Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5871826B2 - Authenticator generation device, verification device, and program - Google Patents
[go: Go Back, main page]

JP5871826B2 - Authenticator generation device, verification device, and program - Google Patents

Authenticator generation device, verification device, and program Download PDF

Info

Publication number
JP5871826B2
JP5871826B2 JP2013003625A JP2013003625A JP5871826B2 JP 5871826 B2 JP5871826 B2 JP 5871826B2 JP 2013003625 A JP2013003625 A JP 2013003625A JP 2013003625 A JP2013003625 A JP 2013003625A JP 5871826 B2 JP5871826 B2 JP 5871826B2
Authority
JP
Japan
Prior art keywords
key
random number
verification
value
secret key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013003625A
Other languages
Japanese (ja)
Other versions
JP2014135684A (en
Inventor
恵太 草川
恵太 草川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013003625A priority Critical patent/JP5871826B2/en
Publication of JP2014135684A publication Critical patent/JP2014135684A/en
Application granted granted Critical
Publication of JP5871826B2 publication Critical patent/JP5871826B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報セキュリティ技術に関し、特に、メッセージ認証子技術に関する。   The present invention relates to information security technology, and more particularly to message authenticator technology.

証明可能安全性を持つメッセージ認証子が、共通鍵暗号のプリミティブの安全性の下で提案されている。また、通常の安全性を持つ暗号方式を関連鍵攻撃に対する安全性をもつ方式に変換する技術もいくつか知られている(例えば、非特許文献1から3参照)。   A message authenticator with provable security has been proposed under the security of the common key cryptography primitive. There are also known some techniques for converting an encryption system having normal security into a system having security against related key attacks (for example, see Non-Patent Documents 1 to 3).

Mihir Bellare and David Cash, “Pseudorandom functions and permutations provably secure against related-key attacks,” in Tal Rabin, editor, CRYPTO 2010, volume 6223 of Lecture Notes in Computer Science, pages 666-684, Springer, Heidelberg, 2010.Mihir Bellare and David Cash, “Pseudorandom functions and permutations provably secure against related-key attacks,” in Tal Rabin, editor, CRYPTO 2010, volume 6223 of Lecture Notes in Computer Science, pages 666-684, Springer, Heidelberg, 2010. Yevgeniy Dodis, Eike Kiltz, Krzysztof Pietrzak, and Daniel Wichs, “Message authentication, revisited,” in David Pointcheval and Thomas Johansson, editors, EUROCRYPT 2012, volume 7237 of Lecture Notes in Computer Science, pages 355-374, Springer, Heidelberg, 2012.Yevgeniy Dodis, Eike Kiltz, Krzysztof Pietrzak, and Daniel Wichs, “Message authentication, revisited,” in David Pointcheval and Thomas Johansson, editors, EUROCRYPT 2012, volume 7237 of Lecture Notes in Computer Science, pages 355-374, Springer, Heidelberg, 2012. Mihir Bellare, Kenneth G. Paterson, and Susan Thomson, “RKA security beyond the linear barrier: IBE, encryption and signatures,” Cryptology ePrint Archive, Report 2012/514, 2012, to appear ASIACRYPT 2012.Mihir Bellare, Kenneth G. Paterson, and Susan Thomson, “RKA security beyond the linear barrier: IBE, encryption and signatures,” Cryptology ePrint Archive, Report 2012/514, 2012, to appear ASIACRYPT 2012.

しかしながら、従来の関連鍵攻撃に対する安全性をもつ方式は、関連鍵攻撃を検知した場合に自壊しなければ安全性を保てない。   However, a conventional method with security against a related key attack cannot maintain security unless it breaks itself when a related key attack is detected.

本発明では、自壊することなく関連鍵攻撃に対する安全性を向上させることができるメッセージ認証子技術を提供する。   The present invention provides a message authenticator technique that can improve security against related key attacks without self-destruction.

メッセージ認証子の生成時には、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と当該乱数対応値とを含むメッセージ認証子を得る。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。検証時には、対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得、メッセージ認証子と秘密鍵対応値と検証ラベル情報とを用いてメッセージを検証する。   When generating a message authenticator, label information corresponding to information including the corresponding key and the message is obtained, and a message authenticator including an image corresponding to the random number corresponding value, the secret key corresponding value, the label information, and the random number corresponding value is obtained. . However, the secret key and the corresponding key are a key pair, the random number corresponding value corresponds to information including a random number, and the secret key corresponding value corresponds to information including the secret key. At the time of verification, verification label information corresponding to information including the corresponding key and the message is obtained, and the message is verified using the message authenticator, the secret key corresponding value, and the verification label information.

本発明では、ラベル情報が秘密鍵の対応鍵とメッセージとに対応する。そのため、自壊を行うことなく、関連鍵攻撃に対する安全性を向上させることができる。   In the present invention, the label information corresponds to the corresponding key of the secret key and the message. Therefore, it is possible to improve security against related key attacks without performing self-destruction.

図1は第1実施形態の認証システムを例示する図である。FIG. 1 is a diagram illustrating an authentication system according to the first embodiment. 図2Aは第1実施形態の認証子生成処理を説明するためのフロー図であり、図2Bは第1実施形態の検証処理を説明するためのフロー図である。FIG. 2A is a flowchart for explaining the authenticator generation process of the first embodiment, and FIG. 2B is a flowchart for explaining the verification process of the first embodiment. 図3は第2実施形態の認証システムを例示する図である。FIG. 3 is a diagram illustrating an authentication system according to the second embodiment. 図4Aは第2実施形態の認証子生成処理を説明するためのフロー図であり、図4Bは第2実施形態の検証処理を説明するためのフロー図である。FIG. 4A is a flowchart for explaining the authenticator generation process of the second embodiment, and FIG. 4B is a flowchart for explaining the verification process of the second embodiment.

以下、図面を参照して本発明の実施形態を説明する。
<定義>
各実施形態で用いる記号や用語を定義する。
[ラベルに基づく適応的トラップドア関係の属]
ラベルに基づく適応的トラップドア関係(ATR:Adaptive Trapdoor Relations)の属は、以下の属Ff,LとアルゴリズムSetup(1κ),TrapGen(pp),Samp(pp,f,L),G(s)とからなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。1κはκ個の1からなる列を表す。κは1以上の所定の整数である。
TrapGen(pp)は、鍵生成アルゴリズムであり、ppを入力とし、秘密鍵tとそれに対応する対応鍵(例えば公開鍵)fとの鍵ペア(f,t)を得て出力する。鍵ペア(f,t)は、写像μ(第1写像)に対してf=μ(t)の関係を満たす。すなわち、tの鍵空間を表す集合がTSであり、fの鍵空間を表す集合がFSである場合、写像μは鍵空間TSを鍵空間FSに写す写像μ:TS→FSである。本形態の写像μは準同型性写像である。また、写像の例は関数やアルゴリズムなどである。
Samp(pp,f,L)は、公開サンプリングアルゴリズムであり、ppとfとラベル情報Lとを入力とし、乱数sとy=Ff,L(s)とを得て出力する。Ff,Lは、fとLとの組に対応する単射なラベル付き写像の属である。言い換えると、Ff,Lは、fとLとの組に対応する単射な写像を要素とする集合である。すなわち、y=Ff,L(s)は、pp,f,L,sを入力とし、fとLとの組に対応する単射な写像をsに作用させてyを得て出力することを表す。本形態のFf,L(s)は準同型性を持つ。Inv(pp,t,L,y)は、逆元探索アルゴリズムであり、pp,t,L,yを入力とし、逆元s=Ff,L −1(y)を出力する。
G(s)は、抽出アルゴリズムであり、sを入力として共通鍵(セッション鍵)G(s)∈Gを出力する。Gは加法的な可換群(アーベル群)を表す。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Definition>
Symbols and terms used in each embodiment are defined.
[Adaptive trapdoor genus based on label]
The genus of adaptive trapdoor relations (ATR) based on labels includes the following genus F f, L and algorithms Setup (1 κ ), TrapGen (pp), Samp (pp, f, L), G ( s).
Setup (1 κ ) is a setup algorithm, which receives the security parameter 1 κ and obtains and outputs a common parameter pp. 1 κ represents a column of κ 1's. κ is a predetermined integer of 1 or more.
TrapGen (pp) is a key generation algorithm, and receives pp as an input, and obtains and outputs a key pair (f, t) of a secret key t and a corresponding key (for example, public key) f corresponding thereto. The key pair (f, t) satisfies the relationship f = μ (t) with respect to the map μ (first map). That is, when the set representing the key space of t is TS and the set representing the key space of f is FS, the mapping μ is a mapping μ: TS → FS that maps the key space TS to the key space FS. The map μ in this embodiment is a homomorphic map. Examples of mapping are functions and algorithms.
Samp (pp, f, L) is a public sampling algorithm, which receives pp, f, and label information L, and obtains and outputs a random number s and y = F f, L (s). F f, L is a genus of a bijective labeled map corresponding to a set of f and L. In other words, F f, L is a set whose elements are injective maps corresponding to pairs of f and L. That is, y = F f, L (s) is obtained by obtaining y by applying pp, f, L, s as input, and applying a bijective mapping corresponding to a pair of f and L to s. Represents. F f, L (s) in this embodiment has homomorphism. Inv (pp, t, L, y) is an inverse element search algorithm, and inputs pp, t, L, y, and outputs an inverse element s = F f, L −1 (y).
G (s) is an extraction algorithm, and outputs a common key (session key) G (s) εG K with s as an input. G K represents an additive commutative group (Abelian group).

[ハッシュ証明系]
ラベルに基づくハッシュ証明系(HPS:hash proof system)は、以下のアルゴリズムSetup(1κ),SampR(r),Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)からなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。ppは、有限集合Υ,ν,FS,TS、写像の集合Df,L、および写像μである。ν⊂Υであり、Df,Lはf∈FSとL∈LSとの組に対応する写像を要素とする集合であり、LSはラベル情報Lの空間を表す集合である。
SampR(r)は、サンプリングアルゴリズムであり、乱数rを入力とし、υ∈ν⊂Υを得て出力する。
Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを用い、fとLとの組に対応する写像をυに作用させて得られる値jを計算して出力する。
Priv(pp,t,L,υ)は、pp,t,L,υを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Priv(pp,t,L,υ)は、fとLとの組に対応する写像Df,Lをυに作用させて値jを得て出力する。本形態の写像Df,Lは準同型性を持つ。
[Hash proof system]
Hash proof system based on the label (HPS: hash proof system), the following algorithm Setup (1 κ), SampR ( r), Pub (pp, μ (t), L, r), Priv (pp, t, L , Υ).
Setup (1 κ ) is a setup algorithm, which receives the security parameter 1 κ and obtains and outputs a common parameter pp. pp is a finite set Υ, ν, FS, TS, a set of mappings D f, L , and a mapping μ. ν⊂Υ, D f, L is a set whose elements are mappings corresponding to pairs of fεFS and LεLS, and LS is a set representing the space of the label information L.
SampR (r) is a sampling algorithm, receives a random number r, obtains ν∈ν⊂Υ and outputs it.
Pub (pp, μ (t), L, r) is an algorithm that receives pp, μ (t), L, r and obtains and outputs j = D f, L (υ). That is, Pub (pp, μ (t), L, r) is a value j obtained by using pp, μ (t), L, r and applying a mapping corresponding to a pair of f and L to υ. Is calculated and output.
Priv (pp, t, L, υ) is an algorithm that receives pp, t, L, υ and obtains and outputs j = D f, L (υ). That is, Priv (pp, t, L, υ) operates the mapping D f, L corresponding to the set of f and L on υ to obtain and output the value j. The map D f, L in this embodiment has homomorphism.

[双線形写像]
双線形写像e:G×G→Gは、双線形性、非退化性および効率的計算可能性を持つ写像である。ただし、G,Gは位数が素数qである可換群である。
双線形性により、任意のh,h∈Gおよび任意のα,β∈Zについてe(h α,h β)=e(h,hαβとなる。非退化性により、e(h,h)のGでの位数がqとなる。効率的計算可能性により、eを効率よく計算することができる。なお、Zはqによる剰余群を表す。双線形写像の例はペアリングである。
[Bilinear map]
Bilinear mapping e: G K × G K → G T is bilinearity a map whose non-degenerate and efficiency calculations possible. However, G K, G T is an abelian that place the number is a prime number q.
Due to the bilinearity, e (h 1 α , h 2 β ) = e (h 1 , h 2 ) αβ for any h 1 , h 2 εG K and any α, βεZ q . The non-degenerative, of order in the G T of e (h 1, h 1) is q. Due to the efficient computability, e can be calculated efficiently. Z q represents a remainder group by q. An example of a bilinear map is pairing.

[使い捨て署名]
使い捨て署名は、三つ組のアルゴリズムots.gen(1κ),ots.sign(osk,M),ots.vrfy(ovk,σ)からなる。
ots.gen(1κ)は、鍵生成アルゴリズムであり、セキュリティパラメータ1κを入力とし、署名検証鍵ovkとそれに対応する署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する。
ots.sign(osk,m)は、署名生成アルゴリズムであり、oskとメッセージmとを入力として、署名σを得て出力する。
ots.vrfy(ovk,σ,m)は、署名検証アルゴリズムであり、ovk,σ,mを入力として署名検証を行って、受け入れaccまたは拒絶rejを出力する。
[Disposable signature]
The disposable signature is a triplet algorithm ots. gen (1 κ), ots. sign (osk, M), ots. It consists of vrfy (ovk, σ).
ots. gen (1 κ ) is a key generation algorithm, which receives the security parameter 1 κ and obtains and outputs a key pair (ovk, osk) of the signature verification key ovk and the corresponding signature generation key osk.
ots. sign (osk, m) is a signature generation algorithm, and receives and outputs a signature σ with the input of osk and message m.
ots. vrfy (ovk, [sigma], m) is a signature verification algorithm, performs signature verification with ovk, [sigma], m as input, and outputs accept acc or reject reg.

[衝突困難性(衝突耐性)を持つ写像]
写像Hが衝突困難性を持つとは、多項式時間で動作する敵が、写像の属からそれに属する写像Hを定める情報とセキュリティパラメータ1κとを受け取ったとき、γ≠δかつH(γ)=H(δ)なる組(γ,δ)を無視できる確率でしか出力することができないことを表す。衝突困難性を持つ写像Hの例は、SHA−1等の暗号学的なハッシュ関数などである。通常、衝突困難性を持つ写像は一方向性も持つ。
[Mapping with collision difficulty (collision resistance)]
Map H has collision difficulty when an enemy operating in polynomial time receives information defining map H belonging to it from the genus of the map and security parameter 1 κ , γ ≠ δ and H (γ) = It represents that the set (γ, δ) of H (δ) can be output only with a negligible probability. An example of the mapping H having collision difficulty is a cryptographic hash function such as SHA-1. Usually, maps with collision difficulty also have unidirectionality.

<原理>
各実施形態に共通する原理を説明する。
認証子生成装置は、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と乱数対応値とを含むメッセージ認証子を得、メッセージとメッセージ認証子とを出力する。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。
<Principle>
The principle common to each embodiment will be described.
The authenticator generating device obtains label information corresponding to information including a corresponding key and a message, obtains a message authenticator including an image corresponding to a random number corresponding value, a secret key corresponding value, and label information, and a random number corresponding value. And a message authenticator. However, the secret key and the corresponding key are a key pair, the random number corresponding value corresponds to information including a random number, and the secret key corresponding value corresponds to information including the secret key. An example of label information is a value obtained by applying a map having difficulty in collision to information including a corresponding key and a message.

メッセージとメッセージ認証子とは検証装置に入力される。検証装置は、対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得、メッセージ認証子と秘密鍵対応値と検証ラベル情報とを用いてメッセージを検証し、検証結果を出力する。検証ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。   The message and the message authenticator are input to the verification device. The verification device obtains verification label information corresponding to information including the corresponding key and the message, verifies the message using the message authenticator, the secret key corresponding value, and the verification label information, and outputs a verification result. An example of verification label information is a value obtained by applying a mapping having difficulty in collision to information including a corresponding key and a message.

以上の構成では、ラベル情報が秘密鍵の対応鍵とメッセージとに対応するため、自壊を行うことなく、関連鍵攻撃に対する安全性を向上させることができる(詳細は後述)。   In the above configuration, since the label information corresponds to the corresponding key and message of the secret key, the security against the related key attack can be improved without performing self-destruction (details will be described later).

<第1実施形態>
第1実施形態を説明する。第1実施形態は、ラベルに基づく適応的トラップドア関係の属に上述の原理を適用したものである。
[構成]
図1に例示するように、本形態の認証システム1は、設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とを有する。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とは、それぞれ、CPU(central processing unit)、RAM(random-access memory)等を含む汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
<First Embodiment>
A first embodiment will be described. In the first embodiment, the above principle is applied to the genus of the adaptive trapdoor relation based on the label.
[Constitution]
As illustrated in FIG. 1, the authentication system 1 of this embodiment includes a setting device 110, a key generation device 120, an authenticator generation device 130, and a verification device 140. The setting device 110, the key generation device 120, the authenticator generation device 130, and the verification device 140 each have a predetermined program on a general-purpose or dedicated computer including a CPU (central processing unit), a RAM (random-access memory), and the like. A special device that is read and configured. The setting device 110, the key generation device 120, the authenticator generation device 130, and the verification device 140 are configured to exchange information via a network, a portable recording medium, or the like.

認証子生成装置130は、入力部131と記憶部132と対応鍵生成部133とラベル情報生成部134とメッセージ認証子生成部135と出力部136とを有する。メッセージ認証子生成部135は、サンプリング部135aと暗号化部135bと署名鍵生成部135cと署名生成部135dとを有する。認証子生成装置130は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み出される。   The authenticator generation device 130 includes an input unit 131, a storage unit 132, a corresponding key generation unit 133, a label information generation unit 134, a message authenticator generation unit 135, and an output unit 136. The message authenticator generation unit 135 includes a sampling unit 135a, an encryption unit 135b, a signature key generation unit 135c, and a signature generation unit 135d. The authenticator generation device 130 executes each process under the control of a control unit (not shown). Data obtained by each unit is stored in the storage unit 132 and is read by each unit as necessary.

検証装置140は、入力部141と記憶部142と対応鍵生成部143と検証ラベル情報生成部144と検証部145と出力部146とを有する。検証部145は、署名検証部145aと逆元探索部145bと判定部145cとを有する。検証装置140は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部142に格納され、必要に応じて各部に読み出される。   The verification device 140 includes an input unit 141, a storage unit 142, a corresponding key generation unit 143, a verification label information generation unit 144, a verification unit 145, and an output unit 146. The verification unit 145 includes a signature verification unit 145a, an inverse element search unit 145b, and a determination unit 145c. The verification device 140 executes each process under the control of a control unit (not shown). Data obtained by each unit is stored in the storage unit 142 and is read by each unit as necessary.

[セットアップ処理]
本形態のセットアップ処理では、設定装置110がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づく適応的トラップドア関係の属の共通パラメータppを得て出力する。さらに設定装置110は、衝突困難性を持つ写像H:{0,1}*→Gを得て出力する。例えば、設定装置110は、暗号学的なハッシュ関数を写像Hとして出力する。ppは鍵生成装置120に送られて格納され、ppおよびHは、認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
[Setup process]
In the setup process of this embodiment, the setting device 110 receives the security parameter 1 κ , executes the key generation algorithm Setup (1 κ ), obtains and outputs a common parameter pp belonging to the adaptive trapdoor-related genus based on the label. . Further, the setting device 110 obtains and outputs a map H: {0, 1} * → G K having collision difficulty. For example, the setting device 110 outputs a cryptographic hash function as the mapping H. pp is sent to and stored in the key generation device 120, and pp and H are sent to the authenticator generation device 130 and the verification device 140, and are stored in the storage units 132 and 142, respectively.

[鍵生成処理]
本形態の鍵生成処理では、鍵生成装置120が、共通パラメータppを入力とし、鍵生成アルゴリズムTrapGen(pp)を実行して鍵ペア(f,t)を得る。さらに鍵生成装置120は、群Gからランダムに秘密鍵k∈Gを得る。鍵生成装置120は、第1秘密鍵tおよび第2秘密鍵kからなる秘密鍵(t,k)を出力する。秘密鍵(t,k)は認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
[Key generation process]
In the key generation process of this embodiment, the key generation device 120 receives the common parameter pp and executes the key generation algorithm TrapGen (pp) to obtain the key pair (f, t). Furthermore, the key generation device 120 obtains a secret key kεG K randomly from the group G K. The key generation device 120 outputs a secret key (t, k) composed of the first secret key t and the second secret key k. The secret key (t, k) is sent to the authenticator generation device 130 and the verification device 140 and stored in the storage units 132 and 142, respectively.

[認証子生成処理]
任意長のメッセージM∈{0,1}*が認証子生成装置130の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図2A)が実行される。
[Authentication generation process]
An arbitrary-length message Mε {0,1} * is input to the input unit 131 of the authenticator generation device 130, stored in the storage unit 132, and the following authenticator generation process (FIG. 2A) is executed.

対応鍵生成部133は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS131)。署名鍵生成部135cは、セキュリティパラメータ1κを入力とし、鍵生成アルゴリズムots.gen(1κ)を実行し、使い捨て署名の署名検証鍵ovkと署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する(ステップS132)。 The corresponding key generation unit 133 receives the first secret key t, applies the mapping μ to the first secret key t, and obtains and outputs the corresponding key f = μ (t) (step S131). The signature key generation unit 135c receives the security parameter 1 κ and inputs the key generation algorithm ots. gen (1 κ ) is executed to obtain and output a key pair (ovk, osk) of the signature verification key ovk of the disposable signature and the signature generation key osk (step S132).

ラベル情報生成部134は、対応鍵fとメッセージMとを入力とし、対応鍵fとメッセージMとを含む情報に写像Hを作用させてラベル情報d=H(f,M)∈Gを得て出力する。対応鍵fとメッセージMとを含む情報の例は、対応鍵fのビット列表現値とメッセージMとのビット結合値や、対応鍵fのビット列表現値とメッセージMと付加ビット列とのビット結合値などである。付加ビット列の例は、共通パラメータの一部やヘッダ情報などである。写像Hがハッシュ関数である場合、ラベル情報dは、対応鍵fとメッセージMとを含む情報のダイジェスト値となる(ステップS133)。 The label information generation unit 134 receives the corresponding key f and the message M, and applies the mapping H to the information including the corresponding key f and the message M to obtain the label information d = H (f, M) εG K. Output. Examples of information including the corresponding key f and the message M include a bit combination value between the bit string expression value of the corresponding key f and the message M, a bit combination value between the bit string expression value of the corresponding key f, the message M, and the additional bit string, and the like. It is. Examples of the additional bit string are a part of common parameters and header information. When the mapping H is a hash function, the label information d is a digest value of information including the corresponding key f and the message M (step S133).

サンプリング部135aは、共通パラメータppと対応鍵fと署名検証鍵ovkとを入力とし、公開サンプリングアルゴリズムSamp(pp,f,ovk)を実行し、乱数sと乱数対応値yとの組(s,y)を得て出力する。この乱数対応値yは、対応鍵fと署名検証鍵ovkとに対応する第2写像Ff,ovkを乱数sに作用させて得られる値y=Ff,ovk(s)である(ステップS134)。 The sampling unit 135a receives the common parameter pp, the corresponding key f, and the signature verification key ovk, executes the public sampling algorithm Samp (pp, f, ovk), and sets the pair (s, y) is obtained and output. The random number corresponding value y is a value y = F f, ovk (s) obtained by applying the second mapping F f, ovk corresponding to the corresponding key f and the signature verification key ovk to the random number s (step S134). ).

暗号化部135bは、乱数sと第2秘密鍵kを入力とし、抽出アルゴリズムG(s)を実行して乱数sに対応する共通鍵G(s)を得、所定の共通鍵暗号方式に則り、共通鍵G(s)で第2秘密鍵kを暗号化することで秘密鍵対応値cを得て出力する。暗号化部135bは、例えば、c=G(s)・kを得て出力する(ステップS135)。ただし、「・」は群で定義された演算を表す。例えば、G(s),k∈{0,1}κである場合、G(s)・kはG(s)とkの排他的論理和である。 The encryption unit 135b receives the random number s and the second secret key k, executes an extraction algorithm G (s) to obtain a common key G (s) corresponding to the random number s, and conforms to a predetermined common key cryptosystem. The secret key corresponding value c is obtained by encrypting the second secret key k with the common key G (s) and output. For example, the encryption unit 135b obtains and outputs c = G (s) · k (step S135). However, “·” represents an operation defined by a group. For example, when G (s), kε {0, 1} κ , G (s) · k is an exclusive OR of G (s) and k.

署名生成部135dは、署名生成鍵oskと乱数対応値yと秘密鍵対応値cとラベル情報dとを入力とし、署名生成アルゴリズムots.sign(osk,(d,y,c))を実行し、乱数対応値yと秘密鍵対応値cとラベル情報dとを含む情報に対する署名σ(乱数対応値と秘密鍵対応値とラベル情報とに対する像)を得て出力する。乱数対応値yと秘密鍵対応値cとラベル情報dを含む情報の例は、y,c,dのビット列表現値のビット結合値や、y,c,dと付加ビット列とのビット結合値などである(ステップS136)。   The signature generation unit 135d receives the signature generation key osk, the random number correspondence value y, the secret key correspondence value c, and the label information d, and inputs the signature generation algorithm ots. sign (osk, (d, y, c)) is executed, and a signature σ (random number correspondence value, secret key correspondence value and label information) for information including the random number correspondence value y, the secret key correspondence value c, and the label information d Image) is output. Examples of information including the random number correspondence value y, the secret key correspondence value c, and the label information d include bit combination values of y, c, d bit string expression values, bit combination values of y, c, d and additional bit strings, etc. (Step S136).

出力部136は、署名検証鍵ovkと乱数対応値yと秘密鍵対応値cと署名σとを含むメッセージ認証子τ=(ovk,y,c,σ)を得て(ステップS137)、メッセージ認証子τとメッセージMとを出力する(ステップS138)。メッセージ認証子τとメッセージMとは検証装置140に送られる。   The output unit 136 obtains a message authenticator τ = (ovk, y, c, σ) including the signature verification key ovk, the random number corresponding value y, the secret key corresponding value c, and the signature σ (step S137), and message authentication. The child τ and the message M are output (step S138). The message authenticator τ and the message M are sent to the verification device 140.

[検証処理]
メッセージ認証子τ=(ovk,y,c,σ)とメッセージMとが検証装置140の入力部141に入力され、記憶部142に格納され、以下の検証処理(図2B)が実行される。
[Verification processing]
The message authenticator τ = (ovk, y, c, σ) and the message M are input to the input unit 141 of the verification device 140, stored in the storage unit 142, and the following verification process (FIG. 2B) is executed.

対応鍵生成部143は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS141)。   The corresponding key generation unit 143 receives the first secret key t, applies the mapping μ to the first secret key t, and obtains and outputs the corresponding key f = μ (t) (step S141).

検証ラベル情報生成部144は、対応鍵fとメッセージMとを入力とし、対応鍵fとメッセージMとを含む情報に写像Hを作用させて検証ラベル情報d’=H(f,M)∈Gを得て出力する。なお、検証ラベル情報生成部144での「写像H」および「対応鍵fとメッセージMとを含む情報」の構造は、ラベル情報生成部134での「写像H」および「対応鍵fとメッセージMとを含む情報」と同じである(ステップS142)。 The verification label information generation unit 144 receives the corresponding key f and the message M, and applies the mapping H to information including the corresponding key f and the message M to verify the verification label information d ′ = H (f, M) ∈G. Get K and output. The structure of “mapping H” and “information including the corresponding key f and message M” in the verification label information generation unit 144 is the same as that of the “mapping H” and “corresponding key f and message M in the label information generation unit 134. It is the same as "information including" (step S142).

署名検証部145aは、署名検証鍵ovkと署名σと検証ラベル情報d’とを入力とし、署名検証アルゴリズムots.vrfy(ovk,σ,(d’,y,c))を実行し、署名検証鍵ovkを用いて、乱数対応値yと秘密鍵対応値cと検証ラベル情報d’とを含む情報に対して署名σが合格であるかを検証し、受け入れ(合格)accまたは拒絶(不合格)rejを出力する(ステップS143)。なお、「乱数対応値yと秘密鍵対応値cと検証ラベル情報d’とを含む情報」の構造は、署名生成部135dでの「乱数対応値yと秘密鍵対応値cとラベル情報dとを含む情報」の構造と同じである。署名検証部145aが拒絶rejを出力した場合、出力部146は拒絶rejを出力し(ステップS147)、処理を終了する。   The signature verification unit 145a receives the signature verification key ovk, the signature σ, and the verification label information d 'as inputs, and the signature verification algorithm ots. vrfy (ovk, σ, (d ′, y, c)) is executed for information including the random number corresponding value y, the secret key corresponding value c, and the verification label information d ′ using the signature verification key ovk. Whether or not the signature σ is acceptable is verified, and an acceptance (pass) acc or a rejection (fail) reg is output (step S143). The structure of “information including random number corresponding value y, private key corresponding value c, and verification label information d ′” is the same as “random number corresponding value y, private key corresponding value c, label information d” in signature generation unit 135d. It is the same as the structure of “information including”. When the signature verification unit 145a outputs the rejection reg, the output unit 146 outputs the rejection reg (step S147), and the process ends.

一方、署名検証部145aが受け入れaccを出力した場合、逆元探索部145bは、共通パラメータppと秘密鍵tと署名検証鍵ovkと乱数対応値yとを入力とし、逆元探索アルゴリズムInv(pp,t,ovk,y)を実行し、対応鍵fと署名検証鍵ovkとに対応する逆元探索写像Ff,L −1を乱数対応値yに作用させて乱数復元値s’=Ff,L −1(y)を得て出力する(ステップS144)。 On the other hand, when the signature verification unit 145a outputs an acceptance acc, the inverse element search unit 145b receives the common parameter pp, the secret key t, the signature verification key ovk, and the random number corresponding value y as input, and the inverse element search algorithm Inv (pp , T, ovk, y), and the inverse search map F f, L −1 corresponding to the corresponding key f and the signature verification key ovk is applied to the random number corresponding value y to restore the random number restored value s ′ = F f , L −1 (y) is obtained and output (step S144).

判定部145cは、乱数復元値s’と秘密鍵対応値cと第2秘密鍵kとを入力とし、抽出アルゴリズムG(s’)を実行して乱数復元値s’に対応する共通鍵G(s’)を得、前述の共通鍵暗号方式に則り、共通鍵G(s’)で第2秘密鍵kを復号することで得られる復号値と、第2秘密鍵kとが一致するかを判定する。判定部145cは、例えば、k=c・G(s’)−1を満たすかを判定する(ステップS145)。ただし、G(s’)−1は、G(s’)の逆元を表す。 The determination unit 145c receives the random number restoration value s ′, the secret key corresponding value c, and the second secret key k, and executes the extraction algorithm G (s ′) to execute the common key G (corresponding to the random number restoration value s ′. s ′), and whether the second secret key k matches the decrypted value obtained by decrypting the second secret key k with the common key G (s ′) in accordance with the common key cryptosystem described above. judge. For example, the determination unit 145c determines whether or not k = c · G (s ′) − 1 is satisfied (step S145). However, G (s ′) −1 represents the inverse element of G (s ′).

ここで、復号値と第2秘密鍵kとが一致しないと判定された場合、出力部146は拒絶rejを出力し(ステップS147)、処理を終了する。一方、復号値と第2秘密鍵kとが一致すると判定された場合、出力部146は受け入れaccを出力し(ステップS146)、処理を終了する。   Here, when it is determined that the decrypted value and the second secret key k do not match, the output unit 146 outputs a rejection reg (step S147) and ends the process. On the other hand, when it is determined that the decrypted value matches the second secret key k, the output unit 146 outputs an acceptance acc (step S146), and the process ends.

<第1実施形態の実施例1>
第1実施形態の実施例1として、「参考文献1:Hoeteck Wee, “Public key encryption against related key attacks,” in Marc Fischlin, Johannes Buchmann, and Mark Manulis, editors, PKC 2012, volume 7293 of Lecture Notes in Computer Science, pages 262-279, Springer, Heidelberg, 2012.」および「参考文献2:Dennis Hofheinz and Eike Kiltz, “Practical chosen ciphertext secure encryption from factoring,” in Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of Lecture Notes in Computer Science, pages 313-332, Springer, Heidelberg, 2009.」に開示された素因数分解仮定に基づく適応的トラップドア関係に本発明を適用した例を示す。本実施例では、Λ,Ω,κおよびωが定数、gが位数Nの群の生成元、rが乱数、f=gΛΩt、s=gΩr、y=(u,w)、u=gΩΛr、w=(f・govk、共通鍵が(lsb(s),lsb(s),…,lsb(sv(κ−1)))、v(i)=2、lsb(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報となり、乱数復元値が2=a*ovk+bΛΩを満たす整数a,b,cに対するs’=(w・ub−atv(ovk−c)である。ただし「α*β」はαとβとの乗算を表し、特に混乱がない場合にはαとβとの乗算を「αβ」と表記する。
<Example 1 of the first embodiment>
As Example 1 of the first embodiment, “Reference 1: Hoeteck Wee,“ Public key encryption against related key attacks, ”in Marc Fischlin, Johannes Buchmann, and Mark Manulis, editors, PKC 2012, volume 7293 of Lecture Notes in Computer Science, pages 262-279, Springer, Heidelberg, 2012. "and Reference 2: Dennis Hofheinz and Eike Kiltz,“ Practical chosen ciphertext secure encryption from factoring, ”in Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of Lecture An example in which the present invention is applied to an adaptive trapdoor relationship based on the prime factorization assumption disclosed in "Notes in Computer Science, pages 313-332, Springer, Heidelberg, 2009." is shown. In this embodiment, Λ, Ω, κ and ω are constants, g is a generator of a group of order N, r is a random number, f = g ΛΩt , s = g Ωr , y = (u, w), u = g ΩΛr , w = (f · g ovk ) r , the common key is (lsb N (s), lsb N (s 2 ),..., lsb N (s v (κ−1) )), v (i) = 2 i , lsb N (α) is information corresponding to a value in which α is represented by an integer of − (N−1) / 2 or more and (N−1) / 2 or less, and the random number restoration value is 2 c = a * ovk + bΛΩ it is s' = relative integer a, b, c satisfying (w a · u b-at ) v (ovk-c). However, “α * β” represents multiplication of α and β, and when there is no particular confusion, multiplication of α and β is expressed as “αβ”.

本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。簡単のため、κおよびωを正整数、Ω=2ω,Λ=2κとする。この場合、[0,Ω−1]がラベル情報dおよび検証ラベル情報d’の空間となる。ただし、[ι,ι]はι以上ι以下の区間を表す。 Setup of the embodiment (1 κ), TrapGen (pp ), Samp (pp, f, ovk), shown Inv (pp, t, ovk, y), the details of the G (s). For simplicity, let κ and ω be positive integers, Ω = 2 ω , Λ = 2 κ . In this case, [0, Ω−1] is a space for label information d and verification label information d ′. However, [ι 1 , ι 2 ] represents a section from ι 1 to ι 2 .

Setup(1κ)は、セキュリティパラメータ1κを入力とし、κビットの強素数P,Q≡3(mod4)を一様分布に従ってランダムに選び(P=2p+1,Q=2ε+1)、N=P*Qとする。さらにSetup(1κ)は、QR =J となる符号付商群QR を定め、gをQR の生成元とし、共通パラメータpp=(N,g)を出力する。QR およびJ は以下のように定義される。
QR ={|x||x∈QR
={|x||x∈J} (すなわち、J =J/(±1))
ただし、Z *はNによる剰余のうちで逆元をもつもの全体がなす群であり、Jはヤコビ記号1のものがなすZ *の部分群であり、QRは平方剰余がなす群であり、|x|∈Zはx∈[−(N−1)/2,(N−1)/2]とみたときのxの絶対値である。
Setup (1 κ ) receives the security parameter 1 κ , randomly selects κ-bit strong prime numbers P and Q≡3 (mod 4) according to a uniform distribution (P = 2p + 1, Q = 2ε + 1), and N = P * Q. Further, Setup (1 κ ) defines a signed quotient group QR N + where QR N + = J N + , sets g as a generator of QR N + , and outputs a common parameter pp = (N, g). QR N + and J N + are defined as follows.
QR N + = {| x || x∈QR N + }
J N + = {| x || x∈J N } (ie, J N + = J N / (± 1))
However, Z N * is a group formed by the whole of N remainders having an inverse element, J N is a subgroup of Z N * formed by Jacobian 1 and QR N is a square remainder. | X | ∈Z N is the absolute value of x when x∈ [− (N−1) / 2, (N−1) / 2].

TrapGen(pp)は、ppを入力とし、区間[1,(N−1)/4]から一様分布に従ってtをランダムに選び、f=μ(t)=gΛΩtを計算し、鍵ペア(f,t)を出力する。 TrapGen (pp) receives pp as input, randomly selects t from the interval [1, (N−1) / 4] according to a uniform distribution, calculates f = μ (t) = g ΛΩt, and generates a key pair ( f, t) is output.

Samp(pp,f,ovk)は、pp,f,ovkを入力とし、第2乱数rについて(s,u)=(gΩr,gΩΛr)を計算し、w=(f・govkを計算し、sとy=(u,w)とを出力する。 Samp (pp, f, ovk) takes pp, f, ovk as input, calculates (s, u) = ( gΩr , gΩΛr ) for the second random number r, and w = (f · g ovk ) r And s and y = (u, w) are output.

Inv(pp,t,ovk,y)は、y=(u,w)について、u,w∈QR かどうかを確認し、u,w∈QR である場合にwΩΛ=uovk+ΛΩtかどうかを確認し、wΩΛ=uovk+ΛΩtである場合に、2=a*ovk+bΛΩとなる整数a,b,c∈Zに対するs’=(w・ub−atv(ovk−c)を計算し、s’を出力する。 Inv (pp, t, ovk, y) checks whether or not u, w ∈ QR N + for y = (u, w), and if u, w QR N + , w ΩΛ = u ovk + ΛΩt If w ΩΛ = u ovk + ΛΩt , then s ′ = (w a · u b-at ) v (ovk-c ) for integers a, b, c∈Z such that 2 c = a * ovk + bΛΩ ) And outputs s ′.

G(s)は、s∈QR を入力として(lsb(s),lsb(s),…,lsb(sv(κ−1)))∈{0,1}κを出力する。lsb(α)は、αを[−(N−1)/2,(N−1)/2]で表現し、さらにそれをビット列表現した場合の最下位ビットを表す。 G (s) takes sεQR N + as an input and sets (lsb N (s), lsb N (s 2 ),..., Lsb N (s v (κ−1) )) ε {0, 1} κ Output. lsb N (α) represents the least significant bit when α is represented by [− (N−1) / 2, (N−1) / 2] and further represented by a bit string.

[G(s)の可換性]
本実施例のG(s)で得られる共通鍵は{0,1}κの元である。{0,1}κは位数2の有限体GF(2)のκ次拡大体GF(2)κとみることができる。従って本実施例のG(s)で得られる共通鍵は加法的な可換群の元であるといえる。
[Commutability of G (s)]
The common key obtained by G (s) in this embodiment is an element of {0, 1} κ . {0,1} κ can be regarded as a κ-order extension GF (2) κ of a finite field GF (2) of order 2. Therefore, it can be said that the common key obtained by G (s) of this embodiment is an element of an additive commutative group.

[写像μの準同型性]
任意のΔ∈Zとt∈[1,(N−1)/4]について以下が成立する。ただし、Zは整数集合を表す。
μ(t+Δ)=gΛΩ(t+Δ)=gΛΩt・gΛΩΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
[Homomorphism of map μ]
For any Δ∈Z and t∈ [1, (N−1) / 4], the following holds: However, Z represents an integer set.
μ (t + Δ) = g ΛΩ (t + Δ) = g ΛΩt · g ΛΩΔ = μ (t) + μ (Δ)
Therefore, the map μ has homomorphism.

[写像Fμ(t),ovkの準同型性]
t∈[1,(N−1)/4]と任意のovkについてs=gΩrとしたとき、Fμ(t),ovk(s)=(u,w)=(gΩΛr,(gΛΩt・govk)である。このとき任意のΔ∈Zについて、以下が成立する。
μ(t+Δ),ovk(s)=(gΩΛr,(gΛΩ(t+Δ)・govk)
=(gΩΛr,(gΛΩt・govk・gΛΩrΔ)
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
[Map F μ (t), homomorphism of ovk ]
For t∈ [1, (N−1) / 4] and any ovk, s = g Ωr , F μ (t), ovk (s) = (u, w) = (g ΩΛr , (g ΛΩt G ovk ) r ). At this time, the following holds for an arbitrary Δ∈Z.
F μ (t + Δ), ovk (s) = (g ΩΛr , (g ΛΩ (t + Δ) · g ovk ) r )
= ( GΩΛr , ( gΛΩt · g ovk ) r · g ΛΩrΔ )
= (U, w · u Δ )
Therefore, F μ (t + Δ), ovk (s) can be calculated from F μ (t), ovk (s) and Δ, and the map F μ (t), ovk has homomorphism.

<第1実施形態の実施例2>
第1実施形態の実施例2として、非特許文献3に開示されたDBDH仮定に基づく適応的トラップドア関係に本形態を適用した例を示す。本実施例では、vおよびhが群の元、gが群の生成元、rが乱数、eが双線形写像、第1秘密鍵がt、第2秘密鍵がkであり、f=g、s=v、y=(u,w)、u=g、w=(f・vovkであり、共通鍵がe(s,h)、乱数復元値がs’=(w・u−t(1/ovk)である。以下に本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。
<Example 2 of the first embodiment>
As Example 2 of the first embodiment, an example in which the present embodiment is applied to an adaptive trapdoor relationship based on the DBDH assumption disclosed in Non-Patent Document 3 will be described. In this embodiment, v and h are group elements, g is a group generator, r is a random number, e is a bilinear mapping, the first secret key is t, the second secret key is k, and f = g t , S = v r , y = (u, w), u = g r , w = (f · v ovk ) r , the common key is e (s, h), and the random number restoration value is s ′ = (w U− t ) (1 / ovk) . Details of Setup (1 κ ), TrapGen (pp), Samp (pp, f, ovk), Inv (pp, t, ovk, y), and G (s) of the present example will be described below.

Setup(1κ)は、セキュリティパラメータ1κを入力とし、双線形写像用グループ(G,G,q,e,g)を生成する。さらにSetup(1κ)は、群Gからv,h∈Gをランダムに選び、共通パラメータpp=(G,G,q,e,g,v,h)を得て出力する。 Setup (1 κ ) receives the security parameter 1 κ and generates a group for bilinear mapping (G K , G T , q, e, g). Furthermore Setup (1 kappa) is, v from the group G K, select H∈G K randomly common parameter pp = (G K, G T , q, e, g, v, h) the obtained output.

TrapGen(pp)は、ppを入力としてt∈Zをランダムに選び、f=gを計算し、鍵ペア(f,t)を出力する。 TrapGen (pp) randomly selects T∈Z q a pp as input, calculates the f = g t, outputs a key pair (f, t).

Samp(pp,f,ovk)は、pp,f,ovkを入力とし、乱数rについて(s,u)=(v,g)を計算する。さらにSamp(pp,f,ovk)は、w=(f・vovkを計算し、sとy=(u,w)を出力する。 Samp (pp, f, ovk) receives pp, f, ovk and calculates (s, u) = (v r , g r ) for random number r. Further, Samp (pp, f, ovk) calculates w = (f · v ovk ) r and outputs s and y = (u, w).

Inv(pp,t,ovk,y)は、pp,t,ovk,yを入力とし、y=(u,w)について、u,w∈Gかどうかを確認し、u,w∈Gである場合にs’=(w・u−t(1/ovk)を計算する。さらにInv(pp,t,ovk,y)は、e(g,s’)=e(v,u)かどうかを確認し、e(g,s’)=e(v,u)である場合にs’を出力する。 Inv (pp, t, ovk, y) takes pp, t, ovk, y as inputs, checks whether u, wεG K for y = (u, w), and u, wεG K S ′ = (w · u −t ) (1 / ovk) is calculated. Further, Inv (pp, t, ovk, y) checks whether e (g, s ′) = e (v, u), and if e (g, s ′) = e (v, u) Output s'.

G(s)は、ppおよびs∈Gを入力とし、e(s,h)∈Gを出力する。 G (s) inputs the pp and S∈G K, and outputs the e (s, h) ∈G T .

[G(s)の可換性]
本実施例のG(s)で得られる共通鍵は可換群Gの元である。
[Commutability of G (s)]
Common key obtained in the G (s) of this embodiment is the original abelian G T.

[写像μの準同型性]
任意のΔ∈Zとt∈Zについて以下が成立する。
μ(t+Δ)=g(t+Δ)=g・gΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
[Homomorphism of map μ]
The following holds for any Δ∈Z q and t∈Z q .
μ (t + Δ) = g (t + Δ) = g t · g Δ = μ (t) + μ (Δ)
Therefore, the map μ has homomorphism.

[写像Fμ(t),ovkの準同型性]
t∈Zと任意のovkについてs=vとしたとき、Fμ(t),ovk(s)=(u,w)=(g,(g・vovk)である。このとき任意のΔ∈Zについて、以下が成立する。
μ(t+Δ),ovk(s)=(g,(gt+Δ・vovk
=(g,(g・vovk・gΔr
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、gの離散対数仮定により証明可能である。
[Map F μ (t), homomorphism of ovk ]
When s = v r for tεZ q and an arbitrary ovk, F μ (t), ovk (s) = (u, w) = (g r , (g t · v ovk ) r ). At this time, for any Δ∈Z q , the following holds.
F μ (t + Δ), ovk (s) = (g r , ( gt + Δ · v ovk ) r )
= (G r, (g t · v ovk) r · g Δr)
= (U, w · u Δ )
Therefore, F μ (t + Δ), ovk (s) can be calculated from F μ (t), ovk (s) and Δ, and the map F μ (t), ovk has homomorphism.
[Collision difficulty of map μ]
The difficulty of collision of the map μ can be proved by the discrete logarithm assumption of g.

<関連鍵攻撃に対する安全性について>
次に本形態の方式の関連鍵攻撃に対する安全性を説明する。
[関連鍵攻撃に対する安全性の指標]
関連鍵攻撃に対する安全性の指標として、敵Aの利得を以下のように定義する。

Figure 0005871826

Pr|Θ|は|Θ|の確率を表す。KS(pp)は、共通パラメータppを入力として秘密鍵key(第1実施形態ではkey=(t,k))を出力する鍵生成アルゴリズムである。R−Tagκは関連鍵攻撃の秘密鍵間の写像φとメッセージMとを入力とし、pp,key,Mに対する署名TAG(pp,φ(key),M)を返す神託機械である。Lは神託機械R−Tagκへの問合せ内容の順序付きリスト((φ,M),...,(φη,Mη))である。任意の多項式時間の敵Aに対して、式(1)の利得が無視できるとき、メッセージ認証子はUF−RK−CMVA安全であるという。 <Security against related key attacks>
Next, the security against the related key attack of the system of this embodiment will be described.
[Indicator of security against related key attacks]
As an index of security against related key attacks, the gain of enemy A is defined as follows.
Figure 0005871826

Pr | Θ | represents the probability of | Θ |. KS (pp) is a key generation algorithm that outputs the secret key key (in the first embodiment, key = (t, k)) with the common parameter pp as an input. R-Tag κ is a oracle machine that receives a mapping φ between a secret key of a related key attack and a message M, and returns a signature TAG (pp, φ (key), M) for pp, key, M. L T is an ordered list of the inquiry to the oracle machine R-Tag κ ((φ 1 , M 1), ..., (φ η, M η)) is. For any polynomial time enemy A, the message authenticator is said to be UF-RK-CMVA secure when the gain of equation (1) is negligible.

本形態の方式は従来構成よりも式(1)の利得を小さくでき、関連鍵攻撃に対する安全性を向上させることができる。特に、本形態の方式は加法的な関連鍵攻撃に対して強い。また、写像μおよびFμ(t),ovkが準同型性を持つとき、式(1)の利得が無視できることを証明できる(詳細な証明は省略)。以下では非特許文献3に基づくメッセージ認証子方式に対する加法的な関連鍵攻撃を想定し、その関連鍵攻撃が本形態の構成で成功しないことを示す。 The system of this embodiment can reduce the gain of the formula (1) compared to the conventional configuration, and can improve the security against related key attacks. In particular, the method of this embodiment is strong against additive related key attacks. Further, when the mapping μ and F μ (t), ovk have homomorphism, it can be proved that the gain of the expression (1) can be ignored (detailed proof is omitted). In the following, an additive related key attack for the message authenticator method based on Non-Patent Document 3 is assumed, and it is shown that the related key attack is not successful with the configuration of this embodiment.

[非特許文献3に基づくメッセージ認証子方式]
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵(t,k)=((t1,t2,t3,t4),k)∈Z ×Gをランダムに選択する。g,gが群Gの生成元であり、暗黙ではあるがg=g t1である。
認証子生成:認証子生成アルゴリズムは、メッセージM∈{0,1}*について、rを乱数とし、c=g 、c=c t1(=g )、ラベル情報L=H(c,c,M)とする。さらに認証子生成アルゴリズムは、ν=c t2*L+t3,c=k・c t4とし、メッセージ認証子τ=(c,c,ν,c)を出力する。
検証:検証アルゴリズムは、τとMを入力とし、L’=H(c,c,M)を得て、ν=c t2*L’+t3およびk=c・c −t4かどうかを確かめ、ν=c t2*L’+t3およびk=c・c −t4であればaccを出力し、そうでないならrejを出力する。
[Message authenticator based on Non-Patent Document 3]
A message authenticator method based on Non-Patent Document 3 will be exemplified below.
Key generation: The key generation algorithm randomly selects a secret key (t, k) = ((t1, t2, t3, t4), k) εZ q 4 × G K. g 1 and g 2 are generators of the group G K , and implicitly g 2 = g 1 t1 .
Authentication code generation: The authentication code generation algorithm uses r as a random number for message Mε {0,1} * , c 1 = g 1 r , c 2 = c 1 t1 (= g 2 r ), label information L = Let H (c 1 , c 2 , M). Further, the authenticator generation algorithm sets ν = c 1 t2 * L + t3 , c = k · c 1 t4, and outputs a message authenticator τ = (c 1 , c 2 , ν, c).
Verification: The verification algorithm takes τ and M as inputs, obtains L ′ = H (c 1 , c 2 , M), and whether ν = c 1 t2 * L ′ + t3 and k = c · c 1 −t4 If ν = c 1 t2 * L ′ + t3 and k = c · c 1 −t4 , acc is output, otherwise rej is output.

[加法的な関連鍵攻撃]
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈{0,1}*とする。
2.敵は0以外のδ,η∈Zを適当に選び、Δ=(0,ξ2,ξ3,0,1)∈Z ×Gとする。ただし、1は群Gの単位元である。
3.敵は秘密鍵(t,k)=((t1,t2,t3,t4),k)を関連鍵φ(t,k)=(t+ξ,k)=((t1,t2+ξ2,t3+ξ3,t4),k)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(c,c,ν’,c)=(c,c,c (t2+ξ2)*L+(t3+ξ3),k・c t4
ここで、L=H(c,c,M),c=g ,c=g (=c t1)である。
5.敵は上記の返答を用い、L=H(c,c,M)を計算し、さらにν=ν’・(c ξ2*L・c ξ3−1を計算する。
6.敵は偽造したメッセージ認証子τ=(c,c,ν,c)を出力する。
このメッセージ認証子τは、秘密鍵(t,k)=((t1,t2,t3,t4),k)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
[Additive key attack]
The following additive key attack succeeds against the message authenticator method based on Non-Patent Document 3 described above.
1. The enemy sets the counterfeit message to M∈ {0,1} * .
2. The enemy appropriately selects δ, η∈Z q other than 0, and sets Δ = (0, ξ2, ξ3, 0, 1 G ) ∈Z q 4 × G K. However, 1 G is a unit element of the group G K.
3. The enemy has the secret key (t, k) = ((t1, t2, t3, t4), k) and the related key φ (t, k) = (t + ξ, k) = ((t1, t2 + ξ2, t3 + ξ3, t4), k) Inquires of the oracle machine R-Tag κ with the map φ and the message M to be mapped.
4). The enemy receives the following as a reply from the oracle machine R-Tag κ .
τ ′ = (c 1 , c 2 , ν ′, c) = (c 1 , c 2 , c 1 (t2 + ξ2) * L + (t3 + ξ3) , k · c 1 t4 )
Here, L = H (c 1 , c 2 , M), c 1 = g 1 r , c 2 = g 2 r (= c 1 t1 ).
5. The enemy uses the above response to calculate L = H (c 1 , c 2 , M), and further calculates ν = ν ′ · (c 1 ξ 2 * L · c 1 ξ 3 ) −1 .
6). The enemy outputs a forged message authenticator τ = (c 1 , c 2 , ν, c).
This message authenticator τ is the same as that obtained for the forged message M using the secret key (t, k) = ((t1, t2, t3, t4), k), and the verification algorithm is acc. Output. Therefore, the gain of Expression (1) is 1.

この攻撃は秘密鍵(t,k)とその関連鍵φ(t,k)とでラベル情報Lが変化しないことに基づいている。これに対し、本形態のラベル情報は、対応鍵f=μ(t)とメッセージMとを含む情報に対応するd=H(f,M)である。すなわち本形態では、秘密鍵(t,k)に対応するラベル情報H(μ(t),M)と、関連鍵φ(t,k)=(t+ξ,k)に対応するラベル情報H(μ(t+ξ),M)とが異なる。よって、この攻撃は本形態には通じず、従来方式よりも式(1)の利得が小さくなる。なお、写像Hの衝突困難性により、μ(t)≠μ(t+ξ)かつH(μ(t),M)=H(μ(t+ξ),M)となる確率は無視できるほど小さい。また、写像μの衝突困難性により、敵がt≠t+ξかつμ(t)=μ(t+ξ)となるξを選ぶ確率は無視できるほど小さい。   This attack is based on the fact that the label information L does not change between the secret key (t, k) and the related key φ (t, k). On the other hand, the label information of this embodiment is d = H (f, M) corresponding to information including the corresponding key f = μ (t) and the message M. That is, in this embodiment, label information H (μ (t), M) corresponding to the secret key (t, k) and label information H (μ corresponding to the related key φ (t, k) = (t + ξ, k). (T + ξ), M). Therefore, this attack does not lead to this form, and the gain of Expression (1) is smaller than that of the conventional method. Note that due to the collision difficulty of the map H, the probability that μ (t) ≠ μ (t + ξ) and H (μ (t), M) = H (μ (t + ξ), M) is negligibly small. Further, due to the collision difficulty of the map μ, the probability that the enemy selects ξ that satisfies t ≠ t + ξ and μ (t) = μ (t + ξ) is so small that it can be ignored.

<第2実施形態>
第2実施形態を説明する。第1実施形態は、ラベルに基づくハッシュ証明系に上述の原理を適用したものである。以下では第1実施形態との相違点を説明し、第1実施形態と共通する事項については説明を簡略化する。
[構成]
図2に例示するように、本形態の認証システム2は、設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とを有する。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
Second Embodiment
A second embodiment will be described. In the first embodiment, the above-described principle is applied to a hash certification system based on labels. Hereinafter, differences from the first embodiment will be described, and descriptions of matters common to the first embodiment will be simplified.
[Constitution]
As illustrated in FIG. 2, the authentication system 2 of this embodiment includes a setting device 210, a key generation device 220, an authenticator generation device 230, and a verification device 240. The setting device 210, the key generation device 220, the authenticator generation device 230, and the verification device 240 are special devices configured by reading a predetermined program into a general-purpose or dedicated computer. The setting device 210, the key generation device 220, the authenticator generation device 230, and the verification device 240 are configured to be able to exchange information via a network, a portable recording medium, or the like.

認証子生成装置230は、入力部131と記憶部132と対応鍵生成部133とラベル情報生成部234とメッセージ認証子生成部235と出力部236とを有する。メッセージ認証子生成部235は、サンプリング部235aと写像部235bとを有する。認証子生成装置230は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み出される。   The authenticator generation device 230 includes an input unit 131, a storage unit 132, a corresponding key generation unit 133, a label information generation unit 234, a message authenticator generation unit 235, and an output unit 236. The message authenticator generation unit 235 includes a sampling unit 235a and a mapping unit 235b. The authenticator generation device 230 executes each process under the control of a control unit (not shown). Data obtained by each unit is stored in the storage unit 132 and is read by each unit as necessary.

検証装置240は、入力部141と記憶部142と対応鍵生成部143と検証ラベル情報生成部244と検証部245と出力部246とを有する。検証部245は、写像部245aと判定部234bとを有する。検証装置240は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部142に格納され、必要に応じて各部に読み出される。   The verification device 240 includes an input unit 141, a storage unit 142, a corresponding key generation unit 143, a verification label information generation unit 244, a verification unit 245, and an output unit 246. The verification unit 245 includes a mapping unit 245a and a determination unit 234b. The verification device 240 executes each process under the control of a control unit (not shown). Data obtained by each unit is stored in the storage unit 142 and is read by each unit as necessary.

[セットアップ処理]
本形態のセットアップ処理では、設定装置210がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づくハッシュ証明系の共通パラメータppを得て出力する。さらに設定装置210は、衝突困難性を持つ写像H:{0,1}*→Gを得て出力する。ppは鍵生成装置220に送られて格納され、ppおよびHは、認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
[Setup process]
In the setup process of this embodiment, the setting device 210 receives the security parameter 1 κ , executes the key generation algorithm Setup (1 κ ), obtains and outputs a common parameter pp of the hash certification system based on the label. Further, the setting device 210 obtains and outputs a map H: {0, 1} * → G K having a collision difficulty. pp is sent to and stored in the key generation device 220, and pp and H are sent to the authenticator generation device 230 and the verification device 240, and are stored in the storage units 132 and 142, respectively.

[鍵生成処理]
本形態の鍵生成処理では、鍵生成装置220が、共通パラメータppを入力とし、秘密鍵tをランダムに選択して出力する。秘密鍵tは認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
[Key generation process]
In the key generation processing of this embodiment, the key generation device 220 receives the common parameter pp, selects a secret key t at random, and outputs it. The secret key t is sent to the authenticator generation device 230 and the verification device 240 and stored in the storage units 132 and 142, respectively.

[認証子生成処理]
任意長のメッセージM∈{0,1}*が認証子生成装置230の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図4A)が実行される。
[Authentication generation process]
An arbitrary-length message Mε {0,1} * is input to the input unit 131 of the authenticator generation device 230, stored in the storage unit 132, and the following authenticator generation process (FIG. 4A) is executed.

対応鍵生成部133は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS131)。   The corresponding key generation unit 133 receives the first secret key t, applies the mapping μ to the first secret key t, and obtains and outputs the corresponding key f = μ (t) (step S131).

サンプリング部235aは、乱数rを一様分布に従って選択し(ステップS232)、サンプリングアルゴリズムSampR(r)を実行し、乱数rの像SampR(r)を乱数対応値υとして得て出力する(ステップS233)。   The sampling unit 235a selects the random number r according to the uniform distribution (step S232), executes the sampling algorithm SampR (r), and obtains and outputs the image SampR (r) of the random number r as the random number corresponding value υ (step S233). ).

ラベル情報生成部234は、対応鍵fと乱数対応値υとメッセージMとを入力とし、対応鍵fと乱数対応値υとメッセージMとを含む情報に写像Hを作用させてラベル情報d=H(f,υ,M)を得て出力する。対応鍵fと乱数対応値υとメッセージMとを含む情報の例は、対応鍵fのビット列表現値と乱数対応値υのビット列表現値とメッセージMとのビット結合値や、対応鍵fのビット列表現値と乱数対応値のビット列表現値υとメッセージMと付加ビット列とのビット結合値などである。写像Hがハッシュ関数である場合、ラベル情報dは、対応鍵fと乱数対応値υとメッセージMとを含む情報のダイジェスト値となる(ステップS234)。   The label information generation unit 234 receives the corresponding key f, the random number corresponding value υ, and the message M, and applies the mapping H to the information including the corresponding key f, the random number corresponding value υ, and the message M, so that the label information d = H (F, υ, M) is obtained and output. Examples of information including the correspondence key f, the random number correspondence value υ, and the message M include the bit string representation value of the correspondence key f, the bit string representation value of the random number correspondence value υ and the message M, and the bit string of the correspondence key f. The bit string expression value υ of the expression value and the random number corresponding value, the bit combination value of the message M and the additional bit string, and the like. When the mapping H is a hash function, the label information d is a digest value of information including the corresponding key f, the random number corresponding value υ, and the message M (step S234).

写像部235bは、共通パラメータppと秘密鍵tとラベル情報dと乱数対応値υとを入力とし、アルゴリズムPriv(pp,t,d,υ)を実行し、像j=Df,d(υ)を得て出力する。すなわち、像jは秘密鍵t(秘密鍵対応値)およびラベル情報dに対応する第2写像Df,dを乱数対応値υに作用させて得られる(ステップS235)。 The mapping unit 235b receives the common parameter pp, the secret key t, the label information d, and the random number corresponding value υ, executes the algorithm Priv (pp, t, d, υ), and the image j = D f, d (υ ) And output. That is, the image j is obtained by applying the second mapping D f, d corresponding to the secret key t (secret key corresponding value) and the label information d to the random number corresponding value υ (step S235).

出力部236は、乱数対応値υと像j(第2写像Df,d(υ)を乱数対応値υに作用させて得られる値)とを含むメッセージ認証子τ=(υ,j)を得て(ステップS237)、メッセージ認証子τとメッセージMとを出力する(ステップS138)。メッセージ認証子τとメッセージMとは検証装置240に送られる。 The output unit 236 generates a message authenticator τ = (υ, j) including a random number corresponding value υ and an image j (a value obtained by applying the second mapping D f, d (υ) to the random number corresponding value υ). Obtaining (step S237), the message authenticator τ and the message M are output (step S138). The message authenticator τ and the message M are sent to the verification device 240.

[検証処理]
メッセージ認証子τ=(υ,j)とメッセージMとが検証装置240の入力部141に入力され、記憶部142に格納され、以下の検証処理(図4B)が実行される。
[Verification processing]
The message authenticator τ = (υ, j) and the message M are input to the input unit 141 of the verification device 240, stored in the storage unit 142, and the following verification process (FIG. 4B) is executed.

対応鍵生成部143は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS141)。   The corresponding key generation unit 143 receives the first secret key t, applies the mapping μ to the first secret key t, and obtains and outputs the corresponding key f = μ (t) (step S141).

検証ラベル情報生成部244は、対応鍵fと乱数対応値υとメッセージMとを入力とし、対応鍵fと乱数対応値υとメッセージMとを含む情報に写像Hを作用させて検証ラベル情報d’=H(f,υ,M)∈Gを得て出力する。なお、検証ラベル情報生成部144での「写像H」および「対応鍵fと乱数対応値υとメッセージMとを含む情報」の構造は、ラベル情報生成部134での「写像H」および「対応鍵fと乱数対応値υとメッセージMとを含む情報」と同じである(ステップS242)。 The verification label information generation unit 244 receives the corresponding key f, the random number corresponding value υ, and the message M, and applies the mapping H to the information including the corresponding key f, the random number corresponding value υ, and the message M to verify the label information d. '= H (f, υ, M) εG K is obtained and output. The structure of “mapping H” and “information including correspondence key f, random number correspondence value υ and message M” in verification label information generation unit 144 is the same as “mapping H” and “correspondence in label information generation unit 134. It is the same as “information including key f, random number corresponding value υ, and message M” (step S242).

写像部245aは、共通パラメータppと秘密鍵tと検証ラベル情報d’と乱数対応値υとを入力とし、アルゴリズムPriv(pp,t,d’,υ)を実行し、像j’=Df,d’(υ)を得て出力する。すなわち、像j’は秘密鍵t(秘密鍵対応値)および検証ラベル情報d’に対応する第2写像Df,d’を乱数対応値υに作用させて得られる(ステップS243)。 The mapping unit 245a receives the common parameter pp, the secret key t, the verification label information d ′, and the random number corresponding value υ, executes the algorithm Priv (pp, t, d ′, υ), and the image j ′ = D f , D ′ (υ) are obtained and output. That is, the image j ′ is obtained by applying the second mapping D f, d ′ corresponding to the secret key t (secret key corresponding value) and the verification label information d ′ to the random number corresponding value υ (step S243).

判定部245bは、得られた像j’とメッセージ認証子τ=(υ,j)に含まれる像jとを入力とし、それらが一致するかを判定する(ステップS235)。ここで、像j’と像jとが一致しないと判定された場合(j’≠j)、出力部246は拒絶rejを出力し(ステップS247)、処理を終了する。一方、像j’と像jとが一致すると判定された場合(j’=j)、出力部246は受け入れaccを出力し(ステップS246)、処理を終了する。   The determination unit 245b receives the obtained image j ′ and the image j included in the message authenticator τ = (υ, j) as input, and determines whether they match (step S235). Here, when it is determined that the image j ′ and the image j do not match (j ′ ≠ j), the output unit 246 outputs a rejection ej (step S247), and the process ends. On the other hand, when it is determined that the image j ′ and the image j match (j ′ = j), the output unit 246 outputs an acceptance acc (step S246), and the process is terminated.

<第2実施形態の実施例>
第2実施形態の実施例として、DDH仮定に基づくハッシュ証明系に本形態を適用した例を示す。本実施例では、gおよびgが群G(可換群、例えば巡回群)の生成元、ラベル情報がd、検証ラベル情報がd’、秘密鍵がt=(x1,x2,y1,y2)、対応鍵が(X,Y)=(g x1 x2,g y1 y2)、乱数対応値がυ=(υ,υ)∈G 、認証子生成時の第2写像を乱数対応値に作用させて得られる値がj=υ x1*d+y1・υ x2*d+y2、検証時の第2写像を乱数対応値に作用させて得られる値がj’=υ x1*d’+y1・υ x2*d+y2である。
<Example of the second embodiment>
As an example of the second embodiment, an example in which the present embodiment is applied to a hash certification system based on the DDH assumption will be described. In this embodiment, g 1 and g 2 are generators of the group G K (commutative group, for example, cyclic group), the label information is d, the verification label information is d ′, and the secret key is t = (x1, x2, y1) , Y2), the corresponding key is (X, Y) = (g 1 x1 g 2 x2 , g 1 y1 g 2 y2 ), the random number corresponding value is υ = (υ 1 , υ 2 ) ∈G K 2 , The value obtained by applying the second mapping at the time to the random number corresponding value is j = υ 1 x1 * d + y1 · υ 2 x2 * d + y2 , and the value obtained by applying the second mapping at the time of verification to the random number corresponding value is j '= Υ 1 x1 * d' + y1 · υ 2 x2 * d + y2 .

以下に本実施例のSetup(1κ),鍵生成アルゴリズム,Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)の詳細を示す。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、gおよびgを位数qの群Gの生成元とし、g=g ωを(g,g)用の言語落とし戸とする。
鍵生成アルゴリズムは、共通パラメータppを入力とし、秘密鍵t=(x1,x2,y1,y2)∈Z を一様分布に従ってランダムに選択し、(x1,x2,y1,y2)に写像μを作用させて対応鍵(X,Y)=(g x1・g x2,g y1・g y2)を得る。
Pub(pp,μ(t),d,r)は、pp,μ(t)=(X,Y),d,rを入力とし、j=(X・Y)を計算して出力する。
Priv(pp,t,d,υ)は、pp,t,d,υ=(υ,υ)を入力とし、j=υ x1*d+y1・υ x2*d+y2を計算して出力する。
Details of Setup ( ), key generation algorithm, Pub (pp, μ (t), L, r), and Priv (pp, t, L, υ) of this embodiment will be described below.
Setup (1 κ ) takes security parameter 1 κ as input, g 1 and g 2 as generators of group G K of order q, and g 2 = g 1 ω is a language for (g 1 , g 2 ) Let it be a trapdoor.
The key generation algorithm receives the common parameter pp, selects a secret key t = (x1, x2, y1, y2) εZ q 4 at random according to a uniform distribution, and maps it to (x1, x2, y1, y2) The corresponding key (X, Y) = (g 1 x1 · g 2 x2 , g 1 y1 · g 2 y2 ) is obtained by applying μ.
Pub (pp, μ (t), d, r) inputs pp, μ (t) = (X, Y), d, r and calculates and outputs j = (X d · Y) r. .
Priv (pp, t, d, υ) takes pp, t, d, υ = (υ 1 , υ 2 ) as input, and calculates and outputs j = υ 1 x1 * d + y1 · υ 2 x2 * d + y2. .

[写像μの準同型性]
任意のΔ=(δ1,δ2,η1,η2)∈Z とt=(x1,x2,y1,y2)について以下が成立する。
μ(t+Δ)=(g x1+δ1・g x2+δ2,g y1+η1・g y2+η2
=(g1x1・g2x2・g1δ1・g2δ2
g1y1・g2y2・g1η1・g2η2
=(g x1・g x2,g y1・g y2)・
(g δ1・g δ2,g η1・g η2
=μ(t)・μ(Δ)
よって写像μは準同型性を有する。
[Homomorphism of map μ]
The following holds for any Δ = (δ1, δ2, η1, η2) εZ q 4 and t = (x1, x2, y1, y2).
μ (t + Δ) = (g 1 x1 + δ1 · g 2 x2 + δ2 , g 1 y1 + η1 · g 2 y2 + η2 )
= (G1 x1 · g2 x2 · g1 δ1 · g2 δ2 ,
g1 y1 · g2 y2 · g1 η1 · g2 η2 )
= (G 1 x1 · g 2 x2 , g 1 y1 · g 2 y2 ) ·
(G 1 δ1 · g 2 δ2 , g 1 η1 · g 2 η2 )
= Μ (t) · μ (Δ)
Therefore, the map μ has homomorphism.

[写像Df,dの準同型性]
任意のΔ=(δ1,δ2,η1,η2)、μ(t+Δ)=(g x1+δ1・g x2+δ2,g y1+η1・g y2+η2)、ラベル情報dおよびυ=(υ,υ)∈G について以下が成立する。
μ(t+Δ),d(υ,υ)=υ (x1+δ1)d+(y1+η1)・υ (x2+δ2)d+(y2+η2)
=υ x1*d+y1・υ x2*d+y2・υ δ1*d+η1・υ δ2*d+η2
=Dμ(t),d(υ,υ)・Dμ(δ),d(υ,υ
よって写像Df,dは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、(g,g)の離散対数仮定により証明可能である。
[Homomorphism of map D f, d ]
Arbitrary Δ = (δ1, δ2, η1, η2), μ (t + Δ) = (g 1 x1 + δ1 · g 2 x2 + δ2 , g 1 y1 + η1 · g 2 y2 + η2 ), label information d and υ = (υ 1 , υ 2 ) The following holds for ∈ G K 2 .
D μ (t + Δ), d1 , υ 2 ) = υ 1 (x1 + δ1) d + (y1 + η1) · υ 2 (x2 + δ2) d + (y2 + η2)
= Υ 1 x1 * d + y1 · υ 2 x2 * d + y2 · υ 1 δ1 * d + η1 · υ 2 δ2 * d + η2
= D [ mu] (t), d ([nu] 1 , [nu] 2 ) .D [ mu] ([delta]), d ([nu] 1 , [nu] 2 ).
Therefore, the map D f, d has homomorphism.
[Collision difficulty of map μ]
The collision difficulty of the map μ can be proved by the discrete logarithm assumption of (g 1 , g 2 ).

[非特許文献3に基づくメッセージ認証子方式]
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵t=(t1,t2,t3,t4)∈Z をランダムに選択する。
認証子生成:認証子生成アルゴリズムは、メッセージM∈Zについて、υ=(υ,υ)=(g ,g )をランダムに選び、ラベル情報L=Mとする。ただしg,gは群Gの生成元である。さらに認証子生成アルゴリズムは、j=Df,L(υ)=υ x1*L+y1・υ x2*L+y2を計算し、τ=(υ,υ,j)をメッセージ認証子として出力する。
検証:検証アルゴリズムは、τとMを入力とし、ラベル情報L=Mとし、j’=Df,L(υ)=υ x1*L+y1・υ x2*L+y2を計算し、j’= jであればaccを出力し、そうでないならrejを出力する。
[Message authenticator based on Non-Patent Document 3]
A message authenticator method based on Non-Patent Document 3 will be exemplified below.
Key generation: The key generation algorithm randomly selects the secret key t = (t1, t2, t3, t4) εZ q 4 .
Authentication code generation: The authentication code generation algorithm randomly selects υ = (υ 1 , υ 2 ) = (g 1 r , g 2 r ) for the message MεZ q and sets the label information L = M. However, g 1 and g 2 are generators of the group G K. Further, the authenticator generation algorithm calculates j = D f, L (υ) = υ 1 x1 * L + y1 · υ 2 x2 * L + y2, and outputs τ = (υ 1 , υ 2 , j) as a message authenticator. .
Verification: The verification algorithm takes τ and M as inputs, sets label information L = M, calculates j ′ = D f, L (υ) = υ 1 x1 * L + y1 · υ 2 x2 * L + y2 , and j ′ = j If so, acc is output, and if not, rej is output.

[加法的な関連鍵攻撃]
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈Zとする。
2.敵は(0,0,0,0)以外のΔ=(δ1,δ2,η1,η2)∈Z を適当に選ぶ
3.敵は秘密鍵t=(t1,t2,t3,t4)を関連鍵φ(t)=(t1+δ1,t2+δ2,t3+η1,t4+η2)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(υ,υ,j’’)=(υ,υ,Dμ(t+ξ),M(υ,υ))=(υ,υ,υ (x1+δ1)M+(y1+η1)・υ (x2+δ2)M+(y2+η2)
ここで、c=g ,c=g である。
5.敵は上記の返答を用い、以下を計算する。
j=j’’・(υ δ1*M+η1・υ δ2*M+η2−1
=υ x1*M+y1・υ x2*M+y2=Dμ(t),M(υ,υ
6.敵は偽造したメッセージ認証子τ=(c,c,j)を出力する。
このメッセージ認証子τは、秘密鍵t=(t1,t2,t3,t4)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
[Additive key attack]
The following additive key attack succeeds against the message authenticator method based on Non-Patent Document 3 described above.
1. The enemy sets the counterfeit message to M∈Z q .
2. 2. Enemy properly selects Δ = (δ1, δ2, η1, η2) εZ q 4 other than (0, 0, 0, 0) The enemy makes an inquiry to the oracle machine R-Tag κ with the mapping φ that maps the secret key t = (t1, t2, t3, t4) to the related key φ (t) = (t1 + δ1, t2 + δ2, t3 + η1, t4 + η2) and the message M.
4). The enemy receives the following as a reply from the oracle machine R-Tag κ .
τ ′ = (υ 1 , υ 2 , j ″) = (υ 1 , υ 2 , D μ (t + ξ), M1 , υ 2 )) = (υ 1 , υ 2 , υ 1 (x1 + δ1) M + (y1 + η1) · υ 2 (x2 + δ2) M + (y2 + η2) )
Here, c 1 = g 1 r and c 2 = g 2 r .
5. The enemy uses the above response to calculate:
j = j ″ · (ν 1 δ1 * M + η1 · υ 2 δ2 * M + η2 ) −1
= Υ 1 x1 * M + y1 · υ 2 x2 * M + y2 = D μ (t), M1 , υ 2 )
6). The enemy outputs a forged message authenticator τ = (c 1 , c 2 , j).
This message authenticator τ is the same as that obtained for the forged message M using the secret key t = (t1, t2, t3, t4), and the verification algorithm outputs acc. Therefore, the gain of Expression (1) is 1.

この攻撃は秘密鍵tとその関連鍵φ(t)とでラベル情報L=Mが変化しないことに基づいている。これに対し、本形態のラベル情報は、対応鍵f=μ(t)と乱数対応値υとメッセージMとを含む情報に対応するd=H(f,υ,M)である。すなわち本形態では、秘密鍵tに対応するラベル情報H(μ(t),υ,M)と関連鍵φ(t)に対応するラベル情報H(μ(φ(t)),M)とが異なる。よって、この攻撃は本形態には通じず、従来方式よりも式(1)の利得が小さくなる。なお、写像Hの衝突困難性により、μ(t)≠μ(φ(t))かつH(μ(t),υ,M)=H(μ(φ(t)),υ,M)となる確率は無視できるほど小さい。また、写像μの衝突困難性により、t≠μ(t)かつμ(t)=μ(φ(t))となる確率は無視できるほど小さい。   This attack is based on the fact that the label information L = M does not change between the secret key t and its associated key φ (t). On the other hand, the label information of this embodiment is d = H (f, υ, M) corresponding to information including the corresponding key f = μ (t), the random number corresponding value υ, and the message M. That is, in this embodiment, label information H (μ (t), υ, M) corresponding to the secret key t and label information H (μ (φ (t)), M) corresponding to the related key φ (t) are obtained. Different. Therefore, this attack does not lead to this form, and the gain of Expression (1) is smaller than that of the conventional method. Note that due to the collision difficulty of the map H, μ (t) ≠ μ (φ (t)) and H (μ (t), υ, M) = H (μ (φ (t)), υ, M). The probability of becoming so small is negligible. Further, due to the difficulty of collision of the mapping μ, the probability that t ≠ μ (t) and μ (t) = μ (φ (t)) is negligibly small.

<その他の変形例等>
本発明は上述の実施の形態に限定されるものではない。例えば、認証子生成装置や検証装置が複数存在してもよい。上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
<Other variations, etc.>
The present invention is not limited to the above-described embodiment. For example, a plurality of authenticator generation devices and verification devices may exist. The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。   When the above configuration is realized by a computer, the processing contents of the functions that each device should have are described by a program. By executing this program on a computer, the above processing functions are realized on the computer. The program describing the processing contents can be recorded on a computer-readable recording medium. An example of a computer-readable recording medium is a non-transitory recording medium. Examples of such a recording medium are a magnetic recording device, an optical disk, a magneto-optical recording medium, a semiconductor memory, and the like.

このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   This program is distributed, for example, by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads a program stored in its own recording device and executes a process according to the read program. As another execution form of the program, the computer may read the program directly from the portable recording medium and execute processing according to the program, and each time the program is transferred from the server computer to the computer. The processing according to the received program may be executed sequentially. The above-described processing may be executed by a so-called ASP (Application Service Provider) type service that realizes a processing function only by an execution instruction and result acquisition without transferring a program from the server computer to the computer. Good.

上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。   In the above embodiment, the processing functions of the apparatus are realized by executing a predetermined program on a computer. However, at least a part of these processing functions may be realized by hardware.

1,2 認証システム
110,210 設定装置
120,220 鍵生成装置
130,230 認証子生成装置
140,240 検証装置
1, 2 Authentication system 110, 210 Setting device 120, 220 Key generation device 130, 230 Authentication code generation device 140, 240 Verification device

Claims (15)

秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が前記秘密鍵を含む情報に対応し、
前記対応鍵とメッセージとを含む情報に対応するラベル情報を得るラベル情報生成部と、
前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像と前記乱数対応値とを含むメッセージ認証子を得るメッセージ認証子生成部と、
を有する認証子生成装置。
A secret key and a corresponding key are a key pair, a random number corresponding value corresponds to information including a random number, a secret key corresponding value corresponds to information including the secret key,
A label information generating unit for obtaining label information corresponding to information including the corresponding key and the message;
A message authenticator generating unit for obtaining a message authenticator including an image of the random number corresponding value, the secret key corresponding value, and the label information, and the random number corresponding value;
An authenticator generation device having
請求項1の認証子生成装置であって、
前記ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
ことを特徴とする認証子生成装置。
The authenticator generation device according to claim 1,
The label information is a value obtained by applying a mapping having difficulty in collision to information including the corresponding key and the message.
An authenticator generation device characterized by the above.
請求項1または2の認証子生成装置であって、
前記秘密鍵が、第1秘密鍵と第2秘密鍵とを含み、
前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
前記乱数対応値が、前記対応鍵と署名検証鍵とに対応する第2写像を前記乱数に作用させて得られる値であり、
前記秘密鍵対応値が、前記乱数に対応する共通鍵で前記第2秘密鍵を暗号化することで得られる暗号文であり、
前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像が、前記署名検証鍵に対応する署名生成鍵を用いて、前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とを含む情報に対して得られた署名であり、
前記メッセージ認証子が、前記署名検証鍵と前記乱数対応値と前記秘密鍵対応値と前記署名とを含む、
ことを特徴とする認証子生成装置。
The authenticator generating device according to claim 1 or 2,
The secret key includes a first secret key and a second secret key;
The corresponding key is a value obtained by applying a first mapping to the first secret key;
The random number corresponding value is a value obtained by applying a second mapping corresponding to the corresponding key and the signature verification key to the random number;
The secret key corresponding value is a ciphertext obtained by encrypting the second secret key with a common key corresponding to the random number;
An image of the random number corresponding value, the secret key corresponding value, and the label information includes the random number corresponding value, the secret key corresponding value, and the label information using a signature generation key corresponding to the signature verification key. A signature obtained on the information,
The message authenticator includes the signature verification key, the random number corresponding value, the secret key corresponding value, and the signature.
An authenticator generation device characterized by the above.
請求項3の認証子生成装置であって、
Λ,Ωおよびκが定数、gが位数Nの群の生成元、rが第2乱数、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数がs=gΩr、前記乱数対応値がy=(u,w)、u=gΩΛr、w=(f・govk、前記署名検証鍵がovk、前記共通鍵が(lsb(s),lsb(s),…,lsb(sv(κ−1)))、v(i)=2、lsb(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報である、
ことを特徴とする認証子生成装置。
An authenticator generating device according to claim 3, wherein
Λ, Ω and κ are constants, g is a generator of a group of order N, r is a second random number, the first secret key is t, the second secret key is k, and the corresponding key is f = g ΛΩt , The random number is s = g Ωr , the random number corresponding value is y = (u, w), u = g ΩΛr , w = (f · g ovk ) r , the signature verification key is ovk, and the common key is (lsb N (S), lsb N (s 2 ),..., Lsb N (s v (κ−1) )), v (i) = 2 i , lsb N (α) is α − (N−1) / 2 This is information corresponding to a value expressed by an integer of (N-1) / 2 or less.
An authenticator generation device characterized by the above.
請求項3の認証子生成装置であって、
vおよびhが群の元、gが前記群の生成元、rが第2乱数、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=g、前記乱数がs=v、前記乱数対応値がy=(u,w)、u=g、w=(f・vovk、前記署名検証鍵がovk、前記共通鍵がe(s,h)である、
ことを特徴とする認証子生成装置。
An authenticator generating device according to claim 3, wherein
v and h are group elements, g is a generator of the group, r is a second random number, e is a bilinear mapping, the first secret key is t, the second secret key is k, and the corresponding key is f = g t , the random number is s = v r , the random number corresponding value is y = (u, w), u = g r , w = (f · v ovk ) r , the signature verification key is ovk, and the common key is e (s, h),
An authenticator generation device characterized by the above.
請求項3からの何れかの認証子生成装置であって、
前記第1写像および前記第2写像が準同型性写像である、
ことを特徴とする認証子生成装置。
The authenticator generation device according to any one of claims 3 to 5 ,
The first map and the second map are homomorphic maps;
An authenticator generation device characterized by the above.
秘密鍵と対応鍵とが鍵ペアであり、
前記対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得る検証ラベル情報生成部と、
メッセージ認証子と秘密鍵対応値と前記検証ラベル情報とを用い、前記メッセージを検証する検証部と、を有し、
前記メッセージ認証子が、乱数対応値と前記秘密鍵対応値とラベル情報とに対する像と前記乱数対応値とを含む、
ことを特徴とする検証装置。
The private key and the corresponding key are a key pair,
A verification label information generation unit for obtaining verification label information corresponding to information including the corresponding key and the message;
Using a message authenticator, a secret key correspondence value, and the verification label information, and a verification unit that verifies the message,
The message authenticator includes a random number corresponding value, an image for the secret key corresponding value, and label information, and the random number corresponding value;
A verification apparatus characterized by that.
請求項の検証装置であって、
前記検証ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
ことを特徴とする検証装置。
The verification device according to claim 7 , comprising:
The verification label information is a value obtained by applying a mapping having difficulty in collision to information including the corresponding key and the message.
A verification apparatus characterized by that.
請求項またはの検証装置であって、
前記秘密鍵が、第1秘密鍵を含み、
前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
前記メッセージ認証子が、署名検証鍵と前記乱数対応値と前記秘密鍵対応値と署名とを含み、
前記検証部が、前記署名検証鍵を用い、前記乱数対応値と前記秘密鍵対応値と前記検証ラベル情報とを含む情報に対して前記署名が合格であるかを検証する署名検証部を含む、
ことを特徴とする検証装置。
The verification device according to claim 7 or 8 , comprising:
The secret key includes a first secret key;
The corresponding key is a value obtained by applying a first mapping to the first secret key;
The message authenticator includes a signature verification key, the random number corresponding value, the secret key corresponding value, and a signature;
The verification unit includes a signature verification unit that uses the signature verification key to verify whether the signature is valid for information including the random number corresponding value, the secret key corresponding value, and the verification label information;
A verification apparatus characterized by that.
請求項の検証装置であって、
前記秘密鍵が、さらに第2秘密鍵を含み、
前記検証部が、
前記対応鍵と前記署名検証鍵とに対応する逆元探索写像を前記乱数対応値に作用させて乱数復元値を得る逆元探索部と、
前記乱数復元値に対応する共通鍵で前記秘密鍵対応値を復号して得られる復号値と前記第2秘密鍵とが一致するかを判定する判定部と、をさらに含む、
ことを特徴とする検証装置。
The verification device according to claim 9 , comprising:
The secret key further includes a second secret key;
The verification unit
An inverse element search unit that obtains a random number restoration value by operating an inverse element search map corresponding to the corresponding key and the signature verification key on the random number corresponding value;
A determination unit that determines whether the decrypted value obtained by decrypting the secret key corresponding value with the common key corresponding to the random number restoration value matches the second secret key;
A verification apparatus characterized by that.
請求項1の検証装置であって、
Λ,Ωおよびκが定数、gが位数Nの群の生成元、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数復元値がs、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵が(lsb(s),lsb(s),…,lsb(sv(κ−1)))、v(i)=2、lsb(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報であり、
前記逆元探索部が、2=a*ovk+bΛΩを満たす整数a,b,cに対する(w・ub−atv(ovk−c)を前記乱数復元値として得る、
ことを特徴とする検証装置。
A verification device according to claim 1 0,
Λ, Ω, and κ are constants, g is a generator of group N, the first secret key is t, the second secret key is k, the corresponding key is f = g ΛΩt , and the random number restoration value is s , The random number corresponding value is y = (u, w), the signature verification key is ovk, and the common key is (lsb N (s), lsb N (s 2 ),..., Lsb N (s v (κ−1) ) )), V (i) = 2 i , lsb N (α) is information corresponding to a value in which α is represented by an integer of − (N−1) / 2 or more and (N−1) / 2 or less,
The inverse element search unit obtains (w a · u b-at ) v (ovk−c) for integers a, b, c satisfying 2 c = a * ovk + bΛΩ as the random number restoration value,
A verification apparatus characterized by that.
請求項1の検証装置であって、
vおよびhが群の元、gが前記群の生成元、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=g、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵がe(s,h)であり、
前記逆元探索部が、(w・u−t(1/ovk)を前記乱数復元値として得る、
ことを特徴とする検証装置。
A verification device according to claim 1 0,
v and h are group elements, g is the group generator, e is a bilinear mapping, the first secret key is t, the second secret key is k, the corresponding key is f = g t , and the random number is supported The value is y = (u, w), the signature verification key is ovk, the common key is e (s, h),
The inverse element search unit obtains (w · u −t ) (1 / ovk) as the random number restoration value;
A verification apparatus characterized by that.
請求項9から1の何れかの検証装置であって、
前記第1写像が準同型性写像である、
ことを特徴とする検証装置。
Be any of the verification device of claims 9 1 2,
The first shooting image is homomorphism mapping,
A verification apparatus characterized by that.
請求項1からの何れかの認証子生成装置としてコンピュータを機能させるためのプログラム。 Program for causing a computer to function as one of the authentication code generation apparatus of claims 1 6. 請求項から1の何れかの検証装置としてコンピュータを機能させるためのプログラム。 Program for causing a computer to function as any of the verification device of claims 7 1 3.
JP2013003625A 2013-01-11 2013-01-11 Authenticator generation device, verification device, and program Active JP5871826B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013003625A JP5871826B2 (en) 2013-01-11 2013-01-11 Authenticator generation device, verification device, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013003625A JP5871826B2 (en) 2013-01-11 2013-01-11 Authenticator generation device, verification device, and program

Publications (2)

Publication Number Publication Date
JP2014135684A JP2014135684A (en) 2014-07-24
JP5871826B2 true JP5871826B2 (en) 2016-03-01

Family

ID=51413656

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013003625A Active JP5871826B2 (en) 2013-01-11 2013-01-11 Authenticator generation device, verification device, and program

Country Status (1)

Country Link
JP (1) JP5871826B2 (en)

Also Published As

Publication number Publication date
JP2014135684A (en) 2014-07-24

Similar Documents

Publication Publication Date Title
US10484182B2 (en) Encrypted text verification system, method, and recording medium
WO2011061994A1 (en) Information processing device, key generating device, signature verifying device, information processing method, signature generating method, and program
CN108604984B (en) Method and system for interest encryption in content-centric networks
WO2007105749A1 (en) Group signature system and information processing method
US20180239910A1 (en) Encrypted text verification system, method and recording medium
Xin et al. Identity-based quantum designated verifier signature
JP2014157354A (en) Cryptographic devices and methods for generating and verifying linearly homomorphic structure-preserving signatures
CN116846579B (en) A Data Validation Method for Industrial Internet of Things
JP6075785B2 (en) Cryptographic communication system, cryptographic communication method, program
CN117220893A (en) An efficient cloud storage data integrity audit method based on national secret SM9
Iwasaki et al. Tightly-secure identity-based structured aggregate signature scheme under the computational Diffie-Hellman assumption
JP5871826B2 (en) Authenticator generation device, verification device, and program
Sarier A new biometric identity based encryption scheme secure against DoS attacks
Jager et al. Short digital signatures and ID-KEMs via truncation collision resistance
JP2017038336A (en) Decryption method
CN119232417A (en) A method and device for data encryption transmission
JP5069157B2 (en) Signature system, signature method, verification device, verification device, verification method, verification method, program
Lin et al. F2P‐ABS: A Fast and Secure Attribute‐Based Signature for Mobile Platforms
Kajita et al. Short lattice signatures in the standard model with efficient tag generation
JP6228912B2 (en) Blind secret key issuing system, blind data retrieval system, these methods, key generation server, decryption device, and program
JP5871827B2 (en) Safety enhancement system, safety enhancement device, verification device, and program
JP5815754B2 (en) Signature verification system, signature device, verification device, and signature verification method
WO2017170780A1 (en) Cryptogram collation system, node device, cryptogram collation method, and program
Blazy et al. Identity-based encryption in DDH hard groups
JP4891844B2 (en) Signature format conversion apparatus, pre-processing apparatus, signature verification apparatus, signature format conversion method, program, and storage medium thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160112

R150 Certificate of patent or registration of utility model

Ref document number: 5871826

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350