多重署名システム及び検証システム及び多重署名方法及び多重署名プログラム
【課題】署名サイズを一定値に抑制し、効率的に順序付き電子署名を行うことができる多重署名システム及び多重署名方法及び多重署名プログラムを提供すること。
【解決手段】第1ノード11は、ハッシュ値に自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成し、第1ノード順序付き多重署名情報から第1ノード署名情報を生成し、第1ノード11自身の固有検証鍵から第1ノード全体検証鍵を生成する。中間ノード21は、直前ノード署名情報に中間ノード21自身の固有署名鍵により演算を行い、当該演算の結果に直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、直前のノード自身の固有検証鍵に自身の固有署名鍵により演算を行い、当該演算の結果に直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成し、ハッシュ値に中間ノード21自身の固有署名鍵により演算を行って中間ノード署名情報を生成する。
【解決手段】第1ノード11は、ハッシュ値に自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成し、第1ノード順序付き多重署名情報から第1ノード署名情報を生成し、第1ノード11自身の固有検証鍵から第1ノード全体検証鍵を生成する。中間ノード21は、直前ノード署名情報に中間ノード21自身の固有署名鍵により演算を行い、当該演算の結果に直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、直前のノード自身の固有検証鍵に自身の固有署名鍵により演算を行い、当該演算の結果に直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成し、ハッシュ値に中間ノード21自身の固有署名鍵により演算を行って中間ノード署名情報を生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子署名を利用した電子データの多重署名システム及び検証システム及び多重署名方法及び多重署名プログラムに関する。
【背景技術】
【0002】
現在、さまざまな電子情報がネットワークやメディアを介して送信されている。会社やコミュニティーのような組織においても、報告書やレポート、稟議書、連絡簿等さまざまな情報が電子化され、社員又はメンバー間でネットワークを経由して回覧されている。
【0003】
その情報の発信源あるいは閲覧済みであることを保証する仕組みとして電子署名がある。この電子署名を利用することにより、特定の人しか知りえない署名鍵と電子情報を入力値として署名の演算を行い、検証者が検証鍵と言われる公開された情報と署名されたデータを入力値として検証演算を行うことで、その特定の人がそのデータの発信源であることを確認することが可能となる。ここで、検証鍵から署名鍵を導出することは、計算量的に不可能であることから、他の人がその特定者に成りすまして署名を行うことができないため、その署名の正当性が保証される。
【0004】
また、組織における電子情報の回覧においては、複数の人が介在して署名を行うケースが想定され、例えば、電子データの回覧や会社における承認システムがそれに該当する。複数人の署名を行う方式としては、それぞれの署名者を検証できる多重署名(例えば、非特許文献1を参照。)や、特定のグループに所属している人の誰かが署名したことを保証できるグループ署名(例えば、特許文献1を参照。)が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−166687号公報
【特許文献2】特開平09−270787号公報
【特許文献3】特開2002−040935号公報
【非特許文献】
【0006】
【非特許文献1】新保 淳、「多重署名に適したElGamal署名の一変形方式」、暗号と情報セキュリティシンポジウム(CSS)、SCIS94−2C、電子情報通信学会、1994
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの多重署名やグループ署名では署名者がすべて等価な関係で表現され、一例として示した多重署名システムにおいて電子データがどのように流通してきたか、あるいは回覧状況をグループ毎で確認することをこの署名方式だけで表現することができない。
【0008】
これに対し、順序や上下関係で証明される方式としては順序付き多重署名方式(例えば、特許文献2、3を参照。)があげられる。これにより署名者の順番が保証され、個人の上下関係が表現できる。しかしながら、既存の順序付き多重署名方式は、RSA(Rivest Shamir Adleman)問題ベースのものか、離散対数問題ベースのものが提案されている。RSA問題ベースでは、署名する人数が増えるほど署名サイズが大きくなってしまい、また、離散対数問題ベースでは、ゼロ知識証明を利用するために演算処理に負荷がかかり、効率的な処理にならない。
【0009】
本発明は、上記課題を解決するため、署名する人数が増えても署名サイズを一定値に抑制し、効率的な演算処理によって順序付き電子署名を行うことができる多重署名システム及び検証システム及び多重署名方法及び多重署名プログラムを提供することを目的の一つとしている。
【課題を解決するための手段】
【0010】
本発明では、以下のような解決手段を提供する。
【0011】
(1)本発明に係る多重署名システムは、上記課題を解決するために、複数のノード間で順序付きの多重署名を行う多重署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、電子データを自身よりも後の中間ノードに回覧する第1ノードは、前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成部と、前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成部と、前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成部と、前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信部とを備え、前記中間ノードは、前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信部と、前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成部と、前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成部と、前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成部と、前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信部とを備えることを特徴とする。
【0012】
このような構成によれば、多重署名システムは、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0013】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0014】
(2)また、上記多重署名システムでは、前記中間ノードに含まれており、前記電子データが回覧される最終ノードは、前記中間ノード受信部と、前記中間ノード順序付き多重署名情報生成部と、前記中間ノード全体検証鍵生成部とにより構成されていることが好ましい。
【0015】
このような構成によれば、最終ノードは、他のノードと比較して少ない要素で構成することができる。
【0016】
(3)また、上記多重署名システムでは、前記最終ノードは、前記中間ノード順序付き多重署名情報生成部により生成された前記中間ノード順序付き多重署名情報と、前記中間ノード全体検証鍵生成部により生成された前記中間ノード全体検証鍵を公開する公開部を備えることが好ましい。
【0017】
このような構成によれば、最終ノードは、中間ノード順序付き多重署名情報と、中間ノード全体検証鍵とを他のノードに対して公開することができる。
【0018】
(4)本発明に係る検証システムは、上記課題を解決するために、前記(3)に記載の多重署名システムに備えられている公開部により公開された中間ノード順序付き多重署名情報を検証する検証システムにおいて、電子データに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、前記電子データの署名を行ったすべてのノードの固有検証鍵を収集する収集部と、前記収集部により収集された前記すべてのノードの固有検証鍵に基づいて中間ノード全体検証鍵の正当性を検証する第1の検証部と、前記第1の検証部により正当性が検証された前記中間ノード全体検証鍵に基づいて前記中間ノード順序付き多重署名情報の正当性を検証する第2の検証部とを備えることを特徴とする。
【0019】
このような構成によれば、第1の検証部によりすべてのノードの固有検証鍵に基づいて中間ノード全体検証鍵の正当性を検証し、第2の検証部により前記第1の検証部により正当性が検証された前記中間ノード全体検証鍵に基づいて前記中間ノード順序付き多重署名情報の正当性を検証する。
【0020】
したがって、中間ノード全体検証鍵を一つの検証鍵とみなせば、第2の検証部による検証は、GDH署名(Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名)による検証と同じことを行っていることになり、多重署名の検証が可能となる。また、中間ノード全体検証鍵及び中間ノード順序付き多重署名情報には、各ノードの署名情報が表されており、どのノードからどのノードへ電子データが回覧され、最初の第1ノードがどのノードであるのか、また、最終ノードはどのノードであるのか等を把握することができる。また、中間ノード全体検証鍵及び中間ノード順序付き多重署名情報は、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が改竄することができないため、各ノードに回覧された順序を入れ替えることができず、順序付き多重署名としての信頼性を保証することができる。
【0021】
(5)本発明に係る多重署名方法は、上記課題を解決するために、複数のノード間で順序付きの多重署名を行う多重署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、電子データを自身よりも後の中間ノードに回覧する第1ノードは、前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信工程とを備え、前記中間ノードは、前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とを備えることを特徴とする。
【0022】
このような構成によれば、多重署名方法は、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0023】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0024】
(6)本発明に係る多重署名プログラムは、上記課題を解決するために、複数のノード間で順序付きの多重署名を行う方法をコンピュータによって実現するための多重署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を自身よりも後の中間ノードに送信する第1ノード送信工程とが第1ノードによって実行され、前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とが前記中間ノードによって実行されるようにコンピュータによって実現するためのプログラムである。
【0025】
このような構成によれば、多重署名プログラムは、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0026】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【発明の効果】
【0027】
本発明によれば、署名する人数が増えても署名サイズを一定値に抑制し、効率的な演算処理によって順序付き電子署名を行うことができる。
【図面の簡単な説明】
【0028】
【図1】本発明に係る多重署名システムの第1ノードの構成を示すブロック図である。
【図2】本発明に係る多重署名システムの中間ノードの構成を示すブロック図である。
【図3】本発明に係る多重署名システムの最終ノードの構成を示すブロック図である。
【図4】本発明に係る多重署名システムの検証ノードの構成を示すブロック図である。
【図5】電子データを第1ノードから中間ノードを介して最終ノードへ回覧して順序付き多重署名情報を生成し、生成した順序付き多重署名情報を検証ノードによって検証する方法についての説明に供するフローチャートである。
【図6】順序付き多重署名情報の作成の過程を示す図である。
【発明を実施するための形態】
【0029】
以下、本発明の実施形態の一例について図1から図4を参照しながら説明する。本発明の実施形態に係る多重署名システム1は、複数のノード間で順序付きの多重署名を行って電子的な電子データを回覧するシステムである。
【0030】
多重署名システム1は、第1ノード11と中間ノード21とから構成されている。中間ノード21は、1又は複数のノードを包含する概念である。また、各ノードには、予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられている。例えば、任意のノードNi(iは、1≦i≦kとなる自然数の符合)に対し、自然数xi(ただし、p≠qならxp≠xq)を選び、gからvi=xigを計算する。そして、xiを固有署名鍵とし、楕円上の点viを固有検証鍵とする。なお、詳細は後述するが、gは、GDH(GAP−Diffie−Hellman)グループと呼ばれるある特定の楕円曲線上の点の集合Gの要素である。
【0031】
第1ノード11は、図1に示すように、第1ノード一方向性ハッシュ関数演算部12と、第1ノード順序付き多重署名情報生成部13と、第1ノード署名情報生成部14と、第1ノード全体検証鍵生成部15と、第1ノード送信部16と、記憶部17を備える。記憶部17には、固有署名鍵(x1)と、固有検証鍵(x1g)が記憶されている。
【0032】
第1ノード一方向性ハッシュ関数演算部12は、電子データ(M)に一方向性ハッシュ関数演算を行う。第1ノード順序付き多重署名情報生成部13は、一方向性ハッシュ関数演算により得られたハッシュ値(h(=H(M)))に第1ノード11自身の固有署名鍵(x1)により演算を行って第1ノード順序付き多重署名情報(σ1=x1h)を生成する。
ここで、第1ノード一方向性ハッシュ関数演算部12による演算においては、一方向性ハッシュ関数Hを、通常使用される任意のビット長のサイズの数値データを固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H:{0,1}*→G
のように任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループGの要素に写像変換する方式であると定義する(例えば、sをSHA−1(plaintext)のように通常使用される一方向性ハッシュ関数としたとき、sgとして表される式は、ここで定義する一方向性ハッシュ関数Hの条件を満たす)。また、集合Gは、GDH(GAP−Diffie−Hellman)グループを示し、gは、集合Gの要素となる点を示している。なお、一方向性ハッシュ関数Hについての詳細は後述する。
【0033】
第1ノード署名情報生成部14は、第1ノード順序付き多重署名情報(σ1=x1h)から第1ノード署名情報(uniσ1=x1h)を生成する。第1ノード全体検証鍵生成部15は、第1ノード11自身の固有検証鍵(x1g)から第1ノード全体検証鍵(vm1=x1g)を生成する。
【0034】
第1ノード送信部16は、電子データ(M)と、第1ノード順序付き多重署名情報(σ1)と、第1ノード11自身の固有検証鍵(x1g)と、第1ノード署名情報(uniσ1)と、第1ノード全体検証鍵(vm1)を中間ノード21に送信する。
【0035】
中間ノード21は、図2に示すように、中間ノード受信部22と、中間ノード順序付き多重署名情報生成部23と、中間ノード全体検証鍵生成部24と、中間ノード一方向性ハッシュ関数演算部25と、中間ノード署名情報生成部26と、中間ノード送信部27と、記憶部28とを備える。なお、本実施形態では、中間ノード21の直前のノードは上述した第1ノード11であるとする。また、記憶部28には、固有署名鍵(x2)と、固有検証鍵(x2g)が記憶されている。
【0036】
中間ノード受信部22は、電子データ(M)と、直前のノード(第1ノード11)により生成された直前ノード署名情報(uniσ1)と、直前のノードにより生成された直前ノード順序付き多重署名情報(σ1)と、直前のノードにより生成された直前ノード全体検証鍵(vm1)と、直前のノードの固有検証鍵(x1g)を受信する。
【0037】
中間ノード順序付き多重署名情報生成部23は、直前ノード署名情報(uniσ1)に中間ノード21自身の固有署名鍵(x2)により演算を行い、当該演算の結果に直前ノード順序付き多重署名情報(σ1)を用いて中間ノード順序付き多重署名情報(σ2=σ1+x2(uniσ1))を生成する。
【0038】
中間ノード全体検証鍵生成部24は、直前のノード自身の固有検証鍵(x1g)に中間ノード21自身の固有署名鍵(x2)により演算を行い、当該演算の結果に直前ノード全体検証鍵(vm1)を用いて中間ノード全体検証鍵(vm2=x1g+x2(vm1))を生成する。
【0039】
中間ノード一方向性ハッシュ関数演算部25は、電子データ(M)に一方向性ハッシュ関数演算を行う。中間ノード署名情報生成部26は、一方向性ハッシュ関数演算により得られたハッシュ値(h(=H(M)))に中間ノード21自身の固有署名鍵(x2)により演算を行って中間ノード署名情報(uniσ2=x2h)を生成する。
【0040】
中間ノード送信部27は、電子データ(M)と、中間ノード順序付き多重署名情報(σ2)と、中間ノード21自身の固有検証鍵(x2g)と、中間ノード署名情報(uniσ2)と、中間ノード全体検証鍵(vm2)を次のノードに送信する。
【0041】
このような構成によれば、多重署名システム1は、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成することができる。
【0042】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0043】
本実施形態においては、電子データ(M)を次のノードに回覧するノードは、第1ノード11を除いてすべて中間ノード21と同一の構成であり、順序付き多重署名情報と、全体検証鍵が各ノードで順次更新されて行く。
【0044】
また、電子データが回覧される最後のノードである最終ノード31は、図3に示すように、最終ノード受信部32と、最終ノード順序付き多重署名情報生成部33と、最終ノード全体検証鍵生成部34と、記憶部35とを備える。なお、最終ノード受信部32は、中間ノード受信部22と同一の構成であり、最終ノード順序付き多重署名情報生成部33は、中間ノード順序付き多重署名情報生成部23と同一の構成であり、最終ノード全体検証鍵生成部34は、中間ノード全体検証鍵生成部24と同一の構成である。また、記憶部35には、固有署名鍵(x3)と、固有検証鍵(x3g)が記憶されている。
【0045】
このような構成によれば、最終ノード31は、他の中間ノード21と比較して少ない要素で構成することができる。
【0046】
また、最終ノード31は、最終ノード順序付き多重署名情報生成部33により生成された最終ノード順序付き多重署名情報と、最終ノード全体検証鍵生成部34により生成された最終ノード全体検証鍵を公開する公開部36を備える。このような構成によれば、最終ノード31は、中間ノード順序付き多重署名情報と、中間ノード全体検証鍵とを他のノードに対して公開することができる。
【0047】
つぎに、多重署名システムに備えられている公開部36により公開された中間ノード順序付き多重署名情報を検証する検証システムについて説明する。なお、以下では、検証システムとしての検証ノード41の構成と動作について説明する。
【0048】
検証ノード41は、図4に示すように、検証ノード一方向性ハッシュ関数演算部42と、収集部43と、第1の検証部44と、第2の検証部45とを備え、公開部36により公開された中間ノード順序付き多重署名情報を検証する。
【0049】
検証ノード一方向性ハッシュ関数演算部42は、電子データ(M)に一方向性ハッシュ関数演算を行う。収集部43は、電子データ(M)に署名を行ったすべてのノードの固有検証鍵を収集する。第1の検証部44は、収集部43により収集されたすべてのノードの固有検証鍵に基づいて全体検証鍵(vm)の正当性を検証する。なお、全体検証鍵(vm)は、最終ノード31で公開された全体検証鍵のことである。第2の検証部45は、第1の検証部44により正当性が検証された全体検証鍵(vm)に基づいて順序付き多重署名情報(σ)の正当性を検証する。なお、順序付き多重署名情報(σ)は、最終ノード31で公開された順序付き多重署名情報のことである。
【0050】
このような構成によれば、第1の検証部44によりすべてのノードの固有検証鍵に基づいて全体検証鍵の正当性を検証し、第2の検証部45により第1の検証部44により正当性が検証された全体検証鍵に基づいて順序付き多重署名情報の正当性を検証する。
【0051】
したがって、全体検証鍵を一つの検証鍵とみなせば、第2の検証部45による検証は、GDH署名(Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名)による検証と同じことを行っていることになり、多重署名の検証が可能となる。また、全体検証鍵及び順序付き多重署名情報には、各ノードの署名情報が表されており、電子データの回覧履歴(どのノードからどのノードへ電子データが回覧されたのかを示す履歴)や、どのノードが第1ノードであるのか、また、どのノードが最終ノードであるのか等を検証することができる。また、全体検証鍵及び順序付き多重署名情報は、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が改竄することができないため、例えば、電子データが回覧されたノードの順序を入れ替えることができず、順序付き多重署名としての信頼性を保証することができる。
【0052】
なお、検証ノード41が有する各構成要件は、第1ノード11や中間ノード21に備えられていても良い。このような構成の場合には、第1ノード11や中間ノード21は、最終ノード31又は任意のノードにより生成された順序付き多重署名情報の検証を行うので、第1ノード11から最終ノード31まで、又は第1ノードから任意のノードまでの多重署名の検証を行うことができる。
【0053】
つぎに、多重署名システム1において、電子データ(M)を第1ノード11から中間ノード21を介して最終ノード31へ回覧して順序付き多重署名情報を生成し、生成した順序付き多重署名情報を検証ノード41によって検証する方法について、図5に示すフローチャートを参照しながら説明する。なお、以下の第1ノード一方向性ハッシュ関数演算工程ST1から第1ノード送信工程ST5は、第1ノード11によって実行され、中間ノード受信工程ST6から中間ノード送信工程ST11は、中間ノード21によって実行され、最終ノード受信工程ST12から公開工程ST15は、最終ノード31によって実行される。
【0054】
第1ノード一方向性ハッシュ関数演算工程ST1において、第1ノード一方向性ハッシュ関数演算部12は、電子データ(M)に一方向性ハッシュ関数演算を行う。
【0055】
第1ノード順序付き多重署名情報生成工程ST2において、第1ノード順序付き多重署名情報生成部13は、一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード11自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する。
【0056】
第1ノード署名情報生成工程ST3において、第1ノード署名情報生成部14は、第1ノード順序付き多重署名情報から第1ノード署名情報を生成する。
【0057】
第1ノード全体検証鍵生成工程ST4において、第1ノード全体検証鍵生成部15は、第1ノード11自身の固有検証鍵から第1ノード全体検証鍵を生成する。
【0058】
第1ノード送信工程ST5において、第1ノード送信部16は、電子データ(M)と、第1ノード順序付き多重署名情報と、第1ノード11自身の固有検証鍵と、第1ノード署名情報と、第1ノード全体検証鍵を中間ノード21に送信する。
【0059】
中間ノード受信工程ST6において、中間ノード受信部22は、電子データ(M)と、第1ノード署名情報と、第1ノード順序付き多重署名情報と、第1ノード全体検証鍵と、第1ノードの固有検証鍵を受信する。
【0060】
中間ノード順序付き多重署名情報生成工程ST7において、中間ノード順序付き多重署名情報生成部23は、第1ノード署名情報に中間ノード21自身の固有署名鍵により演算を行い、当該演算の結果に第1ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する。
【0061】
中間ノード全体検証鍵生成工程ST8において、中間ノード全体検証鍵生成部24は、第1ノード自身の固有検証鍵に中間ノード21自身の固有署名鍵により演算を行い、当該演算の結果に第1ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0062】
中間ノード一方向性ハッシュ関数演算工程ST9において、中間ノード一方向性ハッシュ関数演算部25は、電子データ(M)に一方向性ハッシュ関数演算を行う。
【0063】
中間ノード署名情報生成工程ST10において、中間ノード署名情報生成部26は、一方向性ハッシュ関数演算により得られたハッシュ値に中間ノード21自身の固有署名鍵により演算を行って中間ノード署名情報を生成する。
【0064】
中間ノード送信工程ST11において、中間ノード送信部27は、電子データ(M)と、中間ノード順序付き多重署名情報と、中間ノード21自身の固有検証鍵と、中間ノード署名情報と、中間ノード全体検証鍵を最終ノード31に送信する。
【0065】
最終ノード受信工程ST12において、最終ノード受信部32は、電子データ(M)と、中間ノード署名情報と、中間ノード順序付き多重署名情報と、中間ノード全体検証鍵と、中間ノードの固有検証鍵を受信する。
【0066】
最終ノード順序付き多重署名情報生成工程ST13において、最終ノード順序付き多重署名情報生成部33は、中間ノード署名情報に自身の固有署名鍵により演算を行い、当該演算の結果に中間ノード順序付き多重署名情報を用いて最終ノード順序付き多重署名情報を生成する。
【0067】
最終ノード全体検証鍵生成工程ST14において、最終ノード全体検証鍵生成部34は、中間ノード21の固有検証鍵に最終ノード31自身の固有署名鍵により演算を行い、当該演算の結果に中間ノード全体検証鍵を用いて最終ノード全体検証鍵を生成する。
【0068】
公開工程ST15において、公開部36は、最終ノード順序付き多重署名情報生成工程ST13により生成された最終ノード順序付き多重署名情報と、最終ノード全体検証鍵生成工程ST14により生成された中間ノード全体検証鍵を公開する。
【0069】
したがって、多重署名システム1は、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0070】
つぎに、検証方法について説明する。なお、以下の検証ノード一方向性ハッシュ関数演算工程ST16から第2の検証工程ST19は、検証ノード41によって実行される。
【0071】
検証ノード一方向性ハッシュ関数演算工程ST16において、検証ノード一方向性ハッシュ関数演算部42は、電子データ(M)に一方向性ハッシュ関数演算を行う。検証ノード一方向性ハッシュ関数演算部42は、例えば、最終ノード31から電子データ(M)を得る。
【0072】
収集工程ST17において、収集部43は、電子データ(M)の署名を行ったすべてのノードの固有検証鍵を収集する。本実施形態では、収集部43は、第1ノード11の固有検証鍵(x1g)と、中間ノード21の固有検証鍵(x2g)と、最終ノード31の固有検証鍵(x3g)を収集する。
【0073】
第1の検証工程ST18において、第1の検証部44は、収集工程ST17により収集されたすべてのノードの固有検証鍵に基づいて最終ノード全体検証鍵の正当性を検証する。
【0074】
第2の検証工程ST19において、第2の検証部45は、第1の検証工程ST18により正当性が検証された最終ノード全体検証鍵と、検証ノード一方向性ハッシュ関数演算工程ST16により生成されたハッシュ値を用いて最終ノード順序付き多重署名情報の正当性を検証する。
【0075】
したがって、検証システムに係る検証方法によれば、最終ノード全体検証鍵を一つの検証鍵とみなせば、第2の検証部45による検証は、GDH署名による検証と同じことを行っていることになり、多重署名の検証が可能となる。また、最終ノード全体検証鍵及び最終ノード順序付き多重署名情報には、各ノードの署名情報が表されており、電子データの回覧履歴(どのノードからどのノードへ電子データが回覧されたのかを示す履歴)や、どのノードが第1ノードであるのか、また、どのノードが最終ノードであるのか等を把握することができる。また、最終ノード全体検証鍵及び最終ノード順序付き多重署名情報は、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が改竄することができないため、例えば、電子データが回覧されたノードの順序を入れ替えることができず、順序付き多重署名としての信頼性を保証することができる。
【0076】
<署名方式について>
つぎに、上述した本発明によって採用される具体的な署名方式について説明する。多重署名システム1では、ベースとなる署名方式としてGAP−Diffie−Hellman(GDH)署名を採用する。GDH署名とは、Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名である。
【0077】
つぎに、ペアリング演算を用いたGDH署名について説明する。楕円曲線上のDiffie−Hellman問題に関連して、GDHグループが定義されている。GDHグループについて簡単に説明する。Gをある楕円曲線上の点の集合とする。gを集合Gの要素としたとき、集合Gにおける楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0078】
DDH問題:あるa、b、cという自然数があり、g、ag、bg、cgが与えられた時、c=abかどうかを判定する問題
CDH問題:あるa、b、cという自然数があり、g、ag、bgが与えられた時、abgを計算する問題
【0079】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GをGDHグループと定義する。
【0080】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては次にあげる性質を持つことができるペアリングと呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab・・・(1)
【0081】
よって、gがペアリング演算が可能な楕円曲線上の点である場合には、上記の性質から、(1)式にg、ag、bg、cgを入力すると、
e(ag,bg)=e(g,g)ab・・・(2)
e(g,cg)=e(g,g)c・・・(3)
となり、両者の値が一致するかどうかにより、「ab=c」であるかどうかを判定でき、gはGDHグループGの要素となりうる。
【0082】
この性質を利用してGDH署名が構成される。集合Gは、GDHグループであり、gは集合Gの要素となる点とする。また、一方向性ハッシュ関数Hを、通常使用される任意のビット長のサイズの数値データを固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H:{0,1}*→G
のように任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループGの要素に写像変換する方式であると定義する(例えば、sをSHA−1(plaintext)のように通常使用される一方向性ハッシュ関数としたとき、sgとして表される式は、ここで定義する一方向性ハッシュ関数Hの条件を満たす)。
【0083】
このとき、GDH署名は以下のように定義される。
鍵生成:自然数xを選び、gからv=xgを計算する。xを署名鍵、楕円上の点vを検証鍵とする。
署名:署名者は、メッセージ「m∈{0,1}*」に対しh=H(m)を計算し、さらに自分の署名鍵を用いてσ=xhを計算する。σをmに対する署名として公開する。
検証:検証者は、メッセージmからh=H(m)を計算し、g、v、h、σを準備する。e(g,σ)とe(v,h)を計算し、両者の値が一致したら、署名σは、正しい署名と判定する。
【0084】
このとき、hの値は集合Gの要素となるので、ある自然数yを用いてh=ygと表現できる。その結果、正しく署名が行われていれば(g,v,h,σ)=(g,xg,yg,xyg)となる。したがって、正当な署名であれば上記の検証でのペアリング演算は、e(g,σ)=e(g,xyg)=e(g,g)xy=e(xg,yg)=e(v,h)となり、値が一致することから、検証可能となる。なお、GDHグループの条件であるCDH問題の困難性から、署名鍵xを知らない第三者がg、v、hの値から署名σを導出することは不可能である。
【0085】
<署名方法>
多重署名システム1による署名の手順について、図6を参照しながら説明する。なお、記号の定義は、GDH署名の時に準ずる。
(1)ユーザui(iは、1≦i≦kとなる自然数の符号)に対し、自然数xi(ただしp≠qならxp≠xq)を選び、gからvi=xigを計算する。ここで、xiを署名鍵とし、楕円上の点viを検証鍵として各ノードに割り当てる。以下に説明する第1ノード11には、(署名鍵,検証鍵)=(x1,v1(=x1g))を割り当て、中間ノード212には、(署名鍵,検証鍵)=(x2,v2(=x2g))を割り当て、中間ノード21iには、(署名鍵,検証鍵)=(xi,vi(=xig))を割り当て、最終ノード31には、(署名鍵,検証鍵)=(xk,vk(=xkg))を割り当てる。
【0086】
(2)最初の署名者であるユーザu1(第1ノード11)は、メッセージMに対しハッシュ値(h=H(M))を求め、順序付き多重署名情報(σ1=x1h)を計算する。また、第1ノード11は、署名情報(uniσ1)を求める(第1ノード11では、uniσ1=x1hとする)。また、第1ノード11は、全体検証鍵(vm1)を求める(第1ノード11では、vm1=v1(=x1g)とする)。第1ノード11は、順序付き多重署名情報(σ1)と、署名情報(uniσ1)と、全体検証鍵(vm1)と、自己の検証鍵(v1)を次のユーザu2(中間ノード212)に送信する。
【0087】
(3)2番目のユーザu2(中間ノード212)は、ユーザu1(第1ノード11)から受信した署名情報(uniσ1)に自分の署名鍵(x2)を使って演算を行い(x2(uniσ1)=x1x2h)、当該演算結果と1番目のユーザu1(第1ノード11)から受信した順序付き多重署名情報(σ1)を使って、順序付き多重署名情報(σ2)を計算する。
σ2=σ1+x2(uniσ1)=(x1+x1x2)h ・・・(4)
【0088】
さらに、中間ノード212は、署名情報(uniσ2)を計算する(uniσ2=x2h)。また、中間ノード212は、1番目のユーザu1(第1ノード11)の検証鍵(v1)に自分の署名鍵(x2)を使って演算を行い(x2(v1)=x1x2g)、当該演算結果と1番目のユーザu1(第1ノード11)から受信した全体検証鍵(vm1)を使って、全体検証鍵(vm2)を計算する。
vm2=vm1+x2(v1)=x1g+x1x2g=(x1+x1x2)g ・・・(5)
【0089】
中間ノード212は、順序付き多重署名情報(σ2)と、署名情報(uniσ2)と、全体検証鍵(vm2)と、自己の検証鍵(v2)を次のユーザu3(中間ノード21b)に送信する。
【0090】
(4)i番目のユーザui(中間ノード21i)は、直前のユーザui−1(中間ノード21i−1)から受信した署名情報(uniσi−1)に自分の署名鍵(xi)を使って演算を行い(xi(uniσi−1)=xi−1xih)、当該演算結果と直前のユーザui−1(中間ノード21i−1)から受信した順序付き多重署名情報(σi−1)を使って順序付き多重署名情報(σi)を計算する。
【数1】
【0091】
さらに、中間ノード21iは、署名情報(uniσi)を計算する(uniσi=xih)。また、中間ノード21iは、直前のユーザui−1(中間ノード21i−1)の検証鍵(vi−1)に自分の署名鍵(xi)を使って演算を行い(xi(vi−1)=xi−1xig)、当該演算結果と直前のユーザui−1(中間ノード21i−1)から受信した全体検証鍵(vmi−1)を使って、全体検証鍵(vmi)を計算する。
【数2】
【0092】
中間ノード21iは、順序付き多重署名情報(σi)と、署名情報(uniσi)と、全体検証鍵(vmi)と、自己の検証鍵(vi)を次のユーザui+1(中間ノード21i+1)に送信する。
【0093】
(5)最後のユーザuk(最終ノード31)は、直前のユーザuk−1(中間ノード21k−1)から受信した署名情報(uniσk−1)に自分の署名鍵(xk)を使って演算を行い(xk(uniσk−1)=xk−1xkh)、当該演算結果と直前のユーザuk−1(中間ノード21k−1)から受信した順序付き多重署名情報(σk−1)を使って順序付き多重署名情報(σk)を計算する。
【数3】
【0094】
さらに、最終ノード31は、直前のユーザuk−1(中間ノード21k−1)の検証鍵(vk−1)に自分の署名鍵(xk)を使って演算を行い(xk(vk−1)=xk−1xkg)、当該演算結果と直前のユーザuk−1(中間ノード21k−1)から受信した全体検証鍵(vmk−1)を使って、全体検証鍵(vmk)を計算する。
【数4】
【0095】
最終ノード31は、順序付き多重署名情報(σk)と全体検証鍵(vmk)を全ユーザ(全ノード)の多重署名情報として公開する。
【0096】
<検証方法>
検証ノード41は、以下の手順により検証を行う。
(検証過程1)メッセージmからh=H(m)を求める。
(検証過程2)署名者の検証鍵v1,・・・,vkを集める。
(検証過程3)全体検証鍵(vmk)の正当性を検証する。具体的には、(10)式に基づいて、集めた検証鍵から計算し、この計算結果とe(g,vmk)の値が一致することを確認する。計算結果とe(g,vmk)の値が一致した場合には、全体検証鍵(vmk)の正当性が証明される。
【数5】
(検証過程4)正当性が確認された全体検証鍵(vmk)を使って順序付き多重署名情報(σk)の正当性を検証する。e(g,σk)とe(vmk,h)を計算し、両者の値が一致することを確認する。
【0097】
ここで、検証過程3について詳細に検討する。(11)式に示すように、e(g,vmk)から計算していくと、(12)式から(16)式への展開となり、署名過程が正しく行われていれば(16)式と、(10)式とは一致する。このように、(16)式と(10)式とが一致するか否かを検証することにより、公開されているユーザの検証鍵から全体検証鍵(vmk)の正当性を検証する。
【数6】
【0098】
また、全体検証鍵(vmk)を一つの検証鍵と見なせば、(検証過程4)による検証は、GDH署名の検証と同じ検証を行っていることになり、多重署名の検証が可能となる。
【0099】
また、順序付き多重署名情報(σk)又は全体検証鍵(vmk)の値に着目すると、
x1+x1x2+・・・+xi−1xi+・・・+xk−1xk ・・・(17)
が得られる。
【0100】
この(17)式の第一項は、「x1」のみである(「x1」は、第1ノード11に割り当てられている署名鍵である)。署名鍵の値が一つのみの項は、この第一項のみであることから、ユーザu1が最初の署名者であることが分かる。また、「x1」が含まれる項は、第二項にもあり、これとの積を構成している値が「x2」であることから、次の署名者は、ユーザu2であることが分かる(「x2」は、中間ノード212に割り当てられている署名鍵である)。また、「x2」が含まれる項は、第三項にもあり、これとの積を構成している値が「x3」であることから、第三の署名者は、ユーザu3であることが分かる(「x3」は、中間ノード213に割り当てられている署名鍵である)。
【0101】
このように、各項の確認作業を順に繰り返すことによって、どのような順番で署名されてきたかが分かり、その結果としてユーザukが最後であることが分かる。また、(17)式については、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が、「xi−1xi」の式を任意に入れ替えることができないため、第三者による順序の入れ替えは不可能である。
【0102】
また、どんなに署名者が多くなっても、生成される署名情報は、順序付き多重署名情報(σk)と全体検証鍵(vmk)の二つの楕円曲線上の点のみであり、それ以外の情報が付加されることはない。よって、署名のサイズは一定の値以下となる。
【0103】
このようにして、多重署名システム1は、署名サイズの増大を防ぐことができ、かつ検証時の演算を数値演算のみで行える順序付き多重署名が構成でき、メモリコストや計算機の処理負荷の軽減を図ることができる。
【0104】
また、上述で説明した多重署名システム1及び検証システムによる一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されても良いし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されても良い。
【符号の説明】
【0105】
1 多重署名システム
11 第1ノード
12 第1ノード一方向性ハッシュ関数演算部
13 第1ノード順序付き多重署名情報生成部
14 第1ノード署名情報生成部
15 第1ノード全体検証鍵生成部
16 第1ノード送信部
17 記憶部
21 中間ノード
22 中間ノード受信部
23 中間ノード順序付き多重署名情報生成部
24 中間ノード全体検証鍵生成部
25 中間ノード一方向性ハッシュ関数演算部
26 中間ノード署名情報生成部
27 中間ノード送信部
28 記憶部
31 最終ノード
32 最終ノード受信部
33 最終ノード順序付き多重署名情報生成部
34 最終ノード全体検証鍵生成部
35 記憶部
41 検証ノード
42 検証ノード一方向性ハッシュ関数演算部
43 収集部
44 第1の検証部
45 第2の検証部
【技術分野】
【0001】
本発明は、電子署名を利用した電子データの多重署名システム及び検証システム及び多重署名方法及び多重署名プログラムに関する。
【背景技術】
【0002】
現在、さまざまな電子情報がネットワークやメディアを介して送信されている。会社やコミュニティーのような組織においても、報告書やレポート、稟議書、連絡簿等さまざまな情報が電子化され、社員又はメンバー間でネットワークを経由して回覧されている。
【0003】
その情報の発信源あるいは閲覧済みであることを保証する仕組みとして電子署名がある。この電子署名を利用することにより、特定の人しか知りえない署名鍵と電子情報を入力値として署名の演算を行い、検証者が検証鍵と言われる公開された情報と署名されたデータを入力値として検証演算を行うことで、その特定の人がそのデータの発信源であることを確認することが可能となる。ここで、検証鍵から署名鍵を導出することは、計算量的に不可能であることから、他の人がその特定者に成りすまして署名を行うことができないため、その署名の正当性が保証される。
【0004】
また、組織における電子情報の回覧においては、複数の人が介在して署名を行うケースが想定され、例えば、電子データの回覧や会社における承認システムがそれに該当する。複数人の署名を行う方式としては、それぞれの署名者を検証できる多重署名(例えば、非特許文献1を参照。)や、特定のグループに所属している人の誰かが署名したことを保証できるグループ署名(例えば、特許文献1を参照。)が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−166687号公報
【特許文献2】特開平09−270787号公報
【特許文献3】特開2002−040935号公報
【非特許文献】
【0006】
【非特許文献1】新保 淳、「多重署名に適したElGamal署名の一変形方式」、暗号と情報セキュリティシンポジウム(CSS)、SCIS94−2C、電子情報通信学会、1994
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの多重署名やグループ署名では署名者がすべて等価な関係で表現され、一例として示した多重署名システムにおいて電子データがどのように流通してきたか、あるいは回覧状況をグループ毎で確認することをこの署名方式だけで表現することができない。
【0008】
これに対し、順序や上下関係で証明される方式としては順序付き多重署名方式(例えば、特許文献2、3を参照。)があげられる。これにより署名者の順番が保証され、個人の上下関係が表現できる。しかしながら、既存の順序付き多重署名方式は、RSA(Rivest Shamir Adleman)問題ベースのものか、離散対数問題ベースのものが提案されている。RSA問題ベースでは、署名する人数が増えるほど署名サイズが大きくなってしまい、また、離散対数問題ベースでは、ゼロ知識証明を利用するために演算処理に負荷がかかり、効率的な処理にならない。
【0009】
本発明は、上記課題を解決するため、署名する人数が増えても署名サイズを一定値に抑制し、効率的な演算処理によって順序付き電子署名を行うことができる多重署名システム及び検証システム及び多重署名方法及び多重署名プログラムを提供することを目的の一つとしている。
【課題を解決するための手段】
【0010】
本発明では、以下のような解決手段を提供する。
【0011】
(1)本発明に係る多重署名システムは、上記課題を解決するために、複数のノード間で順序付きの多重署名を行う多重署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、電子データを自身よりも後の中間ノードに回覧する第1ノードは、前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成部と、前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成部と、前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成部と、前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信部とを備え、前記中間ノードは、前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信部と、前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成部と、前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成部と、前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成部と、前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信部とを備えることを特徴とする。
【0012】
このような構成によれば、多重署名システムは、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0013】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0014】
(2)また、上記多重署名システムでは、前記中間ノードに含まれており、前記電子データが回覧される最終ノードは、前記中間ノード受信部と、前記中間ノード順序付き多重署名情報生成部と、前記中間ノード全体検証鍵生成部とにより構成されていることが好ましい。
【0015】
このような構成によれば、最終ノードは、他のノードと比較して少ない要素で構成することができる。
【0016】
(3)また、上記多重署名システムでは、前記最終ノードは、前記中間ノード順序付き多重署名情報生成部により生成された前記中間ノード順序付き多重署名情報と、前記中間ノード全体検証鍵生成部により生成された前記中間ノード全体検証鍵を公開する公開部を備えることが好ましい。
【0017】
このような構成によれば、最終ノードは、中間ノード順序付き多重署名情報と、中間ノード全体検証鍵とを他のノードに対して公開することができる。
【0018】
(4)本発明に係る検証システムは、上記課題を解決するために、前記(3)に記載の多重署名システムに備えられている公開部により公開された中間ノード順序付き多重署名情報を検証する検証システムにおいて、電子データに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、前記電子データの署名を行ったすべてのノードの固有検証鍵を収集する収集部と、前記収集部により収集された前記すべてのノードの固有検証鍵に基づいて中間ノード全体検証鍵の正当性を検証する第1の検証部と、前記第1の検証部により正当性が検証された前記中間ノード全体検証鍵に基づいて前記中間ノード順序付き多重署名情報の正当性を検証する第2の検証部とを備えることを特徴とする。
【0019】
このような構成によれば、第1の検証部によりすべてのノードの固有検証鍵に基づいて中間ノード全体検証鍵の正当性を検証し、第2の検証部により前記第1の検証部により正当性が検証された前記中間ノード全体検証鍵に基づいて前記中間ノード順序付き多重署名情報の正当性を検証する。
【0020】
したがって、中間ノード全体検証鍵を一つの検証鍵とみなせば、第2の検証部による検証は、GDH署名(Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名)による検証と同じことを行っていることになり、多重署名の検証が可能となる。また、中間ノード全体検証鍵及び中間ノード順序付き多重署名情報には、各ノードの署名情報が表されており、どのノードからどのノードへ電子データが回覧され、最初の第1ノードがどのノードであるのか、また、最終ノードはどのノードであるのか等を把握することができる。また、中間ノード全体検証鍵及び中間ノード順序付き多重署名情報は、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が改竄することができないため、各ノードに回覧された順序を入れ替えることができず、順序付き多重署名としての信頼性を保証することができる。
【0021】
(5)本発明に係る多重署名方法は、上記課題を解決するために、複数のノード間で順序付きの多重署名を行う多重署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、電子データを自身よりも後の中間ノードに回覧する第1ノードは、前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信工程とを備え、前記中間ノードは、前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とを備えることを特徴とする。
【0022】
このような構成によれば、多重署名方法は、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0023】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0024】
(6)本発明に係る多重署名プログラムは、上記課題を解決するために、複数のノード間で順序付きの多重署名を行う方法をコンピュータによって実現するための多重署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を自身よりも後の中間ノードに送信する第1ノード送信工程とが第1ノードによって実行され、前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とが前記中間ノードによって実行されるようにコンピュータによって実現するためのプログラムである。
【0025】
このような構成によれば、多重署名プログラムは、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0026】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【発明の効果】
【0027】
本発明によれば、署名する人数が増えても署名サイズを一定値に抑制し、効率的な演算処理によって順序付き電子署名を行うことができる。
【図面の簡単な説明】
【0028】
【図1】本発明に係る多重署名システムの第1ノードの構成を示すブロック図である。
【図2】本発明に係る多重署名システムの中間ノードの構成を示すブロック図である。
【図3】本発明に係る多重署名システムの最終ノードの構成を示すブロック図である。
【図4】本発明に係る多重署名システムの検証ノードの構成を示すブロック図である。
【図5】電子データを第1ノードから中間ノードを介して最終ノードへ回覧して順序付き多重署名情報を生成し、生成した順序付き多重署名情報を検証ノードによって検証する方法についての説明に供するフローチャートである。
【図6】順序付き多重署名情報の作成の過程を示す図である。
【発明を実施するための形態】
【0029】
以下、本発明の実施形態の一例について図1から図4を参照しながら説明する。本発明の実施形態に係る多重署名システム1は、複数のノード間で順序付きの多重署名を行って電子的な電子データを回覧するシステムである。
【0030】
多重署名システム1は、第1ノード11と中間ノード21とから構成されている。中間ノード21は、1又は複数のノードを包含する概念である。また、各ノードには、予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられている。例えば、任意のノードNi(iは、1≦i≦kとなる自然数の符合)に対し、自然数xi(ただし、p≠qならxp≠xq)を選び、gからvi=xigを計算する。そして、xiを固有署名鍵とし、楕円上の点viを固有検証鍵とする。なお、詳細は後述するが、gは、GDH(GAP−Diffie−Hellman)グループと呼ばれるある特定の楕円曲線上の点の集合Gの要素である。
【0031】
第1ノード11は、図1に示すように、第1ノード一方向性ハッシュ関数演算部12と、第1ノード順序付き多重署名情報生成部13と、第1ノード署名情報生成部14と、第1ノード全体検証鍵生成部15と、第1ノード送信部16と、記憶部17を備える。記憶部17には、固有署名鍵(x1)と、固有検証鍵(x1g)が記憶されている。
【0032】
第1ノード一方向性ハッシュ関数演算部12は、電子データ(M)に一方向性ハッシュ関数演算を行う。第1ノード順序付き多重署名情報生成部13は、一方向性ハッシュ関数演算により得られたハッシュ値(h(=H(M)))に第1ノード11自身の固有署名鍵(x1)により演算を行って第1ノード順序付き多重署名情報(σ1=x1h)を生成する。
ここで、第1ノード一方向性ハッシュ関数演算部12による演算においては、一方向性ハッシュ関数Hを、通常使用される任意のビット長のサイズの数値データを固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H:{0,1}*→G
のように任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループGの要素に写像変換する方式であると定義する(例えば、sをSHA−1(plaintext)のように通常使用される一方向性ハッシュ関数としたとき、sgとして表される式は、ここで定義する一方向性ハッシュ関数Hの条件を満たす)。また、集合Gは、GDH(GAP−Diffie−Hellman)グループを示し、gは、集合Gの要素となる点を示している。なお、一方向性ハッシュ関数Hについての詳細は後述する。
【0033】
第1ノード署名情報生成部14は、第1ノード順序付き多重署名情報(σ1=x1h)から第1ノード署名情報(uniσ1=x1h)を生成する。第1ノード全体検証鍵生成部15は、第1ノード11自身の固有検証鍵(x1g)から第1ノード全体検証鍵(vm1=x1g)を生成する。
【0034】
第1ノード送信部16は、電子データ(M)と、第1ノード順序付き多重署名情報(σ1)と、第1ノード11自身の固有検証鍵(x1g)と、第1ノード署名情報(uniσ1)と、第1ノード全体検証鍵(vm1)を中間ノード21に送信する。
【0035】
中間ノード21は、図2に示すように、中間ノード受信部22と、中間ノード順序付き多重署名情報生成部23と、中間ノード全体検証鍵生成部24と、中間ノード一方向性ハッシュ関数演算部25と、中間ノード署名情報生成部26と、中間ノード送信部27と、記憶部28とを備える。なお、本実施形態では、中間ノード21の直前のノードは上述した第1ノード11であるとする。また、記憶部28には、固有署名鍵(x2)と、固有検証鍵(x2g)が記憶されている。
【0036】
中間ノード受信部22は、電子データ(M)と、直前のノード(第1ノード11)により生成された直前ノード署名情報(uniσ1)と、直前のノードにより生成された直前ノード順序付き多重署名情報(σ1)と、直前のノードにより生成された直前ノード全体検証鍵(vm1)と、直前のノードの固有検証鍵(x1g)を受信する。
【0037】
中間ノード順序付き多重署名情報生成部23は、直前ノード署名情報(uniσ1)に中間ノード21自身の固有署名鍵(x2)により演算を行い、当該演算の結果に直前ノード順序付き多重署名情報(σ1)を用いて中間ノード順序付き多重署名情報(σ2=σ1+x2(uniσ1))を生成する。
【0038】
中間ノード全体検証鍵生成部24は、直前のノード自身の固有検証鍵(x1g)に中間ノード21自身の固有署名鍵(x2)により演算を行い、当該演算の結果に直前ノード全体検証鍵(vm1)を用いて中間ノード全体検証鍵(vm2=x1g+x2(vm1))を生成する。
【0039】
中間ノード一方向性ハッシュ関数演算部25は、電子データ(M)に一方向性ハッシュ関数演算を行う。中間ノード署名情報生成部26は、一方向性ハッシュ関数演算により得られたハッシュ値(h(=H(M)))に中間ノード21自身の固有署名鍵(x2)により演算を行って中間ノード署名情報(uniσ2=x2h)を生成する。
【0040】
中間ノード送信部27は、電子データ(M)と、中間ノード順序付き多重署名情報(σ2)と、中間ノード21自身の固有検証鍵(x2g)と、中間ノード署名情報(uniσ2)と、中間ノード全体検証鍵(vm2)を次のノードに送信する。
【0041】
このような構成によれば、多重署名システム1は、直前のノードにより生成された直前ノード署名情報に自身のノードに割り当てられている固有署名鍵によって演算を行い、当該演算結果に直前のノードにより生成された直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成し、また、直前のノード自身の固有検証鍵に自身のノードに割り当てられている固有署名鍵により演算を行い、当該演算の結果に直前のノードにより生成された直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成することができる。
【0042】
したがって、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0043】
本実施形態においては、電子データ(M)を次のノードに回覧するノードは、第1ノード11を除いてすべて中間ノード21と同一の構成であり、順序付き多重署名情報と、全体検証鍵が各ノードで順次更新されて行く。
【0044】
また、電子データが回覧される最後のノードである最終ノード31は、図3に示すように、最終ノード受信部32と、最終ノード順序付き多重署名情報生成部33と、最終ノード全体検証鍵生成部34と、記憶部35とを備える。なお、最終ノード受信部32は、中間ノード受信部22と同一の構成であり、最終ノード順序付き多重署名情報生成部33は、中間ノード順序付き多重署名情報生成部23と同一の構成であり、最終ノード全体検証鍵生成部34は、中間ノード全体検証鍵生成部24と同一の構成である。また、記憶部35には、固有署名鍵(x3)と、固有検証鍵(x3g)が記憶されている。
【0045】
このような構成によれば、最終ノード31は、他の中間ノード21と比較して少ない要素で構成することができる。
【0046】
また、最終ノード31は、最終ノード順序付き多重署名情報生成部33により生成された最終ノード順序付き多重署名情報と、最終ノード全体検証鍵生成部34により生成された最終ノード全体検証鍵を公開する公開部36を備える。このような構成によれば、最終ノード31は、中間ノード順序付き多重署名情報と、中間ノード全体検証鍵とを他のノードに対して公開することができる。
【0047】
つぎに、多重署名システムに備えられている公開部36により公開された中間ノード順序付き多重署名情報を検証する検証システムについて説明する。なお、以下では、検証システムとしての検証ノード41の構成と動作について説明する。
【0048】
検証ノード41は、図4に示すように、検証ノード一方向性ハッシュ関数演算部42と、収集部43と、第1の検証部44と、第2の検証部45とを備え、公開部36により公開された中間ノード順序付き多重署名情報を検証する。
【0049】
検証ノード一方向性ハッシュ関数演算部42は、電子データ(M)に一方向性ハッシュ関数演算を行う。収集部43は、電子データ(M)に署名を行ったすべてのノードの固有検証鍵を収集する。第1の検証部44は、収集部43により収集されたすべてのノードの固有検証鍵に基づいて全体検証鍵(vm)の正当性を検証する。なお、全体検証鍵(vm)は、最終ノード31で公開された全体検証鍵のことである。第2の検証部45は、第1の検証部44により正当性が検証された全体検証鍵(vm)に基づいて順序付き多重署名情報(σ)の正当性を検証する。なお、順序付き多重署名情報(σ)は、最終ノード31で公開された順序付き多重署名情報のことである。
【0050】
このような構成によれば、第1の検証部44によりすべてのノードの固有検証鍵に基づいて全体検証鍵の正当性を検証し、第2の検証部45により第1の検証部44により正当性が検証された全体検証鍵に基づいて順序付き多重署名情報の正当性を検証する。
【0051】
したがって、全体検証鍵を一つの検証鍵とみなせば、第2の検証部45による検証は、GDH署名(Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名)による検証と同じことを行っていることになり、多重署名の検証が可能となる。また、全体検証鍵及び順序付き多重署名情報には、各ノードの署名情報が表されており、電子データの回覧履歴(どのノードからどのノードへ電子データが回覧されたのかを示す履歴)や、どのノードが第1ノードであるのか、また、どのノードが最終ノードであるのか等を検証することができる。また、全体検証鍵及び順序付き多重署名情報は、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が改竄することができないため、例えば、電子データが回覧されたノードの順序を入れ替えることができず、順序付き多重署名としての信頼性を保証することができる。
【0052】
なお、検証ノード41が有する各構成要件は、第1ノード11や中間ノード21に備えられていても良い。このような構成の場合には、第1ノード11や中間ノード21は、最終ノード31又は任意のノードにより生成された順序付き多重署名情報の検証を行うので、第1ノード11から最終ノード31まで、又は第1ノードから任意のノードまでの多重署名の検証を行うことができる。
【0053】
つぎに、多重署名システム1において、電子データ(M)を第1ノード11から中間ノード21を介して最終ノード31へ回覧して順序付き多重署名情報を生成し、生成した順序付き多重署名情報を検証ノード41によって検証する方法について、図5に示すフローチャートを参照しながら説明する。なお、以下の第1ノード一方向性ハッシュ関数演算工程ST1から第1ノード送信工程ST5は、第1ノード11によって実行され、中間ノード受信工程ST6から中間ノード送信工程ST11は、中間ノード21によって実行され、最終ノード受信工程ST12から公開工程ST15は、最終ノード31によって実行される。
【0054】
第1ノード一方向性ハッシュ関数演算工程ST1において、第1ノード一方向性ハッシュ関数演算部12は、電子データ(M)に一方向性ハッシュ関数演算を行う。
【0055】
第1ノード順序付き多重署名情報生成工程ST2において、第1ノード順序付き多重署名情報生成部13は、一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード11自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する。
【0056】
第1ノード署名情報生成工程ST3において、第1ノード署名情報生成部14は、第1ノード順序付き多重署名情報から第1ノード署名情報を生成する。
【0057】
第1ノード全体検証鍵生成工程ST4において、第1ノード全体検証鍵生成部15は、第1ノード11自身の固有検証鍵から第1ノード全体検証鍵を生成する。
【0058】
第1ノード送信工程ST5において、第1ノード送信部16は、電子データ(M)と、第1ノード順序付き多重署名情報と、第1ノード11自身の固有検証鍵と、第1ノード署名情報と、第1ノード全体検証鍵を中間ノード21に送信する。
【0059】
中間ノード受信工程ST6において、中間ノード受信部22は、電子データ(M)と、第1ノード署名情報と、第1ノード順序付き多重署名情報と、第1ノード全体検証鍵と、第1ノードの固有検証鍵を受信する。
【0060】
中間ノード順序付き多重署名情報生成工程ST7において、中間ノード順序付き多重署名情報生成部23は、第1ノード署名情報に中間ノード21自身の固有署名鍵により演算を行い、当該演算の結果に第1ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する。
【0061】
中間ノード全体検証鍵生成工程ST8において、中間ノード全体検証鍵生成部24は、第1ノード自身の固有検証鍵に中間ノード21自身の固有署名鍵により演算を行い、当該演算の結果に第1ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する。
【0062】
中間ノード一方向性ハッシュ関数演算工程ST9において、中間ノード一方向性ハッシュ関数演算部25は、電子データ(M)に一方向性ハッシュ関数演算を行う。
【0063】
中間ノード署名情報生成工程ST10において、中間ノード署名情報生成部26は、一方向性ハッシュ関数演算により得られたハッシュ値に中間ノード21自身の固有署名鍵により演算を行って中間ノード署名情報を生成する。
【0064】
中間ノード送信工程ST11において、中間ノード送信部27は、電子データ(M)と、中間ノード順序付き多重署名情報と、中間ノード21自身の固有検証鍵と、中間ノード署名情報と、中間ノード全体検証鍵を最終ノード31に送信する。
【0065】
最終ノード受信工程ST12において、最終ノード受信部32は、電子データ(M)と、中間ノード署名情報と、中間ノード順序付き多重署名情報と、中間ノード全体検証鍵と、中間ノードの固有検証鍵を受信する。
【0066】
最終ノード順序付き多重署名情報生成工程ST13において、最終ノード順序付き多重署名情報生成部33は、中間ノード署名情報に自身の固有署名鍵により演算を行い、当該演算の結果に中間ノード順序付き多重署名情報を用いて最終ノード順序付き多重署名情報を生成する。
【0067】
最終ノード全体検証鍵生成工程ST14において、最終ノード全体検証鍵生成部34は、中間ノード21の固有検証鍵に最終ノード31自身の固有署名鍵により演算を行い、当該演算の結果に中間ノード全体検証鍵を用いて最終ノード全体検証鍵を生成する。
【0068】
公開工程ST15において、公開部36は、最終ノード順序付き多重署名情報生成工程ST13により生成された最終ノード順序付き多重署名情報と、最終ノード全体検証鍵生成工程ST14により生成された中間ノード全体検証鍵を公開する。
【0069】
したがって、多重署名システム1は、予め割り当てられている固有検証鍵とハッシュ値が楕円曲線上の点で表現されることにより、直前ノード順序付き多重署名情報、中間ノード順序付き多重署名情報、直前ノード全体検証鍵、及び中間ノード全体検証鍵が楕円曲線上の点のみで生成され、署名者(中間ノードの数)が多くなっても、署名サイズは増大せず、一定値以下に抑制することができる。
【0070】
つぎに、検証方法について説明する。なお、以下の検証ノード一方向性ハッシュ関数演算工程ST16から第2の検証工程ST19は、検証ノード41によって実行される。
【0071】
検証ノード一方向性ハッシュ関数演算工程ST16において、検証ノード一方向性ハッシュ関数演算部42は、電子データ(M)に一方向性ハッシュ関数演算を行う。検証ノード一方向性ハッシュ関数演算部42は、例えば、最終ノード31から電子データ(M)を得る。
【0072】
収集工程ST17において、収集部43は、電子データ(M)の署名を行ったすべてのノードの固有検証鍵を収集する。本実施形態では、収集部43は、第1ノード11の固有検証鍵(x1g)と、中間ノード21の固有検証鍵(x2g)と、最終ノード31の固有検証鍵(x3g)を収集する。
【0073】
第1の検証工程ST18において、第1の検証部44は、収集工程ST17により収集されたすべてのノードの固有検証鍵に基づいて最終ノード全体検証鍵の正当性を検証する。
【0074】
第2の検証工程ST19において、第2の検証部45は、第1の検証工程ST18により正当性が検証された最終ノード全体検証鍵と、検証ノード一方向性ハッシュ関数演算工程ST16により生成されたハッシュ値を用いて最終ノード順序付き多重署名情報の正当性を検証する。
【0075】
したがって、検証システムに係る検証方法によれば、最終ノード全体検証鍵を一つの検証鍵とみなせば、第2の検証部45による検証は、GDH署名による検証と同じことを行っていることになり、多重署名の検証が可能となる。また、最終ノード全体検証鍵及び最終ノード順序付き多重署名情報には、各ノードの署名情報が表されており、電子データの回覧履歴(どのノードからどのノードへ電子データが回覧されたのかを示す履歴)や、どのノードが第1ノードであるのか、また、どのノードが最終ノードであるのか等を把握することができる。また、最終ノード全体検証鍵及び最終ノード順序付き多重署名情報は、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が改竄することができないため、例えば、電子データが回覧されたノードの順序を入れ替えることができず、順序付き多重署名としての信頼性を保証することができる。
【0076】
<署名方式について>
つぎに、上述した本発明によって採用される具体的な署名方式について説明する。多重署名システム1では、ベースとなる署名方式としてGAP−Diffie−Hellman(GDH)署名を採用する。GDH署名とは、Decision−Diffie−Hellman(DDH)問題をペアリングと呼ばれるある種のブラックボックス関数e(P,Q)を用いることで、解くことが可能であることを利用した署名である。
【0077】
つぎに、ペアリング演算を用いたGDH署名について説明する。楕円曲線上のDiffie−Hellman問題に関連して、GDHグループが定義されている。GDHグループについて簡単に説明する。Gをある楕円曲線上の点の集合とする。gを集合Gの要素としたとき、集合Gにおける楕円曲線上のDecisional Diffie−Hellman(DDH)問題とComputational Diffie−Hellman(CDH)問題が以下のように定義される。
【0078】
DDH問題:あるa、b、cという自然数があり、g、ag、bg、cgが与えられた時、c=abかどうかを判定する問題
CDH問題:あるa、b、cという自然数があり、g、ag、bgが与えられた時、abgを計算する問題
【0079】
このとき、DDH問題は、計算量的に簡単であるが、CDH問題は、計算量的に難問である場合、この集合GをGDHグループと定義する。
【0080】
これに対し、ある楕円曲線上の点をP,Qとし、そのP,Qによっては次にあげる性質を持つことができるペアリングと呼ばれるブラックボックス関数e(P,Q)を定義できるものが存在する。
e(aP,bQ)=e(bP,aQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab・・・(1)
【0081】
よって、gがペアリング演算が可能な楕円曲線上の点である場合には、上記の性質から、(1)式にg、ag、bg、cgを入力すると、
e(ag,bg)=e(g,g)ab・・・(2)
e(g,cg)=e(g,g)c・・・(3)
となり、両者の値が一致するかどうかにより、「ab=c」であるかどうかを判定でき、gはGDHグループGの要素となりうる。
【0082】
この性質を利用してGDH署名が構成される。集合Gは、GDHグループであり、gは集合Gの要素となる点とする。また、一方向性ハッシュ関数Hを、通常使用される任意のビット長のサイズの数値データを固定のビット長のサイズの数値データに写像変換される方式とは異なり、
H:{0,1}*→G
のように任意のビット長のサイズの数値データを楕円曲線上の点として表現されるGDHグループGの要素に写像変換する方式であると定義する(例えば、sをSHA−1(plaintext)のように通常使用される一方向性ハッシュ関数としたとき、sgとして表される式は、ここで定義する一方向性ハッシュ関数Hの条件を満たす)。
【0083】
このとき、GDH署名は以下のように定義される。
鍵生成:自然数xを選び、gからv=xgを計算する。xを署名鍵、楕円上の点vを検証鍵とする。
署名:署名者は、メッセージ「m∈{0,1}*」に対しh=H(m)を計算し、さらに自分の署名鍵を用いてσ=xhを計算する。σをmに対する署名として公開する。
検証:検証者は、メッセージmからh=H(m)を計算し、g、v、h、σを準備する。e(g,σ)とe(v,h)を計算し、両者の値が一致したら、署名σは、正しい署名と判定する。
【0084】
このとき、hの値は集合Gの要素となるので、ある自然数yを用いてh=ygと表現できる。その結果、正しく署名が行われていれば(g,v,h,σ)=(g,xg,yg,xyg)となる。したがって、正当な署名であれば上記の検証でのペアリング演算は、e(g,σ)=e(g,xyg)=e(g,g)xy=e(xg,yg)=e(v,h)となり、値が一致することから、検証可能となる。なお、GDHグループの条件であるCDH問題の困難性から、署名鍵xを知らない第三者がg、v、hの値から署名σを導出することは不可能である。
【0085】
<署名方法>
多重署名システム1による署名の手順について、図6を参照しながら説明する。なお、記号の定義は、GDH署名の時に準ずる。
(1)ユーザui(iは、1≦i≦kとなる自然数の符号)に対し、自然数xi(ただしp≠qならxp≠xq)を選び、gからvi=xigを計算する。ここで、xiを署名鍵とし、楕円上の点viを検証鍵として各ノードに割り当てる。以下に説明する第1ノード11には、(署名鍵,検証鍵)=(x1,v1(=x1g))を割り当て、中間ノード212には、(署名鍵,検証鍵)=(x2,v2(=x2g))を割り当て、中間ノード21iには、(署名鍵,検証鍵)=(xi,vi(=xig))を割り当て、最終ノード31には、(署名鍵,検証鍵)=(xk,vk(=xkg))を割り当てる。
【0086】
(2)最初の署名者であるユーザu1(第1ノード11)は、メッセージMに対しハッシュ値(h=H(M))を求め、順序付き多重署名情報(σ1=x1h)を計算する。また、第1ノード11は、署名情報(uniσ1)を求める(第1ノード11では、uniσ1=x1hとする)。また、第1ノード11は、全体検証鍵(vm1)を求める(第1ノード11では、vm1=v1(=x1g)とする)。第1ノード11は、順序付き多重署名情報(σ1)と、署名情報(uniσ1)と、全体検証鍵(vm1)と、自己の検証鍵(v1)を次のユーザu2(中間ノード212)に送信する。
【0087】
(3)2番目のユーザu2(中間ノード212)は、ユーザu1(第1ノード11)から受信した署名情報(uniσ1)に自分の署名鍵(x2)を使って演算を行い(x2(uniσ1)=x1x2h)、当該演算結果と1番目のユーザu1(第1ノード11)から受信した順序付き多重署名情報(σ1)を使って、順序付き多重署名情報(σ2)を計算する。
σ2=σ1+x2(uniσ1)=(x1+x1x2)h ・・・(4)
【0088】
さらに、中間ノード212は、署名情報(uniσ2)を計算する(uniσ2=x2h)。また、中間ノード212は、1番目のユーザu1(第1ノード11)の検証鍵(v1)に自分の署名鍵(x2)を使って演算を行い(x2(v1)=x1x2g)、当該演算結果と1番目のユーザu1(第1ノード11)から受信した全体検証鍵(vm1)を使って、全体検証鍵(vm2)を計算する。
vm2=vm1+x2(v1)=x1g+x1x2g=(x1+x1x2)g ・・・(5)
【0089】
中間ノード212は、順序付き多重署名情報(σ2)と、署名情報(uniσ2)と、全体検証鍵(vm2)と、自己の検証鍵(v2)を次のユーザu3(中間ノード21b)に送信する。
【0090】
(4)i番目のユーザui(中間ノード21i)は、直前のユーザui−1(中間ノード21i−1)から受信した署名情報(uniσi−1)に自分の署名鍵(xi)を使って演算を行い(xi(uniσi−1)=xi−1xih)、当該演算結果と直前のユーザui−1(中間ノード21i−1)から受信した順序付き多重署名情報(σi−1)を使って順序付き多重署名情報(σi)を計算する。
【数1】
【0091】
さらに、中間ノード21iは、署名情報(uniσi)を計算する(uniσi=xih)。また、中間ノード21iは、直前のユーザui−1(中間ノード21i−1)の検証鍵(vi−1)に自分の署名鍵(xi)を使って演算を行い(xi(vi−1)=xi−1xig)、当該演算結果と直前のユーザui−1(中間ノード21i−1)から受信した全体検証鍵(vmi−1)を使って、全体検証鍵(vmi)を計算する。
【数2】
【0092】
中間ノード21iは、順序付き多重署名情報(σi)と、署名情報(uniσi)と、全体検証鍵(vmi)と、自己の検証鍵(vi)を次のユーザui+1(中間ノード21i+1)に送信する。
【0093】
(5)最後のユーザuk(最終ノード31)は、直前のユーザuk−1(中間ノード21k−1)から受信した署名情報(uniσk−1)に自分の署名鍵(xk)を使って演算を行い(xk(uniσk−1)=xk−1xkh)、当該演算結果と直前のユーザuk−1(中間ノード21k−1)から受信した順序付き多重署名情報(σk−1)を使って順序付き多重署名情報(σk)を計算する。
【数3】
【0094】
さらに、最終ノード31は、直前のユーザuk−1(中間ノード21k−1)の検証鍵(vk−1)に自分の署名鍵(xk)を使って演算を行い(xk(vk−1)=xk−1xkg)、当該演算結果と直前のユーザuk−1(中間ノード21k−1)から受信した全体検証鍵(vmk−1)を使って、全体検証鍵(vmk)を計算する。
【数4】
【0095】
最終ノード31は、順序付き多重署名情報(σk)と全体検証鍵(vmk)を全ユーザ(全ノード)の多重署名情報として公開する。
【0096】
<検証方法>
検証ノード41は、以下の手順により検証を行う。
(検証過程1)メッセージmからh=H(m)を求める。
(検証過程2)署名者の検証鍵v1,・・・,vkを集める。
(検証過程3)全体検証鍵(vmk)の正当性を検証する。具体的には、(10)式に基づいて、集めた検証鍵から計算し、この計算結果とe(g,vmk)の値が一致することを確認する。計算結果とe(g,vmk)の値が一致した場合には、全体検証鍵(vmk)の正当性が証明される。
【数5】
(検証過程4)正当性が確認された全体検証鍵(vmk)を使って順序付き多重署名情報(σk)の正当性を検証する。e(g,σk)とe(vmk,h)を計算し、両者の値が一致することを確認する。
【0097】
ここで、検証過程3について詳細に検討する。(11)式に示すように、e(g,vmk)から計算していくと、(12)式から(16)式への展開となり、署名過程が正しく行われていれば(16)式と、(10)式とは一致する。このように、(16)式と(10)式とが一致するか否かを検証することにより、公開されているユーザの検証鍵から全体検証鍵(vmk)の正当性を検証する。
【数6】
【0098】
また、全体検証鍵(vmk)を一つの検証鍵と見なせば、(検証過程4)による検証は、GDH署名の検証と同じ検証を行っていることになり、多重署名の検証が可能となる。
【0099】
また、順序付き多重署名情報(σk)又は全体検証鍵(vmk)の値に着目すると、
x1+x1x2+・・・+xi−1xi+・・・+xk−1xk ・・・(17)
が得られる。
【0100】
この(17)式の第一項は、「x1」のみである(「x1」は、第1ノード11に割り当てられている署名鍵である)。署名鍵の値が一つのみの項は、この第一項のみであることから、ユーザu1が最初の署名者であることが分かる。また、「x1」が含まれる項は、第二項にもあり、これとの積を構成している値が「x2」であることから、次の署名者は、ユーザu2であることが分かる(「x2」は、中間ノード212に割り当てられている署名鍵である)。また、「x2」が含まれる項は、第三項にもあり、これとの積を構成している値が「x3」であることから、第三の署名者は、ユーザu3であることが分かる(「x3」は、中間ノード213に割り当てられている署名鍵である)。
【0101】
このように、各項の確認作業を順に繰り返すことによって、どのような順番で署名されてきたかが分かり、その結果としてユーザukが最後であることが分かる。また、(17)式については、CDH問題や楕円曲線上の離散対数問題から秘密情報である署名鍵を知らない第三者が、「xi−1xi」の式を任意に入れ替えることができないため、第三者による順序の入れ替えは不可能である。
【0102】
また、どんなに署名者が多くなっても、生成される署名情報は、順序付き多重署名情報(σk)と全体検証鍵(vmk)の二つの楕円曲線上の点のみであり、それ以外の情報が付加されることはない。よって、署名のサイズは一定の値以下となる。
【0103】
このようにして、多重署名システム1は、署名サイズの増大を防ぐことができ、かつ検証時の演算を数値演算のみで行える順序付き多重署名が構成でき、メモリコストや計算機の処理負荷の軽減を図ることができる。
【0104】
また、上述で説明した多重署名システム1及び検証システムによる一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されても良いし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されても良い。
【符号の説明】
【0105】
1 多重署名システム
11 第1ノード
12 第1ノード一方向性ハッシュ関数演算部
13 第1ノード順序付き多重署名情報生成部
14 第1ノード署名情報生成部
15 第1ノード全体検証鍵生成部
16 第1ノード送信部
17 記憶部
21 中間ノード
22 中間ノード受信部
23 中間ノード順序付き多重署名情報生成部
24 中間ノード全体検証鍵生成部
25 中間ノード一方向性ハッシュ関数演算部
26 中間ノード署名情報生成部
27 中間ノード送信部
28 記憶部
31 最終ノード
32 最終ノード受信部
33 最終ノード順序付き多重署名情報生成部
34 最終ノード全体検証鍵生成部
35 記憶部
41 検証ノード
42 検証ノード一方向性ハッシュ関数演算部
43 収集部
44 第1の検証部
45 第2の検証部
【特許請求の範囲】
【請求項1】
複数のノード間で順序付きの多重署名を行う多重署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
電子データを自身よりも後の中間ノードに回覧する第1ノードは、
前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成部と、
前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成部と、
前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成部と、
前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信部とを備え、
前記中間ノードは、
前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信部と、
前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成部と、
前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成部と、
前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成部と、
前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信部とを備えることを特徴とする多重署名システム。
【請求項2】
前記中間ノードに含まれており、前記電子データが回覧される最終ノードは、
前記中間ノード受信部と、前記中間ノード順序付き多重署名情報生成部と、前記中間ノード全体検証鍵生成部とにより構成されていることを特徴とする請求項1記載の多重署名システム。
【請求項3】
前記最終ノードは、前記中間ノード順序付き多重署名情報生成部により生成された前記中間ノード順序付き多重署名情報と、前記中間ノード全体検証鍵生成部により生成された前記中間ノード全体検証鍵を公開する公開部を備えることを特徴とする請求項2記載の多重署名システム。
【請求項4】
請求項3に記載の多重署名システムに備えられている公開部により公開された中間ノード順序付き多重署名情報を検証する検証システムにおいて、
電子データに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、
前記電子データの署名を行ったすべてのノードの固有検証鍵を収集する収集部と、
前記収集部により収集された前記すべてのノードの固有検証鍵に基づいて中間ノード全体検証鍵の正当性を検証する第1の検証部と、
前記第1の検証部により正当性が検証された前記中間ノード全体検証鍵に基づいて前記中間ノード順序付き多重署名情報の正当性を検証する第2の検証部とを備えることを特徴とする検証システム。
【請求項5】
複数のノード間で順序付きの多重署名を行う多重署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
電子データを自身よりも後の中間ノードに回覧する第1ノードは、
前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、
前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、
前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、
前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信工程とを備え、
前記中間ノードは、
前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、
前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、
前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、
前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とを備えることを特徴とする多重署名方法。
【請求項6】
複数のノード間で順序付きの多重署名を行う方法をコンピュータによって実現するための多重署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、
前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、
前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、
前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を自身よりも後の中間ノードに送信する第1ノード送信工程とが第1ノードによって実行され、
前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、
前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、
前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、
前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とが前記中間ノードによって実行されるようにコンピュータによって実現するための多重署名プログラム。
【請求項1】
複数のノード間で順序付きの多重署名を行う多重署名システムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
電子データを自身よりも後の中間ノードに回覧する第1ノードは、
前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算部と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成部と、
前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成部と、
前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成部と、
前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信部とを備え、
前記中間ノードは、
前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信部と、
前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成部と、
前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成部と、
前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算部と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成部と、
前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信部とを備えることを特徴とする多重署名システム。
【請求項2】
前記中間ノードに含まれており、前記電子データが回覧される最終ノードは、
前記中間ノード受信部と、前記中間ノード順序付き多重署名情報生成部と、前記中間ノード全体検証鍵生成部とにより構成されていることを特徴とする請求項1記載の多重署名システム。
【請求項3】
前記最終ノードは、前記中間ノード順序付き多重署名情報生成部により生成された前記中間ノード順序付き多重署名情報と、前記中間ノード全体検証鍵生成部により生成された前記中間ノード全体検証鍵を公開する公開部を備えることを特徴とする請求項2記載の多重署名システム。
【請求項4】
請求項3に記載の多重署名システムに備えられている公開部により公開された中間ノード順序付き多重署名情報を検証する検証システムにおいて、
電子データに一方向性ハッシュ関数演算を行う検証ノード一方向性ハッシュ関数演算部と、
前記電子データの署名を行ったすべてのノードの固有検証鍵を収集する収集部と、
前記収集部により収集された前記すべてのノードの固有検証鍵に基づいて中間ノード全体検証鍵の正当性を検証する第1の検証部と、
前記第1の検証部により正当性が検証された前記中間ノード全体検証鍵に基づいて前記中間ノード順序付き多重署名情報の正当性を検証する第2の検証部とを備えることを特徴とする検証システム。
【請求項5】
複数のノード間で順序付きの多重署名を行う多重署名方法であって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
電子データを自身よりも後の中間ノードに回覧する第1ノードは、
前記電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、
前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、
前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、
前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を前記中間ノードに送信する第1ノード送信工程とを備え、
前記中間ノードは、
前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、
前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、
前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、
前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とを備えることを特徴とする多重署名方法。
【請求項6】
複数のノード間で順序付きの多重署名を行う方法をコンピュータによって実現するための多重署名プログラムであって、各ノードには予め重複しない固有署名鍵と固有検証鍵がそれぞれ割り当てられており、
電子データに一方向性ハッシュ関数演算を行う第1ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に第1ノード自身の固有署名鍵により演算を行って第1ノード順序付き多重署名情報を生成する第1ノード順序付き多重署名情報生成工程と、
前記第1ノード順序付き多重署名情報から第1ノード署名情報を生成する第1ノード署名情報生成工程と、
前記第1ノード自身の固有検証鍵から第1ノード全体検証鍵を生成する第1ノード全体検証鍵生成工程と、
前記電子データと、前記第1ノード順序付き多重署名情報と、前記第1ノード自身の固有検証鍵と、前記第1ノード署名情報と、前記第1ノード全体検証鍵を自身よりも後の中間ノードに送信する第1ノード送信工程とが第1ノードによって実行され、
前記電子データと、直前のノードにより生成された直前ノード署名情報と、直前のノードにより生成された直前ノード順序付き多重署名情報と、直前のノードにより生成された直前ノード全体検証鍵と、直前のノードの固有検証鍵を受信する中間ノード受信工程と、
前記直前ノード署名情報に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード順序付き多重署名情報を用いて中間ノード順序付き多重署名情報を生成する中間ノード順序付き多重署名情報生成工程と、
前記直前のノード自身の固有検証鍵に中間ノード自身の固有署名鍵により演算を行い、当該演算の結果に前記直前ノード全体検証鍵を用いて中間ノード全体検証鍵を生成する中間ノード全体検証鍵生成工程と、
前記電子データに一方向性ハッシュ関数演算を行う中間ノード一方向性ハッシュ関数演算工程と、
前記一方向性ハッシュ関数演算により得られたハッシュ値に前記中間ノード自身の固有署名鍵により演算を行って中間ノード署名情報を生成する中間ノード署名情報生成工程と、
前記電子データと、前記中間ノード順序付き多重署名情報と、前記中間ノード自身の固有検証鍵と、前記中間ノード署名情報と、前記中間ノード全体検証鍵を次のノードに送信する中間ノード送信工程とが前記中間ノードによって実行されるようにコンピュータによって実現するための多重署名プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−29783(P2011−29783A)
【公開日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願番号】特願2009−171390(P2009−171390)
【出願日】平成21年7月22日(2009.7.22)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願日】平成21年7月22日(2009.7.22)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]