JP5871826B2 - 認証子生成装置、検証装置、およびプログラム - Google Patents
認証子生成装置、検証装置、およびプログラム Download PDFInfo
- Publication number
- JP5871826B2 JP5871826B2 JP2013003625A JP2013003625A JP5871826B2 JP 5871826 B2 JP5871826 B2 JP 5871826B2 JP 2013003625 A JP2013003625 A JP 2013003625A JP 2013003625 A JP2013003625 A JP 2013003625A JP 5871826 B2 JP5871826 B2 JP 5871826B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- random number
- verification
- value
- secret key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
<定義>
各実施形態で用いる記号や用語を定義する。
[ラベルに基づく適応的トラップドア関係の属]
ラベルに基づく適応的トラップドア関係(ATR:Adaptive Trapdoor Relations)の属は、以下の属Ff,LとアルゴリズムSetup(1κ),TrapGen(pp),Samp(pp,f,L),G(s)とからなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。1κはκ個の1からなる列を表す。κは1以上の所定の整数である。
TrapGen(pp)は、鍵生成アルゴリズムであり、ppを入力とし、秘密鍵tとそれに対応する対応鍵(例えば公開鍵)fとの鍵ペア(f,t)を得て出力する。鍵ペア(f,t)は、写像μ(第1写像)に対してf=μ(t)の関係を満たす。すなわち、tの鍵空間を表す集合がTSであり、fの鍵空間を表す集合がFSである場合、写像μは鍵空間TSを鍵空間FSに写す写像μ:TS→FSである。本形態の写像μは準同型性写像である。また、写像の例は関数やアルゴリズムなどである。
Samp(pp,f,L)は、公開サンプリングアルゴリズムであり、ppとfとラベル情報Lとを入力とし、乱数sとy=Ff,L(s)とを得て出力する。Ff,Lは、fとLとの組に対応する単射なラベル付き写像の属である。言い換えると、Ff,Lは、fとLとの組に対応する単射な写像を要素とする集合である。すなわち、y=Ff,L(s)は、pp,f,L,sを入力とし、fとLとの組に対応する単射な写像をsに作用させてyを得て出力することを表す。本形態のFf,L(s)は準同型性を持つ。Inv(pp,t,L,y)は、逆元探索アルゴリズムであり、pp,t,L,yを入力とし、逆元s=Ff,L −1(y)を出力する。
G(s)は、抽出アルゴリズムであり、sを入力として共通鍵(セッション鍵)G(s)∈GKを出力する。GKは加法的な可換群(アーベル群)を表す。
ラベルに基づくハッシュ証明系(HPS:hash proof system)は、以下のアルゴリズムSetup(1κ),SampR(r),Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)からなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。ppは、有限集合Υ,ν,FS,TS、写像の集合Df,L、および写像μである。ν⊂Υであり、Df,Lはf∈FSとL∈LSとの組に対応する写像を要素とする集合であり、LSはラベル情報Lの空間を表す集合である。
SampR(r)は、サンプリングアルゴリズムであり、乱数rを入力とし、υ∈ν⊂Υを得て出力する。
Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを用い、fとLとの組に対応する写像をυに作用させて得られる値jを計算して出力する。
Priv(pp,t,L,υ)は、pp,t,L,υを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Priv(pp,t,L,υ)は、fとLとの組に対応する写像Df,Lをυに作用させて値jを得て出力する。本形態の写像Df,Lは準同型性を持つ。
双線形写像e:GK×GK→GTは、双線形性、非退化性および効率的計算可能性を持つ写像である。ただし、GK,GTは位数が素数qである可換群である。
双線形性により、任意のh1,h2∈GKおよび任意のα,β∈Zqについてe(h1 α,h2 β)=e(h1,h2)αβとなる。非退化性により、e(h1,h1)のGTでの位数がqとなる。効率的計算可能性により、eを効率よく計算することができる。なお、Zqはqによる剰余群を表す。双線形写像の例はペアリングである。
使い捨て署名は、三つ組のアルゴリズムots.gen(1κ),ots.sign(osk,M),ots.vrfy(ovk,σ)からなる。
ots.gen(1κ)は、鍵生成アルゴリズムであり、セキュリティパラメータ1κを入力とし、署名検証鍵ovkとそれに対応する署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する。
ots.sign(osk,m)は、署名生成アルゴリズムであり、oskとメッセージmとを入力として、署名σを得て出力する。
ots.vrfy(ovk,σ,m)は、署名検証アルゴリズムであり、ovk,σ,mを入力として署名検証を行って、受け入れaccまたは拒絶rejを出力する。
写像Hが衝突困難性を持つとは、多項式時間で動作する敵が、写像の属からそれに属する写像Hを定める情報とセキュリティパラメータ1κとを受け取ったとき、γ≠δかつH(γ)=H(δ)なる組(γ,δ)を無視できる確率でしか出力することができないことを表す。衝突困難性を持つ写像Hの例は、SHA−1等の暗号学的なハッシュ関数などである。通常、衝突困難性を持つ写像は一方向性も持つ。
各実施形態に共通する原理を説明する。
認証子生成装置は、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と乱数対応値とを含むメッセージ認証子を得、メッセージとメッセージ認証子とを出力する。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。
第1実施形態を説明する。第1実施形態は、ラベルに基づく適応的トラップドア関係の属に上述の原理を適用したものである。
[構成]
図1に例示するように、本形態の認証システム1は、設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とを有する。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とは、それぞれ、CPU(central processing unit)、RAM(random-access memory)等を含む汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
本形態のセットアップ処理では、設定装置110がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づく適応的トラップドア関係の属の共通パラメータppを得て出力する。さらに設定装置110は、衝突困難性を持つ写像H:{0,1}*→GKを得て出力する。例えば、設定装置110は、暗号学的なハッシュ関数を写像Hとして出力する。ppは鍵生成装置120に送られて格納され、ppおよびHは、認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
本形態の鍵生成処理では、鍵生成装置120が、共通パラメータppを入力とし、鍵生成アルゴリズムTrapGen(pp)を実行して鍵ペア(f,t)を得る。さらに鍵生成装置120は、群GKからランダムに秘密鍵k∈GKを得る。鍵生成装置120は、第1秘密鍵tおよび第2秘密鍵kからなる秘密鍵(t,k)を出力する。秘密鍵(t,k)は認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
任意長のメッセージM∈{0,1}*が認証子生成装置130の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図2A)が実行される。
メッセージ認証子τ=(ovk,y,c,σ)とメッセージMとが検証装置140の入力部141に入力され、記憶部142に格納され、以下の検証処理(図2B)が実行される。
第1実施形態の実施例1として、「参考文献1:Hoeteck Wee, “Public key encryption against related key attacks,” in Marc Fischlin, Johannes Buchmann, and Mark Manulis, editors, PKC 2012, volume 7293 of Lecture Notes in Computer Science, pages 262-279, Springer, Heidelberg, 2012.」および「参考文献2:Dennis Hofheinz and Eike Kiltz, “Practical chosen ciphertext secure encryption from factoring,” in Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of Lecture Notes in Computer Science, pages 313-332, Springer, Heidelberg, 2009.」に開示された素因数分解仮定に基づく適応的トラップドア関係に本発明を適用した例を示す。本実施例では、Λ,Ω,κおよびωが定数、gが位数Nの群の生成元、rが乱数、f=gΛΩt、s=gΩr、y=(u,w)、u=gΩΛr、w=(f・govk)r、共通鍵が(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))、v(i)=2i、lsbN(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報となり、乱数復元値が2c=a*ovk+bΛΩを満たす整数a,b,cに対するs’=(wa・ub−at)v(ovk−c)である。ただし「α*β」はαとβとの乗算を表し、特に混乱がない場合にはαとβとの乗算を「αβ」と表記する。
QRN +={|x||x∈QRN +}
JN +={|x||x∈JN} (すなわち、JN +=JN/(±1))
ただし、ZN *はNによる剰余のうちで逆元をもつもの全体がなす群であり、JNはヤコビ記号1のものがなすZN *の部分群であり、QRNは平方剰余がなす群であり、|x|∈ZNはx∈[−(N−1)/2,(N−1)/2]とみたときのxの絶対値である。
本実施例のG(s)で得られる共通鍵は{0,1}κの元である。{0,1}κは位数2の有限体GF(2)のκ次拡大体GF(2)κとみることができる。従って本実施例のG(s)で得られる共通鍵は加法的な可換群の元であるといえる。
任意のΔ∈Zとt∈[1,(N−1)/4]について以下が成立する。ただし、Zは整数集合を表す。
μ(t+Δ)=gΛΩ(t+Δ)=gΛΩt・gΛΩΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
t∈[1,(N−1)/4]と任意のovkについてs=gΩrとしたとき、Fμ(t),ovk(s)=(u,w)=(gΩΛr,(gΛΩt・govk)r)である。このとき任意のΔ∈Zについて、以下が成立する。
Fμ(t+Δ),ovk(s)=(gΩΛr,(gΛΩ(t+Δ)・govk)r)
=(gΩΛr,(gΛΩt・govk)r・gΛΩrΔ)
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
第1実施形態の実施例2として、非特許文献3に開示されたDBDH仮定に基づく適応的トラップドア関係に本形態を適用した例を示す。本実施例では、vおよびhが群の元、gが群の生成元、rが乱数、eが双線形写像、第1秘密鍵がt、第2秘密鍵がkであり、f=gt、s=vr、y=(u,w)、u=gr、w=(f・vovk)rであり、共通鍵がe(s,h)、乱数復元値がs’=(w・u−t)(1/ovk)である。以下に本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。
本実施例のG(s)で得られる共通鍵は可換群GTの元である。
任意のΔ∈Zqとt∈Zqについて以下が成立する。
μ(t+Δ)=g(t+Δ)=gt・gΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
t∈Zqと任意のovkについてs=vrとしたとき、Fμ(t),ovk(s)=(u,w)=(gr,(gt・vovk)r)である。このとき任意のΔ∈Zqについて、以下が成立する。
Fμ(t+Δ),ovk(s)=(gr,(gt+Δ・vovk)r)
=(gr,(gt・vovk)r・gΔr)
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、gの離散対数仮定により証明可能である。
次に本形態の方式の関連鍵攻撃に対する安全性を説明する。
[関連鍵攻撃に対する安全性の指標]
関連鍵攻撃に対する安全性の指標として、敵Aの利得を以下のように定義する。
Pr|Θ|は|Θ|の確率を表す。KS(pp)は、共通パラメータppを入力として秘密鍵key(第1実施形態ではkey=(t,k))を出力する鍵生成アルゴリズムである。R−Tagκは関連鍵攻撃の秘密鍵間の写像φとメッセージMとを入力とし、pp,key,Mに対する署名TAG(pp,φ(key),M)を返す神託機械である。LTは神託機械R−Tagκへの問合せ内容の順序付きリスト((φ1,M1),...,(φη,Mη))である。任意の多項式時間の敵Aに対して、式(1)の利得が無視できるとき、メッセージ認証子はUF−RK−CMVA安全であるという。
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵(t,k)=((t1,t2,t3,t4),k)∈Zq 4×GKをランダムに選択する。g1,g2が群GKの生成元であり、暗黙ではあるがg2=g1 t1である。
認証子生成:認証子生成アルゴリズムは、メッセージM∈{0,1}*について、rを乱数とし、c1=g1 r、c2=c1 t1(=g2 r)、ラベル情報L=H(c1,c2,M)とする。さらに認証子生成アルゴリズムは、ν=c1 t2*L+t3,c=k・c1 t4とし、メッセージ認証子τ=(c1,c2,ν,c)を出力する。
検証:検証アルゴリズムは、τとMを入力とし、L’=H(c1,c2,M)を得て、ν=c1 t2*L’+t3およびk=c・c1 −t4かどうかを確かめ、ν=c1 t2*L’+t3およびk=c・c1 −t4であればaccを出力し、そうでないならrejを出力する。
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈{0,1}*とする。
2.敵は0以外のδ,η∈Zqを適当に選び、Δ=(0,ξ2,ξ3,0,1G)∈Zq 4×GKとする。ただし、1Gは群GKの単位元である。
3.敵は秘密鍵(t,k)=((t1,t2,t3,t4),k)を関連鍵φ(t,k)=(t+ξ,k)=((t1,t2+ξ2,t3+ξ3,t4),k)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(c1,c2,ν’,c)=(c1,c2,c1 (t2+ξ2)*L+(t3+ξ3),k・c1 t4)
ここで、L=H(c1,c2,M),c1=g1 r,c2=g2 r(=c1 t1)である。
5.敵は上記の返答を用い、L=H(c1,c2,M)を計算し、さらにν=ν’・(c1 ξ2*L・c1 ξ3)−1を計算する。
6.敵は偽造したメッセージ認証子τ=(c1,c2,ν,c)を出力する。
このメッセージ認証子τは、秘密鍵(t,k)=((t1,t2,t3,t4),k)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
第2実施形態を説明する。第1実施形態は、ラベルに基づくハッシュ証明系に上述の原理を適用したものである。以下では第1実施形態との相違点を説明し、第1実施形態と共通する事項については説明を簡略化する。
[構成]
図2に例示するように、本形態の認証システム2は、設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とを有する。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
本形態のセットアップ処理では、設定装置210がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づくハッシュ証明系の共通パラメータppを得て出力する。さらに設定装置210は、衝突困難性を持つ写像H:{0,1}*→GKを得て出力する。ppは鍵生成装置220に送られて格納され、ppおよびHは、認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
本形態の鍵生成処理では、鍵生成装置220が、共通パラメータppを入力とし、秘密鍵tをランダムに選択して出力する。秘密鍵tは認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
任意長のメッセージM∈{0,1}*が認証子生成装置230の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図4A)が実行される。
メッセージ認証子τ=(υ,j)とメッセージMとが検証装置240の入力部141に入力され、記憶部142に格納され、以下の検証処理(図4B)が実行される。
第2実施形態の実施例として、DDH仮定に基づくハッシュ証明系に本形態を適用した例を示す。本実施例では、g1およびg2が群GK(可換群、例えば巡回群)の生成元、ラベル情報がd、検証ラベル情報がd’、秘密鍵がt=(x1,x2,y1,y2)、対応鍵が(X,Y)=(g1 x1g2 x2,g1 y1g2 y2)、乱数対応値がυ=(υ1,υ2)∈GK 2、認証子生成時の第2写像を乱数対応値に作用させて得られる値がj=υ1 x1*d+y1・υ2 x2*d+y2、検証時の第2写像を乱数対応値に作用させて得られる値がj’=υ1 x1*d’+y1・υ2 x2*d+y2である。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、g1およびg2を位数qの群GKの生成元とし、g2=g1 ωを(g1,g2)用の言語落とし戸とする。
鍵生成アルゴリズムは、共通パラメータppを入力とし、秘密鍵t=(x1,x2,y1,y2)∈Zq 4を一様分布に従ってランダムに選択し、(x1,x2,y1,y2)に写像μを作用させて対応鍵(X,Y)=(g1 x1・g2 x2,g1 y1・g2 y2)を得る。
Pub(pp,μ(t),d,r)は、pp,μ(t)=(X,Y),d,rを入力とし、j=(Xd・Y)rを計算して出力する。
Priv(pp,t,d,υ)は、pp,t,d,υ=(υ1,υ2)を入力とし、j=υ1 x1*d+y1・υ2 x2*d+y2を計算して出力する。
任意のΔ=(δ1,δ2,η1,η2)∈Zq 4とt=(x1,x2,y1,y2)について以下が成立する。
μ(t+Δ)=(g1 x1+δ1・g2 x2+δ2,g1 y1+η1・g2 y2+η2)
=(g1x1・g2x2・g1δ1・g2δ2,
g1y1・g2y2・g1η1・g2η2)
=(g1 x1・g2 x2,g1 y1・g2 y2)・
(g1 δ1・g2 δ2,g1 η1・g2 η2)
=μ(t)・μ(Δ)
よって写像μは準同型性を有する。
任意のΔ=(δ1,δ2,η1,η2)、μ(t+Δ)=(g1 x1+δ1・g2 x2+δ2,g1 y1+η1・g2 y2+η2)、ラベル情報dおよびυ=(υ1,υ2)∈GK 2について以下が成立する。
Dμ(t+Δ),d(υ1,υ2)=υ1 (x1+δ1)d+(y1+η1)・υ2 (x2+δ2)d+(y2+η2)
=υ1 x1*d+y1・υ2 x2*d+y2・υ1 δ1*d+η1・υ2 δ2*d+η2
=Dμ(t),d(υ1,υ2)・Dμ(δ),d(υ1,υ2)
よって写像Df,dは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、(g1,g2)の離散対数仮定により証明可能である。
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵t=(t1,t2,t3,t4)∈Zq 4をランダムに選択する。
認証子生成:認証子生成アルゴリズムは、メッセージM∈Zqについて、υ=(υ1,υ2)=(g1 r,g2 r)をランダムに選び、ラベル情報L=Mとする。ただしg1,g2は群GKの生成元である。さらに認証子生成アルゴリズムは、j=Df,L(υ)=υ1 x1*L+y1・υ2 x2*L+y2を計算し、τ=(υ1,υ2,j)をメッセージ認証子として出力する。
検証:検証アルゴリズムは、τとMを入力とし、ラベル情報L=Mとし、j’=Df,L(υ)=υ1 x1*L+y1・υ2 x2*L+y2を計算し、j’= jであればaccを出力し、そうでないならrejを出力する。
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈Zqとする。
2.敵は(0,0,0,0)以外のΔ=(δ1,δ2,η1,η2)∈Zq 4を適当に選ぶ
3.敵は秘密鍵t=(t1,t2,t3,t4)を関連鍵φ(t)=(t1+δ1,t2+δ2,t3+η1,t4+η2)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(υ1,υ2,j’’)=(υ1,υ2,Dμ(t+ξ),M(υ1,υ2))=(υ1,υ2,υ1 (x1+δ1)M+(y1+η1)・υ2 (x2+δ2)M+(y2+η2))
ここで、c1=g1 r,c2=g2 rである。
5.敵は上記の返答を用い、以下を計算する。
j=j’’・(υ1 δ1*M+η1・υ2 δ2*M+η2)−1
=υ1 x1*M+y1・υ2 x2*M+y2=Dμ(t),M(υ1,υ2)
6.敵は偽造したメッセージ認証子τ=(c1,c2,j)を出力する。
このメッセージ認証子τは、秘密鍵t=(t1,t2,t3,t4)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
本発明は上述の実施の形態に限定されるものではない。例えば、認証子生成装置や検証装置が複数存在してもよい。上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
110,210 設定装置
120,220 鍵生成装置
130,230 認証子生成装置
140,240 検証装置
Claims (15)
- 秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が前記秘密鍵を含む情報に対応し、
前記対応鍵とメッセージとを含む情報に対応するラベル情報を得るラベル情報生成部と、
前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像と前記乱数対応値とを含むメッセージ認証子を得るメッセージ認証子生成部と、
を有する認証子生成装置。 - 請求項1の認証子生成装置であって、
前記ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
ことを特徴とする認証子生成装置。 - 請求項1または2の認証子生成装置であって、
前記秘密鍵が、第1秘密鍵と第2秘密鍵とを含み、
前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
前記乱数対応値が、前記対応鍵と署名検証鍵とに対応する第2写像を前記乱数に作用させて得られる値であり、
前記秘密鍵対応値が、前記乱数に対応する共通鍵で前記第2秘密鍵を暗号化することで得られる暗号文であり、
前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像が、前記署名検証鍵に対応する署名生成鍵を用いて、前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とを含む情報に対して得られた署名であり、
前記メッセージ認証子が、前記署名検証鍵と前記乱数対応値と前記秘密鍵対応値と前記署名とを含む、
ことを特徴とする認証子生成装置。 - 請求項3の認証子生成装置であって、
Λ,Ωおよびκが定数、gが位数Nの群の生成元、rが第2乱数、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数がs=gΩr、前記乱数対応値がy=(u,w)、u=gΩΛr、w=(f・govk)r、前記署名検証鍵がovk、前記共通鍵が(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))、v(i)=2i、lsbN(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報である、
ことを特徴とする認証子生成装置。 - 請求項3の認証子生成装置であって、
vおよびhが群の元、gが前記群の生成元、rが第2乱数、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gt、前記乱数がs=vr、前記乱数対応値がy=(u,w)、u=gr、w=(f・vovk)r、前記署名検証鍵がovk、前記共通鍵がe(s,h)である、
ことを特徴とする認証子生成装置。 - 請求項3から5の何れかの認証子生成装置であって、
前記第1写像および前記第2写像が準同型性写像である、
ことを特徴とする認証子生成装置。 - 秘密鍵と対応鍵とが鍵ペアであり、
前記対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得る検証ラベル情報生成部と、
メッセージ認証子と秘密鍵対応値と前記検証ラベル情報とを用い、前記メッセージを検証する検証部と、を有し、
前記メッセージ認証子が、乱数対応値と前記秘密鍵対応値とラベル情報とに対する像と前記乱数対応値とを含む、
ことを特徴とする検証装置。 - 請求項7の検証装置であって、
前記検証ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
ことを特徴とする検証装置。 - 請求項7または8の検証装置であって、
前記秘密鍵が、第1秘密鍵を含み、
前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
前記メッセージ認証子が、署名検証鍵と前記乱数対応値と前記秘密鍵対応値と署名とを含み、
前記検証部が、前記署名検証鍵を用い、前記乱数対応値と前記秘密鍵対応値と前記検証ラベル情報とを含む情報に対して前記署名が合格であるかを検証する署名検証部を含む、
ことを特徴とする検証装置。 - 請求項9の検証装置であって、
前記秘密鍵が、さらに第2秘密鍵を含み、
前記検証部が、
前記対応鍵と前記署名検証鍵とに対応する逆元探索写像を前記乱数対応値に作用させて乱数復元値を得る逆元探索部と、
前記乱数復元値に対応する共通鍵で前記秘密鍵対応値を復号して得られる復号値と前記第2秘密鍵とが一致するかを判定する判定部と、をさらに含む、
ことを特徴とする検証装置。 - 請求項10の検証装置であって、
Λ,Ωおよびκが定数、gが位数Nの群の生成元、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数復元値がs、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵が(lsbN(s),lsbN(s2),…,lsbN(sv(κ−1)))、v(i)=2i、lsbN(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報であり、
前記逆元探索部が、2c=a*ovk+bΛΩを満たす整数a,b,cに対する(wa・ub−at)v(ovk−c)を前記乱数復元値として得る、
ことを特徴とする検証装置。 - 請求項10の検証装置であって、
vおよびhが群の元、gが前記群の生成元、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gt、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵がe(s,h)であり、
前記逆元探索部が、(w・u−t)(1/ovk)を前記乱数復元値として得る、
ことを特徴とする検証装置。 - 請求項9から12の何れかの検証装置であって、
前記第1写像が準同型性写像である、
ことを特徴とする検証装置。 - 請求項1から6の何れかの認証子生成装置としてコンピュータを機能させるためのプログラム。
- 請求項7から13の何れかの検証装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013003625A JP5871826B2 (ja) | 2013-01-11 | 2013-01-11 | 認証子生成装置、検証装置、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013003625A JP5871826B2 (ja) | 2013-01-11 | 2013-01-11 | 認証子生成装置、検証装置、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014135684A JP2014135684A (ja) | 2014-07-24 |
| JP5871826B2 true JP5871826B2 (ja) | 2016-03-01 |
Family
ID=51413656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013003625A Active JP5871826B2 (ja) | 2013-01-11 | 2013-01-11 | 認証子生成装置、検証装置、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5871826B2 (ja) |
-
2013
- 2013-01-11 JP JP2013003625A patent/JP5871826B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014135684A (ja) | 2014-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10484182B2 (en) | Encrypted text verification system, method, and recording medium | |
| WO2011061994A1 (ja) | 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム | |
| CN108604984B (zh) | 用于内容中心网络中的兴趣加密的方法和系统 | |
| WO2007105749A1 (ja) | グループ署名システムおよび情報処理方法 | |
| US20180239910A1 (en) | Encrypted text verification system, method and recording medium | |
| Xin et al. | Identity-based quantum designated verifier signature | |
| JP2014157354A (ja) | 線形準同型な構造保存署名を生成および検証する暗号学的装置および方法 | |
| CN116846579B (zh) | 一种面向工业物联网的数据验证方法 | |
| JP6075785B2 (ja) | 暗号通信システム、暗号通信方法、プログラム | |
| CN117220893A (zh) | 一种基于国密sm9的高效云存储数据完整性审计方法 | |
| Iwasaki et al. | Tightly-secure identity-based structured aggregate signature scheme under the computational Diffie-Hellman assumption | |
| JP5871826B2 (ja) | 認証子生成装置、検証装置、およびプログラム | |
| Sarier | A new biometric identity based encryption scheme secure against DoS attacks | |
| Jager et al. | Short digital signatures and ID-KEMs via truncation collision resistance | |
| JP2017038336A (ja) | 復号方法 | |
| CN119232417A (zh) | 一种数据的加密传输方法及装置 | |
| JP5069157B2 (ja) | 署名システム、署名方法、証明装置、検証装置、証明方法、検証方法、プログラム | |
| Lin et al. | F2P‐ABS: A Fast and Secure Attribute‐Based Signature for Mobile Platforms | |
| Kajita et al. | Short lattice signatures in the standard model with efficient tag generation | |
| JP6228912B2 (ja) | ブラインド秘密鍵発行システム、ブラインドデータ検索システム、これらの方法、鍵生成サーバ、復号装置及びプログラム | |
| JP5871827B2 (ja) | 安全性強化システム、安全性強化装置、検証装置、およびプログラム | |
| JP5815754B2 (ja) | 署名検証システム、署名装置、検証装置、署名検証方法 | |
| WO2017170780A1 (ja) | 暗号文照合システム、ノード装置、暗号文照合方法、およびプログラム | |
| Blazy et al. | Identity-based encryption in DDH hard groups | |
| JP4891844B2 (ja) | 署名フォーマット変換装置と事前処理装置と署名検証装置、及び署名フォーマット変換方法とプログラムとその記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150204 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150925 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151104 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160112 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5871826 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |