Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5871826B2 - 認証子生成装置、検証装置、およびプログラム - Google Patents
[go: Go Back, main page]

JP5871826B2 - 認証子生成装置、検証装置、およびプログラム - Google Patents

認証子生成装置、検証装置、およびプログラム Download PDF

Info

Publication number
JP5871826B2
JP5871826B2 JP2013003625A JP2013003625A JP5871826B2 JP 5871826 B2 JP5871826 B2 JP 5871826B2 JP 2013003625 A JP2013003625 A JP 2013003625A JP 2013003625 A JP2013003625 A JP 2013003625A JP 5871826 B2 JP5871826 B2 JP 5871826B2
Authority
JP
Japan
Prior art keywords
key
random number
verification
value
secret key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013003625A
Other languages
English (en)
Other versions
JP2014135684A (ja
Inventor
恵太 草川
恵太 草川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013003625A priority Critical patent/JP5871826B2/ja
Publication of JP2014135684A publication Critical patent/JP2014135684A/ja
Application granted granted Critical
Publication of JP5871826B2 publication Critical patent/JP5871826B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報セキュリティ技術に関し、特に、メッセージ認証子技術に関する。
証明可能安全性を持つメッセージ認証子が、共通鍵暗号のプリミティブの安全性の下で提案されている。また、通常の安全性を持つ暗号方式を関連鍵攻撃に対する安全性をもつ方式に変換する技術もいくつか知られている(例えば、非特許文献1から3参照)。
Mihir Bellare and David Cash, "Pseudorandom functions and permutations provably secure against related-key attacks," in Tal Rabin, editor, CRYPTO 2010, volume 6223 of Lecture Notes in Computer Science, pages 666-684, Springer, Heidelberg, 2010. Yevgeniy Dodis, Eike Kiltz, Krzysztof Pietrzak, and Daniel Wichs, "Message authentication, revisited," in David Pointcheval and Thomas Johansson, editors, EUROCRYPT 2012, volume 7237 of Lecture Notes in Computer Science, pages 355-374, Springer, Heidelberg, 2012. Mihir Bellare, Kenneth G. Paterson, and Susan Thomson, "RKA security beyond the linear barrier: IBE, encryption and signatures," Cryptology ePrint Archive, Report 2012/514, 2012, to appear ASIACRYPT 2012.
しかしながら、従来の関連鍵攻撃に対する安全性をもつ方式は、関連鍵攻撃を検知した場合に自壊しなければ安全性を保てない。
本発明では、自壊することなく関連鍵攻撃に対する安全性を向上させることができるメッセージ認証子技術を提供する。
メッセージ認証子の生成時には、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と当該乱数対応値とを含むメッセージ認証子を得る。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。検証時には、対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得、メッセージ認証子と秘密鍵対応値と検証ラベル情報とを用いてメッセージを検証する。
本発明では、ラベル情報が秘密鍵の対応鍵とメッセージとに対応する。そのため、自壊を行うことなく、関連鍵攻撃に対する安全性を向上させることができる。
図1は第1実施形態の認証システムを例示する図である。 図2Aは第1実施形態の認証子生成処理を説明するためのフロー図であり、図2Bは第1実施形態の検証処理を説明するためのフロー図である。 図3は第2実施形態の認証システムを例示する図である。 図4Aは第2実施形態の認証子生成処理を説明するためのフロー図であり、図4Bは第2実施形態の検証処理を説明するためのフロー図である。
以下、図面を参照して本発明の実施形態を説明する。
<定義>
各実施形態で用いる記号や用語を定義する。
[ラベルに基づく適応的トラップドア関係の属]
ラベルに基づく適応的トラップドア関係(ATR:Adaptive Trapdoor Relations)の属は、以下の属Ff,LとアルゴリズムSetup(1κ),TrapGen(pp),Samp(pp,f,L),G(s)とからなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。1κはκ個の1からなる列を表す。κは1以上の所定の整数である。
TrapGen(pp)は、鍵生成アルゴリズムであり、ppを入力とし、秘密鍵tとそれに対応する対応鍵(例えば公開鍵)fとの鍵ペア(f,t)を得て出力する。鍵ペア(f,t)は、写像μ(第1写像)に対してf=μ(t)の関係を満たす。すなわち、tの鍵空間を表す集合がTSであり、fの鍵空間を表す集合がFSである場合、写像μは鍵空間TSを鍵空間FSに写す写像μ:TS→FSである。本形態の写像μは準同型性写像である。また、写像の例は関数やアルゴリズムなどである。
Samp(pp,f,L)は、公開サンプリングアルゴリズムであり、ppとfとラベル情報Lとを入力とし、乱数sとy=Ff,L(s)とを得て出力する。Ff,Lは、fとLとの組に対応する単射なラベル付き写像の属である。言い換えると、Ff,Lは、fとLとの組に対応する単射な写像を要素とする集合である。すなわち、y=Ff,L(s)は、pp,f,L,sを入力とし、fとLとの組に対応する単射な写像をsに作用させてyを得て出力することを表す。本形態のFf,L(s)は準同型性を持つ。Inv(pp,t,L,y)は、逆元探索アルゴリズムであり、pp,t,L,yを入力とし、逆元s=Ff,L −1(y)を出力する。
G(s)は、抽出アルゴリズムであり、sを入力として共通鍵(セッション鍵)G(s)∈Gを出力する。Gは加法的な可換群(アーベル群)を表す。
[ハッシュ証明系]
ラベルに基づくハッシュ証明系(HPS:hash proof system)は、以下のアルゴリズムSetup(1κ),SampR(r),Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)からなる。
Setup(1κ)は、セットアップアルゴリズムであり、セキュリティパラメータ1κを入力とし、共通パラメータppを得て出力する。ppは、有限集合Υ,ν,FS,TS、写像の集合Df,L、および写像μである。ν⊂Υであり、Df,Lはf∈FSとL∈LSとの組に対応する写像を要素とする集合であり、LSはラベル情報Lの空間を表す集合である。
SampR(r)は、サンプリングアルゴリズムであり、乱数rを入力とし、υ∈ν⊂Υを得て出力する。
Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Pub(pp,μ(t),L,r)は、pp,μ(t),L,rを用い、fとLとの組に対応する写像をυに作用させて得られる値jを計算して出力する。
Priv(pp,t,L,υ)は、pp,t,L,υを入力とし、j=Df,L(υ)を得て出力するアルゴリズムである。すなわち、Priv(pp,t,L,υ)は、fとLとの組に対応する写像Df,Lをυに作用させて値jを得て出力する。本形態の写像Df,Lは準同型性を持つ。
[双線形写像]
双線形写像e:G×G→Gは、双線形性、非退化性および効率的計算可能性を持つ写像である。ただし、G,Gは位数が素数qである可換群である。
双線形性により、任意のh,h∈Gおよび任意のα,β∈Zについてe(h α,h β)=e(h,hαβとなる。非退化性により、e(h,h)のGでの位数がqとなる。効率的計算可能性により、eを効率よく計算することができる。なお、Zはqによる剰余群を表す。双線形写像の例はペアリングである。
[使い捨て署名]
使い捨て署名は、三つ組のアルゴリズムots.gen(1κ),ots.sign(osk,M),ots.vrfy(ovk,σ)からなる。
ots.gen(1κ)は、鍵生成アルゴリズムであり、セキュリティパラメータ1κを入力とし、署名検証鍵ovkとそれに対応する署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する。
ots.sign(osk,m)は、署名生成アルゴリズムであり、oskとメッセージmとを入力として、署名σを得て出力する。
ots.vrfy(ovk,σ,m)は、署名検証アルゴリズムであり、ovk,σ,mを入力として署名検証を行って、受け入れaccまたは拒絶rejを出力する。
[衝突困難性(衝突耐性)を持つ写像]
写像Hが衝突困難性を持つとは、多項式時間で動作する敵が、写像の属からそれに属する写像Hを定める情報とセキュリティパラメータ1κとを受け取ったとき、γ≠δかつH(γ)=H(δ)なる組(γ,δ)を無視できる確率でしか出力することができないことを表す。衝突困難性を持つ写像Hの例は、SHA−1等の暗号学的なハッシュ関数などである。通常、衝突困難性を持つ写像は一方向性も持つ。
<原理>
各実施形態に共通する原理を説明する。
認証子生成装置は、対応鍵とメッセージとを含む情報に対応するラベル情報を得、乱数対応値と秘密鍵対応値とラベル情報とに対する像と乱数対応値とを含むメッセージ認証子を得、メッセージとメッセージ認証子とを出力する。ただし、秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が秘密鍵を含む情報に対応する。ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。
メッセージとメッセージ認証子とは検証装置に入力される。検証装置は、対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得、メッセージ認証子と秘密鍵対応値と検証ラベル情報とを用いてメッセージを検証し、検証結果を出力する。検証ラベル情報の例は、対応鍵とメッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である。
以上の構成では、ラベル情報が秘密鍵の対応鍵とメッセージとに対応するため、自壊を行うことなく、関連鍵攻撃に対する安全性を向上させることができる(詳細は後述)。
<第1実施形態>
第1実施形態を説明する。第1実施形態は、ラベルに基づく適応的トラップドア関係の属に上述の原理を適用したものである。
[構成]
図1に例示するように、本形態の認証システム1は、設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とを有する。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140とは、それぞれ、CPU(central processing unit)、RAM(random-access memory)等を含む汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置110と鍵生成装置120と認証子生成装置130と検証装置140は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
認証子生成装置130は、入力部131と記憶部132と対応鍵生成部133とラベル情報生成部134とメッセージ認証子生成部135と出力部136とを有する。メッセージ認証子生成部135は、サンプリング部135aと暗号化部135bと署名鍵生成部135cと署名生成部135dとを有する。認証子生成装置130は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み出される。
検証装置140は、入力部141と記憶部142と対応鍵生成部143と検証ラベル情報生成部144と検証部145と出力部146とを有する。検証部145は、署名検証部145aと逆元探索部145bと判定部145cとを有する。検証装置140は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部142に格納され、必要に応じて各部に読み出される。
[セットアップ処理]
本形態のセットアップ処理では、設定装置110がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づく適応的トラップドア関係の属の共通パラメータppを得て出力する。さらに設定装置110は、衝突困難性を持つ写像H:{0,1}*→Gを得て出力する。例えば、設定装置110は、暗号学的なハッシュ関数を写像Hとして出力する。ppは鍵生成装置120に送られて格納され、ppおよびHは、認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
[鍵生成処理]
本形態の鍵生成処理では、鍵生成装置120が、共通パラメータppを入力とし、鍵生成アルゴリズムTrapGen(pp)を実行して鍵ペア(f,t)を得る。さらに鍵生成装置120は、群Gからランダムに秘密鍵k∈Gを得る。鍵生成装置120は、第1秘密鍵tおよび第2秘密鍵kからなる秘密鍵(t,k)を出力する。秘密鍵(t,k)は認証子生成装置130および検証装置140に送られ、記憶部132および142にそれぞれ格納される。
[認証子生成処理]
任意長のメッセージM∈{0,1}*が認証子生成装置130の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図2A)が実行される。
対応鍵生成部133は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS131)。署名鍵生成部135cは、セキュリティパラメータ1κを入力とし、鍵生成アルゴリズムots.gen(1κ)を実行し、使い捨て署名の署名検証鍵ovkと署名生成鍵oskとの鍵ペア(ovk,osk)を得て出力する(ステップS132)。
ラベル情報生成部134は、対応鍵fとメッセージMとを入力とし、対応鍵fとメッセージMとを含む情報に写像Hを作用させてラベル情報d=H(f,M)∈Gを得て出力する。対応鍵fとメッセージMとを含む情報の例は、対応鍵fのビット列表現値とメッセージMとのビット結合値や、対応鍵fのビット列表現値とメッセージMと付加ビット列とのビット結合値などである。付加ビット列の例は、共通パラメータの一部やヘッダ情報などである。写像Hがハッシュ関数である場合、ラベル情報dは、対応鍵fとメッセージMとを含む情報のダイジェスト値となる(ステップS133)。
サンプリング部135aは、共通パラメータppと対応鍵fと署名検証鍵ovkとを入力とし、公開サンプリングアルゴリズムSamp(pp,f,ovk)を実行し、乱数sと乱数対応値yとの組(s,y)を得て出力する。この乱数対応値yは、対応鍵fと署名検証鍵ovkとに対応する第2写像Ff,ovkを乱数sに作用させて得られる値y=Ff,ovk(s)である(ステップS134)。
暗号化部135bは、乱数sと第2秘密鍵kを入力とし、抽出アルゴリズムG(s)を実行して乱数sに対応する共通鍵G(s)を得、所定の共通鍵暗号方式に則り、共通鍵G(s)で第2秘密鍵kを暗号化することで秘密鍵対応値cを得て出力する。暗号化部135bは、例えば、c=G(s)・kを得て出力する(ステップS135)。ただし、「・」は群で定義された演算を表す。例えば、G(s),k∈{0,1}κである場合、G(s)・kはG(s)とkの排他的論理和である。
署名生成部135dは、署名生成鍵oskと乱数対応値yと秘密鍵対応値cとラベル情報dとを入力とし、署名生成アルゴリズムots.sign(osk,(d,y,c))を実行し、乱数対応値yと秘密鍵対応値cとラベル情報dとを含む情報に対する署名σ(乱数対応値と秘密鍵対応値とラベル情報とに対する像)を得て出力する。乱数対応値yと秘密鍵対応値cとラベル情報dを含む情報の例は、y,c,dのビット列表現値のビット結合値や、y,c,dと付加ビット列とのビット結合値などである(ステップS136)。
出力部136は、署名検証鍵ovkと乱数対応値yと秘密鍵対応値cと署名σとを含むメッセージ認証子τ=(ovk,y,c,σ)を得て(ステップS137)、メッセージ認証子τとメッセージMとを出力する(ステップS138)。メッセージ認証子τとメッセージMとは検証装置140に送られる。
[検証処理]
メッセージ認証子τ=(ovk,y,c,σ)とメッセージMとが検証装置140の入力部141に入力され、記憶部142に格納され、以下の検証処理(図2B)が実行される。
対応鍵生成部143は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS141)。
検証ラベル情報生成部144は、対応鍵fとメッセージMとを入力とし、対応鍵fとメッセージMとを含む情報に写像Hを作用させて検証ラベル情報d’=H(f,M)∈Gを得て出力する。なお、検証ラベル情報生成部144での「写像H」および「対応鍵fとメッセージMとを含む情報」の構造は、ラベル情報生成部134での「写像H」および「対応鍵fとメッセージMとを含む情報」と同じである(ステップS142)。
署名検証部145aは、署名検証鍵ovkと署名σと検証ラベル情報d’とを入力とし、署名検証アルゴリズムots.vrfy(ovk,σ,(d’,y,c))を実行し、署名検証鍵ovkを用いて、乱数対応値yと秘密鍵対応値cと検証ラベル情報d’とを含む情報に対して署名σが合格であるかを検証し、受け入れ(合格)accまたは拒絶(不合格)rejを出力する(ステップS143)。なお、「乱数対応値yと秘密鍵対応値cと検証ラベル情報d’とを含む情報」の構造は、署名生成部135dでの「乱数対応値yと秘密鍵対応値cとラベル情報dとを含む情報」の構造と同じである。署名検証部145aが拒絶rejを出力した場合、出力部146は拒絶rejを出力し(ステップS147)、処理を終了する。
一方、署名検証部145aが受け入れaccを出力した場合、逆元探索部145bは、共通パラメータppと秘密鍵tと署名検証鍵ovkと乱数対応値yとを入力とし、逆元探索アルゴリズムInv(pp,t,ovk,y)を実行し、対応鍵fと署名検証鍵ovkとに対応する逆元探索写像Ff,L −1を乱数対応値yに作用させて乱数復元値s’=Ff,L −1(y)を得て出力する(ステップS144)。
判定部145cは、乱数復元値s’と秘密鍵対応値cと第2秘密鍵kとを入力とし、抽出アルゴリズムG(s’)を実行して乱数復元値s’に対応する共通鍵G(s’)を得、前述の共通鍵暗号方式に則り、共通鍵G(s’)で第2秘密鍵kを復号することで得られる復号値と、第2秘密鍵kとが一致するかを判定する。判定部145cは、例えば、k=c・G(s’)−1を満たすかを判定する(ステップS145)。ただし、G(s’)−1は、G(s’)の逆元を表す。
ここで、復号値と第2秘密鍵kとが一致しないと判定された場合、出力部146は拒絶rejを出力し(ステップS147)、処理を終了する。一方、復号値と第2秘密鍵kとが一致すると判定された場合、出力部146は受け入れaccを出力し(ステップS146)、処理を終了する。
<第1実施形態の実施例1>
第1実施形態の実施例1として、「参考文献1:Hoeteck Wee, “Public key encryption against related key attacks,” in Marc Fischlin, Johannes Buchmann, and Mark Manulis, editors, PKC 2012, volume 7293 of Lecture Notes in Computer Science, pages 262-279, Springer, Heidelberg, 2012.」および「参考文献2:Dennis Hofheinz and Eike Kiltz, “Practical chosen ciphertext secure encryption from factoring,” in Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of Lecture Notes in Computer Science, pages 313-332, Springer, Heidelberg, 2009.」に開示された素因数分解仮定に基づく適応的トラップドア関係に本発明を適用した例を示す。本実施例では、Λ,Ω,κおよびωが定数、gが位数Nの群の生成元、rが乱数、f=gΛΩt、s=gΩr、y=(u,w)、u=gΩΛr、w=(f・govk、共通鍵が(lsb(s),lsb(s),…,lsb(sv(κ−1)))、v(i)=2、lsb(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報となり、乱数復元値が2=a*ovk+bΛΩを満たす整数a,b,cに対するs’=(w・ub−atv(ovk−c)である。ただし「α*β」はαとβとの乗算を表し、特に混乱がない場合にはαとβとの乗算を「αβ」と表記する。
本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。簡単のため、κおよびωを正整数、Ω=2ω,Λ=2κとする。この場合、[0,Ω−1]がラベル情報dおよび検証ラベル情報d’の空間となる。ただし、[ι,ι]はι以上ι以下の区間を表す。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、κビットの強素数P,Q≡3(mod4)を一様分布に従ってランダムに選び(P=2p+1,Q=2ε+1)、N=P*Qとする。さらにSetup(1κ)は、QR =J となる符号付商群QR を定め、gをQR の生成元とし、共通パラメータpp=(N,g)を出力する。QR およびJ は以下のように定義される。
QR ={|x||x∈QR
={|x||x∈J} (すなわち、J =J/(±1))
ただし、Z *はNによる剰余のうちで逆元をもつもの全体がなす群であり、Jはヤコビ記号1のものがなすZ *の部分群であり、QRは平方剰余がなす群であり、|x|∈Zはx∈[−(N−1)/2,(N−1)/2]とみたときのxの絶対値である。
TrapGen(pp)は、ppを入力とし、区間[1,(N−1)/4]から一様分布に従ってtをランダムに選び、f=μ(t)=gΛΩtを計算し、鍵ペア(f,t)を出力する。
Samp(pp,f,ovk)は、pp,f,ovkを入力とし、第2乱数rについて(s,u)=(gΩr,gΩΛr)を計算し、w=(f・govkを計算し、sとy=(u,w)とを出力する。
Inv(pp,t,ovk,y)は、y=(u,w)について、u,w∈QR かどうかを確認し、u,w∈QR である場合にwΩΛ=uovk+ΛΩtかどうかを確認し、wΩΛ=uovk+ΛΩtである場合に、2=a*ovk+bΛΩとなる整数a,b,c∈Zに対するs’=(w・ub−atv(ovk−c)を計算し、s’を出力する。
G(s)は、s∈QR を入力として(lsb(s),lsb(s),…,lsb(sv(κ−1)))∈{0,1}κを出力する。lsb(α)は、αを[−(N−1)/2,(N−1)/2]で表現し、さらにそれをビット列表現した場合の最下位ビットを表す。
[G(s)の可換性]
本実施例のG(s)で得られる共通鍵は{0,1}κの元である。{0,1}κは位数2の有限体GF(2)のκ次拡大体GF(2)κとみることができる。従って本実施例のG(s)で得られる共通鍵は加法的な可換群の元であるといえる。
[写像μの準同型性]
任意のΔ∈Zとt∈[1,(N−1)/4]について以下が成立する。ただし、Zは整数集合を表す。
μ(t+Δ)=gΛΩ(t+Δ)=gΛΩt・gΛΩΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
[写像Fμ(t),ovkの準同型性]
t∈[1,(N−1)/4]と任意のovkについてs=gΩrとしたとき、Fμ(t),ovk(s)=(u,w)=(gΩΛr,(gΛΩt・govk)である。このとき任意のΔ∈Zについて、以下が成立する。
μ(t+Δ),ovk(s)=(gΩΛr,(gΛΩ(t+Δ)・govk)
=(gΩΛr,(gΛΩt・govk・gΛΩrΔ)
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
<第1実施形態の実施例2>
第1実施形態の実施例2として、非特許文献3に開示されたDBDH仮定に基づく適応的トラップドア関係に本形態を適用した例を示す。本実施例では、vおよびhが群の元、gが群の生成元、rが乱数、eが双線形写像、第1秘密鍵がt、第2秘密鍵がkであり、f=g、s=v、y=(u,w)、u=g、w=(f・vovkであり、共通鍵がe(s,h)、乱数復元値がs’=(w・u−t(1/ovk)である。以下に本実施例のSetup(1κ),TrapGen(pp),Samp(pp,f,ovk),Inv(pp,t,ovk,y),G(s)の詳細を示す。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、双線形写像用グループ(G,G,q,e,g)を生成する。さらにSetup(1κ)は、群Gからv,h∈Gをランダムに選び、共通パラメータpp=(G,G,q,e,g,v,h)を得て出力する。
TrapGen(pp)は、ppを入力としてt∈Zをランダムに選び、f=gを計算し、鍵ペア(f,t)を出力する。
Samp(pp,f,ovk)は、pp,f,ovkを入力とし、乱数rについて(s,u)=(v,g)を計算する。さらにSamp(pp,f,ovk)は、w=(f・vovkを計算し、sとy=(u,w)を出力する。
Inv(pp,t,ovk,y)は、pp,t,ovk,yを入力とし、y=(u,w)について、u,w∈Gかどうかを確認し、u,w∈Gである場合にs’=(w・u−t(1/ovk)を計算する。さらにInv(pp,t,ovk,y)は、e(g,s’)=e(v,u)かどうかを確認し、e(g,s’)=e(v,u)である場合にs’を出力する。
G(s)は、ppおよびs∈Gを入力とし、e(s,h)∈Gを出力する。
[G(s)の可換性]
本実施例のG(s)で得られる共通鍵は可換群Gの元である。
[写像μの準同型性]
任意のΔ∈Zとt∈Zについて以下が成立する。
μ(t+Δ)=g(t+Δ)=g・gΔ=μ(t)+μ(Δ)
従って、写像μは準同型性を持つ。
[写像Fμ(t),ovkの準同型性]
t∈Zと任意のovkについてs=vとしたとき、Fμ(t),ovk(s)=(u,w)=(g,(g・vovk)である。このとき任意のΔ∈Zについて、以下が成立する。
μ(t+Δ),ovk(s)=(g,(gt+Δ・vovk
=(g,(g・vovk・gΔr
=(u,w・uΔ)
そのため、Fμ(t+Δ),ovk(s)はFμ(t),ovk(s)とΔとから計算可能であり、写像Fμ(t),ovkは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、gの離散対数仮定により証明可能である。
<関連鍵攻撃に対する安全性について>
次に本形態の方式の関連鍵攻撃に対する安全性を説明する。
[関連鍵攻撃に対する安全性の指標]
関連鍵攻撃に対する安全性の指標として、敵Aの利得を以下のように定義する。
Figure 0005871826

Pr|Θ|は|Θ|の確率を表す。KS(pp)は、共通パラメータppを入力として秘密鍵key(第1実施形態ではkey=(t,k))を出力する鍵生成アルゴリズムである。R−Tagκは関連鍵攻撃の秘密鍵間の写像φとメッセージMとを入力とし、pp,key,Mに対する署名TAG(pp,φ(key),M)を返す神託機械である。Lは神託機械R−Tagκへの問合せ内容の順序付きリスト((φ,M),...,(φη,Mη))である。任意の多項式時間の敵Aに対して、式(1)の利得が無視できるとき、メッセージ認証子はUF−RK−CMVA安全であるという。
本形態の方式は従来構成よりも式(1)の利得を小さくでき、関連鍵攻撃に対する安全性を向上させることができる。特に、本形態の方式は加法的な関連鍵攻撃に対して強い。また、写像μおよびFμ(t),ovkが準同型性を持つとき、式(1)の利得が無視できることを証明できる(詳細な証明は省略)。以下では非特許文献3に基づくメッセージ認証子方式に対する加法的な関連鍵攻撃を想定し、その関連鍵攻撃が本形態の構成で成功しないことを示す。
[非特許文献3に基づくメッセージ認証子方式]
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵(t,k)=((t1,t2,t3,t4),k)∈Z ×Gをランダムに選択する。g,gが群Gの生成元であり、暗黙ではあるがg=g t1である。
認証子生成:認証子生成アルゴリズムは、メッセージM∈{0,1}*について、rを乱数とし、c=g 、c=c t1(=g )、ラベル情報L=H(c,c,M)とする。さらに認証子生成アルゴリズムは、ν=c t2*L+t3,c=k・c t4とし、メッセージ認証子τ=(c,c,ν,c)を出力する。
検証:検証アルゴリズムは、τとMを入力とし、L’=H(c,c,M)を得て、ν=c t2*L’+t3およびk=c・c −t4かどうかを確かめ、ν=c t2*L’+t3およびk=c・c −t4であればaccを出力し、そうでないならrejを出力する。
[加法的な関連鍵攻撃]
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈{0,1}*とする。
2.敵は0以外のδ,η∈Zを適当に選び、Δ=(0,ξ2,ξ3,0,1)∈Z ×Gとする。ただし、1は群Gの単位元である。
3.敵は秘密鍵(t,k)=((t1,t2,t3,t4),k)を関連鍵φ(t,k)=(t+ξ,k)=((t1,t2+ξ2,t3+ξ3,t4),k)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(c,c,ν’,c)=(c,c,c (t2+ξ2)*L+(t3+ξ3),k・c t4
ここで、L=H(c,c,M),c=g ,c=g (=c t1)である。
5.敵は上記の返答を用い、L=H(c,c,M)を計算し、さらにν=ν’・(c ξ2*L・c ξ3−1を計算する。
6.敵は偽造したメッセージ認証子τ=(c,c,ν,c)を出力する。
このメッセージ認証子τは、秘密鍵(t,k)=((t1,t2,t3,t4),k)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
この攻撃は秘密鍵(t,k)とその関連鍵φ(t,k)とでラベル情報Lが変化しないことに基づいている。これに対し、本形態のラベル情報は、対応鍵f=μ(t)とメッセージMとを含む情報に対応するd=H(f,M)である。すなわち本形態では、秘密鍵(t,k)に対応するラベル情報H(μ(t),M)と、関連鍵φ(t,k)=(t+ξ,k)に対応するラベル情報H(μ(t+ξ),M)とが異なる。よって、この攻撃は本形態には通じず、従来方式よりも式(1)の利得が小さくなる。なお、写像Hの衝突困難性により、μ(t)≠μ(t+ξ)かつH(μ(t),M)=H(μ(t+ξ),M)となる確率は無視できるほど小さい。また、写像μの衝突困難性により、敵がt≠t+ξかつμ(t)=μ(t+ξ)となるξを選ぶ確率は無視できるほど小さい。
<第2実施形態>
第2実施形態を説明する。第1実施形態は、ラベルに基づくハッシュ証明系に上述の原理を適用したものである。以下では第1実施形態との相違点を説明し、第1実施形態と共通する事項については説明を簡略化する。
[構成]
図2に例示するように、本形態の認証システム2は、設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とを有する。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240とは、それぞれ、汎用または専用のコンピュータに所定のプログラムが読み込まれて構成された特別な装置である。設定装置210と鍵生成装置220と認証子生成装置230と検証装置240は、ネットワークや可搬型記録媒体等を通じ、情報のやり取りが可能なように構成されている。
認証子生成装置230は、入力部131と記憶部132と対応鍵生成部133とラベル情報生成部234とメッセージ認証子生成部235と出力部236とを有する。メッセージ認証子生成部235は、サンプリング部235aと写像部235bとを有する。認証子生成装置230は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部132に格納され、必要に応じて各部に読み出される。
検証装置240は、入力部141と記憶部142と対応鍵生成部143と検証ラベル情報生成部244と検証部245と出力部246とを有する。検証部245は、写像部245aと判定部234bとを有する。検証装置240は、図示していない制御部の制御のもとで各処理を実行する。各部で得られたデータは記憶部142に格納され、必要に応じて各部に読み出される。
[セットアップ処理]
本形態のセットアップ処理では、設定装置210がセキュリティパラメータ1κを入力とし、鍵生成アルゴリズムSetup(1κ)を実行し、ラベルに基づくハッシュ証明系の共通パラメータppを得て出力する。さらに設定装置210は、衝突困難性を持つ写像H:{0,1}*→Gを得て出力する。ppは鍵生成装置220に送られて格納され、ppおよびHは、認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
[鍵生成処理]
本形態の鍵生成処理では、鍵生成装置220が、共通パラメータppを入力とし、秘密鍵tをランダムに選択して出力する。秘密鍵tは認証子生成装置230および検証装置240に送られ、記憶部132および142にそれぞれ格納される。
[認証子生成処理]
任意長のメッセージM∈{0,1}*が認証子生成装置230の入力部131に入力され、記憶部132に格納され、以下の認証子生成処理(図4A)が実行される。
対応鍵生成部133は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS131)。
サンプリング部235aは、乱数rを一様分布に従って選択し(ステップS232)、サンプリングアルゴリズムSampR(r)を実行し、乱数rの像SampR(r)を乱数対応値υとして得て出力する(ステップS233)。
ラベル情報生成部234は、対応鍵fと乱数対応値υとメッセージMとを入力とし、対応鍵fと乱数対応値υとメッセージMとを含む情報に写像Hを作用させてラベル情報d=H(f,υ,M)を得て出力する。対応鍵fと乱数対応値υとメッセージMとを含む情報の例は、対応鍵fのビット列表現値と乱数対応値υのビット列表現値とメッセージMとのビット結合値や、対応鍵fのビット列表現値と乱数対応値のビット列表現値υとメッセージMと付加ビット列とのビット結合値などである。写像Hがハッシュ関数である場合、ラベル情報dは、対応鍵fと乱数対応値υとメッセージMとを含む情報のダイジェスト値となる(ステップS234)。
写像部235bは、共通パラメータppと秘密鍵tとラベル情報dと乱数対応値υとを入力とし、アルゴリズムPriv(pp,t,d,υ)を実行し、像j=Df,d(υ)を得て出力する。すなわち、像jは秘密鍵t(秘密鍵対応値)およびラベル情報dに対応する第2写像Df,dを乱数対応値υに作用させて得られる(ステップS235)。
出力部236は、乱数対応値υと像j(第2写像Df,d(υ)を乱数対応値υに作用させて得られる値)とを含むメッセージ認証子τ=(υ,j)を得て(ステップS237)、メッセージ認証子τとメッセージMとを出力する(ステップS138)。メッセージ認証子τとメッセージMとは検証装置240に送られる。
[検証処理]
メッセージ認証子τ=(υ,j)とメッセージMとが検証装置240の入力部141に入力され、記憶部142に格納され、以下の検証処理(図4B)が実行される。
対応鍵生成部143は、第1秘密鍵tを入力とし、第1秘密鍵tに写像μを作用させて対応鍵f=μ(t)を得て出力する(ステップS141)。
検証ラベル情報生成部244は、対応鍵fと乱数対応値υとメッセージMとを入力とし、対応鍵fと乱数対応値υとメッセージMとを含む情報に写像Hを作用させて検証ラベル情報d’=H(f,υ,M)∈Gを得て出力する。なお、検証ラベル情報生成部144での「写像H」および「対応鍵fと乱数対応値υとメッセージMとを含む情報」の構造は、ラベル情報生成部134での「写像H」および「対応鍵fと乱数対応値υとメッセージMとを含む情報」と同じである(ステップS242)。
写像部245aは、共通パラメータppと秘密鍵tと検証ラベル情報d’と乱数対応値υとを入力とし、アルゴリズムPriv(pp,t,d’,υ)を実行し、像j’=Df,d’(υ)を得て出力する。すなわち、像j’は秘密鍵t(秘密鍵対応値)および検証ラベル情報d’に対応する第2写像Df,d’を乱数対応値υに作用させて得られる(ステップS243)。
判定部245bは、得られた像j’とメッセージ認証子τ=(υ,j)に含まれる像jとを入力とし、それらが一致するかを判定する(ステップS235)。ここで、像j’と像jとが一致しないと判定された場合(j’≠j)、出力部246は拒絶rejを出力し(ステップS247)、処理を終了する。一方、像j’と像jとが一致すると判定された場合(j’=j)、出力部246は受け入れaccを出力し(ステップS246)、処理を終了する。
<第2実施形態の実施例>
第2実施形態の実施例として、DDH仮定に基づくハッシュ証明系に本形態を適用した例を示す。本実施例では、gおよびgが群G(可換群、例えば巡回群)の生成元、ラベル情報がd、検証ラベル情報がd’、秘密鍵がt=(x1,x2,y1,y2)、対応鍵が(X,Y)=(g x1 x2,g y1 y2)、乱数対応値がυ=(υ,υ)∈G 、認証子生成時の第2写像を乱数対応値に作用させて得られる値がj=υ x1*d+y1・υ x2*d+y2、検証時の第2写像を乱数対応値に作用させて得られる値がj’=υ x1*d’+y1・υ x2*d+y2である。
以下に本実施例のSetup(1κ),鍵生成アルゴリズム,Pub(pp,μ(t),L,r),Priv(pp,t,L,υ)の詳細を示す。
Setup(1κ)は、セキュリティパラメータ1κを入力とし、gおよびgを位数qの群Gの生成元とし、g=g ωを(g,g)用の言語落とし戸とする。
鍵生成アルゴリズムは、共通パラメータppを入力とし、秘密鍵t=(x1,x2,y1,y2)∈Z を一様分布に従ってランダムに選択し、(x1,x2,y1,y2)に写像μを作用させて対応鍵(X,Y)=(g x1・g x2,g y1・g y2)を得る。
Pub(pp,μ(t),d,r)は、pp,μ(t)=(X,Y),d,rを入力とし、j=(X・Y)を計算して出力する。
Priv(pp,t,d,υ)は、pp,t,d,υ=(υ,υ)を入力とし、j=υ x1*d+y1・υ x2*d+y2を計算して出力する。
[写像μの準同型性]
任意のΔ=(δ1,δ2,η1,η2)∈Z とt=(x1,x2,y1,y2)について以下が成立する。
μ(t+Δ)=(g x1+δ1・g x2+δ2,g y1+η1・g y2+η2
=(g1x1・g2x2・g1δ1・g2δ2
g1y1・g2y2・g1η1・g2η2
=(g x1・g x2,g y1・g y2)・
(g δ1・g δ2,g η1・g η2
=μ(t)・μ(Δ)
よって写像μは準同型性を有する。
[写像Df,dの準同型性]
任意のΔ=(δ1,δ2,η1,η2)、μ(t+Δ)=(g x1+δ1・g x2+δ2,g y1+η1・g y2+η2)、ラベル情報dおよびυ=(υ,υ)∈G について以下が成立する。
μ(t+Δ),d(υ,υ)=υ (x1+δ1)d+(y1+η1)・υ (x2+δ2)d+(y2+η2)
=υ x1*d+y1・υ x2*d+y2・υ δ1*d+η1・υ δ2*d+η2
=Dμ(t),d(υ,υ)・Dμ(δ),d(υ,υ
よって写像Df,dは準同型性を有する。
[写像μの衝突困難性]
写像μの衝突困難性は、(g,g)の離散対数仮定により証明可能である。
[非特許文献3に基づくメッセージ認証子方式]
以下に非特許文献3に基づくメッセージ認証子方式を例示する。
鍵生成:鍵生成アルゴリズムは、秘密鍵t=(t1,t2,t3,t4)∈Z をランダムに選択する。
認証子生成:認証子生成アルゴリズムは、メッセージM∈Zについて、υ=(υ,υ)=(g ,g )をランダムに選び、ラベル情報L=Mとする。ただしg,gは群Gの生成元である。さらに認証子生成アルゴリズムは、j=Df,L(υ)=υ x1*L+y1・υ x2*L+y2を計算し、τ=(υ,υ,j)をメッセージ認証子として出力する。
検証:検証アルゴリズムは、τとMを入力とし、ラベル情報L=Mとし、j’=Df,L(υ)=υ x1*L+y1・υ x2*L+y2を計算し、j’= jであればaccを出力し、そうでないならrejを出力する。
[加法的な関連鍵攻撃]
上記の非特許文献3に基づくメッセージ認証子方式に対し、以下の加法的な関連鍵攻撃が成功する。
1.敵は偽造メッセージをM∈Zとする。
2.敵は(0,0,0,0)以外のΔ=(δ1,δ2,η1,η2)∈Z を適当に選ぶ
3.敵は秘密鍵t=(t1,t2,t3,t4)を関連鍵φ(t)=(t1+δ1,t2+δ2,t3+η1,t4+η2)に写す写像φとメッセージMとで神託機械R−Tagκに問い合わせる。
4.敵は神託機械R−Tagκからの返答として以下を受け取る。
τ’=(υ,υ,j’’)=(υ,υ,Dμ(t+ξ),M(υ,υ))=(υ,υ,υ (x1+δ1)M+(y1+η1)・υ (x2+δ2)M+(y2+η2)
ここで、c=g ,c=g である。
5.敵は上記の返答を用い、以下を計算する。
j=j’’・(υ δ1*M+η1・υ δ2*M+η2−1
=υ x1*M+y1・υ x2*M+y2=Dμ(t),M(υ,υ
6.敵は偽造したメッセージ認証子τ=(c,c,j)を出力する。
このメッセージ認証子τは、秘密鍵t=(t1,t2,t3,t4)を用いて偽造メッセージMに対して得られるものと同一であり、検証アルゴリズムはaccを出力する。よって式(1)の利得は1となる。
この攻撃は秘密鍵tとその関連鍵φ(t)とでラベル情報L=Mが変化しないことに基づいている。これに対し、本形態のラベル情報は、対応鍵f=μ(t)と乱数対応値υとメッセージMとを含む情報に対応するd=H(f,υ,M)である。すなわち本形態では、秘密鍵tに対応するラベル情報H(μ(t),υ,M)と関連鍵φ(t)に対応するラベル情報H(μ(φ(t)),M)とが異なる。よって、この攻撃は本形態には通じず、従来方式よりも式(1)の利得が小さくなる。なお、写像Hの衝突困難性により、μ(t)≠μ(φ(t))かつH(μ(t),υ,M)=H(μ(φ(t)),υ,M)となる確率は無視できるほど小さい。また、写像μの衝突困難性により、t≠μ(t)かつμ(t)=μ(φ(t))となる確率は無視できるほど小さい。
<その他の変形例等>
本発明は上述の実施の形態に限定されるものではない。例えば、認証子生成装置や検証装置が複数存在してもよい。上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。
上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。
1,2 認証システム
110,210 設定装置
120,220 鍵生成装置
130,230 認証子生成装置
140,240 検証装置

Claims (15)

  1. 秘密鍵と対応鍵とが鍵ペアであり、乱数対応値が乱数を含む情報に対応し、秘密鍵対応値が前記秘密鍵を含む情報に対応し、
    前記対応鍵とメッセージとを含む情報に対応するラベル情報を得るラベル情報生成部と、
    前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像と前記乱数対応値とを含むメッセージ認証子を得るメッセージ認証子生成部と、
    を有する認証子生成装置。
  2. 請求項1の認証子生成装置であって、
    前記ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
    ことを特徴とする認証子生成装置。
  3. 請求項1または2の認証子生成装置であって、
    前記秘密鍵が、第1秘密鍵と第2秘密鍵とを含み、
    前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
    前記乱数対応値が、前記対応鍵と署名検証鍵とに対応する第2写像を前記乱数に作用させて得られる値であり、
    前記秘密鍵対応値が、前記乱数に対応する共通鍵で前記第2秘密鍵を暗号化することで得られる暗号文であり、
    前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とに対する像が、前記署名検証鍵に対応する署名生成鍵を用いて、前記乱数対応値と前記秘密鍵対応値と前記ラベル情報とを含む情報に対して得られた署名であり、
    前記メッセージ認証子が、前記署名検証鍵と前記乱数対応値と前記秘密鍵対応値と前記署名とを含む、
    ことを特徴とする認証子生成装置。
  4. 請求項3の認証子生成装置であって、
    Λ,Ωおよびκが定数、gが位数Nの群の生成元、rが第2乱数、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数がs=gΩr、前記乱数対応値がy=(u,w)、u=gΩΛr、w=(f・govk、前記署名検証鍵がovk、前記共通鍵が(lsb(s),lsb(s),…,lsb(sv(κ−1)))、v(i)=2、lsb(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報である、
    ことを特徴とする認証子生成装置。
  5. 請求項3の認証子生成装置であって、
    vおよびhが群の元、gが前記群の生成元、rが第2乱数、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=g、前記乱数がs=v、前記乱数対応値がy=(u,w)、u=g、w=(f・vovk、前記署名検証鍵がovk、前記共通鍵がe(s,h)である、
    ことを特徴とする認証子生成装置。
  6. 請求項3からの何れかの認証子生成装置であって、
    前記第1写像および前記第2写像が準同型性写像である、
    ことを特徴とする認証子生成装置。
  7. 秘密鍵と対応鍵とが鍵ペアであり、
    前記対応鍵とメッセージとを含む情報に対応する検証ラベル情報を得る検証ラベル情報生成部と、
    メッセージ認証子と秘密鍵対応値と前記検証ラベル情報とを用い、前記メッセージを検証する検証部と、を有し、
    前記メッセージ認証子が、乱数対応値と前記秘密鍵対応値とラベル情報とに対する像と前記乱数対応値とを含む、
    ことを特徴とする検証装置。
  8. 請求項の検証装置であって、
    前記検証ラベル情報が、前記対応鍵と前記メッセージとを含む情報に衝突困難性を持つ写像を作用させて得られる値である、
    ことを特徴とする検証装置。
  9. 請求項またはの検証装置であって、
    前記秘密鍵が、第1秘密鍵を含み、
    前記対応鍵が、前記第1秘密鍵に第1写像を作用させて得られる値であり、
    前記メッセージ認証子が、署名検証鍵と前記乱数対応値と前記秘密鍵対応値と署名とを含み、
    前記検証部が、前記署名検証鍵を用い、前記乱数対応値と前記秘密鍵対応値と前記検証ラベル情報とを含む情報に対して前記署名が合格であるかを検証する署名検証部を含む、
    ことを特徴とする検証装置。
  10. 請求項の検証装置であって、
    前記秘密鍵が、さらに第2秘密鍵を含み、
    前記検証部が、
    前記対応鍵と前記署名検証鍵とに対応する逆元探索写像を前記乱数対応値に作用させて乱数復元値を得る逆元探索部と、
    前記乱数復元値に対応する共通鍵で前記秘密鍵対応値を復号して得られる復号値と前記第2秘密鍵とが一致するかを判定する判定部と、をさらに含む、
    ことを特徴とする検証装置。
  11. 請求項1の検証装置であって、
    Λ,Ωおよびκが定数、gが位数Nの群の生成元、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=gΛΩt、前記乱数復元値がs、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵が(lsb(s),lsb(s),…,lsb(sv(κ−1)))、v(i)=2、lsb(α)がαを−(N−1)/2以上(N−1)/2以下の整数で表現した値に対応する情報であり、
    前記逆元探索部が、2=a*ovk+bΛΩを満たす整数a,b,cに対する(w・ub−atv(ovk−c)を前記乱数復元値として得る、
    ことを特徴とする検証装置。
  12. 請求項1の検証装置であって、
    vおよびhが群の元、gが前記群の生成元、eが双線形写像、前記第1秘密鍵がt、前記第2秘密鍵がk、前記対応鍵がf=g、前記乱数対応値がy=(u,w)、前記署名検証鍵がovk、前記共通鍵がe(s,h)であり、
    前記逆元探索部が、(w・u−t(1/ovk)を前記乱数復元値として得る、
    ことを特徴とする検証装置。
  13. 請求項9から1の何れかの検証装置であって、
    前記第1写像が準同型性写像である、
    ことを特徴とする検証装置。
  14. 請求項1からの何れかの認証子生成装置としてコンピュータを機能させるためのプログラム。
  15. 請求項から1の何れかの検証装置としてコンピュータを機能させるためのプログラム。
JP2013003625A 2013-01-11 2013-01-11 認証子生成装置、検証装置、およびプログラム Active JP5871826B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013003625A JP5871826B2 (ja) 2013-01-11 2013-01-11 認証子生成装置、検証装置、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013003625A JP5871826B2 (ja) 2013-01-11 2013-01-11 認証子生成装置、検証装置、およびプログラム

Publications (2)

Publication Number Publication Date
JP2014135684A JP2014135684A (ja) 2014-07-24
JP5871826B2 true JP5871826B2 (ja) 2016-03-01

Family

ID=51413656

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013003625A Active JP5871826B2 (ja) 2013-01-11 2013-01-11 認証子生成装置、検証装置、およびプログラム

Country Status (1)

Country Link
JP (1) JP5871826B2 (ja)

Also Published As

Publication number Publication date
JP2014135684A (ja) 2014-07-24

Similar Documents

Publication Publication Date Title
US10484182B2 (en) Encrypted text verification system, method, and recording medium
WO2011061994A1 (ja) 情報処理装置、鍵生成装置、署名検証装置、情報処理方法、署名生成方法、及びプログラム
CN108604984B (zh) 用于内容中心网络中的兴趣加密的方法和系统
WO2007105749A1 (ja) グループ署名システムおよび情報処理方法
US20180239910A1 (en) Encrypted text verification system, method and recording medium
Xin et al. Identity-based quantum designated verifier signature
JP2014157354A (ja) 線形準同型な構造保存署名を生成および検証する暗号学的装置および方法
CN116846579B (zh) 一种面向工业物联网的数据验证方法
JP6075785B2 (ja) 暗号通信システム、暗号通信方法、プログラム
CN117220893A (zh) 一种基于国密sm9的高效云存储数据完整性审计方法
Iwasaki et al. Tightly-secure identity-based structured aggregate signature scheme under the computational Diffie-Hellman assumption
JP5871826B2 (ja) 認証子生成装置、検証装置、およびプログラム
Sarier A new biometric identity based encryption scheme secure against DoS attacks
Jager et al. Short digital signatures and ID-KEMs via truncation collision resistance
JP2017038336A (ja) 復号方法
CN119232417A (zh) 一种数据的加密传输方法及装置
JP5069157B2 (ja) 署名システム、署名方法、証明装置、検証装置、証明方法、検証方法、プログラム
Lin et al. F2P‐ABS: A Fast and Secure Attribute‐Based Signature for Mobile Platforms
Kajita et al. Short lattice signatures in the standard model with efficient tag generation
JP6228912B2 (ja) ブラインド秘密鍵発行システム、ブラインドデータ検索システム、これらの方法、鍵生成サーバ、復号装置及びプログラム
JP5871827B2 (ja) 安全性強化システム、安全性強化装置、検証装置、およびプログラム
JP5815754B2 (ja) 署名検証システム、署名装置、検証装置、署名検証方法
WO2017170780A1 (ja) 暗号文照合システム、ノード装置、暗号文照合方法、およびプログラム
Blazy et al. Identity-based encryption in DDH hard groups
JP4891844B2 (ja) 署名フォーマット変換装置と事前処理装置と署名検証装置、及び署名フォーマット変換方法とプログラムとその記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160112

R150 Certificate of patent or registration of utility model

Ref document number: 5871826

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350