署名処理システム、鍵生成装置、署名装置、検証装置、署名処理方法及び署名処理プログラム
【課題】設計の自由度の高いノンモノトーン述語をサポートした属性ベース署名方式を提供することを目的とする。
【解決手段】ノンモノトーンスパンプログラムに属性ベクトルの内積を適用することによりアクセスストラクチャを構成した。このアクセスストラクチャは、スパンプログラムの設計と、属性ベクトルの設計とに自由度があり、アクセス制御の設計に大きな自由度を有する。そして、このアクセスストラクチャに対して秘密分散の概念を用いることで、ノンモノトーン述語をサポートした属性ベース署名方式を実現した。
【解決手段】ノンモノトーンスパンプログラムに属性ベクトルの内積を適用することによりアクセスストラクチャを構成した。このアクセスストラクチャは、スパンプログラムの設計と、属性ベクトルの設計とに自由度があり、アクセス制御の設計に大きな自由度を有する。そして、このアクセスストラクチャに対して秘密分散の概念を用いることで、ノンモノトーン述語をサポートした属性ベース署名方式を実現した。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、属性ベース署名(Attribute−Based Signatures,ABS)方式に関するものである。
【背景技術】
【0002】
非特許文献26,29,30,34−37,45,51には、属性ベース署名方式に関する記載がある。特に、非特許文献36,37には、モノトーン述語をサポートした属性ベース署名方式についての記載がある。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Beimel, A., Secure schemes for secret sharing and key distribution. PhD Thesis, Israel Institute of Tech−nology, Technion, Haifa, Israel, 1996.
【非特許文献2】Belenkiy, M., Camenisch, J., Chase, M., Kohlweiss, M., Lysyanskaya, A. and Shacham, H.: Randomizable proofs and delegatable anonymous credentials. CRYPTO 2009. LNCS, Springer Heidelberg (2009)
【非特許文献3】Belenkiy, M., Chase, M., Kohlweiss, M. and Lysyanskaya, A.: P−signatures and noninteractive anonymous credentials. TCC 2008, LNCS, Springer Heidelberg (2008)
【非特許文献4】Bethencourt, J., Sahai, A., Waters, B.: Ciphertext−policy attribute−based encryption. In: 2007 IEEE Sym−posium on Security and Privacy, pp. 321.334. IEEE Press (2007)
【非特許文献5】Boneh, D., Boyen, X.: Efficient selective−ID secure identity based encryption without random oracles. In:Cachin, C., Camenisch, J. (eds.) EUROCRYPT 2004. LNCS, vol. 3027, pp. 223.238. Springer Heidelberg (2004)
【非特許文献6】Boneh, D., Boyen, X.: Secure identity based encryption without random oracles. In: Franklin, M.K. (ed.) CRYPTO 2004. LNCS, vol. 3152, pp. 443.459. Springer Heidelberg (2004)
【非特許文献7】Boneh, D., Boyen, X., Goh, E.: Hierarchical identity based encryption with constant size ciphertext. In:Cramer, R. (ed.) EUROCRYPT 2005. LNCS, vol. 3494, pp. 440.456. Springer Heidelberg (2005)
【非特許文献8】Boneh, D., Franklin, M.: Identity−based encryption from the Weil pairing. In: Kilian, J. (ed.) CRYPTO 2001. LNCS, vol. 2139, pp. 213.229. Springer Heidelberg (2001)
【非特許文献9】Boneh, D., Hamburg, M.: Generalized identity based and broadcast encryption scheme. In: Pieprzyk, J.(ed.) ASIACRYPT 2008. LNCS, vol. 5350, pp. 455.470. Springer Heidelberg (2008)
【非特許文献10】Boneh, D., Katz, J., Improved efficiency for CCA−secure cryptosystems built using identity based encryp−tion. RSA−CT 2005, LNCS, Springer Verlag (2005)
【非特許文献11】Boneh, D., Waters, B.: Conjunctive, subset, and range queries on encrypted data. In: Vadhan, S.P. (ed.) TCC 2007. LNCS, vol. 4392, pp. 535.554. Springer Heidelberg (2007)
【非特許文献12】X. Boyen: Mesh signatures. EUROCRYPT, LNCS, vol. 4515, pp. 210.227. Springer (2007).
【非特許文献13】Boyen, X., Waters, B.: Anonymous hierarchical identity−based encryption (without random oracles). In:Dwork, C. (ed.) CRYPTO 2006. LNCS, vol. 4117, pp. 290.307. Springer Heidelberg (2006)
【非特許文献14】Camenisch, J. and Gross, T.: Efficient attributes for anonymous credentials. CCS 2008.
【非特許文献15】Camenisch, J. and Lysyanskaya, A.: An efficient system for non−transferable anonymous credentials with optinal anonymity revocation. Eurocrypt 2001.
【非特許文献16】Camenisch, J. and Lysyanskaya, A.: Signature schemes and anonymous credentials from bilinear maps. Crypto 2004.
【非特許文献17】Canetti, R., Halevi S., Katz J., Chosen−ciphertext security from identity−based encryption. EUROCRYPT 2004, LNCS, Springer−Verlag (2004)
【非特許文献18】Chaum, D.: Security without identification: Transaction systems to make big brother obsolete. CACM (1985).
【非特許文献19】D. Chaum and E. van Heyst: Group signatures. In proceedings of EUROCRYPT’91, LNCS, vol. 547, pp.257.265 (1991).
【非特許文献20】Cocks, C.: An identity based encryption scheme based on quadratic residues. In: Honary, B. (ed.) IMA Int. Conf. LNCS, vol. 2260, pp. 360.363. Springer Heidelberg (2001)
【非特許文献21】Gentry, C.: Practical identity−based encryption without random oracles. In: Vaudenay, S. (ed.) EURO−CRYPT 2006. LNCS, vol. 4004, pp. 445.464. Springer Heidelberg (2006)
【非特許文献22】Gentry, C., Halevi, S.: Hierarchical identity−based encryption with polynomially many levels. In: Reingold,O. (ed.) TCC 2009. LNCS, vol. 5444, pp. 437.456. Springer Heidelberg (2009)
【非特許文献23】Gentry, C., Silverberg, A.: Hierarchical ID−based cryptography. In: Zheng, Y. (ed.) ASIACRYPT 2002.LNCS, vol. 2501, pp. 548.566. Springer Heidelberg (2002)
【非特許文献24】Goyal, V., Pandey, O., Sahai, A., Waters, B.: Attribute−based encryption for fine−grained access control of encrypted data. In: ACM Conference on Computer and Communication Security 2006, pp. 89.98, ACM (2006)
【非特許文献25】Groth, J., Sahai, A.: Efficient non−interactive proof systems for bilinear groups. In: Smart, N.P. (ed.) EUROCRYPT 2008. LNCS, vol. 4965, pp. 415.432. Springer Heidelberg (2008)
【非特許文献26】S. Guo and Y. Zeng: Attribute−based Signature Scheme, In ISA’08, pp. 509.511 (2008).
【非特許文献27】Horwitz, J., Lynn, B.: Towards hierarchical identity−based encryption. In: Knudsen, L.R. (ed.) EURO−CRYPT 2002. LNCS, vol. 2332, pp. 466.481. Springer Heidelberg (2002)
【非特許文献28】Katz, J., Sahai, A., Waters, B.: Predicate encryption supporting disjunctions, polynomial equations, and inner products. In: Smart, N.P. (ed.) EUROCRYPT 2008. LNCS, vol. 4965, pp. 146.162. Springer Heidel−berg (2008)
【非特許文献29】D. Khader: Attribute Based Group Signatures, Cryptology ePrint Archive, Report 2007/159 (2007). http://eprint.iacr.org/2007/159.
【非特許文献30】D. Khader: Attribute Based Group Signature with Revocation. Cryptology ePrint Archive, Report 2007/241, (2007). http://eprint.iacr.org/2007/241.
【非特許文献31】Lewko, A., Okamoto, T., Sahai, A., Takashima, K. and Waters, B.: Fully Secure Functional Encryption:Attribute−Based Encryption and (Hierarchical) Inner Product Encryption, EUROCRYPT 2010. LNCS,Springer Heidelberg (2010)
【非特許文献32】Lewko, A.B., Waters, B.: Fully secure HIBE with short ciphertexts. ePrint, IACR, http://eprint.iacr.org/2009/482
【非特許文献33】Lewko, A.B., Waters, B.: Decentralizing Attribute−Based Encryption, ePrint, IACR, http://eprint.iacr.org/2010/351.
【非特許文献34】Jin Li, Man Ho Au, Willy Susilo, Dongqing Xie, Kui Ren: Attribute−based Signature and its Application,ASIACCS’ 2010, ACM (2010)
【非特許文献35】J. Li and K. Kim: Attribute−based ring signatures. 2008. Available at http://eprint.iacr.org/2008/394. To appear in Journal of Information Sciences.
【非特許文献36】Maji, H., Prabhakaran, M., Rosulek, M.: Attribute−Based Signatures: Achieving Attribute−Privacy and Collusion−Resistance. ePrint, IACR, http://eprint.iacr.org/2008/328
【非特許文献37】Maji, H., Prabhakaran, M., Rosulek, M.: Attribute−Based Signatures. http://www.cs.uiuc.edu/ mmp/research.html
【非特許文献38】Okamoto, T., Takashima, K.: Homomorphic encryption and signatures from vector decomposition. In:Galbraith, S.D., Paterson, K.G. (eds.) Pairing 2008. LNCS, vol. 5209, pp. 57.74. Springer Heidelberg (2008)
【非特許文献39】Okamoto, T., Takashima, K.: Hierarchical predicate encryption for Inner−Products, In: ASIACRYPT 2009, Springer Heidelberg (2009)
【非特許文献40】Okamoto, T., Takashima, K.: Fully Secure Functional Encryption with General Relations from the Deci−sional Linear Assumption, In: CRYPTO 2010, Springer Heidelberg (2010)
【非特許文献41】Ostrovsky, R., Sahai, A., Waters, B.: Attribute−based encryption with non−monotonic access structures. In: ACM Conference on Computer and Communication Security 2007, pp. 195.203, ACM (2007)
【非特許文献42】Pirretti, M., Traynor, P., McDaniel, P., Waters, B.: Secure attribute−based systems. In: ACM Conference on Computer and Communication Security 2006, pp. 99.112, ACM, (2006)
【非特許文献43】Pirretti, M., Traynor, P., McDaniel, P., Waters, B.: Secure attribute−based systems. In: ACM Conference on Computer and Communication Security 2006, pp. 99.112, ACM, (2006)
【非特許文献44】Sahai, A., Waters, B.: Fuzzy identity−based encryption. In: Cramer, R. (ed.) EUROCRYPT 2005. LNCS, vol. 3494, pp. 457.473. Springer Heidelberg (2005)
【非特許文献45】S. F. Shahandashti and R. Safavi−Naini: Threshold attribute−based signatures and their application to anonymous credential systems. In AFRICACRYPT’09, pp. 198.216 (2009).
【非特許文献46】A. Shamir: Identity−based cryptosystems and signature schemes. In CRYPTO’84, pp. 47.53 (1984).
【非特許文献47】Shi, E., Waters, B.: Delegating capability in predicate encryption systems. In: Aceto, L., Damg°ard, I.,Goldberg, L.A., Halldorsson, M.M., Ingolfsdottir, A., Walukiewicz, I. (eds.) ICALP (2) 2008. LNCS, vol.5126, pp. 560.578. Springer Heidelberg (2008)
【非特許文献48】Shi, E., Waters, B.: Delegating capability in predicate encryption systems. In: Aceto, L., Damg°ard, I.,Goldberg, L.A., Halldorsson, M.M., Ingolfsdottir, A., Walukiewicz, I. (eds.) ICALP (2) 2008. LNCS, vol.5126, pp. 560.578. Springer Heidelberg (2008)
【非特許文献49】Waters, B.: Ciphertext−policy attribute−based encryption: an expressive, efficient, and provably secure realization. ePrint, IACR, http://eprint.iacr.org/2008/290
【非特許文献50】Waters, B.: Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions. In:Halevi, S. (ed.) CRYPTO 2009. LNCS, vol. 5677, pp. 619.636. Springer Heidelberg (2009)
【非特許文献51】Waters, B.: Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions. In:Halevi, S. (ed.) CRYPTO 2009. LNCS, vol. 5677, pp. 619.636. Springer Heidelberg (2009)
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の属性ベース署名方式では、ノンモノトーン述語をサポートしていなかった。
この発明は、ノンモノトーン述語をサポートした属性ベース署名方式を提供することを目的とする。
【課題を解決するための手段】
【0005】
この発明に係る署名処理システムは、
鍵生成装置と署名装置と検証装置とを備え、t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムであり、
前記鍵生成装置は、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報xtとを含む属性集合Γを入力する第1情報入力部と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成部と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,1の係数として前記所定の値δを設定し、基底ベクトルb*t,2の係数として属性情報xtに前記所定の値δを乗じたδxtを設定した鍵要素k*tを生成する鍵要素t生成部と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成部と、
前記鍵要素0生成部が生成した鍵要素k*0と、前記鍵要素t生成部が生成した前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成部が生成した鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを前記署名装置へ送信する署名鍵送信部と
を備え、
前記署名装置は、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報viとの肯定形の組(t,vi)又は否定形の組¬(t,vi)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記署名鍵送信部が送信した署名鍵skΓを取得する署名鍵取得部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,vi)であり、かつ、その組のviと、その組の識別情報tが示す属性集合Γに含まれるxtとが等しいiと、変数ρ(i)が否定形の組¬(t,vi)であり、かつ、その組のviと、その組の識別情報tが示す属性集合Γに含まれるxtとが等しくないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成部と、
i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,vi)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,vi)である場合には値γi:=αi/(vi−xt)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成部と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成部と、
前記署名要素0生成部が生成した署名要素s*0と、前記署名要素i生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成部が生成した署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備え、
前記検証装置は、
前記署名データ送信部が送信した署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成部と、
前記ベクトルf→と前記データ取得部が取得した署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,vi)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θiviを設定し、基底ベクトルbt,2の係数として−θiを設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,vi)である場合には、その組の識別情報tが示す基底ベクトルbt,1の係数としてsiviを設定し、基底ベクトルbt,2の係数として−siを設定して検証要素ciを生成する検証要素i生成部と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成部と、
前記検証要素0生成部が生成した検証要素c0と、前記検証要素i生成部が生成した検証要素ciと、前記検証要素L+1生成部が生成した検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする。
【発明の効果】
【0006】
この発明に係る属性ベース署名方式では、ノンモノトーン述語をサポートしている。そのため、利用範囲の広い属性ベース署名方式を実現している。
【図面の簡単な説明】
【0007】
【図1】行列M^の説明図。
【図2】行列Mδの説明図。
【図3】s0の説明図。
【図4】s→Tの説明図。
【図5】属性ベース署名方式を実行する署名処理システム10の構成図。
【図6】鍵生成装置100の機能を示す機能ブロック図。
【図7】署名装置200の機能を示す機能ブロック図。
【図8】検証装置300の機能を示す機能ブロック図。
【図9】Setupアルゴリズムの処理を示すフローチャート。
【図10】KeyGenアルゴリズムの処理を示すフローチャート。
【図11】Sigアルゴリズムの処理を示すフローチャート。
【図12】Verアルゴリズムの処理を示すフローチャート。
【図13】多管理者の説明図。
【図14】分散多管理者属性ベース署名方式を実行する署名処理システム10の構成図。
【図15】各鍵生成装置100の機能を示す機能ブロック図。
【図16】署名装置200の機能を示す機能ブロック図。
【図17】検証装置300の機能を示す機能ブロック図。
【図18】GSetupアルゴリズムの処理を示すフローチャート。
【図19】ASetupアルゴリズムの処理を示すフローチャート。
【図20】AttrGenアルゴリズムの処理を示すフローチャート。
【図21】Sigアルゴリズムの処理を示すフローチャート。
【図22】Verアルゴリズムの処理を示すフローチャート。
【図23】鍵生成装置100、署名装置200、検証装置300のハードウェア構成の一例を示す図。
【発明を実施するための形態】
【0008】
以下、図に基づき、発明の実施の形態を説明する。
以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920等である。通信装置は後述する通信ボード915等である。入力装置は後述するキーボード902、通信ボード915等である。つまり、処理装置、記憶装置、通信装置、入力装置はハードウェアである。
【0009】
以下の説明における記法について説明する。
Aがランダムな変数または分布であるとき、数101は、Aの分布に従いAからyをランダムに選択することを表す。つまり、数101において、yは乱数である。
【数101】
Aが集合であるとき、数102は、Aからyを一様に選択することを表す。つまり、数102において、yは一様乱数である。
【数102】
数103は、yがzにより定義された集合であること、又はyがzを代入された集合であることを表す。
【数103】
aが定数であるとき、数104は、機械(アルゴリズム)Aが入力xに対しaを出力することを表す。
【数104】
数105、つまりFqは、位数qの有限体を示す。
【数105】
ベクトル表記は、有限体Fqにおけるベクトル表示を表す。つまり、数106である。
【数106】
数107は、数108に示す2つのベクトルx→とv→との数109に示す内積を表す。
【数107】
【数108】
【数109】
XTは、行列Xの転置行列を表す。
bi(i=1,...,n)が空間Vのベクトルの要素であるとき、つまり、数110であるとき、数111は、数112によって生成される部分空間を表す。
【数110】
【数111】
【数112】
数113に示す基底Bと基底B*とに対して、数114である。
【数113】
【数114】
【0010】
また、以下の説明において、paramVtにおけるVtはVtのことである。
同様に、Fqntにおけるntはntのことである。
同様に、skgid,(t,xt)におけるxtはxtのことである。
同様に、“δi,j”が上付きで示されている場合、このδi,jは、δi,jを意味する。
また、ベクトルを意味する“→”が下付き文字又は上付き文字に付されている場合、この“→”は下付き文字又は上付き文字に上付きで付されていることを意味する。
【0011】
また、以下の説明において、署名処理とは、鍵生成処理、署名処理、検証処理を含むものである。
【0012】
実施の形態1.
この実施の形態では、「属性ベース署名方式」について説明する。
第1に、属性ベース署名について簡単に説明する。
第2に、属性ベース署名方式を実現するための空間である「双対ペアリングベクトル空間(Dual Pairing Vector Spaces,DPVS)」という豊かな数学的構造を有する空間を説明する。
第3に、属性ベース署名方式を実現するための概念を説明する。ここでは、「スパンプログラム(Span Program)」、「属性ベクトルの内積とアクセスストラクチャ」、「秘密分散方式(秘密共有方式)」について説明する。また、「衝突困難ハッシュ関数(Collision Resistant Hash Functions)」についても説明する。
第4に、この実施の形態に係る「属性ベース署名方式」を説明する。まず、「属性ベース署名方式」の基本構成について説明する。次に、「属性ベース署名方式」を実現する「署名処理システム10」の基本構成について説明する。そして、この実施の形態に係る「属性ベース署名方式」及び「署名処理システム10」について詳細に説明する。
【0013】
<第1.属性ベース署名>
デジタル署名の概念は、DiffieとHellmanとによって1976年に論文で紹介された。そこでは、デジタル署名の概念は、秘密にされる署名鍵skと公開される検証鍵pkとのペアが署名者に対して生成され、署名鍵skを用いて生成されたメッセージmの署名σが、対応する検証鍵pkによって検証されることとされた。つまり、署名鍵skを使って署名されたメッセージ(m,σ)の署名者が、検証鍵pkによって確認されることとされた。
これは、デジタル署名の要件の1つではある。しかし、署名鍵skと検証鍵pkとの関係が密接なため、署名者と署名によって証明される内容との間の関係に柔軟性やプライバシーがない。
【0014】
署名鍵と検証鍵との関係がより柔軟になり又は洗練されることで、用途が広く、プライバシーが向上したデジタル署名の改良型が研究されている。
署名のこのクラスでは、署名鍵と検証鍵とはそれぞれ、属性xと述語vとによってパラメータ化されている。そして、署名されたメッセージ(m,σ)は、パラメータxを伴う署名鍵skxによって生成され、公開された鍵pkとパラメータvとによって、述語vが属性xを受理する場合(v(x)が成立する場合)にのみ、正しいことが検証される。
署名のこのクラスにおける署名者のプライバシーとは、署名鍵skxによって生成された述語vに対する署名が、v(x)が成立することを除き属性xに関する情報を漏らさないことである。
【0015】
述語vがパラメータvとの等号関係である場合(つまり、x=vの場合にのみv(x)が成立する場合)、この述語に対する署名のクラスはIDベース署名(Identity−Based Signatures,IBS)である(非特許文献46参照)。
なお、IDベース署名では、x=vのように、署名者の秘密鍵であるskxの属性xを述語vが一意に識別する。そのため、IDベース署名にはプライバシーの余地はない。
【0016】
グループ署名(Group Signatures)は、署名のこのクラスに含まれる署名である(非特許文献19参照)。グループ署名は、述語のパラメータvがグループ識別子であり、属性xがグループvのメンバーの識別子である(又はpkvがグループvを識別する公開鍵であり、skxがグループvのメンバーxの秘密鍵である)場合にのみ、v(x)が成立するという述語vを伴う署名である。
プライバシーの要件に基づき、秘密鍵skxを使って生成された署名はxがグループvのメンバーであることを除き、識別子xに関する情報を漏らさない。
【0017】
属性ベース署名は、署名のこのクラス含まれる署名であり、より洗練された述語を伴う署名である(非特許文献26,29,30,34−36,45,51参照)。属性ベース署名は、署名鍵skxに対するxが属性(x1,...,xi)の組であり、検証のためのvが閾値又はアクセスストラクチャの述語である。
存在する属性ベース署名方式における述語の最も広いクラスはモノトーンアクセスストラクチャである(非特許文献36,37参照)。モノトーンアクセスストラクチャでは、述語vは、属性(v1,...,vj)の組を伴うモノトーンスパンプログラム(M,ρ)(MSP(M,ρ))によって特定され、MSP(M,ρ)が(T(xi_1=v1),...,T(xi_j=vj))の真の値のベクトルを受理する場合のみ、v(x)が成立する。ここで、φが真である場合、T(φ):=1であり、φが偽である場合、T(φ):=1である。例えば、x=vである場合、T(x=v):=1であり、x≠vである場合、T(x=v):=0である。
このようなモノトーン述語は、AND、OR、閾値のゲートを表現することができる。
【0018】
属性ベース署名に対するモノトーン述語vの例を説明する。
モノトーン述語vの例としては、(Institute=Univ.A)AND(TH2((Department=Biology),(Gender=Female),(Age=50‘s))OR(Position=Professor))である。ここで、TH2は閾値の値が2の閾値ゲート(つまり、2つ以上成立することを要求するゲート)を意味する。
アリスの属性xAが、(Institute=Univ.A),(Department=Biology),(Position=Postdoc),(Age=30),(Gender=Female)であり、ボブの属性xBが、(Institute=Univ.A),(Department=Mathematics),(Position=Professor),(Age=45),(Gender=Male)であるとする。属性xAと属性xBとは全く異なるが、v(xA)とv(xB)とがいずれも成立することは明らかである。また、述語vを満たす他の多くの属性があることは明らかである。
そのため、アリスとボブとは、この述語における署名を生成することができる。また、属性ベース署名のプライバシー要件に基づき、署名者の属性が述語vを満たすことを除き、述語vに対する署名は署名者、つまりアリスとボブ(又はその他)の属性に関して情報を漏らさない。
【0019】
属性ベース署名には、属性ベースメッセージング(Attributed−Based Massaging,ABM)、属性ベース認証(Attributed−Based authentication)、trust−negotiation、leaking secrets等の多くのアプリケーションが存在する(非特許文献36,37参照)。
【0020】
しかし、ノンモノトーン述語に対する属性ベース署名方式は、弱い安全性のものであっても存在しなかった。ノンモノトーン述語は、AND、OR、閾値のゲートと同様に、NOTのゲートを表現することができる。
つまり、モノトーン述語では、(Institute=Univ.A)のように、肯定形の条件は設定できるが、(Institute≠Univ.A)(つまり、Not(Institute=Univ.A))のように否定形の条件は設定できない。これに対して、ノンモノトーン述語では、否定形の条件を設定できる。
大学がUniv.A以外にも多数存在する場合、肯定形の条件のみを用いて、Univ.A以外という否定形の条件を設定するのは困難である(記述が複雑になる)。このことからも、ノンモノトーン述語の有用性が分かる。
【0021】
<第2.双対ペアリングベクトル空間>
まず、対称双線形ペアリング群(Symmetric Bilinear Pairing Groups)について説明する。
対称双線形ペアリング群(q,G,GT,g,e)は、素数qと、位数qの巡回加法群Gと、位数qの巡回乗法群GTと、g≠0∈Gと、多項式時間で計算可能な非退化双線形ペアリング(Nondegenerate Bilinear Pairing)e:G×G→GTとの組である。非退化双線形ペアリングは、e(sg,tg)=e(g,g)stであり、e(g,g)≠1である。
以下の説明において、数115を、1λを入力として、セキュリティパラメータをλとする双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を出力するアルゴリズムとする。
【数115】
【0022】
次に、双対ペアリングベクトル空間について説明する。
双対ペアリングベクトル空間(q,V,GT,A,e)は、対称双線形ペアリング群(paramG:=(q,G,GT,g,e))の直積によって構成することができる。双対ペアリングベクトル空間(q,V,GT,A,e)は、素数q、数116に示すFq上のN次元ベクトル空間V、位数qの巡回群GT、空間Vの標準基底A:=(a1,...,aN)の組であり、以下の演算(1)(2)を有する。ここで、aiは、数117に示す通りである。
【数116】
【数117】
【0023】
演算(1):非退化双線形ペアリング
空間Vにおけるペアリングは、数118によって定義される。
【数118】
これは、非退化双線形である。つまり、e(sx,ty)=e(x,y)stであり、全てのy∈Vに対して、e(x,y)=1の場合、x=0である。また、全てのiとjとに対して、e(ai,aj)=e(g,g)δi,jである。ここで、i=jであれば、δi,j=1であり、i≠jであれば、δi,j=0である。また、e(g,g)≠1∈GTである。
【0024】
演算(2):ディストーション写像
数119に示す空間Vにおける線形変換φi,jは、数120を行うことができる。
【数119】
【数120】
ここで、線形変換φi,jをディストーション写像と呼ぶ。
【0025】
以下の説明において、数121を、1λ(λ∈自然数)、N∈自然数、双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を入力として、セキュリティパラメータがλであり、N次元の空間Vとする双対ペアリングベクトル空間のパラメータparamV:=(q,V,GT,A,e)の値を出力するアルゴリズムとする。
【数121】
【0026】
なお、ここでは、上述した対称双線形ペアリング群により、双対ペアリングベクトル空間を構成した場合について説明する。なお、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成することも可能である。以下の説明を、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成した場合に応用することは容易である。
【0027】
<第3.属性ベース署名方式を実現するための概念>
<第3−1.スパンプログラム>
図1は、行列M^の説明図である。
{p1,...,pn}を変数の集合とする。M^:=(M,ρ)は、ラベル付けされた行列である。ここで、行列Mは、Fq上の(L行×r列)の行列である。また、ρは、行列Mの各列に付されたラベルであり、{p1,...,pn,¬p1,...,¬pn}のいずれか1つのリテラルへ対応付けられる。なお、Mの全ての行に付されたラベルρi(i=1,...,L)がいずれか1つのリテラルへ対応付けられる。つまり、ρ:{1,...,L}→{p1,...,pn,¬p1,...,¬pn}である。
【0028】
全ての入力列δ∈{0,1}nに対して、行列Mの部分行列Mδは定義される。行列Mδは、入力列δによってラベルρに値“1”が対応付けられた行列Mの行から構成される部分行列である。つまり、行列Mδは、δi=1であるようなpiに対応付けられた行列Mの行と、δi=0であるような¬piに対応付けられた行列Mの行とからなる部分行列である。
図2は、行列Mδの説明図である。なお、図2では、n=7,L=6,r=5としている。つまり、変数の集合は、{p1,...,p7}であり、行列Mは(6行×5列)の行列である。また、図2において、ラベルρは、ρ1が¬p2に、ρ2がp1に、ρ3がp4に、ρ4が¬p5に、ρ5が¬p3に、ρ6がp5にそれぞれ対応付けられているとする。
ここで、入力列δ∈{0,1}7が、δ1=1,δ2=0,δ3=1,δ4=0,δ5=0,δ6=1,δ7=1であるとする。この場合、破線で囲んだリテラル(p1,p3,p6,p7,¬p2,¬p4,¬p5)に対応付けられている行列Mの行からなる部分行列が行列Mδである。つまり、行列Mの1行目(M1),2行目(M2),4行目(M4)からなる部分行列が行列Mδである。
【0029】
言い替えると、写像γ:{1,...,L}→{0,1}が、[ρ(j)=pi]∧[δi=1]又は[ρ(j)=¬pi]∧[δi=0]である場合、γ(j)=1であり、他の場合、γ(j)=0であるとする。この場合に、Mδ:=(Mj)γ(j)=1である。ここで、Mjは、行列Mのj番目の行である。
つまり、図2では、写像γ(j)=1(j=1,2,4)であり、写像γ(j)=0(j=3,5,6)である。したがって、(Mj)γ(j)=1は、M1,M2,M4であり、行列Mδである。
すなわち、写像γ(j)の値が“0”であるか“1”であるかによって、行列Mのj番目の行が行列Mδに含まれるか否かが決定される。
【0030】
1→∈span<Mδ>である場合に限り、スパンプログラムM^は入力列δを受理し、他の場合には入力列δを拒絶する。つまり、入力列δによって行列M^から得られる行列Mδの行を線形結合して1→が得られる場合に限り、スパンプログラムM^は入力列δを受理する。なお、1→とは、各要素が値“1”である行ベクトルである。
例えば、図2の例であれば、行列Mの1,2,4行目からなる行列Mδの各行を線形結合して1→が得られる場合に限り、スパンプログラムM^は入力列δを受理する。つまり、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する場合には、スパンプログラムM^は入力列δを受理する。
【0031】
ここで、ラベルρが正のリテラル{p1,...,pn}にのみ対応付けられている場合、スパンプログラムはモノトーンと呼ばれる。一方、ラベルρがリテラル{p1,...,pn,¬p1,...,¬pn}に対応付けられている場合、スパンプログラムはノンモノトーンと呼ばれる。ここでは、スパンプログラムはノンモノトーンとする。そして、ノンモノトーンスパンプログラムを用いて、アクセスストラクチャ(ノンモノトーンアクセスストラクチャ)を構成する。
上述したように、スパンプログラムがモノトーンではなく、ノンモノトーンであることにより、スパンプログラムを利用して構成する属性ベース署名方式の利用範囲が広がる。
【0032】
<第3−2.属性ベクトルの内積とアクセスストラクチャ>
ここでは、属性ベクトルの内積を用いて上述した写像γ(j)を計算する。つまり、属性ベクトルの内積を用いて、行列Mのどの行を行列Mδに含めるかを決定する。
【0033】
Ut(t=1,...,dでありUt⊂{0,1}*)は、部分全集合(sub−universe)であり、属性の集合である。そして、Utは、それぞれ部分全集合の識別情報(t)と、nt次元ベクトル(v→)とを含む。つまり、Utは、(t,v→)である。ここで、t∈{1,...,d}であり、v→∈Fqntである。
【0034】
Ut:=(t,v→)をスパンプログラムM^:=(M,ρ)における変数pとする。つまり、p:=(t,v→)である。そして、変数(p:=(t,v→),(t’,v’→),...)としたスパンプログラムM^:=(M,ρ)をアクセスストラクチャSとする。
つまり、アクセスストラクチャS:=(M,ρ)であり、ρ:{1,...,L}→{(t,v→),(t’,v’→),...,¬(t,v→),¬(t’,v’→),...}である。
【0035】
次に、Γを属性の集合とする。つまり、Γ:={(t,x→t)|x→t∈Fqnt,1≦t≦d}である。
アクセスストラクチャSにΓが与えられた場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,...,L}→{0,1}は、以下のように定義される。i=1,...,Lの各整数iについて、[ρ(i)=(t,v→i)]∧[(t,x→t)∈Γ]∧[v→i・x→t=0]、又は、[ρ(i)=¬(t,v→i)]∧[(t,x→t)∈Γ]∧[v→i・x→t≠0]である場合、γ(j)=1であり、他の場合、γ(j)=0とする。
つまり、属性ベクトルv→とx→との内積に基づき、写像γが計算される。そして、上述したように、写像γにより、行列Mのどの行を行列Mδに含めるかが決定される。すなわち、属性ベクトルv→とx→との内積により、行列Mのどの行を行列Mδに含めるかが決定され、1→∈span<(Mi)γ(i)=1>である場合に限り、アクセスストラクチャS:=(M,ρ)はΓを受理する。
【0036】
t∈{1,...,d}の全ての整数tについて、nt=2とし、x→:=(1,x)、v→:=(v,−1)とした場合、このアクセスストラクチャにおける内積述語の関係がより簡単な形式になる。
この場合、(t,x→t):=(t,(1,x)),(t,v→i):=(t,(vi,−1))である。しかし、これらを簡単化して(t,xt)、(t,vi)と表す。すると、アクセスストラクチャSは、ρ:={1,...,L}→{(t,v),(t’、v’),...,¬(t,v),¬(t’,v’),...}(v,v’,...∈Fq)であるS:=(M,ρ)となる。また、属性の集合Γは、Γ:={(t,xt)|xt∈Fq,1≦t≦d}となる。
そして、アクセスストラクチャSにΓが与えられた場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,...,L}→{0,1}は、以下のように定義される。i=1,...,Lの各整数iについて、[ρ(i)=(t,vi)]∧[(t,xt)∈Γ]∧[vi=xt]、又は、[ρ(i)=¬(t,vi)]∧[(t,xt)∈Γ]∧[vi≠xt]である場合、γ(j)=1であり、他の場合、γ(j)=0とする。
【0037】
<第3−3.秘密分散方式>
アクセスストラクチャS:=(M,ρ)に対する秘密分散方式について説明する。
なお、秘密分散方式とは、秘密情報を分散させ、意味のない分散情報にすることである。例えば、秘密情報sを10個に分散させ、10個の分散情報を生成する。ここで、10個の分散情報それぞれは、秘密情報sの情報を有していない。したがって、ある1個の分散情報を手に入れても秘密情報sに関して何ら情報を得ることはできない。一方、10個の分散情報を全て手に入れれば、秘密情報sを復元できる。
また、10個の分散情報を全て手に入れなくても、一部だけ(例えば、8個)手に入れれば秘密情報sを復元できる秘密分散方式もある。このように、10個の分散情報のうち8個で秘密情報sを復元できる場合を、8−out−of−10と呼ぶ。つまり、n個の分散情報のうちt個で秘密情報sを復元できる場合を、t−out−of−nと呼ぶ。このtを閾値と呼ぶ。
また、d1,...,d10の10個の分散情報を生成した場合に、d1,...,d8までの8個の分散情報であれば秘密情報sを復元できるが、d3,...,d10までの8個の分散情報であれば秘密情報sを復元できないというような秘密分散方式もある。つまり、手に入れた分散情報の数だけでなく、分散情報の組合せに応じて秘密情報sを復元できるか否かを制御する秘密分散方式もある。
【0038】
図3は、s0の説明図である。図4は、s→Tの説明図である。
行列Mを(L行×r列)の行列とする。f→Tを数122に示す列ベクトルとする。
【数122】
数123に示すs0を共有される秘密情報とする。
【数123】
また、数124に示すs→Tをs0のL個の分散情報のベクトルとする。
【数124】
そして、分散情報siをρ(i)に属するものとする。
【0039】
アクセスストラクチャS:=(M,ρ)がΓを受理する場合、つまりγ:{1,...,L}→{0,1}について1→∈span<(Mi)γ(i)=1>である場合、I⊆{i∈{1,...,L}|γ(i)=1}である定数{αi∈Fq|i∈I}が存在する。
これは、図2の例で、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する場合には、スパンプログラムM^は入力列δを受理すると説明したことからも明らかである。つまり、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する場合には、スパンプログラムM^が入力列δを受理するのであれば、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する。
そして、数125である。
【数125】
なお、定数{αi}は、行列Mのサイズにおける多項式時間で計算可能である。
【0040】
この実施の形態及び以下の実施の形態に係る属性ベース署名方式は、上述したように、スパンプログラムに内積述語と秘密分散方式とを適用してアクセスストラクチャを構成する。そのため、スパンプログラムにおける行列Mや、内積述語における属性情報x及び属性情報v(述語情報)を設計することにより、アクセス制御を自由に設計することができる。つまり、非常に高い自由度でアクセス制御の設計を行うことができる。なお、行列Mの設計は、秘密分散方式の閾値等の条件設計に相当する。
【0041】
特に、この実施の形態及び以下の実施の形態に係る属性ベース署名方式におけるアクセスストラクチャは、ノンモノトーンスパンプログラムを用いたノンモノトーンアクセスストラクチャを構成する。つまり、この実施の形態及び以下の実施の形態に係る属性ベース署名方式は、ノンモノトーン述語を伴う署名方式である。そのため、アクセス制御の設計の自由度がより高くなる。
【0042】
<第3−4.衝突困難ハッシュ関数>
衝突困難ハッシュ関数とは、出力が同じになる2つの入力を見つけることが困難なハッシュ関数である。
【0043】
自然数λをセキュリティパラメータとする。アルゴリズムGbpgに関する衝突困難ハッシュ関数系Hと、多項式poly(λ)とについて以下の2つのことが言える。
1.鍵空間系は、λによって索引付けされる。各鍵空間は、KHλによって示されるビット列における確率空間である。1λを入力とした場合の出力分布がKHλと等しい確率的多項式時間アルゴリズムが存在する。
2.ハッシュ関数系は、λと、KHλからランダムに選択されたhkと、D:={0,1}poly(λ)とによって索引付けされる。ここで、各関数Hhkλ,Dは、Dの要素からFqXへの写像である。なお、qは、アルゴリズムGbpg(1λ)の出力paramGの最初の要素である。1λとhkとd∈Dとを入力として、Hhkλ,D(d)を出力する決定的多項式時間アルゴリズムがある。
【0044】
εを確率的多項式時間機械であるとする。全てのλに対して、数126を定義する。
【数126】
どんな確率的多項式時間攻撃者εに対しても、AdvεH,CR(λ)が無視し得る程度であるなら、Hは衝突困難ハッシュ関数系である。
【0045】
<第4.属性ベース署名方式の構成>
<第4−1.属性ベース署名方式の基本構成>
属性ベース署名方式は、Setup、KeyGen、Sig、Verの4つのアルゴリズムを備える。
(Setup)
Setupアルゴリズムは、セキュリティパラメータλと、属性のフォーマットn→:=((d;nt,ut,wt,zt(t=1,...,d))とを入力として、公開パラメータpkと、マスター鍵skとを出力する確率的アルゴリズムである。
(KeyGen)
KeyGenアルゴリズムは、属性の集合であるΓ:={(t,x→t)|x→t∈Fqnt\{0→},1≦t≦d}と、公開パラメータpkと、マスター鍵skとを入力として、署名鍵skΓを出力する確率的アルゴリズムである。
(Sig)
Sigアルゴリズムは、メッセージmと、属性の集合Γを受理するようなアクセスストラクチャS:=(M,ρ)と、署名鍵skΓと、公開パラメータpkとを入力として、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを出力する確率的アルゴリズムである。
(Ver)
Verアルゴリズムは、署名データσと、公開パラメータpkとを入力として、ブール値1(受理)又は0(拒絶)を出力するアルゴリズムである。
【0046】
属性ベース署名方式は、数127に示す全ての公開パラメータpk及びマスター鍵skと、全てのメッセージmと、全ての属性の集合Γと、数128に示す全ての署名鍵skΓと、属性の集合Γを受理する全てのアクセスストラクチャSと、数129に示す全ての署名データσとに対して、確率1で1=Ver(pk,m,S,σ)が成立する。
【数127】
【数128】
【数129】
【0047】
<第4−2.署名処理システム10>
上述した属性ベース署名方式のアルゴリズムを実行する署名処理システム10について説明する。
図5は、属性ベース署名方式のアルゴリズムを実行する署名処理システム10の構成図である。
署名処理システム10は、鍵生成装置100、署名装置200、検証装置300を備える。
鍵生成装置100は、セキュリティパラメータλと、属性のフォーマットn→:=((d;nt,ut,wt,zt(t=1,...,d))とを入力としてSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、鍵生成装置100は、生成した公開パラメータpkを公開する。また、鍵生成装置100は、属性の集合であるΓ:={(t,x→t)|x→t∈Fqnt\{0→},1≦t≦d}と、公開パラメータpkと、マスター鍵skとを入力としてKeyGenアルゴリズムを実行して、署名鍵skΓを生成して署名装置200へ秘密裡に配布する。
署名装置200は、メッセージmと、属性の集合Γを受理するようなアクセスストラクチャS:=(M,ρ)と、署名鍵skΓと、公開パラメータpkとを入力としてSigアルゴリズムを実行して、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを生成する。署名装置200は、生成した署名データσを検証装置300へ送信する。
検証装置300は、署名データσと、公開パラメータpkとを入力としてVerアルゴリズムを実行して、ブール値1(受理)又は0(拒絶)を出力する。
【0048】
<第4−3.属性ベース署名方式及び署名処理システム10の詳細>
図6から図12に基づき、属性ベース署名方式、及び、属性ベース署名方式を実行する署名処理システム10の機能と動作とについて説明する。
図6は、鍵生成装置100の機能を示す機能ブロック図である。図7は、署名装置200の機能を示す機能ブロック図である。図8は、検証装置300の機能を示す機能ブロック図である。
図9と図10とは、鍵生成装置100の動作を示すフローチャートである。なお、図9はSetupアルゴリズムの処理を示すフローチャートであり、図10はKeyGenアルゴリズムの処理を示すフローチャートである。図11は、署名装置200の動作を示すフローチャートであり、Sigアルゴリズムの処理を示すフローチャートである。図12は、検証装置300の動作を示すフローチャートであり、Verアルゴリズムの処理を示すフローチャートである。
【0049】
鍵生成装置100の機能と動作とについて説明する。
図6に示すように、鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、情報入力部130(第1情報入力部)、署名鍵生成部140、鍵配布部150(署名鍵送信部)を備える。
また、署名鍵生成部140は、乱数生成部141、鍵要素0生成部142、鍵要素t生成部143、鍵要素d+1生成部144を備える。
【0050】
なお、以下の説明において、H:=(KHλ,Hhkλ,D)は、上述した衝突困難ハッシュ関数系である。
【0051】
まず、図9に基づき、鍵生成装置100が実行するSetupアルゴリズムの処理について説明する。
(S101:正規直交基底生成ステップ)
マスター鍵生成部110は、処理装置により、数130を計算して、paramn→と、t=0,...,d+1の各整数tについて基底Bt及び基底B*tとをランダムに生成する。
【数130】
【0052】
つまり、マスター鍵生成部110は以下の処理を実行する。
(1)マスター鍵生成部110は、入力装置により、セキュリティパラメータλ(1λ)と、属性のフォーマットn→:=((d;nt,ut,wt,zt(t=0,...,d+1))とを入力する。ここで、dは1以上の整数である。t=0についてのntは1であり、t=1,...,dまでの各整数tについてntは1以上の整数であり、t=d+1についてのntは2である。t=0,...,d+1までの各整数tについてut,wt,ztは1以上の整数である。
(2)マスター鍵生成部110は、処理装置により、(1)で入力したセキュリティパラメータλ(1λ)を入力としてアルゴリズムGbpgを実行して、ランダムに双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を生成する。
(3)マスター鍵生成部110は、処理装置により、乱数ψを生成する。また、マスター鍵生成部110は、t=0,...,d+1の各整数tについてNtにnt+ut+wt+ztを設定する。
【0053】
続いて、マスター鍵生成部110は、t=0,...,d+1の各整数tについて以下の(4)から(8)までの処理を実行する。
(4)マスター鍵生成部110は、処理装置により、(1)で入力したセキュリティパラメータλ(1λ)と、(3)で設定したNtと、(2)で生成したparamG:=(q,G,GT,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVt:=(q,Vt,GT,At,e)の値を生成する。
(5)マスター鍵生成部110は、処理装置により、(3)で設定したNtと、Fqとを入力として、線形変換Xt:=(χt,i,j)i,jをランダムに生成する。なお、GLは、General Linearの略である。つまり、GLは、一般線形群であり、行列式が0でない正方行列の集合であり、乗法に関し群である。また、(χt,i,j)i,jは、行列χt,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,ntである。
(6)マスター鍵生成部110は、処理装置により、乱数ψと線形変換Xtとに基づき、(νt,i,j)i,j:=ψ・(XtT)−1を生成する。なお、(νt,i,j)i,jも(χt,i,j)i,jと同様に、行列νt,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,ntである。
(7)マスター鍵生成部110は、処理装置により、(5)で生成した線形変換Xtに基づき、(4)で生成した標準基底Atから基底Btを生成する。
(8)マスター鍵生成部110は、処理装置により、(6)で生成した(νt,i,j)i,jに基づき、(4)で生成した標準基底Atから基底B*tを生成する。
(9)マスター鍵生成部110は、処理装置により、gTにe(g,g)ψを設定する。また、マスター鍵生成部110は、paramn→に(4)で生成した{paramVt}t=0,...,d+1と、gTとを設定する。なお、t=0,...,d+1とi=1,...,Ntとの各整数t,iについて、gT=e(bt,i,b*t,i)である。
【0054】
すなわち、(S101)で、マスター鍵生成部110は、数131に示すアルゴリズムGobを実行して、paramn→と、t=0,...,d+1の各整数tについて基底Bt及び基底B*tとを生成する。
【数131】
【0055】
(S102:ハッシュキー生成ステップ)
マスター鍵生成部110は、処理装置により、数132を計算して、ハッシュキーhkをランダムに生成する。
【数132】
【0056】
(S103:公開パラメータ生成ステップ)
マスター鍵生成部110は、処理装置により、基底B0の部分基底B^0と、t=1,...,dの各整数tについて基底Btの部分基底B^tと、基底Bd+1の部分基底B^d+1とを数133に示すように生成する。
【数133】
また、マスター鍵生成部110は、処理装置により、t=1,...,dの各整数tについて基底B*tの部分基底B^*tと、基底Bd+1の部分基底B^*d+1とを数134に示すように生成する。
【数134】
マスター鍵生成部110は、生成した部分基底B^t(t=0,...,d+1)と部分基底B^*t(t=1,...,d+1)と、(S101)で入力されたセキュリティパラメータλ(1λ)と、(S101)で生成したparamn→と、(S102)で生成したハッシュキーhkと、基底ベクトルb*0,1+u0+1,...,b*0,1+u0+w0(ここでu0、w0は、u0,w0のことである)とを合わせて、公開パラメータpkとする。
【0057】
(S104:マスター鍵生成ステップ)
マスター鍵生成部110は、基底B*0の基底ベクトルb*0,1をマスター鍵skとする。
【0058】
(S105:マスター鍵記憶ステップ)
マスター鍵記憶部120は、(S103)で生成した公開パラメータpkを記憶装置に記憶する。また、マスター鍵記憶部120は、(S104)で生成したマスター鍵skを記憶装置に記憶する。
【0059】
つまり、(S101)から(S104)において、鍵生成装置100は数135に示すSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、(S105)で、鍵生成装置100は生成された公開パラメータpkとマスター鍵skとを記憶装置に記憶する。
なお、公開パラメータは、例えば、ネットワークを介して公開され、署名装置200や検証装置300が取得可能な状態にされる。
【数135】
【0060】
次に、図10に基づき、鍵生成装置100が実行するKeyGenアルゴリズムの処理について説明する。
(S201:情報入力ステップ)
情報入力部130は、入力装置により、属性の集合Γ:={(t,x→t:=(xt,i)(i=1,...,nt))|1≦t≦d}を入力する。tは、1以上d以下の全ての整数ではなく、1以上d以下の少なくとも一部の整数であってもよい。
【0061】
(S202:乱数生成ステップ)
乱数生成部141は、処理装置により、乱数δと、乱数φ0,φt,ι,φd+1,1,ι,φd+1,2,ι(t=1,...,d;ι=1,...,wt)とを数136に示すように生成する。
【数136】
【0062】
(S203:鍵要素0生成ステップ)
鍵要素0生成部142は、処理装置により、署名鍵skΓの要素である鍵要素k*0を数137に示すように生成する。
【数137】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数137は、以下のように、基底B*0の基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb*0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*0,1,...,b*0,3を意味する。
基底B*0の基底ベクトル1の係数として乱数δが設定される。基底ベクトル1+1,...,1+u0の係数として0が設定される。基底ベクトル1+u0+1,...,1+u0+w0の係数として乱数φ0,1,...,φ0,wo(ここで、w0はw0のことである)が設定される。基底ベクトル1+u0+w0+1,...,1+u0+w0+z0の係数として0が設定される。
【0063】
(S204:鍵要素t生成ステップ)
鍵要素t生成部143は、処理装置により、属性の集合Γに含まれる(t,x→t)の各整数tについて、署名鍵skΓの要素である鍵要素k*tを数138に示すように生成する。
【数138】
つまり、数138は、数137と同様に、以下のように、基底B*tの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb*t,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*t,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*t,1,...,b*t,3を意味する。
基底ベクトル1,...,ntの係数としてδxt,1,...,δxt,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1,...,nt+utの係数として0が設定される。基底ベクトルnt+ut+1,...,nt+ut+wtの係数として乱数φt,1,...,φt,wt(ここで、wtはwtのことである)が設定される。基底ベクトルnt+ut+wt+1,...,nt+ut+wt+ztの係数として0が設定される。
【0064】
(S205:鍵要素d+1生成ステップ)
鍵要素d+1生成部144は、処理装置により、署名鍵skΓの要素である鍵要素k*d+1,1と鍵要素k*d+1,2とを数139に示すように生成する。
【数139】
つまり、数139は、数137と同様に、以下のように、基底B*d+1の基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb*d+1,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*d+1,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*d+1,1,...,b*d+1,3を意味する。
まず、鍵要素k*d+1,1については、基底ベクトル1の係数として乱数δが設定される。基底ベクトル2の係数として0が設定される。基底ベクトル2+1,...,2+ud+1の係数として0が設定される。基底ベクトル2+ud+1+1,...,2+ud+1+wd+1の係数として乱数φd+1,1,1,...,φd+1,1,wd+1(ここで、wd+1はwd+1のことである)が設定される。基底ベクトル2+ud+1+wd+1+1,...,2+ud+1+wd+1+zd+1の係数として0が設定される。
また、鍵要素k*d+1,2については、基底ベクトル1の係数として0が設定される。基底ベクトル2の係数として乱数δが設定される。基底ベクトル2+1,...,2+ud+1の係数として0が設定される。基底ベクトル2+ud+1+1,...,2+ud+1+wd+1の係数として乱数φd+1,2,1,...,φd+1,2,wd+1(ここで、wd+1はwd+1のことである)が設定される。基底ベクトル2+ud+1+wd+1+1,...,2+ud+1+wd+1+zd+1の係数として0が設定される。
【0065】
(S206:鍵配布ステップ)
鍵配布部150は、属性の集合Γと、鍵要素k*0と、鍵要素k*t(tは属性の集合Γに含まれる(t,x→t)におけるt)と、鍵要素k*d+1,1及び鍵要素k*d+1,2とを要素とする署名鍵skΓを、例えば通信装置によりネットワークを介して秘密裡に署名装置200へ配布する。もちろん、署名鍵skΓは、他の方法により署名装置200へ配布されてもよい。
【0066】
つまり、(S201)から(S205)において、鍵生成装置100は数140に示すKeyGenアルゴリズムを実行して、署名鍵skΓを生成する。そして、(S206)で、鍵生成装置100は生成された署名鍵skΓを署名装置200へ配布する。
【数140】
【0067】
署名装置200の機能と動作とについて説明する。
図7に示すように、署名装置200は、署名鍵取得部210、情報入力部220(第2情報入力部)、スパンプログラム計算部230、補完係数計算部240、署名データ生成部250、署名データ送信部260(署名データ出力部)を備える。
また、情報入力部220は、述語情報入力部221、メッセージ入力部222を備える。また、署名データ生成部250は、乱数生成部251、署名要素0生成部252、署名要素i生成部253、署名要素L+1生成部254を備える。
【0068】
図11に基づき、署名装置200が実行するSigアルゴリズムの処理について説明する。
(S301:署名鍵取得ステップ)
署名鍵取得部210は、例えば、通信装置によりネットワークを介して、鍵生成装置100が生成した署名鍵skΓを取得する。また、署名鍵取得部210は、鍵生成装置100が生成した公開パラメータpkを取得する。
【0069】
(S302:情報入力ステップ)
述語情報入力部221は、入力装置により、アクセスストラクチャS:=(M,ρ)を入力する。なお、行列Mは、L行×r列の行列である。L,rは、1以上の整数である。
また、メッセージ入力部222は、入力装置により、署名を付すメッセージmを入力する。
なお、アクセスストラクチャSの行列Mの設定については、実現したいシステムの条件に応じて設定されるものである。
【0070】
(S303:スパンプログラム計算ステップ)
スパンプログラム計算部230は、処理装置により、(S302)で入力したアクセスストラクチャSが、(S301)で取得した署名鍵skΓに含まれる属性の集合Γを受理するか否かを判定する。
なお、アクセスストラクチャが属性の集合を受理するか否かの判定方法は、「第3.関数型暗号を実現するための概念」で説明した通りである。
スパンプログラム計算部230は、アクセスストラクチャSが属性の集合Γを受理する場合(S303で受理)、処理を(S304)へ進める。一方、アクセスストラクチャSが属性の集合Γを拒絶する場合(S303で拒絶)、処理を終了する。
【0071】
(S304:補完係数計算ステップ)
補完係数計算部430は、処理装置により、数141となるIと、Iに含まれる各整数iについて定数(補完係数)αiとを計算する。
【数141】
なお、Miとは、行列Mのi行目のことである。
【0072】
(S305:乱数生成ステップ)
乱数生成部251は、処理装置により、乱数ξと、乱数βi(i=1,...,L)とを数142に示すように生成する。
【数142】
【0073】
(S306:署名要素0生成ステップ)
署名要素0生成部252は、処理装置により、署名データσの要素である署名要素s*0を数143に示すように生成する。
【数143】
ここで、r*0は、数144(数110から数112及びこれらの数式の説明を参照)である。
【数144】
【0074】
(S307:署名要素i生成ステップ)
署名要素i生成部253は、処理装置により、i=1,...,Lの各整数iについて、署名データσの要素である署名要素s*iを数145に示すように生成する。
【数145】
ここで、r*iは、数146(数110から数112及びこれらの数式の説明を参照)である。
【数146】
また、γiとy→i:=(yi,i’(i’=1,...,nt)とは、数147である。
【数147】
【0075】
(S308:署名要素L+1生成ステップ)
署名要素L+1生成部254は、処理装置により、署名データσの要素である署名要素s*L+1を数148に示すように生成する。
【数148】
ここで、r*L+1は、数149(数110から数112及びこれらの数式の説明を参照)である。
【数149】
【0076】
(S309:データ送信ステップ)
署名データ送信部260は、署名要素s*0と、署名要素s*i(i=1,...,L)と、署名要素s*L+1と、メッセージmと、アクセスストラクチャS:=(M,ρ)とを含む署名データσを、例えば通信装置によりネットワークを介して検証装置300へ送信する。もちろん、署名データσは、他の方法により検証装置300へ送信されてもよい。
【0077】
つまり、(S301)から(S308)において、署名装置200は数150に示すSigアルゴリズムを実行して、署名データσを生成する。そして、(S309)で、署名装置200は生成された署名データσを検証装置300へ配布する。
【数150】
【0078】
検証装置300の機能と動作とについて説明する。
図8に示すように、検証装置300は、公開パラメータ取得部310、データ受信部320、検証鍵生成部330、ペアリング演算部340を備える。
また、検証鍵生成部330は、乱数生成部331、fベクトル生成部332、sベクトル生成部333、検証要素0生成部334、検証要素i生成部335、検証要素L+1生成部336を備える。
【0079】
図12に基づき、検証装置300が実行するVerアルゴリズムの処理について説明する。
(S401:公開パラメータ取得ステップ)
公開パラメータ取得部310は、例えば、通信装置によりネットワークを介して、鍵生成装置100が生成した公開パラメータpkを取得する。
【0080】
(S402:署名データ受信ステップ)
データ受信部320は、例えば、通信装置によりネットワークを介して、署名装置200が送信した署名データσを受信する。
【0081】
(S403:fベクトル生成ステップ)
fベクトル生成部332は、処理装置により、r個の要素を有するベクトルf→を数151に示すようにランダムに生成する。
【数151】
【0082】
(S404:sベクトル生成ステップ)
sベクトル生成部333は、処理装置により、(S402)で受信した署名データσに含まれるアクセスストラクチャSの(L行×r列)の行列Mと、(S403)で生成したr個の要素を有するベクトルf→とに基づき、ベクトルs→Tを数152に示すように生成する。
【数152】
また、sベクトル生成部333は、処理装置により、(S403)で生成したベクトルf→に基づき、値s0を数153に示すように生成する。なお、1→は、全ての要素が値1のベクトルである。
【数153】
【0083】
(S405:乱数生成ステップ)
乱数生成部331は、処理装置により、i=1,...,z0の各整数iについて乱数η0,iと、i=1,...,zd+1の各整数iについて乱数ηL+1,iと、乱数θL+1と、乱数sL+1とを数154に示すように生成する。
【数154】
【0084】
(S406:検証要素0生成ステップ)
検証要素0生成部334は、処理装置により、検証鍵の要素である検証要素c0を数155に示すように生成する。
【数155】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数155は、以下のように、基底B0の基底ベクトルの係数が設定されることを意味する。こでは、表記を簡略化して、基底ベクトルb0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb0,1,...,b0,3を意味する。
基底B0の基底ベクトル1の係数として−s0−sL+1が設定される。基底ベクトル1+1,...,1+u0+w0の係数として0が設定される。基底ベクトル1+u0+w0+1,...,1+u0+w0+z0の係数として乱数η0,1,...,η0,z0(ここで、z0はz0のことである)が設定される。
【0085】
(S407:検証要素i生成ステップ)
検証要素i生成部335は、処理装置により、i=1,...,Lの各整数iについて、検証鍵の要素である検証要素ciを数156に示すように生成する。
【数156】
つまり、数156は、数155と同様に、以下のように、基底Btの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbt,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1,...,bt,3を意味する。
ρ(i)が肯定形の組(t,v→i)である場合には、基底ベクトル1の係数としてsi+θivi,1が設定される。基底ベクトル2,...,ntの係数としてθivi,2,...,θivi,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1,...,nt+ut+wtの係数として0が設定される。基底ベクトルnt+ut+wt+1,...,nt+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
一方、ρ(i)が否定形の組¬(t,v→i)である場合には、基底ベクトル1,...,ntの係数としてsivi,1,...,θivi,nt(ここで、ntはntのことである)が設定される。基底ベクトル2の係数として−siが設定される。基底ベクトルnt+1,...,nt+ut+wtの係数として0が設定される。基底ベクトルnt+ut+wt+1,...,nt+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
なお、θi及びηi,i’(i’=1,...,zt)は乱数生成部233によって生成される一様乱数である。
【0086】
(S408:署名要素L+1生成ステップ)
検証要素L+1生成部336は、処理装置により、検証鍵の要素である検証要素cL+1を数157に示すように生成する。
【数157】
つまり、数157は、数155と同様に、以下のように、基底Bd+1の基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbd+1,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbd+1,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbd+1,1,...,bd+1,3を意味する。
基底ベクトル1の係数としてsL+1−θL+1・Hhkλ,D(m||S)が設定される。基底ベクトル2の係数としてθL+1が設定される。基底ベクトル2+1,...,2+ud+1+wd+1の係数として0が設定される。基底ベクトル2+ud+1+wd+1+1,...,2+ud+1+wd+1+zd+1の係数として乱数ηL+1,1,...,ηL+1,zd+1(ここで、zd+1はzd+1のことである)が設定される。
【0087】
(S409:第1ペアリング演算ステップ)
ペアリング演算部340は、処理装置により、ペアリング演算e(b0,1,s*0)を計算する。
ペアリング演算e(b0,1,s*0)を計算した結果が値1であれば、ペアリング演算部340は、署名の検証に失敗したことを示す値0を出力して、処理を終了する。一方、ペアリング演算e(b0,1,s*0)を計算した結果が値1でなければ、ペアリング演算部340は、処理をS410へ進める。
【0088】
(S410:第2ペアリング演算ステップ)
ペアリング演算部340は、処理装置により、数158に示すペアリング演算を計算する。
【数158】
数158に示すペアリング演算を計算した結果が値1であれば、ペアリング演算部340は、署名の検証に成功したことを示す値1を出力する。一方、その他の値であれば、ペアリング演算部340は、署名の検証に失敗したことを示す値0を出力する。
なお、数159に示すように、数158を計算することにより、署名データσが正当なものであれば、値1が得られる。
【数159】
【0089】
つまり、(S401)から(S410)において、検証装置300は、数160に示すVerアルゴリズムを実行して、署名データσを検証する。
【数160】
【0090】
以上のように、実施の形態1に係る署名処理システム10は、スパンプログラムと内積述語と秘密分散とを用いて構成したアクセスストラクチャSを用いて、属性ベース署名方式を実現する。特に、実施の形態1に係る署名処理システム10は、ノンモノトーンスパンプログラムを用いるため、ノンモノトーン述語を伴う属性ベース署名方式を実現する。
【0091】
実施の形態1に係る署名処理システム10が実現する属性ベース署名方式は、安全性が高く、プライバシー要件を満たしている。なお、安全性が高いとは、署名を他人に偽造される可能性が低いということである。
【0092】
なお、(S409)でペアリング演算e(b0,1,s*0)を行うのは、署名データσが、秘密である(マスター鍵skである)基底ベクトルb*0,1を用いることなく生成された署名データでないことを確認するためである。
ペアリング演算e(b0,1,s*0)は、署名要素s*0に基底ベクトルb*0,1が含まれているか、つまり基底ベクトルb*0,1の係数として0以外の値が設定されているかを確認する演算である。ペアリング演算e(b0,1,s*0)=1であれば、署名要素s*0では基底ベクトルb*0,1の係数として0が設定されており、署名データσは、基底ベクトルb*0,1を用いることなく生成された署名データであるということになる。したがって、この場合、署名データσは不正なものであると認められる。
【0093】
なお、上記説明において、ut、wt、zt(t=0,...,d+1)の次元は、安全性を高めるために設けた次元である。したがって、安全性が低くなってしまうが、ut、wt、zt(t=0,...,d+1)をそれぞれ0として、ut、wt、zt(t=0,...,d+1)の次元を設けなくてもよい。
【0094】
また、上記説明では、(S101)でNtにnt+ut+wt+ztを設定した。しかし、nt+ut+wt+ztをnt+nt+nt+1として、Ntに3nt+1を設定してもよい。ここで、n0は1であり、nt(t=1,...,d+1)は2である。
この場合、数135に示すSetupアルゴリズムは、数161のように書き換えられる。なお、Gobは数162のように書き換えられる。
【数161】
【数162】
また、数140に示すKeyGenアルゴリズムは、数163のように書き換えられる。
【数163】
また、数150に示すSigアルゴリズムは、数164のように書き換えられる。
【数164】
また、数159に示すVerアルゴリズムは、数165のように書き換えられる。
【数165】
【0095】
また、Setupアルゴリズムは、署名処理システム10のセットアップ時に一度実行すればよく、署名鍵を生成する度に実行する必要はない。また、上記説明では、SetupアルゴリズムとKeyGenアルゴリズムとを鍵生成装置100が実行するとしたが、SetupアルゴリズムとKeyGenアルゴリズムとをそれぞれ異なる装置が実行するとしてもよい。
【0096】
実施の形態2.
この実施の形態では、「分散多管理者属性ベース署名方式」について説明する。
第1に、「分散多管理者(Decentralized Multi−Authority)」という概念について説明する。
第2に、この実施の形態に係る「分散多管理者属性ベース署名方式」を説明する。まず、「分散多管理者属性ベース署名方式」の基本構成について説明する。次に、「分散多管理者属性ベース署名方式」を実現する「署名処理システム10」の基本構成について説明する。そして、この実施の形態に係る「分散多管理者属性ベース署名方式」及び「署名処理システム10」について詳細に説明する。
【0097】
<第1.分散多管理者という概念>
まず、「多管理者」について説明する。多管理者とは、署名鍵を生成する管理者が複数存在するという意味である。
一般的な署名処理システムでは、システム全体のセキュリティはある1つの機関(管理者)に依存している。例えば、実施の形態1で説明した署名処理システム10であれば、システム全体のセキュリティは、マスター鍵skを生成する鍵生成装置100に依存している。鍵生成装置100のセキュリティが破られたり、マスター鍵skが漏洩した場合、署名処理システム10は全体が機能しなくなる。
しかし、多管理者とすることで、一部の管理者のセキュリティが破られたり、一部の管理者の秘密鍵(マスター鍵)が漏洩した場合であっても、署名処理システムの一部だけが機能しなくなるだけであり、他の部分については正常に機能する状態とすることができる。
【0098】
図13は、多管理者の説明図である。
図13では、役所が、住所、電話番号、年齢等の属性について管理する。また、警察が、運転免許の種別等の属性について管理する。また、会社Aが、会社Aにおける役職、会社Aにおける所属等の属性について管理する。そして、役所が管理する属性を示すための署名鍵1は役所が発行し、警察が管理する属性を示すための署名鍵2は警察が発行し、会社Aが管理する属性を示すための署名鍵3は会社Aが発行する。
署名をする署名者は、役所、警察、会社A等の各管理者が発行した署名鍵1,2,3を合わせた署名鍵用い、署名データを生成する。つまり、署名者から見た場合、各管理者から発行された署名鍵を合わせたものが、自分に発行された1つの署名鍵となる。
例えば、会社Aのマスター鍵が漏洩した場合、署名処理システムは、会社Aの属性に関しては機能しなくなるが、他の管理者が管理する属性に関しては機能する。つまり、署名データの検証ができた場合、会社Aが管理する属性については信頼できないが、他の属性については信頼することができる。
【0099】
また、図13の例からも分かるように、属性ベース署名では、複数の管理者が存在し、各管理者が属性におけるあるカテゴリー(部分空間)又は定義域を管理し、そのカテゴリーにおけるユーザの属性についての署名鍵(の一片)を発行することが自然である。
【0100】
次に、「分散(Decentralized)」について説明する。分散とは、どの機関も管理者となることができ、他の機関とやりとりすることなく、署名鍵(の一片)を発行することができ、各ユーザが他の機関とやりとりすることなく、管理者から署名鍵(の一片)を取得できることである。
例えば、中央管理者がいる場合、分散とは言えない。中央管理者とは、他の管理者よりも上位の管理者である。中央管理者のセキュリティが破られた場合、全ての管理者のセキュリティが破られてしまう。
【0101】
<第2.分散多管理者属性ベース署名方式の構成>
<第2−1.分散多管理者属性ベース署名方式の基本構成>
分散多管理者属性ベース署名方式は、GSetup、ASetup、AttrGen、Sig、Verの4つのアルゴリズムを備える。
(GSetup)
GSetupアルゴリズムは、セキュリティパラメータλが入力され、公開パラメータgparamを出力する確率的アルゴリズムである。
(ASetup)
ASetupアルゴリズムは、公開パラメータgparamと、管理者の識別情報tとを入力として、管理者秘密鍵asktと、管理者公開パラメータapktとを出力する確率的アルゴリズムである。
(AttrGen)
AttrGenアルゴリズムは、公開パラメータgparamと、管理者の識別情報tと、管理者秘密鍵asktと、ユーザの識別情報gidと、属性x→t:=(xt,i)(i=1,...,nt)∈Fqとを入力として、署名鍵uskgid,(t,xt)を出力する確率的アルゴリズムである。
(Sig)
Sigアルゴリズムは、公開パラメータgparamと、署名鍵uskgid,(t,xt)と、メッセージmと、アクセスストラクチャS:=(M,ρ)とを入力として、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを出力する確率的アルゴリズムである。
(Ver)
Verアルゴリズムは、署名データσと、公開パラメータgparamと、管理者公開パラメータapktとを入力として、ブール値1(受理)又は0(拒絶)を出力するアルゴリズムである。
【0102】
<第2−2.署名処理システム10>
上述した分散多管理者属性ベース署名方式のアルゴリズムを実行する署名処理システム10について説明する。
図14は、分散多管理者属性ベース署名方式のアルゴリズムを実行する署名処理システム10の構成図である。
署名処理システム10は、複数の鍵生成装置100、署名装置200、検証装置300を備える。
いずれか(1つ)の鍵生成装置100は、セキュリティパラメータλを入力としてGSetupアルゴリズムを実行して、公開パラメータgparamを生成する。そして、その鍵生成装置100は、生成した公開パラメータgparamを公開する。
各鍵生成装置100は、公開パラメータgparamと、その鍵生成装置100に割り当てられた識別情報tとを入力としてASetupアルゴリズムを実行して、管理者秘密鍵asktと、管理者公開パラメータapktとを生成する。そして、各鍵生成装置100は、公開パラメータgparamと、その鍵生成装置100に割り当てられた識別情報tと、管理者秘密鍵asktと、ユーザの識別情報gidと、属性xt:=(xt,i)(i=1,...,nt)∈Fqとを入力としてAttrGenアルゴリズムを実行して、署名鍵uskgid,(t,xt)を生成して署名装置200へ秘密裡に配布する。
署名装置200は、公開パラメータgparamと、署名鍵uskgid,(t,xt)と、メッセージmと、アクセスストラクチャS:=(M,ρ)とを入力としてSigアルゴリズムを実行して、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを生成する。署名装置200は、生成した署名データσを検証装置300へ送信する。
検証装置300は、署名データσと、公開パラメータgparamと、管理者公開パラメータapktとを入力としてVerアルゴリズムを実行して、ブール値1(受理)又は0(拒絶)を出力する。
【0103】
<第2−3.分散多管理者属性ベース署名方式及び署名処理システム10の詳細>
図15から図22に基づき、分散多管理者属性ベース署名方式、及び、分散多管理者属性ベース署名方式を実行する署名処理システム10の機能と動作とについて説明する。
図15は、各鍵生成装置100の機能を示す機能ブロック図である。図16は、署名装置200の機能を示す機能ブロック図である。図17は、検証装置300の機能を示す機能ブロック図である。
図18から図20は、鍵生成装置100の動作を示すフローチャートである。なお、図18はGSetupアルゴリズムの処理を示すフローチャートであり、図19はASetupアルゴリズムの処理を示すフローチャートであり、図20はAttrGenアルゴリズムの処理を示すフローチャートである。図21は、署名装置200の動作を示すフローチャートであり、Sigアルゴリズムの処理を示すフローチャートである。図22は、検証装置300の動作を示すフローチャートであり、Verアルゴリズムの処理を示すフローチャートである。
【0104】
鍵生成装置100の機能と動作とについて説明する。
図15に示すように、鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、情報入力部130(第1情報入力部)、署名鍵生成部140、鍵配布部150(署名鍵送信部)を備える。
また、マスター鍵生成部110は、グローバルパラメータ生成部111、管理者秘密鍵生成部112を備える。署名鍵生成部140は、乱数生成部141、鍵要素生成部145を備える。
【0105】
まず、図18に基づき、鍵生成装置100が実行するGSetupアルゴリズムの処理について説明する。なお、上述したように、GSetupアルゴリズムは、複数の鍵生成装置100のうち1つの鍵生成装置100が実行すればよい。
(S501:セキュリティパラメータ入力ステップ)
グローバルパラメータ生成部111は、入力装置により、セキュリティパラメータλ(1λ)を入力する。
【0106】
(S502:双線形ペアリング群生成ステップ)
グローバルパラメータ生成部111は、処理装置により、S501で入力したセキュリティパラメータλ(1λ)を入力としてアルゴリズムGbpgを実行して、ランダムに双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を生成する。
【0107】
(S503:パラメータ生成ステップ)
ハッシュ関数H1とH2とを、数166に示すハッシュ関数とする。
【数166】
グローバルパラメータ生成部111は、処理装置により、数167に示すグローバルパラメータgparamの要素G0,G1,G2,G3,G4を生成する。
【数167】
また、グローバルパラメータ生成部111は、gt:=e(G0,G1)、g4:=e(G0,G4)とする。
【0108】
(S504:パラメータ記憶ステップ)
マスター鍵記憶部120は、(S502)で生成したparamGと、(S503)でグローバルパラメータ生成部111が設定したハッシュ関数H1,H2と、生成した要素G0,G1,G2,G3,G4と、設定した値gt,g4とを、グローバルパラメータgparamとして記憶装置に記憶する。
【0109】
つまり、(S501)から(S503)において、鍵生成装置100は数168に示すGSetupアルゴリズムを実行して、グローバルパラメータgparamを生成する。そして、(S504)で、鍵生成装置100は生成されたグローバルパラメータgparamを記憶装置に記憶する。
なお、グローバルパラメータgparamは、例えば、ネットワークを介して公開され、他の鍵生成装置100や署名装置200や検証装置300が取得可能な状態にされる。
【数168】
【0110】
次に、図19に基づき、鍵生成装置100が実行するASetupアルゴリズムの処理について説明する。なお、上述したように、ASetupアルゴリズムは、複数の鍵生成装置100全てが実行してもよいし、複数の鍵生成装置100のうち一部の鍵生成装置100だけが実行してもよい。
(S601:情報入力ステップ)
情報入力部130は、入力装置により、自己(その鍵生成装置100)に割り当てられた識別情報tを入力する。なお、各鍵生成装置100には、それぞれ異なる識別情報tが割り当てられている。
また、情報入力部130は、例えば、通信装置によりネットワークを介して、グローバルパラメータgparamを取得する。なお、自己がグローバルパラメータgparamを生成した鍵生成装置100である場合には、グローバルパラメータgparamをマスター鍵記憶部120から読み出せばよい。
【0111】
(S602:空間生成ステップ)
管理者秘密鍵生成部112は、処理装置により、セキュリティパラメータλ(1λ)と、Nt=2nt+2+ut+wt+ztと、paramG:=(q,G,GT,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVt:=(q,Vt,GT,At,e)の値を生成する。
なお、nt,ut,wt,ztは、1以上の整数である。
【0112】
(S603:基底U生成ステップ)
管理者秘密鍵生成部112は、処理装置により、l=1,...,4の各整数lについて、基底Ulを数169に示すように生成する。
【数169】
【0113】
(S604:線形変換生成ステップ)
管理者秘密鍵生成部112は、処理装置により、nt+ut+wt+ztと、Fqとを入力として、線形変換Xt:=(χt,i,j)i,jを数170に示すようにランダムに生成する。
【数170】
【0114】
(S605:基底B生成ステップ)
管理者秘密鍵生成部112は、処理装置により、基底Bt及び基底B*tを数171に示すように生成する。
【数171】
また、管理者秘密鍵生成部112は、π,π’,μ∈Fqを、G2=πG1,G3=π’G1,G3=μG1となる値とする。すると、数172となる。
【数172】
【0115】
(S606:基底B^生成ステップ)
管理者秘密鍵生成部112は、処理装置により、基底Btの部分基底B^tと、基底B*の部分基底B^*tとを数173に示すように生成する。
【数173】
【0116】
(S607:マスター鍵記憶ステップ)
マスター鍵記憶部120は、(S602)で生成したパラメータparamVtと、(S606)で生成した部分基底B^t及び部分基底B^*tとを管理者公開パラメータapktとして記憶装置に記憶する。また、マスター鍵記憶部120は、(S604)で生成した線形変換Xtを管理者秘密鍵asktとして記憶装置に記憶する。
【0117】
つまり、(S601)から(S606)において、鍵生成装置100は数174に示すASetupアルゴリズムを実行して、管理者公開パラメータapktと管理者秘密鍵asktとを生成する。そして、(S607)で、鍵生成装置100は生成された管理者公開パラメータapktと管理者秘密鍵asktとを記憶装置に記憶する。
なお、管理者公開パラメータapktは、例えば、ネットワークを介して公開され、署名装置200や検証装置300が取得可能な状態にされる。
【数174】
【0118】
次に、図20に基づき、鍵生成装置100が実行するAttrGenアルゴリズムの処理について説明する。なお、上述したように、AttrGenアルゴリズムは、複数の鍵生成装置100のうち、ASetupアルゴリズムを実行した鍵生成装置100が実行する。
(S701:情報入力ステップ)
情報入力部130は、入力装置により、自己(その鍵生成装置100)に割り当てられた識別情報tと、署名鍵を発行するユーザの識別情報gidと、属性情報x→t:=(xt,i)(i=1,...,nt)とを入力する。
また、情報入力部130は、例えば、通信装置によりネットワークを介して、グローバルパラメータgparamを取得する。なお、自己がグローバルパラメータgparamを生成した鍵生成装置100である場合には、グローバルパラメータgparamをマスター鍵記憶部120から読み出せばよい。
また、情報入力部130は、マスター鍵記憶部120から管理者秘密鍵asktを読み出す。
【0119】
(S702:乱数生成ステップ)
乱数生成部141は、処理装置により、識別情報tとj=1,2の各整数jとについて、乱数φ→t,jを数175に示すように生成する。
【数175】
【0120】
(S703:鍵要素生成ステップ)
数176であるとする。
【数176】
鍵要素生成部145は、処理装置により、識別情報tとj=1,2の各整数jとについて、署名鍵uskgid,(t,xt)の要素である鍵要素k*t,jを数177に示すように生成する。
【数177】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数177は、以下のように、基底B*tの基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb*t,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*t,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*t,1,...,b*t,3を意味する。
基底ベクトル1,...,ntの係数として(δj+1)xt,1,...,(δj+1)xt,nt(ここで、ntはntのことである)が設定される。基底tクトルnt+1,...,2ntの係数として−δjxt,1,...,−δjxt,nt(ここで、ntはntのことである)が設定される。基底ベクトル2nt+1,...,2nt+2+utの係数として0が設定される。基底ベクトル2nt+2+ut+1,...,2nt+2+ut+wtの係数として乱数φt,j、1,...,φt,j,wt(ここで、wtはwtのことである)が設定される。基底ベクトル2nt+2+ut+wt+1,...,2nt+2+ut+wt+ztの係数として0が設定される。
【0121】
(S704:鍵配布ステップ)
鍵配布部150は、ユーザの識別情報gidと、識別情報t及び属性情報x→tと、鍵要素k*t,jとを要素とする署名鍵uskgid,(t,xt)を、例えば通信装置によりネットワークを介して秘密裡に署名装置200へ配布する。もちろん、署名鍵uskgid,(t,xt)は、他の方法により署名装置200へ配布されてもよい。
【0122】
つまり、(S701)から(S703)において、鍵生成装置100は数178に示すAttrGenアルゴリズムを実行して、署名鍵uskgid,(t,xt)を生成する。そして、(S704)で、鍵生成装置100は生成された署名鍵uskgid,(t,xt)を署名装置200へ配布する。
【数178】
【0123】
署名装置200の機能と動作とについて説明する。
図16に示すように、署名装置200は、署名鍵取得部210、情報入力部220(第2情報入力部)、スパンプログラム計算部230、補完係数計算部240、署名データ生成部250、署名データ送信部260(署名データ出力部)を備える。
また、情報入力部220は、述語情報入力部221、メッセージ入力部222を備える。また、署名データ生成部250は、乱数生成部251、署名要素生成部255を備える。
【0124】
図21に基づき、署名装置200が実行するSigアルゴリズムの処理について説明する。
(S801:署名鍵取得ステップ)
署名鍵取得部210は、例えば、通信装置によりネットワークを介して、各鍵生成装置100が生成した署名鍵uskgid,(t,xt)を取得する。また、署名鍵取得部210は、鍵生成装置100が生成したグローバルパラメータgparamを取得する。
【0125】
(S802:情報入力ステップ)
述語情報入力部221は、入力装置により、アクセスストラクチャS:=(M,ρ)を入力する。なお、行列Mは、L行×r列の行列である。L,rは、1以上の整数である。
また、メッセージ入力部222は、入力装置により、署名を付すメッセージmを入力する。
なお、アクセスストラクチャSの行列Mの設定については、実現したいシステムの条件に応じて設定されるものである。
【0126】
(S803:スパンプログラム計算ステップ)
スパンプログラム計算部230は、処理装置により、(S802)で入力したアクセスストラクチャSが、(S801)で取得した署名鍵uskgid,(t,xt)に含まれる属性情報x→tの集合Γを受理するか否かを判定する。
なお、アクセスストラクチャが属性の集合を受理するか否かの判定方法は、実施の形態1における「第3.関数型暗号を実現するための概念」で説明した通りである。
スパンプログラム計算部230は、アクセスストラクチャSが属性の集合Γを受理する場合(S803で受理)、処理を(S804)へ進める。一方、アクセスストラクチャSが属性情報x→tの集合Γを拒絶する場合(S803で拒絶)、処理を終了する。
【0127】
(S804:補完係数計算ステップ)
補完係数計算部430は、処理装置により、数179となるIと、Iに含まれる各整数iについて定数(補完係数)αiとを計算する。
【数179】
なお、Miとは、行列Mのi行目のことである。
【0128】
(S805:乱数生成ステップ)
乱数生成部251は、処理装置により、乱数ξ1,ξ2と、乱数βi,βi’(i=1,...,L)とを数180に示すように生成する。
【数180】
【0129】
(S806:署名要素生成ステップ)
署名要素生成部255は、処理装置により、i=1,...,Lの各整数iについて、署名データσの要素である署名要素s*iを数181に示すように生成する。
【数181】
ここで、r*iは、数182(数110から数112及びこれらの数式の説明を参照)である。
【数182】
また、γiとy→i:=(yi,i’)(i’=1,...,nt)とy’→i:=(y’i,i’)(i’=1,...,nt)とは、数183である。
【数183】
【0130】
(S807:データ送信ステップ)
署名データ送信部260は、署名要素s*i(i=1,...,L)と、メッセージmと、アクセスストラクチャS:=(M,ρ)と、g0:=g4ξ2(ここで、ξ2はξ2である)とを含む署名データσを、例えば通信装置によりネットワークを介して検証装置300へ送信する。もちろん、署名データσは、他の方法により検証装置300へ送信されてもよい。
【0131】
つまり、(S801)から(S806)において、署名装置200は数184に示すSigアルゴリズムを実行して、署名データσを生成する。そして、(S807)で、署名装置200は生成された署名データσを検証装置300へ配布する。
【数184】
【0132】
検証装置300の機能と動作とについて説明する。
図17に示すように、検証装置300は、公開パラメータ取得部310、データ受信部320(データ取得部)、検証鍵生成部330、ペアリング演算部340を備える。
また、検証鍵生成部330は、乱数生成部331、fベクトル生成部332、sベクトル生成部333、検証要素生成部337を備える。
【0133】
図22に基づき、検証装置300が実行するVerアルゴリズムの処理について説明する。
(S901:公開パラメータ取得ステップ)
公開パラメータ取得部310は、例えば、通信装置によりネットワークを介して、各鍵生成装置100が生成したグローバルパラメータgparamと、管理者公開パラメータapktとを取得する。
【0134】
(S902:署名データ受信ステップ)
データ受信部320は、例えば、通信装置によりネットワークを介して、署名装置200が送信した署名データσを受信する。
【0135】
(S903:fベクトル生成ステップ)
fベクトル生成部332は、処理装置により、r個の要素を有するベクトルf→を数185に示すようにランダムに生成する。
【数185】
【0136】
(S904:sベクトル生成ステップ)
sベクトル生成部333は、処理装置により、(S902)で受信した署名データσに含まれるアクセスストラクチャSの(L行×r列)の行列Mと、(S903)で生成したr個の要素を有するベクトルf→とに基づき、ベクトルs→Tを数186に示すように生成する。
【数186】
また、sベクトル生成部333は、処理装置により、(S903)で生成したベクトルf→に基づき、値s0を数187に示すように生成する。なお、1→は、全ての要素が値1のベクトルである。
【数187】
【0137】
(S905:f’ベクトル生成ステップ)
fベクトル生成部332は、処理装置により、r個の要素を有するベクトルf→’を数188に示すようにランダムに生成する。
【数188】
【0138】
(S906:s’ベクトル生成ステップ)
sベクトル生成部333は、処理装置により、(L行×r列)の行列Mと、r個の要素を有するベクトルf→’とに基づき、ベクトル(s→’)Tを数189に示すように生成する。
【数189】
【0139】
(S907:乱数生成ステップ)
乱数生成部331は、処理装置により、乱数σ→と値σ0とを数190に示すように生成する。
【数190】
【0140】
(S908:検証要素生成ステップ)
検証要素生成部337は、処理装置により、i=1,...,Lの各整数iについて、検証鍵の要素である検証要素ciを数191に示すように生成する。
【数191】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数191は、以下のように、基底Btの基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルbt,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1,...,bt,3を意味する。
ρ(i)が肯定形の組(t,v→i)である場合には、基底ベクトル1の係数としてsi+θivi,1が設定される。基底ベクトル2,...,ntの係数としてθivi,2,...,θivi,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1の係数としてsi’+θi’vi,1が設定される。基底ベクトルnt+2,...,2ntの係数としてθi’vi,2,...,θi’vi,nt(ここで、ntはntのことである)が設定される。基底ベクトル2nt+1の係数としてσi−θi’’H2(m,S)が設定される。なお、H2(m,S)とは、ハッシュ関数H2の入力として、メッセージmとアクセスストラクチャSとが与えられることを意味する。例えば、H2(m||S)としてもよい。基底ベクトル2nt+2の係数としてθi’’が設定される。基底ベクトル2nt+2+1,...,2nt+2+ut+wtの係数として0が設定される。基底ベクトル2nt+2+ut+wt+1,...,2nt+2+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
一方、ρ(i)が否定形の組¬(t,v→i)である場合には、基底ベクトル1,...,ntの係数としてsivi,1,...,sivi,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1,...,2ntの係数としてsi’vi,1,...,si’vi,nt(ここで、ntはntのことである)が設定される。基底ベクトル2nt+1の係数としてσi−θi’’H2(m,S)が設定される。基底ベクトル2nt+2の係数としてθi’’が設定される。基底ベクトル2nt+2+1,...,2nt+2+ut+wtの係数として0が設定される。基底ベクトル2nt+2+ut+wt+1,...,2nt+2+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
【0141】
(S909:ペアリング演算ステップ)
ペアリング演算部340は、処理装置により、数192に示すペアリング演算を計算する。
【数192】
数192に示すペアリング演算を計算した結果が値gTs0g0σ0(ここでs0はs0であり、σ0はσ0である)であれば、ペアリング演算部340は、署名の検証に成功したことを示す値1を出力する。一方、その他の値であれば、ペアリング演算部340は、署名の検証に失敗したことを示す値0を出力する。
なお、数193に示すように、数192を計算することにより、署名データσが正当なものであれば、値1が得られる。
【数193】
【0142】
つまり、(S901)から(S909)において、検証装置300は、数194に示すVerアルゴリズムを実行して、署名データσを検証する。
【数194】
【0143】
以上のように、実施の形態2に係る署名処理システム10は、複数の鍵生成装置100が署名鍵を生成する多管理者属性ベース署名方式を実現する。特に、署名処理システム10が実現する署名方式は、中央管理者がいない分散多管理者属性ベース署名方式である。
なお、実施の形態2に係る署名処理システム10は、実施の形態1に係る署名処理システム10と同様に、ノンモノトーン述語を伴う属性ベース署名方式を実現する。
【0144】
実施の形態2に係る署名処理システム10が実現する属性ベース署名方式は、安全性が高く、プライバシー要件を満たしている。
【0145】
なお、上記説明において、ut、wt、zt(t=1,...,d)の次元は、安全性を高めるために設けた次元である。したがって、安全性が低くなってしまうが、ut、wt、zt(t=1,...,d)をそれぞれ0として、ut、wt、zt(t=1,...,d)の次元を設けなくてもよい。
【0146】
また、上記説明では、基底Bt及び基底B*tの次元数を2nt+2+ut+wt+ztに設定した。しかし、2nt+2+ut+wt+ztを2+2+2+6+4+1として、基底Bt及び基底B*tの次元数を17としてもよい。
この場合、数168に示すGSetupアルゴリズムは、数195のように書き換えられる。
【数195】
また、数174に示すASetupアルゴリズムは、数196のように書き換えられる。
【数196】
また、数178に示すAttrGenアルゴリズムは、数197のように書き換えられる。
【数197】
また、数184に示すSigアルゴリズムは、数198のように書き換えられる。
【数198】
また、数194に示すVerアルゴリズムは、数199のように書き換えられる。
【数199】
【0147】
また、GSetupアルゴリズムは、署名処理システム10のセットアップ時にいずれかの鍵生成装置100が一度実行すればよく、署名鍵を生成する度に実行する必要はない。同様に、ASetupアルゴリズムは、署名処理システム10のセットアップ時に各鍵生成装置100が一度実行すればよく、署名鍵を生成する度に実行する必要はない。
また、上記説明では、GSetupアルゴリズムとASetupアルゴリズムとKeyGenアルゴリズムとを鍵生成装置100が実行するとしたが、GSetupアルゴリズムとASetupアルゴリズムとKeyGenアルゴリズムとをそれぞれ異なる装置が実行するとしてもよい。
【0148】
実施の形態3.
以上の実施の形態では、双対ベクトル空間において署名処理を実現する方法について説明した。この実施の形態では、双対加群において署名処理を実現する方法について説明する。
【0149】
つまり、以上の実施の形態では、素数位数qの巡回群において署名処理を実現した。しかし、合成数Mを用いて数200のように環Rを表した場合、環Rを係数とする加群においても、上記実施の形態で説明した署名処理を適用することができる。
【数200】
【0150】
実施の形態1で説明した属性ベース署名方式を、環Rを係数とする加群において実現すると数201から数205のようになる。
【数201】
【数202】
【数203】
【数204】
【数205】
【0151】
実施の形態2で説明した分散多管理者属性ベース署名方式を、環Rを係数とする加群において実現すると数206から数210のようになる。
【数206】
【数207】
【数208】
【数209】
【数210】
【0152】
なお、安全性の証明の観点から、以上の実施の形態において、i=1,...,Lの各整数iについてのρ(i)は、それぞれ異なる識別情報tについての肯定形の組(t,v→i)又は否定形の組¬(t,v→i)であると限定してもよい。
言い替えると、ρ(i)=(t,v→i)又はρ(i)=¬(t,v→i)である場合に、関数ρ〜を、ρ〜(i)=tである{1,...,L}→{1,..,d}の写像であるとする。この場合、ρ〜が単射であると限定してもよい。なお、ρ(i)は、上述したアクセスストラクチャS:=(M,ρ(i))のρ(i)である。
【0153】
また、上記説明では、スパンプログラムM^は、入力列δによって行列M^から得られる行列Mδの行を線形結合して1→が得られる場合に限り、入力列δを受理するとした。しかし、スパンプログラムM^は、1→ではなく、他のベクトルh→が得られる場合に限り、入力列δを受理するとしてもよい。
この場合、KeyGenアルゴリズムにおいて、s0:=1→・f→Tではなく、s0:=h→・f→Tとすればよい。
【0154】
次に、実施の形態における署名処理システム10(鍵生成装置100、署名装置200、検証装置300)のハードウェア構成について説明する。
図23は、鍵生成装置100、署名装置200、検証装置300のハードウェア構成の一例を示す図である。
図23に示すように、鍵生成装置100、署名装置200、検証装置300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
【0155】
ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置の一例である。さらに、LCD901は、表示装置の一例である。
【0156】
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
【0157】
プログラム群923には、上記の説明において「マスター鍵生成部110」、「マスター鍵記憶部120」、「情報入力部130」、「署名鍵生成部140」、「鍵配布部150」、「署名鍵取得部210」、「情報入力部220」、「スパンプログラム計算部230」、「補完係数計算部240」、「署名データ生成部250」、「署名データ送信部260」、「公開パラメータ取得部310」、「データ受信部320」、「検証鍵生成部330」、「ペアリング演算部340」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「公開パラメータ」、「マスター鍵」、「署名データσ」、「署名鍵」、「アクセスストラクチャS」、「属性情報」、「属性の集合Γ」、「メッセージm」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0158】
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
【符号の説明】
【0159】
10 署名処理システム、100 鍵生成装置、110 マスター鍵生成部、111 グローバルパラメータ生成部、112 管理者秘密鍵生成部、120 マスター鍵記憶部、130 情報入力部、140 署名鍵生成部、141 乱数生成部、142 鍵要素0生成部、143 鍵要素t生成部、144 鍵要素d+1生成部、145 鍵要素生成部、150 鍵配布部、200 署名装置、210 署名鍵取得部、220 情報入力部、221 述語情報入力部、222 メッセージ入力部、230 スパンプログラム計算部、240 補完係数計算部、250 署名データ生成部、251 乱数生成部、252 署名要素0生成部、253 署名要素i生成部、254 署名要素L+1生成部、255 署名要素生成部、260 署名データ送信部、300 検証装置、310 公開パラメータ取得部、320 データ受信部、330 検証鍵生成部、331 乱数生成部、332 fベクトル生成部、333 sベクトル生成部、334 検証要素0生成部、335 検証要素i生成部、336 検証要素L+1生成部、337 検証要素生成部、340 ペアリング演算部。
【技術分野】
【0001】
この発明は、属性ベース署名(Attribute−Based Signatures,ABS)方式に関するものである。
【背景技術】
【0002】
非特許文献26,29,30,34−37,45,51には、属性ベース署名方式に関する記載がある。特に、非特許文献36,37には、モノトーン述語をサポートした属性ベース署名方式についての記載がある。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Beimel, A., Secure schemes for secret sharing and key distribution. PhD Thesis, Israel Institute of Tech−nology, Technion, Haifa, Israel, 1996.
【非特許文献2】Belenkiy, M., Camenisch, J., Chase, M., Kohlweiss, M., Lysyanskaya, A. and Shacham, H.: Randomizable proofs and delegatable anonymous credentials. CRYPTO 2009. LNCS, Springer Heidelberg (2009)
【非特許文献3】Belenkiy, M., Chase, M., Kohlweiss, M. and Lysyanskaya, A.: P−signatures and noninteractive anonymous credentials. TCC 2008, LNCS, Springer Heidelberg (2008)
【非特許文献4】Bethencourt, J., Sahai, A., Waters, B.: Ciphertext−policy attribute−based encryption. In: 2007 IEEE Sym−posium on Security and Privacy, pp. 321.334. IEEE Press (2007)
【非特許文献5】Boneh, D., Boyen, X.: Efficient selective−ID secure identity based encryption without random oracles. In:Cachin, C., Camenisch, J. (eds.) EUROCRYPT 2004. LNCS, vol. 3027, pp. 223.238. Springer Heidelberg (2004)
【非特許文献6】Boneh, D., Boyen, X.: Secure identity based encryption without random oracles. In: Franklin, M.K. (ed.) CRYPTO 2004. LNCS, vol. 3152, pp. 443.459. Springer Heidelberg (2004)
【非特許文献7】Boneh, D., Boyen, X., Goh, E.: Hierarchical identity based encryption with constant size ciphertext. In:Cramer, R. (ed.) EUROCRYPT 2005. LNCS, vol. 3494, pp. 440.456. Springer Heidelberg (2005)
【非特許文献8】Boneh, D., Franklin, M.: Identity−based encryption from the Weil pairing. In: Kilian, J. (ed.) CRYPTO 2001. LNCS, vol. 2139, pp. 213.229. Springer Heidelberg (2001)
【非特許文献9】Boneh, D., Hamburg, M.: Generalized identity based and broadcast encryption scheme. In: Pieprzyk, J.(ed.) ASIACRYPT 2008. LNCS, vol. 5350, pp. 455.470. Springer Heidelberg (2008)
【非特許文献10】Boneh, D., Katz, J., Improved efficiency for CCA−secure cryptosystems built using identity based encryp−tion. RSA−CT 2005, LNCS, Springer Verlag (2005)
【非特許文献11】Boneh, D., Waters, B.: Conjunctive, subset, and range queries on encrypted data. In: Vadhan, S.P. (ed.) TCC 2007. LNCS, vol. 4392, pp. 535.554. Springer Heidelberg (2007)
【非特許文献12】X. Boyen: Mesh signatures. EUROCRYPT, LNCS, vol. 4515, pp. 210.227. Springer (2007).
【非特許文献13】Boyen, X., Waters, B.: Anonymous hierarchical identity−based encryption (without random oracles). In:Dwork, C. (ed.) CRYPTO 2006. LNCS, vol. 4117, pp. 290.307. Springer Heidelberg (2006)
【非特許文献14】Camenisch, J. and Gross, T.: Efficient attributes for anonymous credentials. CCS 2008.
【非特許文献15】Camenisch, J. and Lysyanskaya, A.: An efficient system for non−transferable anonymous credentials with optinal anonymity revocation. Eurocrypt 2001.
【非特許文献16】Camenisch, J. and Lysyanskaya, A.: Signature schemes and anonymous credentials from bilinear maps. Crypto 2004.
【非特許文献17】Canetti, R., Halevi S., Katz J., Chosen−ciphertext security from identity−based encryption. EUROCRYPT 2004, LNCS, Springer−Verlag (2004)
【非特許文献18】Chaum, D.: Security without identification: Transaction systems to make big brother obsolete. CACM (1985).
【非特許文献19】D. Chaum and E. van Heyst: Group signatures. In proceedings of EUROCRYPT’91, LNCS, vol. 547, pp.257.265 (1991).
【非特許文献20】Cocks, C.: An identity based encryption scheme based on quadratic residues. In: Honary, B. (ed.) IMA Int. Conf. LNCS, vol. 2260, pp. 360.363. Springer Heidelberg (2001)
【非特許文献21】Gentry, C.: Practical identity−based encryption without random oracles. In: Vaudenay, S. (ed.) EURO−CRYPT 2006. LNCS, vol. 4004, pp. 445.464. Springer Heidelberg (2006)
【非特許文献22】Gentry, C., Halevi, S.: Hierarchical identity−based encryption with polynomially many levels. In: Reingold,O. (ed.) TCC 2009. LNCS, vol. 5444, pp. 437.456. Springer Heidelberg (2009)
【非特許文献23】Gentry, C., Silverberg, A.: Hierarchical ID−based cryptography. In: Zheng, Y. (ed.) ASIACRYPT 2002.LNCS, vol. 2501, pp. 548.566. Springer Heidelberg (2002)
【非特許文献24】Goyal, V., Pandey, O., Sahai, A., Waters, B.: Attribute−based encryption for fine−grained access control of encrypted data. In: ACM Conference on Computer and Communication Security 2006, pp. 89.98, ACM (2006)
【非特許文献25】Groth, J., Sahai, A.: Efficient non−interactive proof systems for bilinear groups. In: Smart, N.P. (ed.) EUROCRYPT 2008. LNCS, vol. 4965, pp. 415.432. Springer Heidelberg (2008)
【非特許文献26】S. Guo and Y. Zeng: Attribute−based Signature Scheme, In ISA’08, pp. 509.511 (2008).
【非特許文献27】Horwitz, J., Lynn, B.: Towards hierarchical identity−based encryption. In: Knudsen, L.R. (ed.) EURO−CRYPT 2002. LNCS, vol. 2332, pp. 466.481. Springer Heidelberg (2002)
【非特許文献28】Katz, J., Sahai, A., Waters, B.: Predicate encryption supporting disjunctions, polynomial equations, and inner products. In: Smart, N.P. (ed.) EUROCRYPT 2008. LNCS, vol. 4965, pp. 146.162. Springer Heidel−berg (2008)
【非特許文献29】D. Khader: Attribute Based Group Signatures, Cryptology ePrint Archive, Report 2007/159 (2007). http://eprint.iacr.org/2007/159.
【非特許文献30】D. Khader: Attribute Based Group Signature with Revocation. Cryptology ePrint Archive, Report 2007/241, (2007). http://eprint.iacr.org/2007/241.
【非特許文献31】Lewko, A., Okamoto, T., Sahai, A., Takashima, K. and Waters, B.: Fully Secure Functional Encryption:Attribute−Based Encryption and (Hierarchical) Inner Product Encryption, EUROCRYPT 2010. LNCS,Springer Heidelberg (2010)
【非特許文献32】Lewko, A.B., Waters, B.: Fully secure HIBE with short ciphertexts. ePrint, IACR, http://eprint.iacr.org/2009/482
【非特許文献33】Lewko, A.B., Waters, B.: Decentralizing Attribute−Based Encryption, ePrint, IACR, http://eprint.iacr.org/2010/351.
【非特許文献34】Jin Li, Man Ho Au, Willy Susilo, Dongqing Xie, Kui Ren: Attribute−based Signature and its Application,ASIACCS’ 2010, ACM (2010)
【非特許文献35】J. Li and K. Kim: Attribute−based ring signatures. 2008. Available at http://eprint.iacr.org/2008/394. To appear in Journal of Information Sciences.
【非特許文献36】Maji, H., Prabhakaran, M., Rosulek, M.: Attribute−Based Signatures: Achieving Attribute−Privacy and Collusion−Resistance. ePrint, IACR, http://eprint.iacr.org/2008/328
【非特許文献37】Maji, H., Prabhakaran, M., Rosulek, M.: Attribute−Based Signatures. http://www.cs.uiuc.edu/ mmp/research.html
【非特許文献38】Okamoto, T., Takashima, K.: Homomorphic encryption and signatures from vector decomposition. In:Galbraith, S.D., Paterson, K.G. (eds.) Pairing 2008. LNCS, vol. 5209, pp. 57.74. Springer Heidelberg (2008)
【非特許文献39】Okamoto, T., Takashima, K.: Hierarchical predicate encryption for Inner−Products, In: ASIACRYPT 2009, Springer Heidelberg (2009)
【非特許文献40】Okamoto, T., Takashima, K.: Fully Secure Functional Encryption with General Relations from the Deci−sional Linear Assumption, In: CRYPTO 2010, Springer Heidelberg (2010)
【非特許文献41】Ostrovsky, R., Sahai, A., Waters, B.: Attribute−based encryption with non−monotonic access structures. In: ACM Conference on Computer and Communication Security 2007, pp. 195.203, ACM (2007)
【非特許文献42】Pirretti, M., Traynor, P., McDaniel, P., Waters, B.: Secure attribute−based systems. In: ACM Conference on Computer and Communication Security 2006, pp. 99.112, ACM, (2006)
【非特許文献43】Pirretti, M., Traynor, P., McDaniel, P., Waters, B.: Secure attribute−based systems. In: ACM Conference on Computer and Communication Security 2006, pp. 99.112, ACM, (2006)
【非特許文献44】Sahai, A., Waters, B.: Fuzzy identity−based encryption. In: Cramer, R. (ed.) EUROCRYPT 2005. LNCS, vol. 3494, pp. 457.473. Springer Heidelberg (2005)
【非特許文献45】S. F. Shahandashti and R. Safavi−Naini: Threshold attribute−based signatures and their application to anonymous credential systems. In AFRICACRYPT’09, pp. 198.216 (2009).
【非特許文献46】A. Shamir: Identity−based cryptosystems and signature schemes. In CRYPTO’84, pp. 47.53 (1984).
【非特許文献47】Shi, E., Waters, B.: Delegating capability in predicate encryption systems. In: Aceto, L., Damg°ard, I.,Goldberg, L.A., Halldorsson, M.M., Ingolfsdottir, A., Walukiewicz, I. (eds.) ICALP (2) 2008. LNCS, vol.5126, pp. 560.578. Springer Heidelberg (2008)
【非特許文献48】Shi, E., Waters, B.: Delegating capability in predicate encryption systems. In: Aceto, L., Damg°ard, I.,Goldberg, L.A., Halldorsson, M.M., Ingolfsdottir, A., Walukiewicz, I. (eds.) ICALP (2) 2008. LNCS, vol.5126, pp. 560.578. Springer Heidelberg (2008)
【非特許文献49】Waters, B.: Ciphertext−policy attribute−based encryption: an expressive, efficient, and provably secure realization. ePrint, IACR, http://eprint.iacr.org/2008/290
【非特許文献50】Waters, B.: Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions. In:Halevi, S. (ed.) CRYPTO 2009. LNCS, vol. 5677, pp. 619.636. Springer Heidelberg (2009)
【非特許文献51】Waters, B.: Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions. In:Halevi, S. (ed.) CRYPTO 2009. LNCS, vol. 5677, pp. 619.636. Springer Heidelberg (2009)
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の属性ベース署名方式では、ノンモノトーン述語をサポートしていなかった。
この発明は、ノンモノトーン述語をサポートした属性ベース署名方式を提供することを目的とする。
【課題を解決するための手段】
【0005】
この発明に係る署名処理システムは、
鍵生成装置と署名装置と検証装置とを備え、t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムであり、
前記鍵生成装置は、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報xtとを含む属性集合Γを入力する第1情報入力部と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成部と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,1の係数として前記所定の値δを設定し、基底ベクトルb*t,2の係数として属性情報xtに前記所定の値δを乗じたδxtを設定した鍵要素k*tを生成する鍵要素t生成部と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成部と、
前記鍵要素0生成部が生成した鍵要素k*0と、前記鍵要素t生成部が生成した前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成部が生成した鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを前記署名装置へ送信する署名鍵送信部と
を備え、
前記署名装置は、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報viとの肯定形の組(t,vi)又は否定形の組¬(t,vi)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記署名鍵送信部が送信した署名鍵skΓを取得する署名鍵取得部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,vi)であり、かつ、その組のviと、その組の識別情報tが示す属性集合Γに含まれるxtとが等しいiと、変数ρ(i)が否定形の組¬(t,vi)であり、かつ、その組のviと、その組の識別情報tが示す属性集合Γに含まれるxtとが等しくないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成部と、
i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,vi)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,vi)である場合には値γi:=αi/(vi−xt)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成部と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成部と、
前記署名要素0生成部が生成した署名要素s*0と、前記署名要素i生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成部が生成した署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備え、
前記検証装置は、
前記署名データ送信部が送信した署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成部と、
前記ベクトルf→と前記データ取得部が取得した署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,vi)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θiviを設定し、基底ベクトルbt,2の係数として−θiを設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,vi)である場合には、その組の識別情報tが示す基底ベクトルbt,1の係数としてsiviを設定し、基底ベクトルbt,2の係数として−siを設定して検証要素ciを生成する検証要素i生成部と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成部と、
前記検証要素0生成部が生成した検証要素c0と、前記検証要素i生成部が生成した検証要素ciと、前記検証要素L+1生成部が生成した検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする。
【発明の効果】
【0006】
この発明に係る属性ベース署名方式では、ノンモノトーン述語をサポートしている。そのため、利用範囲の広い属性ベース署名方式を実現している。
【図面の簡単な説明】
【0007】
【図1】行列M^の説明図。
【図2】行列Mδの説明図。
【図3】s0の説明図。
【図4】s→Tの説明図。
【図5】属性ベース署名方式を実行する署名処理システム10の構成図。
【図6】鍵生成装置100の機能を示す機能ブロック図。
【図7】署名装置200の機能を示す機能ブロック図。
【図8】検証装置300の機能を示す機能ブロック図。
【図9】Setupアルゴリズムの処理を示すフローチャート。
【図10】KeyGenアルゴリズムの処理を示すフローチャート。
【図11】Sigアルゴリズムの処理を示すフローチャート。
【図12】Verアルゴリズムの処理を示すフローチャート。
【図13】多管理者の説明図。
【図14】分散多管理者属性ベース署名方式を実行する署名処理システム10の構成図。
【図15】各鍵生成装置100の機能を示す機能ブロック図。
【図16】署名装置200の機能を示す機能ブロック図。
【図17】検証装置300の機能を示す機能ブロック図。
【図18】GSetupアルゴリズムの処理を示すフローチャート。
【図19】ASetupアルゴリズムの処理を示すフローチャート。
【図20】AttrGenアルゴリズムの処理を示すフローチャート。
【図21】Sigアルゴリズムの処理を示すフローチャート。
【図22】Verアルゴリズムの処理を示すフローチャート。
【図23】鍵生成装置100、署名装置200、検証装置300のハードウェア構成の一例を示す図。
【発明を実施するための形態】
【0008】
以下、図に基づき、発明の実施の形態を説明する。
以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920等である。通信装置は後述する通信ボード915等である。入力装置は後述するキーボード902、通信ボード915等である。つまり、処理装置、記憶装置、通信装置、入力装置はハードウェアである。
【0009】
以下の説明における記法について説明する。
Aがランダムな変数または分布であるとき、数101は、Aの分布に従いAからyをランダムに選択することを表す。つまり、数101において、yは乱数である。
【数101】
Aが集合であるとき、数102は、Aからyを一様に選択することを表す。つまり、数102において、yは一様乱数である。
【数102】
数103は、yがzにより定義された集合であること、又はyがzを代入された集合であることを表す。
【数103】
aが定数であるとき、数104は、機械(アルゴリズム)Aが入力xに対しaを出力することを表す。
【数104】
数105、つまりFqは、位数qの有限体を示す。
【数105】
ベクトル表記は、有限体Fqにおけるベクトル表示を表す。つまり、数106である。
【数106】
数107は、数108に示す2つのベクトルx→とv→との数109に示す内積を表す。
【数107】
【数108】
【数109】
XTは、行列Xの転置行列を表す。
bi(i=1,...,n)が空間Vのベクトルの要素であるとき、つまり、数110であるとき、数111は、数112によって生成される部分空間を表す。
【数110】
【数111】
【数112】
数113に示す基底Bと基底B*とに対して、数114である。
【数113】
【数114】
【0010】
また、以下の説明において、paramVtにおけるVtはVtのことである。
同様に、Fqntにおけるntはntのことである。
同様に、skgid,(t,xt)におけるxtはxtのことである。
同様に、“δi,j”が上付きで示されている場合、このδi,jは、δi,jを意味する。
また、ベクトルを意味する“→”が下付き文字又は上付き文字に付されている場合、この“→”は下付き文字又は上付き文字に上付きで付されていることを意味する。
【0011】
また、以下の説明において、署名処理とは、鍵生成処理、署名処理、検証処理を含むものである。
【0012】
実施の形態1.
この実施の形態では、「属性ベース署名方式」について説明する。
第1に、属性ベース署名について簡単に説明する。
第2に、属性ベース署名方式を実現するための空間である「双対ペアリングベクトル空間(Dual Pairing Vector Spaces,DPVS)」という豊かな数学的構造を有する空間を説明する。
第3に、属性ベース署名方式を実現するための概念を説明する。ここでは、「スパンプログラム(Span Program)」、「属性ベクトルの内積とアクセスストラクチャ」、「秘密分散方式(秘密共有方式)」について説明する。また、「衝突困難ハッシュ関数(Collision Resistant Hash Functions)」についても説明する。
第4に、この実施の形態に係る「属性ベース署名方式」を説明する。まず、「属性ベース署名方式」の基本構成について説明する。次に、「属性ベース署名方式」を実現する「署名処理システム10」の基本構成について説明する。そして、この実施の形態に係る「属性ベース署名方式」及び「署名処理システム10」について詳細に説明する。
【0013】
<第1.属性ベース署名>
デジタル署名の概念は、DiffieとHellmanとによって1976年に論文で紹介された。そこでは、デジタル署名の概念は、秘密にされる署名鍵skと公開される検証鍵pkとのペアが署名者に対して生成され、署名鍵skを用いて生成されたメッセージmの署名σが、対応する検証鍵pkによって検証されることとされた。つまり、署名鍵skを使って署名されたメッセージ(m,σ)の署名者が、検証鍵pkによって確認されることとされた。
これは、デジタル署名の要件の1つではある。しかし、署名鍵skと検証鍵pkとの関係が密接なため、署名者と署名によって証明される内容との間の関係に柔軟性やプライバシーがない。
【0014】
署名鍵と検証鍵との関係がより柔軟になり又は洗練されることで、用途が広く、プライバシーが向上したデジタル署名の改良型が研究されている。
署名のこのクラスでは、署名鍵と検証鍵とはそれぞれ、属性xと述語vとによってパラメータ化されている。そして、署名されたメッセージ(m,σ)は、パラメータxを伴う署名鍵skxによって生成され、公開された鍵pkとパラメータvとによって、述語vが属性xを受理する場合(v(x)が成立する場合)にのみ、正しいことが検証される。
署名のこのクラスにおける署名者のプライバシーとは、署名鍵skxによって生成された述語vに対する署名が、v(x)が成立することを除き属性xに関する情報を漏らさないことである。
【0015】
述語vがパラメータvとの等号関係である場合(つまり、x=vの場合にのみv(x)が成立する場合)、この述語に対する署名のクラスはIDベース署名(Identity−Based Signatures,IBS)である(非特許文献46参照)。
なお、IDベース署名では、x=vのように、署名者の秘密鍵であるskxの属性xを述語vが一意に識別する。そのため、IDベース署名にはプライバシーの余地はない。
【0016】
グループ署名(Group Signatures)は、署名のこのクラスに含まれる署名である(非特許文献19参照)。グループ署名は、述語のパラメータvがグループ識別子であり、属性xがグループvのメンバーの識別子である(又はpkvがグループvを識別する公開鍵であり、skxがグループvのメンバーxの秘密鍵である)場合にのみ、v(x)が成立するという述語vを伴う署名である。
プライバシーの要件に基づき、秘密鍵skxを使って生成された署名はxがグループvのメンバーであることを除き、識別子xに関する情報を漏らさない。
【0017】
属性ベース署名は、署名のこのクラス含まれる署名であり、より洗練された述語を伴う署名である(非特許文献26,29,30,34−36,45,51参照)。属性ベース署名は、署名鍵skxに対するxが属性(x1,...,xi)の組であり、検証のためのvが閾値又はアクセスストラクチャの述語である。
存在する属性ベース署名方式における述語の最も広いクラスはモノトーンアクセスストラクチャである(非特許文献36,37参照)。モノトーンアクセスストラクチャでは、述語vは、属性(v1,...,vj)の組を伴うモノトーンスパンプログラム(M,ρ)(MSP(M,ρ))によって特定され、MSP(M,ρ)が(T(xi_1=v1),...,T(xi_j=vj))の真の値のベクトルを受理する場合のみ、v(x)が成立する。ここで、φが真である場合、T(φ):=1であり、φが偽である場合、T(φ):=1である。例えば、x=vである場合、T(x=v):=1であり、x≠vである場合、T(x=v):=0である。
このようなモノトーン述語は、AND、OR、閾値のゲートを表現することができる。
【0018】
属性ベース署名に対するモノトーン述語vの例を説明する。
モノトーン述語vの例としては、(Institute=Univ.A)AND(TH2((Department=Biology),(Gender=Female),(Age=50‘s))OR(Position=Professor))である。ここで、TH2は閾値の値が2の閾値ゲート(つまり、2つ以上成立することを要求するゲート)を意味する。
アリスの属性xAが、(Institute=Univ.A),(Department=Biology),(Position=Postdoc),(Age=30),(Gender=Female)であり、ボブの属性xBが、(Institute=Univ.A),(Department=Mathematics),(Position=Professor),(Age=45),(Gender=Male)であるとする。属性xAと属性xBとは全く異なるが、v(xA)とv(xB)とがいずれも成立することは明らかである。また、述語vを満たす他の多くの属性があることは明らかである。
そのため、アリスとボブとは、この述語における署名を生成することができる。また、属性ベース署名のプライバシー要件に基づき、署名者の属性が述語vを満たすことを除き、述語vに対する署名は署名者、つまりアリスとボブ(又はその他)の属性に関して情報を漏らさない。
【0019】
属性ベース署名には、属性ベースメッセージング(Attributed−Based Massaging,ABM)、属性ベース認証(Attributed−Based authentication)、trust−negotiation、leaking secrets等の多くのアプリケーションが存在する(非特許文献36,37参照)。
【0020】
しかし、ノンモノトーン述語に対する属性ベース署名方式は、弱い安全性のものであっても存在しなかった。ノンモノトーン述語は、AND、OR、閾値のゲートと同様に、NOTのゲートを表現することができる。
つまり、モノトーン述語では、(Institute=Univ.A)のように、肯定形の条件は設定できるが、(Institute≠Univ.A)(つまり、Not(Institute=Univ.A))のように否定形の条件は設定できない。これに対して、ノンモノトーン述語では、否定形の条件を設定できる。
大学がUniv.A以外にも多数存在する場合、肯定形の条件のみを用いて、Univ.A以外という否定形の条件を設定するのは困難である(記述が複雑になる)。このことからも、ノンモノトーン述語の有用性が分かる。
【0021】
<第2.双対ペアリングベクトル空間>
まず、対称双線形ペアリング群(Symmetric Bilinear Pairing Groups)について説明する。
対称双線形ペアリング群(q,G,GT,g,e)は、素数qと、位数qの巡回加法群Gと、位数qの巡回乗法群GTと、g≠0∈Gと、多項式時間で計算可能な非退化双線形ペアリング(Nondegenerate Bilinear Pairing)e:G×G→GTとの組である。非退化双線形ペアリングは、e(sg,tg)=e(g,g)stであり、e(g,g)≠1である。
以下の説明において、数115を、1λを入力として、セキュリティパラメータをλとする双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を出力するアルゴリズムとする。
【数115】
【0022】
次に、双対ペアリングベクトル空間について説明する。
双対ペアリングベクトル空間(q,V,GT,A,e)は、対称双線形ペアリング群(paramG:=(q,G,GT,g,e))の直積によって構成することができる。双対ペアリングベクトル空間(q,V,GT,A,e)は、素数q、数116に示すFq上のN次元ベクトル空間V、位数qの巡回群GT、空間Vの標準基底A:=(a1,...,aN)の組であり、以下の演算(1)(2)を有する。ここで、aiは、数117に示す通りである。
【数116】
【数117】
【0023】
演算(1):非退化双線形ペアリング
空間Vにおけるペアリングは、数118によって定義される。
【数118】
これは、非退化双線形である。つまり、e(sx,ty)=e(x,y)stであり、全てのy∈Vに対して、e(x,y)=1の場合、x=0である。また、全てのiとjとに対して、e(ai,aj)=e(g,g)δi,jである。ここで、i=jであれば、δi,j=1であり、i≠jであれば、δi,j=0である。また、e(g,g)≠1∈GTである。
【0024】
演算(2):ディストーション写像
数119に示す空間Vにおける線形変換φi,jは、数120を行うことができる。
【数119】
【数120】
ここで、線形変換φi,jをディストーション写像と呼ぶ。
【0025】
以下の説明において、数121を、1λ(λ∈自然数)、N∈自然数、双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を入力として、セキュリティパラメータがλであり、N次元の空間Vとする双対ペアリングベクトル空間のパラメータparamV:=(q,V,GT,A,e)の値を出力するアルゴリズムとする。
【数121】
【0026】
なお、ここでは、上述した対称双線形ペアリング群により、双対ペアリングベクトル空間を構成した場合について説明する。なお、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成することも可能である。以下の説明を、非対称双線形ペアリング群により双対ペアリングベクトル空間を構成した場合に応用することは容易である。
【0027】
<第3.属性ベース署名方式を実現するための概念>
<第3−1.スパンプログラム>
図1は、行列M^の説明図である。
{p1,...,pn}を変数の集合とする。M^:=(M,ρ)は、ラベル付けされた行列である。ここで、行列Mは、Fq上の(L行×r列)の行列である。また、ρは、行列Mの各列に付されたラベルであり、{p1,...,pn,¬p1,...,¬pn}のいずれか1つのリテラルへ対応付けられる。なお、Mの全ての行に付されたラベルρi(i=1,...,L)がいずれか1つのリテラルへ対応付けられる。つまり、ρ:{1,...,L}→{p1,...,pn,¬p1,...,¬pn}である。
【0028】
全ての入力列δ∈{0,1}nに対して、行列Mの部分行列Mδは定義される。行列Mδは、入力列δによってラベルρに値“1”が対応付けられた行列Mの行から構成される部分行列である。つまり、行列Mδは、δi=1であるようなpiに対応付けられた行列Mの行と、δi=0であるような¬piに対応付けられた行列Mの行とからなる部分行列である。
図2は、行列Mδの説明図である。なお、図2では、n=7,L=6,r=5としている。つまり、変数の集合は、{p1,...,p7}であり、行列Mは(6行×5列)の行列である。また、図2において、ラベルρは、ρ1が¬p2に、ρ2がp1に、ρ3がp4に、ρ4が¬p5に、ρ5が¬p3に、ρ6がp5にそれぞれ対応付けられているとする。
ここで、入力列δ∈{0,1}7が、δ1=1,δ2=0,δ3=1,δ4=0,δ5=0,δ6=1,δ7=1であるとする。この場合、破線で囲んだリテラル(p1,p3,p6,p7,¬p2,¬p4,¬p5)に対応付けられている行列Mの行からなる部分行列が行列Mδである。つまり、行列Mの1行目(M1),2行目(M2),4行目(M4)からなる部分行列が行列Mδである。
【0029】
言い替えると、写像γ:{1,...,L}→{0,1}が、[ρ(j)=pi]∧[δi=1]又は[ρ(j)=¬pi]∧[δi=0]である場合、γ(j)=1であり、他の場合、γ(j)=0であるとする。この場合に、Mδ:=(Mj)γ(j)=1である。ここで、Mjは、行列Mのj番目の行である。
つまり、図2では、写像γ(j)=1(j=1,2,4)であり、写像γ(j)=0(j=3,5,6)である。したがって、(Mj)γ(j)=1は、M1,M2,M4であり、行列Mδである。
すなわち、写像γ(j)の値が“0”であるか“1”であるかによって、行列Mのj番目の行が行列Mδに含まれるか否かが決定される。
【0030】
1→∈span<Mδ>である場合に限り、スパンプログラムM^は入力列δを受理し、他の場合には入力列δを拒絶する。つまり、入力列δによって行列M^から得られる行列Mδの行を線形結合して1→が得られる場合に限り、スパンプログラムM^は入力列δを受理する。なお、1→とは、各要素が値“1”である行ベクトルである。
例えば、図2の例であれば、行列Mの1,2,4行目からなる行列Mδの各行を線形結合して1→が得られる場合に限り、スパンプログラムM^は入力列δを受理する。つまり、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する場合には、スパンプログラムM^は入力列δを受理する。
【0031】
ここで、ラベルρが正のリテラル{p1,...,pn}にのみ対応付けられている場合、スパンプログラムはモノトーンと呼ばれる。一方、ラベルρがリテラル{p1,...,pn,¬p1,...,¬pn}に対応付けられている場合、スパンプログラムはノンモノトーンと呼ばれる。ここでは、スパンプログラムはノンモノトーンとする。そして、ノンモノトーンスパンプログラムを用いて、アクセスストラクチャ(ノンモノトーンアクセスストラクチャ)を構成する。
上述したように、スパンプログラムがモノトーンではなく、ノンモノトーンであることにより、スパンプログラムを利用して構成する属性ベース署名方式の利用範囲が広がる。
【0032】
<第3−2.属性ベクトルの内積とアクセスストラクチャ>
ここでは、属性ベクトルの内積を用いて上述した写像γ(j)を計算する。つまり、属性ベクトルの内積を用いて、行列Mのどの行を行列Mδに含めるかを決定する。
【0033】
Ut(t=1,...,dでありUt⊂{0,1}*)は、部分全集合(sub−universe)であり、属性の集合である。そして、Utは、それぞれ部分全集合の識別情報(t)と、nt次元ベクトル(v→)とを含む。つまり、Utは、(t,v→)である。ここで、t∈{1,...,d}であり、v→∈Fqntである。
【0034】
Ut:=(t,v→)をスパンプログラムM^:=(M,ρ)における変数pとする。つまり、p:=(t,v→)である。そして、変数(p:=(t,v→),(t’,v’→),...)としたスパンプログラムM^:=(M,ρ)をアクセスストラクチャSとする。
つまり、アクセスストラクチャS:=(M,ρ)であり、ρ:{1,...,L}→{(t,v→),(t’,v’→),...,¬(t,v→),¬(t’,v’→),...}である。
【0035】
次に、Γを属性の集合とする。つまり、Γ:={(t,x→t)|x→t∈Fqnt,1≦t≦d}である。
アクセスストラクチャSにΓが与えられた場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,...,L}→{0,1}は、以下のように定義される。i=1,...,Lの各整数iについて、[ρ(i)=(t,v→i)]∧[(t,x→t)∈Γ]∧[v→i・x→t=0]、又は、[ρ(i)=¬(t,v→i)]∧[(t,x→t)∈Γ]∧[v→i・x→t≠0]である場合、γ(j)=1であり、他の場合、γ(j)=0とする。
つまり、属性ベクトルv→とx→との内積に基づき、写像γが計算される。そして、上述したように、写像γにより、行列Mのどの行を行列Mδに含めるかが決定される。すなわち、属性ベクトルv→とx→との内積により、行列Mのどの行を行列Mδに含めるかが決定され、1→∈span<(Mi)γ(i)=1>である場合に限り、アクセスストラクチャS:=(M,ρ)はΓを受理する。
【0036】
t∈{1,...,d}の全ての整数tについて、nt=2とし、x→:=(1,x)、v→:=(v,−1)とした場合、このアクセスストラクチャにおける内積述語の関係がより簡単な形式になる。
この場合、(t,x→t):=(t,(1,x)),(t,v→i):=(t,(vi,−1))である。しかし、これらを簡単化して(t,xt)、(t,vi)と表す。すると、アクセスストラクチャSは、ρ:={1,...,L}→{(t,v),(t’、v’),...,¬(t,v),¬(t’,v’),...}(v,v’,...∈Fq)であるS:=(M,ρ)となる。また、属性の集合Γは、Γ:={(t,xt)|xt∈Fq,1≦t≦d}となる。
そして、アクセスストラクチャSにΓが与えられた場合、スパンプログラムM^:=(M,ρ)に対する写像γ:{1,...,L}→{0,1}は、以下のように定義される。i=1,...,Lの各整数iについて、[ρ(i)=(t,vi)]∧[(t,xt)∈Γ]∧[vi=xt]、又は、[ρ(i)=¬(t,vi)]∧[(t,xt)∈Γ]∧[vi≠xt]である場合、γ(j)=1であり、他の場合、γ(j)=0とする。
【0037】
<第3−3.秘密分散方式>
アクセスストラクチャS:=(M,ρ)に対する秘密分散方式について説明する。
なお、秘密分散方式とは、秘密情報を分散させ、意味のない分散情報にすることである。例えば、秘密情報sを10個に分散させ、10個の分散情報を生成する。ここで、10個の分散情報それぞれは、秘密情報sの情報を有していない。したがって、ある1個の分散情報を手に入れても秘密情報sに関して何ら情報を得ることはできない。一方、10個の分散情報を全て手に入れれば、秘密情報sを復元できる。
また、10個の分散情報を全て手に入れなくても、一部だけ(例えば、8個)手に入れれば秘密情報sを復元できる秘密分散方式もある。このように、10個の分散情報のうち8個で秘密情報sを復元できる場合を、8−out−of−10と呼ぶ。つまり、n個の分散情報のうちt個で秘密情報sを復元できる場合を、t−out−of−nと呼ぶ。このtを閾値と呼ぶ。
また、d1,...,d10の10個の分散情報を生成した場合に、d1,...,d8までの8個の分散情報であれば秘密情報sを復元できるが、d3,...,d10までの8個の分散情報であれば秘密情報sを復元できないというような秘密分散方式もある。つまり、手に入れた分散情報の数だけでなく、分散情報の組合せに応じて秘密情報sを復元できるか否かを制御する秘密分散方式もある。
【0038】
図3は、s0の説明図である。図4は、s→Tの説明図である。
行列Mを(L行×r列)の行列とする。f→Tを数122に示す列ベクトルとする。
【数122】
数123に示すs0を共有される秘密情報とする。
【数123】
また、数124に示すs→Tをs0のL個の分散情報のベクトルとする。
【数124】
そして、分散情報siをρ(i)に属するものとする。
【0039】
アクセスストラクチャS:=(M,ρ)がΓを受理する場合、つまりγ:{1,...,L}→{0,1}について1→∈span<(Mi)γ(i)=1>である場合、I⊆{i∈{1,...,L}|γ(i)=1}である定数{αi∈Fq|i∈I}が存在する。
これは、図2の例で、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する場合には、スパンプログラムM^は入力列δを受理すると説明したことからも明らかである。つまり、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する場合には、スパンプログラムM^が入力列δを受理するのであれば、α1(M1)+α2(M2)+α4(M4)=1→となるα1,α2,α4が存在する。
そして、数125である。
【数125】
なお、定数{αi}は、行列Mのサイズにおける多項式時間で計算可能である。
【0040】
この実施の形態及び以下の実施の形態に係る属性ベース署名方式は、上述したように、スパンプログラムに内積述語と秘密分散方式とを適用してアクセスストラクチャを構成する。そのため、スパンプログラムにおける行列Mや、内積述語における属性情報x及び属性情報v(述語情報)を設計することにより、アクセス制御を自由に設計することができる。つまり、非常に高い自由度でアクセス制御の設計を行うことができる。なお、行列Mの設計は、秘密分散方式の閾値等の条件設計に相当する。
【0041】
特に、この実施の形態及び以下の実施の形態に係る属性ベース署名方式におけるアクセスストラクチャは、ノンモノトーンスパンプログラムを用いたノンモノトーンアクセスストラクチャを構成する。つまり、この実施の形態及び以下の実施の形態に係る属性ベース署名方式は、ノンモノトーン述語を伴う署名方式である。そのため、アクセス制御の設計の自由度がより高くなる。
【0042】
<第3−4.衝突困難ハッシュ関数>
衝突困難ハッシュ関数とは、出力が同じになる2つの入力を見つけることが困難なハッシュ関数である。
【0043】
自然数λをセキュリティパラメータとする。アルゴリズムGbpgに関する衝突困難ハッシュ関数系Hと、多項式poly(λ)とについて以下の2つのことが言える。
1.鍵空間系は、λによって索引付けされる。各鍵空間は、KHλによって示されるビット列における確率空間である。1λを入力とした場合の出力分布がKHλと等しい確率的多項式時間アルゴリズムが存在する。
2.ハッシュ関数系は、λと、KHλからランダムに選択されたhkと、D:={0,1}poly(λ)とによって索引付けされる。ここで、各関数Hhkλ,Dは、Dの要素からFqXへの写像である。なお、qは、アルゴリズムGbpg(1λ)の出力paramGの最初の要素である。1λとhkとd∈Dとを入力として、Hhkλ,D(d)を出力する決定的多項式時間アルゴリズムがある。
【0044】
εを確率的多項式時間機械であるとする。全てのλに対して、数126を定義する。
【数126】
どんな確率的多項式時間攻撃者εに対しても、AdvεH,CR(λ)が無視し得る程度であるなら、Hは衝突困難ハッシュ関数系である。
【0045】
<第4.属性ベース署名方式の構成>
<第4−1.属性ベース署名方式の基本構成>
属性ベース署名方式は、Setup、KeyGen、Sig、Verの4つのアルゴリズムを備える。
(Setup)
Setupアルゴリズムは、セキュリティパラメータλと、属性のフォーマットn→:=((d;nt,ut,wt,zt(t=1,...,d))とを入力として、公開パラメータpkと、マスター鍵skとを出力する確率的アルゴリズムである。
(KeyGen)
KeyGenアルゴリズムは、属性の集合であるΓ:={(t,x→t)|x→t∈Fqnt\{0→},1≦t≦d}と、公開パラメータpkと、マスター鍵skとを入力として、署名鍵skΓを出力する確率的アルゴリズムである。
(Sig)
Sigアルゴリズムは、メッセージmと、属性の集合Γを受理するようなアクセスストラクチャS:=(M,ρ)と、署名鍵skΓと、公開パラメータpkとを入力として、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを出力する確率的アルゴリズムである。
(Ver)
Verアルゴリズムは、署名データσと、公開パラメータpkとを入力として、ブール値1(受理)又は0(拒絶)を出力するアルゴリズムである。
【0046】
属性ベース署名方式は、数127に示す全ての公開パラメータpk及びマスター鍵skと、全てのメッセージmと、全ての属性の集合Γと、数128に示す全ての署名鍵skΓと、属性の集合Γを受理する全てのアクセスストラクチャSと、数129に示す全ての署名データσとに対して、確率1で1=Ver(pk,m,S,σ)が成立する。
【数127】
【数128】
【数129】
【0047】
<第4−2.署名処理システム10>
上述した属性ベース署名方式のアルゴリズムを実行する署名処理システム10について説明する。
図5は、属性ベース署名方式のアルゴリズムを実行する署名処理システム10の構成図である。
署名処理システム10は、鍵生成装置100、署名装置200、検証装置300を備える。
鍵生成装置100は、セキュリティパラメータλと、属性のフォーマットn→:=((d;nt,ut,wt,zt(t=1,...,d))とを入力としてSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、鍵生成装置100は、生成した公開パラメータpkを公開する。また、鍵生成装置100は、属性の集合であるΓ:={(t,x→t)|x→t∈Fqnt\{0→},1≦t≦d}と、公開パラメータpkと、マスター鍵skとを入力としてKeyGenアルゴリズムを実行して、署名鍵skΓを生成して署名装置200へ秘密裡に配布する。
署名装置200は、メッセージmと、属性の集合Γを受理するようなアクセスストラクチャS:=(M,ρ)と、署名鍵skΓと、公開パラメータpkとを入力としてSigアルゴリズムを実行して、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを生成する。署名装置200は、生成した署名データσを検証装置300へ送信する。
検証装置300は、署名データσと、公開パラメータpkとを入力としてVerアルゴリズムを実行して、ブール値1(受理)又は0(拒絶)を出力する。
【0048】
<第4−3.属性ベース署名方式及び署名処理システム10の詳細>
図6から図12に基づき、属性ベース署名方式、及び、属性ベース署名方式を実行する署名処理システム10の機能と動作とについて説明する。
図6は、鍵生成装置100の機能を示す機能ブロック図である。図7は、署名装置200の機能を示す機能ブロック図である。図8は、検証装置300の機能を示す機能ブロック図である。
図9と図10とは、鍵生成装置100の動作を示すフローチャートである。なお、図9はSetupアルゴリズムの処理を示すフローチャートであり、図10はKeyGenアルゴリズムの処理を示すフローチャートである。図11は、署名装置200の動作を示すフローチャートであり、Sigアルゴリズムの処理を示すフローチャートである。図12は、検証装置300の動作を示すフローチャートであり、Verアルゴリズムの処理を示すフローチャートである。
【0049】
鍵生成装置100の機能と動作とについて説明する。
図6に示すように、鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、情報入力部130(第1情報入力部)、署名鍵生成部140、鍵配布部150(署名鍵送信部)を備える。
また、署名鍵生成部140は、乱数生成部141、鍵要素0生成部142、鍵要素t生成部143、鍵要素d+1生成部144を備える。
【0050】
なお、以下の説明において、H:=(KHλ,Hhkλ,D)は、上述した衝突困難ハッシュ関数系である。
【0051】
まず、図9に基づき、鍵生成装置100が実行するSetupアルゴリズムの処理について説明する。
(S101:正規直交基底生成ステップ)
マスター鍵生成部110は、処理装置により、数130を計算して、paramn→と、t=0,...,d+1の各整数tについて基底Bt及び基底B*tとをランダムに生成する。
【数130】
【0052】
つまり、マスター鍵生成部110は以下の処理を実行する。
(1)マスター鍵生成部110は、入力装置により、セキュリティパラメータλ(1λ)と、属性のフォーマットn→:=((d;nt,ut,wt,zt(t=0,...,d+1))とを入力する。ここで、dは1以上の整数である。t=0についてのntは1であり、t=1,...,dまでの各整数tについてntは1以上の整数であり、t=d+1についてのntは2である。t=0,...,d+1までの各整数tについてut,wt,ztは1以上の整数である。
(2)マスター鍵生成部110は、処理装置により、(1)で入力したセキュリティパラメータλ(1λ)を入力としてアルゴリズムGbpgを実行して、ランダムに双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を生成する。
(3)マスター鍵生成部110は、処理装置により、乱数ψを生成する。また、マスター鍵生成部110は、t=0,...,d+1の各整数tについてNtにnt+ut+wt+ztを設定する。
【0053】
続いて、マスター鍵生成部110は、t=0,...,d+1の各整数tについて以下の(4)から(8)までの処理を実行する。
(4)マスター鍵生成部110は、処理装置により、(1)で入力したセキュリティパラメータλ(1λ)と、(3)で設定したNtと、(2)で生成したparamG:=(q,G,GT,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVt:=(q,Vt,GT,At,e)の値を生成する。
(5)マスター鍵生成部110は、処理装置により、(3)で設定したNtと、Fqとを入力として、線形変換Xt:=(χt,i,j)i,jをランダムに生成する。なお、GLは、General Linearの略である。つまり、GLは、一般線形群であり、行列式が0でない正方行列の集合であり、乗法に関し群である。また、(χt,i,j)i,jは、行列χt,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,ntである。
(6)マスター鍵生成部110は、処理装置により、乱数ψと線形変換Xtとに基づき、(νt,i,j)i,j:=ψ・(XtT)−1を生成する。なお、(νt,i,j)i,jも(χt,i,j)i,jと同様に、行列νt,i,jの添え字i,jに関する行列という意味であり、ここでは、i,j=1,...,ntである。
(7)マスター鍵生成部110は、処理装置により、(5)で生成した線形変換Xtに基づき、(4)で生成した標準基底Atから基底Btを生成する。
(8)マスター鍵生成部110は、処理装置により、(6)で生成した(νt,i,j)i,jに基づき、(4)で生成した標準基底Atから基底B*tを生成する。
(9)マスター鍵生成部110は、処理装置により、gTにe(g,g)ψを設定する。また、マスター鍵生成部110は、paramn→に(4)で生成した{paramVt}t=0,...,d+1と、gTとを設定する。なお、t=0,...,d+1とi=1,...,Ntとの各整数t,iについて、gT=e(bt,i,b*t,i)である。
【0054】
すなわち、(S101)で、マスター鍵生成部110は、数131に示すアルゴリズムGobを実行して、paramn→と、t=0,...,d+1の各整数tについて基底Bt及び基底B*tとを生成する。
【数131】
【0055】
(S102:ハッシュキー生成ステップ)
マスター鍵生成部110は、処理装置により、数132を計算して、ハッシュキーhkをランダムに生成する。
【数132】
【0056】
(S103:公開パラメータ生成ステップ)
マスター鍵生成部110は、処理装置により、基底B0の部分基底B^0と、t=1,...,dの各整数tについて基底Btの部分基底B^tと、基底Bd+1の部分基底B^d+1とを数133に示すように生成する。
【数133】
また、マスター鍵生成部110は、処理装置により、t=1,...,dの各整数tについて基底B*tの部分基底B^*tと、基底Bd+1の部分基底B^*d+1とを数134に示すように生成する。
【数134】
マスター鍵生成部110は、生成した部分基底B^t(t=0,...,d+1)と部分基底B^*t(t=1,...,d+1)と、(S101)で入力されたセキュリティパラメータλ(1λ)と、(S101)で生成したparamn→と、(S102)で生成したハッシュキーhkと、基底ベクトルb*0,1+u0+1,...,b*0,1+u0+w0(ここでu0、w0は、u0,w0のことである)とを合わせて、公開パラメータpkとする。
【0057】
(S104:マスター鍵生成ステップ)
マスター鍵生成部110は、基底B*0の基底ベクトルb*0,1をマスター鍵skとする。
【0058】
(S105:マスター鍵記憶ステップ)
マスター鍵記憶部120は、(S103)で生成した公開パラメータpkを記憶装置に記憶する。また、マスター鍵記憶部120は、(S104)で生成したマスター鍵skを記憶装置に記憶する。
【0059】
つまり、(S101)から(S104)において、鍵生成装置100は数135に示すSetupアルゴリズムを実行して、公開パラメータpkとマスター鍵skとを生成する。そして、(S105)で、鍵生成装置100は生成された公開パラメータpkとマスター鍵skとを記憶装置に記憶する。
なお、公開パラメータは、例えば、ネットワークを介して公開され、署名装置200や検証装置300が取得可能な状態にされる。
【数135】
【0060】
次に、図10に基づき、鍵生成装置100が実行するKeyGenアルゴリズムの処理について説明する。
(S201:情報入力ステップ)
情報入力部130は、入力装置により、属性の集合Γ:={(t,x→t:=(xt,i)(i=1,...,nt))|1≦t≦d}を入力する。tは、1以上d以下の全ての整数ではなく、1以上d以下の少なくとも一部の整数であってもよい。
【0061】
(S202:乱数生成ステップ)
乱数生成部141は、処理装置により、乱数δと、乱数φ0,φt,ι,φd+1,1,ι,φd+1,2,ι(t=1,...,d;ι=1,...,wt)とを数136に示すように生成する。
【数136】
【0062】
(S203:鍵要素0生成ステップ)
鍵要素0生成部142は、処理装置により、署名鍵skΓの要素である鍵要素k*0を数137に示すように生成する。
【数137】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数137は、以下のように、基底B*0の基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb*0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*0,1,...,b*0,3を意味する。
基底B*0の基底ベクトル1の係数として乱数δが設定される。基底ベクトル1+1,...,1+u0の係数として0が設定される。基底ベクトル1+u0+1,...,1+u0+w0の係数として乱数φ0,1,...,φ0,wo(ここで、w0はw0のことである)が設定される。基底ベクトル1+u0+w0+1,...,1+u0+w0+z0の係数として0が設定される。
【0063】
(S204:鍵要素t生成ステップ)
鍵要素t生成部143は、処理装置により、属性の集合Γに含まれる(t,x→t)の各整数tについて、署名鍵skΓの要素である鍵要素k*tを数138に示すように生成する。
【数138】
つまり、数138は、数137と同様に、以下のように、基底B*tの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb*t,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*t,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*t,1,...,b*t,3を意味する。
基底ベクトル1,...,ntの係数としてδxt,1,...,δxt,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1,...,nt+utの係数として0が設定される。基底ベクトルnt+ut+1,...,nt+ut+wtの係数として乱数φt,1,...,φt,wt(ここで、wtはwtのことである)が設定される。基底ベクトルnt+ut+wt+1,...,nt+ut+wt+ztの係数として0が設定される。
【0064】
(S205:鍵要素d+1生成ステップ)
鍵要素d+1生成部144は、処理装置により、署名鍵skΓの要素である鍵要素k*d+1,1と鍵要素k*d+1,2とを数139に示すように生成する。
【数139】
つまり、数139は、数137と同様に、以下のように、基底B*d+1の基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルb*d+1,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*d+1,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*d+1,1,...,b*d+1,3を意味する。
まず、鍵要素k*d+1,1については、基底ベクトル1の係数として乱数δが設定される。基底ベクトル2の係数として0が設定される。基底ベクトル2+1,...,2+ud+1の係数として0が設定される。基底ベクトル2+ud+1+1,...,2+ud+1+wd+1の係数として乱数φd+1,1,1,...,φd+1,1,wd+1(ここで、wd+1はwd+1のことである)が設定される。基底ベクトル2+ud+1+wd+1+1,...,2+ud+1+wd+1+zd+1の係数として0が設定される。
また、鍵要素k*d+1,2については、基底ベクトル1の係数として0が設定される。基底ベクトル2の係数として乱数δが設定される。基底ベクトル2+1,...,2+ud+1の係数として0が設定される。基底ベクトル2+ud+1+1,...,2+ud+1+wd+1の係数として乱数φd+1,2,1,...,φd+1,2,wd+1(ここで、wd+1はwd+1のことである)が設定される。基底ベクトル2+ud+1+wd+1+1,...,2+ud+1+wd+1+zd+1の係数として0が設定される。
【0065】
(S206:鍵配布ステップ)
鍵配布部150は、属性の集合Γと、鍵要素k*0と、鍵要素k*t(tは属性の集合Γに含まれる(t,x→t)におけるt)と、鍵要素k*d+1,1及び鍵要素k*d+1,2とを要素とする署名鍵skΓを、例えば通信装置によりネットワークを介して秘密裡に署名装置200へ配布する。もちろん、署名鍵skΓは、他の方法により署名装置200へ配布されてもよい。
【0066】
つまり、(S201)から(S205)において、鍵生成装置100は数140に示すKeyGenアルゴリズムを実行して、署名鍵skΓを生成する。そして、(S206)で、鍵生成装置100は生成された署名鍵skΓを署名装置200へ配布する。
【数140】
【0067】
署名装置200の機能と動作とについて説明する。
図7に示すように、署名装置200は、署名鍵取得部210、情報入力部220(第2情報入力部)、スパンプログラム計算部230、補完係数計算部240、署名データ生成部250、署名データ送信部260(署名データ出力部)を備える。
また、情報入力部220は、述語情報入力部221、メッセージ入力部222を備える。また、署名データ生成部250は、乱数生成部251、署名要素0生成部252、署名要素i生成部253、署名要素L+1生成部254を備える。
【0068】
図11に基づき、署名装置200が実行するSigアルゴリズムの処理について説明する。
(S301:署名鍵取得ステップ)
署名鍵取得部210は、例えば、通信装置によりネットワークを介して、鍵生成装置100が生成した署名鍵skΓを取得する。また、署名鍵取得部210は、鍵生成装置100が生成した公開パラメータpkを取得する。
【0069】
(S302:情報入力ステップ)
述語情報入力部221は、入力装置により、アクセスストラクチャS:=(M,ρ)を入力する。なお、行列Mは、L行×r列の行列である。L,rは、1以上の整数である。
また、メッセージ入力部222は、入力装置により、署名を付すメッセージmを入力する。
なお、アクセスストラクチャSの行列Mの設定については、実現したいシステムの条件に応じて設定されるものである。
【0070】
(S303:スパンプログラム計算ステップ)
スパンプログラム計算部230は、処理装置により、(S302)で入力したアクセスストラクチャSが、(S301)で取得した署名鍵skΓに含まれる属性の集合Γを受理するか否かを判定する。
なお、アクセスストラクチャが属性の集合を受理するか否かの判定方法は、「第3.関数型暗号を実現するための概念」で説明した通りである。
スパンプログラム計算部230は、アクセスストラクチャSが属性の集合Γを受理する場合(S303で受理)、処理を(S304)へ進める。一方、アクセスストラクチャSが属性の集合Γを拒絶する場合(S303で拒絶)、処理を終了する。
【0071】
(S304:補完係数計算ステップ)
補完係数計算部430は、処理装置により、数141となるIと、Iに含まれる各整数iについて定数(補完係数)αiとを計算する。
【数141】
なお、Miとは、行列Mのi行目のことである。
【0072】
(S305:乱数生成ステップ)
乱数生成部251は、処理装置により、乱数ξと、乱数βi(i=1,...,L)とを数142に示すように生成する。
【数142】
【0073】
(S306:署名要素0生成ステップ)
署名要素0生成部252は、処理装置により、署名データσの要素である署名要素s*0を数143に示すように生成する。
【数143】
ここで、r*0は、数144(数110から数112及びこれらの数式の説明を参照)である。
【数144】
【0074】
(S307:署名要素i生成ステップ)
署名要素i生成部253は、処理装置により、i=1,...,Lの各整数iについて、署名データσの要素である署名要素s*iを数145に示すように生成する。
【数145】
ここで、r*iは、数146(数110から数112及びこれらの数式の説明を参照)である。
【数146】
また、γiとy→i:=(yi,i’(i’=1,...,nt)とは、数147である。
【数147】
【0075】
(S308:署名要素L+1生成ステップ)
署名要素L+1生成部254は、処理装置により、署名データσの要素である署名要素s*L+1を数148に示すように生成する。
【数148】
ここで、r*L+1は、数149(数110から数112及びこれらの数式の説明を参照)である。
【数149】
【0076】
(S309:データ送信ステップ)
署名データ送信部260は、署名要素s*0と、署名要素s*i(i=1,...,L)と、署名要素s*L+1と、メッセージmと、アクセスストラクチャS:=(M,ρ)とを含む署名データσを、例えば通信装置によりネットワークを介して検証装置300へ送信する。もちろん、署名データσは、他の方法により検証装置300へ送信されてもよい。
【0077】
つまり、(S301)から(S308)において、署名装置200は数150に示すSigアルゴリズムを実行して、署名データσを生成する。そして、(S309)で、署名装置200は生成された署名データσを検証装置300へ配布する。
【数150】
【0078】
検証装置300の機能と動作とについて説明する。
図8に示すように、検証装置300は、公開パラメータ取得部310、データ受信部320、検証鍵生成部330、ペアリング演算部340を備える。
また、検証鍵生成部330は、乱数生成部331、fベクトル生成部332、sベクトル生成部333、検証要素0生成部334、検証要素i生成部335、検証要素L+1生成部336を備える。
【0079】
図12に基づき、検証装置300が実行するVerアルゴリズムの処理について説明する。
(S401:公開パラメータ取得ステップ)
公開パラメータ取得部310は、例えば、通信装置によりネットワークを介して、鍵生成装置100が生成した公開パラメータpkを取得する。
【0080】
(S402:署名データ受信ステップ)
データ受信部320は、例えば、通信装置によりネットワークを介して、署名装置200が送信した署名データσを受信する。
【0081】
(S403:fベクトル生成ステップ)
fベクトル生成部332は、処理装置により、r個の要素を有するベクトルf→を数151に示すようにランダムに生成する。
【数151】
【0082】
(S404:sベクトル生成ステップ)
sベクトル生成部333は、処理装置により、(S402)で受信した署名データσに含まれるアクセスストラクチャSの(L行×r列)の行列Mと、(S403)で生成したr個の要素を有するベクトルf→とに基づき、ベクトルs→Tを数152に示すように生成する。
【数152】
また、sベクトル生成部333は、処理装置により、(S403)で生成したベクトルf→に基づき、値s0を数153に示すように生成する。なお、1→は、全ての要素が値1のベクトルである。
【数153】
【0083】
(S405:乱数生成ステップ)
乱数生成部331は、処理装置により、i=1,...,z0の各整数iについて乱数η0,iと、i=1,...,zd+1の各整数iについて乱数ηL+1,iと、乱数θL+1と、乱数sL+1とを数154に示すように生成する。
【数154】
【0084】
(S406:検証要素0生成ステップ)
検証要素0生成部334は、処理装置により、検証鍵の要素である検証要素c0を数155に示すように生成する。
【数155】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数155は、以下のように、基底B0の基底ベクトルの係数が設定されることを意味する。こでは、表記を簡略化して、基底ベクトルb0,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb0,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb0,1,...,b0,3を意味する。
基底B0の基底ベクトル1の係数として−s0−sL+1が設定される。基底ベクトル1+1,...,1+u0+w0の係数として0が設定される。基底ベクトル1+u0+w0+1,...,1+u0+w0+z0の係数として乱数η0,1,...,η0,z0(ここで、z0はz0のことである)が設定される。
【0085】
(S407:検証要素i生成ステップ)
検証要素i生成部335は、処理装置により、i=1,...,Lの各整数iについて、検証鍵の要素である検証要素ciを数156に示すように生成する。
【数156】
つまり、数156は、数155と同様に、以下のように、基底Btの基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbt,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1,...,bt,3を意味する。
ρ(i)が肯定形の組(t,v→i)である場合には、基底ベクトル1の係数としてsi+θivi,1が設定される。基底ベクトル2,...,ntの係数としてθivi,2,...,θivi,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1,...,nt+ut+wtの係数として0が設定される。基底ベクトルnt+ut+wt+1,...,nt+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
一方、ρ(i)が否定形の組¬(t,v→i)である場合には、基底ベクトル1,...,ntの係数としてsivi,1,...,θivi,nt(ここで、ntはntのことである)が設定される。基底ベクトル2の係数として−siが設定される。基底ベクトルnt+1,...,nt+ut+wtの係数として0が設定される。基底ベクトルnt+ut+wt+1,...,nt+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
なお、θi及びηi,i’(i’=1,...,zt)は乱数生成部233によって生成される一様乱数である。
【0086】
(S408:署名要素L+1生成ステップ)
検証要素L+1生成部336は、処理装置により、検証鍵の要素である検証要素cL+1を数157に示すように生成する。
【数157】
つまり、数157は、数155と同様に、以下のように、基底Bd+1の基底ベクトルの係数が設定されることを意味する。なお、ここでは、表記を簡略化して、基底ベクトルbd+1,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbd+1,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbd+1,1,...,bd+1,3を意味する。
基底ベクトル1の係数としてsL+1−θL+1・Hhkλ,D(m||S)が設定される。基底ベクトル2の係数としてθL+1が設定される。基底ベクトル2+1,...,2+ud+1+wd+1の係数として0が設定される。基底ベクトル2+ud+1+wd+1+1,...,2+ud+1+wd+1+zd+1の係数として乱数ηL+1,1,...,ηL+1,zd+1(ここで、zd+1はzd+1のことである)が設定される。
【0087】
(S409:第1ペアリング演算ステップ)
ペアリング演算部340は、処理装置により、ペアリング演算e(b0,1,s*0)を計算する。
ペアリング演算e(b0,1,s*0)を計算した結果が値1であれば、ペアリング演算部340は、署名の検証に失敗したことを示す値0を出力して、処理を終了する。一方、ペアリング演算e(b0,1,s*0)を計算した結果が値1でなければ、ペアリング演算部340は、処理をS410へ進める。
【0088】
(S410:第2ペアリング演算ステップ)
ペアリング演算部340は、処理装置により、数158に示すペアリング演算を計算する。
【数158】
数158に示すペアリング演算を計算した結果が値1であれば、ペアリング演算部340は、署名の検証に成功したことを示す値1を出力する。一方、その他の値であれば、ペアリング演算部340は、署名の検証に失敗したことを示す値0を出力する。
なお、数159に示すように、数158を計算することにより、署名データσが正当なものであれば、値1が得られる。
【数159】
【0089】
つまり、(S401)から(S410)において、検証装置300は、数160に示すVerアルゴリズムを実行して、署名データσを検証する。
【数160】
【0090】
以上のように、実施の形態1に係る署名処理システム10は、スパンプログラムと内積述語と秘密分散とを用いて構成したアクセスストラクチャSを用いて、属性ベース署名方式を実現する。特に、実施の形態1に係る署名処理システム10は、ノンモノトーンスパンプログラムを用いるため、ノンモノトーン述語を伴う属性ベース署名方式を実現する。
【0091】
実施の形態1に係る署名処理システム10が実現する属性ベース署名方式は、安全性が高く、プライバシー要件を満たしている。なお、安全性が高いとは、署名を他人に偽造される可能性が低いということである。
【0092】
なお、(S409)でペアリング演算e(b0,1,s*0)を行うのは、署名データσが、秘密である(マスター鍵skである)基底ベクトルb*0,1を用いることなく生成された署名データでないことを確認するためである。
ペアリング演算e(b0,1,s*0)は、署名要素s*0に基底ベクトルb*0,1が含まれているか、つまり基底ベクトルb*0,1の係数として0以外の値が設定されているかを確認する演算である。ペアリング演算e(b0,1,s*0)=1であれば、署名要素s*0では基底ベクトルb*0,1の係数として0が設定されており、署名データσは、基底ベクトルb*0,1を用いることなく生成された署名データであるということになる。したがって、この場合、署名データσは不正なものであると認められる。
【0093】
なお、上記説明において、ut、wt、zt(t=0,...,d+1)の次元は、安全性を高めるために設けた次元である。したがって、安全性が低くなってしまうが、ut、wt、zt(t=0,...,d+1)をそれぞれ0として、ut、wt、zt(t=0,...,d+1)の次元を設けなくてもよい。
【0094】
また、上記説明では、(S101)でNtにnt+ut+wt+ztを設定した。しかし、nt+ut+wt+ztをnt+nt+nt+1として、Ntに3nt+1を設定してもよい。ここで、n0は1であり、nt(t=1,...,d+1)は2である。
この場合、数135に示すSetupアルゴリズムは、数161のように書き換えられる。なお、Gobは数162のように書き換えられる。
【数161】
【数162】
また、数140に示すKeyGenアルゴリズムは、数163のように書き換えられる。
【数163】
また、数150に示すSigアルゴリズムは、数164のように書き換えられる。
【数164】
また、数159に示すVerアルゴリズムは、数165のように書き換えられる。
【数165】
【0095】
また、Setupアルゴリズムは、署名処理システム10のセットアップ時に一度実行すればよく、署名鍵を生成する度に実行する必要はない。また、上記説明では、SetupアルゴリズムとKeyGenアルゴリズムとを鍵生成装置100が実行するとしたが、SetupアルゴリズムとKeyGenアルゴリズムとをそれぞれ異なる装置が実行するとしてもよい。
【0096】
実施の形態2.
この実施の形態では、「分散多管理者属性ベース署名方式」について説明する。
第1に、「分散多管理者(Decentralized Multi−Authority)」という概念について説明する。
第2に、この実施の形態に係る「分散多管理者属性ベース署名方式」を説明する。まず、「分散多管理者属性ベース署名方式」の基本構成について説明する。次に、「分散多管理者属性ベース署名方式」を実現する「署名処理システム10」の基本構成について説明する。そして、この実施の形態に係る「分散多管理者属性ベース署名方式」及び「署名処理システム10」について詳細に説明する。
【0097】
<第1.分散多管理者という概念>
まず、「多管理者」について説明する。多管理者とは、署名鍵を生成する管理者が複数存在するという意味である。
一般的な署名処理システムでは、システム全体のセキュリティはある1つの機関(管理者)に依存している。例えば、実施の形態1で説明した署名処理システム10であれば、システム全体のセキュリティは、マスター鍵skを生成する鍵生成装置100に依存している。鍵生成装置100のセキュリティが破られたり、マスター鍵skが漏洩した場合、署名処理システム10は全体が機能しなくなる。
しかし、多管理者とすることで、一部の管理者のセキュリティが破られたり、一部の管理者の秘密鍵(マスター鍵)が漏洩した場合であっても、署名処理システムの一部だけが機能しなくなるだけであり、他の部分については正常に機能する状態とすることができる。
【0098】
図13は、多管理者の説明図である。
図13では、役所が、住所、電話番号、年齢等の属性について管理する。また、警察が、運転免許の種別等の属性について管理する。また、会社Aが、会社Aにおける役職、会社Aにおける所属等の属性について管理する。そして、役所が管理する属性を示すための署名鍵1は役所が発行し、警察が管理する属性を示すための署名鍵2は警察が発行し、会社Aが管理する属性を示すための署名鍵3は会社Aが発行する。
署名をする署名者は、役所、警察、会社A等の各管理者が発行した署名鍵1,2,3を合わせた署名鍵用い、署名データを生成する。つまり、署名者から見た場合、各管理者から発行された署名鍵を合わせたものが、自分に発行された1つの署名鍵となる。
例えば、会社Aのマスター鍵が漏洩した場合、署名処理システムは、会社Aの属性に関しては機能しなくなるが、他の管理者が管理する属性に関しては機能する。つまり、署名データの検証ができた場合、会社Aが管理する属性については信頼できないが、他の属性については信頼することができる。
【0099】
また、図13の例からも分かるように、属性ベース署名では、複数の管理者が存在し、各管理者が属性におけるあるカテゴリー(部分空間)又は定義域を管理し、そのカテゴリーにおけるユーザの属性についての署名鍵(の一片)を発行することが自然である。
【0100】
次に、「分散(Decentralized)」について説明する。分散とは、どの機関も管理者となることができ、他の機関とやりとりすることなく、署名鍵(の一片)を発行することができ、各ユーザが他の機関とやりとりすることなく、管理者から署名鍵(の一片)を取得できることである。
例えば、中央管理者がいる場合、分散とは言えない。中央管理者とは、他の管理者よりも上位の管理者である。中央管理者のセキュリティが破られた場合、全ての管理者のセキュリティが破られてしまう。
【0101】
<第2.分散多管理者属性ベース署名方式の構成>
<第2−1.分散多管理者属性ベース署名方式の基本構成>
分散多管理者属性ベース署名方式は、GSetup、ASetup、AttrGen、Sig、Verの4つのアルゴリズムを備える。
(GSetup)
GSetupアルゴリズムは、セキュリティパラメータλが入力され、公開パラメータgparamを出力する確率的アルゴリズムである。
(ASetup)
ASetupアルゴリズムは、公開パラメータgparamと、管理者の識別情報tとを入力として、管理者秘密鍵asktと、管理者公開パラメータapktとを出力する確率的アルゴリズムである。
(AttrGen)
AttrGenアルゴリズムは、公開パラメータgparamと、管理者の識別情報tと、管理者秘密鍵asktと、ユーザの識別情報gidと、属性x→t:=(xt,i)(i=1,...,nt)∈Fqとを入力として、署名鍵uskgid,(t,xt)を出力する確率的アルゴリズムである。
(Sig)
Sigアルゴリズムは、公開パラメータgparamと、署名鍵uskgid,(t,xt)と、メッセージmと、アクセスストラクチャS:=(M,ρ)とを入力として、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを出力する確率的アルゴリズムである。
(Ver)
Verアルゴリズムは、署名データσと、公開パラメータgparamと、管理者公開パラメータapktとを入力として、ブール値1(受理)又は0(拒絶)を出力するアルゴリズムである。
【0102】
<第2−2.署名処理システム10>
上述した分散多管理者属性ベース署名方式のアルゴリズムを実行する署名処理システム10について説明する。
図14は、分散多管理者属性ベース署名方式のアルゴリズムを実行する署名処理システム10の構成図である。
署名処理システム10は、複数の鍵生成装置100、署名装置200、検証装置300を備える。
いずれか(1つ)の鍵生成装置100は、セキュリティパラメータλを入力としてGSetupアルゴリズムを実行して、公開パラメータgparamを生成する。そして、その鍵生成装置100は、生成した公開パラメータgparamを公開する。
各鍵生成装置100は、公開パラメータgparamと、その鍵生成装置100に割り当てられた識別情報tとを入力としてASetupアルゴリズムを実行して、管理者秘密鍵asktと、管理者公開パラメータapktとを生成する。そして、各鍵生成装置100は、公開パラメータgparamと、その鍵生成装置100に割り当てられた識別情報tと、管理者秘密鍵asktと、ユーザの識別情報gidと、属性xt:=(xt,i)(i=1,...,nt)∈Fqとを入力としてAttrGenアルゴリズムを実行して、署名鍵uskgid,(t,xt)を生成して署名装置200へ秘密裡に配布する。
署名装置200は、公開パラメータgparamと、署名鍵uskgid,(t,xt)と、メッセージmと、アクセスストラクチャS:=(M,ρ)とを入力としてSigアルゴリズムを実行して、署名s→*とメッセージmとアクセスストラクチャSとを含む署名データσを生成する。署名装置200は、生成した署名データσを検証装置300へ送信する。
検証装置300は、署名データσと、公開パラメータgparamと、管理者公開パラメータapktとを入力としてVerアルゴリズムを実行して、ブール値1(受理)又は0(拒絶)を出力する。
【0103】
<第2−3.分散多管理者属性ベース署名方式及び署名処理システム10の詳細>
図15から図22に基づき、分散多管理者属性ベース署名方式、及び、分散多管理者属性ベース署名方式を実行する署名処理システム10の機能と動作とについて説明する。
図15は、各鍵生成装置100の機能を示す機能ブロック図である。図16は、署名装置200の機能を示す機能ブロック図である。図17は、検証装置300の機能を示す機能ブロック図である。
図18から図20は、鍵生成装置100の動作を示すフローチャートである。なお、図18はGSetupアルゴリズムの処理を示すフローチャートであり、図19はASetupアルゴリズムの処理を示すフローチャートであり、図20はAttrGenアルゴリズムの処理を示すフローチャートである。図21は、署名装置200の動作を示すフローチャートであり、Sigアルゴリズムの処理を示すフローチャートである。図22は、検証装置300の動作を示すフローチャートであり、Verアルゴリズムの処理を示すフローチャートである。
【0104】
鍵生成装置100の機能と動作とについて説明する。
図15に示すように、鍵生成装置100は、マスター鍵生成部110、マスター鍵記憶部120、情報入力部130(第1情報入力部)、署名鍵生成部140、鍵配布部150(署名鍵送信部)を備える。
また、マスター鍵生成部110は、グローバルパラメータ生成部111、管理者秘密鍵生成部112を備える。署名鍵生成部140は、乱数生成部141、鍵要素生成部145を備える。
【0105】
まず、図18に基づき、鍵生成装置100が実行するGSetupアルゴリズムの処理について説明する。なお、上述したように、GSetupアルゴリズムは、複数の鍵生成装置100のうち1つの鍵生成装置100が実行すればよい。
(S501:セキュリティパラメータ入力ステップ)
グローバルパラメータ生成部111は、入力装置により、セキュリティパラメータλ(1λ)を入力する。
【0106】
(S502:双線形ペアリング群生成ステップ)
グローバルパラメータ生成部111は、処理装置により、S501で入力したセキュリティパラメータλ(1λ)を入力としてアルゴリズムGbpgを実行して、ランダムに双線形ペアリング群のパラメータparamG:=(q,G,GT,g,e)の値を生成する。
【0107】
(S503:パラメータ生成ステップ)
ハッシュ関数H1とH2とを、数166に示すハッシュ関数とする。
【数166】
グローバルパラメータ生成部111は、処理装置により、数167に示すグローバルパラメータgparamの要素G0,G1,G2,G3,G4を生成する。
【数167】
また、グローバルパラメータ生成部111は、gt:=e(G0,G1)、g4:=e(G0,G4)とする。
【0108】
(S504:パラメータ記憶ステップ)
マスター鍵記憶部120は、(S502)で生成したparamGと、(S503)でグローバルパラメータ生成部111が設定したハッシュ関数H1,H2と、生成した要素G0,G1,G2,G3,G4と、設定した値gt,g4とを、グローバルパラメータgparamとして記憶装置に記憶する。
【0109】
つまり、(S501)から(S503)において、鍵生成装置100は数168に示すGSetupアルゴリズムを実行して、グローバルパラメータgparamを生成する。そして、(S504)で、鍵生成装置100は生成されたグローバルパラメータgparamを記憶装置に記憶する。
なお、グローバルパラメータgparamは、例えば、ネットワークを介して公開され、他の鍵生成装置100や署名装置200や検証装置300が取得可能な状態にされる。
【数168】
【0110】
次に、図19に基づき、鍵生成装置100が実行するASetupアルゴリズムの処理について説明する。なお、上述したように、ASetupアルゴリズムは、複数の鍵生成装置100全てが実行してもよいし、複数の鍵生成装置100のうち一部の鍵生成装置100だけが実行してもよい。
(S601:情報入力ステップ)
情報入力部130は、入力装置により、自己(その鍵生成装置100)に割り当てられた識別情報tを入力する。なお、各鍵生成装置100には、それぞれ異なる識別情報tが割り当てられている。
また、情報入力部130は、例えば、通信装置によりネットワークを介して、グローバルパラメータgparamを取得する。なお、自己がグローバルパラメータgparamを生成した鍵生成装置100である場合には、グローバルパラメータgparamをマスター鍵記憶部120から読み出せばよい。
【0111】
(S602:空間生成ステップ)
管理者秘密鍵生成部112は、処理装置により、セキュリティパラメータλ(1λ)と、Nt=2nt+2+ut+wt+ztと、paramG:=(q,G,GT,g,e)の値とを入力としてアルゴリズムGdpvsを実行して、双対ペアリングベクトル空間のパラメータparamVt:=(q,Vt,GT,At,e)の値を生成する。
なお、nt,ut,wt,ztは、1以上の整数である。
【0112】
(S603:基底U生成ステップ)
管理者秘密鍵生成部112は、処理装置により、l=1,...,4の各整数lについて、基底Ulを数169に示すように生成する。
【数169】
【0113】
(S604:線形変換生成ステップ)
管理者秘密鍵生成部112は、処理装置により、nt+ut+wt+ztと、Fqとを入力として、線形変換Xt:=(χt,i,j)i,jを数170に示すようにランダムに生成する。
【数170】
【0114】
(S605:基底B生成ステップ)
管理者秘密鍵生成部112は、処理装置により、基底Bt及び基底B*tを数171に示すように生成する。
【数171】
また、管理者秘密鍵生成部112は、π,π’,μ∈Fqを、G2=πG1,G3=π’G1,G3=μG1となる値とする。すると、数172となる。
【数172】
【0115】
(S606:基底B^生成ステップ)
管理者秘密鍵生成部112は、処理装置により、基底Btの部分基底B^tと、基底B*の部分基底B^*tとを数173に示すように生成する。
【数173】
【0116】
(S607:マスター鍵記憶ステップ)
マスター鍵記憶部120は、(S602)で生成したパラメータparamVtと、(S606)で生成した部分基底B^t及び部分基底B^*tとを管理者公開パラメータapktとして記憶装置に記憶する。また、マスター鍵記憶部120は、(S604)で生成した線形変換Xtを管理者秘密鍵asktとして記憶装置に記憶する。
【0117】
つまり、(S601)から(S606)において、鍵生成装置100は数174に示すASetupアルゴリズムを実行して、管理者公開パラメータapktと管理者秘密鍵asktとを生成する。そして、(S607)で、鍵生成装置100は生成された管理者公開パラメータapktと管理者秘密鍵asktとを記憶装置に記憶する。
なお、管理者公開パラメータapktは、例えば、ネットワークを介して公開され、署名装置200や検証装置300が取得可能な状態にされる。
【数174】
【0118】
次に、図20に基づき、鍵生成装置100が実行するAttrGenアルゴリズムの処理について説明する。なお、上述したように、AttrGenアルゴリズムは、複数の鍵生成装置100のうち、ASetupアルゴリズムを実行した鍵生成装置100が実行する。
(S701:情報入力ステップ)
情報入力部130は、入力装置により、自己(その鍵生成装置100)に割り当てられた識別情報tと、署名鍵を発行するユーザの識別情報gidと、属性情報x→t:=(xt,i)(i=1,...,nt)とを入力する。
また、情報入力部130は、例えば、通信装置によりネットワークを介して、グローバルパラメータgparamを取得する。なお、自己がグローバルパラメータgparamを生成した鍵生成装置100である場合には、グローバルパラメータgparamをマスター鍵記憶部120から読み出せばよい。
また、情報入力部130は、マスター鍵記憶部120から管理者秘密鍵asktを読み出す。
【0119】
(S702:乱数生成ステップ)
乱数生成部141は、処理装置により、識別情報tとj=1,2の各整数jとについて、乱数φ→t,jを数175に示すように生成する。
【数175】
【0120】
(S703:鍵要素生成ステップ)
数176であるとする。
【数176】
鍵要素生成部145は、処理装置により、識別情報tとj=1,2の各整数jとについて、署名鍵uskgid,(t,xt)の要素である鍵要素k*t,jを数177に示すように生成する。
【数177】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数177は、以下のように、基底B*tの基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルb*t,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルb*t,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルb*t,1,...,b*t,3を意味する。
基底ベクトル1,...,ntの係数として(δj+1)xt,1,...,(δj+1)xt,nt(ここで、ntはntのことである)が設定される。基底tクトルnt+1,...,2ntの係数として−δjxt,1,...,−δjxt,nt(ここで、ntはntのことである)が設定される。基底ベクトル2nt+1,...,2nt+2+utの係数として0が設定される。基底ベクトル2nt+2+ut+1,...,2nt+2+ut+wtの係数として乱数φt,j、1,...,φt,j,wt(ここで、wtはwtのことである)が設定される。基底ベクトル2nt+2+ut+wt+1,...,2nt+2+ut+wt+ztの係数として0が設定される。
【0121】
(S704:鍵配布ステップ)
鍵配布部150は、ユーザの識別情報gidと、識別情報t及び属性情報x→tと、鍵要素k*t,jとを要素とする署名鍵uskgid,(t,xt)を、例えば通信装置によりネットワークを介して秘密裡に署名装置200へ配布する。もちろん、署名鍵uskgid,(t,xt)は、他の方法により署名装置200へ配布されてもよい。
【0122】
つまり、(S701)から(S703)において、鍵生成装置100は数178に示すAttrGenアルゴリズムを実行して、署名鍵uskgid,(t,xt)を生成する。そして、(S704)で、鍵生成装置100は生成された署名鍵uskgid,(t,xt)を署名装置200へ配布する。
【数178】
【0123】
署名装置200の機能と動作とについて説明する。
図16に示すように、署名装置200は、署名鍵取得部210、情報入力部220(第2情報入力部)、スパンプログラム計算部230、補完係数計算部240、署名データ生成部250、署名データ送信部260(署名データ出力部)を備える。
また、情報入力部220は、述語情報入力部221、メッセージ入力部222を備える。また、署名データ生成部250は、乱数生成部251、署名要素生成部255を備える。
【0124】
図21に基づき、署名装置200が実行するSigアルゴリズムの処理について説明する。
(S801:署名鍵取得ステップ)
署名鍵取得部210は、例えば、通信装置によりネットワークを介して、各鍵生成装置100が生成した署名鍵uskgid,(t,xt)を取得する。また、署名鍵取得部210は、鍵生成装置100が生成したグローバルパラメータgparamを取得する。
【0125】
(S802:情報入力ステップ)
述語情報入力部221は、入力装置により、アクセスストラクチャS:=(M,ρ)を入力する。なお、行列Mは、L行×r列の行列である。L,rは、1以上の整数である。
また、メッセージ入力部222は、入力装置により、署名を付すメッセージmを入力する。
なお、アクセスストラクチャSの行列Mの設定については、実現したいシステムの条件に応じて設定されるものである。
【0126】
(S803:スパンプログラム計算ステップ)
スパンプログラム計算部230は、処理装置により、(S802)で入力したアクセスストラクチャSが、(S801)で取得した署名鍵uskgid,(t,xt)に含まれる属性情報x→tの集合Γを受理するか否かを判定する。
なお、アクセスストラクチャが属性の集合を受理するか否かの判定方法は、実施の形態1における「第3.関数型暗号を実現するための概念」で説明した通りである。
スパンプログラム計算部230は、アクセスストラクチャSが属性の集合Γを受理する場合(S803で受理)、処理を(S804)へ進める。一方、アクセスストラクチャSが属性情報x→tの集合Γを拒絶する場合(S803で拒絶)、処理を終了する。
【0127】
(S804:補完係数計算ステップ)
補完係数計算部430は、処理装置により、数179となるIと、Iに含まれる各整数iについて定数(補完係数)αiとを計算する。
【数179】
なお、Miとは、行列Mのi行目のことである。
【0128】
(S805:乱数生成ステップ)
乱数生成部251は、処理装置により、乱数ξ1,ξ2と、乱数βi,βi’(i=1,...,L)とを数180に示すように生成する。
【数180】
【0129】
(S806:署名要素生成ステップ)
署名要素生成部255は、処理装置により、i=1,...,Lの各整数iについて、署名データσの要素である署名要素s*iを数181に示すように生成する。
【数181】
ここで、r*iは、数182(数110から数112及びこれらの数式の説明を参照)である。
【数182】
また、γiとy→i:=(yi,i’)(i’=1,...,nt)とy’→i:=(y’i,i’)(i’=1,...,nt)とは、数183である。
【数183】
【0130】
(S807:データ送信ステップ)
署名データ送信部260は、署名要素s*i(i=1,...,L)と、メッセージmと、アクセスストラクチャS:=(M,ρ)と、g0:=g4ξ2(ここで、ξ2はξ2である)とを含む署名データσを、例えば通信装置によりネットワークを介して検証装置300へ送信する。もちろん、署名データσは、他の方法により検証装置300へ送信されてもよい。
【0131】
つまり、(S801)から(S806)において、署名装置200は数184に示すSigアルゴリズムを実行して、署名データσを生成する。そして、(S807)で、署名装置200は生成された署名データσを検証装置300へ配布する。
【数184】
【0132】
検証装置300の機能と動作とについて説明する。
図17に示すように、検証装置300は、公開パラメータ取得部310、データ受信部320(データ取得部)、検証鍵生成部330、ペアリング演算部340を備える。
また、検証鍵生成部330は、乱数生成部331、fベクトル生成部332、sベクトル生成部333、検証要素生成部337を備える。
【0133】
図22に基づき、検証装置300が実行するVerアルゴリズムの処理について説明する。
(S901:公開パラメータ取得ステップ)
公開パラメータ取得部310は、例えば、通信装置によりネットワークを介して、各鍵生成装置100が生成したグローバルパラメータgparamと、管理者公開パラメータapktとを取得する。
【0134】
(S902:署名データ受信ステップ)
データ受信部320は、例えば、通信装置によりネットワークを介して、署名装置200が送信した署名データσを受信する。
【0135】
(S903:fベクトル生成ステップ)
fベクトル生成部332は、処理装置により、r個の要素を有するベクトルf→を数185に示すようにランダムに生成する。
【数185】
【0136】
(S904:sベクトル生成ステップ)
sベクトル生成部333は、処理装置により、(S902)で受信した署名データσに含まれるアクセスストラクチャSの(L行×r列)の行列Mと、(S903)で生成したr個の要素を有するベクトルf→とに基づき、ベクトルs→Tを数186に示すように生成する。
【数186】
また、sベクトル生成部333は、処理装置により、(S903)で生成したベクトルf→に基づき、値s0を数187に示すように生成する。なお、1→は、全ての要素が値1のベクトルである。
【数187】
【0137】
(S905:f’ベクトル生成ステップ)
fベクトル生成部332は、処理装置により、r個の要素を有するベクトルf→’を数188に示すようにランダムに生成する。
【数188】
【0138】
(S906:s’ベクトル生成ステップ)
sベクトル生成部333は、処理装置により、(L行×r列)の行列Mと、r個の要素を有するベクトルf→’とに基づき、ベクトル(s→’)Tを数189に示すように生成する。
【数189】
【0139】
(S907:乱数生成ステップ)
乱数生成部331は、処理装置により、乱数σ→と値σ0とを数190に示すように生成する。
【数190】
【0140】
(S908:検証要素生成ステップ)
検証要素生成部337は、処理装置により、i=1,...,Lの各整数iについて、検証鍵の要素である検証要素ciを数191に示すように生成する。
【数191】
なお、上述したように、数113に示す基底Bと基底B*とに対して、数114である。したがって、数191は、以下のように、基底Btの基底ベクトルの係数が設定されることを意味する。ここでは、表記を簡略化して、基底ベクトルbt,iのうち、iの部分のみで基底ベクトルを特定する。例えば、基底ベクトル1であれば、基底ベクトルbt,1を意味する。また、基底ベクトル1,...,3であれば、基底ベクトルbt,1,...,bt,3を意味する。
ρ(i)が肯定形の組(t,v→i)である場合には、基底ベクトル1の係数としてsi+θivi,1が設定される。基底ベクトル2,...,ntの係数としてθivi,2,...,θivi,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1の係数としてsi’+θi’vi,1が設定される。基底ベクトルnt+2,...,2ntの係数としてθi’vi,2,...,θi’vi,nt(ここで、ntはntのことである)が設定される。基底ベクトル2nt+1の係数としてσi−θi’’H2(m,S)が設定される。なお、H2(m,S)とは、ハッシュ関数H2の入力として、メッセージmとアクセスストラクチャSとが与えられることを意味する。例えば、H2(m||S)としてもよい。基底ベクトル2nt+2の係数としてθi’’が設定される。基底ベクトル2nt+2+1,...,2nt+2+ut+wtの係数として0が設定される。基底ベクトル2nt+2+ut+wt+1,...,2nt+2+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
一方、ρ(i)が否定形の組¬(t,v→i)である場合には、基底ベクトル1,...,ntの係数としてsivi,1,...,sivi,nt(ここで、ntはntのことである)が設定される。基底ベクトルnt+1,...,2ntの係数としてsi’vi,1,...,si’vi,nt(ここで、ntはntのことである)が設定される。基底ベクトル2nt+1の係数としてσi−θi’’H2(m,S)が設定される。基底ベクトル2nt+2の係数としてθi’’が設定される。基底ベクトル2nt+2+1,...,2nt+2+ut+wtの係数として0が設定される。基底ベクトル2nt+2+ut+wt+1,...,2nt+2+ut+wt+ztの係数としてηi,1,...,ηi,zt(ここで、ztはztのことである)が設定される。
【0141】
(S909:ペアリング演算ステップ)
ペアリング演算部340は、処理装置により、数192に示すペアリング演算を計算する。
【数192】
数192に示すペアリング演算を計算した結果が値gTs0g0σ0(ここでs0はs0であり、σ0はσ0である)であれば、ペアリング演算部340は、署名の検証に成功したことを示す値1を出力する。一方、その他の値であれば、ペアリング演算部340は、署名の検証に失敗したことを示す値0を出力する。
なお、数193に示すように、数192を計算することにより、署名データσが正当なものであれば、値1が得られる。
【数193】
【0142】
つまり、(S901)から(S909)において、検証装置300は、数194に示すVerアルゴリズムを実行して、署名データσを検証する。
【数194】
【0143】
以上のように、実施の形態2に係る署名処理システム10は、複数の鍵生成装置100が署名鍵を生成する多管理者属性ベース署名方式を実現する。特に、署名処理システム10が実現する署名方式は、中央管理者がいない分散多管理者属性ベース署名方式である。
なお、実施の形態2に係る署名処理システム10は、実施の形態1に係る署名処理システム10と同様に、ノンモノトーン述語を伴う属性ベース署名方式を実現する。
【0144】
実施の形態2に係る署名処理システム10が実現する属性ベース署名方式は、安全性が高く、プライバシー要件を満たしている。
【0145】
なお、上記説明において、ut、wt、zt(t=1,...,d)の次元は、安全性を高めるために設けた次元である。したがって、安全性が低くなってしまうが、ut、wt、zt(t=1,...,d)をそれぞれ0として、ut、wt、zt(t=1,...,d)の次元を設けなくてもよい。
【0146】
また、上記説明では、基底Bt及び基底B*tの次元数を2nt+2+ut+wt+ztに設定した。しかし、2nt+2+ut+wt+ztを2+2+2+6+4+1として、基底Bt及び基底B*tの次元数を17としてもよい。
この場合、数168に示すGSetupアルゴリズムは、数195のように書き換えられる。
【数195】
また、数174に示すASetupアルゴリズムは、数196のように書き換えられる。
【数196】
また、数178に示すAttrGenアルゴリズムは、数197のように書き換えられる。
【数197】
また、数184に示すSigアルゴリズムは、数198のように書き換えられる。
【数198】
また、数194に示すVerアルゴリズムは、数199のように書き換えられる。
【数199】
【0147】
また、GSetupアルゴリズムは、署名処理システム10のセットアップ時にいずれかの鍵生成装置100が一度実行すればよく、署名鍵を生成する度に実行する必要はない。同様に、ASetupアルゴリズムは、署名処理システム10のセットアップ時に各鍵生成装置100が一度実行すればよく、署名鍵を生成する度に実行する必要はない。
また、上記説明では、GSetupアルゴリズムとASetupアルゴリズムとKeyGenアルゴリズムとを鍵生成装置100が実行するとしたが、GSetupアルゴリズムとASetupアルゴリズムとKeyGenアルゴリズムとをそれぞれ異なる装置が実行するとしてもよい。
【0148】
実施の形態3.
以上の実施の形態では、双対ベクトル空間において署名処理を実現する方法について説明した。この実施の形態では、双対加群において署名処理を実現する方法について説明する。
【0149】
つまり、以上の実施の形態では、素数位数qの巡回群において署名処理を実現した。しかし、合成数Mを用いて数200のように環Rを表した場合、環Rを係数とする加群においても、上記実施の形態で説明した署名処理を適用することができる。
【数200】
【0150】
実施の形態1で説明した属性ベース署名方式を、環Rを係数とする加群において実現すると数201から数205のようになる。
【数201】
【数202】
【数203】
【数204】
【数205】
【0151】
実施の形態2で説明した分散多管理者属性ベース署名方式を、環Rを係数とする加群において実現すると数206から数210のようになる。
【数206】
【数207】
【数208】
【数209】
【数210】
【0152】
なお、安全性の証明の観点から、以上の実施の形態において、i=1,...,Lの各整数iについてのρ(i)は、それぞれ異なる識別情報tについての肯定形の組(t,v→i)又は否定形の組¬(t,v→i)であると限定してもよい。
言い替えると、ρ(i)=(t,v→i)又はρ(i)=¬(t,v→i)である場合に、関数ρ〜を、ρ〜(i)=tである{1,...,L}→{1,..,d}の写像であるとする。この場合、ρ〜が単射であると限定してもよい。なお、ρ(i)は、上述したアクセスストラクチャS:=(M,ρ(i))のρ(i)である。
【0153】
また、上記説明では、スパンプログラムM^は、入力列δによって行列M^から得られる行列Mδの行を線形結合して1→が得られる場合に限り、入力列δを受理するとした。しかし、スパンプログラムM^は、1→ではなく、他のベクトルh→が得られる場合に限り、入力列δを受理するとしてもよい。
この場合、KeyGenアルゴリズムにおいて、s0:=1→・f→Tではなく、s0:=h→・f→Tとすればよい。
【0154】
次に、実施の形態における署名処理システム10(鍵生成装置100、署名装置200、検証装置300)のハードウェア構成について説明する。
図23は、鍵生成装置100、署名装置200、検証装置300のハードウェア構成の一例を示す図である。
図23に示すように、鍵生成装置100、署名装置200、検証装置300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
【0155】
ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置の一例である。さらに、LCD901は、表示装置の一例である。
【0156】
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
【0157】
プログラム群923には、上記の説明において「マスター鍵生成部110」、「マスター鍵記憶部120」、「情報入力部130」、「署名鍵生成部140」、「鍵配布部150」、「署名鍵取得部210」、「情報入力部220」、「スパンプログラム計算部230」、「補完係数計算部240」、「署名データ生成部250」、「署名データ送信部260」、「公開パラメータ取得部310」、「データ受信部320」、「検証鍵生成部330」、「ペアリング演算部340」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「公開パラメータ」、「マスター鍵」、「署名データσ」、「署名鍵」、「アクセスストラクチャS」、「属性情報」、「属性の集合Γ」、「メッセージm」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0158】
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
【符号の説明】
【0159】
10 署名処理システム、100 鍵生成装置、110 マスター鍵生成部、111 グローバルパラメータ生成部、112 管理者秘密鍵生成部、120 マスター鍵記憶部、130 情報入力部、140 署名鍵生成部、141 乱数生成部、142 鍵要素0生成部、143 鍵要素t生成部、144 鍵要素d+1生成部、145 鍵要素生成部、150 鍵配布部、200 署名装置、210 署名鍵取得部、220 情報入力部、221 述語情報入力部、222 メッセージ入力部、230 スパンプログラム計算部、240 補完係数計算部、250 署名データ生成部、251 乱数生成部、252 署名要素0生成部、253 署名要素i生成部、254 署名要素L+1生成部、255 署名要素生成部、260 署名データ送信部、300 検証装置、310 公開パラメータ取得部、320 データ受信部、330 検証鍵生成部、331 乱数生成部、332 fベクトル生成部、333 sベクトル生成部、334 検証要素0生成部、335 検証要素i生成部、336 検証要素L+1生成部、337 検証要素生成部、340 ペアリング演算部。
【特許請求の範囲】
【請求項1】
鍵生成装置と署名装置と検証装置とを備え、t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムであり、
前記鍵生成装置は、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力部と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成部と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成部と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成部と、
前記鍵要素0生成部が生成した鍵要素k*0と、前記鍵要素t生成部が生成した前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成部が生成した鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを前記署名装置へ送信する署名鍵送信部と
を備え、
前記署名装置は、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記署名鍵送信部が送信した署名鍵skΓを取得する署名鍵取得部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0とならないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成部と、
i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成部と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成部と、
前記署名要素0生成部が生成した署名要素s*0と、前記署名要素i生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成部が生成した署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備え、
前記検証装置は、
前記署名データ送信部が送信した署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成部と、
前記ベクトルf→と前記データ取得部が取得した署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成部と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成部と、
前記検証要素0生成部が生成した検証要素c0と、前記検証要素i生成部が生成した検証要素ciと、前記検証要素L+1生成部が生成した検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする署名処理システム。
【請求項2】
前記署名処理システムは、
少なくとも基底ベクトルbt,i(i=1,...,1+u0,...,1+u0+w0,...,1+u0+w0+z0)を有する基底B0と、
少なくとも基底ベクトルbt,i(i=1,...,nt,...,nt+ut,...,nt+ut+wt,...,nt+ut+wt+zt)(ut,wt,ztは1以上の整数)を有する基底Bt(t=1,...,d)と、
少なくとも基底ベクトルbt,i(i=1,2,...,2+ud+1,...,2+ud+1+wd+1,...,2+ud+1+wd+1+zd+1)を有する基底Bd+1と、
少なくとも基底ベクトルb*t,i(i=1,...,1+u0,...,1+u0+w0,...,1+u0+w0+z0)を有する基底B*0と、
少なくとも基底ベクトルb*t,i(i=1,...,nt,...,nt+ut,...,nt+ut+wt,...,nt+ut+wt+zt)(ut,wt,ztは1以上の整数)を有する基底B*t(t=1,...,d)と、
少なくとも基底ベクトルb*t,i(i=1,2,...,2+ud+1,...,2+ud+1+wd+1,...,2+ud+1+wd+1+zd+1)を有する基底B*d+1と
を用いて署名処理を実行し、
前記鍵生成装置では、
前記鍵要素0生成部は、乱数δと乱数φ0,i(i=1,...,w0)とに基づき、数1に示す鍵要素k*0を生成し、
前記鍵要素t生成部は、前記乱数δと乱数φt,i(i=1,...,wt)とに基づき、前記属性集合Γに含まれる各識別情報tについて、数2に示す鍵要素k*tを生成し、
前記鍵要素d+1生成部は、前記乱数δと乱数φd+1,1,i(i=1,...,wd+1)と乱数φd+1,2,i(i=1,...,wd+1)とに基づき、数3に示す鍵要素k*d+1,1と鍵要素k*d+1,2とを生成し、
前記署名装置では、
前記署名要素0生成部は、乱数ξに基づき、数4に示す署名要素s*0を生成し、
前記署名要素i生成部は、i=1,...,Lの各整数iについて、前記乱数ξに基づき、数5に示す署名要素s*iを生成し、
前記署名要素L+1生成部は、前記乱数ξと前記値m’とに基づき、数6に示す署名要素s*L+1を生成し、
前記検証装置では、
前記検証要素0生成部は、前記値s0と乱数sL+1と乱数η0,i(i=1,...,z0)とに基づき、数7に示す検証要素c0を生成し、
前記検証要素i生成部は、前記列ベクトルs→Tと乱数θiと乱数ηi,i’(i=1,...,L;i’=1,...,zt)とに基づき、i=1,...,Lの各整数iについて、数8に示す検証要素ciを生成し、
前記検証要素L+1生成部は、前記乱数sL+1と乱数θL+1と乱数ηL+1,i’(i’=1,...,zd+1)と前記値m’とに基づき、数9に示す検証要素cL+1を生成する
ことを特徴とする請求項1に記載の署名処理システム。
【数1】
【数2】
【数3】
【数4】
【数5】
【数6】
【数7】
【数8】
【数9】
【請求項3】
前記署名装置では、
前記署名要素L+1生成部は、前記メッセージmと、前記行列Mと、i=1,...,Lの各整数iについての前記変数ρ(i)とを入力としたハッシュ値を前記値m’として用いて、署名要素s*L+1を生成し、
前記検証装置では、
前記検証要素L+1生成部は、前記ハッシュ値を前記値m’として用いて、検証要素cL+1を生成する
ことを特徴とする請求項1又は2に記載の署名処理システム。
【請求項4】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名鍵skΓを生成する鍵生成装置であり、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力部と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成部と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成部と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成部と、
前記鍵要素0生成部が生成した鍵要素k*0と、前記鍵要素t生成部が生成した前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成部が生成した鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを署名装置へ送信する署名鍵送信部と
を備えることを特徴とする鍵生成装置。
【請求項5】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを生成する署名装置であり、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γと、
基底B*0の基底ベクトルb*0,1の係数として所定の値δが設定された鍵要素k*0と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)が設定された鍵要素k*tと、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δが設定された鍵要素k*d+1,1と、
基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δが設定された鍵要素k*d+1,2と
を署名鍵skΓとして取得する署名鍵取得部と、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとがの内積が0とならないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成部と、
i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成部と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成部と、
前記署名要素0生成部が生成した署名要素s*0と、前記署名要素i生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成部が生成した署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを検証装置へ送信する署名データ送信部と
を備えることを特徴とする署名装置。
【請求項6】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを検証する検証装置であり、
署名要素s*0と、i=1,...,Lの各整数iについての署名要素s*iと、署名要素s*L+1と、メッセージmと、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mとを含む署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→とr個の要素を有するベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成部と、
前記ベクトルf→と前記データ取得部が取得した署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成部と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成部と、
前記検証要素0生成部が生成した検証要素c0と、前記検証要素i生成部が生成した検証要素ciと、前記検証要素L+1生成部が生成した検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする検証装置。
【請求項7】
d個(dは1以上の整数)の鍵生成装置と、署名装置と、検証装置とを備え、t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムであり、
前記d個の鍵生成装置の各鍵生成装置は、
t=1,...,dのうち鍵生成装置毎に予め定められた整数tについての属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)を入力する第1情報入力部と、
前記整数tと、j=1,2の各整数jについて、前記第1情報入力部が入力した属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数10に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成部と、
前記鍵要素生成部が生成した鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを前記署名装置へ送信する署名鍵送信部と
を備え、
前記署名装置は、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記d個の鍵生成装置のうち、少なくとも1つ以上の鍵生成装置の署名鍵送信部が送信した署名鍵uskを取得する署名鍵取得部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵uskに含まれる属性情報xtとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すxtを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(vi・xt)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数11に示すベクトルを含む署名要素s*iを生成する署名要素生成部と、
前記署名要素生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備え、
前記検証装置は、
前記署名データ送信部が送信した署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と、前記データ取得部が取得した署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成部と、
前記ベクトル生成部が生成した列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数12に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数13に示すベクトルを含む検証要素ciを生成する検証要素生成部と、
前記検証要素生成部が生成した検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする署名処理システム。
【数10】
【数11】
【数12】
【数13】
【請求項8】
前記署名処理システムは、
t=1,...,dの少なくとも1つ以上の整数tについて、少なくとも基底ベクトルbt,i(i=1,...,2nt+2,...,2nt+2+ut,...,2nt+2+ut+wt,...,2nt+2+ut+wt+zt)(ut,wt,ztは1以上の整数)を有する基底Btと、少なくとも基底ベクトルb*t,i(i=1,...,2nt+2,...,2nt+2+ut,...,2nt+2+ut+wt,...,2nt+2+ut+wt+zt)を有する基底B*tとを用いて署名処理を実行し、
前記鍵生成装置では、
前記属性情報x→tと前記所定の値δj,Δと乱数φt,j,i(j=1,2;i=1,...,wt)とに基づき、前記整数tと、j=1,2の各整数jについて、数14に示す鍵要素k*t,jを生成し、
前記署名装置では、
前記署名要素生成部は、前記鍵要素k*t,1及び前記鍵要素k*t,2と乱数ξ1,ξ2と所定の値Ε,π,π’,μと前記値m’とに基づき、i=1,...,Lの各整数iについて、数15に示すr*i,γi,y→i:=(yi,i)(i=1,...,nt),y’→i:=(y’i,i)(i=1,...,nt)を用いて、数16に示す署名要素s*iを生成し、
前記検証装置では、
前記検証要素生成部は、前記列ベクトルs→T及び前記列ベクトル(s→’)Tと乱数θi,θi’,θi’’と前記所定の値σiと乱数ηi,i’(i=1,...,L;i’=1,...,zt)とに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、数17に示す検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、数18に示す検証要素ciを生成する
ことを特徴とする請求項7に記載の署名処理システム。
【数14】
【数15】
【数16】
【数17】
【数18】
【請求項9】
前記署名装置では、
前記署名要素生成部は、前記メッセージmと、前記行列Mと、i=1,...,Lの各整数iについての前記変数ρ(i)とを入力としたハッシュ値を前記値m’として用いて、署名要素s*iを生成し、
前記検証装置では、
前記検証要素生成部は、前記ハッシュ値を前記値m’として用いて、検証要素ciを生成する
ことを特徴とする請求項7又は8に記載の署名処理システム。
【請求項10】
t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名鍵uskを生成する鍵生成装置であり、
t=1,...,dのうち所定の整数tについて、属性情報x→t:=(xt,i)(i=1,...,nt)を入力する第1情報入力部と、
前記整数tと、j=1,2の各整数jについて、前記第1情報入力部が入力した属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数19に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成部と、
前記鍵要素生成部が生成した鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを署名装置へ送信する署名鍵送信部と
を備えることを特徴とする鍵生成装置。
【数19】
【請求項11】
t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを生成する署名装置であり、
t=1,...,dのうち少なくとも一部の整数tと、j=1,2の各整数jとについて、属性情報x→t:=(xt,i)(i=1,...,nt)と、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数20に示すベクトルを含むように生成された鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを取得する署名鍵取得部と、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵uskに含まれる属性情報x→tとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないが等しくないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数21に示すベクトルを含む署名要素s*iを生成する署名要素生成部と、
前記署名要素生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備えることを特徴とする署名装置。
【数20】
【数21】
【請求項12】
t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを検証する検証装置であり、
i=1,...,Lの各整数iについての署名要素s*iと、メッセージmと、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mとを含む署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と、前記データ取得部が取得した署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成部と、
前記ベクトル生成部が生成した列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数22に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数23に示すベクトルを含む検証要素ciを生成する検証要素生成部と、
前記検証要素生成部が生成した検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする検証装置。
【数22】
【数23】
【請求項13】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理方法であり、
鍵生成装置が、t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力工程と、
前記鍵生成装置が、基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成工程と、
前記鍵生成装置が、前記第1情報入力工程で入力された属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成工程と、
前記鍵生成装置が、基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成工程と、
前記鍵生成装置が、前記鍵要素0生成工程で生成された鍵要素k*0と、前記鍵要素t生成工程で生成された前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成工程で生成された鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを署名装置へ送信する署名鍵送信工程と、
前記署名装置が、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力工程と、
前記署名装置が、前記署名鍵送信工程で送信された署名鍵skΓを取得する署名鍵取得工程と、
前記署名装置が、前記第2情報入力工程で入力された変数ρ(i)と、前記署名鍵取得工程で取得された署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力工程で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算工程と、
前記署名装置が、前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成工程と、
前記署名装置が、i=1,...,Lの各整数iについて、前記補完係数計算工程で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成工程と、
前記署名装置が、前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成工程と、
前記署名装置が、前記署名要素0生成工程で生成された署名要素s*0と、前記署名要素i生成工程で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成工程で生成された署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを検証装置へ送信する署名データ送信工程と、
前記検証装置が、前記署名データ送信工程で送信された署名データσを取得するデータ取得工程と、
前記検証装置が、r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成工程と、
前記検証装置が、前記ベクトルf→と前記データ取得工程で取得された署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成工程と、
前記検証装置が、基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成工程と、
前記検証装置が、前記検証要素0生成工程で生成された検証要素c0と、前記検証要素i生成工程で生成された検証要素ciと、前記検証要素L+1生成工程で生成された検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算工程と
を備えることを特徴とする署名処理方法。
【請求項14】
鍵生成プログラムと署名プログラムと検証プログラムとを備え、t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理プログラムであり、
前記鍵生成プログラムは、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力処理と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成処理と、
前記第1情報入力処理で入力された属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成処理と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成処理と、
前記鍵要素0生成処理で生成された鍵要素k*0と、前記鍵要素t生成処理で生成された前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成処理で生成された鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを前記署名装置へ送信する署名鍵送信処理と
をコンピュータに実行させ、
前記署名プログラムは、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力処理と、
前記署名鍵送信処理で送信された署名鍵skΓを取得する署名鍵取得処理と、
前記第2情報入力処理で入力された変数ρ(i)と、前記署名鍵取得処理で取得された署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力処理で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算処理と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成処理と、
i=1,...,Lの各整数iについて、前記補完係数計算処理で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成処理と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成処理と、
前記署名要素0生成処理で生成された署名要素s*0と、前記署名要素i生成処理で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成処理で生成された署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信処理と
をコンピュータに実行させ、
前記検証プログラムは、
前記署名データ送信処理で送信された署名データσを取得するデータ取得処理と、
r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成処理と、
前記ベクトルf→と前記データ取得処理で取得された署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成処理と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成処理と、
前記検証要素0生成処理で生成された検証要素c0と、前記検証要素i生成処理で生成された検証要素ciと、前記検証要素L+1生成処理で生成された検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算処理と
をコンピュータに実行させることを特徴とする署名処理プログラム。
【請求項15】
t=1,...,d(dは1以上の整数)の少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理方法であり、
d個の鍵生成装置の少なくとも1個以上の鍵生成装置が、t=1,...,dのうち鍵生成装置毎に予め定められた整数tについての属性情報x→t:=(xt,i)(i=1,...,nt)を入力する第1情報入力工程と、
前記少なくとも1個以上の鍵生成装置が、前記整数tと、j=1,2の各整数jについて、前記第1情報入力工程で入力された属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数24に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成工程と、
前記少なくとも1個以上の鍵生成装置が、前記鍵要素生成工程で生成された鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを署名装置へ送信する署名鍵送信工程と、
前記署名装置が、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力工程と、
前記署名装置が、前記d個の鍵生成装置のうち、少なくとも1つ以上の鍵生成装置の署名鍵送信工程で送信された署名鍵uskを取得する署名鍵取得工程と、
前記署名装置が、前記第2情報入力工程で入力された変数ρ(i)と、前記署名鍵取得工程で取得された署名鍵uskに含まれる属性情報x→tとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得工程で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得工程で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力工程で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算工程と、
前記署名装置が、前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算工程で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数25に示すベクトルを含む署名要素s*iを生成する署名要素生成工程と、
前記署名装置が、前記署名要素生成工程で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを検証装置へ送信する署名データ送信工程と、
前記検証装置が、前記署名データ送信工程が送信された署名データσを取得するデータ取得工程と、
前記検証装置が、r個の要素を有するベクトルf→と、前記データ取得工程で取得された署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成工程と、
前記検証装置が、前記ベクトル生成工程で生成された列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数26に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,1から基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数27に示すベクトルを含む検証要素ciを生成する検証要素生成工程と、
前記検証装置が、前記検証要素生成工程で生成された検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算工程と
を備えることを特徴とする署名処理方法。
【数24】
【数25】
【数26】
【数27】
【請求項16】
d個(dは1以上の整数)の鍵生成装置で動作させる鍵生成プログラムと、署名装置で動作させる署名プログラムと、検証装置で動作させる検証プログラムとを備え、t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理プログラムであり、
前記鍵生成プログラムは、
t=1,...,dのうち鍵生成装置毎に予め定められた整数tについての属性情報x→t:=(xt,i)(i=1,...,nt)を入力する第1情報入力処理と、
前記整数tと、j=1,2の各整数jについて、前記第1情報入力処理で入力された属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数28に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成処理と、
前記鍵要素生成処理で生成された鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを前記署名装置へ送信する署名鍵送信処理と
をコンピュータに実行させ、
前記署名プログラムは、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力処理と、
前記d個の鍵生成装置のうち、少なくとも1つ以上の鍵生成装置の署名鍵送信処理で送信された署名鍵uskを取得する署名鍵取得処理と、
前記第2情報入力処理で入力された変数ρ(i)と、前記署名鍵取得処理で取得された署名鍵uskに含まれる属性情報x→tとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得処理で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得処理で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力処理で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算処理と、
前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算処理で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数29に示すベクトルを含む署名要素s*iを生成する署名要素生成処理と、
前記署名要素生成処理で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信処理と
をコンピュータに実行させ、
前記検証プログラムは、
前記署名データ送信処理で送信された署名データσを取得するデータ取得処理と、
r個の要素を有するベクトルf→と、前記データ取得処理で取得された署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成処理と、
前記ベクトル生成処理で生成された列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数30に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数31に示すベクトルを含む検証要素ciを生成する検証要素生成処理と、
前記検証要素生成処理で生成された検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算処理と
をコンピュータに実行させることを特徴とする署名処理プログラム。
【数28】
【数29】
【数30】
【数31】
【請求項1】
鍵生成装置と署名装置と検証装置とを備え、t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムであり、
前記鍵生成装置は、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力部と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成部と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成部と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成部と、
前記鍵要素0生成部が生成した鍵要素k*0と、前記鍵要素t生成部が生成した前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成部が生成した鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを前記署名装置へ送信する署名鍵送信部と
を備え、
前記署名装置は、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記署名鍵送信部が送信した署名鍵skΓを取得する署名鍵取得部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0とならないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成部と、
i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成部と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成部と、
前記署名要素0生成部が生成した署名要素s*0と、前記署名要素i生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成部が生成した署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備え、
前記検証装置は、
前記署名データ送信部が送信した署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成部と、
前記ベクトルf→と前記データ取得部が取得した署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成部と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成部と、
前記検証要素0生成部が生成した検証要素c0と、前記検証要素i生成部が生成した検証要素ciと、前記検証要素L+1生成部が生成した検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする署名処理システム。
【請求項2】
前記署名処理システムは、
少なくとも基底ベクトルbt,i(i=1,...,1+u0,...,1+u0+w0,...,1+u0+w0+z0)を有する基底B0と、
少なくとも基底ベクトルbt,i(i=1,...,nt,...,nt+ut,...,nt+ut+wt,...,nt+ut+wt+zt)(ut,wt,ztは1以上の整数)を有する基底Bt(t=1,...,d)と、
少なくとも基底ベクトルbt,i(i=1,2,...,2+ud+1,...,2+ud+1+wd+1,...,2+ud+1+wd+1+zd+1)を有する基底Bd+1と、
少なくとも基底ベクトルb*t,i(i=1,...,1+u0,...,1+u0+w0,...,1+u0+w0+z0)を有する基底B*0と、
少なくとも基底ベクトルb*t,i(i=1,...,nt,...,nt+ut,...,nt+ut+wt,...,nt+ut+wt+zt)(ut,wt,ztは1以上の整数)を有する基底B*t(t=1,...,d)と、
少なくとも基底ベクトルb*t,i(i=1,2,...,2+ud+1,...,2+ud+1+wd+1,...,2+ud+1+wd+1+zd+1)を有する基底B*d+1と
を用いて署名処理を実行し、
前記鍵生成装置では、
前記鍵要素0生成部は、乱数δと乱数φ0,i(i=1,...,w0)とに基づき、数1に示す鍵要素k*0を生成し、
前記鍵要素t生成部は、前記乱数δと乱数φt,i(i=1,...,wt)とに基づき、前記属性集合Γに含まれる各識別情報tについて、数2に示す鍵要素k*tを生成し、
前記鍵要素d+1生成部は、前記乱数δと乱数φd+1,1,i(i=1,...,wd+1)と乱数φd+1,2,i(i=1,...,wd+1)とに基づき、数3に示す鍵要素k*d+1,1と鍵要素k*d+1,2とを生成し、
前記署名装置では、
前記署名要素0生成部は、乱数ξに基づき、数4に示す署名要素s*0を生成し、
前記署名要素i生成部は、i=1,...,Lの各整数iについて、前記乱数ξに基づき、数5に示す署名要素s*iを生成し、
前記署名要素L+1生成部は、前記乱数ξと前記値m’とに基づき、数6に示す署名要素s*L+1を生成し、
前記検証装置では、
前記検証要素0生成部は、前記値s0と乱数sL+1と乱数η0,i(i=1,...,z0)とに基づき、数7に示す検証要素c0を生成し、
前記検証要素i生成部は、前記列ベクトルs→Tと乱数θiと乱数ηi,i’(i=1,...,L;i’=1,...,zt)とに基づき、i=1,...,Lの各整数iについて、数8に示す検証要素ciを生成し、
前記検証要素L+1生成部は、前記乱数sL+1と乱数θL+1と乱数ηL+1,i’(i’=1,...,zd+1)と前記値m’とに基づき、数9に示す検証要素cL+1を生成する
ことを特徴とする請求項1に記載の署名処理システム。
【数1】
【数2】
【数3】
【数4】
【数5】
【数6】
【数7】
【数8】
【数9】
【請求項3】
前記署名装置では、
前記署名要素L+1生成部は、前記メッセージmと、前記行列Mと、i=1,...,Lの各整数iについての前記変数ρ(i)とを入力としたハッシュ値を前記値m’として用いて、署名要素s*L+1を生成し、
前記検証装置では、
前記検証要素L+1生成部は、前記ハッシュ値を前記値m’として用いて、検証要素cL+1を生成する
ことを特徴とする請求項1又は2に記載の署名処理システム。
【請求項4】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名鍵skΓを生成する鍵生成装置であり、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力部と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成部と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成部と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成部と、
前記鍵要素0生成部が生成した鍵要素k*0と、前記鍵要素t生成部が生成した前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成部が生成した鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを署名装置へ送信する署名鍵送信部と
を備えることを特徴とする鍵生成装置。
【請求項5】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを生成する署名装置であり、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γと、
基底B*0の基底ベクトルb*0,1の係数として所定の値δが設定された鍵要素k*0と、
前記第1情報入力部が入力した属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)が設定された鍵要素k*tと、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δが設定された鍵要素k*d+1,1と、
基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δが設定された鍵要素k*d+1,2と
を署名鍵skΓとして取得する署名鍵取得部と、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとがの内積が0とならないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成部と、
i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成部と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成部と、
前記署名要素0生成部が生成した署名要素s*0と、前記署名要素i生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成部が生成した署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを検証装置へ送信する署名データ送信部と
を備えることを特徴とする署名装置。
【請求項6】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを検証する検証装置であり、
署名要素s*0と、i=1,...,Lの各整数iについての署名要素s*iと、署名要素s*L+1と、メッセージmと、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mとを含む署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→とr個の要素を有するベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成部と、
前記ベクトルf→と前記データ取得部が取得した署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成部と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成部と、
前記検証要素0生成部が生成した検証要素c0と、前記検証要素i生成部が生成した検証要素ciと、前記検証要素L+1生成部が生成した検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする検証装置。
【請求項7】
d個(dは1以上の整数)の鍵生成装置と、署名装置と、検証装置とを備え、t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムであり、
前記d個の鍵生成装置の各鍵生成装置は、
t=1,...,dのうち鍵生成装置毎に予め定められた整数tについての属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)を入力する第1情報入力部と、
前記整数tと、j=1,2の各整数jについて、前記第1情報入力部が入力した属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数10に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成部と、
前記鍵要素生成部が生成した鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを前記署名装置へ送信する署名鍵送信部と
を備え、
前記署名装置は、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記d個の鍵生成装置のうち、少なくとも1つ以上の鍵生成装置の署名鍵送信部が送信した署名鍵uskを取得する署名鍵取得部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵uskに含まれる属性情報xtとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すxtを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(vi・xt)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数11に示すベクトルを含む署名要素s*iを生成する署名要素生成部と、
前記署名要素生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備え、
前記検証装置は、
前記署名データ送信部が送信した署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と、前記データ取得部が取得した署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成部と、
前記ベクトル生成部が生成した列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数12に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数13に示すベクトルを含む検証要素ciを生成する検証要素生成部と、
前記検証要素生成部が生成した検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする署名処理システム。
【数10】
【数11】
【数12】
【数13】
【請求項8】
前記署名処理システムは、
t=1,...,dの少なくとも1つ以上の整数tについて、少なくとも基底ベクトルbt,i(i=1,...,2nt+2,...,2nt+2+ut,...,2nt+2+ut+wt,...,2nt+2+ut+wt+zt)(ut,wt,ztは1以上の整数)を有する基底Btと、少なくとも基底ベクトルb*t,i(i=1,...,2nt+2,...,2nt+2+ut,...,2nt+2+ut+wt,...,2nt+2+ut+wt+zt)を有する基底B*tとを用いて署名処理を実行し、
前記鍵生成装置では、
前記属性情報x→tと前記所定の値δj,Δと乱数φt,j,i(j=1,2;i=1,...,wt)とに基づき、前記整数tと、j=1,2の各整数jについて、数14に示す鍵要素k*t,jを生成し、
前記署名装置では、
前記署名要素生成部は、前記鍵要素k*t,1及び前記鍵要素k*t,2と乱数ξ1,ξ2と所定の値Ε,π,π’,μと前記値m’とに基づき、i=1,...,Lの各整数iについて、数15に示すr*i,γi,y→i:=(yi,i)(i=1,...,nt),y’→i:=(y’i,i)(i=1,...,nt)を用いて、数16に示す署名要素s*iを生成し、
前記検証装置では、
前記検証要素生成部は、前記列ベクトルs→T及び前記列ベクトル(s→’)Tと乱数θi,θi’,θi’’と前記所定の値σiと乱数ηi,i’(i=1,...,L;i’=1,...,zt)とに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、数17に示す検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、数18に示す検証要素ciを生成する
ことを特徴とする請求項7に記載の署名処理システム。
【数14】
【数15】
【数16】
【数17】
【数18】
【請求項9】
前記署名装置では、
前記署名要素生成部は、前記メッセージmと、前記行列Mと、i=1,...,Lの各整数iについての前記変数ρ(i)とを入力としたハッシュ値を前記値m’として用いて、署名要素s*iを生成し、
前記検証装置では、
前記検証要素生成部は、前記ハッシュ値を前記値m’として用いて、検証要素ciを生成する
ことを特徴とする請求項7又は8に記載の署名処理システム。
【請求項10】
t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名鍵uskを生成する鍵生成装置であり、
t=1,...,dのうち所定の整数tについて、属性情報x→t:=(xt,i)(i=1,...,nt)を入力する第1情報入力部と、
前記整数tと、j=1,2の各整数jについて、前記第1情報入力部が入力した属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数19に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成部と、
前記鍵要素生成部が生成した鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを署名装置へ送信する署名鍵送信部と
を備えることを特徴とする鍵生成装置。
【数19】
【請求項11】
t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを生成する署名装置であり、
t=1,...,dのうち少なくとも一部の整数tと、j=1,2の各整数jとについて、属性情報x→t:=(xt,i)(i=1,...,nt)と、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数20に示すベクトルを含むように生成された鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを取得する署名鍵取得部と、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力部と、
前記第2情報入力部が入力した変数ρ(i)と、前記署名鍵取得部が取得した署名鍵uskに含まれる属性情報x→tとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得部が取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないが等しくないiとの集合Iを特定するとともに、特定した集合Iに含まれるiについて、前記第2情報入力部が入力した行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算部と、
前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算部が特定した集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数21に示すベクトルを含む署名要素s*iを生成する署名要素生成部と、
前記署名要素生成部が生成したi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信部と
を備えることを特徴とする署名装置。
【数20】
【数21】
【請求項12】
t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理システムにおいて、署名データσを検証する検証装置であり、
i=1,...,Lの各整数iについての署名要素s*iと、メッセージmと、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mとを含む署名データσを取得するデータ取得部と、
r個の要素を有するベクトルf→と、前記データ取得部が取得した署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成部と、
前記ベクトル生成部が生成した列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数22に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数23に示すベクトルを含む検証要素ciを生成する検証要素生成部と、
前記検証要素生成部が生成した検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算部と
を備えることを特徴とする検証装置。
【数22】
【数23】
【請求項13】
t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理方法であり、
鍵生成装置が、t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力工程と、
前記鍵生成装置が、基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成工程と、
前記鍵生成装置が、前記第1情報入力工程で入力された属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成工程と、
前記鍵生成装置が、基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成工程と、
前記鍵生成装置が、前記鍵要素0生成工程で生成された鍵要素k*0と、前記鍵要素t生成工程で生成された前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成工程で生成された鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを署名装置へ送信する署名鍵送信工程と、
前記署名装置が、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力工程と、
前記署名装置が、前記署名鍵送信工程で送信された署名鍵skΓを取得する署名鍵取得工程と、
前記署名装置が、前記第2情報入力工程で入力された変数ρ(i)と、前記署名鍵取得工程で取得された署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力工程で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算工程と、
前記署名装置が、前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成工程と、
前記署名装置が、i=1,...,Lの各整数iについて、前記補完係数計算工程で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成工程と、
前記署名装置が、前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成工程と、
前記署名装置が、前記署名要素0生成工程で生成された署名要素s*0と、前記署名要素i生成工程で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成工程で生成された署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを検証装置へ送信する署名データ送信工程と、
前記検証装置が、前記署名データ送信工程で送信された署名データσを取得するデータ取得工程と、
前記検証装置が、r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成工程と、
前記検証装置が、前記ベクトルf→と前記データ取得工程で取得された署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成工程と、
前記検証装置が、基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成工程と、
前記検証装置が、前記検証要素0生成工程で生成された検証要素c0と、前記検証要素i生成工程で生成された検証要素ciと、前記検証要素L+1生成工程で生成された検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算工程と
を備えることを特徴とする署名処理方法。
【請求項14】
鍵生成プログラムと署名プログラムと検証プログラムとを備え、t=0,...,d+1(dは1以上の整数)の各整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理プログラムであり、
前記鍵生成プログラムは、
t=1,...,dの少なくとも1つ以上の整数tについて、識別情報tと、属性情報x→t:=(xt,i)(i=1,...,nt,ntは1以上の整数)とを含む属性集合Γを入力する第1情報入力処理と、
基底B*0の基底ベクトルb*0,1の係数として所定の値δを設定した鍵要素k*0を生成する鍵要素0生成処理と、
前記第1情報入力処理で入力された属性集合Γに含まれる各識別情報tについて、基底B*tの基底ベクトルb*t,i(i=1,...,nt)の係数として属性情報x→tに前記所定の値δを乗じたδxt,i(i=1,...,nt)を設定した鍵要素k*tを生成する鍵要素t生成処理と、
基底B*d+1の基底ベクトルb*d+1,1の係数として前記所定の値δを設定した鍵要素k*d+1,1と、基底B*d+1の基底ベクトルb*d+1,2の係数として前記所定の値δを設定した鍵要素k*d+1,2とを生成する鍵要素d+1生成処理と、
前記鍵要素0生成処理で生成された鍵要素k*0と、前記鍵要素t生成処理で生成された前記属性集合Γに含まれる各識別情報tについての鍵要素k*tと、前記鍵要素d+1生成処理で生成された鍵要素k*d+1,1及び鍵要素k*d+1,2と、前記属性集合Γとを含む署名鍵skΓを前記署名装置へ送信する署名鍵送信処理と
をコンピュータに実行させ、
前記署名プログラムは、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力処理と、
前記署名鍵送信処理で送信された署名鍵skΓを取得する署名鍵取得処理と、
前記第2情報入力処理で入力された変数ρ(i)と、前記署名鍵取得処理で取得された署名鍵skΓに含まれる属性集合Γとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組のv→iと、その組の識別情報tが示す属性集合Γに含まれるx→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力処理で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算処理と、
前記署名鍵skΓに含まれる鍵要素k*0を含む署名要素s*0を生成する署名要素0生成処理と、
i=1,...,Lの各整数iについて、前記補完係数計算処理で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、前記署名鍵skΓに含まれる鍵要素k*tに前記値γiを乗じたγik*tを含む署名要素s*iを生成する署名要素i生成処理と、
前記署名鍵skΓに含まれる鍵要素k*d+1,1と、前記メッセージmを用いて生成される値m’を前記鍵要素k*d+1,2に乗じたm’・k*d+1,2との和を含む署名要素s*L+1を生成する署名要素L+1生成処理と、
前記署名要素0生成処理で生成された署名要素s*0と、前記署名要素i生成処理で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記署名要素L+1生成処理で生成された署名要素s*L+1と、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信処理と
をコンピュータに実行させ、
前記検証プログラムは、
前記署名データ送信処理で送信された署名データσを取得するデータ取得処理と、
r個の要素を有するベクトルf→と前記ベクトルh→と用いて生成される値s0:=h→・f→Tと、所定の値sL+1とから計算される−s0−sL+1を、基底B0の基底ベクトルb0,1の係数として設定して検証要素c0を生成する検証要素0生成処理と、
前記ベクトルf→と前記データ取得処理で取得された署名データσに含まれる行列Mとに基づき生成される列ベクトルs→T:=(s1,...,sL)T:=M・f→Tと、i=1,...,Lの各整数iについての所定の値θiとを用いて、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,1の係数としてsi+θivi,1を設定し、基底ベクトルbt,i’(i’=2,...,nt)の係数としてθivi,i’(i’=2,...,nt)を設定して検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i’(i’=1,...,nt)の係数としてsivi,i’(i’=1,...,nt)を設定して検証要素ciを生成する検証要素i生成処理と、
基底Bd+1の基底ベクトルbd+1,1の係数として、前記所定の値sL+1と前記値m’と所定の値θL+1とから計算されるsL+1−θL+1m’を設定し、基底ベクトルbd+1,2の係数として前記所定の値θL+1を設定して検証要素cL+1を生成する検証要素L+1生成処理と、
前記検証要素0生成処理で生成された検証要素c0と、前記検証要素i生成処理で生成された検証要素ciと、前記検証要素L+1生成処理で生成された検証要素cL+1と、前記署名データσに含まれる署名要素s*0,s*i,s*L+1とについて、ペアリング演算Πi=0L+1e(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算処理と
をコンピュータに実行させることを特徴とする署名処理プログラム。
【請求項15】
t=1,...,d(dは1以上の整数)の少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理方法であり、
d個の鍵生成装置の少なくとも1個以上の鍵生成装置が、t=1,...,dのうち鍵生成装置毎に予め定められた整数tについての属性情報x→t:=(xt,i)(i=1,...,nt)を入力する第1情報入力工程と、
前記少なくとも1個以上の鍵生成装置が、前記整数tと、j=1,2の各整数jについて、前記第1情報入力工程で入力された属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数24に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成工程と、
前記少なくとも1個以上の鍵生成装置が、前記鍵要素生成工程で生成された鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを署名装置へ送信する署名鍵送信工程と、
前記署名装置が、i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力工程と、
前記署名装置が、前記d個の鍵生成装置のうち、少なくとも1つ以上の鍵生成装置の署名鍵送信工程で送信された署名鍵uskを取得する署名鍵取得工程と、
前記署名装置が、前記第2情報入力工程で入力された変数ρ(i)と、前記署名鍵取得工程で取得された署名鍵uskに含まれる属性情報x→tとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得工程で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得工程で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力工程で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算工程と、
前記署名装置が、前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算工程で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数25に示すベクトルを含む署名要素s*iを生成する署名要素生成工程と、
前記署名装置が、前記署名要素生成工程で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを検証装置へ送信する署名データ送信工程と、
前記検証装置が、前記署名データ送信工程が送信された署名データσを取得するデータ取得工程と、
前記検証装置が、r個の要素を有するベクトルf→と、前記データ取得工程で取得された署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成工程と、
前記検証装置が、前記ベクトル生成工程で生成された列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数26に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,1から基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数27に示すベクトルを含む検証要素ciを生成する検証要素生成工程と、
前記検証装置が、前記検証要素生成工程で生成された検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算工程と
を備えることを特徴とする署名処理方法。
【数24】
【数25】
【数26】
【数27】
【請求項16】
d個(dは1以上の整数)の鍵生成装置で動作させる鍵生成プログラムと、署名装置で動作させる署名プログラムと、検証装置で動作させる検証プログラムとを備え、t=1,...,dの少なくとも1つ以上の整数tについての基底Btと基底B*tとを用いて署名処理を実行する署名処理プログラムであり、
前記鍵生成プログラムは、
t=1,...,dのうち鍵生成装置毎に予め定められた整数tについての属性情報x→t:=(xt,i)(i=1,...,nt)を入力する第1情報入力処理と、
前記整数tと、j=1,2の各整数jについて、前記第1情報入力処理で入力された属性情報x→tと、所定の値δjと、所定の値Δと、基底B*tの基底ベクトルb*t,i(i=1,...,2nt)とに基づき、数28に示すベクトルを含む鍵要素k*t,jを生成する鍵要素生成処理と、
前記鍵要素生成処理で生成された鍵要素k*t,jと、前記属性情報x→tとを含む署名鍵uskを前記署名装置へ送信する署名鍵送信処理と
をコンピュータに実行させ、
前記署名プログラムは、
i=1,...,L(Lは1以上の整数)の各整数iについての変数ρ(i)であって、識別情報t(t=1,...,dのいずれかの整数)と、属性情報v→i:=(vi,i’)(i’=1,...,nt)との肯定形の組(t,v→i)又は否定形の組¬(t,v→i)のいずれかである変数ρ(i)と、L行r列(rは1以上の整数)の所定の行列Mと、メッセージmとを入力する第2情報入力処理と、
前記d個の鍵生成装置のうち、少なくとも1つ以上の鍵生成装置の署名鍵送信処理で送信された署名鍵uskを取得する署名鍵取得処理と、
前記第2情報入力処理で入力された変数ρ(i)と、前記署名鍵取得処理で取得された署名鍵uskに含まれる属性情報x→tとに基づき、i=1,...,Lの各整数iのうち、変数ρ(i)が肯定形の組(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得処理で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0となるiと、変数ρ(i)が否定形の組¬(t,v→i)であり、かつ、その組の識別情報tが示すx→tを含む署名鍵uskを前記署名鍵取得処理で取得しており、かつ、その組のv→iと、その組の識別情報tが示す属性情報x→tとの内積が0とならないiとの集合Iを特定するとともに、特定された集合Iに含まれるiについて、前記第2情報入力処理で入力された行列Mのi行目の要素であるMiに基づき、αiMiを合計した場合に所定のベクトルh→となる補完係数αiを計算する補完係数計算処理と、
前記署名鍵uskに含まれる鍵要素k*t,1及び鍵要素k*t,2と、所定の値ξ1,Ε,μと、前記メッセージmから計算される値m’とに基づき、i=1,...,Lの各整数iについて、前記補完係数計算処理で特定された集合Iに含まれる整数iであり、かつ、変数ρ(i)が肯定形の組(t,v→i)である場合には値γi:=αiとし、前記集合Iに含まれるiであり、かつ、変数ρ(i)が否定形の組¬(t,v→i)である場合には値γi:=αi/(v→i・x→t)とし、前記集合Iに含まれない整数iの場合には値γi:=0として、基底B*tの基底ベクトルb*t,i(i=2nt+1,2nt+2)を用いて、数29に示すベクトルを含む署名要素s*iを生成する署名要素生成処理と、
前記署名要素生成処理で生成されたi=1,...,Lの各整数iについての署名要素s*iと、前記メッセージmと、前記変数ρ(i)と、前記行列Mとを含む署名データσを前記検証装置へ送信する署名データ送信処理と
をコンピュータに実行させ、
前記検証プログラムは、
前記署名データ送信処理で送信された署名データσを取得するデータ取得処理と、
r個の要素を有するベクトルf→と、前記データ取得処理で取得された署名データσに含まれる行列Mとに基づき列ベクトルs→T:=(s1,...,sL)T:=M・f→Tを生成するとともに、s0:=h→・f→Tとして、s0=h→・(f→’)Tであるr個の要素を有するベクトルf→’と、前記行列Mとに基づき列ベクトル(s→’)T:=(s1’,...,sL’)T:=M・(f→’)Tを生成するベクトル生成処理と、
前記ベクトル生成処理で生成された列ベクトルs→T及び列ベクトル(s→’)Tと、i=1,...,Lの各整数iについての所定の値θi,θi’,θi’’,σiとに基づき、i=1,...,Lの各整数iについて、変数ρ(i)が肯定形の組(t,v→i)である場合には、その組の識別情報tが示す基底Btの基底ベクトルbt,i’(i’=1,...,2nt+2)を用いて、数30に示すベクトルを含む検証要素ciを生成し、変数ρ(i)が否定形の組¬(t,v→i)である場合には、その組の識別情報tが示す基底ベクトルbt,i(i’=1,...,2nt+2)を用いて、数31に示すベクトルを含む検証要素ciを生成する検証要素生成処理と、
前記検証要素生成処理で生成された検証要素ciと、前記署名データσに含まれる署名要素s*iとについて、ペアリング演算Πi=1Le(ci,s*i)を行い、前記署名データσの正当性を検証するペアリング演算処理と
をコンピュータに実行させることを特徴とする署名処理プログラム。
【数28】
【数29】
【数30】
【数31】
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2012−155088(P2012−155088A)
【公開日】平成24年8月16日(2012.8.16)
【国際特許分類】
【出願番号】特願2011−13281(P2011−13281)
【出願日】平成23年1月25日(2011.1.25)
【出願人】(000006013)三菱電機株式会社 (33,312)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年8月16日(2012.8.16)
【国際特許分類】
【出願日】平成23年1月25日(2011.1.25)
【出願人】(000006013)三菱電機株式会社 (33,312)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]