IDベース署名システムおよびIDベース署名方法
【課題】ランダムオラクルを仮定しない“強” 偽造不可安全なIDベース署名方式を提供する。
【解決手段】セキュリティパラメータを入力しシステムパラメータ、マスターキーを返すセットアップフェーズと、前記システムパラメータおよび前記マスターキーおよび任意のIDを入力しプライベートキーを返すエクストラクトフェーズと、文書、前記プライベートキーおよび前記システムパラメータを入力し署名を出力するサインフェーズ、および、前記文書、前記ID、前記署名および前記システムパラメータを入力し正常または異常を返すベリファイフェーズとの各フェーズを有する構成で、攻撃者によりパブリックキーとして発行されるID*、文書M*について作成された署名σ*の組(ID*,M*,σ*)に関し、エクストラクト・クエリにおけるすべてのIDiに対しID*≠IDiとし、シグネチャ・クエリにおけるすべての(IDi,Mi,σi)に対し(ID*,M*,σ*)≠(IDi,Mi,σi)となる仕組みを実現する。
【解決手段】セキュリティパラメータを入力しシステムパラメータ、マスターキーを返すセットアップフェーズと、前記システムパラメータおよび前記マスターキーおよび任意のIDを入力しプライベートキーを返すエクストラクトフェーズと、文書、前記プライベートキーおよび前記システムパラメータを入力し署名を出力するサインフェーズ、および、前記文書、前記ID、前記署名および前記システムパラメータを入力し正常または異常を返すベリファイフェーズとの各フェーズを有する構成で、攻撃者によりパブリックキーとして発行されるID*、文書M*について作成された署名σ*の組(ID*,M*,σ*)に関し、エクストラクト・クエリにおけるすべてのIDiに対しID*≠IDiとし、シグネチャ・クエリにおけるすべての(IDi,Mi,σi)に対し(ID*,M*,σ*)≠(IDi,Mi,σi)となる仕組みを実現する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IDベース署名システムおよびIDベース署名方法に関する。
【背景技術】
【0002】
以下では、括弧[]で括って示す数字は、下記非特許文献の番号を表す。通常の明細書では、例えば非特許文献1と表記される非特許文献を、本明細書では単に[1]と表記する。本明細書では、全部で25件の非特許文献が引用されており、これら25件の非特許文献は、《非特許文献一覧》として、番号1から25を付して、後に表記される。これら番号が非特許文献の番号である。
【0003】
1984年、非特許文献のA. Shamirによる“Identity-based cryptosystems and signature schemes” [23]において、IDベース暗号システム(cryptosystem)の概念が提唱された本システムは,entityの秘密鍵private key を、自身のID情報(例:Eメールアドレス、電話番号など)および鍵生成局(PKG: Private Key Generator と呼ばれる第三者信頼機関)のmaster key から生成する方式である。IDベース暗号システムの利点は、従来の伝統的な公開鍵基盤で行われる認証を省略することができるところにある。
【0004】
ランダムオラクル(random oracles)を仮定せずに証明可能な安全性を持つ方式の構成は、(IDベース)署名[14, 9, 4, 7, 25, 24, 6, 19]またはIDベース暗号[3, 24]の分野において、重要な研究テーマの一つである。なぜならば、MD5(Message Digest Algorithm 5)やSHA−1(Secure Hash Algorithm-1)のような一般的に利用されているハッシュ関数は、ランダムオラクルではないからである。
【0005】
強偽造不可IDベース署名方式は、(PKIとは異なる)公開鍵証明を(IDベースではない)強偽造不可署名方式に付加することにより、構成できる。この構成法は[11, 2, 13]らのいくつかの論文において取りあげられている。それゆえ、ランダムオラクル仮定を用いない(「スタンダードモデル」ともよばれる)強偽造不可IDベース署名(IBS)方式を,Boneh−Boyen [4]、Zhang−Chen−Susilo−Mu [25]、Camenisch−Lysyanskaya
[7]、Okamoto [17]、Boneh−Shen−Waters [6] のような強偽造不可署名のスタンダードモデルに(PKIとは異なる)公開鍵証明書を付加することにより構成できる。しかしながら、これらの構成は、少なくとも6個の署名パラメータ((署名者の)1つの公開鍵と(署名者およびPKGからの)2つの署名を含んでいる)が必要である。
【0006】
また、Huang−Wong−Zhao[16]は、強ワンタイム署名を付加することにより、(弱)偽造不可IBS方式を強偽造不可IBS方式へ変換する一般的な方法を提案した。それゆえ、Paterson−Schuldt [19]の偽造不可IBS方式スタンダードモデルを適用することにより、強偽造不可IBS方式のスタンダードモデルを構成することができる。
【0007】
《非特許文献一覧》
【非特許文献1】[1] F. Bao, R. H. Deng, and H. Zhu.Variations of Diffie−Hellman problem. In ICICS 2003, LNCS 2836, pages 30−1312. Springer, 2003.
【非特許文献2】[2] M. Bellare, C. Namprempre, and G.Neven. Security proofs for identity−based identification and signature schemes.In EUROCRYPT 2004,LNCS 3027, pages 268−286.Springer, 2004.
【非特許文献3】[3] D. Boneh and X. Boyen. Efficientselective−ID secure identity−based encryption without random oracles. In EUROCRYPT 2004, LNCS 3027, pages 223−238. Springer, 2004.
【非特許文献4】[4] D. Boneh and X. Boyen. Short signatureswithout random oracles. In EUROCRYPT2004, LNCS 3027,pages 56−73. Springer, 2004.
【非特許文献5】[5] D. Boneh and M. K. Franklin. Identity−basedencryption from the Weil pairing. In CRYPTO 2001, LNCS 2139, pages 213−229. Springer, 2001.
【非特許文献6】[6] D. Boneh, E. Shen, and B. Waters.Strongly unforgeable signatures based on computational Diffie−Hellman. In Public Key Cryptography 2006,LNCS 3958, pages 229−240. Springer,2006.
【非特許文献7】[7] J. Camenisch and A. Lysyanskaya.Signature schemes and anonymous credentials from bilinear maps. In CRYPTO 2004, LNCS 3152, pages 5−672. Springer, 2004.
【非特許文献8】[8] J. C. Cha and J. H. Cheon. An identity−basedsignature from gap Diffie−Hellman groups. In Public Key Cryptography 2003, LNCS 2567, pages 18−30. Springer, 2003.
【非特許文献9】[9] R. Cramer and V. Shoup. Signatureschemes based on the strong RSA assumption. In ACM Conference on Computer and Communications Security, pages 46−51, 1999.
【非特許文献10】[10] W. Diffie and M. E. Hellman. Newdirections in cryptography. IEEETrans. Inf. Theory,22(6):644−654,1976.
【非特許文献11】[11] Y. Dodis, J. Katz, S. Xu, and M. Yung.Strong key−insulated signature schemes. In Public Key Cryptography 2002, LNCS 2567, pages 130−144. Springer, 2003.
【非特許文献12】[12] R. Dutta, R. Barua, and P. Sarkar.Pairing−based cryptographic protocols : A survey. Cryptology ePrint Archive,Report 2004/064, 2004. http://eprint.iacr.org/.
【非特許文献13】[13] D. Galindo, J. Herranz, and E. Kiltz.On the generic construction of identity−based signatures with additionalproperties. In ASIACRYPT 2006,LNCS 4284, pages 178−193. Springer,2006.
【非特許文献14】[14] R. Gennaro, S. Halevi, and T. Rabin.Secure hash−and−sign signatures without the random oracle. In EUROCRYPT 1999, LNCS 1592, pages 123−139. Springer, 1999.
【非特許文献15】[15] F. Hess. Efficient identity basedsignature schemes based on pairings. In Selected Areas in Cryptography (SAC 2002),LNCS 2595, pages 310−324. Springer,2002.
【非特許文献16】[16] Q. Huang, D. S. Wong, and Y. Zhao.Generic transformation to strongly unforgeable signatures. In ACNS 2007, LNCS 4521, pages 1−17. Springer, 2007.
【非特許文献17】[17] T. Okamoto. Efficient blind andpartially blind signatures without random oracles. In TCC 2006, LNCS 3876, pages 80−99. Springer, 2006.
【非特許文献18】[18] K. G. Paterson. ID−based signaturesfrom pairings on elliptic curves. Cryptology ePrint Archive, Report 2002/004,2002. http://eprint.iacr.org/.
【非特許文献19】[19] K. G. Paterson and J. C. N. Schuldt.Efficient identity−based signatures secure in the standard model. In ACISP 2006, LNCS 4058, pages 207−222. Springer, 2006.
【非特許文献20】[20] T. Saito, F. Hoshino, S. Uchiyama, andT. Kobayashi. Candidate one−way functions on non−supersingular elliptic curves.IEICE Transactions, 89−A(1):144−150, 2006.
【非特許文献21】[21] R. Sakai, K. Ohgishi, and M. Kasahara.Cryptosystems based on pairing. In SCIS2000, Okinawa, Japan, 2000.
【非特許文献22】[22] C. Sato, T. Okamoto, and E. Okamoto.Sender authenticated key agreements without random oracles. In ICCIT 2007,pages 2156−2162.IEEE Computer Society, 2007.
【非特許文献23】[23] A. Shamir. Identity−based cryptosystemsand signature schemes. In CRYPTO’ 84, LNCS 196, pages 47−53. Springer, 1984.
【非特許文献24】[24] B. Waters. Efficient identity−basedencryption without random oracles. In EUROCRYPT 2005, LNCS 3027, pages 114−127. Springer, 2005.
【非特許文献25】[25] F. Zhang, X. Chen, W. Susilo, and Y.Mu. A new signature scheme without random oracles from bilinear pairings. In VIETCRYPT 2006, LNCS 4341, pages 67−80. Springer, 2006.
【発明の開示】
【発明が解決しようとする課題】
【0008】
上述のように、Paterson−Schuldt [19]の偽造不可IBS方式スタンダ−ドモデルを適用することにより、強偽造不可IBS方式のスタンダードモデルを構成することができる。しかしながら、これらの構成法でも、少なくとも6個の署名パラメ−タが必要である。そこで、本願発明は、5個の署名パラメータからなる強偽造不可IBSスタンダードモデルの提供を目的とする。
【課題を解決するための手段】
【0009】
前述の課題を解決するため、本発明によるIDベース署名システムおよびIDベース署名方法は、次のような特徴的な構成を採用している。
【0010】
(1)セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズの演算部を備えたIDベース署名システムにおいて、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり(一般的に、G1,G2は、加法巡回群として定義されるが、表記の簡略化のため、乗法巡回群とする)、g2はG2の生成元であり、f:G2→G1が、次の式(A1)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A2)を満たす双線形写像とした場合、
【数1】
【数2】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A3)に示すg1xyの計算、
【数3】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A4)に示す入力に対し、式(A5)に示すあるr*となる式(A6)の計算、
【数4】
【数5】
【数6】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A7)に示す入力に対し、式(A8)に示すあるr*となる式(A9)の計算、
【数7】
【数8】
【数9】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないIDベース署名システム。
【発明の効果】
【0011】
本発明のIDベース署名システムおよびIDベース署名方法によれば、以下のような効果を得ることができる。
【0012】
つまり、本発明においては、強偽造不可(strongly Existential Unforgeable under an adaptive Chosen Message Attack:適応的選択文書攻撃に対する強存在的偽造不可)安全な方式のスタンダードモデルを構成するという問題を解決する仕組みを実現することができる。なぜならば、本発明によるIDベース署名方式の安全性は、Diffie-Hellman問題と一方向性同型写像に関連した3つの問題を解くことの困難性に基づいているからである。
【発明を実施するための最良の形態】
【0013】
以下、本発明によるIDベース署名システムおよびIDベース署名方法の好適な実施例について説明する。なお、以下の説明においては、本発明によるIDベース署名方法の一例について説明するが、該IDベース署名方法を、例えばCPUを含む演算部を備えたコンピュータシステムとして構築したIDベース署名システムとして実現することも、或いはそのIDベース署名方法を、コンピュータにより実行可能なプログラム(IDベース署名プログラム)として実現することも、もちろん可能であることは言うまでもない。
【0014】
以下に、本発明による実施形態の詳細について、次の順番に説明する。第1番目の「準備段階」の項において、本発明による署名方式の構成および安全性証明のための準備として各種の定義を行う。次の第2番目の「本発明による実施形態」の項において、DH問題に関連した2つの新しい仮定を与えた後、本発明の一例であるIDベース署名方式を説明する。しかる後、第3番目の「安全性証明」の項において、本発明におけるIDベース署名方式が、強偽造不可安全を満たすことを証明し、最後の第4番目の「結論」の項に本発明のまとめを説明する。
【0015】
1.準備段階
ここでは、本発明による実施形態の説明に用いる一方向性同型写像、双線形写像、Diffie-Hellman(DH)問題、IDベース署名および強偽造不可を定義する。
【0016】
1.1.一方向性同型写像および双線形写像
一方向性同型写像および双線形写像に関する以下の定義は、T. Saitoらによる“Candidate one-way functions on non-supersingular elliptic curves”(IEICE Trans. Fundamentals, vol.E89, pp.144-150, 2006)、および、D.Boneh and M. Franklin, “Identity-based encryption from the Weil pairing”(Proc.Crypto 2001, LNCS 2139, pp.213-229, 2001)に従っている。
(1)G1,G2,GTは素数p の位数を持つ乗法巡回群である(一般的に、G1,G2は、加法巡回群として定義されるが、表記の簡略化のため、乗法巡回群とする);
(2)g2はG2の生成元である;
(3)f:G2→G1は一方向性同型写像であり、次の式(1)を満たす;
【0017】
【数45】
【0018】
(4)e : G1×G2→GTは双線形写像であり、以下の属性(a)〜(c)を持つ:
【0019】
(a)双線形性: 任意のu ∈G1、v ∈G2と任意のa,b ∈Zに対し、次の式(2)を満たす。
【0020】
【数46】
【0021】
(b)非退化:次の式(3)を満たす。
【0022】
【数47】
【0023】
(c)計算可能:任意のu ∈G1と任意のv ∈G2に対し,e(u,v)を計算する効率的な計算アルゴリズムが存在する。
【0024】
ここで、G1,G2は、一般的に、一方向性同型写像f や双線形写像e 上において加法巡回群として定義されるが、以下の説明においては、表記の簡略化のため、乗法巡回群とする。
【0025】
1.2.co-Diffie-Hellman(co-DH)問題
(G2,G1)上のco-DH問題を、以下のように与える。次の式(4)に示すように、ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、(g1,g2,g2x,g2y)を与えたとき、g1xy ∈ G1を計算せよ。
【0026】
【数48】
【0027】
もし、次の式(5)が成り立つならば、アルゴリズムA は、(G2,G1)上のco-DH問題を解くε のアドバンテージを持っているという。ここで、この確率Prは、
g1 ∈R G1, g2 ∈R G2,x, y ∈R Zp*およびA のランダムなビット列から選ばれている。
【0028】
【数49】
【0029】
つまり、次の仮定1を設定する。
(仮定1)攻撃者A が、時間t以内で、(G2,G1)上のco-Diffie-Hellman(co-DH)問題を解くアドバンテージを高々あらかじめ定めた確率εしか持たないとき、(G2,G1)上のco-Diffie-Hellman (co-DH)仮定は成り立つという。
【0030】
ここで、もし、一方向性同型写像f : G2→G1およびランダムな生成元g2 ∈R G2 とするg1 := f(g2) ∈ G1 と定めると、そのとき、生成元g1はランダムではないことに注意することを要する。
【0031】
1.3.IDベース署名方式(IBS方式)
ここでのIBS方式の定義は、D. Bonehらによる“Identity-based encryption from the Weil pairing”(Proc.Crypto 2001, LNCS 2139, pp.213-229, 2001)[5]およびK. G. Patersonらによる“Efficient identity-based signatures secure in the standard model”[19]に記載された内容に準拠している。
【0032】
本IBS方式は、次の4つのフェーズ(Setup,Extract,Sign,Verify)から以下のように構成される。
【0033】
(a)Setup:
セキュリティパラメータを入力として、params(システムパラメータ)およびmaster-keyを返す。システムパラメータは、有限の文書空間μおよび有限の署名空間S の定義も含んでいる。直観的には、システムパラメータは公開であるが、master-keyは鍵生成局(PKG)のみが知っている非公開な値である。
【0034】
(b)Extract:
Setupの出力(params,master-key)および任意のID ∈{0,1}*を入力として,private keyとしてd を返す.ここで、ID は、任意のストリングであり、public keyとして利用する。また、dは、対応するプライベート署名キーである。つまり、Extractは、public keyからprivate keyを抽出する(extract)フェーズである。このフェーズはPKGにより行われる。
【0035】
(c)Sign:
文書M ∈μ,private key d およびparamsを入力とし、出力として署名σ ∈ S を返す。
【0036】
(d)Verify:
文書M ∈μ,署名σ ∈S,IDおよびparamsを入力とし、出力として正常(valid)または異常(invalid)を返す。
【0037】
SignおよびVerifyにおけるパラメータは,あとで異なる順序で利用される。前述のこれら4つのフェーズは、標準的で一貫性のある制限事項でなければならない。すなわち、Extractフェーズにおいて生成されるID をpublic keyとし、対応するprivate keyをd とするとき、次の式(6)が成立しなければならない。
【0038】
【数50】
【0039】
1.4.強偽造不可
ここでの強偽造不可の定義は、前述のD. Bonehらによる“Identity-based encryption from the Weil pairing”(Proc.Crypto 2001, LNCS 2139, pp.213-229, 2001)、D. Bonehらによる“Strongly unforgeable signatures based on computational Diffie-Hellman”(Proc. PKC 2006, LNCS 3958,pp.229-240, 2006)および前記非特許文献19の記載内容に従っている。特に、Paterson-Schuldtは、前記非特許文献19において偽造不可および強偽造不可を定義している。しかしながら、Paterson-SchuldtのIBS方式の構成は、前述したように、偽造不可のみを満たしている。
【0040】
ここで、本発明においては、強偽造不可を定義するために、以下のような挑戦者B と攻撃者A によるゲームを考える。
【0041】
Setup:
挑戦者B は、セキュリティパラメータkを用い、IBS方式のSetupフェーズを実行する。出力されたシステムパラメータparamsを攻撃者Aへ与える。なお、master-keyは挑戦者B が保持したままである。
【0042】
Queries:
攻撃者Aは、挑戦者B へ多くの異なるQueryを適応的に行う。各Queryは以下のうちの一つである。
(1)エクストラクト・クエリExtract Queries(IDi):攻撃者Aにより発行されたpublic key IDiに対して、挑戦者B は、Extractフェーズからprivate key diを生成し、攻撃者Aへ送信する。
(2)シグネチャ・クエリSignature Queries(IDi,Mi,j):攻撃者A により発行された各Query(IDi,Mi,j)に対して、挑戦者Bは、Extractフェーズを行い、IDiに対応するprivate key diを生成し、Signフェーズから(IDi,Mi,j)に対する署名σi,jを作成し、攻撃者Aへσi,j を送信する。
【0043】
Output:
最後に、攻撃者A は組(ID*,M*,σ*)を出力する。ここで,σ*はVerifyにおいてvalidとなる(ID*,M*)の署名である.ただし、条件として、エクストラクト・クエリにおけるすべてのIDiに対しID*≠IDiとし、シグネチャ・クエリにおけるすべての(IDi,Mi,σi)に対し(ID*,M*,σ*)≠(IDi,Mi,σi)とする。このとき、攻撃者A は強偽造不可ゲームに勝ったという。
【0044】
ここで、AdvSigAを、挑戦者B と攻撃者A によるコイントスを用いた際に、攻撃者A が該ゲームに勝つ確率とする。
【0045】
つまり、定義1として次を定義する。
(定義1)攻撃者A がIDベース署名を(qe,qs,t,ε)で破るとは、時間t以内に、攻撃者A が高々qe回のExtract Queries、高々qs回のSignature QueriesおよびAdvSig Aが少なくともεであることと定義する。IBS方式が、適応的選択文書攻撃に対する (qe,qs,t,ε)−強存在的偽造不可(強偽造不可)であるとは、強偽造不可ゲームを(qe,qs, t,ε)で破る攻撃者A がいないことと定義する。
【0046】
2.本発明による実施形態
次に、本発明によるIDベース署名方式(IBS方式)の一例について、2つの新しい仮定の設定および該仮定に基づくIBS方式について説明する。
【0047】
2.1.ベースとなる仮定の設定
まず、本実施形態におけるIDベース署名方式(IBS方式)のベースとなる、DH問題に関連する仮定2および仮定3について説明する。
【0048】
第一の問題は、以下のように与えられる。
つまり、第一の問題は、式(7)に示すようなランダムな生成元g1∈R G1,g2∈R
G2および乱数x,r1,r2,…,rq∈R Zp*となる式(8)に示す入力に対し、式(9)に示すようなあるr*となる式(10)を計算せよというものである。
【0049】
【数51】
【0050】
【数52】
【0051】
【数53】
【0052】
【数54】
【0053】
もし、式(11)が成り立つならば、アルゴリズムA は、第一の問題を解くεのアドバンテージを持っているという。ここで、式(11)の確率Prは、式(7)、式(9)およびAのランダムなビット列から選ばれている。
【0054】
【数55】
【0055】
ここで、次の仮定2を次のように設定する。
(仮定2)攻撃者A が、時間t以内で、第一の問題を解くアドバンテージを高々あらかじめ定めた確率εしか持たないとき、(q,t,ε)−仮定[2]は成り立つという。
【0056】
次の第二の問題は以下のように与えられる.
つまり、第二の問題は、式(12)に示すようなランダムな生成元g1∈R G1,g2∈R
G2および乱数x,r1,r2,…,rq∈R Zp*となる式(13)に示す入力に対し、式(14)に示すようなあるr*となる式(15)を計算せよというものである。
【0057】
【数56】
【0058】
【数57】
【0059】
【数58】
【0060】
【数59】
【0061】
もし、式(16)が成り立つならば、アルゴリズムA は、第二の問題を解くεのアドバンテージを持っているという。ここで、式(16)の確率Prは、式(12)、式(14)およびAのランダムなビット列から選ばれている。
【0062】
【数60】
【0063】
ここで、次の仮定3を次のように設定する。
(仮定3)攻撃者A が、時間t以内で、第二の問題を解くアドバンテージを高々あらかじめ定めた確率εしか持たないとき、(q,t,ε)−仮定[3]は成り立つという。
【0064】
ランダムな生成元g2 ∈R G2に対し、一方向性同型写像f : G2→G1を、g1:=f(g2) ∈ G1で定義する。このとき、生成元g1 はランダムではないことに注意を要する。なお、fの存在は、T.Saitoらによる“Candidate one-way functions on non-supersingular elliptic curves”(IEICE Trans. Fundamentals, vol.E89, pp.144-150, 2006)において、non-supersingularな楕円曲線上で構成された加法巡回群上で定義される場合、証明されている。本発明によるIDベース署名方式の安全性は、本質的に、前述したco-DH仮定(仮定1)とここで説明した2つの仮定(仮定2、仮定3)および一方向性同型写像fを基礎として成り立っている。特に、ここで設定した2つの仮定(仮定2、仮定3)は、厳密な数学的様式に従って定義されていて、詳細は後述するが、本発明によるIDベース署名方式の強偽造不可安全の証明に大きく貢献する。
【0065】
2.2.本実施形態におけるIDベース署名方式
次に、本実施形態におけるIDベース署名方式についてその一例を説明する。本IDベース署名方式は、前述に定義したような(Setup,Extract,Sign,Verify)の4つのフェーズから構成される。差し当たり、IDを式(17)の要素と仮定するが、式(18)に示すような衝突耐性を持つハッシュ関数を使って、領域を式(19)のように拡張することもできる。
【0066】
【数61】
【0067】
【数62】
【0068】
【数63】
【0069】
同様に、署名文書Mについても式(20)の要素と仮定する。
【0070】
【数64】
【0071】
(a)セットアップ(Setup)フェーズ:
鍵生成局PKGは、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選ぶ。PKGは、式(21)の乱数αからマスターキーとして式(22)を生成し、式(23)を計算する。
【0072】
【数65】
【0073】
【数66】
【0074】
【数67】
【0075】
つまり、次の式(24)、式(25)を計算する。
【0076】
【数68】
【0077】
【数69】
【0078】
また、鍵生成局PKGは、式(26)に示す乱数の入力に対して式(27)に示す出力を生成する。
【0079】
【数70】
【0080】
【数71】
【0081】
ここで、マスターシークレットmaster-keyをMKとし、公開パラメータparamsを、次の式(28)とする。
【0082】
【数72】
【0083】
(b)エクストラクト(Extract)フェーズ:
IDをn1ビットのID情報とし、式(29)に示すidkをIDの(左から)k番目のビットとする。
【0084】
【数73】
【0085】
鍵生成局PKGは、式(30)に示す乱数sを選び、式(31)に示すIDに対応するprivate key dIDを次の式(32)に示すように計算する。
【0086】
【数74】
【0087】
【数75】
【0088】
【数76】
【0089】
(c)サイン(Sign)フェーズ:
M をn2ビットの署名文書とし、式(33)に示すmkを、Mの(左から)k 番目のビットとする。 (ID,M)の署名σ(式(34)に示す)は、次の式(35)のように生成される。ここで、r ∈ Zp*は乱数である。
【0090】
【数77】
【0091】
【数78】
【0092】
【数79】
【0093】
(d)ベリファイ(Verify)フェーズ:
params,(ID,M)および次の式(36)に示すσを使い、式(37)を検証する。
【0094】
【数80】
【0095】
【数81】
【0096】
式(37)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力する。
【0097】
もし、あるIDのentityが、文書Mの署名σ(式(38)に示す)をSignフェーズにおいて生成したならば、次の式(39)の計算により、署名σは検証者に受理されることがわかる。よって、この方式は正当である。
【0098】
【数82】
【0099】
【数83】
【0100】
3.安全性証明
次に、2項にて説明した本実施形態におけるIDベース署名方式の安全性つまり次の(定理1)が成立することを証明する。
(定理1)g1:=f(g2)となる条件で、(G2,G1)上の(t0,ε0)−DH仮定、(q1,t1,ε1)−仮定[2]および(q2,t2,ε2)−仮定[3]が成り立つと仮定する。そのとき、前述の本実施形態のIDベース署名方式は、(qe,qs,t,ε)−強偽造不可であり、次の式(40)を満たす。ここで,TはG2におけるべき剰余計算1回にかかる最大時間とする。
【0101】
【数84】
【0102】
次に、以下のアウトラインに沿って、安全性の証明を行う。
【0103】
まず、前述した本実施形態のIBS方式(IDベース署名方式)の安全性を破る攻撃者A の存在および仮定[2]のチャレンジを受け取る挑戦者B の存在を仮定する。攻撃者A
と挑戦者B とは強偽造不可ゲームを実行し、攻撃者Aはvalidとなる(ID,文書,署名)の一組を出力する。次に、挑戦者B は仮定[2]においてvalidとなるレスポンスを計算する。ここで、攻撃者Aの出力は、co-DH仮定と仮定[3]とに矛盾してはならない。
【0104】
(安全性の証明)
本実施形態のIBS方式の安全性を、(qe,qs,t,ε)で破る攻撃者Aの存在を仮定する。ここで、仮定[2]ゲームを行うシミュレータBを構成する。シミュレータB は、式(41)に示す仮定[2]ゲームのチャレンジを受け取る。
【0105】
【数85】
【0106】
式(41)において、α,siは、次の式(42)の通りである。また、シミュレータB は、攻撃者Aと以下の手順を実行する。
【0107】
【数86】
【0108】
A.Simulator Description(シミュレータの構成)
Setup:
シミュレータB は、式(43)の乱数から式(44)の情報を生成し、Aに対して、式(45)の情報を送信する。
【0109】
【数87】
【0110】
【数88】
【0111】
【数89】
【0112】
(A.1)クエリ(Queries):
攻撃者A は、シミュレータつまり挑戦者Bへ多くの異なるQueryを適応的に行う。
【0113】
UeをExtract QueriesにおけるID情報の添え字集合、UsをSignature QueriesにおけるID情報の添え字集合とし、式(46)と置く。また、μsi(つまり式(47)に示す)を、Signature
QueriesにおけるIDi(式(48)に示す)の文書の添え字集合とする。
【0114】
【数90】
【0115】
【数91】
【0116】
【数92】
【0117】
ここで、各Queryは以下の中の一つである。
【0118】
(A−E)Extract Queries:
攻撃者Aは、シミュレータBに対し、適応的に、Extract Queries IDi(i ∈Ue)を行う。式(49)に示すIDiに対し、次の式(50)と仮定する。
【0119】
【数93】
【0120】
【数94】
【0121】
(A−E1):
もし、式(51)が成立するならば、シミュレータB はこのゲームを中断する。
【0122】
【数95】
【0123】
(A−E2):
式(51)が成立しないその他の場合(すなわち、式(52)の場合)、シミュレータB はゲームを中断せずに、IDiに対応するdi=(di,1,di,2)を、次の式(53)、式(54)のように、生成し、それをAへ送信する。
【0124】
【数96】
【0125】
【数97】
【0126】
【数98】
【0127】
なお、式(54)において、上線付きのsiは、次の式(55)で与えられる。
【0128】
【数99】
【0129】
式(53)のすべてのsi ∈R Zp*を消去することにより、式(54)のすべての上線付きのsi(式(56)に示す)は乱数と看做すことができることに注意を要する。
【0130】
【数100】
【0131】
(A−S)Signature Queries:
攻撃者A は、シミュレータBに対し、適応的に、次の式(57)に示すSignature Queries(IDi,Mi,j)を行う。
【0132】
【数101】
【0133】
i ∈ Usのとき、Xiを式(50)のように仮定し、式(58)に対し、次の式(59)と仮定する。
【0134】
【数102】
【0135】
【数103】
【0136】
(A−S1):
もし、式(60)が成立するならば、シミュレータB はこのゲームを中断する。
【0137】
【数104】
【0138】
(A−S2):
式(60)が成立しないその他の場合(すなわち、式(61)の場合)、シミュレータB は、このゲームを中断せずに、(IDi,Mi,j)に対応する式(62)のそれぞれを、式(63)のように生成し、それをAへ送信する。
【0139】
【数105】
【0140】
【数106】
【0141】
【数107】
【0142】
なお、式(63)において、上線付きのsiおよびri,jは、次の式(64)で与えられる。
【0143】
【数108】
【0144】
式(63)のすべてのsiおよびri,j(式(65)に示す)を消去することにより、式(54)のすべての上線付きのsiおよびri,j(式(66)に示す)は乱数と看做すことができることに注意を要する。
【0145】
【数109】
【0146】
【数110】
【0147】
(A.2)アウトプット(Output):
攻撃者Aは、(ID*,M*,σ*)を出力する。ただし、式(67)に示すσ*は、(ID*,M*)に対するvalidな署名であり、エクストラクト・クエリにおけるすべてのIDiに対しID*≠IDiとし、シグネチャ・クエリにおけるすべての(IDi,Mi,σi)に対し(ID*,M*,σ*)≠(IDi,Mi,σi)とする。
【0148】
【数111】
【0149】
(A.3)アーティフィシャル・アボート(Artificial Abort):
式(68)に示すID情報ID*および文書M*に対し、式(69)と仮定する。
【0150】
【数112】
【0151】
【数113】
【0152】
ここで、次の式(70)または式(71)が成立するならば、シミュレータB はこのゲームを強制的に中断する。
【0153】
【数114】
【0154】
【数115】
【0155】
B.シミュレーション結果の分析
攻撃者A は、式(72)が成立するときとして、前述の(A−E1)、(A−S1)に示すような中断があるSimulator Descriptionゲームと、中断のない強偽造不可ゲームとを区別することができない。
【0156】
【数116】
【0157】
その理由は、式(73)の条件を満たす確率Prは、式(74)が成立するとき、negligibleな値となるからである。ゆえに、以降では、Simulator Descriptionゲ−ムのみを考えていけば良い。
【0158】
【数117】
【0159】
【数118】
【0160】
Simulator Descriptionゲームの場合、σ*はvalidなので、式(75)と仮定する。なお、式(75)において、上線付きのs*,r*は、式(76)である。
【0161】
【数119】
【0162】
【数120】
【0163】
(B−1)
もし、式(77)が成立するならば、式(78)である。そのとき、B は、式(79)に示すあるs*となる組を式(80)として生成する。式(80)に示す組は、仮定[2]チャレンジに対するvalidな出力となる。
【0164】
【数121】
【0165】
【数122】
【0166】
【数123】
【0167】
【数124】
【0168】
(B−2)
次に、式(77)が成立しないその他の場合(すなわち、式(81)の場合)について考える。
【0169】
【数125】
【0170】
(B−2.1)
式(82)と仮定し(これは強偽造不可安全の定義による)、また、式(83)と仮定する。
【0171】
【数126】
【0172】
【数127】
【0173】
式(82)、式(83)を仮定したとき、式(84)を考えれば十分である。これは、A が、式(85)のすべてを知っている場合(つまり、式(86)の場合)を意味している。あるε’≦εに対し、式(84)≧ε’と仮定する。
【0174】
【数128】
【0175】
【数129】
【0176】
【数130】
【0177】
(B−2.1.1)
s* = slを満たす数l ∈ U が存在すると仮定する。式(84)において、もし、A が、式(87)に示す上線付きのsi,ri,jのすべておよび式(88)に示すg2αを知ったとき、式(84)から式(89)を消去することができる。
【0178】
【数131】
【0179】
【数132】
【0180】
【数133】
【0181】
また、式(90)が成立するので、出力の第3成分を式(91)に置き換え、残りの成分を消去する。
【0182】
【数134】
【0183】
【数135】
【0184】
ゆえに、A は、式(92)を解くためのアドバンテージε′を持つ。ここで、この問題は、式(93)、式(50)におけるXi(i ∈ U)、式(59)における式(94)、式(69)におけるX*,Y*およびA のランダムなビット列から選ばれる。
【0185】
【数136】
【0186】
【数137】
【0187】
【数138】
【0188】
ここで、i ∈ Uについて、式(95)と置く。
【0189】
【数139】
【0190】
また、式(96)が成立するので、A は式(97)から式(98)を計算することができる。
【0191】
【数140】
【0192】
【数141】
【0193】
【数142】
【0194】
よって、式(98)に示す各パラメータを式(92)から消去する。また、式(99)は、式(100)に示す式(92)の出力とは関連性がないので、式(99)に示すこれらの入力パラメータも式(92)から消去することができる。
【0195】
【数143】
【0196】
【数144】
【0197】
式(92)において、式(101)を式(102)へ置き換えることにより、Aは、式(103)を解くためのアドバンテージε′を持つ。
【0198】
【数145】
【0199】
【数146】
【0200】
【数147】
【0201】
ここで、(式(104)のときでさえ、)式(105)が成立するので、式(106)が成立することに注意を要する。
【0202】
【数148】
【0203】
【数149】
【0204】
【数150】
【0205】
式(107)と仮定する。式(108)に示すx′を式(92)から消去したため,h をZp*の乱数として良い。
【0206】
【数151】
【0207】
【数152】
【0208】
これは、A が、式(109)を解くのにアドバンテージε′を持つことに等しい。ここで、この問題は、式(110)およびA のランダムなビット列から選ばれる。
【0209】
【数153】
【0210】
【数154】
【0211】
F. Baoらによる“Variations of Diffie-Hellman problem”(Proc.ICICS2003, Springer-Verlag, 2003)の記載内容から、これは、式(111)を解くのにアドバンテージε′をA が持つことに等しい。
【0212】
【数155】
【0213】
ここで、この問題は式(112)およびA のランダムなビット列から選ばれる。これは、A が(G2,G1)上のco-DH問題をnon-negligibleな確率で解くことができることを意味している。
【0214】
【数156】
【0215】
(B−2.1.2)
s* = siを満たす数i ∈ U が存在しないその他の場合(すなわち、式(113)の場合)、Aは、x′,x1,x2,…,xn1,y′,y1,y2,…,yn2の値を知っているものと仮定する。
【0216】
【数157】
【0217】
そのとき、式(84)から式(114)を消去することができる。また、式(115)に示す組を仮定[2]チャレンジの出力と考えると、式(84)から式(116)を消去することができる。
【0218】
【数158】
【0219】
【数159】
【0220】
【数160】
【0221】
これらは、式(84)の確率Prが、仮定[2]の矛盾となるように変形することができることを意味している。
【0222】
(B−2.2)
式(82)、式(83)が成立しないその他の場合(すなわち、式(117)の場合であり、また、式(118)である場合)、X* = Xlである。この場合、Aが、式(119)の数値を知っている場合の式(120)に示す確率Prを考えれば十分である。ε’+ε”=εとなるあるε”に対し、式(120)≧ε”と仮定する。
【0223】
【数161】
【0224】
【数162】
【0225】
【数163】
【0226】
【数164】
【0227】
(B−2.2.1)
まず、式(121)と仮定する。
【0228】
【数165】
【0229】
(B−2.2.1.1)
r*=rl,kとなるような式(122)に示す数kが存在すると仮定する。式(120)において、もし、Aが、式(123)に示す上線付きのrl、jとslとのすべてを知っているならば、式(120)から式(124)を消去することができる。
【0230】
【数166】
【0231】
【数167】
【0232】
【数168】
【0233】
また、式(125)が成立するので、出力の第2成分を式(126)に置き換え、第3成分と第4成分とを消去する。
【0234】
【数169】
【0235】
【数170】
【0236】
ゆえに、A は、式(127)を解くためのアドバンテージε”を持つ。ここで、この問題は、式(128)、式(59)における式(129)、式(69)におけるY*およびA
のランダムなビット列から選ばれる。
【0237】
【数171】
【0238】
【数172】
【0239】
【数173】
【0240】
ここで、式(130)に示す数jに対し、式(131)と置く。
【0241】
【数174】
【0242】
【数175】
【0243】
式(132)が成立するので,A は、式(133)から式(134)を計算することができる。
【0244】
【数176】
【0245】
【数177】
【0246】
【数178】
【0247】
よって、式(134)に示す各パラメータを式(127)から消去する。また、式(127)において、式(135)を式(136)へ置き換えると、A は、式(137)を解くためのアドバンテージε”を持つ。前述の(B−2.1.1)にて説明した場合と同様に、これは、A が、(G2,G1)上のco-DH問題をnon-negligibleな確率で解くことができることを意味している。
【0248】
【数179】
【0249】
【数180】
【0250】
【数181】
【0251】
(B−2.2.1.2)
r*=rl,kとなるような式(122)に示す数kが存在しないその他の場合(すなわち、式(138)となる場合)、A は、x′,x1,x2,…,xn1と同様に、y′,y1,y2,…,yn2も知っていると仮定する。そのとき、式(139)の等式から、式(120)の確率Prの変形は、仮定[3]に矛盾する。
【0252】
【数182】
【0253】
【数183】
【0254】
(B−2.2.2)
次に、式(121)を仮定しないその他の場合(すなわち、式(140)が成立する場合)、式(141)が示す数を次の式(142)が成立するすべての数とする。
【0255】
【数184】
【0256】
【数185】
【0257】
【数186】
【0258】
そのとき、式(143)から式(144)となる。また、式(145)を式(146)とする。これは式(147)を意味している。
【0259】
【数187】
【0260】
【数188】
【0261】
【数189】
【0262】
【数190】
【0263】
【数191】
【0264】
(B−2.2.2.1)
式(148)が成立するときであり、かつ、r* = rkとなる式(149)の数kが存在すると仮定する。
【0265】
【数192】
【0266】
【数193】
【0267】
このとき、前述の(B−2.2.1.1)の場合のように、Aは、(G2,G1)上のco-DH問題をnon-negligibleな確率で解くことができる。
【0268】
(B−2.2.2.2)
式(148)が成立しない場合あるいはr* = rkとなる式(149)の数kが存在しないその他の場合(すなわち、式(150)が成立する場合あるいは式(151)が成立する場合)、式(152)に示す組は、仮定[3]チャレンジのvalid出力である。
【0269】
【数194】
【0270】
【数195】
【0271】
【数196】
【0272】
シミュレーションにおいて、式(153)のいずれも満たさない場合の確率は、次の式(154)で与えられる。
【0273】
【数197】
【0274】
【数198】
【0275】
よって、本発明に係わるIDベース署名方式S においては、式(155)が成立する。
【0276】
【数199】
【0277】
以上の(B−1)および(B−2)から、式(156)に示す確率Pr(≧ε=ε´+ε”)は、少なくとも、式(155)の左辺の確率Prより高い。事象A1,A2に対し、式(157)、式(158)であるので、式(159)である。
【0278】
【数200】
【0279】
【数201】
【0280】
【数202】
【0281】
【数203】
【0282】
これは、(t0,ε0)−co-DH仮定、(q1,t1,ε1)−仮定[2]または(q2,t2,ε2)−仮定[3]に矛盾する。よって、本発明に係わるIDベース署名方式は、(qe,qs,t,ε)−強偽造不可安全である。
【0283】
もし、A が、前述の「A.Simulator Description(シミュレータの構成)」に記載のゲームについて、時間t 内の確率ε で、validな偽造を出力したならば、それは、Bが仮定[2]ゲームについて、または、A がco-DHゲームあるいは仮定[3]ゲームについて、式(160)に示す時間以内に、式(161)に示す確率で成功することを意味している。
【0284】
【数204】
【0285】
【数205】
【0286】
よって、式(162)に示す仮定が必要である。これは、式(163)であることを意味している。以上より、前述した定理1は証明された。
【0287】
【数206】
【0288】
【数207】
【0289】
本発明に係わるIBS方式は、前述のように、強偽造不可の安全性を満たすことができた。その理由の一つは、3つの数学的仮定と1つの一方向性同型写像f とを使い、安全性証明を直接的に行うことができるからということができる。
【0290】
4.結論
以上に詳細に説明したように、本発明においては、5個の署名パラメータからなる、強偽造不可IBS方式のスタンダードモデルを提供している。本発明によるIBS方式の署名長は、Diffie−Hellman問題あるいは離散対数問題に関連した問題をベースにした他のIBS方式と比較して短い。なお、本発明に係わるIBS方式の安全性は、前述したように、Diffie−Hellman問題と一方向性同型写像に関連した3つの問題を解くことの困難性に基づいている。
【0291】
以上、本発明の好適実施例の構成を説明した。しかし、斯かる実施例は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であることが、当業者には容易に理解できよう。例えば、本発明の実施態様は、課題を解決するための手段における構成(1)に加えて、次のような構成として表現できる。
(2)前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A10)の乱数αから式(A11)のMKとして示す前記マスターキーを生成し、式(A12)を計算する
【数10】
【数11】
【数12】
上記(1)のIDベース署名システム。
(3)前記セットアップフェーズにおいて、さらに、式(A13)に示す乱数の入力に対して式(A14)に示す出力を生成し、
【数13】
【数14】
前記システムパラメータを、次の式(A15)のparamsとする
【数15】
上記(2)のIDベース署名システム。
(4)前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A16)に示すidkを前記IDのk番目のビットとした場合、式(A17)に示す乱数sを選び、
【数16】
【数17】
式(A18)に示すIDに対応するプライベートキーを次の式(A19)に示すdIDとして計算する
【数18】
【数19】
上記(3)のIDベース署名システム。
(5)前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A20)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A21)により生成する
【数20】
【数21】
上記(4)のIDベース署名システム。
(6)前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A22)を検証し、
【数22】
式(A22)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力する上記(5)のIDベース署名システム。
(7)セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズを有するIDベース署名方法において、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり、g2はG2の生成元であり、f:G2→G1が、次の式(A23)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A24)を満たす双線形写像とした場合、
【数23】
【数24】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A25)に示すg1xyの計算、
【数25】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A26)に示す入力に対し、式(A27)に示すあるr*となる式(A28)の計算、
【数26】
【数27】
【数28】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A29)に示す入力に対し、式(A30)に示すあるr*となる式(A31)の計算、
【数29】
【数30】
【数31】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないIDベース署名方法。
(8)前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A32)の乱数αから式(A33)のMKとして示す前記マスターキーを生成し、式(A34)を計算する
【数32】
【数33】
【数34】
上記(7)のIDベース署名方法。
(9)前記セットアップフェーズにおいて、さらに、式(A35)に示す乱数の入力に対して式(A36)に示す出力を生成し、
【数35】
【数36】
前記システムパラメータを、次の式(A37)のparamsとする
【数37】
上記(8)のIDベース署名方法。
(10)前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A38)に示すidkを前記IDのk番目のビットとした場合、式(A39)に示す乱数sを選び、
【数38】
【数39】
式(A40)に示すIDに対応するプライベートキーを次の式(A41)に示すdIDとして計算する
【数40】
【数41】
上記(9)のIDベース署名方法。
(11)前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A42)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A43)により生成する
【数42】
【数43】
上記(10)のIDベース署名方法。
(12)前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A44)を検証し、
【数44】
式(A44)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力する上記(11)のIDベース署名方法。
(13)前記課題を解決する手段における(1)又は前記(2)乃至(6)の何れかに記載のIDベース署名システムをコンピュータシステムとして構築したIDベース署名システム。
(14)前記(7)乃至(12)の何れかに記載のIDベース署名方法を、コンピュータにより実行可能なプログラムとして実施するIDベース署名プログラム。
(15)前記(14)に記載のIDベース署名プログラムをコンピュータにより読取可能な記録媒体に記録しているプログラム記録媒体。
【技術分野】
【0001】
本発明は、IDベース署名システムおよびIDベース署名方法に関する。
【背景技術】
【0002】
以下では、括弧[]で括って示す数字は、下記非特許文献の番号を表す。通常の明細書では、例えば非特許文献1と表記される非特許文献を、本明細書では単に[1]と表記する。本明細書では、全部で25件の非特許文献が引用されており、これら25件の非特許文献は、《非特許文献一覧》として、番号1から25を付して、後に表記される。これら番号が非特許文献の番号である。
【0003】
1984年、非特許文献のA. Shamirによる“Identity-based cryptosystems and signature schemes” [23]において、IDベース暗号システム(cryptosystem)の概念が提唱された本システムは,entityの秘密鍵private key を、自身のID情報(例:Eメールアドレス、電話番号など)および鍵生成局(PKG: Private Key Generator と呼ばれる第三者信頼機関)のmaster key から生成する方式である。IDベース暗号システムの利点は、従来の伝統的な公開鍵基盤で行われる認証を省略することができるところにある。
【0004】
ランダムオラクル(random oracles)を仮定せずに証明可能な安全性を持つ方式の構成は、(IDベース)署名[14, 9, 4, 7, 25, 24, 6, 19]またはIDベース暗号[3, 24]の分野において、重要な研究テーマの一つである。なぜならば、MD5(Message Digest Algorithm 5)やSHA−1(Secure Hash Algorithm-1)のような一般的に利用されているハッシュ関数は、ランダムオラクルではないからである。
【0005】
強偽造不可IDベース署名方式は、(PKIとは異なる)公開鍵証明を(IDベースではない)強偽造不可署名方式に付加することにより、構成できる。この構成法は[11, 2, 13]らのいくつかの論文において取りあげられている。それゆえ、ランダムオラクル仮定を用いない(「スタンダードモデル」ともよばれる)強偽造不可IDベース署名(IBS)方式を,Boneh−Boyen [4]、Zhang−Chen−Susilo−Mu [25]、Camenisch−Lysyanskaya
[7]、Okamoto [17]、Boneh−Shen−Waters [6] のような強偽造不可署名のスタンダードモデルに(PKIとは異なる)公開鍵証明書を付加することにより構成できる。しかしながら、これらの構成は、少なくとも6個の署名パラメータ((署名者の)1つの公開鍵と(署名者およびPKGからの)2つの署名を含んでいる)が必要である。
【0006】
また、Huang−Wong−Zhao[16]は、強ワンタイム署名を付加することにより、(弱)偽造不可IBS方式を強偽造不可IBS方式へ変換する一般的な方法を提案した。それゆえ、Paterson−Schuldt [19]の偽造不可IBS方式スタンダードモデルを適用することにより、強偽造不可IBS方式のスタンダードモデルを構成することができる。
【0007】
《非特許文献一覧》
【非特許文献1】[1] F. Bao, R. H. Deng, and H. Zhu.Variations of Diffie−Hellman problem. In ICICS 2003, LNCS 2836, pages 30−1312. Springer, 2003.
【非特許文献2】[2] M. Bellare, C. Namprempre, and G.Neven. Security proofs for identity−based identification and signature schemes.In EUROCRYPT 2004,LNCS 3027, pages 268−286.Springer, 2004.
【非特許文献3】[3] D. Boneh and X. Boyen. Efficientselective−ID secure identity−based encryption without random oracles. In EUROCRYPT 2004, LNCS 3027, pages 223−238. Springer, 2004.
【非特許文献4】[4] D. Boneh and X. Boyen. Short signatureswithout random oracles. In EUROCRYPT2004, LNCS 3027,pages 56−73. Springer, 2004.
【非特許文献5】[5] D. Boneh and M. K. Franklin. Identity−basedencryption from the Weil pairing. In CRYPTO 2001, LNCS 2139, pages 213−229. Springer, 2001.
【非特許文献6】[6] D. Boneh, E. Shen, and B. Waters.Strongly unforgeable signatures based on computational Diffie−Hellman. In Public Key Cryptography 2006,LNCS 3958, pages 229−240. Springer,2006.
【非特許文献7】[7] J. Camenisch and A. Lysyanskaya.Signature schemes and anonymous credentials from bilinear maps. In CRYPTO 2004, LNCS 3152, pages 5−672. Springer, 2004.
【非特許文献8】[8] J. C. Cha and J. H. Cheon. An identity−basedsignature from gap Diffie−Hellman groups. In Public Key Cryptography 2003, LNCS 2567, pages 18−30. Springer, 2003.
【非特許文献9】[9] R. Cramer and V. Shoup. Signatureschemes based on the strong RSA assumption. In ACM Conference on Computer and Communications Security, pages 46−51, 1999.
【非特許文献10】[10] W. Diffie and M. E. Hellman. Newdirections in cryptography. IEEETrans. Inf. Theory,22(6):644−654,1976.
【非特許文献11】[11] Y. Dodis, J. Katz, S. Xu, and M. Yung.Strong key−insulated signature schemes. In Public Key Cryptography 2002, LNCS 2567, pages 130−144. Springer, 2003.
【非特許文献12】[12] R. Dutta, R. Barua, and P. Sarkar.Pairing−based cryptographic protocols : A survey. Cryptology ePrint Archive,Report 2004/064, 2004. http://eprint.iacr.org/.
【非特許文献13】[13] D. Galindo, J. Herranz, and E. Kiltz.On the generic construction of identity−based signatures with additionalproperties. In ASIACRYPT 2006,LNCS 4284, pages 178−193. Springer,2006.
【非特許文献14】[14] R. Gennaro, S. Halevi, and T. Rabin.Secure hash−and−sign signatures without the random oracle. In EUROCRYPT 1999, LNCS 1592, pages 123−139. Springer, 1999.
【非特許文献15】[15] F. Hess. Efficient identity basedsignature schemes based on pairings. In Selected Areas in Cryptography (SAC 2002),LNCS 2595, pages 310−324. Springer,2002.
【非特許文献16】[16] Q. Huang, D. S. Wong, and Y. Zhao.Generic transformation to strongly unforgeable signatures. In ACNS 2007, LNCS 4521, pages 1−17. Springer, 2007.
【非特許文献17】[17] T. Okamoto. Efficient blind andpartially blind signatures without random oracles. In TCC 2006, LNCS 3876, pages 80−99. Springer, 2006.
【非特許文献18】[18] K. G. Paterson. ID−based signaturesfrom pairings on elliptic curves. Cryptology ePrint Archive, Report 2002/004,2002. http://eprint.iacr.org/.
【非特許文献19】[19] K. G. Paterson and J. C. N. Schuldt.Efficient identity−based signatures secure in the standard model. In ACISP 2006, LNCS 4058, pages 207−222. Springer, 2006.
【非特許文献20】[20] T. Saito, F. Hoshino, S. Uchiyama, andT. Kobayashi. Candidate one−way functions on non−supersingular elliptic curves.IEICE Transactions, 89−A(1):144−150, 2006.
【非特許文献21】[21] R. Sakai, K. Ohgishi, and M. Kasahara.Cryptosystems based on pairing. In SCIS2000, Okinawa, Japan, 2000.
【非特許文献22】[22] C. Sato, T. Okamoto, and E. Okamoto.Sender authenticated key agreements without random oracles. In ICCIT 2007,pages 2156−2162.IEEE Computer Society, 2007.
【非特許文献23】[23] A. Shamir. Identity−based cryptosystemsand signature schemes. In CRYPTO’ 84, LNCS 196, pages 47−53. Springer, 1984.
【非特許文献24】[24] B. Waters. Efficient identity−basedencryption without random oracles. In EUROCRYPT 2005, LNCS 3027, pages 114−127. Springer, 2005.
【非特許文献25】[25] F. Zhang, X. Chen, W. Susilo, and Y.Mu. A new signature scheme without random oracles from bilinear pairings. In VIETCRYPT 2006, LNCS 4341, pages 67−80. Springer, 2006.
【発明の開示】
【発明が解決しようとする課題】
【0008】
上述のように、Paterson−Schuldt [19]の偽造不可IBS方式スタンダ−ドモデルを適用することにより、強偽造不可IBS方式のスタンダードモデルを構成することができる。しかしながら、これらの構成法でも、少なくとも6個の署名パラメ−タが必要である。そこで、本願発明は、5個の署名パラメータからなる強偽造不可IBSスタンダードモデルの提供を目的とする。
【課題を解決するための手段】
【0009】
前述の課題を解決するため、本発明によるIDベース署名システムおよびIDベース署名方法は、次のような特徴的な構成を採用している。
【0010】
(1)セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズの演算部を備えたIDベース署名システムにおいて、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり(一般的に、G1,G2は、加法巡回群として定義されるが、表記の簡略化のため、乗法巡回群とする)、g2はG2の生成元であり、f:G2→G1が、次の式(A1)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A2)を満たす双線形写像とした場合、
【数1】
【数2】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A3)に示すg1xyの計算、
【数3】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A4)に示す入力に対し、式(A5)に示すあるr*となる式(A6)の計算、
【数4】
【数5】
【数6】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A7)に示す入力に対し、式(A8)に示すあるr*となる式(A9)の計算、
【数7】
【数8】
【数9】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないIDベース署名システム。
【発明の効果】
【0011】
本発明のIDベース署名システムおよびIDベース署名方法によれば、以下のような効果を得ることができる。
【0012】
つまり、本発明においては、強偽造不可(strongly Existential Unforgeable under an adaptive Chosen Message Attack:適応的選択文書攻撃に対する強存在的偽造不可)安全な方式のスタンダードモデルを構成するという問題を解決する仕組みを実現することができる。なぜならば、本発明によるIDベース署名方式の安全性は、Diffie-Hellman問題と一方向性同型写像に関連した3つの問題を解くことの困難性に基づいているからである。
【発明を実施するための最良の形態】
【0013】
以下、本発明によるIDベース署名システムおよびIDベース署名方法の好適な実施例について説明する。なお、以下の説明においては、本発明によるIDベース署名方法の一例について説明するが、該IDベース署名方法を、例えばCPUを含む演算部を備えたコンピュータシステムとして構築したIDベース署名システムとして実現することも、或いはそのIDベース署名方法を、コンピュータにより実行可能なプログラム(IDベース署名プログラム)として実現することも、もちろん可能であることは言うまでもない。
【0014】
以下に、本発明による実施形態の詳細について、次の順番に説明する。第1番目の「準備段階」の項において、本発明による署名方式の構成および安全性証明のための準備として各種の定義を行う。次の第2番目の「本発明による実施形態」の項において、DH問題に関連した2つの新しい仮定を与えた後、本発明の一例であるIDベース署名方式を説明する。しかる後、第3番目の「安全性証明」の項において、本発明におけるIDベース署名方式が、強偽造不可安全を満たすことを証明し、最後の第4番目の「結論」の項に本発明のまとめを説明する。
【0015】
1.準備段階
ここでは、本発明による実施形態の説明に用いる一方向性同型写像、双線形写像、Diffie-Hellman(DH)問題、IDベース署名および強偽造不可を定義する。
【0016】
1.1.一方向性同型写像および双線形写像
一方向性同型写像および双線形写像に関する以下の定義は、T. Saitoらによる“Candidate one-way functions on non-supersingular elliptic curves”(IEICE Trans. Fundamentals, vol.E89, pp.144-150, 2006)、および、D.Boneh and M. Franklin, “Identity-based encryption from the Weil pairing”(Proc.Crypto 2001, LNCS 2139, pp.213-229, 2001)に従っている。
(1)G1,G2,GTは素数p の位数を持つ乗法巡回群である(一般的に、G1,G2は、加法巡回群として定義されるが、表記の簡略化のため、乗法巡回群とする);
(2)g2はG2の生成元である;
(3)f:G2→G1は一方向性同型写像であり、次の式(1)を満たす;
【0017】
【数45】
【0018】
(4)e : G1×G2→GTは双線形写像であり、以下の属性(a)〜(c)を持つ:
【0019】
(a)双線形性: 任意のu ∈G1、v ∈G2と任意のa,b ∈Zに対し、次の式(2)を満たす。
【0020】
【数46】
【0021】
(b)非退化:次の式(3)を満たす。
【0022】
【数47】
【0023】
(c)計算可能:任意のu ∈G1と任意のv ∈G2に対し,e(u,v)を計算する効率的な計算アルゴリズムが存在する。
【0024】
ここで、G1,G2は、一般的に、一方向性同型写像f や双線形写像e 上において加法巡回群として定義されるが、以下の説明においては、表記の簡略化のため、乗法巡回群とする。
【0025】
1.2.co-Diffie-Hellman(co-DH)問題
(G2,G1)上のco-DH問題を、以下のように与える。次の式(4)に示すように、ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、(g1,g2,g2x,g2y)を与えたとき、g1xy ∈ G1を計算せよ。
【0026】
【数48】
【0027】
もし、次の式(5)が成り立つならば、アルゴリズムA は、(G2,G1)上のco-DH問題を解くε のアドバンテージを持っているという。ここで、この確率Prは、
g1 ∈R G1, g2 ∈R G2,x, y ∈R Zp*およびA のランダムなビット列から選ばれている。
【0028】
【数49】
【0029】
つまり、次の仮定1を設定する。
(仮定1)攻撃者A が、時間t以内で、(G2,G1)上のco-Diffie-Hellman(co-DH)問題を解くアドバンテージを高々あらかじめ定めた確率εしか持たないとき、(G2,G1)上のco-Diffie-Hellman (co-DH)仮定は成り立つという。
【0030】
ここで、もし、一方向性同型写像f : G2→G1およびランダムな生成元g2 ∈R G2 とするg1 := f(g2) ∈ G1 と定めると、そのとき、生成元g1はランダムではないことに注意することを要する。
【0031】
1.3.IDベース署名方式(IBS方式)
ここでのIBS方式の定義は、D. Bonehらによる“Identity-based encryption from the Weil pairing”(Proc.Crypto 2001, LNCS 2139, pp.213-229, 2001)[5]およびK. G. Patersonらによる“Efficient identity-based signatures secure in the standard model”[19]に記載された内容に準拠している。
【0032】
本IBS方式は、次の4つのフェーズ(Setup,Extract,Sign,Verify)から以下のように構成される。
【0033】
(a)Setup:
セキュリティパラメータを入力として、params(システムパラメータ)およびmaster-keyを返す。システムパラメータは、有限の文書空間μおよび有限の署名空間S の定義も含んでいる。直観的には、システムパラメータは公開であるが、master-keyは鍵生成局(PKG)のみが知っている非公開な値である。
【0034】
(b)Extract:
Setupの出力(params,master-key)および任意のID ∈{0,1}*を入力として,private keyとしてd を返す.ここで、ID は、任意のストリングであり、public keyとして利用する。また、dは、対応するプライベート署名キーである。つまり、Extractは、public keyからprivate keyを抽出する(extract)フェーズである。このフェーズはPKGにより行われる。
【0035】
(c)Sign:
文書M ∈μ,private key d およびparamsを入力とし、出力として署名σ ∈ S を返す。
【0036】
(d)Verify:
文書M ∈μ,署名σ ∈S,IDおよびparamsを入力とし、出力として正常(valid)または異常(invalid)を返す。
【0037】
SignおよびVerifyにおけるパラメータは,あとで異なる順序で利用される。前述のこれら4つのフェーズは、標準的で一貫性のある制限事項でなければならない。すなわち、Extractフェーズにおいて生成されるID をpublic keyとし、対応するprivate keyをd とするとき、次の式(6)が成立しなければならない。
【0038】
【数50】
【0039】
1.4.強偽造不可
ここでの強偽造不可の定義は、前述のD. Bonehらによる“Identity-based encryption from the Weil pairing”(Proc.Crypto 2001, LNCS 2139, pp.213-229, 2001)、D. Bonehらによる“Strongly unforgeable signatures based on computational Diffie-Hellman”(Proc. PKC 2006, LNCS 3958,pp.229-240, 2006)および前記非特許文献19の記載内容に従っている。特に、Paterson-Schuldtは、前記非特許文献19において偽造不可および強偽造不可を定義している。しかしながら、Paterson-SchuldtのIBS方式の構成は、前述したように、偽造不可のみを満たしている。
【0040】
ここで、本発明においては、強偽造不可を定義するために、以下のような挑戦者B と攻撃者A によるゲームを考える。
【0041】
Setup:
挑戦者B は、セキュリティパラメータkを用い、IBS方式のSetupフェーズを実行する。出力されたシステムパラメータparamsを攻撃者Aへ与える。なお、master-keyは挑戦者B が保持したままである。
【0042】
Queries:
攻撃者Aは、挑戦者B へ多くの異なるQueryを適応的に行う。各Queryは以下のうちの一つである。
(1)エクストラクト・クエリExtract Queries(IDi):攻撃者Aにより発行されたpublic key IDiに対して、挑戦者B は、Extractフェーズからprivate key diを生成し、攻撃者Aへ送信する。
(2)シグネチャ・クエリSignature Queries(IDi,Mi,j):攻撃者A により発行された各Query(IDi,Mi,j)に対して、挑戦者Bは、Extractフェーズを行い、IDiに対応するprivate key diを生成し、Signフェーズから(IDi,Mi,j)に対する署名σi,jを作成し、攻撃者Aへσi,j を送信する。
【0043】
Output:
最後に、攻撃者A は組(ID*,M*,σ*)を出力する。ここで,σ*はVerifyにおいてvalidとなる(ID*,M*)の署名である.ただし、条件として、エクストラクト・クエリにおけるすべてのIDiに対しID*≠IDiとし、シグネチャ・クエリにおけるすべての(IDi,Mi,σi)に対し(ID*,M*,σ*)≠(IDi,Mi,σi)とする。このとき、攻撃者A は強偽造不可ゲームに勝ったという。
【0044】
ここで、AdvSigAを、挑戦者B と攻撃者A によるコイントスを用いた際に、攻撃者A が該ゲームに勝つ確率とする。
【0045】
つまり、定義1として次を定義する。
(定義1)攻撃者A がIDベース署名を(qe,qs,t,ε)で破るとは、時間t以内に、攻撃者A が高々qe回のExtract Queries、高々qs回のSignature QueriesおよびAdvSig Aが少なくともεであることと定義する。IBS方式が、適応的選択文書攻撃に対する (qe,qs,t,ε)−強存在的偽造不可(強偽造不可)であるとは、強偽造不可ゲームを(qe,qs, t,ε)で破る攻撃者A がいないことと定義する。
【0046】
2.本発明による実施形態
次に、本発明によるIDベース署名方式(IBS方式)の一例について、2つの新しい仮定の設定および該仮定に基づくIBS方式について説明する。
【0047】
2.1.ベースとなる仮定の設定
まず、本実施形態におけるIDベース署名方式(IBS方式)のベースとなる、DH問題に関連する仮定2および仮定3について説明する。
【0048】
第一の問題は、以下のように与えられる。
つまり、第一の問題は、式(7)に示すようなランダムな生成元g1∈R G1,g2∈R
G2および乱数x,r1,r2,…,rq∈R Zp*となる式(8)に示す入力に対し、式(9)に示すようなあるr*となる式(10)を計算せよというものである。
【0049】
【数51】
【0050】
【数52】
【0051】
【数53】
【0052】
【数54】
【0053】
もし、式(11)が成り立つならば、アルゴリズムA は、第一の問題を解くεのアドバンテージを持っているという。ここで、式(11)の確率Prは、式(7)、式(9)およびAのランダムなビット列から選ばれている。
【0054】
【数55】
【0055】
ここで、次の仮定2を次のように設定する。
(仮定2)攻撃者A が、時間t以内で、第一の問題を解くアドバンテージを高々あらかじめ定めた確率εしか持たないとき、(q,t,ε)−仮定[2]は成り立つという。
【0056】
次の第二の問題は以下のように与えられる.
つまり、第二の問題は、式(12)に示すようなランダムな生成元g1∈R G1,g2∈R
G2および乱数x,r1,r2,…,rq∈R Zp*となる式(13)に示す入力に対し、式(14)に示すようなあるr*となる式(15)を計算せよというものである。
【0057】
【数56】
【0058】
【数57】
【0059】
【数58】
【0060】
【数59】
【0061】
もし、式(16)が成り立つならば、アルゴリズムA は、第二の問題を解くεのアドバンテージを持っているという。ここで、式(16)の確率Prは、式(12)、式(14)およびAのランダムなビット列から選ばれている。
【0062】
【数60】
【0063】
ここで、次の仮定3を次のように設定する。
(仮定3)攻撃者A が、時間t以内で、第二の問題を解くアドバンテージを高々あらかじめ定めた確率εしか持たないとき、(q,t,ε)−仮定[3]は成り立つという。
【0064】
ランダムな生成元g2 ∈R G2に対し、一方向性同型写像f : G2→G1を、g1:=f(g2) ∈ G1で定義する。このとき、生成元g1 はランダムではないことに注意を要する。なお、fの存在は、T.Saitoらによる“Candidate one-way functions on non-supersingular elliptic curves”(IEICE Trans. Fundamentals, vol.E89, pp.144-150, 2006)において、non-supersingularな楕円曲線上で構成された加法巡回群上で定義される場合、証明されている。本発明によるIDベース署名方式の安全性は、本質的に、前述したco-DH仮定(仮定1)とここで説明した2つの仮定(仮定2、仮定3)および一方向性同型写像fを基礎として成り立っている。特に、ここで設定した2つの仮定(仮定2、仮定3)は、厳密な数学的様式に従って定義されていて、詳細は後述するが、本発明によるIDベース署名方式の強偽造不可安全の証明に大きく貢献する。
【0065】
2.2.本実施形態におけるIDベース署名方式
次に、本実施形態におけるIDベース署名方式についてその一例を説明する。本IDベース署名方式は、前述に定義したような(Setup,Extract,Sign,Verify)の4つのフェーズから構成される。差し当たり、IDを式(17)の要素と仮定するが、式(18)に示すような衝突耐性を持つハッシュ関数を使って、領域を式(19)のように拡張することもできる。
【0066】
【数61】
【0067】
【数62】
【0068】
【数63】
【0069】
同様に、署名文書Mについても式(20)の要素と仮定する。
【0070】
【数64】
【0071】
(a)セットアップ(Setup)フェーズ:
鍵生成局PKGは、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選ぶ。PKGは、式(21)の乱数αからマスターキーとして式(22)を生成し、式(23)を計算する。
【0072】
【数65】
【0073】
【数66】
【0074】
【数67】
【0075】
つまり、次の式(24)、式(25)を計算する。
【0076】
【数68】
【0077】
【数69】
【0078】
また、鍵生成局PKGは、式(26)に示す乱数の入力に対して式(27)に示す出力を生成する。
【0079】
【数70】
【0080】
【数71】
【0081】
ここで、マスターシークレットmaster-keyをMKとし、公開パラメータparamsを、次の式(28)とする。
【0082】
【数72】
【0083】
(b)エクストラクト(Extract)フェーズ:
IDをn1ビットのID情報とし、式(29)に示すidkをIDの(左から)k番目のビットとする。
【0084】
【数73】
【0085】
鍵生成局PKGは、式(30)に示す乱数sを選び、式(31)に示すIDに対応するprivate key dIDを次の式(32)に示すように計算する。
【0086】
【数74】
【0087】
【数75】
【0088】
【数76】
【0089】
(c)サイン(Sign)フェーズ:
M をn2ビットの署名文書とし、式(33)に示すmkを、Mの(左から)k 番目のビットとする。 (ID,M)の署名σ(式(34)に示す)は、次の式(35)のように生成される。ここで、r ∈ Zp*は乱数である。
【0090】
【数77】
【0091】
【数78】
【0092】
【数79】
【0093】
(d)ベリファイ(Verify)フェーズ:
params,(ID,M)および次の式(36)に示すσを使い、式(37)を検証する。
【0094】
【数80】
【0095】
【数81】
【0096】
式(37)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力する。
【0097】
もし、あるIDのentityが、文書Mの署名σ(式(38)に示す)をSignフェーズにおいて生成したならば、次の式(39)の計算により、署名σは検証者に受理されることがわかる。よって、この方式は正当である。
【0098】
【数82】
【0099】
【数83】
【0100】
3.安全性証明
次に、2項にて説明した本実施形態におけるIDベース署名方式の安全性つまり次の(定理1)が成立することを証明する。
(定理1)g1:=f(g2)となる条件で、(G2,G1)上の(t0,ε0)−DH仮定、(q1,t1,ε1)−仮定[2]および(q2,t2,ε2)−仮定[3]が成り立つと仮定する。そのとき、前述の本実施形態のIDベース署名方式は、(qe,qs,t,ε)−強偽造不可であり、次の式(40)を満たす。ここで,TはG2におけるべき剰余計算1回にかかる最大時間とする。
【0101】
【数84】
【0102】
次に、以下のアウトラインに沿って、安全性の証明を行う。
【0103】
まず、前述した本実施形態のIBS方式(IDベース署名方式)の安全性を破る攻撃者A の存在および仮定[2]のチャレンジを受け取る挑戦者B の存在を仮定する。攻撃者A
と挑戦者B とは強偽造不可ゲームを実行し、攻撃者Aはvalidとなる(ID,文書,署名)の一組を出力する。次に、挑戦者B は仮定[2]においてvalidとなるレスポンスを計算する。ここで、攻撃者Aの出力は、co-DH仮定と仮定[3]とに矛盾してはならない。
【0104】
(安全性の証明)
本実施形態のIBS方式の安全性を、(qe,qs,t,ε)で破る攻撃者Aの存在を仮定する。ここで、仮定[2]ゲームを行うシミュレータBを構成する。シミュレータB は、式(41)に示す仮定[2]ゲームのチャレンジを受け取る。
【0105】
【数85】
【0106】
式(41)において、α,siは、次の式(42)の通りである。また、シミュレータB は、攻撃者Aと以下の手順を実行する。
【0107】
【数86】
【0108】
A.Simulator Description(シミュレータの構成)
Setup:
シミュレータB は、式(43)の乱数から式(44)の情報を生成し、Aに対して、式(45)の情報を送信する。
【0109】
【数87】
【0110】
【数88】
【0111】
【数89】
【0112】
(A.1)クエリ(Queries):
攻撃者A は、シミュレータつまり挑戦者Bへ多くの異なるQueryを適応的に行う。
【0113】
UeをExtract QueriesにおけるID情報の添え字集合、UsをSignature QueriesにおけるID情報の添え字集合とし、式(46)と置く。また、μsi(つまり式(47)に示す)を、Signature
QueriesにおけるIDi(式(48)に示す)の文書の添え字集合とする。
【0114】
【数90】
【0115】
【数91】
【0116】
【数92】
【0117】
ここで、各Queryは以下の中の一つである。
【0118】
(A−E)Extract Queries:
攻撃者Aは、シミュレータBに対し、適応的に、Extract Queries IDi(i ∈Ue)を行う。式(49)に示すIDiに対し、次の式(50)と仮定する。
【0119】
【数93】
【0120】
【数94】
【0121】
(A−E1):
もし、式(51)が成立するならば、シミュレータB はこのゲームを中断する。
【0122】
【数95】
【0123】
(A−E2):
式(51)が成立しないその他の場合(すなわち、式(52)の場合)、シミュレータB はゲームを中断せずに、IDiに対応するdi=(di,1,di,2)を、次の式(53)、式(54)のように、生成し、それをAへ送信する。
【0124】
【数96】
【0125】
【数97】
【0126】
【数98】
【0127】
なお、式(54)において、上線付きのsiは、次の式(55)で与えられる。
【0128】
【数99】
【0129】
式(53)のすべてのsi ∈R Zp*を消去することにより、式(54)のすべての上線付きのsi(式(56)に示す)は乱数と看做すことができることに注意を要する。
【0130】
【数100】
【0131】
(A−S)Signature Queries:
攻撃者A は、シミュレータBに対し、適応的に、次の式(57)に示すSignature Queries(IDi,Mi,j)を行う。
【0132】
【数101】
【0133】
i ∈ Usのとき、Xiを式(50)のように仮定し、式(58)に対し、次の式(59)と仮定する。
【0134】
【数102】
【0135】
【数103】
【0136】
(A−S1):
もし、式(60)が成立するならば、シミュレータB はこのゲームを中断する。
【0137】
【数104】
【0138】
(A−S2):
式(60)が成立しないその他の場合(すなわち、式(61)の場合)、シミュレータB は、このゲームを中断せずに、(IDi,Mi,j)に対応する式(62)のそれぞれを、式(63)のように生成し、それをAへ送信する。
【0139】
【数105】
【0140】
【数106】
【0141】
【数107】
【0142】
なお、式(63)において、上線付きのsiおよびri,jは、次の式(64)で与えられる。
【0143】
【数108】
【0144】
式(63)のすべてのsiおよびri,j(式(65)に示す)を消去することにより、式(54)のすべての上線付きのsiおよびri,j(式(66)に示す)は乱数と看做すことができることに注意を要する。
【0145】
【数109】
【0146】
【数110】
【0147】
(A.2)アウトプット(Output):
攻撃者Aは、(ID*,M*,σ*)を出力する。ただし、式(67)に示すσ*は、(ID*,M*)に対するvalidな署名であり、エクストラクト・クエリにおけるすべてのIDiに対しID*≠IDiとし、シグネチャ・クエリにおけるすべての(IDi,Mi,σi)に対し(ID*,M*,σ*)≠(IDi,Mi,σi)とする。
【0148】
【数111】
【0149】
(A.3)アーティフィシャル・アボート(Artificial Abort):
式(68)に示すID情報ID*および文書M*に対し、式(69)と仮定する。
【0150】
【数112】
【0151】
【数113】
【0152】
ここで、次の式(70)または式(71)が成立するならば、シミュレータB はこのゲームを強制的に中断する。
【0153】
【数114】
【0154】
【数115】
【0155】
B.シミュレーション結果の分析
攻撃者A は、式(72)が成立するときとして、前述の(A−E1)、(A−S1)に示すような中断があるSimulator Descriptionゲームと、中断のない強偽造不可ゲームとを区別することができない。
【0156】
【数116】
【0157】
その理由は、式(73)の条件を満たす確率Prは、式(74)が成立するとき、negligibleな値となるからである。ゆえに、以降では、Simulator Descriptionゲ−ムのみを考えていけば良い。
【0158】
【数117】
【0159】
【数118】
【0160】
Simulator Descriptionゲームの場合、σ*はvalidなので、式(75)と仮定する。なお、式(75)において、上線付きのs*,r*は、式(76)である。
【0161】
【数119】
【0162】
【数120】
【0163】
(B−1)
もし、式(77)が成立するならば、式(78)である。そのとき、B は、式(79)に示すあるs*となる組を式(80)として生成する。式(80)に示す組は、仮定[2]チャレンジに対するvalidな出力となる。
【0164】
【数121】
【0165】
【数122】
【0166】
【数123】
【0167】
【数124】
【0168】
(B−2)
次に、式(77)が成立しないその他の場合(すなわち、式(81)の場合)について考える。
【0169】
【数125】
【0170】
(B−2.1)
式(82)と仮定し(これは強偽造不可安全の定義による)、また、式(83)と仮定する。
【0171】
【数126】
【0172】
【数127】
【0173】
式(82)、式(83)を仮定したとき、式(84)を考えれば十分である。これは、A が、式(85)のすべてを知っている場合(つまり、式(86)の場合)を意味している。あるε’≦εに対し、式(84)≧ε’と仮定する。
【0174】
【数128】
【0175】
【数129】
【0176】
【数130】
【0177】
(B−2.1.1)
s* = slを満たす数l ∈ U が存在すると仮定する。式(84)において、もし、A が、式(87)に示す上線付きのsi,ri,jのすべておよび式(88)に示すg2αを知ったとき、式(84)から式(89)を消去することができる。
【0178】
【数131】
【0179】
【数132】
【0180】
【数133】
【0181】
また、式(90)が成立するので、出力の第3成分を式(91)に置き換え、残りの成分を消去する。
【0182】
【数134】
【0183】
【数135】
【0184】
ゆえに、A は、式(92)を解くためのアドバンテージε′を持つ。ここで、この問題は、式(93)、式(50)におけるXi(i ∈ U)、式(59)における式(94)、式(69)におけるX*,Y*およびA のランダムなビット列から選ばれる。
【0185】
【数136】
【0186】
【数137】
【0187】
【数138】
【0188】
ここで、i ∈ Uについて、式(95)と置く。
【0189】
【数139】
【0190】
また、式(96)が成立するので、A は式(97)から式(98)を計算することができる。
【0191】
【数140】
【0192】
【数141】
【0193】
【数142】
【0194】
よって、式(98)に示す各パラメータを式(92)から消去する。また、式(99)は、式(100)に示す式(92)の出力とは関連性がないので、式(99)に示すこれらの入力パラメータも式(92)から消去することができる。
【0195】
【数143】
【0196】
【数144】
【0197】
式(92)において、式(101)を式(102)へ置き換えることにより、Aは、式(103)を解くためのアドバンテージε′を持つ。
【0198】
【数145】
【0199】
【数146】
【0200】
【数147】
【0201】
ここで、(式(104)のときでさえ、)式(105)が成立するので、式(106)が成立することに注意を要する。
【0202】
【数148】
【0203】
【数149】
【0204】
【数150】
【0205】
式(107)と仮定する。式(108)に示すx′を式(92)から消去したため,h をZp*の乱数として良い。
【0206】
【数151】
【0207】
【数152】
【0208】
これは、A が、式(109)を解くのにアドバンテージε′を持つことに等しい。ここで、この問題は、式(110)およびA のランダムなビット列から選ばれる。
【0209】
【数153】
【0210】
【数154】
【0211】
F. Baoらによる“Variations of Diffie-Hellman problem”(Proc.ICICS2003, Springer-Verlag, 2003)の記載内容から、これは、式(111)を解くのにアドバンテージε′をA が持つことに等しい。
【0212】
【数155】
【0213】
ここで、この問題は式(112)およびA のランダムなビット列から選ばれる。これは、A が(G2,G1)上のco-DH問題をnon-negligibleな確率で解くことができることを意味している。
【0214】
【数156】
【0215】
(B−2.1.2)
s* = siを満たす数i ∈ U が存在しないその他の場合(すなわち、式(113)の場合)、Aは、x′,x1,x2,…,xn1,y′,y1,y2,…,yn2の値を知っているものと仮定する。
【0216】
【数157】
【0217】
そのとき、式(84)から式(114)を消去することができる。また、式(115)に示す組を仮定[2]チャレンジの出力と考えると、式(84)から式(116)を消去することができる。
【0218】
【数158】
【0219】
【数159】
【0220】
【数160】
【0221】
これらは、式(84)の確率Prが、仮定[2]の矛盾となるように変形することができることを意味している。
【0222】
(B−2.2)
式(82)、式(83)が成立しないその他の場合(すなわち、式(117)の場合であり、また、式(118)である場合)、X* = Xlである。この場合、Aが、式(119)の数値を知っている場合の式(120)に示す確率Prを考えれば十分である。ε’+ε”=εとなるあるε”に対し、式(120)≧ε”と仮定する。
【0223】
【数161】
【0224】
【数162】
【0225】
【数163】
【0226】
【数164】
【0227】
(B−2.2.1)
まず、式(121)と仮定する。
【0228】
【数165】
【0229】
(B−2.2.1.1)
r*=rl,kとなるような式(122)に示す数kが存在すると仮定する。式(120)において、もし、Aが、式(123)に示す上線付きのrl、jとslとのすべてを知っているならば、式(120)から式(124)を消去することができる。
【0230】
【数166】
【0231】
【数167】
【0232】
【数168】
【0233】
また、式(125)が成立するので、出力の第2成分を式(126)に置き換え、第3成分と第4成分とを消去する。
【0234】
【数169】
【0235】
【数170】
【0236】
ゆえに、A は、式(127)を解くためのアドバンテージε”を持つ。ここで、この問題は、式(128)、式(59)における式(129)、式(69)におけるY*およびA
のランダムなビット列から選ばれる。
【0237】
【数171】
【0238】
【数172】
【0239】
【数173】
【0240】
ここで、式(130)に示す数jに対し、式(131)と置く。
【0241】
【数174】
【0242】
【数175】
【0243】
式(132)が成立するので,A は、式(133)から式(134)を計算することができる。
【0244】
【数176】
【0245】
【数177】
【0246】
【数178】
【0247】
よって、式(134)に示す各パラメータを式(127)から消去する。また、式(127)において、式(135)を式(136)へ置き換えると、A は、式(137)を解くためのアドバンテージε”を持つ。前述の(B−2.1.1)にて説明した場合と同様に、これは、A が、(G2,G1)上のco-DH問題をnon-negligibleな確率で解くことができることを意味している。
【0248】
【数179】
【0249】
【数180】
【0250】
【数181】
【0251】
(B−2.2.1.2)
r*=rl,kとなるような式(122)に示す数kが存在しないその他の場合(すなわち、式(138)となる場合)、A は、x′,x1,x2,…,xn1と同様に、y′,y1,y2,…,yn2も知っていると仮定する。そのとき、式(139)の等式から、式(120)の確率Prの変形は、仮定[3]に矛盾する。
【0252】
【数182】
【0253】
【数183】
【0254】
(B−2.2.2)
次に、式(121)を仮定しないその他の場合(すなわち、式(140)が成立する場合)、式(141)が示す数を次の式(142)が成立するすべての数とする。
【0255】
【数184】
【0256】
【数185】
【0257】
【数186】
【0258】
そのとき、式(143)から式(144)となる。また、式(145)を式(146)とする。これは式(147)を意味している。
【0259】
【数187】
【0260】
【数188】
【0261】
【数189】
【0262】
【数190】
【0263】
【数191】
【0264】
(B−2.2.2.1)
式(148)が成立するときであり、かつ、r* = rkとなる式(149)の数kが存在すると仮定する。
【0265】
【数192】
【0266】
【数193】
【0267】
このとき、前述の(B−2.2.1.1)の場合のように、Aは、(G2,G1)上のco-DH問題をnon-negligibleな確率で解くことができる。
【0268】
(B−2.2.2.2)
式(148)が成立しない場合あるいはr* = rkとなる式(149)の数kが存在しないその他の場合(すなわち、式(150)が成立する場合あるいは式(151)が成立する場合)、式(152)に示す組は、仮定[3]チャレンジのvalid出力である。
【0269】
【数194】
【0270】
【数195】
【0271】
【数196】
【0272】
シミュレーションにおいて、式(153)のいずれも満たさない場合の確率は、次の式(154)で与えられる。
【0273】
【数197】
【0274】
【数198】
【0275】
よって、本発明に係わるIDベース署名方式S においては、式(155)が成立する。
【0276】
【数199】
【0277】
以上の(B−1)および(B−2)から、式(156)に示す確率Pr(≧ε=ε´+ε”)は、少なくとも、式(155)の左辺の確率Prより高い。事象A1,A2に対し、式(157)、式(158)であるので、式(159)である。
【0278】
【数200】
【0279】
【数201】
【0280】
【数202】
【0281】
【数203】
【0282】
これは、(t0,ε0)−co-DH仮定、(q1,t1,ε1)−仮定[2]または(q2,t2,ε2)−仮定[3]に矛盾する。よって、本発明に係わるIDベース署名方式は、(qe,qs,t,ε)−強偽造不可安全である。
【0283】
もし、A が、前述の「A.Simulator Description(シミュレータの構成)」に記載のゲームについて、時間t 内の確率ε で、validな偽造を出力したならば、それは、Bが仮定[2]ゲームについて、または、A がco-DHゲームあるいは仮定[3]ゲームについて、式(160)に示す時間以内に、式(161)に示す確率で成功することを意味している。
【0284】
【数204】
【0285】
【数205】
【0286】
よって、式(162)に示す仮定が必要である。これは、式(163)であることを意味している。以上より、前述した定理1は証明された。
【0287】
【数206】
【0288】
【数207】
【0289】
本発明に係わるIBS方式は、前述のように、強偽造不可の安全性を満たすことができた。その理由の一つは、3つの数学的仮定と1つの一方向性同型写像f とを使い、安全性証明を直接的に行うことができるからということができる。
【0290】
4.結論
以上に詳細に説明したように、本発明においては、5個の署名パラメータからなる、強偽造不可IBS方式のスタンダードモデルを提供している。本発明によるIBS方式の署名長は、Diffie−Hellman問題あるいは離散対数問題に関連した問題をベースにした他のIBS方式と比較して短い。なお、本発明に係わるIBS方式の安全性は、前述したように、Diffie−Hellman問題と一方向性同型写像に関連した3つの問題を解くことの困難性に基づいている。
【0291】
以上、本発明の好適実施例の構成を説明した。しかし、斯かる実施例は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であることが、当業者には容易に理解できよう。例えば、本発明の実施態様は、課題を解決するための手段における構成(1)に加えて、次のような構成として表現できる。
(2)前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A10)の乱数αから式(A11)のMKとして示す前記マスターキーを生成し、式(A12)を計算する
【数10】
【数11】
【数12】
上記(1)のIDベース署名システム。
(3)前記セットアップフェーズにおいて、さらに、式(A13)に示す乱数の入力に対して式(A14)に示す出力を生成し、
【数13】
【数14】
前記システムパラメータを、次の式(A15)のparamsとする
【数15】
上記(2)のIDベース署名システム。
(4)前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A16)に示すidkを前記IDのk番目のビットとした場合、式(A17)に示す乱数sを選び、
【数16】
【数17】
式(A18)に示すIDに対応するプライベートキーを次の式(A19)に示すdIDとして計算する
【数18】
【数19】
上記(3)のIDベース署名システム。
(5)前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A20)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A21)により生成する
【数20】
【数21】
上記(4)のIDベース署名システム。
(6)前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A22)を検証し、
【数22】
式(A22)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力する上記(5)のIDベース署名システム。
(7)セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズを有するIDベース署名方法において、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり、g2はG2の生成元であり、f:G2→G1が、次の式(A23)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A24)を満たす双線形写像とした場合、
【数23】
【数24】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A25)に示すg1xyの計算、
【数25】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A26)に示す入力に対し、式(A27)に示すあるr*となる式(A28)の計算、
【数26】
【数27】
【数28】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A29)に示す入力に対し、式(A30)に示すあるr*となる式(A31)の計算、
【数29】
【数30】
【数31】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないIDベース署名方法。
(8)前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A32)の乱数αから式(A33)のMKとして示す前記マスターキーを生成し、式(A34)を計算する
【数32】
【数33】
【数34】
上記(7)のIDベース署名方法。
(9)前記セットアップフェーズにおいて、さらに、式(A35)に示す乱数の入力に対して式(A36)に示す出力を生成し、
【数35】
【数36】
前記システムパラメータを、次の式(A37)のparamsとする
【数37】
上記(8)のIDベース署名方法。
(10)前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A38)に示すidkを前記IDのk番目のビットとした場合、式(A39)に示す乱数sを選び、
【数38】
【数39】
式(A40)に示すIDに対応するプライベートキーを次の式(A41)に示すdIDとして計算する
【数40】
【数41】
上記(9)のIDベース署名方法。
(11)前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A42)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A43)により生成する
【数42】
【数43】
上記(10)のIDベース署名方法。
(12)前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A44)を検証し、
【数44】
式(A44)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力する上記(11)のIDベース署名方法。
(13)前記課題を解決する手段における(1)又は前記(2)乃至(6)の何れかに記載のIDベース署名システムをコンピュータシステムとして構築したIDベース署名システム。
(14)前記(7)乃至(12)の何れかに記載のIDベース署名方法を、コンピュータにより実行可能なプログラムとして実施するIDベース署名プログラム。
(15)前記(14)に記載のIDベース署名プログラムをコンピュータにより読取可能な記録媒体に記録しているプログラム記録媒体。
【特許請求の範囲】
【請求項1】
セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズの演算部を備えたIDベース署名システムにおいて、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり、g2はG2の生成元であり、f:G2→G1が、次の式(A1)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A2)を満たす双線形写像とした場合、
【数1】
【数2】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A3)に示すg1xyの計算、
【数3】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A4)に示す入力に対し、式(A5)に示すあるr*となる式(A6)の計算、
【数4】
【数5】
【数6】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A7)に示す入力に対し、式(A8)に示すあるr*となる式(A9)の計算、
【数7】
【数8】
【数9】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないことを特徴とするIDベース署名システム。
【請求項2】
前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A10)の乱数αから式(A11)のMKとして示す前記マスターキーを生成し、式(A12)を計算する
【数10】
【数11】
【数12】
ことを特徴とする請求項1に記載のIDベース署名システム。
【請求項3】
前記セットアップフェーズにおいて、さらに、式(A13)に示す乱数の入力に対して式(A14)に示す出力を生成し、
【数13】
【数14】
前記システムパラメータを、次の式(A15)のparamsとする
【数15】
ことを特徴とする請求項2に記載のIDベース署名システム。
【請求項4】
前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A16)に示すidkを前記IDのk番目のビットとした場合、式(A17)に示す乱数sを選び、
【数16】
【数17】
式(A18)に示すIDに対応するプライベートキーを次の式(A19)に示すdIDとして計算する
【数18】
【数19】
ことを特徴とする請求項3に記載のIDベース署名システム。
【請求項5】
前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A20)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A21)により生成する
【数20】
【数21】
ことを特徴とする請求項4に記載のIDベース署名システム。
【請求項6】
前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A22)を検証し、
【数22】
式(A22)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力することを特徴とする請求項5に記載のIDベース署名システム。
【請求項7】
セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズを有するIDベース署名方法において、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり、g2はG2の生成元であり、f:G2→G1が、次の式(A23)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A24)を満たす双線形写像とした場合、
【数23】
【数24】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A25)に示すg1xyの計算、
【数25】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A26)に示す入力に対し、式(A27)に示すあるr*となる式(A28)の計算、
【数26】
【数27】
【数28】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A29)に示す入力に対し、式(A30)に示すあるr*となる式(A31)の計算、
【数29】
【数30】
【数31】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないことを特徴とするIDベース署名方法。
【請求項8】
前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A32)の乱数αから式(A33)のMKとして示す前記マスターキーを生成し、式(A34)を計算する
【数32】
【数33】
【数34】
ことを特徴とする請求項7に記載のIDベース署名方法。
【請求項9】
前記セットアップフェーズにおいて、さらに、式(A35)に示す乱数の入力に対して式(A36)に示す出力を生成し、
【数35】
【数36】
前記システムパラメータを、次の式(A37)のparamsとする
【数37】
ことを特徴とする請求項8に記載のIDベース署名方法。
【請求項10】
前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A38)に示すidkを前記IDのk番目のビットとした場合、式(A39)に示す乱数sを選び、
【数38】
【数39】
式(A40)に示すIDに対応するプライベートキーを次の式(A41)に示すdIDとして計算する
【数40】
【数41】
ことを特徴とする請求項9に記載のIDベース署名方法。
【請求項11】
前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A42)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A43)により生成する
【数42】
【数43】
ことを特徴とする請求項10に記載のIDベース署名方法。
【請求項12】
前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A44)を検証し、
【数44】
式(A44)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力することを特徴とする請求項11に記載のIDベース署名方法。
【請求項13】
請求項1乃至6に記載のIDベース署名システムをコンピュータシステムとして構築したことを特徴とするIDベース署名システム。
【請求項14】
請求項7乃至12に記載のIDベース署名方法を、コンピュータにより実行可能なプログラムとして実施することを特徴とするIDベース署名プログラム。
【請求項15】
請求項14に記載のIDベース署名プログラムをコンピュータにより読取可能な記録媒体に記録していることを特徴とするプログラム記録媒体。
【請求項1】
セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズの演算部を備えたIDベース署名システムにおいて、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり、g2はG2の生成元であり、f:G2→G1が、次の式(A1)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A2)を満たす双線形写像とした場合、
【数1】
【数2】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A3)に示すg1xyの計算、
【数3】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A4)に示す入力に対し、式(A5)に示すあるr*となる式(A6)の計算、
【数4】
【数5】
【数6】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A7)に示す入力に対し、式(A8)に示すあるr*となる式(A9)の計算、
【数7】
【数8】
【数9】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないことを特徴とするIDベース署名システム。
【請求項2】
前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A10)の乱数αから式(A11)のMKとして示す前記マスターキーを生成し、式(A12)を計算する
【数10】
【数11】
【数12】
ことを特徴とする請求項1に記載のIDベース署名システム。
【請求項3】
前記セットアップフェーズにおいて、さらに、式(A13)に示す乱数の入力に対して式(A14)に示す出力を生成し、
【数13】
【数14】
前記システムパラメータを、次の式(A15)のparamsとする
【数15】
ことを特徴とする請求項2に記載のIDベース署名システム。
【請求項4】
前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A16)に示すidkを前記IDのk番目のビットとした場合、式(A17)に示す乱数sを選び、
【数16】
【数17】
式(A18)に示すIDに対応するプライベートキーを次の式(A19)に示すdIDとして計算する
【数18】
【数19】
ことを特徴とする請求項3に記載のIDベース署名システム。
【請求項5】
前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A20)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A21)により生成する
【数20】
【数21】
ことを特徴とする請求項4に記載のIDベース署名システム。
【請求項6】
前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A22)を検証し、
【数22】
式(A22)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力することを特徴とする請求項5に記載のIDベース署名システム。
【請求項7】
セキュリティパラメータを入力としてシステムパラメータおよびマスターキーを返すセットアップ(Setup)フェーズと、該セットアップフェーズが出力する前記システムパラメータおよび前記マスターキーおよび任意のIDを入力としてプライベートキーを返すエクストラクト(Extract)フェーズと、文書、前記エクストラクトフェーズが出力する前記プライベートキーおよび前記セットアップフェーズが出力する前記システムパラメータを入力として、署名を出力するサイン(Sign)フェーズ、および、前記文書、前記ID、前記サインフェーズが出力する前記署名および前記セットアップフェーズが出力する前記システムパラメータを入力として、正常(valid)または異常(invalid)のいずれかを返すベリファイ(Verify)フェーズとの各フェーズを有するIDベース署名方法において、
G1,G2,GTが素数p の位数を持つ乗法巡回群であり、g2はG2の生成元であり、f:G2→G1が、次の式(A23)を満たす一方向性同型写像であり、e: G1×G2→GTが、次の式(A24)を満たす双線形写像とした場合、
【数23】
【数24】
ランダムな生成元g1 ∈R G1, g2 ∈R G2およびランダムなx, y ∈R Zp*に対する入力として、次の式(A25)に示すg1xyの計算、
【数25】
ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A26)に示す入力に対し、式(A27)に示すあるr*となる式(A28)の計算、
【数26】
【数27】
【数28】
および、ランダムな生成元g1∈R G1,g2∈R G2および乱数x,r1,r2,…,rq∈R Zp*となる次の式(A29)に示す入力に対し、式(A30)に示すあるr*となる式(A31)の計算、
【数29】
【数30】
【数31】
のそれぞれの計算を、攻撃者が、時間t以内で、高々、あらかじめ定めた定数εの確率でしか行うことができないことを特徴とするIDベース署名方法。
【請求項8】
前記セットアップフェーズにおいて、十分大きな素数の位数p を持つ乗法巡回群G1,G2,GT,一方向性同型写像f : G2→ G1 (g1:= f(g2))および双線形写像e: G1 ×G2→ GT を選び、式(A32)の乱数αから式(A33)のMKとして示す前記マスターキーを生成し、式(A34)を計算する
【数32】
【数33】
【数34】
ことを特徴とする請求項7に記載のIDベース署名方法。
【請求項9】
前記セットアップフェーズにおいて、さらに、式(A35)に示す乱数の入力に対して式(A36)に示す出力を生成し、
【数35】
【数36】
前記システムパラメータを、次の式(A37)のparamsとする
【数37】
ことを特徴とする請求項8に記載のIDベース署名方法。
【請求項10】
前記エクストラクトフェーズにおいて、前記IDをn1ビットのID情報とし、式(A38)に示すidkを前記IDのk番目のビットとした場合、式(A39)に示す乱数sを選び、
【数38】
【数39】
式(A40)に示すIDに対応するプライベートキーを次の式(A41)に示すdIDとして計算する
【数40】
【数41】
ことを特徴とする請求項9に記載のIDベース署名方法。
【請求項11】
前記サインフェーズにおいて、前記文書のMをn2ビットの署名文書とし、パブリックキーをIDとし、式(A42)に示すmkを、前記文書Mのk 番目のビットとした場合、(ID,M)の組に関する署名σを、式(A43)により生成する
【数42】
【数43】
ことを特徴とする請求項10に記載のIDベース署名方法。
【請求項12】
前記ベリファイフェーズにおいて、前記システムパラメータparams、前記パブリックキー、前記文書の組(ID,M)および前記署名σを用いて、式(A44)を検証し、
【数44】
式(A44)のすべての等式が成り立つとき、検証結果として正常(valid)を出力し、それ以外のとき、異常(invalid)を出力することを特徴とする請求項11に記載のIDベース署名方法。
【請求項13】
請求項1乃至6に記載のIDベース署名システムをコンピュータシステムとして構築したことを特徴とするIDベース署名システム。
【請求項14】
請求項7乃至12に記載のIDベース署名方法を、コンピュータにより実行可能なプログラムとして実施することを特徴とするIDベース署名プログラム。
【請求項15】
請求項14に記載のIDベース署名プログラムをコンピュータにより読取可能な記録媒体に記録していることを特徴とするプログラム記録媒体。
【公開番号】特開2010−60716(P2010−60716A)
【公開日】平成22年3月18日(2010.3.18)
【国際特許分類】
【出願番号】特願2008−224855(P2008−224855)
【出願日】平成20年9月2日(2008.9.2)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り Cryptology ePrint Archive:Report 2008/095 Version:20080303:123948
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り Cryptology ePrint Archive:Report 2008/095 Version:20080326:080024
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 強偽造不可なIDベース署名のスタンダードモデル 信学技報 IEICE Technical Report ISEC2008‐15(2008‐05)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 強偽造不可なIDベース署名のスタンダードモデル ISEC 2008.05.16
【出願人】(300029617)SBIネットシステムズ株式会社 (5)
【出願人】(508347100)
【出願人】(304000456)
【Fターム(参考)】
【公開日】平成22年3月18日(2010.3.18)
【国際特許分類】
【出願日】平成20年9月2日(2008.9.2)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り Cryptology ePrint Archive:Report 2008/095 Version:20080303:123948
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り Cryptology ePrint Archive:Report 2008/095 Version:20080326:080024
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 強偽造不可なIDベース署名のスタンダードモデル 信学技報 IEICE Technical Report ISEC2008‐15(2008‐05)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 強偽造不可なIDベース署名のスタンダードモデル ISEC 2008.05.16
【出願人】(300029617)SBIネットシステムズ株式会社 (5)
【出願人】(508347100)
【出願人】(304000456)
【Fターム(参考)】
[ Back to top ]