JP4738003B2 - Signature system, signing method - Google Patents
Signature system, signing method Download PDFInfo
- Publication number
- JP4738003B2 JP4738003B2 JP2005015336A JP2005015336A JP4738003B2 JP 4738003 B2 JP4738003 B2 JP 4738003B2 JP 2005015336 A JP2005015336 A JP 2005015336A JP 2005015336 A JP2005015336 A JP 2005015336A JP 4738003 B2 JP4738003 B2 JP 4738003B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- key
- unit
- participating
- generation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
本発明は、情報セキュリティ技術に関するものであり、閾値つき電子署名技術に関する。 The present invention relates to information security technology, and to a digital signature technology with a threshold.
閾値つき電子署名技術は、複数の参加者の一部が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名である。n人の参加者うち任意のt人以上が協力することで署名が生成されたことを、誰が署名生成に協力したのかが分からないように署名のみから確認できる電子署名の方式を、(t,n)閾値電子署名方式と呼ぶ。従来の方法として非特許文献1に示された方法がある。最初に本説明中で使用する記号について説明する。離散対数問題が難しいと考えられている巡回群をGとし、その生成元をg、群の位数をqとする(G=<g>,#G=q)。Zqは、qを法とする剰余類{0,1,2,…,q−1}である。∈Uは一様ランダムに元を取り出すことを、{0,1}*は0または1が任意長並んだビット列を、Kは有限体を意味する。また、H,I,JはそれぞれH:{0,1}*→G,I:K→Zq,J:{0,1}*→Kのように変換するハッシュ関数である。以下に非特許文献1に示された方法について説明する。
The digital signature technique with a threshold is an electronic signature that can be confirmed from only the signature so that it is not known who has cooperated in signature generation that the signature has been generated by the cooperation of some of a plurality of participants. An electronic signature method that can confirm from the signature alone that the signature has been generated by the cooperation of arbitrary t or more of the n participants without knowing who has cooperated in the signature generation (t, n) Called threshold electronic signature method. There is a method disclosed in
図1に、閾値つき電子署名システムの構成例と流れを示す。本システムへの参加者の総数はn人であり、n台の参加装置910−i(i=1,…,n)では、あらかじめ定められた巡回群Gの元g(g∈G)を用いて、各参加装置の秘密鍵skiと公開鍵pkiとが生成され、公開鍵pkiは公開される。署名を作成する場合は、n人中の任意のt人以上が参加装置910−i(i=1,…,t)でコミットメントaiを生成し、署名生成部920を備える装置に送信する。ここで、説明を簡略化するために、i=1,…,tを署名生成に使用した(協力した)参加装置を示す数、i=t+1,…,nを署名作成に使用していない(協力しなかった)参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。 FIG. 1 shows a configuration example and a flow of an electronic signature system with a threshold. The total number of participants in this system is n, and n participating devices 910-i (i = 1,..., N) use a predetermined element g (gεG) of a cyclic group G. Thus, the secret key sk i and the public key pk i of each participating device are generated, and the public key pk i is made public. When creating a signature, any t or more of the n people generate a commitment a i with the participating devices 910-i (i = 1,..., T), and transmit the commitment a i to a device including the signature generation unit 920. Here, to simplify the explanation, i = 1,..., T is a number indicating the participating devices that used (cooperated) for signature generation, and i = t + 1,. The number of participating devices that did not cooperate) may be any of the n participating devices.
署名生成部920は、独立した装置ででもかまわないし、いずれかの参加装置内に備えさせてもかまわない。署名生成部920は、i=t+1,…,nに対するダミーレスポンスei、ダミーチャレンジci、およびダミーコミットメントaiを生成した上で、n−t次多項式f(x)、i=1,…,tに対するチャレンジciとレスポンスeiとを生成し、署名σ(m)を作成する。この署名σ(m)はt台の参加装置910−i(i=1,…,t)から取得したコミットメントaiと、署名生成部920がダミーとして生成したコミットメントai(i=t+1,…,n)等から生成されており、t人が協力した署名生成になっているだけでなく、どのt人が協力したのかが分からない署名になっている。 The signature generation unit 920 may be an independent device, or may be provided in any participating device. The signature generation unit 920 generates a dummy response e i , a dummy challenge c i , and a dummy commitment a i for i = t + 1,..., N, and then an n−t degree polynomial f (x), i = 1,. , T, a challenge c i and a response e i are generated, and a signature σ (m) is generated. The signature σ (m) is a commitment a i acquired from t participating devices 910-i (i = 1,..., T) and a commitment a i (i = t + 1,...) Generated as a dummy by the signature generation unit 920. , N), etc., and not only the signature generation with which t people cooperated, but also the signature with which it is not known which t people cooperated.
署名検証部930は、署名検証を行いたい任意の装置内に備えてかまわない。署名検証部では、多項式f(x)の次数がn−tであること、チャレンジci(i=1,…,n)とf(0)の値が正しいことなどを検証する。
図2は、参加装置910−iの機能構成例を示す図である。参加装置910−iは、鍵生成部911−i、署名者証拠生成部912−i、記録部913−i、および通信部914−iから構成される。図3は鍵生成部911−iの処理フローを示す図であり、図4は署名者証拠生成部912−iの処理フローを示す図である。
The signature verification unit 930 may be provided in any apparatus that wishes to perform signature verification. The signature verification unit verifies that the degree of the polynomial f (x) is n−t and that the values of the challenges c i (i = 1,..., N) and f (0) are correct.
FIG. 2 is a diagram illustrating a functional configuration example of the participation apparatus 910-i. Participating device 910-i includes key generation unit 911-i, signer evidence generation unit 912-i, recording unit 913-i, and communication unit 914-i. FIG. 3 is a diagram illustrating a processing flow of the key generation unit 911-i, and FIG. 4 is a diagram illustrating a processing flow of the signer evidence generation unit 912-i.
鍵生成部911−iは、秘密鍵ski生成手段9111−iと公開鍵pki生成手段9112−iとで構成される。鍵生成部911-iでの具体的な鍵生成方法の例を次に示す。秘密鍵ski生成手段9111−iでは、qを法とする剰余類Zqから等確率でランダムに1つの元を選択して秘密鍵skiとし(ski∈UZq)(S9111)、秘密鍵skiを記録部913−iに記録する(S9112)。公開鍵pki生成手段9112−iでは、あらかじめ定められた巡回群Gの元gを用いて、
署名者証拠生成部912−iは、署名生成に協力する場合に動作する構成部であり、署名者証拠ri生成手段9121−i、コミットメントai生成手段9122−i、チャレンジci取得手段9123−i、およびレスポンスei生成手段9122−iで構成される。署名者証拠生成部912−iでの具体的な処理手順の例を次に示す。参加者が署名に協力する場合には、署名者証拠ri生成手段9121−iでは、qを法とする剰余類Zqから等確率でランダムに1つの元を選択して署名者証拠riとする(ri∈UZq)(S9121)。次にコミットメントai生成手段9122−iでは、元gを用いて、
図5に署名生成部920の機能構成例を示す。署名生成部920は、ダミー生成部921、計算部922、情報取得部923、記録部924、および通信部925から構成されている。また、図6は署名生成部920の処理フローを示す図である。
署名生成部920では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部923の公開鍵pki(i=1,…,n)取得手段9231により、参加装置910−i(i=1,…,n)の公開鍵pkiを取得する(S9231)。ダミー生成部921では、次のように、ダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントai(i=t+1,…,n)を生成する。ダミーレスポンスei(i=t+1,…,n)生成手段9211により、qを法とする剰余類Zqから等確率でランダムに1つの元を選択してダミーレスポンスei(i=t+1,…,n)とし(ei∈UZq)(S9211)、記録部924に記録する(S9212)。ダミーチャレンジci(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yiを選び、そのハッシュ関数をダミーチャレンジci(i=t+1,…,n)とし(yi∈UK,ci:=I(yi)∈Zq)(S9213)、記録部924に記録する(S9214)。また、ダミーコミットメントai(i=t+1,…,n)生成手段9213により、元gと公開鍵pkiを用いて、
The signature generation unit 920 generates a signature σ (m) by the following procedure. The public key pk i (i = 1, ... , n) of the information acquisition unit 923 via the
また、通信部925を介して情報取得部923のコミットメントai(i=1,…,t)取得手段9232により、参加装置910−i(i=1,…,t)のコミットメントaiを取得する(S9232)。
The commitment a i (i = 1, ... , t) in the information acquisition unit 923 via the
次に、計算部922では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段9221により、n−t次の多項式f(x)(f(x)=α0+α1x+α2x2+…+αn−txn−t,αj∈K)と定め、f(0)=J(t,n,pk1,…,pkn,a1,…,an,m)とf(i)=yi(i=t+1,…,n)の条件からαj(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S9221)。また、求めたn−t次多項式f(x)を記録部924に記録する(S9222)。チャレンジci(i=1,…,t)生成手段9222では、ci:=I(f(i))により、チャレンジci(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジciに対応する参加装置910−i(i=1,…,t)にチャレンジciを送信する(S9224)。各参加者装置910−i(i=1,…,t)では、送信されたチャレンジciを用いて、上記のようにレスポンスeiを生成し署名生成部920に送信する(S9124〜S9127)。そこで、レスポンスei(i=1,…,t)取得手段9223は、レスポンスei(i=1,…,t)を取得し(S9225)、記録部924に記録する(S9226)。署名σ(m)作成手段9223では、σ(m)=(t,n,f,c1,…,cn,e1,…,en)により、σ(m)を求め(S9227)、記録部924に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。
Next, the calculation unit 922 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 9221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α j ∈ K), f (0) = J (t, n, pk 1 ,..., pk n , a 1 ,..., a n , m) and f (i) = y i (i = t + 1,. , N) to obtain an nt degree polynomial f (x) by calculating α j (j = 0,..., Nt) (S9221). Further, the obtained nt degree polynomial f (x) is recorded in the recording unit 924 (S9222). Challenge c i (i = 1, ... , t) in the generator 9222, c i: = by I (f (i)), the challenge c i (i = 1, ... , t) and calculated (S9223), recording unit and records in 924, the challenge c i participating device corresponding to the 910-i (i = 1, ..., t) to send a challenge c i (S9224). Each participant device 910-i (i = 1,..., T) generates the response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 920 (S9124 to S9127). . Therefore, the response e i (i = 1,..., T)
図7に署名検証部930の機能構成例を示す。また、図8に署名検証部930での署名σ(m)を検証するフローを示す。情報取得手段933は、公開鍵pki(i=1,…,n)と署名σ(m)を取得し(S933)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、チャレンジci、多項式f(0)確認手段932で、
このように署名σ(m)の生成と検証を行うことで、署名検証部930(署名検証をする人)は、少なくともt台の参加装置910−i(t人の参加者)が協力して署名を作成したことが確認できる。また、署名検証部930は、n台の参加装置910−i中のどのt台(n人の参加者中のどのt人)が署名生成に協力したのかは分からない。
従来技術では、どの参加者が署名生成に協力したのかが分からないことを特徴としているが、参加者が署名生成に協力したことを証明すること(名乗り出ること)もできなかった。
また、署名生成に協力したことを証明することができるようにする場合には、何人の参加者が証明できるのかを署名から確認できるようにすることも必要である。さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することが考えられることから、以後、今までの秘密鍵と公開鍵が使用できなくなる。
The prior art is characterized by the fact that it is not known which participant has cooperated in signature generation, but it has not been possible to prove that the participant has cooperated in signature generation (named out).
In addition, when it is possible to prove that the signature generation has been cooperated, it is also necessary to be able to confirm from the signature how many participants can be proved. Furthermore, since it is conceivable that secret key information is also leaked when proving that the signature generation has been cooperated, the secret key and the public key so far cannot be used.
本発明では、あらかじめ参加装置の記録部で署名者証拠を記録しておき、参加者が署名生成に協力したことを証明したい場合に当該署名者証拠を公開し、署名検証装置で当該署名者証拠を確認する。
また、何人の参加者が証明できるのかを署名から確認できるようにするための手段は以下のとおりである。ダミー鍵生成装置の情報取得部で署名生成に協力していない参加装置に対する公開鍵を少なくとも1つ生成し、当該公開鍵および公開鍵生成時に使用した乱数と離散対数問題の難しい巡回群の元を公開する。署名生成装置でダミーの公開鍵も用いて電子署名を生成する。署名検証装置でダミーの公開鍵を含めて公開鍵を取得し、ダミーの公開鍵生成時に使用した上記乱数と離散対数問題の難しい巡回群の上記元も取得し、署名者参加者数を確認する。
In the present invention, the signer evidence is recorded in advance in the recording unit of the participating device, and when the participant wants to prove that he has cooperated in the signature generation, the signer evidence is disclosed, and the signer evidence is displayed in the signature verification device. Confirm.
Moreover, the means for making it possible to confirm from the signature how many participants can be proved is as follows. At least one public key for a participating device that does not cooperate in signature generation is generated by the information acquisition unit of the dummy key generation device, and the public key, the random number used when generating the public key, and the element of the cyclic group having a difficult discrete logarithm problem are generated. Publish. The signature generation apparatus generates an electronic signature using a dummy public key. Obtain the public key including the dummy public key with the signature verification device, obtain the random number used when generating the dummy public key, and the above-mentioned elements of the cyclic group where the discrete logarithm problem is difficult, and check the number of signer participants .
さらに、署名生成に協力したことを証明するときに秘密鍵の情報も流出することに対応する手段は以下のとおりである。参加装置では、公的機関に公開鍵を登録するような長期的に使用する秘密鍵と公開鍵の組(第1の秘密鍵と公開鍵)の他に、署名生成に用いる使い捨ての秘密鍵と公開鍵の組(第2の秘密鍵と公開鍵)を生成し、ダミー鍵生成装置で少なくとも1つの第2の公開鍵に対するダミー公開鍵を生成する。署名生成装置では、第1の署名と第2の署名とを生成する。署名検証装置では、参加者装置ごとの第1の公開鍵、第2の公開鍵を取得し、第1の署名および第2の署名の確認を行う。 Furthermore, the means for dealing with the leakage of secret key information when proving that the signature generation has been cooperated are as follows. In the participation apparatus, in addition to a private key and public key pair (first private key and public key) used for a long time such as registering a public key with a public institution, a disposable private key used for signature generation A set of public keys (second secret key and public key) is generated, and a dummy public key for at least one second public key is generated by the dummy key generation device. The signature generation device generates a first signature and a second signature. The signature verification apparatus acquires a first public key and a second public key for each participant apparatus, and confirms the first signature and the second signature.
または、参加装置で、署名生成に用いる使い捨ての秘密鍵(第2の秘密鍵)を、第1の秘密鍵から生成する。署名生成装置では、第2の秘密鍵を用いた署名だけを生成する。署名検証装置で、第1の公開鍵および第1の鍵生成と第2の鍵生成で使用した2つの問題の難しい巡回群の元を用いて署名を検証する。 Alternatively, the participating device generates a disposable private key (second private key) used for signature generation from the first private key. The signature generation device generates only a signature using the second secret key. The signature verification apparatus verifies the signature using the first public key and the elements of the two difficult cyclic groups used in the first key generation and the second key generation.
本発明では上記のような手段により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。 In the present invention, it is possible to prove by the above-described means when it is desired to prove that the participant cooperated with the signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.
以下にこの発明の実施形態を図面を参照して説明するが、同一の機能を有する部分は、各図中に同一参照番号を付けて重複説明を省略する。また、以下の説明でも背景技術の説明と同様に、説明を簡単にするために、i=1,…,tを署名生成に協力した参加装置を示す数、i=t+1,…,nを署名作成に協力しなかった参加装置を示す数とするが、t台の参加装置はn台の参加装置中のどれでも良い。 Embodiments of the present invention will be described below with reference to the drawings, but portions having the same functions are denoted by the same reference numerals in each of the drawings, and redundant description is omitted. Also, in the following description, as in the background art, for simplicity, i = 1,..., T is a number indicating the participating devices that cooperated in signature generation, and i = t + 1,. The number indicates the participating devices that did not cooperate in the creation, but the t participating devices may be any of the n participating devices.
[第1実施形態]
本発明では、tを1≦t≦nとし、(t,n)閾値署名方式で署名に協力した参加者i(i=1,…,t)が、署名検証後に署名に協力したことを証明できる。図9は本発明のシステム構成例と流れを示す図であり、従来技術のシステム構成例を示す図である図1との違いは、次の点である。各参加者装置110−i(i=1,…,t)が、署名作成に協力する過程で生成した署名者証拠riを記録しておき、署名生成に協力したこと(署名者の1人であったこと)を証明したい場合に、署名者証拠riを、署名検証部130を備える装置に送信することで、署名生成に協力したことを証明する。以下に、従来技術と異なる構成装置について詳細に説明する。
[First Embodiment]
In the present invention, it is proved that the participant i (i = 1,..., T) who cooperated with the signature in the (t, n) threshold signature scheme cooperated with the signature after the signature verification by setting t to 1 ≦ t ≦ n. it can. FIG. 9 is a diagram showing a system configuration example and a flow of the present invention. The difference from FIG. 1 which is a diagram showing a system configuration example of the prior art is as follows. Each participant devices 110-i (i = 1, ..., t) is, Record the signer evidence r i generated in the process to cooperate with the signature creation, it has cooperated in the signature generation (one of the signers If the user wants to prove that the signer evidence r i is transmitted to the apparatus including the signature verification unit 130, it is proved that the signature generation cooperation has been cooperated. Hereinafter, a configuration apparatus different from the conventional technique will be described in detail.
図10は、参加装置110−iの機能構成例を示す図である。参加装置110−iは、従来の参加装置910−iとは、署名者証拠生成部112−iと記録部113−iが異なり、署名者証拠公開部115−iが追加されている。図11は署名者証拠生成部112−iの処理フローを示す図であり、図12は署名者証拠公開部115−iの処理フローを示す図である。図11に示すように、署名者証拠生成部112−iでは、従来であれば、通常コミットメントaiを生成すれば不要となる署名者証拠riを、記録部913−iに記録する工程(S1121)を署名者証拠ri生成ステップ(S9121)の後に追加した処理を行う。また、参加者iが署名生成に協力したことを証明したい場合には、図12に示すように、署名者証拠公開部115−iは、記録部113−iに記録された署名者証拠riを署名検証部130に対して公開する(S115)。 FIG. 10 is a diagram illustrating a functional configuration example of the participation apparatus 110-i. The participation device 110-i differs from the conventional participation device 910-i in a signer evidence generation unit 112-i and a recording unit 113-i, and a signer evidence disclosure unit 115-i is added. FIG. 11 is a diagram showing a processing flow of the signer evidence generating unit 112-i, and FIG. 12 is a diagram showing a processing flow of the signer evidence disclosing unit 115-i. As shown in FIG. 11, the signer evidence generating unit 112-i records the signer evidence r i that is unnecessary when the normal commitment a i is generated in the conventional method in the recording unit 913-i ( performing additional processing after S1121) the signer evidence r i generating step (S9121). When it is desired to prove that the participant i cooperated in signature generation, as shown in FIG. 12, the signer evidence disclosing unit 115-i performs signer evidence r i recorded in the recording unit 113- i. Is disclosed to the signature verification unit 130 (S115).
図13に署名検証部130の機能構成例を示す。図7に示す従来の署名検証部930との違いは、署名者証拠ri確認手段133が追加されたことと、情報取得手段134が署名者証拠riも取得するよう変更されたことである。図14に署名に協力したことを証明したい参加者から署名者証拠riが公開された場合の、署名者証拠ri確認フローを示す。署名に協力したことを証明したい参加者iから署名者証拠riが公開された場合には、署名検証部130の情報取得手段134は署名者証拠riを取得する(S134)。次に、署名者証拠ri確認手段133で、
ただし、署名者証拠ri、レスポンスei、チャレンジci、および秘密鍵skiの間には、ei=ri−ciskiの関係があるため、署名者証拠riを公開することで、秘密鍵skiも分かってしまう。したがって、署名に協力したことを証明した後は、これまで使用してきた秘密鍵skiと公開鍵pkiの組は使用できなくなる。 However, the signer evidence r i, response e i, challenge c i, and between the secret key sk i is, because there is a relationship of e i = r i -c i sk i, to publish a signer evidence r i Thus, the secret key sk i is also known. Therefore, after proving that the signature has been cooperated, the pair of the secret key sk i and the public key pk i that have been used so far cannot be used.
[第2実施形態]
本発明は、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。(t,n−1,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上n-1人以下であることを署名のみから確認できる方式である。図15は、本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、ダミー鍵生成部240が追加されたことと、署名検証部230が変更されたことである。ダミー鍵生成部240では、参加装置110−nの鍵生成部911−nの代わりに署名生成に使用する公開鍵pknを生成する。この公開鍵pknを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上n-1人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。
[Second Embodiment]
The present invention relates to a (t, n−1, n) threshold signature scheme in which t is 1 ≦ t ≦ n−1. The (t, n-1, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and n-1 or fewer participants who can prove that they are signers. is there. FIG. 15 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that the dummy key generation unit 240 is added and the signature verification unit 230 is changed. . The dummy key generation unit 240 generates a public key pk n used for signature generation instead of the key generation unit 911-n of the participating device 110-n. By generating a signature using this public key pk n , a system is realized that can confirm from the signature only that there are t or more and n-1 or less participants who can prove that they were signers. To do. The present invention is described in detail below.
図16にダミー鍵生成部240の機能構成例を、図17にダミー鍵生成部240の処理フローを示す。ダミー鍵生成部240では、通信部243を介して情報取得部242の公開鍵pki(i=1,…,n−1)取得手段2421で、参加装置110−i(i=1,…,n−1)の公開鍵pkiを取得する(S2421)。計算部241のダミー公開鍵pkn生成手段2411で、巡回群Gに属する元x(x∈G)を、例えば{0,1}*の乱数Rのハッシュ値として生成する(x=H(R))。例えば、乱数Rのビット長を1024とする。ここで、秘密鍵skiはqを法とする剰余類Zqから等確率でランダムに1つの元(ski∈UZq)であり(S9111参照)、公開鍵pkiは巡回群Gの元(pki∈G)である(S9113参照)。公開鍵pknをpkn:=x/pk1pk2…pkn−1と定め(S2411)、公開鍵pkn、元x、および乱数Rを公開する(S2412)。このように公開鍵pknを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。
FIG. 16 shows a functional configuration example of the dummy key generation unit 240, and FIG. 17 shows a processing flow of the dummy key generation unit 240. In the dummy key generation unit 240, the public device pk i (i = 1,..., N−1)
なお、ダミー鍵生成部240を各参加装置110−i(i=1,…,n)に備えさせておき、ダミーの公開鍵を作ることとした1つの参加装置110−nだけは、ダミー鍵生成部240で公開鍵pknを生成することとしてもよい。また、単独のダミー鍵生成部240を具備するダミー鍵生成装置を1つ設置し、参加装置110−nの代わりに公開鍵pknを生成し、直接または参加装置110−n経由で公開鍵pknを公開してもよい。 It should be noted that a dummy key generation unit 240 is provided in each participating device 110-i (i = 1,..., N), and only one participating device 110-n that has created a dummy public key has a dummy key. The generation unit 240 may generate the public key pk n . Also, one dummy key generation device having a single dummy key generation unit 240 is installed, a public key pk n is generated instead of the participation device 110-n, and a public key pk is directly or via the participation device 110-n. n may be disclosed.
図18に署名検証部230の機能構成例を示す。第1実施形態との違いは、署名参加者数確認手段235が追加されたことと、情報取得手段234が元xとRも取得するよう変更されたことである。図19に署名検証部230が署名σ(m)を検証するフローを示す。第1実施形態の署名σ(m)の検証フローは従来技術を同じであるので、本フローの違いは図8に示した従来の署名σ(m)の検証フローとの違いを説明する。署名検証部230では、情報取得手段234で、公開鍵pki(i=1,…,n)、署名σ(m)、元x、および乱数Rを取得し(S234)、多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段235で、x=H(R)とpk1pk2…pkn=xを確認する(S235)。
FIG. 18 shows a functional configuration example of the signature verification unit 230. The difference from the first embodiment is that the signature participant number confirmation unit 235 is added, and the
このように署名σ(m)を生成、検証することで、どの公開鍵pkiかは分からないが、少なくとも1つは秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i, but at least one dummy public key without a private key exists, so cooperation in signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.
[第3実施形態]
本発明は、tとt’とを1≦t≦t'≦n−1とする(t,t’,n)閾値署名方式に関する。(t,t’,n)閾値署名方式とは、署名者であったことを証明することができる参加者は、t人以上t’人以下であることを署名のみから確認できる方式である。図20は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、ダミー鍵生成部340と署名検証部330が変更されたことである。ダミー鍵生成部340では、参加装置110−i(i=t’,…,n)の鍵生成部911−i(i=t’,…,n)の代わりに署名生成に使用する公開鍵pki(i=t’,…,n)を生成する。この公開鍵pkiを用いて署名を生成することで、署名者であったことを証明することができる参加者がt人以上t'人以下であることを署名のみから確認できる方式を実現する。以下に本発明を詳しく説明する。
[Third Embodiment]
The present invention relates to a (t, t ′, n) threshold signature scheme in which t and t ′ are 1 ≦ t ≦ t ′ ≦ n−1. The (t, t ′, n) threshold signature scheme is a scheme in which it is possible to confirm from the signature only that there are t or more and t ′ or fewer participants who can prove that they are signers. FIG. 20 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the dummy key generation unit 340 and the signature verification unit 330 are changed. In the dummy key generation unit 340, the public key pk used for signature generation instead of the key generation unit 911-i (i = t ′,..., N) of the participating device 110-i (i = t ′,..., N). i (i = t ′,..., n) is generated. By generating a signature using this public key pk i , a system is realized in which it is possible to confirm from the signature alone that there are t or more and t ′ or fewer participants who can prove that they were signers. . The present invention is described in detail below.
図21にダミー鍵生成部340の機能構成例を、図22にダミー鍵生成部340の処理フローを示す。ダミー鍵生成部340では、通信部243を介して情報取得部342の公開鍵pki(i=1,…,t')取得手段3421で、参加装置110−i(i=1,…,t')の公開鍵pkiを取得する(S3421)。計算部341のダミー公開鍵pki(i=t'+1,…,n)生成手段では、巡回群Gに属する元A0(A0∈G)を、例えば{0,1}*の乱数Rのハッシュ値として生成する(A0=H(R))。(mij)を、
図23に署名検証部330の機能構成例を示す。第2実施形態との違いは、署名参加者数確認手段335と、情報取得手段334が変更されたことである。図24に署名検証部330が署名σ(m)を検証するフローを示す。署名検証部330では、情報取得手段334で、公開鍵pki(i=1,…,n)、署名σ(m)、元Ai(i=1,…,t')、および乱数Rを取得し(S334)、多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行う。さらに、署名参加者数確認手段335で、A0=H(R)と
このように署名σ(m)を生成、検証することで、どの公開鍵pkiかは分からないが、少なくともn−t’は秘密鍵がないダミーの公開鍵があることになるため、署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 By generating and verifying the signature σ (m) in this way, it is not known which public key pk i is, but at least nt ′ has a dummy public key without a secret key. It can be confirmed from the signature only that the number of participants who can prove that they have cooperated with t is t or more and t 'or less.
[第4実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第2実施形態を改良したものであって、tを1≦t≦n−1とする(t,n−1,n)閾値署名方式に関する。図25は、本発明のシステム構成例と流れを示す図であり、第2実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部420、署名検証部430、およびダミー鍵生成部440のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠riを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第2実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠riの公開後も使用できる。以下に本発明を詳しく説明する。
[Fourth Embodiment]
The present invention is an improvement of the second embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n−1. The present invention relates to a (t, n-1, n) threshold signature scheme. FIG. 25 is a diagram showing a system configuration example and a flow of the present invention. The difference from the second embodiment is that the participating devices 410-i (i = 1,..., N), the signature generation unit 420, the signature verification unit 430, and each of the dummy key generation unit 440, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the second embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.
図26は、参加装置410−iの機能構成例を示す図である。参加装置410−iは、第1の秘密鍵と公開鍵を生成する鍵生成部411−i、第2の秘密鍵と公開鍵を生成する鍵生成部911−i、署名者証拠生成部112−i、記録部413−i、通信部914−i、および署名者証拠公開部115−iから構成される。図27は第1の秘密鍵と公開鍵を生成する鍵生成部411−iの処理フローを示す図である。鍵生成部411−iの秘密鍵SKi生成手段4111−iでは、任意の(t,n)閾値署名Σ(m)の方法で秘密鍵SKiを生成し(S4111)、記録部413−iに記録する(S4112)。この(t,n)閾値署名Σ(m)は従来からある技術を用いればよいし、鍵生成部911−iと同じ方法でも良い。公開鍵PKi生成手段4112−iでは、上記の秘密鍵SKi生成手段4111−iに対応した方法で公開鍵PKiを生成し(S4113)、記録部413−iに記録する(S4114)。鍵生成部411−iで生成された秘密鍵SKiと公開鍵PKiの組が、継続的に使用し、署名者証拠riを公開後も使用できる鍵となる。また、鍵生成部911−iで生成された秘密鍵skiと公開鍵pkiの組(鍵生成フローは図3と同じ)が使い捨ての鍵であり、署名者証拠riを公開後は使用できない鍵となる。なお、署名者証拠生成部112−iと署名者証拠ri公開部115−iは第1実施形態と同じである。 FIG. 26 is a diagram illustrating a functional configuration example of the participation apparatus 410-i. The participation apparatus 410-i includes a key generation unit 411-i that generates a first secret key and a public key, a key generation unit 911-i that generates a second secret key and a public key, and a signer evidence generation unit 112-. i, a recording unit 413-i, a communication unit 914-i, and a signer proof disclosure unit 115-i. FIG. 27 is a diagram illustrating a processing flow of the key generation unit 411-i that generates the first secret key and the public key. In secret key SK i generation means 4111-i of the key generation unit 411-i, and generates a secret key SK i at any (t, n) threshold signature sigma (m) method (S4111), the recording unit 413-i (S4112). For this (t, n) threshold signature Σ (m), a conventional technique may be used, or the same method as the key generation unit 911-i may be used. In public key PK i generation means 4112-i, and generates a public key PK i in a manner corresponding to the secret key SK i generation means 4111-i of the (S4113), and records in the recording unit 413-i (S4114). Set of key generation unit 411-i and the secret key SK i, which is generated by the public key PK i is used continuously, it is key that can be used after publication of the signer evidence r i. Also, a set of secret key sk i and the public key pk i generated by the key generation unit 911-i (key generation flow is the same as FIG. 3) is the key is disposable after publishing the signer evidence r i used It is a key that cannot be done. Incidentally, the signer evidence r i revealer 115-i signer proof generating unit 112-i is the same as the first embodiment.
図28にダミー鍵生成部440の構成例を、図29にダミー鍵生成部440の処理フローを示す。ダミー鍵生成部440では、通信部243を介して情報取得部442の公開鍵PKi(i=1,…,n−1)取得手段4421で、参加装置410−i(i=1,…,n−1)の公開鍵PKiを取得する(S4421)。また、情報取得部242の公開鍵pki(i=1,…,n−1)取得手段2421で、参加装置410−i(i=1,…,n−1)の公開鍵pkiを取得する(S2421と同じ)。計算部441のダミー公開鍵pkn生成手段4411で、R=(t,n−1,n,PK1,…,PKn,m)として、巡回群Gに属する元x(x∈G)を、Rのハッシュ値として生成する(x=H(R))。公開鍵pknをpkn:=x/pk1pk2…pkn−1と定め(S4411)、公開鍵pkn、元x、およびRを公開する(S2412と同じ)。このように公開鍵pknを定めると、xの離散対数は分からないので参加者nの秘密鍵は分からない。
FIG. 28 shows a configuration example of the dummy key generation unit 440, and FIG. 29 shows a processing flow of the dummy key generation unit 440. In the dummy key generation unit 440, the public key PK i (i = 1,..., N−1)
図30に署名生成部420の機能構成例を示す。署名生成部420は、ダミー生成部921、計算部422、情報取得部423、記録部424、および通信部925から構成されている。また、図31は署名生成部420の処理フローを示す図である。
署名生成部420では、以下の手順で署名σ(m)と署名Σ(m)が生成される。通信部925を介して情報取得部423の公開鍵PKi(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKiを取得する(S4231)。ステップS9231の公開鍵pki(i=1,…,n)の取得、ダミー鍵生成部の処理フローであるステップS9211〜ステップS9216、およびステップS9232のコミットメントai(i=1,…,t)の取得は、図6での説明と同じである。また、情報取得部423の元x取得手段4233では、元xを取得する(S4233)。計算部422の処理のステップS9221〜S9228の処理は、図6の説明と同じである。したがって、n−t次多項式f(x)、チャレンジci(i=1,…,t)、レスポンスei(i=1,…,t)、メッセージmに対する(t,n)閾値署名σ(m)は、第2実施形態と同じで、背景技術として説明した従来技術と同じである。次に、署名作成手段4225では、M=(t,n−1,n,PK1,…,PKn,m,x,pk1,…,pkn)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S4227)、記録部424への記憶と公開を行う(S4228)。なお、Σ(m)はステップS4411での秘密鍵SKiの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いればよい。
FIG. 30 shows a functional configuration example of the signature generation unit 420. The signature generation unit 420 includes a dummy generation unit 921, a calculation unit 422, an information acquisition unit 423, a recording unit 424, and a
The signature generation unit 420 generates a signature σ (m) and a signature Σ (m) by the following procedure. Public key PK i (i = 1, ... , n) of the information acquisition unit 423 via the
図32に署名検証部430の機能構成例を、図33に署名検証部430での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段434で、公開鍵PKi(i=1,…,n)、公開鍵pki(i=1,…,n)、署名σ(m)、元x、およびRを取得する(S434)。多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、ステップS4411での秘密鍵SKiの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431)。さらに、署名参加者数確認手段235で、x=H(R)とpk1pk2…pkn=xを確認する(S235と同じ)。 FIG. 32 shows a functional configuration example of the signature verification unit 430, and FIG. 33 shows a verification flow of the signature σ (m) and the signature Σ (m) in the signature verification unit 430. The information acquisition unit 434 acquires the public key PK i (i = 1,..., N), the public key pk i (i = 1,..., N), the signature σ (m), the element x, and R (S434). ). Order confirmation of the polynomial f (x) (the same as S931), by performing the challenge c i, the polynomial f (0) Check (same as S932), it is verified the sigma (m). The verification of Σ (m) is performed using an arbitrary (t, n) threshold signature Σ (m) method corresponding to the generation method of the secret key SK i in step S4411 (S431). Further, the signature participant number confirmation means 235 confirms x = H (R) and pk 1 pk 2 ... Pk n = x (same as S235).
このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠riの公開後も秘密鍵SKiと公開鍵PKiとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上n−1人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more and n-1 or less participants who can prove the above.
[第5実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第3実施形態を改良したものであって、tとt’を1≦t≦t’≦nとする(t,t’,n)閾値署名方式に関する。図34は、本発明のシステム構成例と流れを示す図であり、第3実施形態との違いは、参加装置410−i(i=1,…,n)、署名生成部520、署名検証部530、およびダミー鍵生成部540のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠riを公開すると使用できなくなる使い捨ての秘密鍵と公開鍵(第2の秘密鍵と公開鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第3実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠riの公開後も使用できる。以下に本発明を詳しく説明する。
[Fifth Embodiment]
The present invention is an improvement of the third embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, and t and t ′ are set to 1 ≦ t ≦ t ′. (T, t ′, n) Threshold signature scheme with n. FIG. 34 is a diagram showing a system configuration example and a flow of the present invention. The difference from the third embodiment is that a participating device 410-i (i = 1,..., N), a signature generation unit 520, a signature verification unit. 530, and each of the dummy key generation unit 540, a normal private key (public and first private key key) public key and the signer evidence to expose r i disposable private key unusable public key (the (2 secret key and public key). By using two types of keys, while the effect of the third embodiment maintains the public key such as that registered in the authority of the public (first public key) I am also was published signer evidence r i Can be used. The present invention is described in detail below.
参加装置410−i(i=1,…,n)は第4実施形態と同じため、説明は省略する。 図35にダミー鍵生成部540の構成例を、図36にダミー鍵生成部540の処理フローを示す。ダミー鍵生成部540では、通信部243を介して情報取得部542の公開鍵PKi(i=1,…,n)取得手段4421で、参加装置410−i(i=1,…,n)の公開鍵PKiを取得する(S4421と同じ)。また、情報取得部342の公開鍵pki(i=1,…,t’)取得手段3421で、参加装置410−i(i=1,…,t’)の公開鍵pkiを取得する(S2421と同じ)。計算部541のダミー公開鍵pki(i=t’+1,…,n)生成手段5411で、R=(t,t’,n,PK1,…,PKn,m)として、巡回群Gに属する元A0(A0∈G)を、Rのハッシュ値として生成する(A0=H(R))。その後はステップS3411と同じ方法であって、(mij)を、
図37に署名生成部520の機能構成例を示す。署名生成部520は、ダミー生成部921、計算部522、情報取得部523、記録部424、および通信部925から構成されている。また、図38は署名生成部520の処理フローを示す図である。この機能構成と処理フローは、ほとんど第4実施形態の署名生成部420と同じであり、異なる点は元xではなく元Ai(i=0,…,t')を用いる点だけである。異なる点だけを示すと以下のようになる。情報取得部523の元Ai(i=0,…,t')取得手段5233では、元xではなく元Ai(i=0,…,t')を取得する(S5233)。署名作成手段5225では、M=(t,t’,n,PK1,…,PKn,m,A0,…,At’,pk1,…,pkn)とし、(M,σ(M),Σ(M,σ(M))、(M,Σ(M),σ(M,Σ(M)))、もしくは(M,σ(M),Σ(M))を署名とし(S5227)、記録部424への記憶と公開を行う(S4228)。
FIG. 37 shows a functional configuration example of the signature generation unit 520. The signature generation unit 520 includes a dummy generation unit 921, a calculation unit 522, an information acquisition unit 523, a recording unit 424, and a
図39に署名検証部530の機能構成例を、図40に署名検証部530での署名σ(m)と署名Σ(m)の検証フローを示す。情報取得手段534で、公開鍵PKi(i=1,…,n)、公開鍵pki(i=1,…,n)、署名σ(m)、元Ai(i=0,…,t')、およびRを取得する(S534)。多項式f(x)の次数確認(S931と同じ)、チャレンジci、多項式f(0)確認(S932と同じ)を行うことで、σ(m)の検証ができる。また、Σ(m)の検証は、参加装置410−iでの秘密鍵SKiの生成方法に対応した任意の(t,n)閾値署名Σ(m)の方法を用いて行う(S431と同じ)。さらに、署名参加者数確認手段335で、A0=H(R)と
このように署名σ(m)と署名Σ(m)を生成、検証することで、署名者証拠riの公開後も秘密鍵SKiと公開鍵PKiとが使用でき、かつ署名生成に協力したことを証明できる参加者がt人以上t’人以下であることが署名のみから確認できる。 Thus signature σ (m) and the signature Σ generate a (m), by verification, also can use the public key PK i with the secret key SK i after publication of the signer evidence r i, and cooperate with the signature generation It can be confirmed from the signature only that there are t or more participants who can prove this.
[第6実施形態]
本発明は、参加者が署名生成に協力したことを証明した後も同じ公開鍵を使うことができるよう第1実施形態を改良したものであって、tを1≦t≦nとする(t,n)閾値署名方式に関する。図41は本発明のシステム構成例と流れを示す図であり、第1実施形態との違いは、参加装置610−i(i=1,…,n)、署名生成部620、および署名検証部630のそれぞれが、通常の秘密鍵と公開鍵(第1の秘密鍵と公開鍵)および署名者証拠riを公開すると使用できなくなる使い捨ての秘密鍵(第2の秘密鍵)の2種類の鍵に対応できるよう変更されたことである。2種類の鍵を使用することにより、第1実施形態の効果は維持しながら、公の機関に登録しているような公開鍵(第1の公開鍵)が署名者証拠riの公開後も使用できる。また、第4実施形態と第5実施形態との違いとしては、継続的に使用する第1の秘密鍵SKiと使い捨ての第2の秘密鍵skiとをペアリング写像を用いて関連つけた点にあり、本発明では、署名生成部620は1つの署名σ(m)のみを生成する。
[Sixth Embodiment]
The present invention is an improvement of the first embodiment so that the same public key can be used even after a participant proves that he has cooperated in signature generation, where t is 1 ≦ t ≦ n (t N) Threshold signature scheme. FIG. 41 is a diagram showing a system configuration example and a flow of the present invention. The difference from the first embodiment is that a participating device 610-i (i = 1,..., N), a signature generation unit 620, and a signature verification unit. each 630, two types of keys of a conventional private and public keys (first secret key and public key) and the signer evidence r i becomes unusable and publish disposable secret key (the second private key) It has been changed so that it can respond to. By using two types of keys, while the effect of the first embodiment is maintained, public key such as that registered in the authority of the public (first public key) is also was published signer evidence r i Can be used. Further, the difference between the fourth embodiment and the fifth embodiment is that the first secret key SK i to be used continuously and the second secret key sk i to be used are associated with each other using a pairing map. In the present invention, the signature generation unit 620 generates only one signature σ (m).
まず、発明の説明のために追加または変更される記号等について簡単に説明する。E={0,P,2P,…,(p−1)P}を加法によりPで生成される位数pの巡回群とする。またEは離散対数問題は難しい(つまりPとaPの値が分かっても、aを求めることは難しい)巡回群である。G={1,g,g2,…,g(q−1)}を乗法によりgで生成される位数q(ただしpはqの約数)の巡回群とする。またGは離散対数問題は難しい(つまりgとgaの値が分かっても、aを求めることは難しい)巡回群である。<・,・>:E×E→Gを双線形性(つまり<aP,Q>=<P,aQ>=<P,Q>aが任意のaに対して成立する)と非退化性(つまり<P,Q>=1が任意のQに対して成り立つならば、P=0)を満たすペアリング写像とする。H,I,JはそれぞれH:{0,1}*→E,I:K→Zp,J:{0,1}*→Kのように変換するハッシュ関数である。このような群とペアリング写像は、楕円曲線とその上のベイユペアリング(Weil Pairing)を用いて実現することができる(例えばD. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO ’01, pp. 213-229, 2001.)。以下に本発明を詳しく説明する。 First, symbols and the like that are added or changed for the description of the invention will be briefly described. Let E = {0, P, 2P,..., (P−1) P} be a cyclic group of order p generated by P by addition. E is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of P and aP are known). Let G = {1, g, g 2 ,..., G (q−1) } be a cyclic group of order q (p is a divisor of q ) generated by g by multiplication. G is a cyclic group in which the discrete logarithm problem is difficult (that is, it is difficult to obtain a even if the values of g and g a are known). <•, •>: E × E → G is bilinear (that is, <aP, Q> = <P, aQ> = <P, Q> a holds for any a) and non-degenerate ( That is, if <P, Q> = 1 holds for an arbitrary Q, the pairing map satisfies P = 0). H, I, and J are hash functions for conversion as H: {0, 1} * → E, I: K → Z p , and J: {0, 1} * → K, respectively. Such groups and pairing maps can be realized using elliptic curves and Weil Pairing on top of them (eg D. Boneh and M. Franklin, Identity-Based Encryption from the Weil Pairing, CRYPTO '01, pp. 213-229, 2001.). The present invention is described in detail below.
図42に参加装置610−iの機能構成例を示す。参加装置610−iは、第1の鍵生成部611−i、第2の鍵生成部612−i、署名者証拠生成部613−i、記録部614−i、署名者証拠公開部115−i、および通信部914−iから構成される。図43は第1の鍵生成部611−iの処理フローを示す図、図44は第2の鍵生成部612−iの処理フローを示す図、図45は署名者証拠生成部613−iの処理フローを示す図である。 FIG. 42 shows a functional configuration example of the participation apparatus 610-i. The participation apparatus 610-i includes a first key generation unit 611-i, a second key generation unit 612-i, a signer evidence generation unit 613-i, a recording unit 614-i, and a signer evidence disclosure unit 115-i. , And a communication unit 914-i. 43 is a diagram showing a processing flow of the first key generation unit 611-i, FIG. 44 is a diagram showing a processing flow of the second key generation unit 612-i, and FIG. 45 is a diagram of the signer evidence generation unit 613-i. It is a figure which shows a processing flow.
参加装置610−i(i=1,…,n)の鍵生成部611−iでは、以下の手順で第1の秘密鍵SKiと公開鍵PKiとを生成する。秘密鍵SKi生成手段6111−iでは、pを法とする剰余類Zpから等確率でランダムに1つの元siを選択して秘密鍵SKiとし(SKi=si∈UZp)(S6111)、秘密鍵SKiを記録部614−iに記録する(S6112)。公開鍵PKi生成手段6112−iでは、あらかじめ定められた巡回群Eの元Pを用いて、PKi=siPにより公開鍵PKi(PKi∈E)を生成し(S6113)、公開鍵PKiを記録部614−iに記録する(S6114)。ここで、巡回群Eは、離散対数問題が難しい群から選ばれているため、公開鍵PKiと元Pとが分かっても、秘密鍵SKi(=si)は分からない。このように生成された公開鍵PKiは、元Pの情報とともに通信部914−iを介して公開される。 The key generation unit 611-i of the participating device 610-i (i = 1,..., N) generates the first secret key SK i and the public key PK i by the following procedure. The secret key SK i generating means 6111-i selects one element s i at random from the remainder class Z p modulo p with equal probability as the secret key SK i (SK i = s i ∈ U Z p ) (S6111), the secret key SK i is recorded in the recording unit 614-i (S6112). The public key PK i generating means 6112- i generates a public key PK i (PK i εE) by PK i = s i P using a predetermined element P of the cyclic group E (S 6113). The key PK i is recorded in the recording unit 614-i (S6114). Here, since the cyclic group E is selected from a group in which the discrete logarithm problem is difficult, even if the public key PK i and the element P are known, the secret key SK i (= s i ) is not known. The public key PK i generated in this way is disclosed through the communication unit 914-i together with the information of the original P.
鍵生成部612−iでは、以下の手順で第2の秘密鍵skiを生成する。まず、公開鍵PKi(i=1,…,n)取得手段6123−iで参加装置610−i(i=1,…,n)の公開鍵PKiを取得する(S6121)。Qm生成手段6122−iでは、Qm=H(t,n,PK1,…,PKn,m)としてQm(Qm∈E)を生成し(S6122)、Qmを記録部614−iに記録するとともに公開する(S6123)。秘密鍵ski生成手段6121−iでは、ski=siQmとして使い捨ての秘密鍵ski(ski∈E)を生成し(S6124)、秘密鍵skiを記録部614−iに記録する(S6125)。なお、上記のQmを求める方法では全ての参加装置610−iの公開鍵PKi(i=1,…,n)を使用しており、どの参加装置で計算しても同じQmを得る。したがって、1つの参加装置または別の装置でQmを求め、各参加装置に送信しても良い。 The key generation unit 612-i generates the second secret key ski i by the following procedure. First, the public key PK i (i = 1, ... , n) participating device acquisition unit 6123-i 610-i (i = 1, ..., n) to obtain the public key PK i of (S6121). The Q m generation means 6122-i generates Q m (Q m ∈E) as Q m = H (t, n, PK 1 ,..., PK n , m) (S 6122), and Q m is recorded in the recording unit 614. -I is recorded and released (S6123). The secret key sk i generating means 6121- i generates a disposable secret key sk i (sk i εE) as sk i = s i Q m (S6124), and records the secret key sk i in the recording unit 614-i. (S6125). In the above method for obtaining Q m , public keys PK i (i = 1,..., N) of all participating devices 610-i are used, and the same Q m is obtained regardless of which participating device calculates. . Therefore, Q m may be obtained by one participating device or another device and transmitted to each participating device.
参加者が署名に協力する場合には、署名者証拠生成部613−iの署名者証拠ri生成手段6121−iでは、pを法とする剰余類Zpから等確率でランダムに1つの元を選択して署名者証拠ri(ri∈UZp)とし(S6121)、記録部614−iに記録する(S1121)。次にコミットメントai生成手段6132−iは、元Pを用いて、
図46に署名生成部620の機能構成例を示す。署名生成部620は、ダミー生成部621、計算部622、情報取得部623、記録部624、および通信部925から構成されている。また、図47は署名生成部620の処理フローを示す図である。
FIG. 46 shows a functional configuration example of the signature generation unit 620. The signature generation unit 620 includes a dummy generation unit 621, a calculation unit 622, an information acquisition unit 623, a recording unit 624, and a
署名生成部620では、以下の手順で署名σ(m)が生成される。通信部925を介して情報取得部623の公開鍵PKi(i=1,…,n)取得手段4231により、参加装置910−i(i=1,…,n)の公開鍵PKiを取得する(S4231)。また、Qm取得手段6231により、Qmを取得する(S6231)。ダミー生成部621では、次のように、ダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントai(i=t+1,…,n)を生成する。ダミーレスポンスei(i=t+1,…,n)生成手段6211により、pを法とする剰余類Zpから等確率でランダムに1つの元を選択してダミーレスポンスei(i=t+1,…,n)とし(ei∈UZp)(S6211)、記録部624に記録する(S9212)。ダミーチャレンジci(i=t+1,…,n)生成手段9212により、有限体Kから等確率でランダムに1つの座標値yiを選び、そのハッシュ関数をダミーチャレンジci(i=t+1,…,n)とし(yi∈UK,ci:=I(yi)∈Zp)(S6213)、記録部624に記録する(S9214)。また、ダミーコミットメントai(i=t+1,…,n)生成手段6213により、元P、Qm、および公開鍵PKiを用いて、
また、通信部925を介して情報取得部623のコミットメントai(i=1,…,t)取得手段9232により、参加装置610−i(i=1,…,t)のコミットメントaiを取得する(S9232と同じ)。
The commitment a i (i = 1, ... , t) in the information acquisition unit 623 via the
次に、計算部622では、以下のようにメッセージmの(t,n)閾値署名σ(m)を求める。n−t次多項式f(x)計算手段6221により、n−t次の多項式f(x)(f(x)=α0+α1x+α2x2+…+αn−txn−t,αj∈K)と定め、f(0)=J(t,n,PK1,…,PKn,Qm,a1,…,an,m)とf(i)=yi(i=t+1,…,n)の条件からαj(j=0,…,n−t)を計算することでn−t次多項式f(x)を求める(S6221)。また、求めたn−t次多項式f(x)を記録部624に記録する(S9222)。チャレンジci(i=1,…,t)生成手段9222では、ci:=I(f(i))により、チャレンジci(i=1,…,t)を求め(S9223)、記録部924に記録するとともに、チャレンジciに対応する参加装置910−i(i=1,…,t)にチャレンジciを送信する(S9224)。
Next, the calculation unit 622 obtains the (t, n) threshold signature σ (m) of the message m as follows. The n-th order polynomial f (x) calculating means 6221 causes the n-th order polynomial f (x) (f (x) = α 0 + α 1 x + α 2 x 2 +... + α n−t x n−t , α defined as j ∈K), f (0) = J (t, n,
各参加者装置610−i(i=1,…,t)では、送信されたチャレンジciを用いて、上記のようにレスポンスeiを生成し署名生成部620に送信する(図45のS9124〜S9127)。そこで、レスポンスei(i=1,…,t)取得手段9223は、レスポンスei(i=1,…,t)を取得し(S9225)、記録部624に記録する(S9226)。署名σ(m)作成手段6223では、σ(m)=(f,c1,…,cn,e1,…,en)により、σ(m)を求め(S6227)、記録部624に記録する(S9228)。このようにしてメッセージmに対する(t,n)閾値署名σ(m)を求める。
Each participant device 610-i (i = 1,..., T) generates a response e i as described above using the transmitted challenge c i and transmits it to the signature generation unit 620 (S9124 in FIG. 45). To S9127). Therefore, the response e i (i = 1,..., T)
図48に署名検証部630の機能構成例を、図49に署名検証部630での署名σ(m)を検証するフローを示す。なお、署名者証拠riを確認する処理フローは第1実施形態と同じである。署名σ(m)を検証する場合は、情報取得手段634で公開鍵PKi(i=1,…,n)、Qm、および署名σ(m)を取得し(S634)、多項式f(x)の次数確認手段931で多項式f(x)の次数がn−tであることを確認し(S931)、Qm確認手段632で、Qm=H(t,n,PK1,…,PKn,m)かつQm∈Eであることを確認し(S632)、チャレンジci、多項式f(0)確認手段633で、
このように署名σ(m)を生成、検証することによって以下のような効果がある。署名生成に協力したことを参加者iが証明するために署名者証拠riを公開した場合、第2の秘密鍵skiは、ski=siQm=ci -1(riQm−ei)により求めることができるが、Eは離散対数問題が難しい巡回群から選ばれているため、第1の秘密鍵SKi(SKi=si∈Zp)を求めることはできない。したがって、署名者証拠ri公開後も公開鍵PKiを使うことができる。また、チャレンジci、多項式f(0)確認手段633で、
[第7実施形態]
本実施形態は、第1実施形態から第6実施形態の総括である。図50に第1実施形態から第6実施形態をまとめた(t,n)閾値電子署名システムの処理フローを示す。図50では、すべての実施形態に共通する装置(部)と処理工程を実線の四角で示し、第2実施形態から第5実施形態に必要な装置(部)と処理工程を点線の四角で示し、第4実施形態から第6実施形態に必要な装置(部)と処理工程を一点鎖線の四角で示す。第6実施形態に必要な処理工程を二点鎖線の四角で示す。
[Seventh Embodiment]
This embodiment is a summary of the first to sixth embodiments. FIG. 50 shows a processing flow of the (t, n) threshold electronic signature system in which the first to sixth embodiments are summarized. In FIG. 50, apparatuses (parts) and processing steps common to all the embodiments are indicated by solid squares, and apparatuses (parts) and processing steps necessary for the second to fifth embodiments are indicated by dotted squares. The apparatuses (parts) and processing steps necessary for the fourth to sixth embodiments are indicated by a dashed-dotted line. The processing steps necessary for the sixth embodiment are indicated by a two-dot chain square.
第4実施形態から第6実施形態の参加装置(410−i、または610−i)(i=1,…,n)は、第1の秘密鍵SKiと公開鍵PKiを生成し、公開鍵PKiを公開する。第1の実施形態と第6実施形態の場合は、すべての参加装置(110−i、または610−i)(i=1,…,n)は、署名に使用する秘密鍵skiを生成し、第1の実施形態は公開鍵pkiも生成し、公開鍵pkiを公開する。第2実施形態と第4実施形態は参加装置(110−i、または410−i)(i=1,…,n−1)が、署名に使用する秘密鍵skiと公開鍵pkiを生成し、公開鍵pkiを公開する。第3実施形態と第5実施形態は参加装置(110−i、または410−i)(i=1,…,t’)が、署名に使用する秘密鍵skiと公開鍵pkiを生成し、公開鍵pkiを公開する。 Participating devices (410-i or 610-i) (i = 1,..., N) of the fourth to sixth embodiments generate a first secret key SK i and a public key PK i and make them public. Publish the key PK i . In the case of the first embodiment and the sixth embodiment, all the participating devices (110-i or 610-i) (i = 1,..., N) generate a secret key sk i used for signature. the first embodiment also generates a public key pk i, publishes the public key pk i. In the second and fourth embodiments, the participating device (110-i or 410-i) (i = 1,..., N-1) generates a private key sk i and a public key pk i used for signature. And public key pk i is made public. In the third and fifth embodiments, the participating device (110-i or 410-i) (i = 1,..., T ′) generates a secret key sk i and a public key pk i used for signature. , Public key pk i is made public.
第2実施形態から第5実施形態の場合は、ダミー鍵生成部(240、340,440,540)で、ダミーの公開鍵pki(i=nまたはt’,…,n)を生成し、公開する。
署名生成に協力する参加装置(110−i、410−i、または610−i)(i=1,…,t)は、署名者証拠riとコミットメントaiを生成し、コミットメントaiを署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名生成に協力していない参加装置(110−i、410−i、または610−i)(i=t+1,…,n)に対応するダミーのレスポンスei、チャレンジci、およびコミットメントaiを生成し、n−t次多項式fと署名生成に協力した参加装置(110−i、410−i、または610−i)(i=1,…,t)に対応するチャレンジciを生成し、チャレンジciを参加装置(110−i、410−i、または610−i)(i=1,…,t)に送信する。各参加装置(110−i、410−i、または610−i)(i=1,…,t)では、レスポンスeiを生成し署名生成部(920、420、520、または620)に送信する。署名生成部(920、420、520、または620)では、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を生成する。署名検証部(130、230、330,430,530、または630)で、署名σ(第4実施形態と第5実施形態の場合は、さらにΣ)を確認し、第2実施形態から第5実施形態の場合は、署名参加者数を確認する。さらに、署名に協力した参加者が署名に協力したことを証明したい場合には、参加装置(110−i、410−i、または610−i)(i=1,…,t)は署名者証拠riを公開し、署名検証部(130、230、330,430,530、または630)は署名者証拠riを確認する。なお、各処理の詳細は、上記の第1実施形態から第6実施形態に示したとおりである。
In the case of the second to fifth embodiments, the dummy key generation unit (240, 340, 440, 540) generates a dummy public key pk i (i = n or t ′,..., N), Publish.
Join apparatus to cooperate with the signature generation (110-i, 410-i or 610-i,) (i = 1, ..., t) generates a signer evidence r i and commitment a i, signed commitment a i It transmits to a production | generation part (920, 420, 520, or 620). The signature generation unit (920, 420, 520, or 620) corresponds to a participating device (110-i, 410-i, or 610-i) (i = t + 1,..., N) that does not cooperate with signature generation. Participating devices (110-i, 410-i, or 610-i) that have generated dummy responses e i , challenges c i , and commitment a i and cooperated in generating the nt-order polynomial f and signature (i = 1) , ..., generates a challenge c i corresponding to t), join apparatus Challenge c i (110-i, 410 -i or 610-i) (i = 1 ,, ..., are transmitted to t). Each participating device (110-i, 410-i, or 610-i) (i = 1,..., T) generates a response e i and transmits it to the signature generation unit (920, 420, 520, or 620). . The signature generation unit (920, 420, 520, or 620) generates a signature σ (in the case of the fourth and fifth embodiments, further Σ). The signature verification unit (130, 230, 330, 430, 530, or 630) confirms the signature σ (in the case of the fourth and fifth embodiments, further Σ), and the second to fifth embodiments. In the case of a form, the number of signature participants is confirmed. Further, if the participant who cooperated with the signature wants to prove that the participant cooperated with the signature, the participating device (110-i, 410-i, or 610-i) (i = 1,. publish the r i, the signature verification unit (130,230,330,430,530 or 630,) confirms the signer evidence r i. The details of each process are as shown in the first to sixth embodiments.
このようなシステム構成と処理方法により、参加者が署名生成に協力したことを証明したい場合に、証明することができる。また、何人の参加者が証明できるのかを署名から確認できる。さらに、使い捨て秘密鍵(第2の秘密鍵)を使用することにより、公的機関に登録しているような公開鍵と組となる秘密鍵の情報流出を避けることができる。 With such a system configuration and processing method, it is possible to prove that the participant wants to prove that he / she cooperated in signature generation. In addition, it can be confirmed from the signature how many participants can prove. Further, by using the disposable private key (second private key), it is possible to avoid the outflow of information on the private key paired with the public key registered in the public organization.
Claims (12)
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
各参加装置は、
の関係を有する秘密鍵skiと公開鍵pkiを生成する鍵生成部と、
署名生成に協力する場合は、署名者証拠riを生成し、
の関係を有するコミットメントaiを生成して前記署名生成部に送信し、チャレンジciを前記署名生成部から取得し、
ei=ri−ciski
の関係を有するレスポンスeiを生成して前記署名生成部に送信する署名者証拠生成部と、
前記署名者証拠riを記録する記録部と、
署名者証拠riを前記署名検証部に送信する署名者証拠公開部と
を備え、
前記署名生成部は、
署名生成に協力しなかった参加装置用のレスポンスei、チャレンジci、コミットメントaiであるダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントaiを
の関係を有するように生成するダミー生成部と、
署名に協力する参加装置から前記コミットメントa i を受信し、前記公開鍵pkiと署名に協力する参加装置の前記コミットメントai と前記ダミーコミットメントa i を用いた計算によってn−t次多項式fを求め、署名に協力する参加装置の前記チャレンジc i を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe i を受信し、前記多項式fおよび全参加装置の前記チャレンジciと前記レスポンスeiを含む署名σを生成し、記録する計算部と
を備え、
前記署名検証部は、
前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk i を取得し、いずれかの前記参加装置から前記署名者証拠r i を取得する情報取得手段と、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認手段と、
前記署名σに含まれるチャレンジci が前記計算部で生成され、前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pki、前記署名σに含まれるレスポンスeiを用いて確認するチャレンジ・多項式確認手段と、
前記署名者証拠riが、
を満たすことを確認することで、当該参加装置が署名生成に協力したことを確認する署名者証拠確認手段と
を備える署名システム。 n number of participating devices, with respect to the signature generation unit which is provided in either or independent apparatus participating device has a signature verification unit that is provided in any device, a message by t stand participating device to cooperate A signature system for generating a signature,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
Each participating device
A key generation unit that generates a secret key sk i and a public key pk i having the relationship:
If you want to cooperate with the signature generation generates a signer evidence r i,
The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i -c i sk i
A signer proof generation unit that generates a response e i having the following relationship and transmits the response e i to the signature generation unit ;
A recording unit for recording the signer evidence r i,
A signer proof publishing unit that transmits the signer proof r i to the signature verification unit ;
The signature generation unit
Response e i for participation devices that did not cooperate with the signature generation, the challenge c i, dummy response e i is a commitment a i, dummy challenge c i, a dummy commitment a i
A dummy generation unit that generates the relationship as follows:
Receiving the commitment a i from the participating device to cooperate with the signature, the public key pk i and the commitment a i and n-t-order polynomial depending on the calculation using the dummy commitment a i of participation apparatus to cooperate with the signature f is obtained, the challenge c i of the participating device cooperating with the signature is generated and transmitted to the corresponding participating device, the response e i is received from the participating device cooperating with the signature, the polynomial f and all the participating devices generates a signature σ comprising the response e i and the challenge c i, and a calculating unit that records,
The signature verification unit
The acquired from the signature generating unit said signature sigma, acquires the public key pk i of all the participating device, the information acquiring means for acquiring the signer evidence r i from one of the participating device,
And the order confirmation means for confirming that the degree of the polynomial f included in the signature σ is a n-t,
The public key pk i and the response e i included in the signature σ that the challenge c i included in the signature σ is generated by the calculation unit and the polynomial f included in the signature σ is determined by the calculation unit. Challenge / polynomial confirmation means to confirm using
The signer evidence r i is,
A signing system comprising: signer evidence confirmation means for confirming that the participating device cooperates in signature generation by confirming that
さらに、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し、
前記ダミー鍵生成部は、
群Gの任意の元xを生成し、
署名生成に協力していない1つの参加装置を除く参加装置の公開鍵pki(i=1,…,n−1)を取得し、
pkn=x/pk1pk2…pkn−1
のように、署名生成に協力していない1つの参加装置の公開鍵pknを計算し、
前記署名検証部は、さらに
pk1pk2…pkn=x
であることを確認する署名参加者数確認手段も
備える署名システム。 The signature system of claim 1,
Furthermore, it has a dummy key generation unit provided in any of the participating devices or an independent device ,
The dummy key generation unit
Generate an arbitrary element x of group G,
Obtain public keys pk i (i = 1,..., N−1) of participating devices excluding one participating device not cooperating in signature generation;
pk n = x / pk 1 pk 2 ... pk n−1
Calculate the public key pk n of one participating device that is not cooperating with signature generation as follows:
The signature verification unit further includes pk 1 pk 2 ... Pk n = x
A signature system that also includes means for confirming the number of signing participants.
t’をt以上n以下の整数とし、
さらに、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し、
前記ダミー鍵生成部は、
群Gの任意の元A0を生成し、
のようにmijを計算し、
のようにAi(i=1,…,t')を計算し、
のように署名生成に協力していない(n−t’)台の参加装置の公開鍵pki(i=t'+1,…,n)を計算し、
前記署名検証部は、さらに
であることを確認する署名参加者数確認手段も
備える署名システム。 The signature system of claim 1,
Let t ′ be an integer between t and n,
Furthermore, it has a dummy key generation unit provided in any of the participating devices or an independent device ,
The dummy key generation unit
Generate an arbitrary element A 0 of group G;
Calculate m ij as follows :
A i (i = 1,..., T ′) is calculated as follows :
Compute public keys pk i (i = t ′ + 1,..., N) of (nt ′) participating devices that do not cooperate in signature generation as
The signature verification unit further includes
A signature system that also includes means for confirming the number of signing participants.
各参加装置は、
前記鍵生成部を第2鍵生成部とし、さらに、
秘密鍵SKiと公開鍵PKiを生成する第1鍵生成部を備え、
前記ダミー鍵生成部が生成した前記元xは、
任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK1,…,PKnを含むビット列から生成したものであり、
前記署名生成部の前記計算部は、
前記秘密鍵SKiの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部は、
前記署名Σを確認するΣ確認手段も
備える署名システム。 The signature system according to claim 2,
Each participating device
The key generation unit is a second key generation unit, and
A first key generation unit for generating a secret key SK i and a public key PK i ;
The element x generated by the dummy key generation unit is
Generated from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into an element of group G;
The calculation unit of the signature generation unit is:
A signature Σ for the message is also generated by a method corresponding to the method for generating the secret key SK i ,
The signature verification unit
A signature system comprising Σ confirmation means for confirming the signature Σ.
各参加装置は、
前記鍵生成部を第2鍵生成部とし、さらに、
秘密鍵SKiと公開鍵PKiを生成する第1鍵生成部を備え、
前記ダミー鍵生成部が生成した前記元A0は、
任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK1,…,PKnを含むビット列から生成したものであり、
前記署名生成部の前記計算部は、
前記秘密鍵SKiの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部は、
前記署名Σを確認するΣ確認手段も
備える署名システム。 A signature system according to claim 3,
Each participating device
The key generation unit is a second key generation unit, and
A first key generation unit for generating a secret key SK i and a public key PK i ;
The element A 0 generated by the dummy key generation unit is
Generated from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into an element of group G;
The calculation unit of the signature generation unit is:
A signature Σ for the message is also generated by a method corresponding to the method for generating the secret key SK i ,
The signature verification unit
A signature system comprising Σ confirmation means for confirming the signature Σ.
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元、Eは加法により生成された離散対数問題が難しい巡回群、Pは群Eの生成元、<・,・>は2つの群Eの元を群Gの元に変換するペアリング写像とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
各参加装置は、
PKi=SKiP
の関係を有する秘密鍵SKiと公開鍵PKiを生成する第1鍵生成部と、
任意長のビット列を群Eの元に変換するハッシュ関数Hを用いて、公開鍵PK1,…,PKnを含むビット列から群Eの元Qmを生成し、
ski=SKiQm
のように前記秘密鍵skiを生成する第2鍵生成部と、
署名生成に協力する場合は、署名者証拠riを生成し、
の関係を有するコミットメントaiを生成して前記署名生成部に送信し、チャレンジciを前記署名生成部から取得し、
ei=riQm−ciski
の関係を有するレスポンスeiを生成して前記署名生成部に送信する署名者証拠生成部と、
前記署名者証拠riを記録する記録部と、
署名者証拠riを前記署名検証部に送信する署名者証拠公開部と
を備え、
前記署名生成部は、
署名生成に協力しなかった参加装置用のレスポンスei、チャレンジci、コミットメントaiであるダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントaiを
の関係を有するように生成するダミー生成部と、
署名に協力する参加装置から前記コミットメントa i を受信し、前記公開鍵PKiと署名に協力する参加装置の前記コミットメントai と前記ダミーコミットメントa i を用いた計算によってn−t次多項式fを求め、署名に協力する参加装置の前記チャレンジc i を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe i を受信し、前記多項式fおよび全参加装置の前記チャレンジciと前記レスポンスeiを含む署名σを生成し、記録する計算部と
を備え、
前記署名検証部は、
前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk i を取得し、いずれかの前記参加装置から前記署名者証拠r i を取得する情報取得手段と、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認手段と、
元Qmが、ハッシュ関数Hを用いて、前記の公開鍵PK1,…,PKnを含むビット列から生成されたことを確認するQm確認手段と、
前記署名σに含まれるチャレンジci が前記計算部で生成され、と前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pki、前記署名σに含まれるレスポンスeiを用いて確認するチャレンジ・多項式確認手段と、
前記署名者証拠riが、
を満たすことを確認することで、当該参加装置が署名生成に協力したことを確認する署名者証拠確認手段と
を備える署名システム。 n number of participating devices, with respect to the signature generation unit which is provided in either or independent apparatus participating device has a signature verification unit that is provided in any device, a message by t stand participating device to cooperate A signature system for generating a signature,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G, E is a cyclic group in which the discrete logarithm problem generated by addition is difficult, P Is a generator of group E, <·, ·> is a pairing map that transforms two group E elements into group G elements,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
Each participating device
PK i = SK i P
A first key generation unit that generates a secret key SK i and a public key PK i having the relationship:
Generate an element Q m of the group E from the bit string including the public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into the elements of the group E,
sk i = SK i Q m
A second key generation unit for generating the secret key sk i as follows:
If you want to cooperate with the signature generation generates a signer evidence r i,
The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i Q m -c i sk i
A signer proof generation unit that generates a response e i having the following relationship and transmits the response e i to the signature generation unit ;
A recording unit for recording the signer evidence r i,
A signer proof publishing unit that transmits the signer proof r i to the signature verification unit ;
The signature generation unit
Response e i for participation devices that did not cooperate with the signature generation, the challenge c i, dummy response e i is a commitment a i, dummy challenge c i, a dummy commitment a i
A dummy generation unit that generates the relationship as follows:
Receiving the commitment a i from the participating device to cooperate with the signature, the public key PK i and the commitment a i and n-t-order polynomial depending on the calculation using the dummy commitment a i of participation apparatus to cooperate with the signature f is obtained, the challenge c i of the participating device cooperating with the signature is generated and transmitted to the corresponding participating device, the response e i is received from the participating device cooperating with the signature, the polynomial f and all the participating devices A calculation unit that generates and records a signature σ including the challenge c i and the response e i ,
The signature verification unit
The acquired from the signature generating unit said signature sigma, acquires the public key pk i of all the participating device, the information acquiring means for acquiring the signer evidence r i from one of the participating device,
And the order confirmation means for confirming that the degree of the polynomial f included in the signature σ is a n-t,
Original Q m, using the hash function H, public keys PK 1 above, ..., and Q m confirmation means for confirming that it has been generated from a bit string containing the PK n,
The challenge c i included in the signature σ is generated by the calculation unit, and the fact that the polynomial f included in the signature σ is determined by the calculation unit indicates that the public key pk i and the response e included in the signature σ Challenge / polynomial confirmation means to confirm using i ,
The signer evidence r i is,
A signing system comprising: signer evidence confirmation means for confirming that the participating device cooperates in signature generation by confirming that
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
すべての参加装置が、
の関係を有する秘密鍵skiと公開鍵pkiを生成する鍵生成ステップと、
署名生成に協力する各参加装置が、署名者証拠riを生成し、
の関係を有するコミットメントaiを生成して前記署名生成部に送信し、チャレンジciを前記署名生成部から取得し、
ei=ri−ciski
の関係を有するレスポンスeiを生成して前記署名生成部に送信する署名者証拠生成ステップと、
署名生成に協力する各参加装置が、前記署名者証拠riを記録する記録ステップと、
前記署名生成部が、署名生成に協力しなかった参加装置用のレスポンスei、チャレンジci、コミットメントaiであるダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントaiを
の関係を有するように生成するダミー生成ステップと、
前記署名生成部が、署名に協力する参加装置から前記コミットメントa i を受信し、前記公開鍵pkiと署名に協力する参加装置の前記コミットメントai と前記ダミーコミットメントa i を用いた計算によってn−t次多項式fを求め、署名に協力する参加装置の前記チャレンジc i を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe i を受信し、前記多項式fおよび全参加装置の前記チャレンジciと前記レスポンスeiを含む署名σを生成し、記録する計算ステップと、
いずれかの参加装置が、署名者証拠r i を前記署名検証部に送信する署名者証拠公開ステップと、
前記署名検証部が、前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk i を取得し、いずれかの前記参加装置から前記署名者証拠r i を取得する情報取得ステップと、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認ステップと、
前記署名検証部が、前記署名σに含まれるチャレンジci が前記計算部で生成され、前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pki、前記署名σに含まれるレスポンスeiを用いて確認するチャレンジ・多項式確認ステップと、
前記署名検証部が、前記署名者証拠riが、
を満たすことを確認することで、署名者証拠riを公開した参加装置が署名生成に協力したことを確認する署名者証拠確認ステップと
を有する署名方法。 With the cooperation of t participating devices in a signature system having n participating devices, a signature generation unit provided in any of the participating devices or an independent device, and a signature verification unit provided in an arbitrary device. A signature method for generating a signature for a message ,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
All participating devices
A key generation step of generating a secret key sk i and a public key pk i having the relationship:
Each participating device to cooperate with the signature generation is to generate a signer evidence r i,
The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i -c i sk i
A signer evidence generation step of generating a response e i having the following relationship and transmitting the response e i to the signature generation unit ;
Each participating device to cooperate with the signature generation, and recording the signer evidence r i,
The signature generation unit obtains a response e i , a challenge c i , a dummy response e i that is a commitment a i , a dummy challenge c i , and a dummy commitment a i for the participating devices that did not cooperate in signature generation.
A dummy generation step for generating the relationship as follows:
The signature generation unit receives the commitment a i from a participating device cooperating with the signature, and performs calculation using the public key pk i and the commitment a i and the dummy commitment a i of the participating device cooperating with the signature. Te seek n-t-degree polynomial f, and transmitted to the corresponding participant device generates a challenge c i participating device to cooperate with the signature, and receives the response e i from the participant device to cooperate with the signing, the polynomial a calculation step of generating and recording a signature σ including f and the challenge c i and the response e i of all participating devices;
Any of the participating device, and the signer evidence public step to send a signer evidence r i to the signature verification unit,
Information to the signature verification unit, obtains the signature σ from the signature generation unit, to obtain the public key pk i of all of the participating devices, to get the signer evidence r i from any of the participating devices An acquisition step;
And the order confirmation step of confirming that the degree of the polynomial f included in the signature σ is a n-t,
The signature verification unit determines that the challenge c i included in the signature σ is generated by the calculation unit, and that the polynomial f included in the signature σ is determined by the calculation unit, the public key pk i , the signature σ and Challenge polynomial confirmation step of confirming with the response e i that is included in,
Before Symbol signature verification unit, the previous Symbol signer evidence r i,
By confirming that satisfy, signature method and a signer evidence confirming step participants published a signer evidence r i device to confirm that cooperated with the signature generation.
前記署名システムは、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し、
前記ダミー鍵生成部が、群Gの任意の元xを生成し、
署名生成に協力していない1つの参加装置を除く参加装置の公開鍵pki(i=1,…,n−1)を取得し、
pkn=x/pk1pk2…pkn−1
のように、署名生成に協力していない1つの参加装置の公開鍵pknを計算するダミー鍵生成ステップと、
前記署名検証部が、
pk1pk2…pkn=x
であることを確認する署名参加者数確認ステップも
有する署名方法。 The signature method according to claim 7, comprising:
The signature system also has the dummy key generating unit that is provided in either or independent apparatus of the participating device,
The dummy key generation unit generates an arbitrary element x of the group G;
Obtain public keys pk i (i = 1,..., N−1) of participating devices excluding one participating device not cooperating in signature generation;
pk n = x / pk 1 pk 2 ... pk n−1
A dummy key generation step for calculating the public key pk n of one participating device not cooperating with signature generation ,
The signature verification unit
pk 1 pk 2 ... pk n = x
The signing method also includes a step of confirming the number of signing participants to confirm that the number of signing participants.
前記署名システムは、前記参加装置のいずれかもしくは独立した装置に具備されたダミー鍵生成部も有し、
t’をt以上n以下の整数とし、
前記ダミー鍵生成部が、群Gの任意の元A0を生成し、
のようにmijを計算し、
のようにAi(i=1,…,t')を計算し、
のように署名生成に協力していない(n−t’)台の参加装置の公開鍵pki(i=t'+1,…,n)を計算するダミー鍵生成ステップと、
前記署名検証部が、
であることを確認する署名参加者数確認ステップも
有する署名方法。 The signature method according to claim 7, comprising:
The signature system also has the dummy key generating unit that is provided in either or independent apparatus of the participating device,
Let t ′ be an integer between t and n,
The dummy key generation unit generates an arbitrary element A 0 of the group G;
Calculate m ij as follows :
A i (i = 1,..., T ′) is calculated as follows :
A dummy key generation step of calculating public keys pk i (i = t ′ + 1,..., N) of (nt−t ′) participating devices that are not cooperating in signature generation,
The signature verification unit
The signing method also includes a step of confirming the number of signing participants to confirm that the number of signing participants.
前記鍵生成ステップを第2鍵生成ステップとし、
前記第2鍵生成ステップの前に、すべての参加装置が、秘密鍵SKiと公開鍵PKiを生成する第1鍵生成ステップを有し、
前記ダミー鍵生成ステップの中で生成された前記元xは、任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK1,…,PKnを含むビット列から生成されたものであり、
前記計算ステップは、前記秘密鍵SKiの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部が、前記署名Σを確認するΣ確認ステップも
有する署名方法。 The signing method according to claim 8, comprising:
The key generation step is a second key generation step,
Before the second key generation step, all participating devices have a first key generation step of generating a secret key SK i and a public key PK i ,
The element x generated in the dummy key generation step is generated from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of an arbitrary length into a group G element. And
The calculating step also generates a signature Σ for the message by a method corresponding to the method for generating the secret key SK i ,
The signature method further comprising a Σ confirmation step in which the signature verification unit confirms the signature Σ.
前記鍵生成ステップを第2鍵生成ステップとし、
前記第2鍵生成ステップの前に、すべての参加装置が、秘密鍵SKiと公開鍵PKiを生成する第1鍵生成ステップを有し、
前記ダミー鍵生成ステップの中で生成された前記元A0は、任意長のビット列を群Gの元に変換するハッシュ関数Hを用いて、公開鍵PK1,…,PKnを含むビット列から生成されたものであり、
前記計算ステップは、前記秘密鍵SKiの生成方法に対応した方法で前記メッセージに対する署名Σも生成し、
前記署名検証部が、前記署名Σを確認するΣ確認ステップも
有する署名方法。 The signature method according to claim 9, comprising:
The key generation step is a second key generation step,
Before the second key generation step, all participating devices have a first key generation step of generating a secret key SK i and a public key PK i ,
The element A 0 generated in the dummy key generation step is generated from a bit string including the public keys PK 1 ,..., PK n using a hash function H that converts an arbitrary-length bit string into a group G element. It has been
The calculating step also generates a signature Σ for the message by a method corresponding to the method for generating the secret key SK i ,
The signature method further comprising a Σ confirmation step in which the signature verification unit confirms the signature Σ.
nは2以上の整数、tはn−1以下の整数、Gは離散対数問題が難しい巡回群、gは群Gの生成元、Eは加法により生成された離散対数問題が難しい巡回群、Pは群Eの生成元、<・,・>は2つの群Eの元を群Gの元に変換するペアリング写像とし、
iは参加装置の番号を識別するためのインデックスであって、i=1,…,tの参加装置が署名生成に協力し、i=t+1,…,nの参加装置が署名生成に協力しなかったとし、
すべての参加装置が、
PKi=SKiP
の関係を有する秘密鍵SKiと公開鍵PKiを生成する第1鍵生成ステップと、
すべての参加装置が、任意長のビット列を群Eの元に変換するハッシュ関数Hを用いて、公開鍵PK1,…,PKnを含むビット列から群Eの元Qmを生成し、
ski=SKiQm
のように前記秘密鍵skiを生成する第2鍵生成ステップと、
署名生成に協力する各参加装置が、署名者証拠riを生成し、
の関係を有するコミットメントaiを生成して前記署名生成部に送信し、チャレンジciを前記署名生成部から取得し、
ei=riQm−ciski
の関係を有するレスポンスeiを生成して前記署名生成部に送信する署名者証拠生成ステップと、
署名生成に協力する各参加装置が、前記署名者証拠riを記録する記録ステップと、
前記署名生成部が、署名生成に協力しなかった参加装置用のレスポンスei、チャレンジci、コミットメントaiであるダミーレスポンスei、ダミーチャレンジci、ダミーコミットメントaiを
の関係を有するように生成するダミー生成ステップと、
前記署名生成部が、署名に協力する参加装置から前記コミットメントa i を受信し、前記公開鍵PKiと署名に協力する参加装置の前記コミットメントai と前記ダミーコミットメントa i を用いた計算によってn−t次多項式fを求め、署名に協力する参加装置の前記チャレンジc i を生成して対応する参加装置に送信し、署名に協力する参加装置から前記レスポンスe i を受信し、前記多項式fおよび全参加装置の前記チャレンジciと前記レスポンスeiを含む署名σを生成し、記録する計算ステップと、
いずれかの参加装置が、署名者証拠r i を前記署名検証部に送信する署名者証拠公開ステップと、
前記署名検証部が、前記署名生成部から前記署名σを取得し、すべての前記参加装置の前記公開鍵pk i を取得し、いずれかの前記参加装置から前記署名者証拠r i を取得する情報取得ステップと、
前記署名σに含まれる多項式fの次数がn−tであることを確認する次数確認ステップと、
前記署名検証部が、元Qmが、ハッシュ関数Hを用いて、前記の公開鍵PK1,…,PKnを含むビット列から生成されたことを確認するQm確認ステップと、
前記署名検証部が、前記署名σに含まれるチャレンジci が前記計算部で生成され、と前記署名σに含まれる多項式fが前記計算部で求められたことを前記公開鍵pki、前記署名σに含まれるレスポンスeiを用いて確認するチャレンジ・多項式確認ステップと、
前記署名検証部が、前記署名者証拠riが、
を満たすことを確認することで、署名者証拠riを公開した参加装置が署名生成に協力したことを確認する署名者証拠確認ステップと
を有する署名方法。 With the cooperation of t participating devices in a signature system having n participating devices, a signature generation unit provided in any of the participating devices or an independent device, and a signature verification unit provided in an arbitrary device. A signature method for generating a signature for a message ,
n is an integer of 2 or more, t is an integer of n-1 or less, G is a cyclic group in which the discrete logarithm problem is difficult, g is a generator of the group G, E is a cyclic group in which the discrete logarithm problem generated by addition is difficult, P Is a generator of group E, <·, ·> is a pairing map that transforms two group E elements into group G elements,
i is an index for identifying the numbers of participating devices, i = 1,..., t participating devices cooperate in signature generation, and i = t + 1,... n participating devices do not cooperate in signature generation. And
All participating devices
PK i = SK i P
A first key generation step of generating a secret key SK i and a public key PK i having the relationship:
All participating devices generate a group E element Q m from a bit string including public keys PK 1 ,..., PK n using a hash function H that converts a bit string of arbitrary length into a group E element,
sk i = SK i Q m
A second key generation step of generating the secret key sk i as follows:
Each participating device to cooperate with the signature generation is to generate a signer evidence r i,
The transmitted to the signature generation unit obtains the challenge c i from the signature generation unit generates a commitment a i having a relationship,
e i = r i Q m -c i sk i
A signer evidence generation step of generating a response e i having the following relationship and transmitting the response e i to the signature generation unit ;
Each participating device to cooperate with the signature generation, and recording the signer evidence r i,
The signature generation unit obtains a response e i , a challenge c i , a dummy response e i that is a commitment a i , a dummy challenge c i , and a dummy commitment a i for the participating devices that did not cooperate in signature generation.
A dummy generation step for generating the relationship as follows:
The signature generation unit receives the commitment a i from a participating device cooperating with the signature, and calculates n using the public key PK i and the commitment a i and the dummy commitment a i of the participating device cooperating with the signature. Obtaining a t-order polynomial f , generating the challenge c i of the participating device cooperating with the signature and transmitting it to the corresponding participating device, receiving the response e i from the participating device cooperating with the signature, and the polynomial f and A calculation step of generating and recording a signature σ including the challenge c i and the response e i of all participating devices;
Any of the participating device, and the signer evidence public step to send a signer evidence r i to the signature verification unit,
Information to the signature verification unit, obtains the signature σ from the signature generation unit, to obtain the public key pk i of all of the participating devices, to get the signer evidence r i from any of the participating devices An acquisition step;
And the order confirmation step of confirming that the degree of the polynomial f included in the signature σ is a n-t,
The signature verification unit, the original Q m, using the hash function H, public keys PK 1 above, ..., and Q m confirmation step of confirming that generated a bit string containing the PK n,
The signature verification unit determines that the challenge c i included in the signature σ is generated by the calculation unit, and that the polynomial f included in the signature σ is calculated by the calculation unit, the public key pk i , the signature and Challenge polynomial confirmation step of confirming with the response e i included in the sigma,
Before Symbol signature verification unit, the previous Symbol signer evidence r i,
By confirming that satisfy, signature method and a signer evidence confirming step participants published a signer evidence r i device to confirm that cooperated with the signature generation.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005015336A JP4738003B2 (en) | 2005-01-24 | 2005-01-24 | Signature system, signing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005015336A JP4738003B2 (en) | 2005-01-24 | 2005-01-24 | Signature system, signing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006203754A JP2006203754A (en) | 2006-08-03 |
| JP4738003B2 true JP4738003B2 (en) | 2011-08-03 |
Family
ID=36961332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005015336A Expired - Lifetime JP4738003B2 (en) | 2005-01-24 | 2005-01-24 | Signature system, signing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4738003B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019210418A1 (en) * | 2018-05-04 | 2019-11-07 | Crypto4A Technologies Inc. | Digital data comparison filter, system and method, and applications therefor |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5154830B2 (en) * | 2006-04-27 | 2013-02-27 | パナソニック株式会社 | Content distribution system |
| WO2015118160A1 (en) * | 2014-02-10 | 2015-08-13 | Thomson Licensing | Signing methods for delivering partial signatures, and/or threshold signatures, corresponding verification methods, and corresponding electronic devices |
| JP6216688B2 (en) * | 2014-06-12 | 2017-10-18 | 日本電信電話株式会社 | Partially disposable signature system and method, signature apparatus, verification apparatus, and program |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001142397A (en) * | 1998-10-30 | 2001-05-25 | Hitachi Ltd | Digital signature method, secret information management method and system |
| JP3899808B2 (en) * | 2000-12-07 | 2007-03-28 | 株式会社日立製作所 | Digital signature generation method and digital signature verification method |
| JP2003218858A (en) * | 2002-01-25 | 2003-07-31 | Nippon Telegr & Teleph Corp <Ntt> | Signature generation method, signature verification method, signature generation device, signature verification device, signature generation program, signature verification program, storage medium storing signature generation program, and storage medium storing signature verification program |
| JP4176537B2 (en) * | 2003-04-09 | 2008-11-05 | 日本電信電話株式会社 | Anonymous signature device, signature verification device, anonymous signature method, anonymous signature program, and signature verification program |
| JP3894919B2 (en) * | 2003-12-16 | 2007-03-22 | 村田機械株式会社 | Electronic signature method and program and apparatus |
| JP4322768B2 (en) * | 2004-09-29 | 2009-09-02 | 株式会社東芝 | Signature request device, signature system, signature request method, and signature request program |
| JP4679163B2 (en) * | 2005-01-21 | 2011-04-27 | 株式会社東芝 | Digital signature information generation apparatus, digital signature information generation method and program |
-
2005
- 2005-01-24 JP JP2005015336A patent/JP4738003B2/en not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019210418A1 (en) * | 2018-05-04 | 2019-11-07 | Crypto4A Technologies Inc. | Digital data comparison filter, system and method, and applications therefor |
| US11921867B2 (en) | 2018-05-04 | 2024-03-05 | Crypto4A Technologies Inc. | Digital data comparison filter, system and method, and applications therefor |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006203754A (en) | 2006-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4859933B2 (en) | Ciphertext generation apparatus, cryptographic communication system, and group parameter generation apparatus | |
| CN107508686B (en) | Identity authentication method and system, computing device and storage medium | |
| CN102201920B (en) | Method for constructing certificateless public key cryptography | |
| US9438589B2 (en) | Binding a digital file to a person's identity using biometrics | |
| KR101425552B1 (en) | Group signature system and schemes with controllable linkability | |
| US9166957B2 (en) | Digital file authentication using biometrics | |
| US10263773B2 (en) | Method for updating a public key | |
| JP5419056B2 (en) | Encrypting Cartier Pairing | |
| CN108989054B (en) | A cryptographic system and digital signature method | |
| KR20130027061A (en) | Signcryption method and device and corresponding signcryption verification method and device | |
| JP2006163164A5 (en) | ||
| WO2010047356A1 (en) | Key sharing system | |
| CN105450396A (en) | Certificate-free combined secret key generation and application method | |
| CN111130758A (en) | Lightweight anonymous authentication method suitable for resource-constrained equipment | |
| JP4250429B2 (en) | Chained signature creation device and control method thereof | |
| JP5327223B2 (en) | Signature system | |
| CN114070556A (en) | Threshold ring signature method and device, electronic equipment and readable storage medium | |
| CN104767611A (en) | A Signcryption Method from Public Key Infrastructure Environment to Certificateless Environment | |
| JP4738003B2 (en) | Signature system, signing method | |
| Rodríguez-Henríquez et al. | Yet another improvement over the Mu–Varadharajan e-voting protocol | |
| CN113824677B (en) | Training method and device of federal learning model, electronic equipment and storage medium | |
| JP5134555B2 (en) | Key generation device, encryption device, decryption device, encryption system, key generation method, encryption method, decryption method, program, and recording medium | |
| JP2012103655A (en) | Digital signature system with quantum computer-resistant property | |
| JP4533636B2 (en) | Digital signature system, digital signature management apparatus, digital signature management method and program | |
| WO2010013571A2 (en) | Group signature system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20061225 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110401 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110419 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110426 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4738003 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |