Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4738003B2 - Signature system, signing method - Google Patents
[go: Go Back, main page]

JP4738003B2 - Signature system, signing method - Google Patents

Signature system, signing method Download PDF

Info

Publication number
JP4738003B2
JP4738003B2 JP2005015336A JP2005015336A JP4738003B2 JP 4738003 B2 JP4738003 B2 JP 4738003B2 JP 2005015336 A JP2005015336 A JP 2005015336A JP 2005015336 A JP2005015336 A JP 2005015336A JP 4738003 B2 JP4738003 B2 JP 4738003B2
Authority
JP
Japan
Prior art keywords
signature
key
unit
participating
generation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2005015336A
Other languages
Japanese (ja)
Other versions
JP2006203754A (en
Inventor
幸太郎 鈴木
英一郎 藤崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005015336A priority Critical patent/JP4738003B2/en
Publication of JP2006203754A publication Critical patent/JP2006203754A/en
Application granted granted Critical
Publication of JP4738003B2 publication Critical patent/JP4738003B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

本発明は、情報セキュリティ技術に関するものであり、閾値つき電子署名技術に関する。   The present invention relates to information security technology, and to a digital signature technology with a threshold.

閾値つき電子署名技術は、複数の参加者の一部が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名である。n人の参加者うち任意のt人以上が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名の方式を、(t,n)閾値電子署名方式と呼ぶ。従来の方法として非特許文献1に示された方法がある。最初に本説明中で使用する記号について説明する。離散対数問題が難しいと考えられている巡回群をGとし、その生成元をg、群の位数をqとする(G=<g>,#G=q)。Zは、qを法とする剰余類{0,1,2,…,q−1}である。∈は一様ランダムに元を取り出すことを、{0,1}は0または1が任意長並んだビット列を、Kは有限体を意味する。また、H,I,JはそれぞれH:{0,1}→G,I:K→Z,J:{0,1}→Kのように変換するハッシュ関数である。以下に非特許文献1に示された方法について説明する。 The digital signature technique with a threshold is an electronic signature that can be confirmed from only the signature so that it is not known who has cooperated in signature generation that the signature has been generated by the cooperation of some of a plurality of participants. An electronic signature method that can confirm from the signature alone that the signature has been generated by the cooperation of arbitrary t or more of the n participants without knowing who has cooperated in the signature generation (t, n) Called threshold electronic signature method. There is a method disclosed in Non-Patent Document 1 as a conventional method. First, symbols used in this description will be described. Let G be a cyclic group that is considered to be difficult to solve the discrete logarithm problem, g be the generation source, and q be the order of the group (G = <g>, # G = q). Z q is a residue class {0, 1, 2,..., Q−1} modulo q. ∈ U means that elements are extracted uniformly and randomly, {0, 1} * means a bit string in which 0 or 1 are arranged in an arbitrary length, and K means a finite field. H, I, and J are hash functions that are converted as follows: H: {0, 1} * → G, I: K → Z q , J: {0, 1} * → K. The method disclosed in Non-Patent Document 1 will be described below.

図1に、閾値つき電子署名システムの構成例と流れを示す。本システムへの参加者の総数はn人であり、n台の参加装置910−i(i=1,…,n)では、あらかじめ定められた巡回群Gの元g(g∈G)を用いて、各参加装置の秘密鍵skと公開鍵pkとが生成され、公開鍵pkは公開される。署名を作成する場合は、n人中の任意のt人以上が参加装置910−i(i=1,…,t)でコミットメントaを生成し、署名生成部920を備える装置に送信する。ここで、説明を簡略化するために、i=1,…,tを署名生成に使用した(協力した)参加装置を示す数、i=t+1,…,nを署名作成に使用していない(協力しなかった)参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。 FIG. 1 shows a configuration example and a flow of an electronic signature system with a threshold. The total number of participants in this system is n, and n participating devices 910-i (i = 1,..., N) use a predetermined element g (gεG) of a cyclic group G. Thus, the secret key sk i and the public key pk i of each participating device are generated, and the public key pk i is made public. When creating a signature, any t or more of the n people generate a commitment a i with the participating devices 910-i (i = 1,..., T), and transmit the commitment a i to a device including the signature generation unit 920. Here, to simplify the explanation, i = 1,..., T is a number indicating the participating devices that used (cooperated) for signature generation, and i = t + 1,. The number of participating devices that did not cooperate) may be any of the n participating devices.

署名生成部920は、独立した装置ででもかまわないし、いずれかの参加装置内に備えさせてもかまわない。署名生成部920は、i=t+1,…,nに対するダミーレスポンスe、ダミーチャレンジc、およびダミーコミットメントaを生成した上で、n−t次多項式f(x)、i=1,…,tに対するチャレンジcとレスポンスeとを生成し、署名σ(m)を作成する。この署名σ(m)はt台の参加装置910−i(i=1,…,t)から取得したコミットメントaと、署名生成部920がダミーとして生成したコミットメントa(i=t+1,…,n)等から生成されており、t人が協力した署名生成になっているだけでなく、どのt人が協力したのかが分からない署名になっている。 The signature generation unit 920 may be an independent device, or may be provided in any participating device. The signature generation unit 920 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i for i = t + 1,..., N, and then an n−t degree polynomial f (x), i = 1,. , T, a challenge c i and a response e i are generated, and a signature σ (m) is generated. The signature σ (m) is a commitment a i acquired from t participating devices 910-i (i = 1,..., T) and a commitment a i (i = t + 1,...) Generated as a dummy by the signature generation unit 920. , N), etc., and not only the signature generation with which t people cooperated, but also the signature with which it is not known which t people cooperated.

署名検証部930は、署名検証を行いたい任意の装置内に備えてかまわない。署名検証部では、多項式f(x)の次数がn−tであること、チャレンジc(i=1,…,n)とf(0)の値が正しいことなどを検証する。
図2は、参加装置910−iの機能構成例を示す図である。参加装置910−iは、鍵生成部911−i、署名者証拠生成部912−i、記録部913−i、および通信部914−iから構成される。図3は鍵生成部911−iの処理フローを示す図であり、図4は署名者証拠生成部912−iの処理フローを示す図である。
The signature verification unit 930 may be provided in any apparatus that wishes to perform signature verification. The signature verification unit verifies that the degree of the polynomial f (x) is n−t and that the values of the challenges c i (i = 1,..., N) and f (0) are correct.
FIG. 2 is a diagram illustrating a functional configuration example of the participation apparatus 910-i. Participating device 910-i includes key generation unit 911-i, signer evidence generation unit 912-i, recording unit 913-i, and communication unit 914-i. FIG. 3 is a diagram illustrating a processing flow of the key generation unit 911-i, and FIG. 4 is a diagram illustrating a processing flow of the signer evidence generation unit 912-i.

鍵生成部911−iは、秘密鍵sk生成手段9111−iと公開鍵pk生成手段9112−iとで構成される。鍵生成部911-iでの具体的な鍵生成方法の例を次に示す。秘密鍵sk生成手段9111−iでは、qを法とする剰余類Zから等確率でランダムに1つの元を選択して秘密鍵skとし(sk)(S9111)、秘密鍵skを記録部913−iに記録する(S9112)。公開鍵pk生成手段9112−iでは、あらかじめ定められた巡回群Gの元gを用いて、

Figure 0004738003
により公開鍵pk(pk∈G={1,g,g,…,gq−1})を生成し(S9113)、公開鍵pkを記録部913−iに記録する(S9114)。ここで、巡回群Gは、離散対数問題が難しい群から選ばれているため、公開鍵pkと元gが分かっても、秘密鍵skは分からない。このように生成された公開鍵pkは、元gの情報とともに通信部914−iを介して公開される。 The key generation unit 911-i includes a secret key sk i generation unit 9111-i and a public key pk i generation unit 9112-i. An example of a specific key generation method in the key generation unit 911-i is shown below. In the secret key sk i generating means 9111-i, one element is selected at random from the remainder class Z q modulo q with an equal probability as the secret key sk i (sk iU Z q ) (S 9111), the secret key sk i is recorded in the recording unit 913-i (S9112). The public key pk i generating means 9112-i uses the element g of the cyclic group G determined in advance,
Figure 0004738003
Generates a public key pk i (pk i ∈ G = {1, g, g 2 ,..., G q−1 }) (S9113), and records the public key pk i in the recording unit 913-i (S9114). . Here, since the cyclic group G is selected from a group in which the discrete logarithm problem is difficult, even if the public key pk i and the element g are known, the secret key sk i is not known. The public key pk i generated in this way is disclosed via the communication unit 914-i together with the information on the original g.

署名者証拠生成部912−iは、署名生成に協力する場合に動作する構成部であり、署名者証拠r生成手段9121−i、コミットメントa生成手段9122−i、チャレンジc取得手段9123−i、およびレスポンスe生成手段9122−iで構成される。署名者証拠生成部912−iでの具体的な処理手順の例を次に示す。参加者が署名に協力する場合には、署名者証拠r生成手段9121−iでは、qを法とする剰余類Zから等確率でランダムに1つの元を選択して署名者証拠rとする(r)(S9121)。次にコミットメントa生成手段9122−iでは、元gを用いて、

Figure 0004738003
によりコミットメントa(∈G)を生成し(S9122)、コミットメントaを記録部913−iに記録し、通信部914−iを介して署名生成部920を備える装置に送信する(S9123)。通常、署名者証拠rはコミットメントaを生成すれば不要となるため、記録部913−iに記録されること無く消去される。署名生成部920で署名生成処理が行われると、署名生成部920の計算部922の処理過程で生成されたチャレンジcが署名生成部920から、署名生成に協力している参加装置910−i(i=1,…,t)に送信される。このチャレンジcをチャレンジc取得手段9123−iで取得し(S9124)、記録部913−iに記録する(S9125)。また、レスポンスe生成手段9122−iで、e:=r−csk(e∈Z)により、e(i=1,…,t)を求め(S9126)、記録部913−iに記録するとともに署名生成部920に送信する(S9127)。 Signer evidence generator 912-i is a component which operates when to cooperate with the signature generation, the signer evidence r i generation means 9121-i, commitment a i generation means 9122-i, challenge c i acquisition unit 9123 -i, and consists of a response e i generation means 9122-i. An example of a specific processing procedure in the signer evidence generation unit 912-i is shown below. If the participants cooperate to signature, the signer evidence r i generation means in 9121-i, and selects one based on randomly with equal probability from coset Z q modulo q signer evidence r i (R i ε U Z q ) (S9121). Next, the commitment a i generating means 9122-i uses the element g,
Figure 0004738003
To generate a commitment a i (∈G) (S9122), record the commitment a i in the recording unit 913-i, and transmit it to the apparatus including the signature generation unit 920 via the communication unit 914-i (S9123). Usually, the signer proof r i is not necessary if the commitment a i is generated, and thus is deleted without being recorded in the recording unit 913-i. If the signature generation processing is performed in the signature generation unit 920, from the challenge c i is the signature generation unit 920 generated in the process of calculating unit 922 of the signature generation unit 920, participants are collaborating in the signature generating apparatus 910-i (I = 1,..., T). Gets the challenge c i a challenge c i acquisition unit 9123-i (S9124), and records in the recording unit 913-i (S9125). Further, the response e i generation means 9122-i, e i: = the r i -c i sk i (e i ∈Z q), e i (i = 1, ..., t) and calculated (S9126), recording The information is recorded in the part 913-i and transmitted to the signature generation part 920 (S9127).

図5に署名生成部920の機能構成例を示す。署名生成部920は、ダミー生成部921、計算部922、情報取得部923、記録部924、および通信部925から構成されている。また、図6は署名生成部920の処理フローを示す図である。
署名生成部920では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部923の公開鍵pk(i=1,…,n)取得手段9231により、参加装置910−i(i=1,…,n)の公開鍵pkを取得する(S9231)。ダミー生成部921では、次のように、ダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa(i=t+1,…,n)を生成する。ダミーレスポンスe(i=t+1,…,n)生成手段9211により、qを法とする剰余類Zから等確率でランダムに1つの元を選択してダミーレスポンスe(i=t+1,…,n)とし(e)(S9211)、記録部924に記録する(S9212)。ダミーチャレンジc(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yを選び、そのハッシュ関数をダミーチャレンジc(i=t+1,…,n)とし(yK,c:=I(y)∈Z)(S9213)、記録部924に記録する(S9214)。また、ダミーコミットメントa(i=t+1,…,n)生成手段9213により、元gと公開鍵pkを用いて、

Figure 0004738003
によりダミーコミットメントa(i=t+1,…,n)を生成し(S9215)、記録部924に記録する(S9216)。 FIG. 5 shows a functional configuration example of the signature generation unit 920. The signature generation unit 920 includes a dummy generation unit 921, a calculation unit 922, an information acquisition unit 923, a recording unit 924, and a communication unit 925. FIG. 6 is a diagram showing a processing flow of the signature generation unit 920.
The signature generation unit 920 generates a signature σ (m) by the following procedure. The public key pk i (i = 1, ... , n) of the information acquisition unit 923 via the communication unit 925 by acquiring unit 9231, obtains the public key pk i participating device 910-i (i = 1, ..., n) (S9231). The dummy generation unit 921 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i (i = t + 1,..., N) as follows. The dummy response e i (i = t + 1,..., N) generation unit 9211 selects one element at random with equal probability from the remainder class Z q modulo q, and the dummy response e i (i = t + 1,...). , N) (e iU Z q ) (S9211), and records it in the recording unit 924 (S9212). The dummy challenge c i (i = t + 1,..., N) generation unit 9212 selects one coordinate value y i from the finite field K at random with equal probability, and the hash function is set as the dummy challenge c i (i = t + 1,...). , n) and then (y i ∈ U K, c i: = I (y i) ∈Z q) (S9213), and records in the recording unit 924 (S9214). In addition, the dummy commitment a i (i = t + 1,..., N) generation unit 9213 uses the element g and the public key pk i ,
Figure 0004738003
The dummy commitment a i (i = t + 1,..., N) is generated (S9215) and recorded in the recording unit 924 (S9216).

また、通信部925を介して情報取得部923のコミットメントa(i=1,…,t)取得手段9232により、参加装置910−i(i=1,…,t)のコミットメントaを取得する(S9232)。 The commitment a i (i = 1, ... , t) in the information acquisition unit 923 via the communication unit 925 by acquiring unit 9232, acquires the commitment a i participating device 910-i (i = 1, ..., t) (S9232).

次に、計算部922では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段9221により、n−t次の多項式f(x)(f(x)=α+αx+α+…+αn−tn−t,α∈K)と定め、f(0)=J(t,n,pk,…,pk,a,…,a,m)とf(i)=y(i=t+1,…,n)の条件からα(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S9221)。また、求めたn−t次多項式f(x)を記録部924に記録する(S9222)。チャレンジc(i=1,…,t)生成手段9222では、c:=I(f(i))により、チャレンジc(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジcに対応する参加装置910−i(i=1,…,t)にチャレンジcを送信する(S9224)。各参加者装置910−i(i=1,…,t)では、送信されたチャレンジcを用いて、上記のようにレスポンスeを生成し署名生成部920に送信する(S9124〜S9127)。そこで、レスポンスe(i=1,…,t)取得手段9223は、レスポンスe(i=1,…,t)を取得し(S9225)、記録部924に記録する(S9226)。署名σ(m)作成手段9223では、σ(m)=(t,n,f,c,…,c,e,…,e)により、σ(m)を求め(S9227)、記録部924に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。 Next, the calculation unit 922 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 9221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α j ∈ K), f (0) = J (t, n, pk 1 ,..., pk n , a 1 ,..., a n , m) and f (i) = y i (i = t + 1,. , N) to obtain an nt degree polynomial f (x) by calculating α j (j = 0,..., Nt) (S9221). Further, the obtained nt degree polynomial f (x) is recorded in the recording unit 924 (S9222). Challenge c i (i = 1, ... , t) in the generator 9222, c i: = by I (f (i)), the challenge c i (i = 1, ... , t) and calculated (S9223), recording unit and records in 924, the challenge c i participating device corresponding to the 910-i (i = 1, ..., t) to send a challenge c i (S9224). Each participant device 910-i (i = 1,..., T) generates the response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 920 (S9124 to S9127). . Therefore, the response e i (i = 1,..., T) acquisition unit 9223 acquires the response e i (i = 1,..., T) (S9225) and records it in the recording unit 924 (S9226). The signature σ (m) creating means 9223 obtains σ (m) from σ (m) = (t, n, f, c 1 ,..., C n , e 1 ,..., E n ) (S9227), Recording is performed in the recording unit 924 (S9228). In this way, the (t, n) threshold signature σ (m) for the message m is obtained.

図7に署名検証部930の機能構成例を示す。また、図8に署名検証部930での署名σ(m)を検証するフローを示す。情報取得手段933は、公開鍵pk(i=1,…,n)と署名σ(m)を取得し(S933)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、チャレンジc、多項式f(0)確認手段932で、

Figure 0004738003
であることを確認する(S932)。 FIG. 7 shows a functional configuration example of the signature verification unit 930. FIG. 8 shows a flow for verifying the signature σ (m) in the signature verification unit 930. The information acquisition unit 933 acquires the public key pk i (i = 1,..., N) and the signature σ (m) (S933), and the degree confirmation unit 931 of the polynomial f (x) determines the degree of the polynomial f (x). Is nt (S931), challenge c i , polynomial f (0) confirmation means 932,
Figure 0004738003
(S932).

このように署名σ(m)の生成と検証を行うことで、署名検証部930(署名検証をする人)は、少なくともt台の参加装置910−i(t人の参加者)が協力して署名を作成したことが確認できる。また、署名検証部930は、n台の参加装置910−i中のどのt台(n人の参加者中のどのt人)が署名生成に協力したのかは分からない。
[CDS94] R. Cramer and I. Damgard and B. Schoen-makers, Proofs of Partial Knowledge and Simplified Design of Witness Hiding Protocols, CRYPTO ’94, pp. 174-187, 1994.
By generating and verifying the signature σ (m) in this way, the signature verification unit 930 (the person who performs the signature verification) cooperates with at least t participating devices 910-i (t participants). You can confirm that you have created a signature. In addition, the signature verification unit 930 does not know which t of the n participating devices 910-i (which t of the n participants) cooperated in generating the signature.
[CDS94] R. Cramer and I. Damgard and B. Schoen-makers, Proofs of Partial Knowledge and Simplified Design of Witness Hiding Protocols, CRYPTO '94, pp. 174-187, 1994.

従来技術では、どの参加者が署名生成に協力したのかが分からないことを特徴としているが、参加者が署名生成に協力したことを証明すること(名乗り出ること)もできなかった。
また、署名生成に協力したことを証明することができるようにする場合には、何人の参加者が証明できるのかを署名から確認できるようにすることも必要である。さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することが考えられることから、以後、今までの秘密鍵と公開鍵が使用できなくなる。
The prior art is characterized by the fact that it is not known which participant has cooperated in signature generation, but it has not been possible to prove that the participant has cooperated in signature generation (named out).
In addition, when it is possible to prove that the signature generation has been cooperated, it is also necessary to be able to confirm from the signature how many participants can be proved. Furthermore, since it is conceivable that secret key information is also leaked when proving that the signature generation has been cooperated, the secret key and the public key so far cannot be used.

本発明では、あらかじめ参加装置の記録部で署名者証拠を記録しておき、参加者が署名生成に協力したことを証明したい場合に当該署名者証拠を公開し、署名検証装置で当該署名者証拠を確認する。
また、何人の参加者が証明できるのかを署名から確認できるようにするための手段は以下のとおりである。ダミー鍵生成装置の情報取得部で署名生成に協力していない参加装置に対する公開鍵を少なくとも1つ生成し、当該公開鍵および公開鍵生成時に使用した乱数と離散対数問題の難しい巡回群の元を公開する。署名生成装置でダミーの公開鍵も用いて電子署名を生成する。署名検証装置でダミーの公開鍵を含めて公開鍵を取得し、ダミーの公開鍵生成時に使用した上記乱数と離散対数問題の難しい巡回群の上記元も取得し、署名者参加者数を確認する。
In the present invention, the signer evidence is recorded in advance in the recording unit of the participating device, and when the participant wants to prove that he has cooperated in the signature generation, the signer evidence is disclosed, and the signer evidence is displayed in the signature verification device. Confirm.
Moreover, the means for making it possible to confirm from the signature how many participants can be proved is as follows. At least one public key for a participating device that does not cooperate in signature generation is generated by the information acquisition unit of the dummy key generation device, and the public key, the random number used when generating the public key, and the element of the cyclic group having a difficult discrete logarithm problem are generated. Publish. The signature generation apparatus generates an electronic signature using a dummy public key. Obtain the public key including the dummy public key with the signature verification device, obtain the random number used when generating the dummy public key, and the above-mentioned elements of the cyclic group where the discrete logarithm problem is difficult, and check the number of signer participants .

さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することに対応する手段は以下のとおりである。参加装置では、公的機関に公開鍵を登録するような長期的に使用する秘密鍵と公開鍵の組(第1の秘密鍵と公開鍵)の他に、署名生成に用いる使い捨ての秘密鍵と公開鍵の組(第2の秘密鍵と公開鍵)を生成し、ダミー鍵生成装置で少なくとも1つの第2の公開鍵に対するダミー公開鍵を生成する。署名生成装置では、第1の署名と第2の署名とを生成する。署名検証装置では、参加者装置ごとの第1の公開鍵、第2の公開鍵を取得し、第1の署名および第2の署名の確認を行う。   Furthermore, the means for dealing with the leakage of secret key information when proving that the signature generation has been cooperated are as follows. In the participation apparatus, in addition to a private key and public key pair (first private key and public key) used for a long time such as registering a public key with a public institution, a disposable private key used for signature generation A set of public keys (second secret key and public key) is generated, and a dummy public key for at least one second public key is generated by the dummy key generation device. The signature generation device generates a first signature and a second signature. The signature verification apparatus acquires a first public key and a second public key for each participant apparatus, and confirms the first signature and the second signature.

または、参加装置で、署名生成に用いる使い捨ての秘密鍵(第2の秘密鍵)を、第1の秘密鍵から生成する。署名生成装置では、第2の秘密鍵を用いた署名だけを生成する。署名検証装置で、第1の公開鍵および第1の鍵生成と第2の鍵生成で使用した2つの問題の難しい巡回群の元を用いて署名を検証する。   Alternatively, the participating device generates a disposable private key (second private key) used for signature generation from the first private key. The signature generation device generates only a signature using the second secret key. The signature verification apparatus verifies the signature using the first public key and the elements of the two difficult cyclic groups used in the first key generation and the second key generation.

本発明では上記のような手段により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。   In the present invention, it is possible to prove by the above-described means when it is desired to prove that the participant cooperated with the signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.

以下にこの発明の実施形態を図面を参照して説明するが、同一の機能を有する部分は、各図中に同一参照番号を付けて重複説明を省略する。また、以下の説明でも背景技術の説明と同様に、説明を簡単にするために、i=1,…,tを署名生成に協力した参加装置を示す数、i=t+1,…,nを署名作成に協力しなかった参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。   Embodiments of the present invention will be described below with reference to the drawings, but portions having the same functions are denoted by the same reference numerals in each of the drawings, and redundant description is omitted. Also, in the following description, as in the background art, for simplicity, i = 1,..., T is a number indicating the participating devices that cooperated in signature generation, and i = t + 1,. The number indicates the participating devices that did not cooperate in the creation, but the t participating devices may be any of the n participating devices.

[第1実施形態]
本発明では、tを1≦t≦nとし、(t,n)閾値署名方式で署名に協力した参加者i(i=1,…,t)が、署名検証後に署名に協力したことを証明できる。図9は本発明のシステム構成例と流れを示す図であり、従来技術のシステム構成例を示す図である図1との違いは、次の点である。各参加者装置110−i(i=1,…,t)が、署名作成に協力する過程で生成した署名者証拠rを記録しておき、署名生成に協力したこと(署名者の1人であったこと)を証明したい場合に、署名者証拠rを、署名検証部130を備える装置に送信することで、署名生成に協力したことを証明する。以下に、従来技術と異なる構成装置について詳細に説明する。
[First Embodiment]
In the present invention, it is proved that the participant i (i = 1,..., T) who cooperated with the signature in the (t, n) threshold signature scheme cooperated with the signature after the signature verification by setting t to 1 ≦ t ≦ n. it can. FIG. 9 is a diagram showing a system configuration example and a flow of the present invention. The difference from FIG. 1 which is a diagram showing a system configuration example of the prior art is as follows. Each participant devices 110-i (i = 1, ..., t) is, Record the signer evidence r i generated in the process to cooperate with the signature creation, it has cooperated in the signature generation (one of the signers If the user wants to prove that the signer evidence r i is transmitted to the apparatus including the signature verification unit 130, it is proved that the signature generation cooperation has been cooperated. Hereinafter, a configuration apparatus different from the conventional technique will be described in detail.

図10は、参加装置110−iの機能構成例を示す図である。参加装置110−iは、従来の参加装置910−iとは、署名者証拠生成部112−iと記録部113−iが異なり、署名者証拠公開部115−iが追加されている。図11は署名者証拠生成部112−iの処理フローを示す図であり、図12は署名者証拠公開部115−iの処理フローを示す図である。図11に示すように、署名者証拠生成部112−iでは、従来であれば、通常コミットメントaを生成すれば不要となる署名者証拠rを、記録部913−iに記録する工程(S1121)を署名者証拠r生成ステップ(S9121)の後に追加した処理を行う。また、参加者iが署名生成に協力したことを証明したい場合には、図12に示すように、署名者証拠公開部115−iは、記録部113−iに記録された署名者証拠rを署名検証部130に対して公開する(S115)。 FIG. 10 is a diagram illustrating a functional configuration example of the participation apparatus 110-i. The participation device 110-i differs from the conventional participation device 910-i in a signer evidence generation unit 112-i and a recording unit 113-i, and a signer evidence disclosure unit 115-i is added. FIG. 11 is a diagram showing a processing flow of the signer evidence generating unit 112-i, and FIG. 12 is a diagram showing a processing flow of the signer evidence disclosing unit 115-i. As shown in FIG. 11, the signer evidence generating unit 112-i records the signer evidence r i that is unnecessary when the normal commitment a i is generated in the conventional method in the recording unit 913-i ( performing additional processing after S1121) the signer evidence r i generating step (S9121). When it is desired to prove that the participant i cooperated in signature generation, as shown in FIG. 12, the signer evidence disclosing unit 115-i performs signer evidence r i recorded in the recording unit 113- i. Is disclosed to the signature verification unit 130 (S115).

図13に署名検証部130の機能構成例を示す。図7に示す従来の署名検証部930との違いは、署名者証拠r確認手段133が追加されたことと、情報取得手段134が署名者証拠rも取得するよう変更されたことである。図14に署名に協力したことを証明したい参加者から署名者証拠rが公開された場合の、署名者証拠r確認フローを示す。署名に協力したことを証明したい参加者iから署名者証拠rが公開された場合には、署名検証部130の情報取得手段134は署名者証拠rを取得する(S134)。次に、署名者証拠r確認手段133で、

Figure 0004738003
であることを確認する(S133)ことで、署名者証拠rを公開した参加者iが署名生成に協力した参加者であることが分かる。 FIG. 13 shows a functional configuration example of the signature verification unit 130. The difference between conventional signature verification unit 930 shown in FIG. 7 are that the signer evidence r i confirmation unit 133 is added, is that the information obtaining unit 134 has been modified to also retrieve signer evidence r i . FIG. 14 shows a signer proof r i confirmation flow when the signer proof r i is released from the participant who wants to prove that he / she cooperated in the signature. If the signer evidence r i from participants i was published that want to prove that it has cooperated with the signature, signature information acquisition unit 134 of the verification unit 130 to get the signer evidence r i (S134). Next, in the signer proof r i confirmation means 133,
Figure 0004738003
(S133) confirms that the participant i who disclosed the signer evidence ri is a participant who cooperated in signature generation.

ただし、署名者証拠r、レスポンスe、チャレンジc、および秘密鍵skの間には、e=r−cskの関係があるため、署名者証拠rを公開することで、秘密鍵skも分かってしまう。したがって、署名に協力したことを証明した後は、これまで使用してきた秘密鍵skと公開鍵pkの組は使用できなくなる。 However, the signer evidence r i, response e i, challenge c i, and between the secret key sk i is, because there is a relationship of e i = r i -c i sk i, to publish a signer evidence r i Thus, the secret key sk i is also known. Therefore, after proving that the signature has been cooperated, the pair of the secret key sk i and the public key pk i that have been used so far cannot be used.

[第2実施形態]
本発明は、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。(t,n−1,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上n-1人以下であることを署名のみから確認できる方式である。図15は、本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、ダミー鍵生成部240が追加されたことと、署名検証部230が変更されたことである。ダミー鍵生成部240では、参加装置110−nの鍵生成部911−nの代わりに署名生成に使用する公開鍵pkを生成する。この公開鍵pkを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上n-1人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。
[Second Embodiment]
The present invention relates to a (t, n−1, n) threshold signature scheme in which t is 1 ≦ t ≦ n−1. The (t, n-1, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and n-1 or fewer participants who can prove that they are signers. is there. FIG. 15 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that the dummy key generation unit 240 is added and the signature verification unit 230 is changed. . The dummy key generation unit 240 generates a public key pk n used for signature generation instead of the key generation unit 911-n of the participating device 110-n. By generating a signature using this public key pk n , a system is realized that can confirm from the signature only that there are t or more and n-1 or less participants who can prove that they were signers. To do. The present invention is described in detail below.

図16にダミー鍵生成部240の機能構成例を、図17にダミー鍵生成部240の処理フローを示す。ダミー鍵生成部240では、通信部243を介して情報取得部242の公開鍵pk(i=1,…,n−1)取得手段2421で、参加装置110−i(i=1,…,n−1)の公開鍵pkを取得する(S2421)。計算部241のダミー公開鍵pk生成手段2411で、巡回群Gに属する元x(x∈G)を、例えば{0,1}の乱数Rのハッシュ値として生成する(x=H(R))。例えば、乱数Rのビット長を1024とする。ここで、秘密鍵skはqを法とする剰余類Zから等確率でランダムに1つの元(sk)であり(S9111参照)、公開鍵pkは巡回群Gの元(pk∈G)である(S9113参照)。公開鍵pkをpk:=x/pkpk…pkn−1と定め(S2411)、公開鍵pk、元x、および乱数Rを公開する(S2412)。このように公開鍵pkを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。 FIG. 16 shows a functional configuration example of the dummy key generation unit 240, and FIG. 17 shows a processing flow of the dummy key generation unit 240. In the dummy key generation unit 240, the public device pk i (i = 1,..., N−1) acquisition unit 2421 of the information acquisition unit 242 via the communication unit 243, the participating device 110-i (i = 1,. The public key pk i of n-1) is acquired (S2421). The dummy public key pk n generation unit 2411 of the calculation unit 241 generates an element x (xεG) belonging to the cyclic group G as a hash value of a random number R of {0, 1} * , for example (x = H (R )). For example, the bit length of the random number R is 1024. Here, the secret key sk i is one element (sk iU Z q ) randomly with equal probability from the remainder class Z q modulo q (see S9111), and the public key pk i is the cyclic group G Element (pk i εG) (see S9113). The public key pk n is defined as pk n : = x / pk 1 pk 2 ... Pk n−1 (S2411), and the public key pk n , the element x, and the random number R are disclosed (S2412). If the public key pk n is determined in this way, the discrete logarithm of x is not known, so the secret key of the participant n is not known.

なお、ダミー鍵生成部240を各参加装置110−i(i=1,…,n)に備えさせておき、ダミーの公開鍵を作ることとした1つの参加装置110−nだけは、ダミー鍵生成部240で公開鍵pkを生成することとしてもよい。また、単独のダミー鍵生成部240を具備するダミー鍵生成装置を1つ設置し、参加装置110−nの代わりに公開鍵pkを生成し、直接または参加装置110−n経由で公開鍵pkを公開してもよい。 It should be noted that a dummy key generation unit 240 is provided in each participating device 110-i (i = 1,..., N), and only one participating device 110-n that has created a dummy public key has a dummy key. The generation unit 240 may generate the public key pk n . Also, one dummy key generation device having a single dummy key generation unit 240 is installed, a public key pk n is generated instead of the participation device 110-n, and a public key pk is directly or via the participation device 110-n. n may be disclosed.

図18に署名検証部230の機能構成例を示す。第1実施形態との違いは、署名参加者数確認手段235が追加されたことと、情報取得手段234が元xとRも取得するよう変更されたことである。図19に署名検証部230が署名σ(m)を検証するフローを示す。第1実施形態の署名σ(m)の検証フローは従来技術を同じであるので、本フローの違いは図8に示した従来の署名σ(m)の検証フローとの違いを説明する。署名検証部230では、情報取得手段234で、公開鍵pk(i=1,…,n)、署名σ(m)、元x、および乱数Rを取得し(S234)、多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段235で、x=H(R)とpkpk…pk=xを確認する(S235)。 FIG. 18 shows a functional configuration example of the signature verification unit 230. The difference from the first embodiment is that the signature participant number confirmation unit 235 is added, and the information acquisition unit 234 is changed so as to also acquire the elements x and R. FIG. 19 shows a flow in which the signature verification unit 230 verifies the signature σ (m). Since the verification flow of the signature σ (m) of the first embodiment is the same as that of the conventional technique, the difference of this flow will be described with respect to the difference from the verification flow of the conventional signature σ (m) shown in FIG. In the signature verification unit 230, the information acquisition unit 234 acquires the public key pk i (i = 1,..., N), the signature σ (m), the element x, and the random number R (S234), and the polynomial f (x) Are confirmed (same as S931), challenge c i , and polynomial f (0) confirmation (same as S932). Further, the signature participant number confirmation means 235 confirms x = H (R) and pk 1 pk 2 ... Pk n = x (S235).

このように署名σ(m)を生成、検証することで、どの公開鍵pkかは分からないが、少なくとも1つは秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i, but at least one dummy public key without a private key exists, so cooperation in signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.

[第3実施形態]
本発明は、tとt’とを1≦t≦t'≦n−1とする(t,t’,n)閾値署名方式に関する。(t,t’,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上t’人以下であることを署名のみから確認できる方式である。図20は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、ダミー鍵生成部340と署名検証部330が変更されたことである。ダミー鍵生成部340では、参加装置110−i(i=t’,…,n)の鍵生成部911−i(i=t’,…,n)の代わりに署名生成に使用する公開鍵pk(i=t’,…,n)を生成する。この公開鍵pkを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上t'人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。
[Third Embodiment]
The present invention relates to a (t, t ′, n) threshold signature scheme in which t and t ′ are 1 ≦ t ≦ t ′ ≦ n−1. The (t, t ′, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and t ′ or fewer participants who can prove that they are signers. FIG. 20 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the dummy key generation unit 340 and the signature verification unit 330 are changed. In the dummy key generation unit 340, the public key pk used for signature generation instead of the key generation unit 911-i (i = t ′,..., N) of the participating device 110-i (i = t ′,..., N). i (i = t ′,..., n) is generated. By generating a signature using this public key pk i , a system is realized in which it is possible to confirm from the signature alone that there are t or more and t ′ or fewer participants who can prove that they were signers. . The present invention is described in detail below.

図21にダミー鍵生成部340の機能構成例を、図22にダミー鍵生成部340の処理フローを示す。ダミー鍵生成部340では、通信部243を介して情報取得部342の公開鍵pk(i=1,…,t')取得手段3421で、参加装置110−i(i=1,…,t')の公開鍵pkを取得する(S3421)。計算部341のダミー公開鍵pk(i=t'+1,…,n)生成手段では、巡回群Gに属する元A(A∈G)を、例えば{0,1}の乱数Rのハッシュ値として生成する(A=H(R))。(mij)を、

Figure 0004738003
のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 0004738003
と定め、公開鍵pk(i=t'+1,…,n)を
Figure 0004738003
として公開鍵pkを生成し(S3411)、公開鍵pk、元A、および乱数Rを公開する(S3412)。このように公開鍵pk(i=t'+1,…,n)を生成すれば、公開鍵pk∈Gを満足するので、t’次多項式F(F∈Z[x])が存在し、秘密鍵sk=F(i)かつlog=F(0)となっている。ここで、Aの離散対数は分からないので、参加者i(i=t'+1,…,n)の秘密鍵は分からない。 FIG. 21 shows a functional configuration example of the dummy key generation unit 340, and FIG. 22 shows a processing flow of the dummy key generation unit 340. In the dummy key generation unit 340, the public device pk i (i = 1,..., T ′) acquisition unit 3421 of the information acquisition unit 342 via the communication unit 243 performs the participation apparatus 110-i (i = 1,..., T). The public key pk i of ') is acquired (S3421). In the dummy public key pk i (i = t ′ + 1,..., N) generation means of the calculation unit 341, the element A 0 (A 0 ∈G) belonging to the cyclic group G is represented by a random number R of {0, 1} * , for example. (A 0 = H (R)). ( M ij )
Figure 0004738003
A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 0004738003
And the public key pk i (i = t ′ + 1,..., N)
Figure 0004738003
The public key pk i is generated (S3411), and the public key pk i , the element A i , and the random number R are disclosed (S3412). If the public key pk i (i = t ′ + 1,..., N) is generated in this way, the public key pk i ∈G is satisfied, and therefore a t′-order polynomial F (F∈Z q [x]) exists. The secret key sk i = F (i) and log g A 0 = F (0). Here, since the discrete logarithm of A 0 is not known, the secret key of the participant i (i = t ′ + 1,..., N) is not known.

図23に署名検証部330の機能構成例を示す。第2実施形態との違いは、署名参加者数確認手段335と、情報取得手段334が変更されたことである。図24に署名検証部330が署名σ(m)を検証するフローを示す。署名検証部330では、情報取得手段334で、公開鍵pk(i=1,…,n)、署名σ(m)、元A(i=1,…,t')、および乱数Rを取得し(S334)、多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段335で、A=H(R)と

Figure 0004738003
(pk∈G)(i=1,…,n)を確認する(S335)。 FIG. 23 shows a functional configuration example of the signature verification unit 330. The difference from the second embodiment is that the signature participant number confirmation means 335 and the information acquisition means 334 are changed. FIG. 24 shows a flow in which the signature verification unit 330 verifies the signature σ (m). In the signature verification unit 330, the information acquisition unit 334 receives the public key pk i (i = 1,..., N), the signature σ (m), the element A i (i = 1,..., T ′), and the random number R. Obtain (S334), confirm the degree of the polynomial f (x) (same as S931), perform the challenge c i and confirm the polynomial f (0) (same as S932). Further, in the signature participant number confirmation means 335, A 0 = H (R)
Figure 0004738003
(Pk i εG) (i = 1,..., N) is confirmed (S335).

このように署名σ(m)を生成、検証することで、どの公開鍵pkかは分からないが、少なくともn−t’は秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i is, but at least nt ′ has a dummy public key without a secret key. It can be confirmed from the signature only that the number of participants who can prove that they have cooperated with t is t or more and t 'or less.

[第4実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第2実施形態を改良したものであって、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。図25は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部420、署名検証部430、およびダミー鍵生成部440のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠rを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第2実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠rの公開後も使用できる。以下に本発明を詳しく説明する。
[Fourth Embodiment]
The present invention is an improvement of the second embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n−1. The present invention relates to a (t, n-1, n) threshold signature scheme. FIG. 25 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the participating devices 410-i (i = 1,..., N), the signature generation unit 420, the signature verification unit 430, and each of the dummy key generation unit 440, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the second embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.

図26は、参加装置410−iの機能構成例を示す図である。参加装置410−iは、第1の秘密鍵と公開鍵を生成する鍵生成部411−i、第2の秘密鍵と公開鍵を生成する鍵生成部911−i、署名者証拠生成部112−i、記録部413−i、通信部914−i、および署名者証拠公開部115−iから構成される。図27は第1の秘密鍵と公開鍵を生成する鍵生成部411−iの処理フローを示す図である。鍵生成部411−iの秘密鍵SK生成手段4111−iでは、任意の(t,n)閾値署名Σ(m)の方法で秘密鍵SKを生成し(S4111)、記録部413−iに記録する(S4112)。この(t,n)閾値署名Σ(m)は従来からある技術を用いればよいし、鍵生成部911−iと同じ方法でも良い。公開鍵PK生成手段4112−iでは、上記の秘密鍵SK生成手段4111−iに対応した方法で公開鍵PKを生成し(S4113)、記録部413−iに記録する(S4114)。鍵生成部411−iで生成された秘密鍵SKと公開鍵PKの組が、継続的に使用し、署名者証拠rを公開後も使用できる鍵となる。また、鍵生成部911−iで生成された秘密鍵skと公開鍵pkの組(鍵生成フローは図3と同じ)が使い捨ての鍵であり、署名者証拠rを公開後は使用できない鍵となる。なお、署名者証拠生成部112−iと署名者証拠r公開部115−iは第1実施形態と同じである。 FIG. 26 is a diagram illustrating a functional configuration example of the participation apparatus 410-i. The participation apparatus 410-i includes a key generation unit 411-i that generates a first secret key and a public key, a key generation unit 911-i that generates a second secret key and a public key, and a signer evidence generation unit 112-. i, a recording unit 413-i, a communication unit 914-i, and a signer proof disclosure unit 115-i. FIG. 27 is a diagram illustrating a processing flow of the key generation unit 411-i that generates the first secret key and the public key. In secret key SK i generation means 4111-i of the key generation unit 411-i, and generates a secret key SK i at any (t, n) threshold signature sigma (m) method (S4111), the recording unit 413-i (S4112). For this (t, n) threshold signature Σ (m), a conventional technique may be used, or the same method as the key generation unit 911-i may be used. In public key PK i generation means 4112-i, and generates a public key PK i in a manner corresponding to the secret key SK i generation means 4111-i of the (S4113), and records in the recording unit 413-i (S4114). Set of key generation unit 411-i and the secret key SK i, which is generated by the public key PK i is used continuously, it is key that can be used after publication of the signer evidence r i. Also, a set of secret key sk i and the public key pk i generated by the key generation unit 911-i (key generation flow is the same as FIG. 3) is the key is disposable after publishing the signer evidence r i used It is a key that cannot be done. Incidentally, the signer evidence r i revealer 115-i signer proof generating unit 112-i is the same as the first embodiment.

図28にダミー鍵生成部440の構成例を、図29にダミー鍵生成部440の処理フローを示す。ダミー鍵生成部440では、通信部243を介して情報取得部442の公開鍵PK(i=1,…,n−1)取得手段4421で、参加装置410−i(i=1,…,n−1)の公開鍵PKを取得する(S4421)。また、情報取得部242の公開鍵pk(i=1,…,n−1)取得手段2421で、参加装置410−i(i=1,…,n−1)の公開鍵pkを取得する(S2421と同じ)。計算部441のダミー公開鍵pk生成手段4411で、R=(t,n−1,n,PK,…,PK,m)として、巡回群Gに属する元x(x∈G)を、Rのハッシュ値として生成する(x=H(R))。公開鍵pkをpk:=x/pkpk…pkn−1と定め(S4411)、公開鍵pk、元x、およびRを公開する(S2412と同じ)。このように公開鍵pkを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。 FIG. 28 shows a configuration example of the dummy key generation unit 440, and FIG. 29 shows a processing flow of the dummy key generation unit 440. In the dummy key generation unit 440, the public key PK i (i = 1,..., N−1) acquisition unit 4421 of the information acquisition unit 442 via the communication unit 243 performs the participation device 410-i (i = 1,..., The public key PK i of n-1) is acquired (S4421). Further, the public key pk i information acquisition unit 242 (i = 1, ..., n-1) obtained by the obtaining unit 2421, participation device 410-i (i = 1, ..., n-1) the public key pk i of (Same as S2421). The dummy public key pk n generation means 4411 of the calculation unit 441 uses the element x (x∈G) belonging to the cyclic group G as R = (t, n−1, n, PK 1 ,..., PK n , m). , R as a hash value (x = H (R)). The public key pk n is defined as pk n : = x / pk 1 pk 2 ... Pk n−1 (S4411), and the public key pk n , the element x, and R are made public (same as S2412). If the public key pk n is determined in this way, the discrete logarithm of x is not known, so the secret key of the participant n is not known.

図30に署名生成部420の機能構成例を示す。署名生成部420は、ダミー生成部921、計算部422、情報取得部423、記録部424、および通信部925から構成されている。また、図31は署名生成部420の処理フローを示す図である。
署名生成部420では、以下の手順で署名σ(m)と署名Σ(m)が生成される。通信部925を介して情報取得部423の公開鍵PK(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKを取得する(S4231)。ステップS9231の公開鍵pk(i=1,…,n)の取得、ダミー鍵生成部の処理フローであるステップS9211〜ステップS9216、およびステップS9232のコミットメントa(i=1,…,t)の取得は、図6での説明と同じである。また、情報取得部423の元x取得手段4233では、元xを取得する(S4233)。計算部422の処理のステップS9221〜S9228の処理は、図6の説明と同じである。したがって、n−t次多項式f(x)、チャレンジc(i=1,…,t)、レスポンスe(i=1,…,t)、メッセージmに対する(t,n)閾値署名σ(m)は、第2実施形態と同じで、背景技術として説明した従来技術と同じである。次に、署名作成手段4225では、M=(t,n−1,n,PK,…,PK,m,x,pk,…,pk)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S4227)、記録部424への記憶と公開を行う(S4228)。なお、Σ(m)はステップS4411での秘密鍵SKの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いればよい。
FIG. 30 shows a functional configuration example of the signature generation unit 420. The signature generation unit 420 includes a dummy generation unit 921, a calculation unit 422, an information acquisition unit 423, a recording unit 424, and a communication unit 925. FIG. 31 is a diagram showing a processing flow of the signature generation unit 420.
The signature generation unit 420 generates a signature σ (m) and a signature Σ (m) by the following procedure. Public key PK i (i = 1, ... , n) of the information acquisition unit 423 via the communication unit 925 by acquiring unit 4231, obtains the public key PK i participating device 910-i (i = 1, ..., n) (S4231). Acquisition of public key pk i (i = 1,..., N) in step S9231, step S9211 to step S9216, which is a processing flow of the dummy key generation unit, and commitment a i (i = 1,..., T) in step S9232. Is obtained in the same manner as described with reference to FIG. Further, the element x acquisition unit 4233 of the information acquisition unit 423 acquires the element x (S4233). The processing of steps S9221 to S9228 of the calculation unit 422 is the same as the description of FIG. Therefore, an nt degree polynomial f (x), a challenge c i (i = 1,..., T), a response e i (i = 1,..., T), a (t, n) threshold signature σ ( m) is the same as that of the second embodiment, and is the same as the prior art described as the background art. Next, in the signature creation means 4225, M = (t, n−1, n, PK 1 ,..., PK n , m, x, pk 1 ,..., Pk n ), and (M, σ (M), Σ (M, σ (M)), (M, Σ (M), σ (M, Σ (M))) or (M, σ (M), Σ (M)) is used as a signature (S4227), Storage and disclosure in the recording unit 424 (S4228) Note that Σ (m) is an arbitrary (t, n) threshold signature Σ (m) method corresponding to the method for generating the secret key SK i in step S4411. May be used.

図32に署名検証部430の機能構成例を、図33に署名検証部430での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段434で、公開鍵PK(i=1,…,n)、公開鍵pk(i=1,…,n)、署名σ(m)、元x、およびRを取得する(S434)。多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、ステップS4411での秘密鍵SKの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431)。さらに、署名参加者数確認手段235で、x=H(R)とpkpk…pk=xを確認する(S235と同じ)。 FIG. 32 shows a functional configuration example of the signature verification unit 430, and FIG. 33 shows a verification flow of the signature σ (m) and the signature Σ (m) in the signature verification unit 430. The information acquisition unit 434 acquires the public key PK i (i = 1,..., N), the public key pk i (i = 1,..., N), the signature σ (m), the element x, and R (S434). ). Order confirmation of the polynomial f (x) (the same as S931), by performing the challenge c i, the polynomial f (0) Check (same as S932), it is verified the sigma (m). The verification of Σ (m) is performed using an arbitrary (t, n) threshold signature Σ (m) method corresponding to the generation method of the secret key SK i in step S4411 (S431). Further, the signature participant number confirmation means 235 confirms x = H (R) and pk 1 pk 2 ... Pk n = x (same as S235).

このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠rの公開後も秘密鍵SKと公開鍵PKとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.

[第5実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第3実施形態を改良したものであって、tとt’を1≦t≦t’≦nとする(t,t’,n)閾値署名方式に関する。図34は、本発明のシステム構成例と流れを示す図であり、第3実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部520、署名検証部530、およびダミー鍵生成部540のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠rを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第3実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠rの公開後も使用できる。以下に本発明を詳しく説明する。
[Fifth Embodiment]
The present invention is an improvement of the third embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, and t and t ′ are set to 1 ≦ t ≦ t ′. (T, t ′, n) Threshold signature scheme with n. FIG. 34 is a diagram showing a system configuration example and a flow of the present invention. The difference from the third embodiment is that a participating device 410-i (i = 1,..., N), a signature generation unit 520, a signature verification unit. 530, and each of the dummy key generation unit 540, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the third embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.

参加装置410−i(i=1,…,n)は第4実施形態と同じため、説明は省略する。 図35にダミー鍵生成部540の構成例を、図36にダミー鍵生成部540の処理フローを示す。ダミー鍵生成部540では、通信部243を介して情報取得部542の公開鍵PK(i=1,…,n)取得手段4421で、参加装置410−i(i=1,…,n)の公開鍵PKを取得する(S4421と同じ)。また、情報取得部342の公開鍵pk(i=1,…,t’)取得手段3421で、参加装置410−i(i=1,…,t’)の公開鍵pkを取得する(S2421と同じ)。計算部541のダミー公開鍵pk(i=t’+1,…,n)生成手段5411で、R=(t,t’,n,PK,…,PK,m)として、巡回群Gに属する元A(A∈G)を、Rのハッシュ値として生成する(A=H(R))。その後はステップS3411と同じ方法であって、(mij)を、

Figure 0004738003
のt'×t'行列(i)の逆行列として、A(i=1,…,t')を
Figure 0004738003
と定め、
Figure 0004738003
として公開鍵pk(i=t'+1,…,n)を生成する(S5411)。生成された公開鍵pk、元A、およびRを公開する(S3412と同じ)。このように公開鍵pk(i=t'+1,…,n)を生成すれば、第3実施形態と同様に、公開鍵pk∈Gを満足するので、t’次多項式F(F∈Z[x])が存在し、秘密鍵sk=F(i)かつlog=F(0)となっている。ここで、Aの離散対数は分からないので、参加者i(i=t'+1,…,n)の秘密鍵は分からない。 Since the participating devices 410-i (i = 1,..., N) are the same as those in the fourth embodiment, description thereof is omitted. FIG. 35 shows a configuration example of the dummy key generation unit 540, and FIG. 36 shows a processing flow of the dummy key generation unit 540. In the dummy key generation unit 540, the public device PK i (i = 1,..., N) acquisition unit 4421 of the information acquisition unit 542 via the communication unit 243 and the participating device 410-i (i = 1,..., N). The public key PK i is acquired (same as S4421). Further, the public key pk i information acquisition unit 342 (i = 1, ..., t ') in acquiring unit 3421, participation device 410-i (i = 1, ..., t') to acquire the public key pk i of ( Same as S2421). The dummy public key pk i (i = t ′ + 1,..., N) generation unit 5411 of the calculation unit 541 sets R = (t, t ′, n, PK 1 ,..., PK n , m) as a cyclic group G. the original a 0 (a 0 ∈G) belonging to generates a hash value of R (a 0 = H (R )). After that, it is the same method as step S3411, and (m ij ) is
Figure 0004738003
A i (i = 1,..., T ′) as an inverse matrix of the t ′ × t ′ matrix (i j ) of
Figure 0004738003
And
Figure 0004738003
To generate a public key pk i (i = t ′ + 1,..., N) (S5411). The generated public key pk i , element A i , and R are made public (same as S3412). If the public key pk i (i = t ′ + 1,..., N) is generated in this way, the public key pk i ∈G is satisfied as in the third embodiment, and therefore the t′-order polynomial F (F∈ Z q [x]) exists, and the secret key sk i = F (i) and log g A 0 = F (0). Here, since the discrete logarithm of A 0 is not known, the secret key of the participant i (i = t ′ + 1,..., N) is not known.

図37に署名生成部520の機能構成例を示す。署名生成部520は、ダミー生成部921、計算部522、情報取得部523、記録部424、および通信部925から構成されている。また、図38は署名生成部520の処理フローを示す図である。この機能構成と処理フローは、ほとんど第4実施形態の署名生成部420と同じであり、異なる点は元xではなく元A(i=0,…,t')を用いる点だけである。異なる点だけを示すと以下のようになる。情報取得部523の元A(i=0,…,t')取得手段5233では、元xではなく元A(i=0,…,t')を取得する(S5233)。署名作成手段5225では、M=(t,t’,n,PK,…,PK,m,A,…,At’,pk,…,pk)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S5227)、記録部424への記憶と公開を行う(S4228)。 FIG. 37 shows a functional configuration example of the signature generation unit 520. The signature generation unit 520 includes a dummy generation unit 921, a calculation unit 522, an information acquisition unit 523, a recording unit 424, and a communication unit 925. FIG. 38 is a diagram showing a processing flow of the signature generation unit 520. This functional configuration and processing flow are almost the same as those of the signature generation unit 420 of the fourth embodiment, and the only difference is that the element A i (i = 0,..., T ′) is used instead of the element x. Only the differences are shown below. Original A i (i = 0, ... , t ') of the information acquisition unit 523 in the acquisition means 5233, the original x rather original A i (i = 0, ... , t') to get (S5233). In the signature creation means 5225, M = (t, t ′, n, PK 1 ,..., PK n , m, A 0 ,..., A t ′ , pk 1 ,..., Pk n ), and (M, σ ( M), Σ (M, σ (M)), (M, Σ (M), σ (M, Σ (M))) or (M, σ (M), Σ (M)) are used as signatures ( S5227), storage in the recording unit 424 and disclosure (S4228).

図39に署名検証部530の機能構成例を、図40に署名検証部530での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段534で、公開鍵PK(i=1,…,n)、公開鍵pk(i=1,…,n)、署名σ(m)、元A(i=0,…,t')、およびRを取得する(S534)。多項式f(x)の次数確認(S931と同じ)、チャレンジc、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、参加装置410−iでの秘密鍵SKの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431と同じ)。さらに、署名参加者数確認手段335で、A=H(R)と

Figure 0004738003
(pk∈G)(i=1,…,n)を確認する(S335と同じ)。 FIG. 39 shows a functional configuration example of the signature verification unit 530, and FIG. 40 shows a verification flow of the signature σ (m) and the signature Σ (m) in the signature verification unit 530. In the information acquisition means 534, the public key PK i (i = 1,..., N), the public key pk i (i = 1,..., N), the signature σ (m), the element A i (i = 0,. t ′) and R are acquired (S534). Order confirmation of the polynomial f (x) (the same as S931), by performing the challenge c i, the polynomial f (0) Check (same as S932), it is verified the sigma (m). Further, the verification of Σ (m) is performed using an arbitrary (t, n) threshold signature Σ (m) method corresponding to the generation method of the secret key SK i in the participating device 410-i (the same as S431). ). Further, in the signature participant number confirmation means 335, A 0 = H (R)
Figure 0004738003
(Pk i ∈ G) (i = 1,..., N) is confirmed (same as S335).

このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠rの公開後も秘密鍵SKと公開鍵PKとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more participants who can prove this.

[第6実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第1実施形態を改良したものであって、tを1≦t≦nとする(t,n)閾値署名方式に関する。図41は本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、参加装置610−i(i=1,…,n)、署名生成部620、および署名検証部630のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠rを公開すると使用できなくなる使い捨ての秘密鍵(第2の秘密鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第1実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠rの公開後も使用できる。また、第4実施形態と第5実施形態との違いとしては、継続的に使用する第1の秘密鍵SKと使い捨ての第2の秘密鍵skとをペアリング写像を用いて関連つけた点にあり、本発明では、署名生成部620は1つの署名σ(m)のみを生成する。
[Sixth Embodiment]
The present invention is an improvement of the first embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n (t N) Threshold signature scheme. FIG. 41 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that a participating device 610-i (i = 1,..., N), a signature generation unit 620, and a signature verification unit. each 630, two types of keys of a conventional private and public keys (first secret key and public key) and the signer evidence r i becomes unusable and publish disposable secret key (the second private key) It has been changed so that it can respond to. By using two types of keys, while the effect of the first embodiment is maintained, public key such as that registered in the authority of the public (first public key) is also was published signer evidence r i Can be used. Further, the difference between the fourth embodiment and the fifth embodiment is that the first secret key SK i to be used continuously and the second secret key sk i to be used are associated with each other using a pairing map. In the present invention, the signature generation unit 620 generates only one signature σ (m).

まず、発明の説明のために追加または変更される記号等について簡単に説明する。E={0,P,2P,…,(p−1)P}を加法によりPで生成される位数pの巡回群とする。またEは離散対数問題は難しい(つまりPとaPの値が分かっても、aを求めることは難しい)巡回群である。G={1,g,g,…,g(q−1)}を乗法によりgで生成される位数q(ただしpはqの約数)の巡回群とする。またGは離散対数問題は難しい(つまりgとgの値が分かっても、aを求めることは難しい)巡回群である。<・,・>:E×E→Gを双線形性(つまり<aP,Q>=<P,aQ>=<P,Q>が任意のaに対して成立する)と非退化性(つまり<P,Q>=1が任意のQに対して成り立つならば、P=0)を満たすペアリング写像とする。H,I,JはそれぞれH:{0,1}→E,I:K→Z,J:{0,1}→Kのように変換するハッシュ関数である。このような群とペアリング写像は、楕円曲線とその上のベイユペアリング(Weil Pairing)を用いて実現することができる(例えばD. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO ’01, pp. 213-229, 2001.)。以下に本発明を詳しく説明する。 First, symbols and the like that are added or changed for the description of the invention will be briefly described. Let E = {0, P, 2P,..., (P−1) P} be a cyclic group of order p generated by P by addition. E is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of P and aP are known). Let G = {1, g, g 2 ,..., G (q−1) } be a cyclic group of order q (p is a divisor of q ) generated by g by multiplication. G is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of g and g a are known). <•, •>: E × E → G is bilinear (that is, <aP, Q> = <P, aQ> = <P, Q> a holds for any a) and non-degenerate ( That is, if <P, Q> = 1 holds for an arbitrary Q, the pairing map satisfies P = 0). H, I, and J are hash functions for conversion as H: {0, 1} * → E, I: K → Z p , and J: {0, 1} * → K, respectively. Such groups and pairing maps can be realized using elliptic curves and Weil Pairing on top of them (eg D. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO '01, pp. 213-229, 2001.). The present invention is described in detail below.

図42に参加装置610−iの機能構成例を示す。参加装置610−iは、第1の鍵生成部611−i、第2の鍵生成部612−i、署名者証拠生成部613−i、記録部614−i、署名者証拠公開部115−i、および通信部914−iから構成される。図43は第1の鍵生成部611−iの処理フローを示す図、図44は第2の鍵生成部612−iの処理フローを示す図、図45は署名者証拠生成部613−iの処理フローを示す図である。   FIG. 42 shows a functional configuration example of the participation apparatus 610-i. The participation apparatus 610-i includes a first key generation unit 611-i, a second key generation unit 612-i, a signer evidence generation unit 613-i, a recording unit 614-i, and a signer evidence disclosure unit 115-i. , And a communication unit 914-i. 43 is a diagram showing a processing flow of the first key generation unit 611-i, FIG. 44 is a diagram showing a processing flow of the second key generation unit 612-i, and FIG. 45 is a diagram of the signer evidence generation unit 613-i. It is a figure which shows a processing flow.

参加装置610−i(i=1,…,n)の鍵生成部611−iでは、以下の手順で第1の秘密鍵SKと公開鍵PKとを生成する。秘密鍵SK生成手段6111−iでは、pを法とする剰余類Zから等確率でランダムに1つの元sを選択して秘密鍵SKとし(SK=s)(S6111)、秘密鍵SKを記録部614−iに記録する(S6112)。公開鍵PK生成手段6112−iでは、あらかじめ定められた巡回群Eの元Pを用いて、PK=sPにより公開鍵PK(PK∈E)を生成し(S6113)、公開鍵PKを記録部614−iに記録する(S6114)。ここで、巡回群Eは、離散対数問題が難しい群から選ばれているため、公開鍵PKと元Pとが分かっても、秘密鍵SK(=s)は分からない。このように生成された公開鍵PKは、元Pの情報とともに通信部914−iを介して公開される。 The key generation unit 611-i of the participating device 610-i (i = 1,..., N) generates the first secret key SK i and the public key PK i by the following procedure. The secret key SK i generating means 6111-i selects one element s i at random from the remainder class Z p modulo p with equal probability as the secret key SK i (SK i = s iU Z p ) (S6111), the secret key SK i is recorded in the recording unit 614-i (S6112). The public key PK i generating means 6112- i generates a public key PK i (PK i εE) by PK i = s i P using a predetermined element P of the cyclic group E (S 6113). The key PK i is recorded in the recording unit 614-i (S6114). Here, since the cyclic group E is selected from a group in which the discrete logarithm problem is difficult, even if the public key PK i and the element P are known, the secret key SK i (= s i ) is not known. The public key PK i generated in this way is disclosed through the communication unit 914-i together with the information of the original P.

鍵生成部612−iでは、以下の手順で第2の秘密鍵skを生成する。まず、公開鍵PK(i=1,…,n)取得手段6123−iで参加装置610−i(i=1,…,n)の公開鍵PKを取得する(S6121)。Q生成手段6122−iでは、Q=H(t,n,PK,…,PK,m)としてQ(Q∈E)を生成し(S6122)、Qを記録部614−iに記録するとともに公開する(S6123)。秘密鍵sk生成手段6121−iでは、sk=sとして使い捨ての秘密鍵sk(sk∈E)を生成し(S6124)、秘密鍵skを記録部614−iに記録する(S6125)。なお、上記のQを求める方法では全ての参加装置610−iの公開鍵PK(i=1,…,n)を使用しており、どの参加装置で計算しても同じQを得る。したがって、1つの参加装置または別の装置でQを求め、各参加装置に送信しても良い。 The key generation unit 612-i generates the second secret key ski i by the following procedure. First, the public key PK i (i = 1, ... , n) participating device acquisition unit 6123-i 610-i (i = 1, ..., n) to obtain the public key PK i of (S6121). The Q m generation means 6122-i generates Q m (Q m ∈E) as Q m = H (t, n, PK 1 ,..., PK n , m) (S 6122), and Q m is recorded in the recording unit 614. -I is recorded and released (S6123). The secret key sk i generating means 6121- i generates a disposable secret key sk i (sk i εE) as sk i = s i Q m (S6124), and records the secret key sk i in the recording unit 614-i. (S6125). In the above method for obtaining Q m , public keys PK i (i = 1,..., N) of all participating devices 610-i are used, and the same Q m is obtained regardless of which participating device calculates. . Therefore, Q m may be obtained by one participating device or another device and transmitted to each participating device.

参加者が署名に協力する場合には、署名者証拠生成部613−iの署名者証拠r生成手段6121−iでは、pを法とする剰余類Zから等確率でランダムに1つの元を選択して署名者証拠r(r)とし(S6121)、記録部614−iに記録する(S1121)。次にコミットメントa生成手段6132−iは、元Pを用いて、

Figure 0004738003
によりコミットメントa(∈G)を生成し(S6132)、コミットメントaを記録部614−iに記録し、通信部914−iを介して署名生成部620に送信する(S9123)。署名生成部620で署名生成処理が行われると、署名生成部620の計算部622の処理過程で生成されたチャレンジcが署名生成部620から、署名生成に協力している参加装置610−i(i=1,…,t)に送信される。このチャレンジcをチャレンジc取得手段9123−iで取得し(S9124)、記録部913−iに記録する(S9125)。また、レスポンスe生成手段6132−iで、e:=r−csk(e∈E)により、e(i=1,…,t)を求め(S6136)、記録部614−iに記録するとともに署名生成部620に送信する(S9127)。 If the participants cooperate to signature, the signer the evidence generation unit 613-i of the signer evidence r i generation means 6121-i, 1 randomly with equal probability from residue class Z p modulo p Tsunomoto And signer evidence r i (r i ε U Z p ) is selected (S6121) and recorded in the recording unit 614-i (S1121). Next, the commitment a i generating means 6132-i uses the element P,
Figure 0004738003
To generate a commitment a i (∈G) (S6132), record the commitment a i in the recording unit 614-i, and transmit it to the signature generation unit 620 via the communication unit 914-i (S9123). If the signature generation processing is performed in the signature generation unit 620, from the challenge c i is the signature generation unit 620 generated in the process of calculating portion 622 of the signature generation unit 620, participants are collaborating in the signature generating apparatus 610-i (I = 1,..., T). Gets the challenge c i a challenge c i acquisition unit 9123-i (S9124), and records in the recording unit 913-i (S9125). Further, the response e i generation means 6132-i, e i: = the r i Q m -c i sk i (e i ∈E), e i (i = 1, ..., t) and calculated (S6136), The information is recorded in the recording unit 614-i and transmitted to the signature generation unit 620 (S9127).

図46に署名生成部620の機能構成例を示す。署名生成部620は、ダミー生成部621、計算部622、情報取得部623、記録部624、および通信部925から構成されている。また、図47は署名生成部620の処理フローを示す図である。   FIG. 46 shows a functional configuration example of the signature generation unit 620. The signature generation unit 620 includes a dummy generation unit 621, a calculation unit 622, an information acquisition unit 623, a recording unit 624, and a communication unit 925. FIG. 47 is a diagram showing a processing flow of the signature generation unit 620.

署名生成部620では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部623の公開鍵PK(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKを取得する(S4231)。また、Q取得手段6231により、Qを取得する(S6231)。ダミー生成部621では、次のように、ダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa(i=t+1,…,n)を生成する。ダミーレスポンスe(i=t+1,…,n)生成手段6211により、pを法とする剰余類Zから等確率でランダムに1つの元を選択してダミーレスポンスe(i=t+1,…,n)とし(e)(S6211)、記録部624に記録する(S9212)。ダミーチャレンジc(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yを選び、そのハッシュ関数をダミーチャレンジc(i=t+1,…,n)とし(yK,c:=I(y)∈Z)(S6213)、記録部624に記録する(S9214)。また、ダミーコミットメントa(i=t+1,…,n)生成手段6213により、元P、Q、および公開鍵PKを用いて、

Figure 0004738003
によりダミーコミットメントa(i=t+1,…,n)を生成し(S6215)、記録部624に記録する(S9216)。 The signature generation unit 620 generates a signature σ (m) by the following procedure. Public key PK i (i = 1, ... , n) of the information acquisition unit 623 via the communication unit 925 by acquiring unit 4231, obtains the public key PK i participating device 910-i (i = 1, ..., n) (S4231). Further, the Q m acquisition unit 6231 acquires a Q m (S6231). The dummy generation unit 621 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i (i = t + 1,..., N) as follows. The dummy response e i (i = t + 1,..., N) generating means 6211 selects one element at random from the remainder class Z p modulo p with equal probability, and the dummy response e i (i = t + 1,. , N) (e iU Z p ) (S6211), and records it in the recording unit 624 (S9212). The dummy challenge c i (i = t + 1,..., N) generation unit 9212 selects one coordinate value y i from the finite field K at random with equal probability, and the hash function is set as the dummy challenge c i (i = t + 1,...). , n) and then (y i ∈ U K, c i: = I (y i) ∈Z p) (S6213), and records in the recording unit 624 (S9214). Further, the dummy commitment a i (i = t + 1,..., N) generation unit 6213 uses the element P, Q m , and the public key PK i ,
Figure 0004738003
The dummy commitment a i (i = t + 1,..., N) is generated (S6215) and recorded in the recording unit 624 (S9216).

また、通信部925を介して情報取得部623のコミットメントa(i=1,…,t)取得手段9232により、参加装置610−i(i=1,…,t)のコミットメントaを取得する(S9232と同じ)。 The commitment a i (i = 1, ... , t) in the information acquisition unit 623 via the communication unit 925 by acquiring unit 9232, acquires the commitment a i participating device 610-i (i = 1, ..., t) (Same as S9232).

次に、計算部622では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段6221により、n−t次の多項式f(x)(f(x)=α+αx+α+…+αn−tn−t,α∈K)と定め、f(0)=J(t,n,PK,…,PK,Q,a,…,a,m)とf(i)=y(i=t+1,…,n)の条件からα(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S6221)。また、求めたn−t次多項式f(x)を記録部624に記録する(S9222)。チャレンジc(i=1,…,t)生成手段9222では、c:=I(f(i))により、チャレンジc(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジcに対応する参加装置910−i(i=1,…,t)にチャレンジcを送信する(S9224)。 Next, the calculation unit 622 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 6221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α defined as j ∈K), f (0) = J (t, n, PK 1, ..., PK n, Q m, a 1, ..., a n, m) and f (i) = y i ( i = By calculating α j (j = 0,..., nt) from the condition of t + 1,..., n), an nt degree polynomial f (x) is obtained (S6221). Further, the obtained nt degree polynomial f (x) is recorded in the recording unit 624 (S9222). Challenge c i (i = 1, ... , t) in the generator 9222, c i: = by I (f (i)), the challenge c i (i = 1, ... , t) and calculated (S9223), recording unit and records in 924, the challenge c i participating device corresponding to the 910-i (i = 1, ..., t) to send a challenge c i (S9224).

各参加者装置610−i(i=1,…,t)では、送信されたチャレンジcを用いて、上記のようにレスポンスeを生成し署名生成部620に送信する(図45のS9124〜S9127)。そこで、レスポンスe(i=1,…,t)取得手段9223は、レスポンスe(i=1,…,t)を取得し(S9225)、記録部624に記録する(S9226)。署名σ(m)作成手段6223では、σ(m)=(f,c,…,c,e,…,e)により、σ(m)を求め(S6227)、記録部624に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。 Each participant device 610-i (i = 1,..., T) generates a response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 620 (S9124 in FIG. 45). To S9127). Therefore, the response e i (i = 1,..., T) acquisition unit 9223 acquires the response e i (i = 1,..., T) (S9225) and records it in the recording unit 624 (S9226). The signature σ (m) creating means 6223 obtains σ (m) from σ (m) = (f, c 1 ,..., C n , e 1 ,..., E n ) (S 6227) and stores it in the recording unit 624. Recording is performed (S9228). In this way, the (t, n) threshold signature σ (m) for the message m is obtained.

図48に署名検証部630の機能構成例を、図49に署名検証部630での署名σ(m)を検証するフローを示す。なお、署名者証拠rを確認する処理フローは第1実施形態と同じである。署名σ(m)を検証する場合は、情報取得手段634で公開鍵PK(i=1,…,n)、Q、および署名σ(m)を取得し(S634)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、Q確認手段632で、Q=H(t,n,PK,…,PK,m)かつQ∈Eであることを確認し(S632)、チャレンジc、多項式f(0)確認手段633で、

Figure 0004738003
であることを確認する(S932)。 FIG. 48 shows a functional configuration example of the signature verification unit 630, and FIG. 49 shows a flow for verifying the signature σ (m) in the signature verification unit 630. The processing flow for confirming the signer evidence r i is the same as the first embodiment. When verifying the signature σ (m), the information acquisition unit 634 acquires the public key PK i (i = 1,..., N), Q m , and the signature σ (m) (S634), and the polynomial f (x ) Order confirmation means 931 confirms that the degree of the polynomial f (x) is n−t (S931), and Q m confirmation means 632 confirms that Q m = H (t, n, PK 1 ,..., PK n , m) and Q m ∈ E (S632), the challenge c i , the polynomial f (0) confirmation means 633,
Figure 0004738003
(S932).

このように署名σ(m)を生成、検証することによって以下のような効果がある。署名生成に協力したことを参加者iが証明するために署名者証拠rを公開した場合、第2の秘密鍵skは、sk=s=c -1(r−e)により求めることができるが、Eは離散対数問題が難しい巡回群から選ばれているため、第1の秘密鍵SK(SK=s∈Z)を求めることはできない。したがって、署名者証拠r公開後も公開鍵PKを使うことができる。また、チャレンジc、多項式f(0)確認手段633で、

Figure 0004738003
を確認しているため、署名者証拠r(r∈Z)と公開鍵PK(PK=sP∈E)とは関連しており、署名者証拠rを示すことにより公開鍵PKに対応する参加者iが署名に協力したことを証明することができる。 By generating and verifying the signature σ (m) in this way, the following effects can be obtained. If you publish a signer evidence r i in order to prove the participants i that it has cooperated in the signature generation, the second of the secret key sk i is, sk i = s i Q m = c i -1 (r i Q m −e i ), but since E is selected from a cyclic group in which the discrete logarithm problem is difficult, the first secret key SK i (SK i = s i ∈Z p ) cannot be obtained. . Therefore, the public key PK i can be used even after the signer proof r i is disclosed. In addition, the challenge c i, a polynomial f (0) confirmation means 633,
Figure 0004738003
Therefore, the signer evidence r i (r i ∈Z p ) and the public key PK i (PK i = s i P∈E) are related, and by indicating the signer evidence r i It can be proved that the participant i corresponding to the public key PK i cooperated in the signature.

[第7実施形態]
本実施形態は、第1実施形態から第6実施形態の総括である。図50に第1実施形態から第6実施形態をまとめた(t,n)閾値電子署名システムの処理フローを示す。図50では、すべての実施形態に共通する装置(部)と処理工程を実線の四角で示し、第2実施形態から第5実施形態に必要な装置(部)と処理工程を点線の四角で示し、第4実施形態から第6実施形態に必要な装置(部)と処理工程を一点鎖線の四角で示す。第6実施形態に必要な処理工程を二点鎖線の四角で示す。
[Seventh Embodiment]
This embodiment is a summary of the first to sixth embodiments. FIG. 50 shows a processing flow of the (t, n) threshold electronic signature system in which the first to sixth embodiments are summarized. In FIG. 50, apparatuses (parts) and processing steps common to all the embodiments are indicated by solid squares, and apparatuses (parts) and processing steps necessary for the second to fifth embodiments are indicated by dotted squares. The apparatuses (parts) and processing steps necessary for the fourth to sixth embodiments are indicated by a dashed-dotted line. The processing steps necessary for the sixth embodiment are indicated by a two-dot chain square.

第4実施形態から第6実施形態の参加装置(410−i、または610−i)(i=1,…,n)は、第1の秘密鍵SKと公開鍵PKを生成し、公開鍵PKを公開する。第1の実施形態と第6実施形態の場合は、すべての参加装置(110−i、または610−i)(i=1,…,n)は、署名に使用する秘密鍵skを生成し、第1の実施形態は公開鍵pkも生成し、公開鍵pkを公開する。第2実施形態と第4実施形態は参加装置(110−i、または410−i)(i=1,…,n−1)が、署名に使用する秘密鍵skと公開鍵pkを生成し、公開鍵pkを公開する。第3実施形態と第5実施形態は参加装置(110−i、または410−i)(i=1,…,t’)が、署名に使用する秘密鍵skと公開鍵pkを生成し、公開鍵pkを公開する。 Participating devices (410-i or 610-i) (i = 1,..., N) of the fourth to sixth embodiments generate a first secret key SK i and a public key PK i and make them public. Publish the key PK i . In the case of the first embodiment and the sixth embodiment, all the participating devices (110-i or 610-i) (i = 1,..., N) generate a secret key sk i used for signature. the first embodiment also generates a public key pk i, publishes the public key pk i. In the second and fourth embodiments, the participating device (110-i or 410-i) (i = 1,..., N-1) generates a private key sk i and a public key pk i used for signature. And public key pk i is made public. In the third and fifth embodiments, the participating device (110-i or 410-i) (i = 1,..., T ′) generates a secret key sk i and a public key pk i used for signature. , Public key pk i is made public.

第2実施形態から第5実施形態の場合は、ダミー鍵生成部(240、340,440,540)で、ダミーの公開鍵pk(i=nまたはt’,…,n)を生成し、公開する。
署名生成に協力する参加装置(110−i、410−i、または610−i)(i=1,…,t)は、署名者証拠rとコミットメントaを生成し、コミットメントaを署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名生成に協力していない参加装置(110−i、410−i、または610−i)(i=t+1,…,n)に対応するダミーのレスポンスe、チャレンジc、およびコミットメントaを生成し、n−t次多項式fと署名生成に協力した参加装置(110−i、410−i、または610−i)(i=1,…,t)に対応するチャレンジcを生成し、チャレンジcを参加装置(110−i、410−i、または610−i)(i=1,…,t)に送信する。各参加装置(110−i、410−i、または610−i)(i=1,…,t)では、レスポンスeを生成し署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を生成する。署名検証部(130、230、330,430,530、または630)で、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を確認し、第2実施形態から第5実施形態の場合は、署名参加者数を確認する。さらに、署名に協力した参加者が署名に協力したことを証明したい場合には、参加装置(110−i、410−i、または610−i)(i=1,…,t)は署名者証拠rを公開し、署名検証部(130、230、330,430,530、または630)は署名者証拠rを確認する。なお、各処理の詳細は、上記の第1実施形態から第6実施形態に示したとおりである。
In the case of the second to fifth embodiments, the dummy key generation unit (240, 340, 440, 540) generates a dummy public key pk i (i = n or t ′,..., N), Publish.
Join apparatus to cooperate with the signature generation (110-i, 410-i or 610-i,) (i = 1, ..., t) generates a signer evidence r i and commitment a i, signed commitment a i It transmits to a production | generation part (920, 420, 520, or 620). The signature generation unit (920, 420, 520, or 620) corresponds to a participating device (110-i, 410-i, or 610-i) (i = t + 1,..., N) that does not cooperate with signature generation. Participating devices (110-i, 410-i, or 610-i) that have generated dummy responses e i , challenges c i , and commitment a i and cooperated in generating the nt-order polynomial f and signature (i = 1) , ..., generates a challenge c i corresponding to t), join apparatus Challenge c i (110-i, 410 -i or 610-i) (i = 1 ,, ..., are transmitted to t). Each participating device (110-i, 410-i, or 610-i) (i = 1,..., T) generates a response e i and transmits it to the signature generation unit (920, 420, 520, or 620). . The signature generation unit (920, 420, 520, or 620) generates a signature σ (in the case of the fourth and fifth embodiments, further Σ). The signature verification unit (130, 230, 330, 430, 530, or 630) confirms the signature σ (in the case of the fourth and fifth embodiments, further Σ), and the second to fifth embodiments. In the case of a form, the number of signature participants is confirmed. Further, if the participant who cooperated with the signature wants to prove that the participant cooperated with the signature, the participating device (110-i, 410-i, or 610-i) (i = 1,. publish the r i, the signature verification unit (130,230,330,430,530 or 630,) confirms the signer evidence r i. The details of each process are as shown in the first to sixth embodiments.

このようなシステム構成と処理方法により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。   With such a system configuration and processing method, it is possible to prove that the participant wants to prove that he / she cooperated in signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.

閾値つき電子署名システムの構成例と流れを示す図。The figure which shows the structural example and flow of an electronic signature system with a threshold value. 参加装置910−iの機能構成例を示す図。The figure which shows the function structural example of participation apparatus 910-i. 鍵生成部911−iの処理フローを示す図。The figure which shows the processing flow of the key generation part 911-i. 署名者証拠生成部912−iの処理フローを示す図。The figure which shows the processing flow of the signer proof production | generation part 912-i. 署名生成部920の機能構成例を示す図。The figure which shows the function structural example of the signature production | generation part 920. FIG. 署名生成部920の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 920. 署名検証部930の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 930. FIG. 署名検証部930での署名σ(m)を検証するフローを示す図。The figure which shows the flow which verifies signature (sigma) (m) in the signature verification part 930. FIG. 第1実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 1st Embodiment. 参加装置110−iの機能構成例を示す図。The figure which shows the function structural example of participating apparatus 110-i. 署名者証拠生成部112−iの処理フローを示す図。The figure which shows the processing flow of the signer proof production | generation part 112-i. 署名者証拠公開部115−iの処理フローを示す図The figure which shows the processing flow of the signer proof disclosure part 115-i. 署名検証部130の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 130. FIG. 署名に協力したことを証明したい参加者から署名者証拠rが公開された場合の、署名者証拠r確認フローを示す図。The figure which shows a signer proof r i confirmation flow when the signer proof r i is made public by a participant who wants to prove that he has cooperated in the signature. 第2実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 2nd Embodiment. ダミー鍵生成部240の機能構成例を示す図。The figure which shows the function structural example of the dummy key production | generation part 240. FIG. ダミー鍵生成部240の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 240. FIG. 署名検証部230の機能構成例を示す図。FIG. 3 is a diagram illustrating an example of a functional configuration of a signature verification unit 230. 署名検証部230が署名σ(m)を検証するフローを示す図。The figure which shows the flow in which the signature verification part 230 verifies signature (sigma) (m). 第3実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 3rd Embodiment. ダミー鍵生成部340の機能構成例を示す図。The figure which shows the function structural example of the dummy key production | generation part 340. ダミー鍵生成部340の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 340. 署名検証部330の機能構成例を示す図。FIG. 3 is a diagram illustrating an example of a functional configuration of a signature verification unit 330. 署名検証部330が署名σ(m)を検証するフローを示す図。The figure which shows the flow in which the signature verification part 330 verifies signature (sigma) (m). 第4実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 4th Embodiment. 参加装置410−iの機能構成例を示す図。The figure which shows the function structural example of participating apparatus 410-i. 第1の秘密鍵と公開鍵を生成する鍵生成部411−iの処理フローを示す図。The figure which shows the processing flow of the key generation part 411-i which produces | generates a 1st secret key and a public key. ダミー鍵生成部440の構成例を示す図。The figure which shows the structural example of the dummy key production | generation part 440. FIG. ダミー鍵生成部440の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 440. FIG. 署名生成部420の機能構成例を示す図。FIG. 4 is a diagram illustrating an example of a functional configuration of a signature generation unit 420. 署名生成部420の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 420. FIG. 署名検証部430の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 430. FIG. 署名検証部430での署名σ(m)と署名Σ(m)の検証フローを示す図。The figure which shows the verification flow of signature (sigma) (m) and signature (SIGMA) (m) in the signature verification part 430. FIG. 第5実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 5th Embodiment. ダミー鍵生成部540の構成例を示す図。The figure which shows the structural example of the dummy key production | generation part 540. ダミー鍵生成部540の処理フローを示す図。The figure which shows the processing flow of the dummy key production | generation part 540. 署名生成部520の機能構成例を示す図。The figure which shows the function structural example of the signature production | generation part 520. FIG. 署名生成部520の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 520. 署名検証部530の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 530. FIG. 署名検証部530での署名σ(m)と署名Σ(m)の検証フローを示す図。The figure which shows the verification flow of signature (sigma) (m) and signature (SIGMA) (m) in the signature verification part 530. FIG. 第6実施形態のシステム構成例と流れを示す図。The figure which shows the system configuration example and flow of 6th Embodiment. 参加装置610−iの機能構成例を示す図。The figure which shows the function structural example of participating apparatus 610-i. 第1の鍵生成部611−iの処理フローを示す図。The figure which shows the processing flow of the 1st key production | generation part 611-i. 第2の鍵生成部612−iの処理フローを示す図。The figure which shows the processing flow of the 2nd key production | generation part 612-i. 署名者証拠生成部613−iの処理フローを示す図。The figure which shows the processing flow of the signer proof production | generation part 613-i. 署名生成部620の機能構成例を示す図。The figure which shows the function structural example of the signature production | generation part 620. FIG. 署名生成部620の処理フローを示す図。The figure which shows the processing flow of the signature production | generation part 620. FIG. 署名検証部630の機能構成例を示す図。The figure which shows the function structural example of the signature verification part 630. FIG. 署名検証部630での署名σ(m)を検証するフローを示す図。The figure which shows the flow which verifies signature (sigma) (m) in the signature verification part 630. FIG. 第1実施形態から第6実施形態をまとめた(t,n)閾値電子署名システムの処理フローを示す図。The figure which shows the processing flow of the (t, n) threshold value electronic signature system which put together 6th Embodiment from 1st Embodiment.

Claims (12)

n台の参加装置、前記参加装置のいずれかもしくは独立した装置に具備された署名生成部、任意の装置に具備された署名検証部を有し、t台の参加装置が協力することでメッセージに対する署名を生成する署名システムであって、
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
各参加装置は、
Figure 0004738003

の関係を有する秘密鍵skと公開鍵pkを生成する鍵生成部と、
署名生成に協力する場合は、署名者証拠rを生成し、
Figure 0004738003

の関係を有するコミットメントaを生成して前記署名生成部に送信し、チャレンジcを前記署名生成部から取得し、
=r−csk
の関係を有するレスポンスeを生成して前記署名生成部に送信する署名者証拠生成部と、
前記署名者証拠rを記録する記録部と、
署名者証拠r前記署名検証部に送信する署名者証拠公開部と
を備え、
前記署名生成部は、
署名生成に協力しなかった参加装置用のレスポンスe、チャレンジc、コミットメントaであるダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa
Figure 0004738003

の関係を有するように生成するダミー生成部と、
署名に協力する参加装置から前記コミットメントa を受信し、前記公開鍵pk署名に協力する参加装置の前記コミットメントa と前記ダミーコミットメントa を用いた計算によってn−t次多項式を求め、署名に協力する参加装置の前記チャレンジc を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe を受信し、前記多項式fおよび全参加装置の前記チャレンジcと前記レスポンスeを含む署名σを生成し、記録する計算部と
を備え、
前記署名検証部は、
前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk を取得し、いずれかの前記参加装置から前記署名者証拠r を取得する情報取得手段と、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認手段と、
前記署名σに含まれるチャレンジc が前記計算部で生成され、前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pk、前記署名σに含まれるレスポンスeを用いて確認するチャレンジ・多項式確認手段と、
前記署名者証拠rが、
Figure 0004738003

を満たすことを確認することで、当該参加装置が署名生成に協力したことを確認する署名者証拠確認手段と
を備える署名システム。
n number of participating devices, with respect to the signature generation unit which is provided in either or independent apparatus participating device has a signature verification unit that is provided in any device, a message by t stand participating device to cooperate A signature system for generating a signature,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
Each participating device
Figure 0004738003

A key generation unit that generates a secret key sk i and a public key pk i having the relationship:
If you want to cooperate with the signature generation generates a signer evidence r i,
Figure 0004738003

The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i -c i sk i
A signer proof generation unit that generates a response e i having the following relationship and transmits the response e i to the signature generation unit ;
A recording unit for recording the signer evidence r i,
A signer proof publishing unit that transmits the signer proof r i to the signature verification unit ;
The signature generation unit
Response e i for participation devices that did not cooperate with the signature generation, the challenge c i, dummy response e i is a commitment a i, dummy challenge c i, a dummy commitment a i
Figure 0004738003

A dummy generation unit that generates the relationship as follows:
Receiving the commitment a i from the participating device to cooperate with the signature, the public key pk i and the commitment a i and n-t-order polynomial depending on the calculation using the dummy commitment a i of participation apparatus to cooperate with the signature f is obtained, the challenge c i of the participating device cooperating with the signature is generated and transmitted to the corresponding participating device, the response e i is received from the participating device cooperating with the signature, the polynomial f and all the participating devices generates a signature σ comprising the response e i and the challenge c i, and a calculating unit that records,
The signature verification unit
The acquired from the signature generating unit said signature sigma, acquires the public key pk i of all the participating device, the information acquiring means for acquiring the signer evidence r i from one of the participating device,
And the order confirmation means for confirming that the degree of the polynomial f included in the signature σ is a n-t,
The public key pk i and the response e i included in the signature σ that the challenge c i included in the signature σ is generated by the calculation unit and the polynomial f included in the signature σ is determined by the calculation unit. Challenge / polynomial confirmation means to confirm using
The signer evidence r i is,
Figure 0004738003

A signing system comprising: signer evidence confirmation means for confirming that the participating device cooperates in signature generation by confirming that
請求項1記載の署名システムであって、
さらに、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し
前記ダミー鍵生成部は、
群Gの任意の元xを生成し、
署名生成に協力していない1つの参加装置を除く参加装置の公開鍵pk(i=1,…,n−1)を取得し
pk=x/pkpk…pkn−1
のように、署名生成に協力していない1つの参加装置の公開鍵pk計算し
前記署名検証部は、さらに
pkpk…pk=x
であることを確認する署名参加者数確認手段も
備える署名システム。
The signature system of claim 1,
Furthermore, it has a dummy key generation unit provided in any of the participating devices or an independent device ,
The dummy key generation unit
Generate an arbitrary element x of group G,
Obtain public keys pk i (i = 1,..., N−1) of participating devices excluding one participating device not cooperating in signature generation;
pk n = x / pk 1 pk 2 ... pk n−1
Calculate the public key pk n of one participating device that is not cooperating with signature generation as follows:
The signature verification unit further includes pk 1 pk 2 ... Pk n = x
A signature system that also includes means for confirming the number of signing participants.
請求項1記載の署名システムであって、
t’をt以上n以下の整数とし、
さらに、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し
前記ダミー鍵生成部は、
群Gの任意の元Aを生成し、
Figure 0004738003

のようにmij計算し
Figure 0004738003

のようにA(i=1,…,t')を計算し
Figure 0004738003

のように署名生成に協力していない(n−t’)台の参加装置の公開鍵pk(i=t'+1,…,n)を計算し
前記署名検証部は、さらに
Figure 0004738003

であることを確認する署名参加者数確認手段も
備える署名システム。
The signature system of claim 1,
Let t ′ be an integer between t and n,
Furthermore, it has a dummy key generation unit provided in any of the participating devices or an independent device ,
The dummy key generation unit
Generate an arbitrary element A 0 of group G;
Figure 0004738003

Calculate m ij as follows :
Figure 0004738003

A i (i = 1,..., T ′) is calculated as follows :
Figure 0004738003

Compute public keys pk i (i = t ′ + 1,..., N) of (nt ′) participating devices that do not cooperate in signature generation as
The signature verification unit further includes
Figure 0004738003

A signature system that also includes means for confirming the number of signing participants.
請求項2記載の署名システムであって、
各参加装置は、
前記鍵生成部を第2鍵生成部とし、さらに、
秘密鍵SKと公開鍵PKを生成する第1鍵生成部を備え、
前記ダミー鍵生成部が生成した前記元xは、
任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK,…,PKを含むビット列から生成したものであり、
前記署名生成部の前記計算部は、
前記秘密鍵SKの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部は、
前記署名Σを確認するΣ確認手段も
備える署名システム。
The signature system according to claim 2,
Each participating device
The key generation unit is a second key generation unit, and
A first key generation unit for generating a secret key SK i and a public key PK i ;
The element x generated by the dummy key generation unit is
Generated from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into an element of group G;
The calculation unit of the signature generation unit is:
A signature Σ for the message is also generated by a method corresponding to the method for generating the secret key SK i ,
The signature verification unit
A signature system comprising Σ confirmation means for confirming the signature Σ.
請求項3記載の署名システムであって、
各参加装置は、
前記鍵生成部を第2鍵生成部とし、さらに、
秘密鍵SKと公開鍵PKを生成する第1鍵生成部を備え、
前記ダミー鍵生成部が生成した前記元Aは、
任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK,…,PKを含むビット列から生成したものであり、
前記署名生成部の前記計算部は、
前記秘密鍵SKの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部は、
前記署名Σを確認するΣ確認手段も
備える署名システム。
A signature system according to claim 3,
Each participating device
The key generation unit is a second key generation unit, and
A first key generation unit for generating a secret key SK i and a public key PK i ;
The element A 0 generated by the dummy key generation unit is
Generated from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into an element of group G;
The calculation unit of the signature generation unit is:
A signature Σ for the message is also generated by a method corresponding to the method for generating the secret key SK i ,
The signature verification unit
A signature system comprising Σ confirmation means for confirming the signature Σ.
n台の参加装置、前記参加装置のいずれかもしくは独立した装置に具備された署名生成部、任意の装置に具備された署名検証部を有し、t台の参加装置が協力することでメッセージに対する署名を生成する署名システムであって、
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元、Eは加法により生成された離散対数問題が難しい巡回群、Pは群Eの生成元、<・,・>は2つの群Eの元を群Gの元に変換するペアリング写像とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
各参加装置は、
PK=SK
の関係を有する秘密鍵SKと公開鍵PKを生成する第1鍵生成部と、
任意長のビット列を群Eの元に変換するハッシュ関数Hを用いて、公開鍵PK,…,PKを含むビット列から群Eの元Qを生成し、
sk=SK
のように前記秘密鍵skを生成する第2鍵生成部と、
署名生成に協力する場合は、署名者証拠rを生成し、
Figure 0004738003

の関係を有するコミットメントaを生成して前記署名生成部に送信し、チャレンジcを前記署名生成部から取得し、
=r−csk
の関係を有するレスポンスeを生成して前記署名生成部に送信する署名者証拠生成部と、
前記署名者証拠rを記録する記録部と、
署名者証拠r前記署名検証部に送信する署名者証拠公開部と
を備え、
前記署名生成部は、
署名生成に協力しなかった参加装置用のレスポンスe、チャレンジc、コミットメントaであるダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa
Figure 0004738003

の関係を有するように生成するダミー生成部と、
署名に協力する参加装置から前記コミットメントa を受信し、前記公開鍵PK署名に協力する参加装置の前記コミットメントa と前記ダミーコミットメントa を用いた計算によってn−t次多項式を求め、署名に協力する参加装置の前記チャレンジc を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe を受信し、前記多項式fおよび全参加装置の前記チャレンジcと前記レスポンスeを含む署名σを生成し、記録する計算部と
を備え、
前記署名検証部は、
前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk を取得し、いずれかの前記参加装置から前記署名者証拠r を取得する情報取得手段と、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認手段と、
元Qが、ハッシュ関数Hを用いて、前記の公開鍵PK,…,PKを含むビット列から生成されたことを確認するQ確認手段と、
前記署名σに含まれるチャレンジc が前記計算部で生成され、と前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pk、前記署名σに含まれるレスポンスeを用いて確認するチャレンジ・多項式確認手段と、
前記署名者証拠rが、
Figure 0004738003

を満たすことを確認することで、当該参加装置が署名生成に協力したことを確認する署名者証拠確認手段と
を備える署名システム。
n number of participating devices, with respect to the signature generation unit which is provided in either or independent apparatus participating device has a signature verification unit that is provided in any device, a message by t stand participating device to cooperate A signature system for generating a signature,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G, E is a cyclic group in which the discrete logarithm problem generated by addition is difficult, P Is a generator of group E, <·, ·> is a pairing map that transforms two group E elements into group G elements,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
Each participating device
PK i = SK i P
A first key generation unit that generates a secret key SK i and a public key PK i having the relationship:
Generate an element Q m of the group E from the bit string including the public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into the elements of the group E,
sk i = SK i Q m
A second key generation unit for generating the secret key sk i as follows:
If you want to cooperate with the signature generation generates a signer evidence r i,
Figure 0004738003

The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i Q m -c i sk i
A signer proof generation unit that generates a response e i having the following relationship and transmits the response e i to the signature generation unit ;
A recording unit for recording the signer evidence r i,
A signer proof publishing unit that transmits the signer proof r i to the signature verification unit ;
The signature generation unit
Response e i for participation devices that did not cooperate with the signature generation, the challenge c i, dummy response e i is a commitment a i, dummy challenge c i, a dummy commitment a i
Figure 0004738003

A dummy generation unit that generates the relationship as follows:
Receiving the commitment a i from the participating device to cooperate with the signature, the public key PK i and the commitment a i and n-t-order polynomial depending on the calculation using the dummy commitment a i of participation apparatus to cooperate with the signature f is obtained, the challenge c i of the participating device cooperating with the signature is generated and transmitted to the corresponding participating device, the response e i is received from the participating device cooperating with the signature, the polynomial f and all the participating devices A calculation unit that generates and records a signature σ including the challenge c i and the response e i ,
The signature verification unit
The acquired from the signature generating unit said signature sigma, acquires the public key pk i of all the participating device, the information acquiring means for acquiring the signer evidence r i from one of the participating device,
And the order confirmation means for confirming that the degree of the polynomial f included in the signature σ is a n-t,
Original Q m, using the hash function H, public keys PK 1 above, ..., and Q m confirmation means for confirming that it has been generated from a bit string containing the PK n,
The challenge c i included in the signature σ is generated by the calculation unit, and the fact that the polynomial f included in the signature σ is determined by the calculation unit indicates that the public key pk i and the response e included in the signature σ Challenge / polynomial confirmation means to confirm using i ,
The signer evidence r i is,
Figure 0004738003

A signing system comprising: signer evidence confirmation means for confirming that the participating device cooperates in signature generation by confirming that
n台の参加装置、前記参加装置のいずれかもしくは独立した装置に具備された署名生成部、任意の装置に具備された署名検証部を有する署名システム内のt台の参加装置が協力することでメッセージに対する署名を生成する署名方法であって、
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
すべての参加装置が、
Figure 0004738003

の関係を有する秘密鍵skと公開鍵pkを生成する鍵生成ステップと、
署名生成に協力する各参加装置が、署名者証拠rを生成し、
Figure 0004738003

の関係を有するコミットメントaを生成して前記署名生成部に送信し、チャレンジcを前記署名生成部から取得し、
=r−csk
の関係を有するレスポンスeを生成して前記署名生成部に送信する署名者証拠生成ステップと、
署名生成に協力する各参加装置が、前記署名者証拠rを記録する記録ステップと、
前記署名生成部が、署名生成に協力しなかった参加装置用のレスポンスe、チャレンジc、コミットメントaであるダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa
Figure 0004738003

の関係を有するように生成するダミー生成ステップと、
前記署名生成部が、署名に協力する参加装置から前記コミットメントa を受信し、前記公開鍵pk署名に協力する参加装置の前記コミットメントa と前記ダミーコミットメントa を用いた計算によってn−t次多項式を求め、署名に協力する参加装置の前記チャレンジc を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe を受信し、前記多項式fおよび全参加装置の前記チャレンジcと前記レスポンスeを含む署名σを生成し、記録する計算ステップと、
いずれかの参加装置が、署名者証拠r を前記署名検証部に送信する署名者証拠公開ステップと、
前記署名検証部が、前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk を取得し、いずれかの前記参加装置から前記署名者証拠r を取得する情報取得ステップと、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認ステップと、
前記署名検証部が、前記署名σに含まれるチャレンジc が前記計算部で生成され、前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pk、前記署名σに含まれるレスポンスeを用いて確認するチャレンジ・多項式確認ステップと
記署名検証部が、前記署名者証拠rが、
Figure 0004738003

を満たすことを確認することで、署名者証拠rを公開した参加装置が署名生成に協力したことを確認する署名者証拠確認ステップと
を有する署名方法。
With the cooperation of t participating devices in a signature system having n participating devices, a signature generation unit provided in any of the participating devices or an independent device, and a signature verification unit provided in an arbitrary device. A signature method for generating a signature for a message ,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
All participating devices
Figure 0004738003

A key generation step of generating a secret key sk i and a public key pk i having the relationship:
Each participating device to cooperate with the signature generation is to generate a signer evidence r i,
Figure 0004738003

The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i -c i sk i
A signer evidence generation step of generating a response e i having the following relationship and transmitting the response e i to the signature generation unit ;
Each participating device to cooperate with the signature generation, and recording the signer evidence r i,
The signature generation unit obtains a response e i , a challenge c i , a dummy response e i that is a commitment a i , a dummy challenge c i , and a dummy commitment a i for the participating devices that did not cooperate in signature generation.
Figure 0004738003

A dummy generation step for generating the relationship as follows:
The signature generation unit receives the commitment a i from a participating device cooperating with the signature, and performs calculation using the public key pk i and the commitment a i and the dummy commitment a i of the participating device cooperating with the signature. Te seek n-t-degree polynomial f, and transmitted to the corresponding participant device generates a challenge c i participating device to cooperate with the signature, and receives the response e i from the participant device to cooperate with the signing, the polynomial a calculation step of generating and recording a signature σ including f and the challenge c i and the response e i of all participating devices;
Any of the participating device, and the signer evidence public step to send a signer evidence r i to the signature verification unit,
Information to the signature verification unit, obtains the signature σ from the signature generation unit, to obtain the public key pk i of all of the participating devices, to get the signer evidence r i from any of the participating devices An acquisition step;
And the order confirmation step of confirming that the degree of the polynomial f included in the signature σ is a n-t,
The signature verification unit determines that the challenge c i included in the signature σ is generated by the calculation unit, and that the polynomial f included in the signature σ is determined by the calculation unit, the public key pk i , the signature σ and Challenge polynomial confirmation step of confirming with the response e i that is included in,
Before Symbol signature verification unit, the previous Symbol signer evidence r i,
Figure 0004738003

By confirming that satisfy, signature method and a signer evidence confirming step participants published a signer evidence r i device to confirm that cooperated with the signature generation.
請求項7記載の署名方法であって、
前記署名システムは、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し
前記ダミー鍵生成部が、群Gの任意の元xを生成し、
署名生成に協力していない1つの参加装置を除く参加装置の公開鍵pk(i=1,…,n−1)を取得し
pk=x/pkpk…pkn−1
のように、署名生成に協力していない1つの参加装置の公開鍵pk計算するダミー鍵生成ステップと、
前記署名検証部が、
pkpk…pk=x
であることを確認する署名参加者数確認ステップも
有する署名方法。
The signature method according to claim 7, comprising:
The signature system also has the dummy key generating unit that is provided in either or independent apparatus of the participating device,
The dummy key generation unit generates an arbitrary element x of the group G;
Obtain public keys pk i (i = 1,..., N−1) of participating devices excluding one participating device not cooperating in signature generation;
pk n = x / pk 1 pk 2 ... pk n−1
A dummy key generation step for calculating the public key pk n of one participating device not cooperating with signature generation ,
The signature verification unit
pk 1 pk 2 ... pk n = x
The signing method also includes a step of confirming the number of signing participants to confirm that the number of signing participants.
請求項7記載の署名方法であって、
前記署名システムは、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し
t’をt以上n以下の整数とし、
前記ダミー鍵生成部が、群Gの任意の元Aを生成し、
Figure 0004738003

のようにmij計算し
Figure 0004738003

のようにA(i=1,…,t')を計算し
Figure 0004738003

のように署名生成に協力していない(n−t’)台の参加装置の公開鍵pk(i=t'+1,…,n)を計算するダミー鍵生成ステップと、
前記署名検証部が、
Figure 0004738003

であることを確認する署名参加者数確認ステップも
有する署名方法。
The signature method according to claim 7, comprising:
The signature system also has the dummy key generating unit that is provided in either or independent apparatus of the participating device,
Let t ′ be an integer between t and n,
The dummy key generation unit generates an arbitrary element A 0 of the group G;
Figure 0004738003

Calculate m ij as follows :
Figure 0004738003

A i (i = 1,..., T ′) is calculated as follows :
Figure 0004738003

A dummy key generation step of calculating public keys pk i (i = t ′ + 1,..., N) of (nt−t ′) participating devices that are not cooperating in signature generation,
The signature verification unit
Figure 0004738003

The signing method also includes a step of confirming the number of signing participants to confirm that the number of signing participants.
請求項8記載の署名方法であって、
前記鍵生成ステップを第2鍵生成ステップとし、
前記第2鍵生成ステップの前に、すべての参加装置が、秘密鍵SKと公開鍵PKを生成する第1鍵生成ステップを有し、
前記ダミー鍵生成ステップの中で生成された前記元xは、任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK,…,PKを含むビット列から生成されたものであり、
前記計算ステップは、前記秘密鍵SKの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部が、前記署名Σを確認するΣ確認ステップも
有する署名方法。
The signing method according to claim 8, comprising:
The key generation step is a second key generation step,
Before the second key generation step, all participating devices have a first key generation step of generating a secret key SK i and a public key PK i ,
The element x generated in the dummy key generation step is generated from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of an arbitrary length into a group G element. And
The calculating step also generates a signature Σ for the message by a method corresponding to the method for generating the secret key SK i ,
The signature method further comprising a Σ confirmation step in which the signature verification unit confirms the signature Σ.
請求項9記載の署名方法であって、
前記鍵生成ステップを第2鍵生成ステップとし、
前記第2鍵生成ステップの前に、すべての参加装置が、秘密鍵SKと公開鍵PKを生成する第1鍵生成ステップを有し、
前記ダミー鍵生成ステップの中で生成された前記元Aは、任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK,…,PKを含むビット列から生成されたものであり、
前記計算ステップは、前記秘密鍵SKの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部が、前記署名Σを確認するΣ確認ステップも
有する署名方法。
The signature method according to claim 9, comprising:
The key generation step is a second key generation step,
Before the second key generation step, all participating devices have a first key generation step of generating a secret key SK i and a public key PK i ,
The element A 0 generated in the dummy key generation step is generated from a bit string including the public keys PK 1 ,..., PK n using a hash function H that converts an arbitrary-length bit string into a group G element. It has been
The calculating step also generates a signature Σ for the message by a method corresponding to the method for generating the secret key SK i ,
The signature method further comprising a Σ confirmation step in which the signature verification unit confirms the signature Σ.
n台の参加装置、前記参加装置のいずれかもしくは独立した装置に具備された署名生成部、任意の装置に具備された署名検証部を有する署名システム内のt台の参加装置が協力することでメッセージに対する署名を生成する署名方法であって、
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元、Eは加法により生成された離散対数問題が難しい巡回群、Pは群Eの生成元、<・,・>は2つの群Eの元を群Gの元に変換するペアリング写像とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
すべての参加装置が、
PK=SK
の関係を有する秘密鍵SKと公開鍵PKを生成する第1鍵生成ステップと、
すべての参加装置が、任意長のビット列を群Eの元に変換するハッシュ関数Hを用いて、公開鍵PK,…,PKを含むビット列から群Eの元Qを生成し、
sk=SK
のように前記秘密鍵skを生成する第2鍵生成ステップと、
署名生成に協力する各参加装置が、署名者証拠rを生成し、
Figure 0004738003

の関係を有するコミットメントaを生成して前記署名生成部に送信し、チャレンジc前記署名生成部から取得し、
=r−csk
の関係を有するレスポンスeを生成して前記署名生成部に送信する署名者証拠生成ステップと、
署名生成に協力する各参加装置が、前記署名者証拠rを記録する記録ステップと、
前記署名生成部が、署名生成に協力しなかった参加装置用のレスポンスe、チャレンジc、コミットメントaであるダミーレスポンスe、ダミーチャレンジc、ダミーコミットメントa
Figure 0004738003

の関係を有するように生成するダミー生成ステップと、
前記署名生成部が、署名に協力する参加装置から前記コミットメントa を受信し、前記公開鍵PK署名に協力する参加装置の前記コミットメントa と前記ダミーコミットメントa を用いた計算によってn−t次多項式を求め、署名に協力する参加装置の前記チャレンジc を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe を受信し、前記多項式fおよび全参加装置の前記チャレンジcと前記レスポンスeを含む署名σを生成し、記録する計算ステップと、
いずれかの参加装置が、署名者証拠r を前記署名検証部に送信する署名者証拠公開ステップと、
前記署名検証部が、前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk を取得し、いずれかの前記参加装置から前記署名者証拠r を取得する情報取得ステップと、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認ステップと、
前記署名検証部が、元Qが、ハッシュ関数Hを用いて、前記の公開鍵PK,…,PKを含むビット列から生成されたことを確認するQ確認ステップと、
前記署名検証部が、前記署名σに含まれるチャレンジc が前記計算部で生成され、と前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pk、前記署名σに含まれるレスポンスeを用いて確認するチャレンジ・多項式確認ステップと
記署名検証部が、前記署名者証拠rが、
Figure 0004738003

を満たすことを確認することで、署名者証拠rを公開した参加装置が署名生成に協力したことを確認する署名者証拠確認ステップと
を有する署名方法。
With the cooperation of t participating devices in a signature system having n participating devices, a signature generation unit provided in any of the participating devices or an independent device, and a signature verification unit provided in an arbitrary device. A signature method for generating a signature for a message ,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G, E is a cyclic group in which the discrete logarithm problem generated by addition is difficult, P Is a generator of group E, <·, ·> is a pairing map that transforms two group E elements into group G elements,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
All participating devices
PK i = SK i P
A first key generation step of generating a secret key SK i and a public key PK i having the relationship:
All participating devices generate a group E element Q m from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into a group E element,
sk i = SK i Q m
A second key generation step of generating the secret key sk i as follows:
Each participating device to cooperate with the signature generation is to generate a signer evidence r i,
Figure 0004738003

The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i Q m -c i sk i
A signer evidence generation step of generating a response e i having the following relationship and transmitting the response e i to the signature generation unit ;
Each participating device to cooperate with the signature generation, and recording the signer evidence r i,
The signature generation unit obtains a response e i , a challenge c i , a dummy response e i that is a commitment a i , a dummy challenge c i , and a dummy commitment a i for the participating devices that did not cooperate in signature generation.
Figure 0004738003

A dummy generation step for generating the relationship as follows:
The signature generation unit receives the commitment a i from a participating device cooperating with the signature, and calculates n using the public key PK i and the commitment a i and the dummy commitment a i of the participating device cooperating with the signature. Obtaining a t-order polynomial f , generating the challenge c i of the participating device cooperating with the signature and transmitting it to the corresponding participating device, receiving the response e i from the participating device cooperating with the signature, and the polynomial f and A calculation step of generating and recording a signature σ including the challenge c i and the response e i of all participating devices;
Any of the participating device, and the signer evidence public step to send a signer evidence r i to the signature verification unit,
Information to the signature verification unit, obtains the signature σ from the signature generation unit, to obtain the public key pk i of all of the participating devices, to get the signer evidence r i from any of the participating devices An acquisition step;
And the order confirmation step of confirming that the degree of the polynomial f included in the signature σ is a n-t,
The signature verification unit, the original Q m, using the hash function H, public keys PK 1 above, ..., and Q m confirmation step of confirming that generated a bit string containing the PK n,
The signature verification unit determines that the challenge c i included in the signature σ is generated by the calculation unit, and that the polynomial f included in the signature σ is calculated by the calculation unit, the public key pk i , the signature and Challenge polynomial confirmation step of confirming with the response e i included in the sigma,
Before Symbol signature verification unit, the previous Symbol signer evidence r i,
Figure 0004738003

By confirming that satisfy, signature method and a signer evidence confirming step participants published a signer evidence r i device to confirm that cooperated with the signature generation.
JP2005015336A 2005-01-24 2005-01-24 Signature system, signing method Expired - Lifetime JP4738003B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005015336A JP4738003B2 (en) 2005-01-24 2005-01-24 Signature system, signing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005015336A JP4738003B2 (en) 2005-01-24 2005-01-24 Signature system, signing method

Publications (2)

Publication Number Publication Date
JP2006203754A JP2006203754A (en) 2006-08-03
JP4738003B2 true JP4738003B2 (en) 2011-08-03

Family

ID=36961332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005015336A Expired - Lifetime JP4738003B2 (en) 2005-01-24 2005-01-24 Signature system, signing method

Country Status (1)

Country Link
JP (1) JP4738003B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019210418A1 (en) * 2018-05-04 2019-11-07 Crypto4A Technologies Inc. Digital data comparison filter, system and method, and applications therefor

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5154830B2 (en) * 2006-04-27 2013-02-27 パナソニック株式会社 Content distribution system
WO2015118160A1 (en) * 2014-02-10 2015-08-13 Thomson Licensing Signing methods for delivering partial signatures, and/or threshold signatures, corresponding verification methods, and corresponding electronic devices
JP6216688B2 (en) * 2014-06-12 2017-10-18 日本電信電話株式会社 Partially disposable signature system and method, signature apparatus, verification apparatus, and program

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001142397A (en) * 1998-10-30 2001-05-25 Hitachi Ltd Digital signature method, secret information management method and system
JP3899808B2 (en) * 2000-12-07 2007-03-28 株式会社日立製作所 Digital signature generation method and digital signature verification method
JP2003218858A (en) * 2002-01-25 2003-07-31 Nippon Telegr & Teleph Corp <Ntt> Signature generation method, signature verification method, signature generation device, signature verification device, signature generation program, signature verification program, storage medium storing signature generation program, and storage medium storing signature verification program
JP4176537B2 (en) * 2003-04-09 2008-11-05 日本電信電話株式会社 Anonymous signature device, signature verification device, anonymous signature method, anonymous signature program, and signature verification program
JP3894919B2 (en) * 2003-12-16 2007-03-22 村田機械株式会社 Electronic signature method and program and apparatus
JP4322768B2 (en) * 2004-09-29 2009-09-02 株式会社東芝 Signature request device, signature system, signature request method, and signature request program
JP4679163B2 (en) * 2005-01-21 2011-04-27 株式会社東芝 Digital signature information generation apparatus, digital signature information generation method and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019210418A1 (en) * 2018-05-04 2019-11-07 Crypto4A Technologies Inc. Digital data comparison filter, system and method, and applications therefor
US11921867B2 (en) 2018-05-04 2024-03-05 Crypto4A Technologies Inc. Digital data comparison filter, system and method, and applications therefor

Also Published As

Publication number Publication date
JP2006203754A (en) 2006-08-03

Similar Documents

Publication Publication Date Title
JP4859933B2 (en) Ciphertext generation apparatus, cryptographic communication system, and group parameter generation apparatus
CN107508686B (en) Identity authentication method and system, computing device and storage medium
CN102201920B (en) Method for constructing certificateless public key cryptography
US9438589B2 (en) Binding a digital file to a person&#39;s identity using biometrics
KR101425552B1 (en) Group signature system and schemes with controllable linkability
US9166957B2 (en) Digital file authentication using biometrics
US10263773B2 (en) Method for updating a public key
JP5419056B2 (en) Encrypting Cartier Pairing
CN108989054B (en) A cryptographic system and digital signature method
KR20130027061A (en) Signcryption method and device and corresponding signcryption verification method and device
JP2006163164A5 (en)
WO2010047356A1 (en) Key sharing system
CN105450396A (en) Certificate-free combined secret key generation and application method
CN111130758A (en) Lightweight anonymous authentication method suitable for resource-constrained equipment
JP4250429B2 (en) Chained signature creation device and control method thereof
JP5327223B2 (en) Signature system
CN114070556A (en) Threshold ring signature method and device, electronic equipment and readable storage medium
CN104767611A (en) A Signcryption Method from Public Key Infrastructure Environment to Certificateless Environment
JP4738003B2 (en) Signature system, signing method
Rodríguez-Henríquez et al. Yet another improvement over the Mu–Varadharajan e-voting protocol
CN113824677B (en) Training method and device of federal learning model, electronic equipment and storage medium
JP5134555B2 (en) Key generation device, encryption device, decryption device, encryption system, key generation method, encryption method, decryption method, program, and recording medium
JP2012103655A (en) Digital signature system with quantum computer-resistant property
JP4533636B2 (en) Digital signature system, digital signature management apparatus, digital signature management method and program
WO2010013571A2 (en) Group signature system and method

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20061225

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110419

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110426

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4738003

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term