署名・検証システム、署名・検証方法、署名装置、検証装置、プログラム、記録媒体
【課題】署名長が短く、署名生成と署名検証の計算量がより少な署名方法を提供する。
【解決手段】本発明の署名・検証システムは、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとする。本発明の署名装置は、少なくとも署名記録部、コミットメント群要素選択部、コミットメント乱数生成部、コミットメント計算部、鍵乱数生成部、鍵計算部、鍵群要素選択部、鍵ランダマイズ部、鍵生成部、メッセージ取得部、署名乱数生成部、署名計算部、署名出力部を備える。検証装置は、検証入力部、検証確認部、検証出力部を備える。
【解決手段】本発明の署名・検証システムは、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとする。本発明の署名装置は、少なくとも署名記録部、コミットメント群要素選択部、コミットメント乱数生成部、コミットメント計算部、鍵乱数生成部、鍵計算部、鍵群要素選択部、鍵ランダマイズ部、鍵生成部、メッセージ取得部、署名乱数生成部、署名計算部、署名出力部を備える。検証装置は、検証入力部、検証確認部、検証出力部を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主に電気通信を介したメッセージの授受の際に用いる署名・検証システム、署名・検証方法、署名装置、検証装置、プログラム、記録媒体に関する。
【背景技術】
【0002】
デジタル署名はメッセージmに対して、公開鍵pkに対応する秘密鍵skを知る署名者が、メッセージmに対して秘密鍵skを正しく使ったときにのみ計算できる値sを算出し、これを電子的な署名として用いるものである。正しく計算された署名は誰でも公開鍵pkを用いてその正当性を検証でき、秘密鍵skを知らないいかなる第三者も正当な署名sを算出することはできない。
【0003】
デジタル署名は、電子現金やクレデンシャルシステムなど様々な暗号プロトコルにおいて基本的な構成要素として利用されている。特に、利用者のプライバシーを必要とする応用においては、ゼロ知識証明と組み合わせることにより署名sを明かさないまま、あるメッセージmに対する正しい署名sを保持しているという事実を任意の第三者に納得させるなど、高度な利用形態がしばしば見受けられる。
【0004】
近年のペアリング技術の進展によって、群の要素がある関係を満たすという事実を効率的に証明するゼロ知識証明が構成可能になった(非特許文献1)。これによって、署名sが効率的なペアリングを持つ群Gの要素である場合、即ちs∈Gである場合、前述のように署名sを明かさないまま、正しい署名sを保持しているという事実を証明することが可能である。例えば、非特許文献2に示されている、いわゆるCL-Signatureと呼ばれる方法では、メッセージm∈Zqに対する署名sは3つの群要素(a,b,c)∈G3から構成されている。
【0005】
しかしながら、CL-signatureのように、ランダムオラクル等の(実現不可能と知られている)理想化された構成要素を用いず、数論的な仮定のみによって安全性が証明できる既存の署名方法では、メッセージmが群Gの要素ではない。そのため、メッセージを秘匿した状態で、その秘匿したメッセージに対する正しい署名を保持していることを証明するという応用には供さない。メッセージが群Gの要素である場合にも安全な署名方法として、上記のCL-Signatureを改良した方式が非特許文献3に示されており、ランダムメッセージ攻撃に対して安全であることが示されているが、より強い選択メッセージ攻撃に対する安全性は不明である。
【0006】
メッセージが群要素であって、選択メッセージ攻撃に強いことが証明されている方法として、非特許文献4に示された方法がある。この方法を以下に説明する。図1は署名・検証システムの構成例を示す図であり、図2は署名装置の処理フローを示す図、図3は検証装置の処理フローを示す図である。署名・検証システムは、ネットワーク800に接続された署名装置700と検証装置900で構成される。
【0007】
v=(q,G,GT,e,g)を公開パラメータとする。qは大きな素数、G,GTは位数qの群、eはG×G→GTの効率的な計算が可能なペアリング、gを群Gの任意の生成元、F,H,K,Tを群Gの生成元とする。また、メッセージは群要素の対(M,N)∈G2であって、e(M,H)=e(g,N)を満たすものに限られているとする。
【0008】
署名装置700は、1以上q−1以下のランダムな整数xを生成する(S710)。そして、X=xg、Y=xHを計算し(S720)、(v,xg,xH)を公開鍵pkとし、xを秘密鍵skとする(S730)。
【0009】
署名装置700は、1以上q−1以下の乱数c,rを生成し(S750)、
【0010】
【数1】
【0011】
a2=cg
a3=cF
a4=rg
a5=rH
を計算する(S760)。そして、5つの組(a1,a2,a3,a4,a5)∈G5を署名σとする(S770)。
【0012】
検証装置900は、ネットワーク800を介して署名σを受け取る(S910)。そして、メッセージ対(M,N)と署名σに対して、
e(a1,X+a2)=e(K+M,g)e(T,a4)であること、
e(a2,F)=e(g,a3)であること、
e(a4,H)=e(g,a5)であること、
e(M,H)=e(g,N)であること、
e(X,H)=e(g,Y)であること
を確認する(S920)。そして、すべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する(S930)。
【先行技術文献】
【非特許文献】
【0013】
【非特許文献1】Jens Groth and AmitSahai, “Efficient Non-interactive Proof Systems for Bilinear Groups”, Eurocrypt 2008, LNCS 2965, pp.415-432.
【非特許文献2】Jan Camenisch and Anna Lysyanskaya, “Signature Schemes and Anonymous Credentials from Bilinear Maps”, Crypto 2004, LNCS 3152, pp.56-72.
【非特許文献3】Matthew Green and Susan Hohenberger, “Universally Composable Adaptive Oblivious Transfer”, IACR e-Print archive, 2008/163 [平成22年2月5日検索]、インターネット<URL: http://eprint.iacr.org/cgi-bin/getfile.pl?entry=2008/163&version=20080806:150034&file=163.pdf>.
【非特許文献4】Georg Fuchsbauer, “AutomorphicSignatures in Bilinear Groups”, IACR e-print 200/320 [平成22年2月5日検索]、インターネット<URL: http://eprint.iacr.org/2009/320.pdf>.
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかしながら、従来技術は署名・検証システムでは、署名が群Gの5つの要素からなり、また、検証においては5つのペアリングの等式を確認するため、効率が悪いという課題がある。また、メッセージは群要素の対(M,N)∈G2であって、e(M,H)=e(g,N)を満たさなければならないという制約がある。
【0015】
そこで、本発明では、署名長が短く、署名生成と署名検証の計算量がより少な署名方法を提供することを目的とする。
【課題を解決するための手段】
【0016】
本発明の署名・検証システムは、群要素の複数メッセージに対して署名生成と署名検証を行う。まず、G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とする。本発明の署名・検証システムは、署名装置と検証装置で構成される。署名装置は、署名記録部、コミットメント群要素選択部、コミットメント乱数生成部、コミットメント計算部、CRS生成部、鍵乱数生成部、鍵計算部、鍵群要素選択部、鍵ランダマイズ部、鍵生成部、メッセージ取得部、署名乱数生成部、署名計算部、署名ランダマイズ部、署名出力部を備える。検証装置は、検証入力部、検証確認部、検証出力部を備える。署名記録部は、p,G1,G2,GT,eを記録する。コミットメント群要素選択部は、群G2の生成元g0,h0をランダムに選択する。コミットメント乱数生成部は、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成する。コミットメント計算部は、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算する。CRS生成部は、(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRS(Common Reference String)として設定し、(x1,y1,…,xK,yK)をトラップドアτとする。鍵乱数生成部は、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する。鍵計算部は、
gz=g0^αz、
hz=g0^βz、
を計算する。鍵群要素選択部は、群G2の生成元gsをランダムに選択する。鍵ランダマイズ部は、
【0017】
【数2】
【0018】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める。鍵生成部は、(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する。メッセージ取得部は、群G2上の1以外の元であるメッセージm1,…,mKを受け取る。署名乱数生成部は、1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する。署名計算部は、
【0019】
【数3】
【0020】
を計算する。署名ランダマイズ部は、
【0021】
【数4】
【0022】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める。署名出力部は、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する。検証装置の検証入力部は、メッセージm1,…,mKと署名σとを受信する。検証確認部は、
【0023】
【数5】
【0024】
で得られるA,Bに対して、
【0025】
【数6】
【0026】
であることを確認する。検証出力部は、検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する。
【発明の効果】
【0027】
本発明の署名・検証システムは、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとしている。
【0028】
したがって、本発明の署名・検証システムによれば、群要素の複数メッセージに対して、ここに署名を生成するよりも、署名長を短くでき、署名生成と署名検証に必要な計算量を少なくできる。
【図面の簡単な説明】
【0029】
【図1】従来の署名・検証システムの構成例を示す図。
【図2】従来の署名装置の処理フローを示す図。
【図3】従来の検証装置の処理フローを示す図。
【図4】実施例1、実施例1変形例1、実施例1変形例2の署名・検証システムの機能構成例を示す図。
【図5】実施例1、実施例1変形例1、実施例1変形例2の署名装置の処理フローを示す図。
【図6】本発明の検証装置の処理フローを示す図。
【図7】実施例2の署名・検証システムの機能構成例を示す図。
【図8】実施例2の署名装置の処理フローを示す図。
【発明を実施するための形態】
【0030】
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
【実施例1】
【0031】
図4に実施例1の署名・検証システムの機能構成例を、図5に実施例1の署名装置の処理フローを、図6に実施例1の検証装置の処理フローを示す。この署名・検証システムは、ネットワーク800で接続された署名装置100と検証装置200で構成され、群要素の複数メッセージに対して署名生成と署名検証を行う。なお、署名装置100で生成された署名を、記録媒体で検証装置200に渡す場合には署名装置100と検証装置200はネットワーク800で接続されている必要はない。
【0032】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とする。署名装置100は、コミットメント群要素選択部110、コミットメント乱数生成部115、コミットメント計算部120、CRS生成部125、鍵乱数生成部130、鍵計算部135、鍵群要素選択部140、鍵ランダマイズ部145、鍵生成部150、メッセージ取得部155、署名乱数生成部160、署名計算部165、署名ランダマイズ部170、署名出力部175、署名記録部190を備える。検証装置200は、検証入力部210、検証確認部220、検証出力部230を備える。
【0033】
署名記録部190は、あらかじめp,G1,G2,GT,eを記録しておく。コミットメント群要素選択部110は、群G2の生成元g0,h0をランダムに選択する(S110)。コミットメント乱数生成部115は、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成する(S115)。コミットメント計算部120は、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算する(S120)。CRS生成部125は、コミットメント鍵ck(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRS(Common Reference String)として設定し、(x1,y1,…,xK,yK)をトラップドアτとする(S125)。鍵乱数生成部130は、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する(S130)。
【0034】
鍵計算部135は、
gz=g0^αz、
hz=g0^βz、
を計算する(S135)。鍵群要素選択部140は、群G2の生成元gsをランダムに選択する(S140)。鍵ランダマイズ部145は、
【0035】
【数7】
【0036】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める(S145)。鍵生成部150は、(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する(S150)。
【0037】
メッセージ取得部155は、群G2上の1以外の元であるメッセージm1,…,mKを受け取る(S155)。なお、「メッセージm1,…,mKを受け取る」とは、何らかの方法でメッセージm1,…,mKが利用できる状態になることであり、外部から入力されたメッセージm1,…,mKを受信することや、署名記録部190などにあらかじめ記録しておいたメッセージm1,…,mKを読み出すことなどを含む意味である。署名乱数生成部160は、1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する(S160)。署名計算部165は、
【0038】
【数8】
【0039】
を計算する(S165)。署名ランダマイズ部170は、
【0040】
【数9】
【0041】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める(S170)。署名出力部175は、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する(S175)。
【0042】
ここで、鍵ランダマイズ部145と署名ランダマイズ部170の具体例について説明する。ここでは、入力される数値の組合せを(x1,y1),(x2,y2),…,(xK,yK)、出力される数値の組合せを(x’1,y’1),(x’2,y’2),…,(x’K,y’K)とする。つまり、この説明では、鍵ランダマイズ部145と署名ランダマイズ部170は、e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求める。なお、この具体例ではy’1=y1,x’K=xKである。鍵ランダマイズ部145と署名ランダマイズ部170は、ランダマイズ乱数生成手段146,171とランダマイズ実行手段147,172とを備える。ランダマイズ乱数生成手段146,171は、1以上p−1以下のランダムな整数γ1,…,γK−1を生成する(S146,S171)。ランダマイズ実行手段147,172は、以下のような処理をk=1からk=K−1まで順番に行う。
【0043】
(1)y’k≠1,xk+1≠1であることを確認する。y’k=1の場合は、(xk,y’k)を入れ替える処理などによって、処理後のy’kの値を1以外にする。また、xk+1=1の場合も、(xk+1,yk+1)を入れ替える処理などによって、処理後のxk+1の値を1以外にする。
【0044】
(2)e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする。
【0045】
このような処理によって、(x1,y1),(x2,y2),…,(xK,yK)を(x’1,y’1),(x’2,y’2),…,(x’K,y’K)にランダマイズする。なお、ランダマイズとは、演算結果が同一になるような別の数値の組合せに書き換えることである。ランダマイズ乱数生成手段146,171が整数γ1,…,γK−1を偏りがないようにランダムに生成(uniformに選択)することによって、ペアリングe(x’k,y’k)も群GT上にuniformに分布させることができる。
【0046】
次に、検証装置200について説明する。検証入力部210は、メッセージm1,…,mKと署名σとを取得する(S210)。例えば、図4のようにネットワーク800に接続されている場合であれば、検証入力部210は、メッセージm1,…,mKと署名σとを受信する。ネットワークに接続されていない場合であれば、メッセージm1,…,mKと署名σとを記録媒体から受け取る。検証確認部220は、
【0047】
【数10】
【0048】
で得られる値A,Bに対して、
【0049】
【数11】
【0050】
であることを確認する(S220)。なお、式(1)の計算は、検証確認部220がステップS220の中で計算してもよいし、あらかじめ検証鍵vkの要素を利用して計算しておいてもよい。もしくは、鍵生成部150がステップS150の中で式(1)を用いて値A,Bを求め、検証鍵vkの一部として値A,Bを公開してもよい。検証出力部230は、検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する(S230)。例えば、署名が正しいことを示す情報として“1”を出力し、署名が正しくないことを示す情報として“0”を出力すればよい。
【0051】
実施例1の署名・検証システムは、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとしている。したがって、実施例1の署名・検証システムによれば、群要素の複数メッセージに対して、ここに署名を生成するよりも、署名長を短くでき、署名生成と署名検証に必要な計算量を少なくできる。
【0052】
シミュレーション
鍵生成部150が、K個の“1”からなるデフォルトのメッセージm={1,1,…,1}に対する参照署名σ0を検証鍵vkに含めておく。そして、検証鍵vkから参照署名σ0を引き出し、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})のそれぞれの値とする。そして、
【0053】
【数12】
【0054】
を計算し、(z,t’,w’,{r1,s1,u1,v1},…,{rK,sK,uK,vK})をメッセージm1,…,mKの署名σとして出力する。
【0055】
このように、本発明の署名・検証システムであれば、より高い安全性証明を行う際に必要となる“シミュレーション”の実行も可能になるという効果が得られる。
【0056】
[変形例1]
本変形例では、署名装置の処理を軽減する変更を行う。図4、5を参照して変更点についてのみ説明する。署名装置100’は、鍵乱数生成部130’、鍵ランダマイズ部145’、鍵生成部150’が実施例1の署名装置100と異なる。
【0057】
鍵乱数生成部130’は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成する(S130’)。鍵ランダマイズ部145’は、
【0058】
【数13】
【0059】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求める(S145’)。鍵生成部150’は、秘密鍵skを(gs,αz,βz,α1,β1)とする(S150’)。その他の構成部と処理フローは実施例1と同じである。
【0060】
本変形例の署名装置では、αk=βk=0(k=0,2,…,K)としたことによって、計算量を減らすことができる。したがって、本変形例の署名・検証システムも実施例1と同様の効果が得られ、かつ署名装置の処理を軽減できる。
【0061】
[変形例2]
変形例1は、ランダムな整数α0,…,αKと整数β0,…,βKの中のα1,β1を0以外としたが、他の整数を0以外としてもよい。本変形例では、αj,βjを0以外とし、αk=βk=0(k=0,…,K ただし、k≠j)とする。図4、5を参照して変更点についてのみ説明する。署名装置100”は、鍵乱数生成部130”、鍵ランダマイズ部145”、鍵生成部150”が実施例1の署名装置100と異なる。
【0062】
鍵乱数生成部130”は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成する(S130”)。鍵ランダマイズ部145”は、
【0063】
【数14】
【0064】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求める(S145”)。鍵生成部150”は、秘密鍵skを(gs,αz,βz,αj,βj)とする(S150”)。その他の構成部と処理フローは実施例1と同じである。
【0065】
本変形例の署名装置では、αk=βk=0(k=0,…,K ただし、k≠j)としたことによって、計算量を減らすことができる。したがって、本変形例の署名・検証システムも実施例1と同様の効果が得られ、かつ署名装置の処理を軽減できる。
【実施例2】
【0066】
図7に実施例2の署名・検証システムの機能構成例を、図8に実施例2の署名装置の処理フローを、図6に実施例2の検証装置の処理フローを示す。この署名・検証システムは、ネットワーク800で接続された署名装置300と検証装置400で構成され、群要素の複数メッセージに対して署名生成と署名検証を行う。なお、署名装置300で生成された署名を、記録媒体で検証装置400に渡す場合には署名装置300と検証装置400はネットワーク800で接続されている必要はない。
【0067】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とする。署名装置300は、コミットメント群要素選択部110、コミットメント乱数生成部115、コミットメント計算部120、鍵乱数生成部330、鍵計算部135、鍵群要素選択部140、鍵ランダマイズ部345、鍵生成部350、メッセージ取得部155、署名乱数生成部360、署名計算部365、署名出力部375、署名記録部390を備える。検証装置400は、検証入力部410、検証確認部420、検証出力部230を備える。
【0068】
署名記録部390は、あらかじめp,G1,G2,GT,eを記録しておく。コミットメント群要素選択部110は、群G2の生成元g0,h0をランダムに選択する(S110)。コミットメント乱数生成部115は、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成する(S115)。コミットメント計算部120は、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算する(S120)。鍵乱数生成部330は、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する(S330)。鍵計算部135は、
gz=g0^αz、
hz=g0^βz、
を計算する(S135)。鍵群要素選択部140は、群G2の生成元gsをランダムに選択する(S135)。鍵ランダマイズ部は345、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める(S345)。鍵生成部350は、(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する(S350)。
【0069】
メッセージ取得部155は、群G2上の1以外の元であるメッセージm1,…,mKを受け取る(S155)。なお、「メッセージm1,…,mKを受け取る」とは、何らかの方法でメッセージm1,…,mKが利用できる状態になることであり、外部から入力されたメッセージm1,…,mKを受信することや、署名記録部390などにあらかじめ記録しておいたメッセージm1,…,mKを読み出すことなどを含む意味である。署名乱数生成部360は、1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する(S360)。署名計算部365は、
【0070】
【数15】
【0071】
を計算する(S365)。署名出力部375は、(z,t,w,r,s,u,v)を署名σとして出力する。
【0072】
次に、検証装置400の処理について説明する。検証入力部410は、メッセージm1,…,mKと署名σとを取得する(S410)。検証確認部420は、
【0073】
【数16】
【0074】
であることを確認する(S420)。検証出力部230は、検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する。例えば、署名が正しいことを示す情報として“1”を出力し、署名が正しくないことを示す情報として“0”を出力すればよい。
【0075】
実施例2の署名・検証システムも、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとしている。したがって、実施例2の署名・検証システムによれば、群要素の複数メッセージに対して、ここに署名を生成するよりも、署名長を短くでき、署名生成と署名検証に必要な計算量を少なくできる。
【0076】
プログラム、記録媒体
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
【0077】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
【0078】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0079】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
【0080】
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【産業上の利用可能性】
【0081】
本発明は、電子データの正当性を証明するために利用することができる。
【符号の説明】
【0082】
100、100’、100”、300、700 署名装置
110 コミットメント群要素選択部
115 コミットメント乱数生成部
120 コミットメント計算部 125 CRS生成部
130、130’、130”、330 鍵乱数生成部
135 鍵計算部 140 鍵群要素選択部
145、145’、145”、345 鍵ランダマイズ部
146,171 ランダマイズ乱数生成手段
147,172 ランダマイズ実行手段
150、150’、150”、350 鍵生成部
155 メッセージ取得部 160、360 署名乱数生成部
165、365 署名計算部 170 署名ランダマイズ部
175、375 署名出力部 190、390 署名記録部
200、400、900 検証装置 210、410 検証入力部
220、420 検証確認部 230 検証出力部
800 ネットワーク
【技術分野】
【0001】
本発明は、主に電気通信を介したメッセージの授受の際に用いる署名・検証システム、署名・検証方法、署名装置、検証装置、プログラム、記録媒体に関する。
【背景技術】
【0002】
デジタル署名はメッセージmに対して、公開鍵pkに対応する秘密鍵skを知る署名者が、メッセージmに対して秘密鍵skを正しく使ったときにのみ計算できる値sを算出し、これを電子的な署名として用いるものである。正しく計算された署名は誰でも公開鍵pkを用いてその正当性を検証でき、秘密鍵skを知らないいかなる第三者も正当な署名sを算出することはできない。
【0003】
デジタル署名は、電子現金やクレデンシャルシステムなど様々な暗号プロトコルにおいて基本的な構成要素として利用されている。特に、利用者のプライバシーを必要とする応用においては、ゼロ知識証明と組み合わせることにより署名sを明かさないまま、あるメッセージmに対する正しい署名sを保持しているという事実を任意の第三者に納得させるなど、高度な利用形態がしばしば見受けられる。
【0004】
近年のペアリング技術の進展によって、群の要素がある関係を満たすという事実を効率的に証明するゼロ知識証明が構成可能になった(非特許文献1)。これによって、署名sが効率的なペアリングを持つ群Gの要素である場合、即ちs∈Gである場合、前述のように署名sを明かさないまま、正しい署名sを保持しているという事実を証明することが可能である。例えば、非特許文献2に示されている、いわゆるCL-Signatureと呼ばれる方法では、メッセージm∈Zqに対する署名sは3つの群要素(a,b,c)∈G3から構成されている。
【0005】
しかしながら、CL-signatureのように、ランダムオラクル等の(実現不可能と知られている)理想化された構成要素を用いず、数論的な仮定のみによって安全性が証明できる既存の署名方法では、メッセージmが群Gの要素ではない。そのため、メッセージを秘匿した状態で、その秘匿したメッセージに対する正しい署名を保持していることを証明するという応用には供さない。メッセージが群Gの要素である場合にも安全な署名方法として、上記のCL-Signatureを改良した方式が非特許文献3に示されており、ランダムメッセージ攻撃に対して安全であることが示されているが、より強い選択メッセージ攻撃に対する安全性は不明である。
【0006】
メッセージが群要素であって、選択メッセージ攻撃に強いことが証明されている方法として、非特許文献4に示された方法がある。この方法を以下に説明する。図1は署名・検証システムの構成例を示す図であり、図2は署名装置の処理フローを示す図、図3は検証装置の処理フローを示す図である。署名・検証システムは、ネットワーク800に接続された署名装置700と検証装置900で構成される。
【0007】
v=(q,G,GT,e,g)を公開パラメータとする。qは大きな素数、G,GTは位数qの群、eはG×G→GTの効率的な計算が可能なペアリング、gを群Gの任意の生成元、F,H,K,Tを群Gの生成元とする。また、メッセージは群要素の対(M,N)∈G2であって、e(M,H)=e(g,N)を満たすものに限られているとする。
【0008】
署名装置700は、1以上q−1以下のランダムな整数xを生成する(S710)。そして、X=xg、Y=xHを計算し(S720)、(v,xg,xH)を公開鍵pkとし、xを秘密鍵skとする(S730)。
【0009】
署名装置700は、1以上q−1以下の乱数c,rを生成し(S750)、
【0010】
【数1】
【0011】
a2=cg
a3=cF
a4=rg
a5=rH
を計算する(S760)。そして、5つの組(a1,a2,a3,a4,a5)∈G5を署名σとする(S770)。
【0012】
検証装置900は、ネットワーク800を介して署名σを受け取る(S910)。そして、メッセージ対(M,N)と署名σに対して、
e(a1,X+a2)=e(K+M,g)e(T,a4)であること、
e(a2,F)=e(g,a3)であること、
e(a4,H)=e(g,a5)であること、
e(M,H)=e(g,N)であること、
e(X,H)=e(g,Y)であること
を確認する(S920)。そして、すべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する(S930)。
【先行技術文献】
【非特許文献】
【0013】
【非特許文献1】Jens Groth and AmitSahai, “Efficient Non-interactive Proof Systems for Bilinear Groups”, Eurocrypt 2008, LNCS 2965, pp.415-432.
【非特許文献2】Jan Camenisch and Anna Lysyanskaya, “Signature Schemes and Anonymous Credentials from Bilinear Maps”, Crypto 2004, LNCS 3152, pp.56-72.
【非特許文献3】Matthew Green and Susan Hohenberger, “Universally Composable Adaptive Oblivious Transfer”, IACR e-Print archive, 2008/163 [平成22年2月5日検索]、インターネット<URL: http://eprint.iacr.org/cgi-bin/getfile.pl?entry=2008/163&version=20080806:150034&file=163.pdf>.
【非特許文献4】Georg Fuchsbauer, “AutomorphicSignatures in Bilinear Groups”, IACR e-print 200/320 [平成22年2月5日検索]、インターネット<URL: http://eprint.iacr.org/2009/320.pdf>.
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかしながら、従来技術は署名・検証システムでは、署名が群Gの5つの要素からなり、また、検証においては5つのペアリングの等式を確認するため、効率が悪いという課題がある。また、メッセージは群要素の対(M,N)∈G2であって、e(M,H)=e(g,N)を満たさなければならないという制約がある。
【0015】
そこで、本発明では、署名長が短く、署名生成と署名検証の計算量がより少な署名方法を提供することを目的とする。
【課題を解決するための手段】
【0016】
本発明の署名・検証システムは、群要素の複数メッセージに対して署名生成と署名検証を行う。まず、G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とする。本発明の署名・検証システムは、署名装置と検証装置で構成される。署名装置は、署名記録部、コミットメント群要素選択部、コミットメント乱数生成部、コミットメント計算部、CRS生成部、鍵乱数生成部、鍵計算部、鍵群要素選択部、鍵ランダマイズ部、鍵生成部、メッセージ取得部、署名乱数生成部、署名計算部、署名ランダマイズ部、署名出力部を備える。検証装置は、検証入力部、検証確認部、検証出力部を備える。署名記録部は、p,G1,G2,GT,eを記録する。コミットメント群要素選択部は、群G2の生成元g0,h0をランダムに選択する。コミットメント乱数生成部は、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成する。コミットメント計算部は、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算する。CRS生成部は、(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRS(Common Reference String)として設定し、(x1,y1,…,xK,yK)をトラップドアτとする。鍵乱数生成部は、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する。鍵計算部は、
gz=g0^αz、
hz=g0^βz、
を計算する。鍵群要素選択部は、群G2の生成元gsをランダムに選択する。鍵ランダマイズ部は、
【0017】
【数2】
【0018】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める。鍵生成部は、(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する。メッセージ取得部は、群G2上の1以外の元であるメッセージm1,…,mKを受け取る。署名乱数生成部は、1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する。署名計算部は、
【0019】
【数3】
【0020】
を計算する。署名ランダマイズ部は、
【0021】
【数4】
【0022】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める。署名出力部は、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する。検証装置の検証入力部は、メッセージm1,…,mKと署名σとを受信する。検証確認部は、
【0023】
【数5】
【0024】
で得られるA,Bに対して、
【0025】
【数6】
【0026】
であることを確認する。検証出力部は、検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する。
【発明の効果】
【0027】
本発明の署名・検証システムは、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとしている。
【0028】
したがって、本発明の署名・検証システムによれば、群要素の複数メッセージに対して、ここに署名を生成するよりも、署名長を短くでき、署名生成と署名検証に必要な計算量を少なくできる。
【図面の簡単な説明】
【0029】
【図1】従来の署名・検証システムの構成例を示す図。
【図2】従来の署名装置の処理フローを示す図。
【図3】従来の検証装置の処理フローを示す図。
【図4】実施例1、実施例1変形例1、実施例1変形例2の署名・検証システムの機能構成例を示す図。
【図5】実施例1、実施例1変形例1、実施例1変形例2の署名装置の処理フローを示す図。
【図6】本発明の検証装置の処理フローを示す図。
【図7】実施例2の署名・検証システムの機能構成例を示す図。
【図8】実施例2の署名装置の処理フローを示す図。
【発明を実施するための形態】
【0030】
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
【実施例1】
【0031】
図4に実施例1の署名・検証システムの機能構成例を、図5に実施例1の署名装置の処理フローを、図6に実施例1の検証装置の処理フローを示す。この署名・検証システムは、ネットワーク800で接続された署名装置100と検証装置200で構成され、群要素の複数メッセージに対して署名生成と署名検証を行う。なお、署名装置100で生成された署名を、記録媒体で検証装置200に渡す場合には署名装置100と検証装置200はネットワーク800で接続されている必要はない。
【0032】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とする。署名装置100は、コミットメント群要素選択部110、コミットメント乱数生成部115、コミットメント計算部120、CRS生成部125、鍵乱数生成部130、鍵計算部135、鍵群要素選択部140、鍵ランダマイズ部145、鍵生成部150、メッセージ取得部155、署名乱数生成部160、署名計算部165、署名ランダマイズ部170、署名出力部175、署名記録部190を備える。検証装置200は、検証入力部210、検証確認部220、検証出力部230を備える。
【0033】
署名記録部190は、あらかじめp,G1,G2,GT,eを記録しておく。コミットメント群要素選択部110は、群G2の生成元g0,h0をランダムに選択する(S110)。コミットメント乱数生成部115は、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成する(S115)。コミットメント計算部120は、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算する(S120)。CRS生成部125は、コミットメント鍵ck(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRS(Common Reference String)として設定し、(x1,y1,…,xK,yK)をトラップドアτとする(S125)。鍵乱数生成部130は、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する(S130)。
【0034】
鍵計算部135は、
gz=g0^αz、
hz=g0^βz、
を計算する(S135)。鍵群要素選択部140は、群G2の生成元gsをランダムに選択する(S140)。鍵ランダマイズ部145は、
【0035】
【数7】
【0036】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める(S145)。鍵生成部150は、(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する(S150)。
【0037】
メッセージ取得部155は、群G2上の1以外の元であるメッセージm1,…,mKを受け取る(S155)。なお、「メッセージm1,…,mKを受け取る」とは、何らかの方法でメッセージm1,…,mKが利用できる状態になることであり、外部から入力されたメッセージm1,…,mKを受信することや、署名記録部190などにあらかじめ記録しておいたメッセージm1,…,mKを読み出すことなどを含む意味である。署名乱数生成部160は、1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する(S160)。署名計算部165は、
【0038】
【数8】
【0039】
を計算する(S165)。署名ランダマイズ部170は、
【0040】
【数9】
【0041】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める(S170)。署名出力部175は、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する(S175)。
【0042】
ここで、鍵ランダマイズ部145と署名ランダマイズ部170の具体例について説明する。ここでは、入力される数値の組合せを(x1,y1),(x2,y2),…,(xK,yK)、出力される数値の組合せを(x’1,y’1),(x’2,y’2),…,(x’K,y’K)とする。つまり、この説明では、鍵ランダマイズ部145と署名ランダマイズ部170は、e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求める。なお、この具体例ではy’1=y1,x’K=xKである。鍵ランダマイズ部145と署名ランダマイズ部170は、ランダマイズ乱数生成手段146,171とランダマイズ実行手段147,172とを備える。ランダマイズ乱数生成手段146,171は、1以上p−1以下のランダムな整数γ1,…,γK−1を生成する(S146,S171)。ランダマイズ実行手段147,172は、以下のような処理をk=1からk=K−1まで順番に行う。
【0043】
(1)y’k≠1,xk+1≠1であることを確認する。y’k=1の場合は、(xk,y’k)を入れ替える処理などによって、処理後のy’kの値を1以外にする。また、xk+1=1の場合も、(xk+1,yk+1)を入れ替える処理などによって、処理後のxk+1の値を1以外にする。
【0044】
(2)e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする。
【0045】
このような処理によって、(x1,y1),(x2,y2),…,(xK,yK)を(x’1,y’1),(x’2,y’2),…,(x’K,y’K)にランダマイズする。なお、ランダマイズとは、演算結果が同一になるような別の数値の組合せに書き換えることである。ランダマイズ乱数生成手段146,171が整数γ1,…,γK−1を偏りがないようにランダムに生成(uniformに選択)することによって、ペアリングe(x’k,y’k)も群GT上にuniformに分布させることができる。
【0046】
次に、検証装置200について説明する。検証入力部210は、メッセージm1,…,mKと署名σとを取得する(S210)。例えば、図4のようにネットワーク800に接続されている場合であれば、検証入力部210は、メッセージm1,…,mKと署名σとを受信する。ネットワークに接続されていない場合であれば、メッセージm1,…,mKと署名σとを記録媒体から受け取る。検証確認部220は、
【0047】
【数10】
【0048】
で得られる値A,Bに対して、
【0049】
【数11】
【0050】
であることを確認する(S220)。なお、式(1)の計算は、検証確認部220がステップS220の中で計算してもよいし、あらかじめ検証鍵vkの要素を利用して計算しておいてもよい。もしくは、鍵生成部150がステップS150の中で式(1)を用いて値A,Bを求め、検証鍵vkの一部として値A,Bを公開してもよい。検証出力部230は、検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する(S230)。例えば、署名が正しいことを示す情報として“1”を出力し、署名が正しくないことを示す情報として“0”を出力すればよい。
【0051】
実施例1の署名・検証システムは、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとしている。したがって、実施例1の署名・検証システムによれば、群要素の複数メッセージに対して、ここに署名を生成するよりも、署名長を短くでき、署名生成と署名検証に必要な計算量を少なくできる。
【0052】
シミュレーション
鍵生成部150が、K個の“1”からなるデフォルトのメッセージm={1,1,…,1}に対する参照署名σ0を検証鍵vkに含めておく。そして、検証鍵vkから参照署名σ0を引き出し、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})のそれぞれの値とする。そして、
【0053】
【数12】
【0054】
を計算し、(z,t’,w’,{r1,s1,u1,v1},…,{rK,sK,uK,vK})をメッセージm1,…,mKの署名σとして出力する。
【0055】
このように、本発明の署名・検証システムであれば、より高い安全性証明を行う際に必要となる“シミュレーション”の実行も可能になるという効果が得られる。
【0056】
[変形例1]
本変形例では、署名装置の処理を軽減する変更を行う。図4、5を参照して変更点についてのみ説明する。署名装置100’は、鍵乱数生成部130’、鍵ランダマイズ部145’、鍵生成部150’が実施例1の署名装置100と異なる。
【0057】
鍵乱数生成部130’は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成する(S130’)。鍵ランダマイズ部145’は、
【0058】
【数13】
【0059】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求める(S145’)。鍵生成部150’は、秘密鍵skを(gs,αz,βz,α1,β1)とする(S150’)。その他の構成部と処理フローは実施例1と同じである。
【0060】
本変形例の署名装置では、αk=βk=0(k=0,2,…,K)としたことによって、計算量を減らすことができる。したがって、本変形例の署名・検証システムも実施例1と同様の効果が得られ、かつ署名装置の処理を軽減できる。
【0061】
[変形例2]
変形例1は、ランダムな整数α0,…,αKと整数β0,…,βKの中のα1,β1を0以外としたが、他の整数を0以外としてもよい。本変形例では、αj,βjを0以外とし、αk=βk=0(k=0,…,K ただし、k≠j)とする。図4、5を参照して変更点についてのみ説明する。署名装置100”は、鍵乱数生成部130”、鍵ランダマイズ部145”、鍵生成部150”が実施例1の署名装置100と異なる。
【0062】
鍵乱数生成部130”は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成する(S130”)。鍵ランダマイズ部145”は、
【0063】
【数14】
【0064】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求める(S145”)。鍵生成部150”は、秘密鍵skを(gs,αz,βz,αj,βj)とする(S150”)。その他の構成部と処理フローは実施例1と同じである。
【0065】
本変形例の署名装置では、αk=βk=0(k=0,…,K ただし、k≠j)としたことによって、計算量を減らすことができる。したがって、本変形例の署名・検証システムも実施例1と同様の効果が得られ、かつ署名装置の処理を軽減できる。
【実施例2】
【0066】
図7に実施例2の署名・検証システムの機能構成例を、図8に実施例2の署名装置の処理フローを、図6に実施例2の検証装置の処理フローを示す。この署名・検証システムは、ネットワーク800で接続された署名装置300と検証装置400で構成され、群要素の複数メッセージに対して署名生成と署名検証を行う。なお、署名装置300で生成された署名を、記録媒体で検証装置400に渡す場合には署名装置300と検証装置400はネットワーク800で接続されている必要はない。
【0067】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とする。署名装置300は、コミットメント群要素選択部110、コミットメント乱数生成部115、コミットメント計算部120、鍵乱数生成部330、鍵計算部135、鍵群要素選択部140、鍵ランダマイズ部345、鍵生成部350、メッセージ取得部155、署名乱数生成部360、署名計算部365、署名出力部375、署名記録部390を備える。検証装置400は、検証入力部410、検証確認部420、検証出力部230を備える。
【0068】
署名記録部390は、あらかじめp,G1,G2,GT,eを記録しておく。コミットメント群要素選択部110は、群G2の生成元g0,h0をランダムに選択する(S110)。コミットメント乱数生成部115は、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成する(S115)。コミットメント計算部120は、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算する(S120)。鍵乱数生成部330は、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する(S330)。鍵計算部135は、
gz=g0^αz、
hz=g0^βz、
を計算する(S135)。鍵群要素選択部140は、群G2の生成元gsをランダムに選択する(S135)。鍵ランダマイズ部は345、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める(S345)。鍵生成部350は、(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する(S350)。
【0069】
メッセージ取得部155は、群G2上の1以外の元であるメッセージm1,…,mKを受け取る(S155)。なお、「メッセージm1,…,mKを受け取る」とは、何らかの方法でメッセージm1,…,mKが利用できる状態になることであり、外部から入力されたメッセージm1,…,mKを受信することや、署名記録部390などにあらかじめ記録しておいたメッセージm1,…,mKを読み出すことなどを含む意味である。署名乱数生成部360は、1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する(S360)。署名計算部365は、
【0070】
【数15】
【0071】
を計算する(S365)。署名出力部375は、(z,t,w,r,s,u,v)を署名σとして出力する。
【0072】
次に、検証装置400の処理について説明する。検証入力部410は、メッセージm1,…,mKと署名σとを取得する(S410)。検証確認部420は、
【0073】
【数16】
【0074】
であることを確認する(S420)。検証出力部230は、検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する。例えば、署名が正しいことを示す情報として“1”を出力し、署名が正しくないことを示す情報として“0”を出力すればよい。
【0075】
実施例2の署名・検証システムも、異なる群(G1,G2)からなる双線形写像を利用し、群G1から群G2への写像が困難であることを仮定し、異なる生成元の指数部を求めることが難しい性質を利用し、2つの異なる群上でのメッセージを署名のアウトプットとしている。したがって、実施例2の署名・検証システムによれば、群要素の複数メッセージに対して、ここに署名を生成するよりも、署名長を短くでき、署名生成と署名検証に必要な計算量を少なくできる。
【0076】
プログラム、記録媒体
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
【0077】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
【0078】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0079】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
【0080】
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【産業上の利用可能性】
【0081】
本発明は、電子データの正当性を証明するために利用することができる。
【符号の説明】
【0082】
100、100’、100”、300、700 署名装置
110 コミットメント群要素選択部
115 コミットメント乱数生成部
120 コミットメント計算部 125 CRS生成部
130、130’、130”、330 鍵乱数生成部
135 鍵計算部 140 鍵群要素選択部
145、145’、145”、345 鍵ランダマイズ部
146,171 ランダマイズ乱数生成手段
147,172 ランダマイズ実行手段
150、150’、150”、350 鍵生成部
155 メッセージ取得部 160、360 署名乱数生成部
165、365 署名計算部 170 署名ランダマイズ部
175、375 署名出力部 190、390 署名記録部
200、400、900 検証装置 210、410 検証入力部
220、420 検証確認部 230 検証出力部
800 ネットワーク
【特許請求の範囲】
【請求項1】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRSとして設定し、(x1,y1,…,xK,yK)をトラップドアτとするCRS生成部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
【数17】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める鍵ランダマイズ部と、
(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する署名乱数生成部と、
【数18】
を計算する署名計算部と、
【数19】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める署名ランダマイズ部と、
(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する署名出力部と
を備える署名装置と、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数20】
で得られるA,Bに対して、
【数21】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置と
を有する署名・検証システム。
【請求項2】
請求項1記載の署名・検証システムであって、
前記鍵ランダマイズ部と前記署名ランダマイズ部は、
e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求めるときに、
1以上p−1以下のランダムな整数γ1,…,γK−1を生成するランダマイズ乱数生成手段と、
e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)
のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする処理を、k=1からk=K−1まで順番に行うランダマイズ実行手段と
を有することを特徴とする署名・検証システム。
【請求項3】
請求項1記載の署名・検証システムであって、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成し、
前記鍵ランダマイズ部は、
【数22】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,α1,β1)とする
ことを特徴とする署名・検証システム。
【請求項4】
請求項1記載の署名・検証システムであって、
jは0以上K以下の整数とし、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成し、
前記鍵ランダマイズ部は、
【数23】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,αj,βj)とする
ことを特徴とする署名・検証システム。
【請求項5】
請求項1から4のいずれかに記載の署名・検証システムであって、
前記鍵生成部は、
【数24】
を計算し、公開鍵にA,Bも含める
ことを特徴とする署名・検証システム。
【請求項6】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める鍵ランダマイズ部と、
(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する署名乱数生成部と、
【数25】
を計算する署名計算部と、
(z,t,w,r,s,u,v)を署名σとして出力する署名出力部と
を備える署名装置と、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数26】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置と
を有する署名・検証システム。
【請求項7】
署名装置と検証装置とを含む署名・検証システムでの署名・検証方法であって、
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
前記署名装置において、
署名記録部に、あらかじめp,G1,G2,GT,eを記録しておき、
コミットメント群要素選択部で、群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択ステップと、
コミットメント乱数生成部で、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成ステップと、
コミットメント計算部で、k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算ステップと、
CRS生成部で、(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRSとして設定し、(x1,y1,…,xK,yK)をトラップドアτとするCRS生成ステップと、
鍵乱数生成部で、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する鍵乱数生成ステップと、
鍵計算部で、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算ステップと、
鍵群要素選択部で、群G2の生成元gsをランダムに選択する鍵群要素選択ステップと、
鍵ランダマイズ部で、
【数27】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める鍵ランダマイズステップと、
鍵生成部で、(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する鍵生成ステップと、
メッセージ取得部で、群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得ステップと、
署名乱数生成部で、1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する署名乱数生成ステップと、
署名計算部で、
【数28】
を計算する署名計算ステップと、
署名ランダマイズ部で、
【数29】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める署名ランダマイズステップと、
署名出力部で、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する署名出力ステップと
を有し、
前記検証装置において、
検証入力部で、メッセージm1,…,mKと署名σとを取得する検証入力ステップと、
検証確認部で、
【数30】
で得られるA,Bに対して、
【数31】
であることを確認する検証確認ステップと、
検証出力部で、前記検証確認ステップですべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力ステップと
を有する署名・検証方法。
【請求項8】
請求項7記載の署名・検証方法であって、
前記鍵ランダマイズステップと前記署名ランダマイズステップは、
e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求めるときに、
1以上p−1以下のランダムな整数γ1,…,γK−1を生成するランダマイズ乱数生成サブステップと、
e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)
のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする処理を、k=1からk=K−1まで順番に行うランダマイズ実行サブステップと
を有することを特徴とする署名・検証方法。
【請求項9】
請求項7記載の署名・検証方法であって、
前記鍵乱数生成ステップは、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成し、
前記鍵ランダマイズステップは、
【数32】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成ステップは、秘密鍵skを(gs,αz,βz,α1,β1)とする
ことを特徴とする署名・検証方法。
【請求項10】
請求項7記載の署名・検証方法であって、
jは0以上K以下の整数とし、
前記鍵乱数生成ステップは、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成し、
前記鍵ランダマイズステップは、
【数33】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成ステップは、秘密鍵skを(gs,αz,βz,αj,βj)とする
ことを特徴とする署名・検証方法。
【請求項11】
請求項7から10のいずれかに記載の署名・検証方法であって、
前記鍵生成ステップは、
【数34】
を計算し、公開鍵にA,Bも含める
ことを特徴とする署名・検証方法。
【請求項12】
署名装置と検証装置とを含む署名・検証システムでの署名・検証方法であって、
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
前記署名装置において、
署名記録部で、あらかじめp,G1,G2,GT,eを記録しておき、
コミットメント群要素選択部で、群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択ステップと、
コミットメント乱数生成部で、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成ステップと、
コミットメント計算部で、k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算ステップと、
鍵乱数生成部で、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する鍵乱数生成ステップと、
鍵計算部で、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算ステップと、
鍵群要素選択部で、群G2の生成元gsをランダムに選択する鍵群要素選択ステップと、
鍵ランダマイズ部で、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める鍵ランダマイズステップと、
鍵生成部で、(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する鍵生成ステップと、
メッセージ取得部で、群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得ステップと、
署名乱数生成部で、1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する署名乱数生成ステップと、
署名計算部で、
【数35】
を計算する署名計算ステップと、
署名出力部で、(z,t,w,r,s,u,v)を署名σとして出力する署名出力ステップと
を有し、
前記検証装置において、
検証入力部で、メッセージm1,…,mKと署名σとを取得する検証入力ステップと、
検証確認部で、
【数36】
であることを確認する検証確認ステップと、
検証出力部で、前記検証確認ステップがすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力ステップと
を有する署名・検証方法。
【請求項13】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRSとして設定し、(x1,y1,…,xK,yK)をトラップドアτとするCRS生成部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
【数37】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める鍵ランダマイズ部と、
(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する署名乱数生成部と、
【数38】
を計算する署名計算部と、
【数39】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める署名ランダマイズ部と、
(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する署名出力部と
を備える署名装置。
【請求項14】
請求項13記載の署名装置であって、
前記鍵ランダマイズ部と前記署名ランダマイズ部は、
e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求めるときに、
1以上p−1以下のランダムな整数γ1,…,γK−1を生成するランダマイズ乱数生成手段と、
e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)
のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする処理を、k=1からk=K−1まで順番に行うランダマイズ実行手段と
を有することを特徴とする署名装置。
【請求項15】
請求項13記載の署名装置であって、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成し、
前記鍵ランダマイズ部は、
【数40】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,α1,β1)とする
ことを特徴とする署名装置。
【請求項16】
請求項13記載の署名装置であって、
jは0以上K以下の整数とし、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成し、
前記鍵ランダマイズ部は、
【数41】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,αj,βj)とする
ことを特徴とする署名装置。
【請求項17】
請求項13から16のいずれかに記載の署名装置であって、
前記鍵生成部は、
【数42】
を計算し、公開鍵にA,Bも含める
ことを特徴とする署名装置。
【請求項18】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める鍵ランダマイズ部と、
(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する署名乱数生成部と、
【数43】
を計算する署名計算部と、
(z,t,w,r,s,u,v)を署名σとして出力する署名出力部と
を備える署名装置。
【請求項19】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号、(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRS、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vk、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとし、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数44】
で得られるA,Bに対して、
【数45】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置。
【請求項20】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号、(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vk、(z,t,w,r,s,u,v)を署名σとし、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数46】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置。
【請求項21】
請求項13から18のいずれかに記載の署名装置、もしくは請求項19または20記載の検証装置のいずれかの装置として、コンピュータを機能させるプログラム。
【請求項22】
請求項21記載のプログラムを記録した記録媒体。
【請求項1】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRSとして設定し、(x1,y1,…,xK,yK)をトラップドアτとするCRS生成部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
【数17】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める鍵ランダマイズ部と、
(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する署名乱数生成部と、
【数18】
を計算する署名計算部と、
【数19】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める署名ランダマイズ部と、
(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する署名出力部と
を備える署名装置と、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数20】
で得られるA,Bに対して、
【数21】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置と
を有する署名・検証システム。
【請求項2】
請求項1記載の署名・検証システムであって、
前記鍵ランダマイズ部と前記署名ランダマイズ部は、
e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求めるときに、
1以上p−1以下のランダムな整数γ1,…,γK−1を生成するランダマイズ乱数生成手段と、
e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)
のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする処理を、k=1からk=K−1まで順番に行うランダマイズ実行手段と
を有することを特徴とする署名・検証システム。
【請求項3】
請求項1記載の署名・検証システムであって、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成し、
前記鍵ランダマイズ部は、
【数22】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,α1,β1)とする
ことを特徴とする署名・検証システム。
【請求項4】
請求項1記載の署名・検証システムであって、
jは0以上K以下の整数とし、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成し、
前記鍵ランダマイズ部は、
【数23】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,αj,βj)とする
ことを特徴とする署名・検証システム。
【請求項5】
請求項1から4のいずれかに記載の署名・検証システムであって、
前記鍵生成部は、
【数24】
を計算し、公開鍵にA,Bも含める
ことを特徴とする署名・検証システム。
【請求項6】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める鍵ランダマイズ部と、
(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する署名乱数生成部と、
【数25】
を計算する署名計算部と、
(z,t,w,r,s,u,v)を署名σとして出力する署名出力部と
を備える署名装置と、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数26】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置と
を有する署名・検証システム。
【請求項7】
署名装置と検証装置とを含む署名・検証システムでの署名・検証方法であって、
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
前記署名装置において、
署名記録部に、あらかじめp,G1,G2,GT,eを記録しておき、
コミットメント群要素選択部で、群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択ステップと、
コミットメント乱数生成部で、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成ステップと、
コミットメント計算部で、k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算ステップと、
CRS生成部で、(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRSとして設定し、(x1,y1,…,xK,yK)をトラップドアτとするCRS生成ステップと、
鍵乱数生成部で、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する鍵乱数生成ステップと、
鍵計算部で、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算ステップと、
鍵群要素選択部で、群G2の生成元gsをランダムに選択する鍵群要素選択ステップと、
鍵ランダマイズ部で、
【数27】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める鍵ランダマイズステップと、
鍵生成部で、(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する鍵生成ステップと、
メッセージ取得部で、群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得ステップと、
署名乱数生成部で、1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する署名乱数生成ステップと、
署名計算部で、
【数28】
を計算する署名計算ステップと、
署名ランダマイズ部で、
【数29】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める署名ランダマイズステップと、
署名出力部で、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する署名出力ステップと
を有し、
前記検証装置において、
検証入力部で、メッセージm1,…,mKと署名σとを取得する検証入力ステップと、
検証確認部で、
【数30】
で得られるA,Bに対して、
【数31】
であることを確認する検証確認ステップと、
検証出力部で、前記検証確認ステップですべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力ステップと
を有する署名・検証方法。
【請求項8】
請求項7記載の署名・検証方法であって、
前記鍵ランダマイズステップと前記署名ランダマイズステップは、
e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求めるときに、
1以上p−1以下のランダムな整数γ1,…,γK−1を生成するランダマイズ乱数生成サブステップと、
e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)
のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする処理を、k=1からk=K−1まで順番に行うランダマイズ実行サブステップと
を有することを特徴とする署名・検証方法。
【請求項9】
請求項7記載の署名・検証方法であって、
前記鍵乱数生成ステップは、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成し、
前記鍵ランダマイズステップは、
【数32】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成ステップは、秘密鍵skを(gs,αz,βz,α1,β1)とする
ことを特徴とする署名・検証方法。
【請求項10】
請求項7記載の署名・検証方法であって、
jは0以上K以下の整数とし、
前記鍵乱数生成ステップは、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成し、
前記鍵ランダマイズステップは、
【数33】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成ステップは、秘密鍵skを(gs,αz,βz,αj,βj)とする
ことを特徴とする署名・検証方法。
【請求項11】
請求項7から10のいずれかに記載の署名・検証方法であって、
前記鍵生成ステップは、
【数34】
を計算し、公開鍵にA,Bも含める
ことを特徴とする署名・検証方法。
【請求項12】
署名装置と検証装置とを含む署名・検証システムでの署名・検証方法であって、
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
前記署名装置において、
署名記録部で、あらかじめp,G1,G2,GT,eを記録しておき、
コミットメント群要素選択部で、群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択ステップと、
コミットメント乱数生成部で、1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成ステップと、
コミットメント計算部で、k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算ステップと、
鍵乱数生成部で、1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する鍵乱数生成ステップと、
鍵計算部で、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算ステップと、
鍵群要素選択部で、群G2の生成元gsをランダムに選択する鍵群要素選択ステップと、
鍵ランダマイズ部で、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める鍵ランダマイズステップと、
鍵生成部で、(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する鍵生成ステップと、
メッセージ取得部で、群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得ステップと、
署名乱数生成部で、1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する署名乱数生成ステップと、
署名計算部で、
【数35】
を計算する署名計算ステップと、
署名出力部で、(z,t,w,r,s,u,v)を署名σとして出力する署名出力ステップと
を有し、
前記検証装置において、
検証入力部で、メッセージm1,…,mKと署名σとを取得する検証入力ステップと、
検証確認部で、
【数36】
であることを確認する検証確認ステップと、
検証出力部で、前記検証確認ステップがすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力ステップと
を有する署名・検証方法。
【請求項13】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRSとして設定し、(x1,y1,…,xK,yK)をトラップドアτとするCRS生成部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α0,…,αKと整数β0,…,βKを生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
【数37】
となる(gk,gs^αk)以外の組合せ(a1k,a2k)と、(hk,gs^βk)以外の組合せ(b1k,b2k)を求める鍵ランダマイズ部と、
(gs,αz,βz,α0,β0,…,αK,βK)を秘密鍵skとし、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vkとし、当該検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η1,…,ηK,ξ1,…,ξKを生成する署名乱数生成部と、
【数38】
を計算する署名計算部と、
【数39】
となる(r’k,s’k)以外の組合せ(rk,sk)と、(u’k,v’k)以外の組合せ(uk,vk)を求める署名ランダマイズ部と、
(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとして出力する署名出力部と
を備える署名装置。
【請求項14】
請求項13記載の署名装置であって、
前記鍵ランダマイズ部と前記署名ランダマイズ部は、
e(x1,y1)e(x2,y2)…e(xK,yK)=e(x’1,y’1)e(x’2,y’2)…e(x’K,y’K)となる(xk,yk)以外の組合せ(x’k,y’k)を求めるときに、
1以上p−1以下のランダムな整数γ1,…,γK−1を生成するランダマイズ乱数生成手段と、
e(xk,y’k)とe(xk+1,yk+1)の間にe(xk+1^−γk,y’k)e(xk+1,y’k^γk)を挿入することで、
e(x’1,y’1)…e(xk,y’k)e(xk+1,yk+1)…e(xK,yK)を、
e(x’1,y’1)…e(xkxk+1^−γk,y’k)e(xk+1,(y’k^γk)yk+1)…e(xK,yK)
のように変換し、変換後を
e(x’1,y’1)…e(x’k,y’k)e(xk+1,y’k+1)…e(xK,yK)
とする処理を、k=1からk=K−1まで順番に行うランダマイズ実行手段と
を有することを特徴とする署名装置。
【請求項15】
請求項13記載の署名装置であって、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数α1,β1と、αk=βk=0(k=0,2,…,K)を生成し、
前記鍵ランダマイズ部は、
【数40】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,α1,β1)とする
ことを特徴とする署名装置。
【請求項16】
請求項13記載の署名装置であって、
jは0以上K以下の整数とし、
前記鍵乱数生成部は、ランダムな整数α0,…,αKと整数β0,…,βKを生成する代わりに、ランダムな整数αj,βjと、αk=βk=0(k=0,…,K ただし、k≠j)を生成し、
前記鍵ランダマイズ部は、
【数41】
となる(a10,a20),…,(a1K,a2K)と(b10,b20),…,(b1K,b2K)を求め、
前記鍵生成部は、秘密鍵skを(gs,αz,βz,αj,βj)とする
ことを特徴とする署名装置。
【請求項17】
請求項13から16のいずれかに記載の署名装置であって、
前記鍵生成部は、
【数42】
を計算し、公開鍵にA,Bも含める
ことを特徴とする署名装置。
【請求項18】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号とし、
p,G1,G2,GT,eを記録する署名記録部と、
群G2の生成元g0,h0をランダムに選択するコミットメント群要素選択部と、
1以上p−1以下のランダムな整数x1,…,xKと整数y1,…,yKを生成するコミットメント乱数生成部と、
k=1,…,Kに対して、
gk=g0^xk、
hk=h0^yk、
を計算するコミットメント計算部と、
1以上p−1以下のランダムな整数αz,βzと、ランダムな整数α1,β1を生成する鍵乱数生成部と、
gz=g0^αz、
hz=g0^βz、
を計算する鍵計算部と、
群G2の生成元gsをランダムに選択する鍵群要素選択部と、
e(gk,gs^αk)=e(a10,a20)e(a11,a21)
e(hk,gs^βk)=e(b10,b20)e(b11,b21)
となる(a10,a20),(a11,a21)と、(b10,b20),(b11,b21)を求める鍵ランダマイズ部と、
(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vkとし、(vk,gs,αz,βz,α1,β1)を秘密鍵skとし、検証鍵vkを公開する鍵生成部と、
群G2上の1以外の元であるメッセージm1,…,mKを受け取るメッセージ取得部と、
1以上p−1以下のランダムな整数ζ,η,ξ,ρ,δを生成する署名乱数生成部と、
【数43】
を計算する署名計算部と、
(z,t,w,r,s,u,v)を署名σとして出力する署名出力部と
を備える署名装置。
【請求項19】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号、(q,G1,G2,GT,e,g0,h0,…,gK,hK)をCRS、(gz,hz,{a10,a20,b10,b20},…,{a1K,a2K,b1K,b2K})を検証鍵vk、(z,t,w,{r1,s1,u1,v1},…,{rK,sK,uK,vK})を署名σとし、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数44】
で得られるA,Bに対して、
【数45】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置。
【請求項20】
G1、G2をG1からG2への写像が困難な位数pの群、GTを位数pの群、eをG1×G2→GTの双線形写像、Kを2以上の整数、^をべき乗を示す記号、(gz,hz,{g0,h0},…,{gK,hK},{a10,a20,b10,b20},{a11,a21,b11,b21})を検証鍵vk、(z,t,w,r,s,u,v)を署名σとし、
メッセージm1,…,mKと署名σとを取得する検証入力部と、
【数46】
であることを確認する検証確認部と、
前記検証確認部がすべての条件を満たすと確認した場合には署名が正しいことを示す情報を出力し、いずれかの条件を満たさないと確認した場合に署名が正しくないことを示す情報を出力する検証出力部と
を備える検証装置。
【請求項21】
請求項13から18のいずれかに記載の署名装置、もしくは請求項19または20記載の検証装置のいずれかの装置として、コンピュータを機能させるプログラム。
【請求項22】
請求項21記載のプログラムを記録した記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−170247(P2011−170247A)
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願番号】特願2010−35929(P2010−35929)
【出願日】平成22年2月22日(2010.2.22)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願日】平成22年2月22日(2010.2.22)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]