(1)証明者は、乱数raを選び、第一メッセージa=Σcom(x,w;ra)を計算し、検証者に送る。
(2)検証者は、第二メッセージの乱数c←RΣchを選び証明者に送り返す。但し、A←RBは、集合BからランダムにAを選択することを意味する。なお、Σchはチャレンジc(例えば、乱数)を生成または選択するアルゴリズムである。
(3)証明者は、第三メッセージz=Σans(x,w,ra,c)を計算し、検証者に送る。第三メッセージzはチャレンジcに対する証明者の返答であり、返答生成アルゴリズムΣansを用いて生成する。
【0039】
検証者は、b=Σvrfy(x,a,c,z)を計算して出力する。Σvrfyは、検証アルゴリズムであり、b=1であれば、検証者は、証明者の一連の認証行為を受理したという意味でありそれ以外の値であれば、否決したという意味を持っている。第一メッセージaと返答zとが、wを知っている証明者により、それぞれ第一メッセージ生成アルゴリズムΣcomと返答生成アルゴリズムΣansを用いて生成されたものであれば、b=1となる。Σ−プロトコルは以下の性質を満たす。
[完全性]∀ra,∀c∈Σch[Σvrfy(x,Σcom(x,w;ra),c,Σans(x,w,ra,c))=1]
[特別健全性]
【0040】
【数6】
【0041】
つまり、xが言語LRに元として含まれないとき、aに対して、zが存在するようなcは、唯一に決まる。さらに、c≠c’のとき、二つの受理される履歴(a,c,z)と(a,c’,z’)から、(x,w)∈Rを満たすwが必ず計算できる。
【0042】
[正直な検証者に対する特別ゼロ知識]∀x∈LR,∀c∈Σchに対して、検証者に受理される(a,c,z)←simΣ(x,c)を作ることができる。さらに、cをΣchからランダムに選び、simΣに入力して作った、(a,c,z)は、正直な証明者が正直な検証者と実行した履歴と同分布になる。
【0043】
なお、任意のNP関係に対して、必ずΣ−プロトコルが存在することはすでに知られている(参考文献3参照)。
(参考文献3):O. Goldreich, S. Micali, and A. Wigderson, "Proofs that yield nothing but their validity or all languages in np have zero-knowledge proof systems", Journal of the ACM, 1991, 1(38), p.691-729
【0044】
<第一実施形態>
<コミットメントシステム1>
図1及び図2を用いて第一実施形態に係るコミットメントシステム1の処理概要を説明する。コミットメントシステム1は、第三者装置11とコミットメント生成装置13とコミットメント受信装置15とからなり、これらの各装置は、例えばインターネットである通信網12を介して相互に通信可能とされている。
【0045】
Π=(Gen,Enc,Dec)を公開検証可能なタグベース鍵カプセル化メカニズムとする。関係Rprivpk,tagはΠにより定義される。関係Rprivpk,tagはNP関係であり、
【0046】
【数7】
【0047】
とする。Πと関係Rprivpk,tagに対するΣ−プロトコルからコミットメントシステム1を構成する。
【0048】
第三者装置11はセキュリティパラメータnを入力とし(s1)、鍵生成アルゴリズムGenを用いて、秘密鍵skと公開鍵pkを生成する(s2)。この公開鍵pkを共通参照データとする。そして、少なくともコミットメント生成装置13とコミットメント受信装置15が共通参照データcrsを利用可能な状態で、第三者装置11は共通参照データcrsを格納しておく。
【0049】
コミットメント生成装置13とコミットメント受信装置15は、タグ情報tagを取得する(s3)。tag情報とは、コミットメント生成装置13とコミットメント受信装置15とが共に知っている情報であり、例えば、プロセスのセッションID等である。なお、tag情報は後述する第一暗号文Cと第一鍵Kとの組(C,K)を生成する前にコミットメント生成装置13とコミットメント受信装置15とが共に取得すればよく、どのような取得方法を用いてもよい。
【0050】
さらに、コミットメント受信装置15は、共通参照データcrsを取得する(s4)。コミットメント受信装置15は暗号化アルゴリズムEncに対し共通参照データcrsとタグ情報tagを用いて、第一暗号文Cと第一鍵Kとの組(C,K)を生成し(s5)、第一暗号文Cをコミットメント生成装置13に送信する(s6)。
【0051】
コミットメント生成装置13はコミットする秘匿情報mを入力される(s7)。さらに、コミットメント生成装置13は第一暗号文Cを受信する(s8)。さらに、コミットメント生成装置13は、共通参照データcrsを取得する(s9)。
【0052】
コミットメント生成装置13は共通参照データcrsとタグ情報tagを用いて、第一暗号文Cが真の暗号文であるか否かを検証する(s10)。真の暗号文である場合には、コミットメント生成装置13は、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し(s11)、コミットメント情報aをコミットメント受信装置15に送信する(s12)。なお、関係Rprivpk,tagのΣ−プロトコルに対するsimΣとは、前述のΣ―プロトコルにおける秘密wを知らずに、第一メッセージa(本実施形態におけるコミットメント情報a)を生成し、返答z(本実施形態におけるコミットを開封するときの証拠の一部z)を生成するアルゴリズムである。
【0053】
コミットメント受信装置15は、コミットメント情報aを受信し(s13)、(tag,C,a)を格納しておく(s14)。
【0054】
コミットメント開封装置16は、(crs,tag,C,m,a,z)をコミットメント生成装置13等から受け取り(s15)、安全に保管しておく。そして、情報mを開示するタイミングになると、(tag,m,z)をコミットメント受信装置15に送信する(s16)。なお、コミットメント生成装置13とコミットメント開封装置16との間は安全に通信可能とされている。また、コミットメント開封装置16を設けず、コミットメント生成装置13から直接、(tag,m,z)をコミットメント受信装置15に送信する構成としてもよい。
【0055】
コミットメント受信装置15は、(tag,m,z)を受信すると(s17)、Σ―プロトコルに対するΣvrfy(C,a,m,z)を用いて、コミットメント情報aを受信した時点から秘匿情報mが変更されていないかを判定する(s18)。なお、前述のΣ―プロトコルにおいて検証アルゴリズムΣvrfyは証明者がwを知っているか否かを検証するが、本実施形態においてΣ―プロトコルに対するΣvrfyはコミットメント情報aを受信した時点から秘匿情報mが変更されていないかを判定する。言い換えると、本実施形態におけるΣ―プロトコルに対するΣvrfyは、秘匿情報mに対するコミットメント情報a及びコミットを開封するときの証拠の一部zが正しいか否かを検証するアルゴリズムである。
【0056】
以下、詳細を説明する。まず、第一実施形態において例えば、以下のTag−KEM Π=(Gen,Enc,Dec)を利用することができる。
【0057】
<Tag−KEM Π>
GとGTを素数位数qのアーベル群とする。e:G×G→GTを非退化な双線形写像とする。gをGの生成元とする。Z/qZを0以上q未満の整数の集合とする。双線形性より、x,y∈G、a,b∈Z/qZに対して、e(xa,yb)=e(x,y)abが成り立つ。非退化性より、e(g,g)は、GTの生成元である。H:{0,1}*→Z/qZのハッシュ関数とする。otΣ=(otKGen,otSign,OtVrfy)を任意の使い捨て署名とする(参考文献4参照)。
(参考文献4):Leslie Lamport, "Constructing digital signatures from one-way functions", Technical Report SRI-CSL-98, SRI International Computer Science Laboratory, October 1979
・Gen(1n):x,y←RZ/qZ;X:=gx;Y:=gy;pk=(g,X,Y,H)、sk=(pk,x,y)として、(pk,sk)を出力する。
・Enc(pk,tag):(otvk,otsk)←otKGen(1k);σ←otSign(otsk,tag);r←Z/qZ;t:=H(otvk,gr);C:=(σ,otvk,gr,(XtY)r);K:=Xr;(C,K)を出力する。
・Dec(sk,tag,C):C=(σ,otvk,u,τ)をσ,otvk,u,τに分解し、もしotVrfy(otvk,tag,σ)≠1ならば、復号を中止し、それ以外の場合、t:=H(otvk,u)を計算する。もしuxt+y≠τ ならば、復号を中止し、それ以外の場合、K:=ux;Kを出力する。
【0058】
なお、第一実施形態において例えば、以下の使い捨て署名otΣ(otKGen,otSign,otVrfy)を利用することができる。
【0059】
<使い捨て署名otΣ>
G2を素数位数q2のアーベル群とする。H2:{0,1}*→Z/q2Zのハッシュ関数とする。q2、G2、H2は、Tag−KEMΠで用いるq,G,Hと同じであってもよいし、異なっていてもよい。以下において、添え字s1、s2、w1、w2、z1、z2、H2は、s1、s2、w1、w2、z1、z2、H2を意味する。
・otKGen(1k):g1,g2←RG2;s1,s2,w1,w2←RZ/q2Z;b:=g1w1g2w2;h:=g1s1g2s2;otvk:=(g1,g2,h,b);otsk:=(otvk,s1,s2,w1,w2);(otvk,otsk)を出力する。
・otSign(otsk,m):c:=H(otvk,m);z1:=w1+c・s1 mod q2;z2:=w2+c・s2 mod q2;σ:=(z1,z2)を出力する。
・otVrfy(otvk,m,σ):g1z1g2z2=bhH2(otvk,m)のときに限り、1を出力する。
【0060】
<共通参照データcrsの生成及び取得>
図3及び図4を用いて共通参照データcrsの生成について説明する。第三者装置11は、入力部111を介してセキュリティパラメータnを取得し(s111)、鍵生成部112において、Tag−KEMの鍵生成アルゴリズムGen(1n)により(sk,pk)を生成する(s112)。例えば、Z/qZからランダムにxとyを選択し、X=gxとY=gyを求め、gとXとYとHとの組を公開鍵pkとして生成する。この公開鍵pkを共通参照データcrsとする。pkとxとyとの組を秘密鍵として生成する。そして、少なくともコミットメント生成装置13とコミットメント受信装置15が共通参照データcrsを利用可能な状態で、共通参照データcrsは記憶部114に記憶される。また、第三者装置11は、秘密鍵skを記憶部114に安全に格納してもよいし、破棄してもよい(s113)。なお、第三者装置11は、制御部115の制御のもと上記処理を行う。なお、本実施形態では、一つの共通参照データcrsを繰り返し使う。
【0061】
コミットメント受信装置15は、制御部155(図5)の制御のもと、出力部156を介して、第三者装置11に対し、公開鍵pkを送信するように要求する。第三者装置11の制御部115は、入力部111を介して要求を受信し、記憶部114から公開鍵pkを取り出し、出力部116を介して、コミットメント受信装置15に送信する。コミットメント受信装置15は、入力部151を介して公開鍵pkを受信し、記憶部154に格納する(図6、s151)。コミットメント生成装置13も同様に制御部135(図7)の制御のもと、出力部136を介して公開鍵pkを要求し、入力部131を介して公開鍵pkを受信し、記憶部134に格納する(図8、s131)。
【0062】
<第一暗号文C及び第一鍵Kの生成>
コミットメント受信装置15は、入力部151を介してセキュリティパラメータkを取得する(図6、s152)。コミットメント受信装置15は、暗号化部152(図5)において、Tag−KEM Πの暗号化アルゴリズムEncを実行し、第一暗号文Cと第一鍵Kとの組(C,K)を生成する(s153)。
【0063】
暗号化部152内の署名鍵検証鍵生成部152aは、セキュリティパラメータkを用いて、鍵生成アルゴリズムotKGenにより、署名鍵otskと検証鍵otvkを生成する。例えば、署名鍵検証鍵生成部152aは、G2からランダムにg1、g2を選択し、Z/q2Zからランダムにs1、s2、w1、w2を選択する。さらに、b=g1w1g2w2とh=g1s1g2s2を求め、g1とg2とhとbとの組を検証鍵otvkとし、検証鍵otvkとs1とs2とw1とw2との組を署名鍵otskとして求める。なお、ハッシュ関数HとH2が異なる場合には、検証鍵otvkがハッシュ関数H2を含む構成とする。
【0064】
暗号化部152内の署名生成部152bは、タグ情報tagと生成した署名鍵otskを用いて、署名アルゴリズムotSignにより、電子署名σを生成する。例えば、検証鍵otvkとタグ情報tagをハッシュ関数H2の入力として、cを求める。さらに、(z1=w1+c・s1 mod q2)と(z2=w2+c・s2 mod q2)とを求め、z1とz2との組を電子署名σとする。
【0065】
暗号化部152内の第一鍵第一暗号文生成部152cは、公開パラメータpk(=g,X,Y,H)と前記検証鍵otvkを用いて、暗号化アルゴリズムEncにより第一暗号文Cと第一鍵Kを生成する。例えば、Z/qZからランダムにrを選択し、K=Xrを求める。さらに、grを求め、検証鍵otvkとgrをハッシュ関数Hの入力として、tを求める。(XtY)rを計算し、電子署名σと検証鍵otvkとgrと(XtY)rとの組を第一暗号文Cとする。
【0066】
コミットメント受信装置15は、第一暗号文Cとタグ情報tagを関連付けて記憶部154に記憶し、さらに、第一暗号文Cを出力部156を介してコミットメント生成装置13に送信する(s154)。コミットメント受信装置15は、署名鍵otskを記憶部154に安全に格納してもよいし、破棄してもよい。
【0067】
<第一暗号文Cの検証>
コミットメント生成装置13は、入力部131(図7)を介して、第一暗号文C=(σ,otvk,u,τ)を受信する(s132)。
【0068】
暗号文検証部132において、まず、電子署名σと検証鍵otvkとタグ情報tagを用いて、otVrfy(otvk,tag,σ)により、電子署名σが正当か否かを検証する(s133)。例えば、電子署名σ=(z1,z2)とotvk=(g1,g2,h,b)を用いて、g1z1g2z2を求める。さらに、検証鍵otvkとタグ情報tagを入力とし、H2(otvk,tag)を求め、検証鍵に含まれるbを用いて、bhH2(otvk,tag)を求める。求めたg1z1g2z2とbhH2(otvk,tag)とが同一の場合に電子署名σが正当であると判断する。つまり、otVrfyは1を返す。g1z1g2z2とbhH2(otvk,tag)とが異なる場合には、電子署名が正当ではないと判断し、否決する(s137)。つまり、otVrfyは1以外の値を返す。コミットメント受信装置15以外の生成した電子署名を否決することができる。
【0069】
電子署名σが正当である場合には、暗号文検証部132は、記憶部154から公開パラメータpk=(g,X,Y,H)を取り出し、ハッシュ関数Hと第一暗号文Cに含まれるuと検証鍵otvkを用いて、t=H(otvk,u)を求める。さらに、公開パラメータpk=(g,X,Y,H)と第一暗号文Cに含まれるτを用いて、e(u,XtY)=e(g,τ)が成り立つか否か検証する(s134)。受信した第一暗号文Cに含まれるuとτが、それぞれ、コミットメント受信装置15で生成されるgr、(XtY)rと同一であれば、前記式が成り立つ。e(u,XtY)=e(g,τ)が成り立つ場合には、受信した第一暗号文Cが真の暗号文であると判定する。e(u,XtY)=e(g,τ)が成り立たない場合には、第一暗号文Cが真の暗号文ではないと判断し、否決する(s137)。この処理により、
【0070】
【数8】
【0071】
第一暗号文Cが言語LRに元として含まれない場合(Cが真の暗号文でない場合)に処理を中止することができる。
【0072】
<コミットメント情報の生成>
第一暗号文Cが真の暗号文であると判定した場合、コミットメント情報生成部138は、第一暗号文Cと秘匿情報mを用いて、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算する(s135)。例えばコミットメント情報生成部138は、Gから単位元を除いた群G*からランダムにK^を選択し、Z/qZからランダムにzを選択する。さらに、a^=e(g,K^)z・e(u,X)−mを計算し、K^とa^との組をコミットメント情報aとして生成する。コミットメント生成装置13は、出力部136を介して、生成したコミットメント情報aをコミットメント受信装置15に送信する(s136)。
【0073】
コミットメント生成装置13とコミットメント開封装置16が同一装置の場合、(crs,tag,C,m,a,z)を記憶部134に安全に記憶しておく。別装置の場合には、コミットメント生成装置13は上記情報をコミットメント開封装置16に出力部136を介して送信する。
【0074】
<コミットメント情報の受信及び開封処理>
コミットメント受信装置15は、入力部151(図5)を介して、コミットメント情報aを受信し(図6、s155)、記憶部154に(tag,C)と関連付けて記憶しておく(s156)。
【0075】
さらに、コミットメント受信装置15は、入力部151を介して、コミットメント生成装置13またはコミットメント開封装置16から(tag,m,z)を受信する(s157)。コミットメント受信装置15の開封部159において、Σvrfy(C,a,m,z)を用いて、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定する(s158)。例えば、公開パラメータpkに含まれるgとX、a=(K^,a^)、第一暗号文Cに含まれるu,z及びmを用いて、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定する。成り立つ場合には、Σvrfy(C,a,m,z)は1を返し、受信した秘匿情報mは、コミットメント情報a受信時点から変更されていないと判定し、受理する(s159)。e(g,K^)z=a^・e(u,X)mが成り立たない場合、Σvrfy(C,a,m,z)は1以外の値を返し、少なくともmかzかの何れかに変更があったものとし、否決する(s160)。
【0076】
<効果>
このような構成とすることで、従来の署名が破られた場合にも安全なコミットメント方式とすることができる。
【0077】
さらに、本実施形態では、公開検証可能なTag−KEMに加え、電子署名を組合せているため、より安全性の高いコミットメント方式を実現している。
【0078】
さらに、電子署名を使い捨て署名とすることで、従来(非特許文献3、4、5、6及び7参照)より効率のよいコミットメント方式を実現している。従来技術では、使い捨てでない電子署名から共通の変換法の基にSSTCを構成していた。これらの方式は署名方式から変換するので、コミットメントの効率は署名方式に依存する。現在知られている限りでは、安全な使い捨てでない署名方式は、安全な使い捨て署名や安全な暗号方式と比べてより強い家庭または大きなパラメータを使わなくてはならない。例えば、参考文献5記載の署名方式では、公開パラメータpkとして(g、g1,g2,u’,H,u1,…,un)を必要とする(例えばn=160や256等)。一方、本実施形態では、公開検証可能なTag−KEMと使い捨て署名を組み合わせて用いることで、公開パラメータを(g,X,Y,H)とし、小さいパラメータで十分な安全性を実現することができる。
(参考文献5):Brent Waters, "Efficient Identity-Based Encryption Without Random Oracles", EUROCRYPT 2005, LNCS, Springer, Heidelberg, 2005, vol. 3494, p.114-127.
【0079】
また、本実施形態は、CDH仮定に対しタイトであり、従来技術に比べ、セキュリティパラメータを短くすることができ、情報量、計算量を共に削減することができ、効率のよいコミットメントシステムを構成することができる。例えば、CDH仮定がkビットの場合、本実施形態ではk’(≒k)ビットのセキュリティパラメータを用いることができる。一方、参考文献5記載の署名方式ではk”(≒102k)ビットのセキュリティパラメータを用いなければ同程度の安全性を得ることはできない。
【0080】
<プログラム及び記憶媒体>
上述した第三者装置、コミットメント生成装置及びコミットメント受信装置は、コンピュータにより機能させることもできる。この場合はコンピュータに、目的とする装置(各種実施例で図に示した機能構成をもつ装置)として機能させるためのプログラム、またはその処理手順(各実施例で示したもの)の各過程をコンピュータに実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体から、あるいは通信回線を介してそのコンピュータ内にダウンロードし、そのプログラムを実行させればよい。
【0081】
<その他の変形例>
他の公開検証可能なTag−KEMや使い捨て署名を用いてもよい。Πと関係Rprivpk,tagに対するΣ−プロトコルからコミットメントシステムを構成すればよく、第一暗号文Cは必ずしも署名を含まなくともよい。また、使い捨てではない署名を用いてもよく、その場合も、従来技術と比べ安全なコミットメント方式となる。
【0082】
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
【産業上の利用可能性】
【0083】
本発明は、様々な暗号プロトコルに利用することができる。例えば、ゼロ知識証明、マルチパーティ計算、電子マネーまたは電子投票等に利用することができる。
【符号の説明】
【0084】
1 コミットメントシステム
11 第三者装置
12 通信網
13 コミットメント生成装置
15 コミットメント受信装置
16 コミットメント開封装置
111 入力部
112 鍵生成部
114 記憶部
115 制御部
116 出力部
131 入力部
132 暗号検証部
134 記憶部
135 制御部
136 出力部
138 コミットメント情報生成部
151 入力部
152 暗号化部
152a 署名鍵検証鍵生成部
152b 署名生成部
152c 第一鍵第一暗号文生成部
154 記憶部
155 制御部
156 出力部
159 開封部
【技術分野】
【0001】
本発明は、秘匿情報をコミットしコミットメント情報を生成するコミットメント生成装置、コミットメント情報を受信するコミットメント受信装置、コミットメント装置とコミットメント受信装置とからなるコミットメントシステム、その方法及びプログラムに関する。
【背景技術】
【0002】
暗号におけるコミットメントとは、電子的に行う「封じ手」のことである。コミットメントは、送信者(sender)と、受信者(receiver)に分かれる。送信者は、受信者に情報mを秘匿しながらも「委託」(commit)する。委託された情報mは、後に開示することになるが、委託する時点で決定した値mから変更することは出来ない。この性質を「秘匿性」(hiding)と「拘束性」(binding)と言う。例えばコミットメントを利用して、電子的なジャンケンやコイン投げ(もちろん、将棋や碁の封じ手でも良い)を行うことができる。
【0003】
コミットメントは、最も基本的な暗号プリミティブであるため、多くの暗号プロトコルの中で頻繁に利用される。近年では、暗号プロトコルをより現実の環境に近づけるため、複雑な組み合わせの中で利用した場合の安全性も求められている。このような複雑な組み合わせの中では、古典的安全性モデルで定義されたコミットメントでは、秘匿性と拘束性を満たせなくなってしまう。
【0004】
複雑な組み合わせの中で利用するために頑強なコミットメント方式が必要となる。なお、あるコミットメント方式が、頑強(non-malleable)であるとは、そのコミットメント方式を同時にどのように実行しても、秘匿性と拘束性が満たされる場合をいう。
【0005】
頑強なコミットメント方式よりもさらに強い安全性を持つ汎用結合コミットメントというものもある。汎用結合性とは、コミットメントに限ったものではなく、多くの暗号方式の上で定義できる。暗号方式が汎用結合であると、他の汎用結合な暗号方式と組み合わせて実行しても、お互いの単独で満たされる安全性が確保される。つまり、汎用結合である暗号方式は、いかなる汎用結合な暗号方式と組み合わせても汎用結合な暗号方式になる(非特許文献1及び2参照)。
【0006】
コミットメント方式の中には、送信者と受信者の双方がアクセス可能な(送信者、受信者の何れでもない第三者により正しく作られた)共通情報(crs: common reference string)を必要とするものもある。技術的な問題により、この共通情報は、コミットメントごとに使い捨てなければいけない場合と、使い捨てずに同じ共通情報をずっと使える場合に分かれる。但し、共通情報をずっと使えるコミットメント方式の方がより実用性が高い。
【0007】
さらに、落し戸付きコミットメント(trap-door commitment)方式は、落し戸(trap-door) を知っていれば、コミット時点とは異なる秘匿情報でコミットメント情報を開封できる。よって、落し戸付きコミットメント方式において、落し戸は、送信者には秘密である。
【0008】
落し戸付きコミットメントであり、かつ頑強なコミットメント(non-malleable trap-door com-mitment)方式も存在する。落し戸付きコミットメントの頑強性は、non-malleability with respect to openingという名前で定義される(非特許文献3、4、5、6及び7参照)。
【0009】
さらに、simulation-sound という定義を満たす落し戸付きコミットメント方式も存在する(非特許文献4及び6参照)。simulation-sound落し戸付きコミットメント(以下「SSTC」という)方式であれば、non-malleability with respect to open コミットメント方式、つまり頑強な落し戸付きコミットメントである。simulation-sound落し戸付きコミットメントは、Σ−プロトコル(非特許文献8参照)と呼ばれる標準的な認証プロトコルの安全性を大幅に上げることができ、さらに、非特許文献9の技術と組み合わせると、汎用結合可能コミットメントを構成できる。
【先行技術文献】
【非特許文献】
【0010】
【非特許文献1】R. Canetti, "Universally composable security: A new paradigm for cryptographic protocols", In Proceedings of the 42th IEEE Annual Symposium on Foundations of Computer Science (FOCS'01), Oct 2001, p.136-145
【非特許文献2】Ran Canetti, "Universally composable security: A new paradigm for cryptograpic protocols", Technical report, Cryptology ePrint Archive, Report 2000/067, 2005, Preliminary version appeared in FOCS'01
【非特許文献3】Ivan Damgard and Jens Groth, "Non-interactive and reusable non-malleable commitment schemes", In STOC03, 2003, p.426-437
【非特許文献4】J.Groth, "Honest verifier Zero-Knowledge Arguments Applied", PhD thesis, Basic Resarch in Computer Science, University of Aarhus, 2004
【非特許文献5】J. A. Garay, P. Mackenzie, and K. Yang, "Strengthening zero-knowledge protocols using signatures", In Advances in Cryptology-EUROCRYPT 2003, Springer-Verlag, 2003, volume 2656 of Lecture Notes in Computer Science, p.177-194
【非特許文献6】P. D. MacKenzie and K. Yang, "On simulation-sound trapdoor commitments", In C. Cachin and J. Camenisch, editors, Advances in Cryptology - EUROCRYPT 2004, Springer-Verlag, 2004, volume 3027 of Lecture Notes in Computer Science, p.382-400
【非特許文献7】R. Gennaro, "Multi-trapdoor commitments and their applications to proofs of knowledge secure under concurrent man-in-the-middle attacks", In Advances in Cryptology - CRYPTO'04, 2004, volume 3152 of Lecture Notes in Computer Science, p.220-236
【非特許文献8】R. Cramer, I. Damgard, and B. Schoenmakers, "Proofs of partial knowledge and simplied design of witness hiding protocols", In Y. G. Desmedt, editor, Advances in Cryptology - CRYPTO'94, Springer-Verlag, 1994, volume 839 of Lecture Notes in Computer Science, p.174-187
【非特許文献9】I. Damgard and J. Nielsen, "Perfect hiding and perfect binding universally composable commitment schemes with constant expansion factor", In Advances in Cryptology - CRYPTO2002, 2002, p.581-596
【発明の概要】
【発明が解決しようとする課題】
【0011】
しかしながら、非特許文献3、4、5、6及び7記載の従来技術は、全て使い捨てでない署名から共通の変換方法の基にsimulation-sound落し戸付きコミットメント(SSTC)を構成する。そのため、従来の署名が破られると、同時に従来技術のコミットメント方式も破られる可能性がある。
【0012】
本発明では、公開検証可能なタグベース鍵カプセル化メカニズムを用いて、新しいSSTC方式のコミットメントシステム、コミットメント生成装置、コミットメント受信装置、その方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0013】
上記の課題を解決するために、本発明の第一の態様によれば、コミットメントシステムはコミットメント生成装置とコミットメント受信装置からなる。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、コミットメント生成装置とコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0014】
【数1】
【0015】
とする。コミットメント受信装置は暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、第一暗号文Cをコミットメント生成装置に送信する。コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、コミットメント生成装置は第一暗号文Cを受信し、公開鍵pkとタグ情報tagを用いて、第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aをコミットメント受信装置に送信する。コミットメント受信装置はコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する。
【0016】
上記の課題を解決するために、本発明の第二の態様によれば、コミットメント生成装置は秘匿情報mをコミットし、コミットメント情報aを生成する。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、当該コミットメント生成装置とコミットメント情報aを受信するコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0017】
【数2】
【0018】
とし、コミットを開封するときの証拠の一部をzとする。第一暗号文Cを受信し、公開鍵pkとタグ情報tagとを用いて、受信した第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aをコミットメント受信装置に送信する。
【0019】
上記の課題を解決するために、本発明の第三の態様によれば、コミットメント受信装置は、コミットメント情報aを受信する。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、秘匿情報mをコミットし、コミットメント情報aを生成するコミットメント生成装置と当該コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0020】
【数3】
【0021】
とする。暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、第一暗号文Cをコミットメント受信装置に送信し、コミットを開封するときの証拠の一部をzとし、コミットメント生成装置からコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、Σ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する。
【0022】
上記の課題を解決するために、本発明の第四の態様によれば、コミットメント方法は、コミットメント生成装置とコミットメント受信装置を用いる。公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、コミットメント生成装置とコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、Πが定める関係Rprivpk,tagを
【0023】
【数4】
【0024】
とする。コミットメント受信装置において、暗号化アルゴリズムEncに対し公開鍵pkとタグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、第一暗号文Cをコミットメント生成装置に送信する。コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、コミットメント生成装置が、第一暗号文Cを受信し、コミットメント生成装置において、公開鍵pkとタグ情報tagを用いて、第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aをコミットメント受信装置に送信する。コミットメント受信装置において、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する。
【発明の効果】
【0025】
本発明は、従来の署名のみに基づかずに、公開検証可能なタグベース鍵カプセル化メカニズムを用いて、新しいSSTC方式を構成するため、従来の署名が破られた場合にも安全であるという効果を奏する。
【図面の簡単な説明】
【0026】
【図1】コミットメントシステム1の構成例を示す図。
【図2】コミットメントシステム1の処理フローを示す図。
【図3】第三者装置11の機能構成例を示すブロック図。
【図4】第三者装置11の処理フローを示す図。
【図5】コミットメント受信装置15の機能構成例を示すブロック図。
【図6】コミットメント受信装置15の処理フローを示す図。
【図7】コミットメント生成装置13の機能構成例を示すブロック図。
【図8】コミットメント生成装置13の処理フローを示す図。
【発明を実施するための形態】
【0027】
以下、本発明の実施形態について、説明する。
【0028】
<定義>
まず、本形態で使用する用語や記号を定義する。
【0029】
{0,1}kは、kビット長のバイナリ系列(データ)の集合を意味し、{0,1}*は全てのバイナリ系列、つまり、{0,1}*=∪k≧0{0,1}kを表す。
確率的アルゴリズムMは,入力x∈{0;1}*とMの内部乱数rの二入力関数である。
y=M(x;r)は、入力x、乱数rのときの出力がyであることを意味する。
y←M(x)は、Mの入力xでの確率的試行を表す。例えば、Pr[y←M(x):y=1]<1/2とは、乱数rに従って出力された確率変数yが、1である確率が1/2未満であることを意味する。
【0030】
「A(X)の試行の後、B(Y)の試行が起き、さらに…」のような確率的試行の時系列的並びを、a←A(X);b←B(Y);…のように書く。
【0031】
Pr[a←A;b←B:event]は、確率的試行a←A;b←Bの下での事象eventの条件付き生起確率を表す。なお、記述を短くするため、Pr[y←M(x):y=1]のかわりにPr[M(x)=1]と書く場合がある。
【0032】
なお、確定的(deterministic)なアルゴリズムは、内部コインの無い確率的アルゴリズムと考えてもよい。
【0033】
[タグベース鍵カプセル化メカニズム(Tag−KEM: Tag-based Key Encapsulation Mechanisim)]
Π=(Gen,Enc,Dec)が、Tag−KEM(参考文献1及び2参照)であるとは、Πが次のような性質1〜性質4を満たすアルゴリズムの集合であるときをいう。
(参考文献1):V. Shoup, "A proposal for an ISO standard for public key encryption", Technical report, December 2001, Cryptology ePrint Archive, Report 2001/112
(参考文献2):M. Abe, R. Gennaro, and K. Kurosawa, "Tag-KEM/DEM: A new framework for hybrid encryption", Journal of Cryptology, 2008, Volume 21, Number 1, p.97-130
【0034】
(性質1)(pk,sk)←Gen(1n):鍵生成アルゴリズムGenは、セキュリティパラメータnを入力にとり、公開鍵・秘密鍵の組(pk,sk)を出力する確率的アルゴリズムである。
(性質2)(C,K)←Enc(pk,tag)。暗号化アルゴリズムEncは、公開鍵pkとタグ情報tag∈{0;1}*を入力とし、乱数r∈Grを内部発生させ、暗号文Cと鍵Kを計算し出力する確率的アルゴリズムである。
(性質3)復号アルゴリズムDecは、秘密鍵sk、タグ情報tag及び暗号文Cを入力としてとり、鍵K=Dec(sk,tag,C)を計算する確定的アルゴリズムである。
(性質4)全てのn∈N,全てのtag∈{0,1}*に対して、
Pr[(pk,sk)←Gen(1n);(C,K)←Enc(pk,tag):Dec(sk,tag,C)=K]=1
である。
【0035】
[暗号文と鍵との間のNP関係と公開検証可能性]
Tag−KEM Πに関する以下のようなNP関係を定義する。
【0036】
【数5】
【0037】
暗号文C∈{0;1}*が、対応する鍵Kが存在する真の暗号文である(すなわち、あるKが存在して(C,K)∈Rprivpk,tag)かを、公開鍵pkとtagのみで検証できるとき、Tag−KEM Πは「公開検証可能」という。
【0038】
[Σ―プロトコル]
R={(x,w)}をNP関係とする。関係Rから定義される言語をLR(:={x|∃w s.t.(x,w)∈R})とする。但し、「A:=B」は「Aという記号の意味するところをBと定義する」ことを意味する。関係RのΣ−プロトコル(非特許文献8参照)とは、証明者と検証者からなる三交信の次のような認証プロトコルである。なお、(x,w)∈Rとする。xを証明者と検証者への共通入力として、証明者は、さらにwを与えられる。
(1)証明者は、乱数raを選び、第一メッセージa=Σcom(x,w;ra)を計算し、検証者に送る。
(2)検証者は、第二メッセージの乱数c←RΣchを選び証明者に送り返す。但し、A←RBは、集合BからランダムにAを選択することを意味する。なお、Σchはチャレンジc(例えば、乱数)を生成または選択するアルゴリズムである。
(3)証明者は、第三メッセージz=Σans(x,w,ra,c)を計算し、検証者に送る。第三メッセージzはチャレンジcに対する証明者の返答であり、返答生成アルゴリズムΣansを用いて生成する。
【0039】
検証者は、b=Σvrfy(x,a,c,z)を計算して出力する。Σvrfyは、検証アルゴリズムであり、b=1であれば、検証者は、証明者の一連の認証行為を受理したという意味でありそれ以外の値であれば、否決したという意味を持っている。第一メッセージaと返答zとが、wを知っている証明者により、それぞれ第一メッセージ生成アルゴリズムΣcomと返答生成アルゴリズムΣansを用いて生成されたものであれば、b=1となる。Σ−プロトコルは以下の性質を満たす。
[完全性]∀ra,∀c∈Σch[Σvrfy(x,Σcom(x,w;ra),c,Σans(x,w,ra,c))=1]
[特別健全性]
【0040】
【数6】
【0041】
つまり、xが言語LRに元として含まれないとき、aに対して、zが存在するようなcは、唯一に決まる。さらに、c≠c’のとき、二つの受理される履歴(a,c,z)と(a,c’,z’)から、(x,w)∈Rを満たすwが必ず計算できる。
【0042】
[正直な検証者に対する特別ゼロ知識]∀x∈LR,∀c∈Σchに対して、検証者に受理される(a,c,z)←simΣ(x,c)を作ることができる。さらに、cをΣchからランダムに選び、simΣに入力して作った、(a,c,z)は、正直な証明者が正直な検証者と実行した履歴と同分布になる。
【0043】
なお、任意のNP関係に対して、必ずΣ−プロトコルが存在することはすでに知られている(参考文献3参照)。
(参考文献3):O. Goldreich, S. Micali, and A. Wigderson, "Proofs that yield nothing but their validity or all languages in np have zero-knowledge proof systems", Journal of the ACM, 1991, 1(38), p.691-729
【0044】
<第一実施形態>
<コミットメントシステム1>
図1及び図2を用いて第一実施形態に係るコミットメントシステム1の処理概要を説明する。コミットメントシステム1は、第三者装置11とコミットメント生成装置13とコミットメント受信装置15とからなり、これらの各装置は、例えばインターネットである通信網12を介して相互に通信可能とされている。
【0045】
Π=(Gen,Enc,Dec)を公開検証可能なタグベース鍵カプセル化メカニズムとする。関係Rprivpk,tagはΠにより定義される。関係Rprivpk,tagはNP関係であり、
【0046】
【数7】
【0047】
とする。Πと関係Rprivpk,tagに対するΣ−プロトコルからコミットメントシステム1を構成する。
【0048】
第三者装置11はセキュリティパラメータnを入力とし(s1)、鍵生成アルゴリズムGenを用いて、秘密鍵skと公開鍵pkを生成する(s2)。この公開鍵pkを共通参照データとする。そして、少なくともコミットメント生成装置13とコミットメント受信装置15が共通参照データcrsを利用可能な状態で、第三者装置11は共通参照データcrsを格納しておく。
【0049】
コミットメント生成装置13とコミットメント受信装置15は、タグ情報tagを取得する(s3)。tag情報とは、コミットメント生成装置13とコミットメント受信装置15とが共に知っている情報であり、例えば、プロセスのセッションID等である。なお、tag情報は後述する第一暗号文Cと第一鍵Kとの組(C,K)を生成する前にコミットメント生成装置13とコミットメント受信装置15とが共に取得すればよく、どのような取得方法を用いてもよい。
【0050】
さらに、コミットメント受信装置15は、共通参照データcrsを取得する(s4)。コミットメント受信装置15は暗号化アルゴリズムEncに対し共通参照データcrsとタグ情報tagを用いて、第一暗号文Cと第一鍵Kとの組(C,K)を生成し(s5)、第一暗号文Cをコミットメント生成装置13に送信する(s6)。
【0051】
コミットメント生成装置13はコミットする秘匿情報mを入力される(s7)。さらに、コミットメント生成装置13は第一暗号文Cを受信する(s8)。さらに、コミットメント生成装置13は、共通参照データcrsを取得する(s9)。
【0052】
コミットメント生成装置13は共通参照データcrsとタグ情報tagを用いて、第一暗号文Cが真の暗号文であるか否かを検証する(s10)。真の暗号文である場合には、コミットメント生成装置13は、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し(s11)、コミットメント情報aをコミットメント受信装置15に送信する(s12)。なお、関係Rprivpk,tagのΣ−プロトコルに対するsimΣとは、前述のΣ―プロトコルにおける秘密wを知らずに、第一メッセージa(本実施形態におけるコミットメント情報a)を生成し、返答z(本実施形態におけるコミットを開封するときの証拠の一部z)を生成するアルゴリズムである。
【0053】
コミットメント受信装置15は、コミットメント情報aを受信し(s13)、(tag,C,a)を格納しておく(s14)。
【0054】
コミットメント開封装置16は、(crs,tag,C,m,a,z)をコミットメント生成装置13等から受け取り(s15)、安全に保管しておく。そして、情報mを開示するタイミングになると、(tag,m,z)をコミットメント受信装置15に送信する(s16)。なお、コミットメント生成装置13とコミットメント開封装置16との間は安全に通信可能とされている。また、コミットメント開封装置16を設けず、コミットメント生成装置13から直接、(tag,m,z)をコミットメント受信装置15に送信する構成としてもよい。
【0055】
コミットメント受信装置15は、(tag,m,z)を受信すると(s17)、Σ―プロトコルに対するΣvrfy(C,a,m,z)を用いて、コミットメント情報aを受信した時点から秘匿情報mが変更されていないかを判定する(s18)。なお、前述のΣ―プロトコルにおいて検証アルゴリズムΣvrfyは証明者がwを知っているか否かを検証するが、本実施形態においてΣ―プロトコルに対するΣvrfyはコミットメント情報aを受信した時点から秘匿情報mが変更されていないかを判定する。言い換えると、本実施形態におけるΣ―プロトコルに対するΣvrfyは、秘匿情報mに対するコミットメント情報a及びコミットを開封するときの証拠の一部zが正しいか否かを検証するアルゴリズムである。
【0056】
以下、詳細を説明する。まず、第一実施形態において例えば、以下のTag−KEM Π=(Gen,Enc,Dec)を利用することができる。
【0057】
<Tag−KEM Π>
GとGTを素数位数qのアーベル群とする。e:G×G→GTを非退化な双線形写像とする。gをGの生成元とする。Z/qZを0以上q未満の整数の集合とする。双線形性より、x,y∈G、a,b∈Z/qZに対して、e(xa,yb)=e(x,y)abが成り立つ。非退化性より、e(g,g)は、GTの生成元である。H:{0,1}*→Z/qZのハッシュ関数とする。otΣ=(otKGen,otSign,OtVrfy)を任意の使い捨て署名とする(参考文献4参照)。
(参考文献4):Leslie Lamport, "Constructing digital signatures from one-way functions", Technical Report SRI-CSL-98, SRI International Computer Science Laboratory, October 1979
・Gen(1n):x,y←RZ/qZ;X:=gx;Y:=gy;pk=(g,X,Y,H)、sk=(pk,x,y)として、(pk,sk)を出力する。
・Enc(pk,tag):(otvk,otsk)←otKGen(1k);σ←otSign(otsk,tag);r←Z/qZ;t:=H(otvk,gr);C:=(σ,otvk,gr,(XtY)r);K:=Xr;(C,K)を出力する。
・Dec(sk,tag,C):C=(σ,otvk,u,τ)をσ,otvk,u,τに分解し、もしotVrfy(otvk,tag,σ)≠1ならば、復号を中止し、それ以外の場合、t:=H(otvk,u)を計算する。もしuxt+y≠τ ならば、復号を中止し、それ以外の場合、K:=ux;Kを出力する。
【0058】
なお、第一実施形態において例えば、以下の使い捨て署名otΣ(otKGen,otSign,otVrfy)を利用することができる。
【0059】
<使い捨て署名otΣ>
G2を素数位数q2のアーベル群とする。H2:{0,1}*→Z/q2Zのハッシュ関数とする。q2、G2、H2は、Tag−KEMΠで用いるq,G,Hと同じであってもよいし、異なっていてもよい。以下において、添え字s1、s2、w1、w2、z1、z2、H2は、s1、s2、w1、w2、z1、z2、H2を意味する。
・otKGen(1k):g1,g2←RG2;s1,s2,w1,w2←RZ/q2Z;b:=g1w1g2w2;h:=g1s1g2s2;otvk:=(g1,g2,h,b);otsk:=(otvk,s1,s2,w1,w2);(otvk,otsk)を出力する。
・otSign(otsk,m):c:=H(otvk,m);z1:=w1+c・s1 mod q2;z2:=w2+c・s2 mod q2;σ:=(z1,z2)を出力する。
・otVrfy(otvk,m,σ):g1z1g2z2=bhH2(otvk,m)のときに限り、1を出力する。
【0060】
<共通参照データcrsの生成及び取得>
図3及び図4を用いて共通参照データcrsの生成について説明する。第三者装置11は、入力部111を介してセキュリティパラメータnを取得し(s111)、鍵生成部112において、Tag−KEMの鍵生成アルゴリズムGen(1n)により(sk,pk)を生成する(s112)。例えば、Z/qZからランダムにxとyを選択し、X=gxとY=gyを求め、gとXとYとHとの組を公開鍵pkとして生成する。この公開鍵pkを共通参照データcrsとする。pkとxとyとの組を秘密鍵として生成する。そして、少なくともコミットメント生成装置13とコミットメント受信装置15が共通参照データcrsを利用可能な状態で、共通参照データcrsは記憶部114に記憶される。また、第三者装置11は、秘密鍵skを記憶部114に安全に格納してもよいし、破棄してもよい(s113)。なお、第三者装置11は、制御部115の制御のもと上記処理を行う。なお、本実施形態では、一つの共通参照データcrsを繰り返し使う。
【0061】
コミットメント受信装置15は、制御部155(図5)の制御のもと、出力部156を介して、第三者装置11に対し、公開鍵pkを送信するように要求する。第三者装置11の制御部115は、入力部111を介して要求を受信し、記憶部114から公開鍵pkを取り出し、出力部116を介して、コミットメント受信装置15に送信する。コミットメント受信装置15は、入力部151を介して公開鍵pkを受信し、記憶部154に格納する(図6、s151)。コミットメント生成装置13も同様に制御部135(図7)の制御のもと、出力部136を介して公開鍵pkを要求し、入力部131を介して公開鍵pkを受信し、記憶部134に格納する(図8、s131)。
【0062】
<第一暗号文C及び第一鍵Kの生成>
コミットメント受信装置15は、入力部151を介してセキュリティパラメータkを取得する(図6、s152)。コミットメント受信装置15は、暗号化部152(図5)において、Tag−KEM Πの暗号化アルゴリズムEncを実行し、第一暗号文Cと第一鍵Kとの組(C,K)を生成する(s153)。
【0063】
暗号化部152内の署名鍵検証鍵生成部152aは、セキュリティパラメータkを用いて、鍵生成アルゴリズムotKGenにより、署名鍵otskと検証鍵otvkを生成する。例えば、署名鍵検証鍵生成部152aは、G2からランダムにg1、g2を選択し、Z/q2Zからランダムにs1、s2、w1、w2を選択する。さらに、b=g1w1g2w2とh=g1s1g2s2を求め、g1とg2とhとbとの組を検証鍵otvkとし、検証鍵otvkとs1とs2とw1とw2との組を署名鍵otskとして求める。なお、ハッシュ関数HとH2が異なる場合には、検証鍵otvkがハッシュ関数H2を含む構成とする。
【0064】
暗号化部152内の署名生成部152bは、タグ情報tagと生成した署名鍵otskを用いて、署名アルゴリズムotSignにより、電子署名σを生成する。例えば、検証鍵otvkとタグ情報tagをハッシュ関数H2の入力として、cを求める。さらに、(z1=w1+c・s1 mod q2)と(z2=w2+c・s2 mod q2)とを求め、z1とz2との組を電子署名σとする。
【0065】
暗号化部152内の第一鍵第一暗号文生成部152cは、公開パラメータpk(=g,X,Y,H)と前記検証鍵otvkを用いて、暗号化アルゴリズムEncにより第一暗号文Cと第一鍵Kを生成する。例えば、Z/qZからランダムにrを選択し、K=Xrを求める。さらに、grを求め、検証鍵otvkとgrをハッシュ関数Hの入力として、tを求める。(XtY)rを計算し、電子署名σと検証鍵otvkとgrと(XtY)rとの組を第一暗号文Cとする。
【0066】
コミットメント受信装置15は、第一暗号文Cとタグ情報tagを関連付けて記憶部154に記憶し、さらに、第一暗号文Cを出力部156を介してコミットメント生成装置13に送信する(s154)。コミットメント受信装置15は、署名鍵otskを記憶部154に安全に格納してもよいし、破棄してもよい。
【0067】
<第一暗号文Cの検証>
コミットメント生成装置13は、入力部131(図7)を介して、第一暗号文C=(σ,otvk,u,τ)を受信する(s132)。
【0068】
暗号文検証部132において、まず、電子署名σと検証鍵otvkとタグ情報tagを用いて、otVrfy(otvk,tag,σ)により、電子署名σが正当か否かを検証する(s133)。例えば、電子署名σ=(z1,z2)とotvk=(g1,g2,h,b)を用いて、g1z1g2z2を求める。さらに、検証鍵otvkとタグ情報tagを入力とし、H2(otvk,tag)を求め、検証鍵に含まれるbを用いて、bhH2(otvk,tag)を求める。求めたg1z1g2z2とbhH2(otvk,tag)とが同一の場合に電子署名σが正当であると判断する。つまり、otVrfyは1を返す。g1z1g2z2とbhH2(otvk,tag)とが異なる場合には、電子署名が正当ではないと判断し、否決する(s137)。つまり、otVrfyは1以外の値を返す。コミットメント受信装置15以外の生成した電子署名を否決することができる。
【0069】
電子署名σが正当である場合には、暗号文検証部132は、記憶部154から公開パラメータpk=(g,X,Y,H)を取り出し、ハッシュ関数Hと第一暗号文Cに含まれるuと検証鍵otvkを用いて、t=H(otvk,u)を求める。さらに、公開パラメータpk=(g,X,Y,H)と第一暗号文Cに含まれるτを用いて、e(u,XtY)=e(g,τ)が成り立つか否か検証する(s134)。受信した第一暗号文Cに含まれるuとτが、それぞれ、コミットメント受信装置15で生成されるgr、(XtY)rと同一であれば、前記式が成り立つ。e(u,XtY)=e(g,τ)が成り立つ場合には、受信した第一暗号文Cが真の暗号文であると判定する。e(u,XtY)=e(g,τ)が成り立たない場合には、第一暗号文Cが真の暗号文ではないと判断し、否決する(s137)。この処理により、
【0070】
【数8】
【0071】
第一暗号文Cが言語LRに元として含まれない場合(Cが真の暗号文でない場合)に処理を中止することができる。
【0072】
<コミットメント情報の生成>
第一暗号文Cが真の暗号文であると判定した場合、コミットメント情報生成部138は、第一暗号文Cと秘匿情報mを用いて、関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算する(s135)。例えばコミットメント情報生成部138は、Gから単位元を除いた群G*からランダムにK^を選択し、Z/qZからランダムにzを選択する。さらに、a^=e(g,K^)z・e(u,X)−mを計算し、K^とa^との組をコミットメント情報aとして生成する。コミットメント生成装置13は、出力部136を介して、生成したコミットメント情報aをコミットメント受信装置15に送信する(s136)。
【0073】
コミットメント生成装置13とコミットメント開封装置16が同一装置の場合、(crs,tag,C,m,a,z)を記憶部134に安全に記憶しておく。別装置の場合には、コミットメント生成装置13は上記情報をコミットメント開封装置16に出力部136を介して送信する。
【0074】
<コミットメント情報の受信及び開封処理>
コミットメント受信装置15は、入力部151(図5)を介して、コミットメント情報aを受信し(図6、s155)、記憶部154に(tag,C)と関連付けて記憶しておく(s156)。
【0075】
さらに、コミットメント受信装置15は、入力部151を介して、コミットメント生成装置13またはコミットメント開封装置16から(tag,m,z)を受信する(s157)。コミットメント受信装置15の開封部159において、Σvrfy(C,a,m,z)を用いて、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定する(s158)。例えば、公開パラメータpkに含まれるgとX、a=(K^,a^)、第一暗号文Cに含まれるu,z及びmを用いて、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定する。成り立つ場合には、Σvrfy(C,a,m,z)は1を返し、受信した秘匿情報mは、コミットメント情報a受信時点から変更されていないと判定し、受理する(s159)。e(g,K^)z=a^・e(u,X)mが成り立たない場合、Σvrfy(C,a,m,z)は1以外の値を返し、少なくともmかzかの何れかに変更があったものとし、否決する(s160)。
【0076】
<効果>
このような構成とすることで、従来の署名が破られた場合にも安全なコミットメント方式とすることができる。
【0077】
さらに、本実施形態では、公開検証可能なTag−KEMに加え、電子署名を組合せているため、より安全性の高いコミットメント方式を実現している。
【0078】
さらに、電子署名を使い捨て署名とすることで、従来(非特許文献3、4、5、6及び7参照)より効率のよいコミットメント方式を実現している。従来技術では、使い捨てでない電子署名から共通の変換法の基にSSTCを構成していた。これらの方式は署名方式から変換するので、コミットメントの効率は署名方式に依存する。現在知られている限りでは、安全な使い捨てでない署名方式は、安全な使い捨て署名や安全な暗号方式と比べてより強い家庭または大きなパラメータを使わなくてはならない。例えば、参考文献5記載の署名方式では、公開パラメータpkとして(g、g1,g2,u’,H,u1,…,un)を必要とする(例えばn=160や256等)。一方、本実施形態では、公開検証可能なTag−KEMと使い捨て署名を組み合わせて用いることで、公開パラメータを(g,X,Y,H)とし、小さいパラメータで十分な安全性を実現することができる。
(参考文献5):Brent Waters, "Efficient Identity-Based Encryption Without Random Oracles", EUROCRYPT 2005, LNCS, Springer, Heidelberg, 2005, vol. 3494, p.114-127.
【0079】
また、本実施形態は、CDH仮定に対しタイトであり、従来技術に比べ、セキュリティパラメータを短くすることができ、情報量、計算量を共に削減することができ、効率のよいコミットメントシステムを構成することができる。例えば、CDH仮定がkビットの場合、本実施形態ではk’(≒k)ビットのセキュリティパラメータを用いることができる。一方、参考文献5記載の署名方式ではk”(≒102k)ビットのセキュリティパラメータを用いなければ同程度の安全性を得ることはできない。
【0080】
<プログラム及び記憶媒体>
上述した第三者装置、コミットメント生成装置及びコミットメント受信装置は、コンピュータにより機能させることもできる。この場合はコンピュータに、目的とする装置(各種実施例で図に示した機能構成をもつ装置)として機能させるためのプログラム、またはその処理手順(各実施例で示したもの)の各過程をコンピュータに実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体から、あるいは通信回線を介してそのコンピュータ内にダウンロードし、そのプログラムを実行させればよい。
【0081】
<その他の変形例>
他の公開検証可能なTag−KEMや使い捨て署名を用いてもよい。Πと関係Rprivpk,tagに対するΣ−プロトコルからコミットメントシステムを構成すればよく、第一暗号文Cは必ずしも署名を含まなくともよい。また、使い捨てではない署名を用いてもよく、その場合も、従来技術と比べ安全なコミットメント方式となる。
【0082】
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
【産業上の利用可能性】
【0083】
本発明は、様々な暗号プロトコルに利用することができる。例えば、ゼロ知識証明、マルチパーティ計算、電子マネーまたは電子投票等に利用することができる。
【符号の説明】
【0084】
1 コミットメントシステム
11 第三者装置
12 通信網
13 コミットメント生成装置
15 コミットメント受信装置
16 コミットメント開封装置
111 入力部
112 鍵生成部
114 記憶部
115 制御部
116 出力部
131 入力部
132 暗号検証部
134 記憶部
135 制御部
136 出力部
138 コミットメント情報生成部
151 入力部
152 暗号化部
152a 署名鍵検証鍵生成部
152b 署名生成部
152c 第一鍵第一暗号文生成部
154 記憶部
155 制御部
156 出力部
159 開封部
【特許請求の範囲】
【請求項1】
コミットメント生成装置とコミットメント受信装置からなるコミットメントシステムであって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、前記コミットメント生成装置と前記コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数9】
とし、
前記コミットメント受信装置は暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、前記第一暗号文Cを前記コミットメント生成装置に送信し、
コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、前記コミットメント生成装置は前記第一暗号文Cを受信し、前記公開鍵pkと前記タグ情報tagを用いて、前記第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、前記関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aを前記コミットメント受信装置に送信し、
前記コミットメント受信装置はコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、前記関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する、
コミットメントシステム。
【請求項2】
請求項1記載のコミットメントシステムであって、
Z/qZを0以上q未満の整数の集合とし、x,y←RZ/qZとし、GとGTを素数位数qのアーベル群とし、e:G×G→GTを非退化な双線形写像とし、gをGの生成元とし、Hをハッシュ関数とし、X:=gxとし、Y:=gyとし、前記公開鍵pk=(g,X,Y,H,)とし、
前記コミットメント受信装置は、署名鍵otskと検証鍵otvkを生成し、前記署名鍵otskと前記タグ情報tagを用いて電子署名σを生成し、さらに、r←Z/qZと前記検証鍵otvkを用いてt:=H(otvk,gr)を計算し、前記電子署名σ及び検証鍵otvkを含む前記第一暗号文C:=(σ,otvk,gr,(XtY)r)を生成し、
前記コミットメント生成装置は、第一暗号文C=(σ,otvk,u,τ)を受信し、前記公開鍵pkと前記タグ情報tagを用いて、電子署名σが正当か否かを検証し、前記電子署名σが正当であって、e(u,XtY)=e(g,τ)が成り立つ場合には、前記第一暗号文Cが真の暗号文であると判定し、K^←G*=(G−{1G})とz←Z/qZを用いて、a^=e(g,K^)z・e(u,X)−mを計算し、コミットメント情報a=(K^,a^)を前記コミットメント受信装置に送信し、
前記コミットメント受信装置は、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定し、成り立つ場合には、秘匿情報mが変更されていないと判定する、
コミットメントシステム。
【請求項3】
請求項2記載のコミットメントシステムであって、
Z/q2Zを0以上q2未満の整数の集合とし、G2を素数位数q2のアーベル群とし、H2をハッシュ関数とし、
添え字のs1、s2、w1及びw2はそれぞれs1、s2、w1及びw2を意味し、前記署名鍵otsk及び前記検証鍵otvkは使い捨て署名であり、前記コミットメント受信装置はg1,g2←RG2、s1,s2,w1,w2←RZ/q2Zを用いて、b:=g1w1g2w2及びh:=g1s1g2s2を求め、前記検証鍵otvk:=(g1,g2,h,b)、前記署名鍵otsk=(otvk,s1,s2,w1,w2)を生成し、c:=H2(otvk,tag)を求め、z1:=x1+c・s1 mod q2、z2:=x2+c・s2 mod q2を求め、前記電子署名σ=(z1,z2)を生成し、
添え字のH2、z1及びz2はそれぞれH2、z1及びz2を意味し、前記コミットメント生成装置は、前記検証鍵otvk:=(g1,g2,h,b)と前記電子署名σ=(z1,z2)を用いて、g1z1g2z2=bhH2(otvk,tag)が成り立つか否かを判定し、成り立つ場合には、前記電子署名σが正当であると判定する、
コミットメントシステム。
【請求項4】
秘匿情報mをコミットし、コミットメント情報aを生成するコミットメント生成装置であって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、当該コミットメント生成装置とコミットメント情報aを受信するコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数10】
とし、コミットを開封するときの証拠の一部をzとし、
第一暗号文Cを受信し、公開鍵pkとタグ情報tagとを用いて、受信した前記第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、前記関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aを前記コミットメント受信装置に送信する、
コミットメント生成装置。
【請求項5】
コミットメント情報aを受信するコミットメント受信装置であって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、秘匿情報mをコミットし、コミットメント情報aを生成するコミットメント生成装置と当該コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数11】
とし、
暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、前記第一暗号文Cを前記コミットメント受信装置に送信し、
コミットを開封するときの証拠の一部をzとし、前記コミットメント生成装置からコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、Σ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する、
コミットメント受信装置。
【請求項6】
コミットメント生成装置とコミットメント受信装置を用いたコミットメント方法であって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、前記コミットメント生成装置と前記コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数12】
とし、
前記コミットメント受信装置において、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、前記第一暗号文Cを前記コミットメント生成装置に送信する第一暗号文生成ステップと、
コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、前記コミットメント生成装置が、前記第一暗号文Cを受信し、コミットメント生成装置において、前記公開鍵pkと前記タグ情報tagを用いて、前記第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、前記関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aを前記コミットメント受信装置に送信するコミットメント情報生成ステップと、
前記コミットメント受信装置において、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、前記関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する開封ステップと、を含む、
コミットメント方法。
【請求項7】
請求項6記載のコミットメント方法であって、
Z/qZを0以上q未満の整数の集合とし、x,y←RZ/qZとし、GとGTを素数位数qのアーベル群とし、e:G×G→GTを非退化な双線形写像とし、gをGの生成元とし、Hをハッシュ関数とし、X:=gxとし、Y:=gyとし、前記公開鍵pk=(g,X,Y,H,)とし、
前記第一暗号文生成ステップにおいて、前記コミットメント受信装置は、署名鍵otskと検証鍵otvkを生成し、前記署名鍵otskと前記タグ情報tagを用いて電子署名σを生成し、さらに、r←Z/qZと前記検証鍵otvkを用いてt:=H(otvk,gr)を計算し、前記電子署名σ及び検証鍵otvkを含む前記第一暗号文C:=(σ,otvk,gr,(XtY)r)を生成し、
前記コミットメント情報生成ステップにおいて、前記コミットメント生成装置は、第一暗号文C=(σ,otvk,u,τ)を受信し、前記公開鍵pkと前記タグ情報tagを用いて、電子署名σが正当か否かを検証し、前記電子署名σが正当であって、e(u,XtY)=e(g,τ)が成り立つ場合には、前記第一暗号文Cが真の暗号文であると判定し、K^←G*=(G−{1G})とz←Z/qZを用いて、a^=e(g,K^)z・e(u,X)−mを計算し、コミットメント情報a=(K^,a^)を前記コミットメント受信装置に送信し、
前記開封ステップにおいて、前記コミットメント受信装置は、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定し、成り立つ場合には、秘匿情報mが変更されていないと判定する、
コミットメント方法。
【請求項8】
請求項7記載のコミットメント方法であって、
Z/q2Zを0以上q2未満の整数の集合とし、G2を素数位数q2のアーベル群とし、H2をハッシュ関数とし、
添え字のs1、s2、w1及びw2はそれぞれs1、s2、w1及びw2を意味し、前記署名鍵otsk及び前記検証鍵otvkは使い捨て署名であり、前記第一暗号文生成ステップにおいて、前記コミットメント受信装置はg1,g2←RG2、s1,s2,w1,w2←RZ/q2Zを用いて、b:=g1w1g2w2及びh:=g1s1g2s2を求め、前記検証鍵otvk:=(g1,g2,h,b)、前記署名鍵otsk=(otvk,s1,s2,w1,w2)を生成し、c:=H2(otvk,tag)を求め、z1:=x1+c・s1 mod q2、z2:=x2+c・s2 mod q2を求め、前記電子署名σ=(z1,z2)を生成し、
添え字のH2、z1及びz2はそれぞれH2、z1及びz2を意味し、前記第一暗号文検証ステップにおいて、前記コミットメント生成装置は、前記検証鍵otvk:=(g1,g2,h,b)と前記電子署名σ=(z1,z2)を用いて、g1z1g2z2=bhH2(otvk,tag)が成り立つか否かを判定し、成り立つ場合には、前記電子署名σが正当であると判定する、
コミットメント方法。
【請求項9】
請求項4または5記載のコミットメント生成装置またはコミットメント受信装置として、コンピュータを機能させるためのプログラム。
【請求項1】
コミットメント生成装置とコミットメント受信装置からなるコミットメントシステムであって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、前記コミットメント生成装置と前記コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数9】
とし、
前記コミットメント受信装置は暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、前記第一暗号文Cを前記コミットメント生成装置に送信し、
コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、前記コミットメント生成装置は前記第一暗号文Cを受信し、前記公開鍵pkと前記タグ情報tagを用いて、前記第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、前記関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aを前記コミットメント受信装置に送信し、
前記コミットメント受信装置はコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、前記関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する、
コミットメントシステム。
【請求項2】
請求項1記載のコミットメントシステムであって、
Z/qZを0以上q未満の整数の集合とし、x,y←RZ/qZとし、GとGTを素数位数qのアーベル群とし、e:G×G→GTを非退化な双線形写像とし、gをGの生成元とし、Hをハッシュ関数とし、X:=gxとし、Y:=gyとし、前記公開鍵pk=(g,X,Y,H,)とし、
前記コミットメント受信装置は、署名鍵otskと検証鍵otvkを生成し、前記署名鍵otskと前記タグ情報tagを用いて電子署名σを生成し、さらに、r←Z/qZと前記検証鍵otvkを用いてt:=H(otvk,gr)を計算し、前記電子署名σ及び検証鍵otvkを含む前記第一暗号文C:=(σ,otvk,gr,(XtY)r)を生成し、
前記コミットメント生成装置は、第一暗号文C=(σ,otvk,u,τ)を受信し、前記公開鍵pkと前記タグ情報tagを用いて、電子署名σが正当か否かを検証し、前記電子署名σが正当であって、e(u,XtY)=e(g,τ)が成り立つ場合には、前記第一暗号文Cが真の暗号文であると判定し、K^←G*=(G−{1G})とz←Z/qZを用いて、a^=e(g,K^)z・e(u,X)−mを計算し、コミットメント情報a=(K^,a^)を前記コミットメント受信装置に送信し、
前記コミットメント受信装置は、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定し、成り立つ場合には、秘匿情報mが変更されていないと判定する、
コミットメントシステム。
【請求項3】
請求項2記載のコミットメントシステムであって、
Z/q2Zを0以上q2未満の整数の集合とし、G2を素数位数q2のアーベル群とし、H2をハッシュ関数とし、
添え字のs1、s2、w1及びw2はそれぞれs1、s2、w1及びw2を意味し、前記署名鍵otsk及び前記検証鍵otvkは使い捨て署名であり、前記コミットメント受信装置はg1,g2←RG2、s1,s2,w1,w2←RZ/q2Zを用いて、b:=g1w1g2w2及びh:=g1s1g2s2を求め、前記検証鍵otvk:=(g1,g2,h,b)、前記署名鍵otsk=(otvk,s1,s2,w1,w2)を生成し、c:=H2(otvk,tag)を求め、z1:=x1+c・s1 mod q2、z2:=x2+c・s2 mod q2を求め、前記電子署名σ=(z1,z2)を生成し、
添え字のH2、z1及びz2はそれぞれH2、z1及びz2を意味し、前記コミットメント生成装置は、前記検証鍵otvk:=(g1,g2,h,b)と前記電子署名σ=(z1,z2)を用いて、g1z1g2z2=bhH2(otvk,tag)が成り立つか否かを判定し、成り立つ場合には、前記電子署名σが正当であると判定する、
コミットメントシステム。
【請求項4】
秘匿情報mをコミットし、コミットメント情報aを生成するコミットメント生成装置であって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、当該コミットメント生成装置とコミットメント情報aを受信するコミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数10】
とし、コミットを開封するときの証拠の一部をzとし、
第一暗号文Cを受信し、公開鍵pkとタグ情報tagとを用いて、受信した前記第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、前記関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aを前記コミットメント受信装置に送信する、
コミットメント生成装置。
【請求項5】
コミットメント情報aを受信するコミットメント受信装置であって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、秘匿情報mをコミットし、コミットメント情報aを生成するコミットメント生成装置と当該コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数11】
とし、
暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、前記第一暗号文Cを前記コミットメント受信装置に送信し、
コミットを開封するときの証拠の一部をzとし、前記コミットメント生成装置からコミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、Σ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する、
コミットメント受信装置。
【請求項6】
コミットメント生成装置とコミットメント受信装置を用いたコミットメント方法であって、
公開検証可能なタグベース鍵カプセル化メカニズムをΠ=(Gen,Enc,Dec)とし、鍵生成アルゴリズムGenを用いて生成される公開鍵をpkとし、前記コミットメント生成装置と前記コミットメント受信装置とが共に知っているタグ情報をtagとし、rを乱数とし、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与えて得られる第一暗号文をCとし、第一鍵をKとし、前記Πが定める関係Rprivpk,tagを
【数12】
とし、
前記コミットメント受信装置において、暗号化アルゴリズムEncに対し前記公開鍵pkと前記タグ情報tagを与え、第一暗号文Cと第一鍵Kとの組(C,K)を生成し、前記第一暗号文Cを前記コミットメント生成装置に送信する第一暗号文生成ステップと、
コミットを開封するときの証拠の一部をzとし、コミットする秘匿情報をmとし、前記コミットメント生成装置が、前記第一暗号文Cを受信し、コミットメント生成装置において、前記公開鍵pkと前記タグ情報tagを用いて、前記第一暗号文Cが真の暗号文であるか否かを検証し、真の暗号文である場合には、前記関係Rprivpk,tagのΣ−プロトコルに対する(a,z)←simΣ(C,m)を計算し、コミットメント情報aを前記コミットメント受信装置に送信するコミットメント情報生成ステップと、
前記コミットメント受信装置において、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、前記関係Rprivpk,tagのΣ−プロトコルに対するΣvrfy(C,a,m,z)を用いて、秘匿情報mが変更されていないかを判定する開封ステップと、を含む、
コミットメント方法。
【請求項7】
請求項6記載のコミットメント方法であって、
Z/qZを0以上q未満の整数の集合とし、x,y←RZ/qZとし、GとGTを素数位数qのアーベル群とし、e:G×G→GTを非退化な双線形写像とし、gをGの生成元とし、Hをハッシュ関数とし、X:=gxとし、Y:=gyとし、前記公開鍵pk=(g,X,Y,H,)とし、
前記第一暗号文生成ステップにおいて、前記コミットメント受信装置は、署名鍵otskと検証鍵otvkを生成し、前記署名鍵otskと前記タグ情報tagを用いて電子署名σを生成し、さらに、r←Z/qZと前記検証鍵otvkを用いてt:=H(otvk,gr)を計算し、前記電子署名σ及び検証鍵otvkを含む前記第一暗号文C:=(σ,otvk,gr,(XtY)r)を生成し、
前記コミットメント情報生成ステップにおいて、前記コミットメント生成装置は、第一暗号文C=(σ,otvk,u,τ)を受信し、前記公開鍵pkと前記タグ情報tagを用いて、電子署名σが正当か否かを検証し、前記電子署名σが正当であって、e(u,XtY)=e(g,τ)が成り立つ場合には、前記第一暗号文Cが真の暗号文であると判定し、K^←G*=(G−{1G})とz←Z/qZを用いて、a^=e(g,K^)z・e(u,X)−mを計算し、コミットメント情報a=(K^,a^)を前記コミットメント受信装置に送信し、
前記開封ステップにおいて、前記コミットメント受信装置は、コミットメント情報aを受信し、(tag,C,a)を格納しておき、(tag,m,z)を受信すると、e(g,K^)z=a^・e(u,X)mが成り立つか否か判定し、成り立つ場合には、秘匿情報mが変更されていないと判定する、
コミットメント方法。
【請求項8】
請求項7記載のコミットメント方法であって、
Z/q2Zを0以上q2未満の整数の集合とし、G2を素数位数q2のアーベル群とし、H2をハッシュ関数とし、
添え字のs1、s2、w1及びw2はそれぞれs1、s2、w1及びw2を意味し、前記署名鍵otsk及び前記検証鍵otvkは使い捨て署名であり、前記第一暗号文生成ステップにおいて、前記コミットメント受信装置はg1,g2←RG2、s1,s2,w1,w2←RZ/q2Zを用いて、b:=g1w1g2w2及びh:=g1s1g2s2を求め、前記検証鍵otvk:=(g1,g2,h,b)、前記署名鍵otsk=(otvk,s1,s2,w1,w2)を生成し、c:=H2(otvk,tag)を求め、z1:=x1+c・s1 mod q2、z2:=x2+c・s2 mod q2を求め、前記電子署名σ=(z1,z2)を生成し、
添え字のH2、z1及びz2はそれぞれH2、z1及びz2を意味し、前記第一暗号文検証ステップにおいて、前記コミットメント生成装置は、前記検証鍵otvk:=(g1,g2,h,b)と前記電子署名σ=(z1,z2)を用いて、g1z1g2z2=bhH2(otvk,tag)が成り立つか否かを判定し、成り立つ場合には、前記電子署名σが正当であると判定する、
コミットメント方法。
【請求項9】
請求項4または5記載のコミットメント生成装置またはコミットメント受信装置として、コンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−156590(P2012−156590A)
【公開日】平成24年8月16日(2012.8.16)
【国際特許分類】
【出願番号】特願2011−11218(P2011−11218)
【出願日】平成23年1月21日(2011.1.21)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年8月16日(2012.8.16)
【国際特許分類】
【出願日】平成23年1月21日(2011.1.21)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]