Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5907906B2 - Certification system, certification device, verification device, certification method - Google Patents
[go: Go Back, main page]

JP5907906B2 - Certification system, certification device, verification device, certification method - Google Patents

Certification system, certification device, verification device, certification method Download PDF

Info

Publication number
JP5907906B2
JP5907906B2 JP2013021041A JP2013021041A JP5907906B2 JP 5907906 B2 JP5907906 B2 JP 5907906B2 JP 2013021041 A JP2013021041 A JP 2013021041A JP 2013021041 A JP2013021041 A JP 2013021041A JP 5907906 B2 JP5907906 B2 JP 5907906B2
Authority
JP
Japan
Prior art keywords
conversion
proof
expression
variable
expressions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013021041A
Other languages
Japanese (ja)
Other versions
JP2014154953A (en
Inventor
阿部 正幸
正幸 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013021041A priority Critical patent/JP5907906B2/en
Publication of JP2014154953A publication Critical patent/JP2014154953A/en
Application granted granted Critical
Publication of JP5907906B2 publication Critical patent/JP5907906B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、検証装置に対して証明する証明システム、証明装置、検証装置、証明方法に関する。   The present invention relates to a proof system that proves to a verification device that a proof device has values of variables that hold all proof equations included in at least one proof equation set of two proof equation sets. , A verification device, a verification device, and a verification method.

群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。そして、任意のペアリング積の等式について、その式を満たす値を知っていることを、その値を公開せずに非対話的に証明する手法として、Groth-Sahai非対話証明(以下、「GS証明」という。)が知られている(非特許文献1)。また、2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、GS証明を用いて証明する方法として、非特許文献2,3の方法が知られている。   An expression to be proved composed of a pairing product of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. Then, as a technique to prove non-interactively without revealing the value that satisfies the value of any pairing product equation, Groth-Sahai non-dialogue proof (hereinafter " (Referred to as “GS certification”) (Non-Patent Document 1). In addition, as a method for proving using a GS proof that a proof device has values of variables that hold all proof expressions included in at least one proof expression set of two proof expression sets, The methods of Patent Documents 2 and 3 are known.

eは群Gの要素同士のペアリング、W,W,W,U,V,Xは群Gの要素の変数、gは群Gの要素であって1以外の定数、Aは群Gの要素の定数とする。非特許文献2の方法は、
e(g,gW)=1
をスイッチャー式として採用し、ペアリングを含む式を追加することで証明する方法である。非特許文献3の方法は、証明する対象を
e(A,U)e(V,X)=1 と e(A,X)=e(g,g)
の形に限定して、
e(W,W/g)=1
をスイッチャー式として採用し、ペアリングを含む式を追加することで証明する方法である。
e is a pairing between elements of group G, W 0 , W 1 , W, U, V, X are variables of elements of group G, g is an element of group G and is a constant other than 1, and A is a group G It is a constant of the element of. The method of Non-Patent Document 2 is
e (g, gW 0 W 1 ) = 1
Is adopted as a switcher type, and is proved by adding a formula including pairing. In the method of Non-Patent Document 3, e (A, U) e (V, X) = 1 and e (A, X) = e (g, g)
Limited to the shape of
e (W, W / g) = 1
Is adopted as a switcher type, and is proved by adding a formula including pairing.

なお、証明式や証明式集合の具体例としては、非特許文献4のような署名がある。非特許文献4の署名は、   A specific example of a proof expression or a proof expression set is a signature as described in Non-Patent Document 4. The signature of Non-Patent Document 4 is

Figure 0005907906
という2つのペアリングの積で構成された式からなる。また、これらの式の中のそれぞれの値は、公開鍵から計算できる定数または検証装置には秘匿された秘密鍵から計算できる変数である。
Figure 0005907906
It consists of an expression composed of the product of two pairings. Each value in these equations is a constant that can be calculated from the public key or a variable that can be calculated from the secret key that is concealed by the verification device.

Jens Groth and Amit Sahai, “Ecient non-interactive proof systems for bilinear groups”, In EUROCRYPT 2008, pages 415-432, 2008.Jens Groth and Amit Sahai, “Ecient non-interactive proof systems for bilinear groups”, In EUROCRYPT 2008, pages 415-432, 2008. Jens Groth, “Simulation-Sound NIZK Proofs for a Practical Language and Constant Size Group Signatures”, Asiacrypt 2006, Springer-Verlag, 2006.Jens Groth, “Simulation-Sound NIZK Proofs for a Practical Language and Constant Size Group Signatures”, Asiacrypt 2006, Springer-Verlag, 2006. Jan Camenisch, Nishanth Chandran and Victor Shoup, “A Public Key Encryption Scheme Secure against Key Dependent Chosen Plaintext and Adaptive Chosen Ciphertext Attacks”, Eurocrypt 2009, Springer-Verlag, 2009.Jan Camenisch, Nishanth Chandran and Victor Shoup, “A Public Key Encryption Scheme Secure against Key Dependent Chosen Plaintext and Adaptive Chosen Ciphertext Attacks”, Eurocrypt 2009, Springer-Verlag, 2009. Masayuki Abe, Kristiyan Haralambiev and Miyako Ohkubo, “Signing on Elements in Bilinear Groups for Modular Protocol Design”, IACR e-print 2010/133 [平成25年1月30日検索]、インターネット<URL: http://eprint.iacr.org/2010/133>.Masayuki Abe, Kristiyan Haralambiev and Miyako Ohkubo, “Signing on Elements in Bilinear Groups for Modular Protocol Design”, IACR e-print 2010/133 [searched January 30, 2013], Internet <URL: http: // eprint. iacr.org/2010/133>.

しかしながら、非特許文献2の方法は、追加する変数とペアリングを含む式の数が多く、証明の効率が悪いという課題がある。また、非特許文献3の方法は、証明式が特定の形式に分解できていることが必要であり、利用の用途が限定されるという課題がある。   However, the method of Non-Patent Document 2 has a problem in that the number of expressions including variables to be added and pairing is large, and the efficiency of proof is poor. In addition, the method of Non-Patent Document 3 requires that the proof expression can be decomposed into a specific format, and there is a problem that the usage is limited.

本発明は、一般的なペアリング積で表現された証明式を証明の対象とし、効率的に証明できる技術を提供することを目的とする。   SUMMARY OF THE INVENTION An object of the present invention is to provide a technique that allows a proof expression expressed by a general pairing product to be proved and can be proved efficiently.

本明細書では、群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。本発明の証明システムは、2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する。また、式内の値であって証明装置も検証装置も保有している値を定数、式内の値であって検証装置に対して秘匿された値を変数と呼ぶこととする。Wは群Gの要素の変数、gは群Gの要素であって1以外の定数、iとjは対応関係を示す番号とする。証明装置は、証明対象取得部、証拠取得部、変換部、スイッチャー生成部、変換変数式生成部、GS証明実行部、証明出力部を備える。検証装置は、検証対象取得部、証明入力部、GS証明確認部、対象確認部を備える。証明対象取得部は、2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する。証拠取得部は、いずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する。変換部は、証明式集合ごとに、含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに対応した変換式集合を生成する。スイッチャー生成部は、Wが1またはgのときのみ成り立つペアリング積の等式を、スイッチャー式として生成する。変換変数式生成部は、一方の変換式集合について、変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第1変換変数式集合とし、他方の変換式集合について、変換部で定数Bから変換された変数Yごとに、W=1のときにはY=Bでのみ成り立ち、W=gのときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第2変換変数式集合とする。GS証明実行部は、
(a)証拠取得部が取得した証拠が第1変換変数式集合に対応した証明式集合の証拠である場合は、スイッチャー式にW=gを割り当て、第1変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と第1変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とY=Bを割り当て、第2変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と第2変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(b)証拠取得部が取得した証拠が第2変換変数式集合に対応した証明式集合の証拠である場合は、スイッチャー式にW=1を割り当て、第2変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と第2変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とY=Bを割り当て、第1変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と第1変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(c)(a)または(b)の処理で変数に値が割り当てられたスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行う。証明出力部は、スイッチャー式、2つの変換式集合、第1変換変数式集合、第2変換変数式集合、およびGS証明のすべての結果の情報を出力する。検証対象取得部は、2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する。証明入力部は、証明装置が出力したスイッチャー式、2つの変換式集合、第1変換変数式集合、第2変換変数式集合、GS証明のすべての結果の情報を取得する。GS証明確認部は、スイッチャー式、2つの変換式集合に含まれるすべての変換式、第1変換変数式集合と第2変換変数式集合に含まれるすべての変換変数式に対するGS証明の結果を確認する。対象確認部は、スイッチャー式、2つの変換式集合に含まれるすべての変換式、第1変換変数式集合と第2変換変数式集合に含まれるすべての変換変数式が、証明対象情報に対応していることを確認する。
In this specification, an expression to be proved composed of a product of pairing of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. . The proof system of the present invention proves to the verification device that the proof device has information on variables that make up all of the proof equations included in at least one of the two proof equation sets. To do. In addition, a value that is a value in the expression and is held by both the proving apparatus and the verification apparatus is called a constant, and a value that is in the expression and is hidden from the verification apparatus is called a variable. W is a variable of an element of group G, g is an element of group G and a constant other than 1, and i and j are numbers indicating correspondence. The proof device includes a proof object acquisition unit, an evidence acquisition unit, a conversion unit, a switcher generation unit, a conversion variable expression generation unit, a GS proof execution unit, and a proof output unit. The verification device includes a verification target acquisition unit, a proof input unit, a GS certification confirmation unit, and a target confirmation unit. The proof object acquisition unit acquires proof object information that is information on all constants included in all proof expressions included in the two proof expression sets. The evidence acquisition unit acquires evidence that is information of variables that make up all the proof expressions included in any one proof expression set. For each proof expression set, the conversion unit generates a conversion expression that converts all constant-constant pairings into constant-variable pairings for all proof expressions included in each proof-expression set. Generate a corresponding set of transformation expressions. The switcher generation unit generates an equation of pairing product that holds only when W is 1 or g as a switcher equation. Converting the variable expression generating unit, for one of the conversion equation set for each transformed variables Y i from the constant B i in the conversion unit, when the W = g holds only in Y i = B i, when the W = 1 Y A pairing product equation that holds only when i = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is defined as a first conversion variable expression set, and the other conversion expression set is converted from the constant B j by the conversion unit. For each transformed variable Y j , a pairing product equation that holds only when Y j = B j when W = 1 and holds only when Y i = 1 when W = g is generated as a conversion variable expression, This set of conversion variable expressions is defined as a second conversion variable expression set. The GS certification execution unit
(A) When the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the first conversion variable expression set, W = g is assigned to the switcher expression, and the conversion expression corresponding to the first conversion variable expression set A value obtained from evidence and Y i = B i are assigned to variables of all conversion expressions included in the set and all conversion variable expressions included in the first conversion variable expression set, and the second conversion variable expression set is assigned to the second conversion variable expression set. Assign a value that results in a pairing result of 1 to all variables of all conversion expressions included in the corresponding conversion expression set and to all conversion variable expression variables included in the second conversion variable expression set;
(B) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the second conversion variable expression set, W = 1 is assigned to the switcher expression, and the conversion expression corresponding to the second conversion variable expression set A value obtained from evidence and Y j = B j are assigned to variables of all conversion expressions included in the set and variables of all conversion variable expressions included in the second conversion variable expression set, and the first conversion variable expression set is assigned to the first conversion variable expression set. Assigning a value that results in a pairing result of 1 to all variables of all conversion expressions included in the corresponding conversion expression set and all variables of the conversion variable expressions included in the first conversion variable expression set;
(C) GS proof is performed for each of the switcher formulas, all transformation formulas, and all transformation variable formulas in which values are assigned to the variables in the processing of (a) or (b). The proof output unit outputs information on all results of the switcher formula, the two conversion formula sets, the first conversion variable formula set, the second conversion variable formula set, and the GS proof. The verification object acquisition unit acquires proof object information that is information on all constants included in all proof expressions included in the two proof expression sets. The proof input unit acquires information of all results of the switcher type, the two conversion formula sets, the first conversion variable formula set, the second conversion variable formula set, and the GS proof output from the verification device. The GS proof confirmation unit confirms the results of the GS proof for the switcher type, all the conversion expressions included in the two conversion expression sets, and all the conversion variable expressions included in the first conversion variable expression set and the second conversion variable expression set. To do. The target confirmation unit is configured to switch the switcher formula, all the conversion formulas included in the two conversion formula sets, and all the conversion variable formulas included in the first conversion variable formula set and the second conversion variable formula set corresponding to the certification target information. Make sure.

本発明の証明システムでは、ペアリングの積で表現された証明式の形の制限はない。また、本発明の証明システムによれば、証明式中の定数と定数のペアリングに対してのみ変換の処理を行い、定数から変数への変換ごとに1つの変換変数式(ペアリングを含む式)を追加するだけである。したがって、証明式中のすべてのペアリングに対して変換の処理を行うことを前提としている非特許文献2の方法よりも、追加しなければならないペアリングを含む式の数を少なくできる。   In the proof system of the present invention, there is no limitation on the form of the proof expression expressed by the product of pairing. Further, according to the proof system of the present invention, conversion processing is performed only for the pairing of constants in the proof expression, and one conversion variable expression (an expression including pairing) is performed for each conversion from the constant to the variable. ). Therefore, the number of formulas including pairing that must be added can be reduced as compared with the method of Non-Patent Document 2 on the assumption that conversion processing is performed on all pairings in the proof formula.

本発明の証明システムの構成例を示す図。The figure which shows the structural example of the certification | authentication system of this invention. 証明装置の処理フローの例を示す図。The figure which shows the example of the processing flow of a certification | authentication apparatus. 検証装置の処理フローの例を示す図。The figure which shows the example of the processing flow of a verification apparatus.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

以下では、群Gの要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととする。本発明の証明システムは、2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する。また、明細書中で「定数」とは数式内の値であって証明装置も検証装置も保有している値(既知の値)を示しており、「変数」とは数式内の値であって検証装置に対して秘匿された値を示している。さらに、群G,Gを素数位数qの群、eは群Gの要素同士を群Gの要素に写像するペアリング、Wは群Gの要素の変数、gは群Gの要素であって1以外の定数、iとjは対応関係を示す番号とする。なお、g,gを群Gの要素であって1以外の定数、m,nを0以上q−1以下の整数とするときに、ペアリングeは、e(g,g)≠1、e(g ,g )=e(g,gmnとなる性質を持つ写像である。 In the following, an expression to be proved composed of a product of pairing of elements of group G is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set. The proof system of the present invention proves to the verification device that the proof device has information on variables that make up all of the proof equations included in at least one of the two proof equation sets. To do. Further, in the specification, “constant” is a value in a mathematical formula and indicates a value (known value) possessed by both the proving device and the verification device, and “variable” is a value in the mathematical formula. The value concealed from the verification device is shown. Furthermore, the group of the group G, G T the prime order q, e pairing that maps between elements of the group G to an element of the group G T, W variables of the elements of the group G, g is an element of the group G Therefore, constants other than 1 and i and j are numbers indicating correspondence. Note that when g 1 and g 2 are elements of group G and constants other than 1 and m and n are integers of 0 to q−1, pairing e is e (g 1 , g 2 ). ≠ 1, e (g 1 m , g 2 n ) = e (g 1 , g 2 ) This is a mapping having a property of mn .

また、A,B,Cは群Gの要素である定数、U,V,Xは群Gの要素である変数、dbcは0以上q−1以下の整数である定数、a,b,c,fは対応関係を示すための番号とすると、証明式は、一般的に A a , B f , and C f are constants that are elements of the group G, U a , V b , and X c are variables that are elements of the group G, and d bc is a constant that is an integer of 0 to q−1. , A, b, c, f are numbers for indicating correspondence,

Figure 0005907906
または、この式の項を移項することで表現できる式である。つまり、ペアリングの積で表現されたすべての式は、移項によって整理すれば式(1)の形に変形できる。そこで、以下での一般化した説明では、式(1)を用いて説明する。
Figure 0005907906
Or, it is an expression that can be expressed by shifting the term of this expression. That is, all the expressions expressed by the product of pairing can be transformed into the form of expression (1) if they are arranged by transposition. Therefore, in the generalized description below, the description will be made using Equation (1).

このようなペアリングの積で表現される式は、例えば非特許文献4に示した署名で用いられている。そして、1つの署名は、ペアリングの積で表現された1つ以上の式(非特許文献4の場合は2つの式)で構成され、すべての式を満たすことを確認することで署名の検証が行われる。つまり、署名の中の1つの式が本明細書中の証明式に相当し、署名が証明式集合に相当する。そして、上述の「2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の値を証明装置が保有していることを、検証装置に対して証明する。」を署名に当てはめてみると、「2つの署名のうち少なくとも1つの正当な署名を証明装置が保有していることを、検証装置に対して証明する。」という意味である。ただし、本発明は、署名に限定することなく適用できるものであり、一般的な表現として証明式や証明式集合という表現を用いている。   An expression expressed by such a product of pairing is used in the signature shown in Non-Patent Document 4, for example. One signature is composed of one or more expressions (two expressions in the case of Non-Patent Document 4) expressed by a pairing product, and the signature is verified by confirming that all the expressions are satisfied. Is done. That is, one expression in the signature corresponds to a proof expression in this specification, and the signature corresponds to a proof expression set. Then, the above-described “proving apparatus proves that the proving apparatus has the values of variables that hold all the proving expressions included in at least one of the two proving expression sets. Is applied to the signature, it means “proving to the verification device that the certification device has at least one valid signature of the two signatures”. However, the present invention can be applied without being limited to a signature, and expressions such as proof expressions and proof expression sets are used as general expressions.

<証明システムの構成と処理>
図1に本発明の証明システムの構成例を示す。また、図2に証明装置の処理フローの例、図3に検証装置の処理フローの例を示す。証明システムは、少なくとも証明装置100と検証装置200を備える。図1では証明装置100と検証装置200はネットワーク900で接続されているが、証明装置100と検証装置200との情報の受け渡しは、ネットワーク900経由に限定する必要はなく、記録媒体などによって情報の受け渡しを行ってもよい。
<Configuration and processing of certification system>
FIG. 1 shows a configuration example of a proof system of the present invention. FIG. 2 shows an example of the processing flow of the certification device, and FIG. 3 shows an example of the processing flow of the verification device. The proof system includes at least a proof device 100 and a verification device 200. In FIG. 1, the certification device 100 and the verification device 200 are connected via a network 900. However, information exchange between the certification device 100 and the verification device 200 does not have to be limited to the network 900. Delivery may be performed.

証明装置100は、証明対象取得部110、証拠取得部120、変換部130、スイッチャー生成部140、変換変数式生成部150、GS証明実行部160、証明出力部170、記録部190を備える。検証装置200は、検証対象取得部210、証明入力部220、GS証明確認部230、対象確認部240、記録部290を備える。   The certification device 100 includes a certification target acquisition unit 110, an evidence acquisition unit 120, a conversion unit 130, a switcher generation unit 140, a conversion variable expression generation unit 150, a GS certification execution unit 160, a certification output unit 170, and a recording unit 190. The verification device 200 includes a verification target acquisition unit 210, a proof input unit 220, a GS certification confirmation unit 230, a target confirmation unit 240, and a recording unit 290.

証明対象取得部110は、2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得し、記録部190に記録する(S110)。証明式の形はあらかじめ定めておいてもよいし、ステップS110の処理の中で取得してもよい。また、「定数の情報」とは、定数の値そのものであっても、あらかじめ定めた方法で計算するために必要な値でもよい。例えば、ステップS110では、公開鍵などの情報を取得する。なお、本明細書では、「取得」とは、外部から得るだけではなく、証明装置100が生成することも含む意味で用いている。「集合」とは、まとまりを表わす程度の意味であって、証明式集合とは1つ以上の証明式のまとまりという意味である。また、証明式集合の一方を第1証明式集合、他方を第2証明式集合と呼ぶことにする。   The certification target acquisition unit 110 acquires certification target information, which is information on all constants included in all certification formulas included in the two certification formula sets, and records the certification target information in the recording unit 190 (S110). The form of the proof expression may be determined in advance or may be acquired during the process of step S110. The “constant information” may be a constant value itself or a value necessary for calculation by a predetermined method. For example, in step S110, information such as a public key is acquired. In this specification, “acquisition” is used not only to obtain from the outside but also to include generation by the certification device 100. The term “set” means a group representing a group, and the proof expression set means a group of one or more proof expressions. One of the proof expression sets is called a first proof expression set, and the other is called a second proof expression set.

証拠取得部120は、いずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得し、記録部190に記録する(S120)。「変数の情報」とは、変数の値そのものであっても、あらかじめ定めた方法で計算するために必要な値でもよい。例えば、ステップS120では、秘密鍵などの情報を取得する。また、証明装置100が署名を生成する装置の場合は、証明装置100が証拠を生成することも含んでいる。   The evidence acquisition unit 120 acquires evidence that is variable information that holds all the proof expressions included in any one proof expression set, and records the evidence in the recording unit 190 (S120). The “variable information” may be a variable value itself or a value necessary for calculation by a predetermined method. For example, in step S120, information such as a secret key is acquired. In addition, when the proving apparatus 100 is an apparatus that generates a signature, it also includes that the proving apparatus 100 generates evidence.

変換部130は、証明式集合ごとに、含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに対応した変換式集合を生成し、記録部190に記録する(S130)。式(1)の場合であれば、BもしくはCを変数Yに変換することを意味する。また、移項によって式が変形された場合でも、移項後の表現でのBに対応する定数もしくはCに対応する定数を、変数Yに変換することを意味する。例えば、 For each proof expression set, the conversion unit 130 generates a conversion expression obtained by converting all of the constant-constant pairings into constant-variable pairings for all included proof expressions. Is generated and recorded in the recording unit 190 (S130). In the case of Expression (1), it means that B f or C f is converted to a variable Y f . Further, even when the expression is transformed by the shift, it means that the constant corresponding to B f or the constant corresponding to C f in the expression after the shift is converted to the variable Y f . For example,

Figure 0005907906
のように変換する。つまり、変換式では、定数と定数のペアリングが存在しない。以下の説明のために、第1証明式集合の証明式において、変数に変換した定数をBとし、変換後の変数をYとする。また、第2証明式集合の証明式において、変数に変換した定数をBとし、変換後の変数をYとする。つまり、変換部130は、証明式のBもしくはC、または移項後の表現でのBに対応する定数もしくはCに対応する定数を、定数Bまたは定数Bとして、変数に変換する。なお、第1証明式集合に対応した変換式集合を第1変換式集合、第2証明式集合に対応した変換式集合を第2変換式集合と呼ぶことにする。また、iとjは対応関係を示す番号であって、第1変換式集合の中で定数から変数に変換された数だけ番号iの数は存在し、第2変換式集合の中で定数から変数に変換された数だけ番号jの数は存在する。さらに、「集合を生成する」とは、1つ以上の式を何らかの方法でまとまりとして扱えるようにすることを意味しており、同じ集合に属する式を同じテーブルに記録することや、関連付けるための番号を付与することなどを含んでいるが、これらに限定するものではない。
Figure 0005907906
Convert as follows. In other words, there is no constant-constant pairing in the conversion formula. For the following explanation, in the proof expression of the first proof expression set, a constant converted to a variable is B i and a converted variable is Y i . In the proof expression of the second proof expression set, a constant converted to a variable is B j, and a variable after conversion is Y j . That is, the conversion unit 130 converts B f or C f in the proof expression or a constant corresponding to B f in the expression after the transfer or a constant corresponding to C f into a variable as a constant B i or a constant B j. To do. A conversion formula set corresponding to the first proof formula set is referred to as a first conversion formula set, and a conversion formula set corresponding to the second proof formula set is referred to as a second conversion formula set. Also, i and j are numbers indicating correspondence relationships, and there are as many numbers as the number i converted from constants to variables in the first conversion formula set, and from the constants in the second conversion formula set. There are as many numbers j as the number converted into variables. Furthermore, “generate a set” means that one or more expressions can be handled as a group in some way, and the expressions belonging to the same set can be recorded in the same table or associated with each other. This includes, but is not limited to, assigning numbers.

スイッチャー生成部140は、スイッチャー式を、Wが1またはgのときのみ成り立つペアリング積の等式とし、記録部190に記録する(S140)。例えば、
e(W,W/g)=1 (3)
をスイッチャー式とすればよいし、
e(g/W,W)=1 (4)
をスイッチャー式にしてもよい。
The switcher generation unit 140 sets the switcher equation as an equation of a pairing product that holds only when W is 1 or g, and records it in the recording unit 190 (S140). For example,
e (W, W / g) = 1 (3)
Can be a switcher type,
e (g / W, W) = 1 (4)
May be a switcher type.

変換変数式生成部150は、第1変換式集合について、変換部130で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を変換変数式として生成し、この変換変数式の集合を第1変換変数式集合とする。例えば、
e(B,W)=e(Y,g) (5)
のように変換変数式を生成すればよいし、
e(B,W)e(Y,g−1)=1 (6)
のように変換変数式を生成してもよい。また、変換変数式生成部150は、第2変換式集合について、変換部130で定数Bから変換された変数Yごとに、W=1のときにはY=Bでのみ成り立ち、W=gのときにはY =1でのみ成り立つペアリング積の等式を変換変数式として生成し、この変換変数式の集合を第2変換変数式集合とする(S150)。例えば、
e(B,g/W)=e(Y,g) (7)
のように変換変数式を生成すればよし、
e(B ,g/W)e(Y ,g−1)=1 (8)
のように変換変数式を生成してもよい。
For each variable Y i converted from the constant B i by the conversion unit 130 for the first set of conversion expressions, the conversion variable expression generation unit 150 includes only Y i = B i when W = g, and W = 1. Sometimes a pairing product equation that holds only when Y i = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is defined as a first conversion variable expression set. For example,
e (B i , W) = e (Y i , g) (5)
You just need to generate a conversion variable expression like
e (B i , W) e (Y i , g −1 ) = 1 (6)
A conversion variable expression may be generated as follows. In addition, the conversion variable expression generation unit 150 holds only Y j = B j when W = 1 for each variable Y j converted from the constant B j by the conversion unit 130 for the second conversion expression set, and W = When g, a pairing product equation that holds only when Y j = 1 is generated as a conversion variable expression, and this set of conversion variable expressions is set as a second conversion variable expression set (S150). For example,
e ( Bj , g / W) = e ( Yj , g) (7)
You can create a transformation variable expression like
e (B j , g / W) e (Y j , g −1 ) = 1 (8)
A conversion variable expression may be generated as follows.

GS証明実行部160は、以下の(a)〜(c)の処理を行う(S160)。
(a)証拠取得部120が取得した証拠が第1証明式集合(第1変換変数式集合に対応した証明式集合)の証拠である場合は、スイッチャー式にW=gを割り当て、第1変換式集合に含まれるすべての変換式の変数と第1変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とY=Bを割り当てる。つまり、証明式でも変数だった変数には証拠から得られる値を割り当て、変換部130によって定数から変数に変換された変数にはY=Bを割り当てる。そして、第2変換式集合に含まれるすべての変換式のすべての変数と第2変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当てる(S161)。
The GS certification execution unit 160 performs the following processes (a) to (c) (S160).
(A) If the evidence acquired by the evidence acquisition unit 120 is evidence of a first proof expression set (a proof expression set corresponding to the first conversion variable expression set), W = g is assigned to the switcher expression and the first conversion Values obtained from evidence and Y i = B i are assigned to variables of all conversion expressions included in the expression set and variables of all conversion variable expressions included in the first conversion variable expression set. That is, a value obtained from evidence is assigned to a variable that is also a variable in the proof expression, and Y i = B i is assigned to a variable converted from a constant to a variable by the conversion unit 130. Then, a value for which the pairing result is 1 is assigned to all the variables of all the conversion expressions included in the second conversion expression set and all the variables of the conversion variable expressions included in the second conversion variable expression set (S161). .

(b)証拠取得部120が取得した証拠が第2証明式集合(第2変換変数式集合に対応した証明式集合)の証拠である場合は、スイッチャー式にW=1を割り当て、第2変換式集合に含まれるすべての変換式の変数と第2変換変数式集合に含まれるすべての変換変数式の変数に、証拠から得られる値とY=Bを割り当てる。つまり、証明式でも変数だった変数には証拠から得られる値を割り当て、変換部130によって定数から変数に変換された変数にはY=Bを割り当てる。第1変換式集合に含まれるすべての変換式のすべての変数と第1変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当てる(S162)。 (B) If the evidence acquired by the evidence acquisition unit 120 is evidence of the second proof expression set (proof expression set corresponding to the second conversion variable expression set), W = 1 is assigned to the switcher expression and the second conversion Values obtained from evidence and Y j = B j are assigned to variables of all conversion expressions included in the expression set and variables of all conversion variable expressions included in the second conversion variable expression set. That is, a value obtained from evidence is assigned to a variable that is also a variable in the proof expression, and Y j = B j is assigned to a variable converted from a constant to a variable by the conversion unit 130. A value with a pairing result of 1 is assigned to all variables of all conversion expressions included in the first conversion expression set and all conversion variable expressions included in the first conversion variable expression set (S162).

(c)(a)または(b)の処理で変数に値が割り当てられたスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明(Groth-Sahai非対話証明)を行う(S163)。
なお、「変数にペアリングの結果が1となる値を割り当てる」とは、定数と変数のペアリングの場合には変数の値を1にし、変数と変数のペアリングの場合には少なくとも一方の変数の値を1にすることを意味する。このようにすれば、ペアリングの結果が1となる。
(C) GS proof (Groth-Sahai non-dialogue proof) is performed for each of the switcher expression, the conversion expression, and the conversion variable expression in which values are assigned to the variables in the process of (a) or (b) ( S163).
Note that “assign a value that results in a pairing result of 1 to a variable” means that the value of the variable is set to 1 in the case of pairing a constant and a variable, and at least one of the variables is paired in the case of a pairing of a variable and a variable. This means that the value of the variable is 1. In this way, the pairing result is 1.

例えば、式(2)が変換式、式(3)がスイッチャー式、式(5),(7)が変換変数式のときについて説明すると、以下のようになる。証拠取得部120が取得した証拠が第1証明式集合の証拠の場合((a)の処理の場合)は、スイッチャー式は、
e(g,g/g)=1
となり、成り立つ。第1変換式集合の変換式は、
For example, a case where equation (2) is a conversion equation, equation (3) is a switcher equation, and equations (5) and (7) are conversion variable equations is as follows. When the evidence acquired by the evidence acquisition unit 120 is evidence of the first proof expression set (in the case of the process (a)), the switcher expression is
e (g, g / g) = 1
And it holds. The conversion formula of the first conversion formula set is

Figure 0005907906
のU,V,Xに証拠から得られる値を代入した式となり、成り立つ。第1変換変数式集合の変換変数式は、
e(B,g)=e(Y,g)
となるので成り立つ。また、第2変換式集合の変換式は、
Figure 0005907906
This is a formula obtained by substituting values obtained from evidence into U a , V b , and X c of The transformation variable expression of the first transformation variable expression set is
e (B i , g) = e (Y i , g)
Since it becomes, it is formed. Also, the conversion formula of the second conversion formula set is

Figure 0005907906
となる。この式では、すべてのペアリングで一方の要素が“1”なので、すべてのペアリングの結果が1となる。よって、右辺も左辺も1となり、成り立つ。第2変換変数式集合の変換変数式は、
e(B,g/g)=e(1,g)
となり、やはり右辺も左辺も1となるので成り立つ。
Figure 0005907906
It becomes. In this equation, since one element is “1” in all pairings, the result of all pairings is 1. Therefore, the right side and the left side are 1 and hold. The transformation variable expression of the second transformation variable expression set is
e (B j , g / g) = e (1, g)
This is also true because both the right side and the left side are 1.

証拠取得部120が取得した証拠が第2証明式集合の証拠の場合((b)の処理の場合)は、スイッチャー式は、
e(1,1/g)=1
となり、成り立つ。第1変換式集合の変換式は、
When the evidence acquired by the evidence acquisition unit 120 is evidence of the second proof expression set (in the case of the process (b)), the switcher expression is
e (1,1 / g) = 1
And it holds. The conversion formula of the first conversion formula set is

Figure 0005907906
となる。この式では、すべてのペアリングで一方の要素が“1”なので、すべてのペアリングの結果が1となる。よって、右辺も左辺も1となり、成り立つ。第1変換変数式集合の変換変数式は、
e(B,1)=e(1,g)
となり、やはり右辺も左辺も1となるので成り立つ。また、第2変換式集合の変換式は、
Figure 0005907906
It becomes. In this equation, since one element is “1” in all pairings, the result of all pairings is 1. Therefore, the right side and the left side are 1 and hold. The transformation variable expression of the first transformation variable expression set is
e (B i , 1) = e (1, g)
This is also true because both the right side and the left side are 1. Also, the conversion formula of the second conversion formula set is

Figure 0005907906
のU,V,Xに証拠から得られる値を代入した式となり、成り立つ。第2変換変数式集合の変換変数式は、
e(B,g/1)=e(Y,g)
となり、成り立つ。
Figure 0005907906
This is a formula obtained by substituting values obtained from evidence into U a , V b , and X c of The transformation variable expression of the second transformation variable expression set is
e (B j , g / 1) = e (Y j , g)
And it holds.

つまり、証拠取得部120が取得した証拠がどちらの証明式集合に対する証拠であっても、変数を割り当てたスイッチャー式、すべての変換式、すべての変換変数式は成り立つ。そして、(c)の処理でスイッチャー式、すべての変換式、すべての変換変数式に対してGS証明を行うので、すべての式が成り立っていることを証明できる。   That is, regardless of which proof expression set the evidence acquired by the evidence acquisition unit 120 is, the switcher expression to which variables are assigned, all conversion expressions, and all conversion variable expressions hold. Since the GS proof is performed for the switcher formula, all conversion formulas, and all conversion variable formulas in the process (c), it can be proved that all formulas are established.

証明出力部170は、スイッチャー式、2つの変換式集合、第1変換変数式集合、第2変換変数式集合、およびGS証明のすべての結果の情報を出力する(S170)。具体的には、ネットワーク900を介して検証装置200に送信してもよいし、可搬タイプの記録媒体に記録してもよい。   The proof output unit 170 outputs information on all results of the switcher formula, the two conversion formula sets, the first conversion variable formula set, the second conversion variable formula set, and the GS proof (S170). Specifically, it may be transmitted to the verification device 200 via the network 900, or may be recorded on a portable recording medium.

次に検証装置200の処理について説明する。検証対象取得部210は、2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得し、記録部290に記録する(S210)。この処理は、証明装置100の証明対象取得部110の処理と同じである。   Next, processing of the verification apparatus 200 will be described. The verification object acquisition unit 210 acquires proof object information that is information on all constants included in all the proof expressions included in the two proof expression sets, and records the proof object information in the recording unit 290 (S210). This process is the same as the process performed by the certification target acquisition unit 110 of the certification device 100.

証明入力部220は、証明装置100が出力したスイッチャー式、2つの変換式集合、第1変換変数式集合、第2変換変数式集合、GS証明のすべての結果の情報を取得する(S220)。取得の方法は、ネットワーク900を介してでもよいし、記録媒体を介してでもよい。   The proof input unit 220 acquires information on all results of the switcher type, the two conversion formula sets, the first conversion variable formula set, the second conversion variable formula set, and the GS proof output from the verification apparatus 100 (S220). The acquisition method may be via the network 900 or via a recording medium.

GS証明確認部230は、スイッチャー式、2つの変換式集合に含まれるすべての変換式、第1変換変数式集合と第2変換変数式集合に含まれるすべての変換変数式に対するGS証明の結果を確認する(S230)。この確認によって、すべての式が成り立っていることは確認できる。   The GS proof confirmation unit 230 displays the GS proof results for the switcher type, all the conversion formulas included in the two conversion formula sets, and all the conversion variable formulas included in the first conversion variable formula set and the second conversion variable formula set. Confirm (S230). This confirmation confirms that all the expressions hold.

対象確認部240は、スイッチャー式、2つの変換式集合に含まれるすべての変換式、第1変換変数式集合と第2変換変数式集合に含まれるすべての変換変数式が、証明対象情報に対応していることを確認する(S240)。変換変数式集合を確認することで、変換式の変数の中で、証明式でも変数の変数と変換部130で定数から変数に変換された変数とを区別できる。そして、変換式集合を確認することで、変換式集合と変換変数式集合が、証明式集合に対応していることが確認できる。   The object confirmation unit 240 corresponds to the proof object information for the switcher expression, all the conversion expressions included in the two conversion expression sets, and all the conversion variable expressions included in the first conversion variable expression set and the second conversion variable expression set. (S240). By confirming the conversion variable expression set, among the variables of the conversion expression, it is possible to distinguish the variable variable and the variable converted from the constant to the variable by the conversion unit 130 even in the proof expression. By confirming the conversion expression set, it can be confirmed that the conversion expression set and the conversion variable expression set correspond to the proof expression set.

本発明の証明システムは、このような処理を行うので、検証装置200では、証明装置100がどちらの証明式集合に対する証拠を保有しているのか分からないようにしながら、証明装置100が少なくとも一方の証明式集合に対する証拠を保有していることを証明できる。このような手法を用いれば、例えば署名システムのセキュリティ強化も可能である。また、本発明の証明システムでは、ペアリングの積で表現された証明式の形の制限はない。さらに、本発明の証明システムによれば、証明式中の定数と定数のペアリングに対してのみ変換の処理を行い、定数から変数への変換ごとに1つの変換変数式(ペアリングを含む式)を追加するだけである。したがって、証明式中のすべてのペアリングに対して変換の処理を行うことを前提としている非特許文献2の方法よりも、追加しなければならないペアリングを含む式の数を少なくできる。   Since the proof system of the present invention performs such processing, the verification device 200 does not know which proof expression set the proof device 100 holds, while the proof device 100 has at least one of them. We can prove that we have evidence for a proof formula set. If such a method is used, the security of the signature system can be enhanced, for example. Moreover, in the proof system of this invention, there is no restriction | limiting of the form of the proof formula expressed by the product of pairing. Furthermore, according to the proof system of the present invention, the conversion process is performed only for the constant-constant pairing in the proof expression, and one conversion variable expression (an expression including pairing) is performed for each conversion from the constant to the variable. ). Therefore, the number of formulas including pairing that must be added can be reduced as compared with the method of Non-Patent Document 2 on the assumption that conversion processing is performed on all pairings in the proof formula.

[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
[Program, recording medium]
The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

本発明は、署名システムのセキュリティ強化や署名を応用したシステムなどに利用できる。   The present invention can be used for security enhancement of a signature system and a system to which a signature is applied.

100 証明装置 110 証明対象取得部
120 証拠取得部 130 変換部
140 スイッチャー生成部 150 変換変数式生成部
160 GS証明実行部 170 証明出力部
190、290 記録部 200 検証装置
210 検証対象取得部 220 証明入力部
230 GS証明確認部 240 対象確認部
900 ネットワーク
DESCRIPTION OF SYMBOLS 100 Proof device 110 Proof object acquisition part 120 Evidence acquisition part 130 Conversion part 140 Switcher generation part 150 Conversion variable formula generation part 160 GS proof execution part 170 Proof output part 190,290 Recording part 200 Verification apparatus 210 Verification object acquisition part 220 Proof input Unit 230 GS certification confirmation unit 240 target confirmation unit 900 network

Claims (6)

群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する証明システムであって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、Wは群の要素の変数、gは群の要素であって1以外の定数、iとjは対応関係を示す番号とし、
前記証明装置は、
前記の2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得部と、
いずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得部と、
証明式集合ごとに、含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに対応した変換式集合を生成する変換部と、
Wが1またはgのときのみ成り立つペアリング積の等式を、スイッチャー式として生成するスイッチャー生成部と、
一方の変換式集合について、前記変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第1変換変数式集合とし、
他方の変換式集合について、前記変換部で定数Bから変換された変数Yごとに、W=1のときにはY=Bでのみ成り立ち、W=gのときにはY =1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第2変換変数式集合とする変換変数式生成部と、
(a)前記証拠取得部が取得した前記証拠が前記第1変換変数式集合に対応した証明式集合の証拠である場合は、前記スイッチャー式にW=gを割り当て、前記第1変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と前記第1変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、前記第2変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と前記第2変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(b)前記証拠取得部が取得した前記証拠が前記第2変換変数式集合に対応した証明式集合の証拠である場合は、前記スイッチャー式にW=1を割り当て、前記第2変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と前記第2変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、前記第1変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と前記第1変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(c)前記(a)または前記(b)の処理で変数に値が割り当てられたスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行う
GS証明実行部と、
前記スイッチャー式、前記の2つの変換式集合、前記第1変換変数式集合、前記第2変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力部と
を備え、
前記検証装置は、
前記の2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得部と、
前記証明装置が出力した前記スイッチャー式、前記の2つの変換式集合、前記第1変換変数式集合、前記第2変換変数式集合、前記GS証明のすべての結果の情報を取得する証明入力部と、
前記スイッチャー式、前記の2つの変換式集合に含まれるすべての変換式、前記第1変換変数式集合と前記第2変換変数式集合に含まれるすべての変換変数式に対する前記GS証明の結果を確認するGS証明確認部と、
前記スイッチャー式、前記の2つの変換式集合に含まれるすべての変換式、前記第1変換変数式集合と前記第2変換変数式集合に含まれるすべての変換変数式が、前記証明対象情報に対応していることを確認する対象確認部と
を備える
証明システム。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof system that proves to a verification device that a proof device has information on variables that hold all proof equations included in at least one proof equation set of two proof equation sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, a value in the equation that is concealed from the verification device is called a variable, and W is a group Variable of element, g is a group element and a constant other than 1, i and j are numbers indicating correspondence,
The proving device is
A proof object acquisition unit for acquiring proof object information which is information of all constants included in all proof expressions included in the two proof expression sets;
An evidence acquisition unit that acquires evidence that is information on variables that make up all the proof expressions included in any one proof expression set;
For each proof expression set, by generating a conversion expression that converts all constant-constant pairings into constant-variable pairings for all included proof expressions, conversion expressions corresponding to each proof expression set A transform unit for generating a set;
A switcher generating unit that generates an equation of a pairing product that holds only when W is 1 or g as a switcher equation;
For one conversion equation set, for each variable Y i converted from the constant B i by the conversion unit, only Y i = B i holds when W = g, and only Y i = 1 holds when W = 1. Generate a pairing product equation as a conversion variable expression, and a set of the conversion variable expressions as a first conversion variable expression set;
For the other set of conversion formulas, for each variable Y j converted from the constant B j by the conversion unit, only Y j = B j is satisfied when W = 1, and only Y j = 1 is satisfied when W = g. A pairing product equation is generated as a conversion variable expression and a set of the conversion variable expressions is a second conversion variable expression set;
(A) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the first conversion variable expression set, W = g is assigned to the switcher expression, and the first conversion variable expression set Assigning values obtained from the evidence and Y i = B i to variables of all the conversion expressions included in the conversion expression set corresponding to, and all the variables of the conversion variable expressions included in the first conversion variable expression set, The pairing result is 1 for all variables of all the conversion expressions included in the conversion expression set corresponding to the second conversion variable expression set and for all the conversion variable expressions included in the second conversion variable expression set. Assigns the value
(B) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the second conversion variable expression set, W = 1 is assigned to the switcher expression, and the second conversion variable expression set Assigning the values obtained from the evidence and Y j = B j to all the variables of the conversion expressions included in the conversion expression set corresponding to, and all the variables of the conversion variable expressions included in the second conversion variable expression set, The pairing result is 1 for all variables of all conversion expressions included in the conversion expression set corresponding to the first conversion variable expression set and all variables of the conversion variable expressions included in the first conversion variable expression set. Assigns the value
(C) a switcher expression in which values are assigned to variables in the process of (a) or (b), all conversion expressions, and a GS proof execution unit that performs GS proof on all conversion variable expressions;
A proof output unit that outputs information on all results of the switcher formula, the two transformation formula sets, the first transformation variable formula set, the second transformation variable formula set, and the GS proof,
The verification device includes:
A verification object acquisition unit that acquires proof object information that is information on all constants included in all proof expressions included in the two proof expression sets;
A proof input unit that obtains information on all results of the switcher formula, the two transformation formula sets, the first transformation variable formula set, the second transformation variable formula set, and the GS proof output from the proof device; ,
Confirm the result of the GS proof for the switcher expression, all the conversion expressions included in the two conversion expression sets, and all the conversion variable expressions included in the first conversion variable expression set and the second conversion variable expression set. A GS certification confirmation unit,
The switcher expression, all the conversion expressions included in the two conversion expression sets, and all the conversion variable expressions included in the first conversion variable expression set and the second conversion variable expression set correspond to the proof object information. And a target confirmation unit for confirming that the certification system is provided.
請求項1記載の証明システムであって、
eは群の要素同士のペアリングとし、
前記スイッチャー式は、
e(W,W/g)=1
であり、
前記第1変換変数式集合の変換変数式は、
e(B,W)=e(Y,g)
であり、
前記第2変換変数式集合の変換変数式は、
e(B,g/W)=e(Y,g)
である
ことを特徴とする証明システム。
The certification system according to claim 1,
e is a pairing of elements of the group,
The switcher type is
e (W, W / g) = 1
And
The conversion variable expression of the first conversion variable expression set is:
e (B i , W) = e (Y i , g)
And
The conversion variable expression of the second conversion variable expression set is:
e ( Bj , g / W) = e ( Yj , g)
A proof system characterized by
請求項1または2記載の証明システムであって、
群G,Gを素数位数qの群、eは群Gの要素同士を群Gの要素に写像するペアリング、A,B,Cは群Gの要素である定数、U,V,Xは群Gの要素である変数、dbcは0以上q−1以下の整数である定数、a,b,c,fは対応関係を示すための番号とし、
前記証明式は、
Figure 0005907906

または、この式の項を移項することで表現できる式であり、
前記変換部は、前記証明式のBもしくはC、または移項後の表現でのBに対応する定数もしくはCに対応する定数を、前記定数Bまたは前記定数Bとして、変数に変換する
ことを特徴とする証明システム。
The proof system according to claim 1 or 2,
Group G, group G T the prime order q, e pairing that maps between elements of the group G to an element of the group G T, A a, B f , C f is an element of the group G constant, U a , V b , and X c are variables that are elements of the group G, d bc is a constant that is an integer of 0 to q−1, a, b, c, and f are numbers for indicating correspondence,
The proof formula is
Figure 0005907906

Or an expression that can be expressed by transposing the terms of this expression,
The conversion unit converts B f or C f of the proof expression or a constant corresponding to B f in the expression after the transfer or a constant corresponding to C f into the variable as the constant B i or the constant B j. A proof system characterized by conversion.
群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を保有していることを、検証装置に対して証明する証明装置であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、eは群の要素同士のペア
リング、Wは群の要素の変数、gは群の要素であって1以外の定数、iとjは対応関係を示す番号とし、
前記の2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得部と、
いずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得部と、
証明式集合ごとに、含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに対応した変換式集合を生成する変換部と、
Wが1またはgのときのみ成り立つペアリング積の等式を、スイッチャー式として生成するスイッチャー生成部と、
一方の変換式集合について、前記変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第1変換変数式集合とし、
他方の変換式集合について、前記変換部で定数Bから変換された変数Yごとに、W=1のときにはY=Bでのみ成り立ち、W=gのときにはY =1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第2変換変数式集合とする変換変数式生成部と、
(a)前記証拠取得部が取得した前記証拠が前記第1変換変数式集合に対応した証明式集合の証拠である場合は、前記スイッチャー式にW=gを割り当て、前記第1変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と前記第1変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、前記第2変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と前記第2変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(b)前記証拠取得部が取得した前記証拠が前記第2変換変数式集合に対応した証明式集合の証拠である場合は、前記スイッチャー式にW=1を割り当て、前記第2変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と前記第2変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、前記第1変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と前記第1変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(c)前記(a)または前記(b)の処理で変数に値が割り当てられたスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行う
GS証明実行部と、
前記スイッチャー式、前記の2つの変換式集合、前記第1変換変数式集合、前記第2変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力部と
を備える証明装置。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof device that proves to a verification device that it has information on variables that hold all proof expressions included in at least one proof expression set of two proof expression sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value that is in the equation and is hidden from the verification device is called a variable, and e is a group W is a group element variable, g is a group element and a constant other than 1, and i and j are numbers indicating correspondence,
A proof object acquisition unit for acquiring proof object information which is information of all constants included in all proof expressions included in the two proof expression sets;
An evidence acquisition unit that acquires evidence that is information on variables that make up all the proof expressions included in any one proof expression set;
For each proof expression set, by generating a conversion expression that converts all constant-constant pairings into constant-variable pairings for all included proof expressions, conversion expressions corresponding to each proof expression set A transform unit for generating a set;
A switcher generating unit that generates an equation of a pairing product that holds only when W is 1 or g as a switcher equation;
For one conversion equation set, for each variable Y i converted from the constant B i by the conversion unit, only Y i = B i holds when W = g, and only Y i = 1 holds when W = 1. Generate a pairing product equation as a conversion variable expression, and a set of the conversion variable expressions as a first conversion variable expression set;
For the other set of conversion formulas, for each variable Y j converted from the constant B j by the conversion unit, only Y j = B j is satisfied when W = 1, and only Y j = 1 is satisfied when W = g. A pairing product equation is generated as a conversion variable expression and a set of the conversion variable expressions is a second conversion variable expression set;
(A) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the first conversion variable expression set, W = g is assigned to the switcher expression, and the first conversion variable expression set Assigning values obtained from the evidence and Y i = B i to variables of all the conversion expressions included in the conversion expression set corresponding to, and all the variables of the conversion variable expressions included in the first conversion variable expression set, The pairing result is 1 for all variables of all the conversion expressions included in the conversion expression set corresponding to the second conversion variable expression set and for all the conversion variable expressions included in the second conversion variable expression set. Assigns the value
(B) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the second conversion variable expression set, W = 1 is assigned to the switcher expression, and the second conversion variable expression set Assigning the values obtained from the evidence and Y j = B j to all the variables of the conversion expressions included in the conversion expression set corresponding to, and all the variables of the conversion variable expressions included in the second conversion variable expression set, The pairing result is 1 for all variables of all conversion expressions included in the conversion expression set corresponding to the first conversion variable expression set and all variables of the conversion variable expressions included in the first conversion variable expression set. Assigns the value
(C) a switcher expression in which values are assigned to variables in the process of (a) or (b), all conversion expressions, and a GS proof execution unit that performs GS proof on all conversion variable expressions;
A proof device comprising: the switcher equation, the two transformation equation sets, the first transformation variable equation set, the second transformation variable equation set, and a proof output unit that outputs information on all results of the GS proof.
群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを検証する検証装置であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、eは群の要素同士のペアリング、Wは群の要素の変数、gは群の要素であって1以外の定数、iとjは対応関係を示す番号とし、
証明式集合ごとに、含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに生
成された集合を変換式集合とし、
Wが1またはgのときのみ成り立つペアリング積の等式をスイッチャー式とし、
一方の変換式集合について、定数Bから変換された変数Yごとに生成された、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を変換変数式、この変換変数式の集合を第1変換変数式集合とし、
他方の変換式集合について、定数Bから変換された変数Yごとに生成された、W=1のときにはY=Bでのみ成り立ち、W=gのときにはY =1でのみ成り立つペアリング積の等式を変換変数式、この変換変数式の集合を第2変換変数式集合とし、
前記の2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得部と、
前記証明装置が出力した前記スイッチャー式、前記の2つの変換式集合、前記第1変換変数式集合、前記第2変換変数式集合の情報、および前記スイッチャー式、前記の2つの変換式集合に含まれるすべての変換式、前記第1変換変数式集合と前記第2変換変数式集合に含まれるすべての変換変数式に対するGS証明のすべての結果の情報を取得する証明入力部と、
前記GS証明のすべての結果を確認するGS証明確認部と、
前記スイッチャー式、前記の2つの変換式集合に含まれるすべての変換式、前記第1変換変数式集合と前記第2変換変数式集合に含まれるすべての変換変数式が、前記証明対象情報に対応していることを確認する対象確認部と、
を備える検証装置。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A verification device that verifies that a proof device has information on variables that hold all proof equations included in at least one proof equation set of two proof equation sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value that is in the equation and is hidden from the verification device is called a variable, and e is a group W is a group element variable, g is a group element and a constant other than 1, and i and j are numbers indicating correspondence,
For each proof expression set, a set generated for each proof expression set by generating a conversion expression that converts all of the pairings of constants and constants into pairings of constants and variables for all included proof expressions. Is a set of transformation formulas,
The pairing product equation that holds only when W is 1 or g is the switcher type,
For one set of conversion formulas, a pair is generated for each variable Y i converted from the constant B i , and only holds when Y i = B i when W = g, and only when Y i = 1 when W = 1. The ring product equation is a transformation variable expression, the set of transformation variable expressions is the first transformation variable expression set,
For the other set of conversion formulas, a pair is generated for each variable Y j converted from the constant B j. When W = 1, only Y j = B j , and when W = g, only Y j = 1. The ring product equation is the transformation variable expression, the set of transformation variable expressions is the second transformation variable expression set,
A verification object acquisition unit that acquires proof object information that is information on all constants included in all proof expressions included in the two proof expression sets;
Included in the switcher formula, the two transformation formula sets, the first transformation variable formula set, the information of the second transformation variable formula set, and the switcher formula and the two transformation formula sets output by the proving device A proof input unit for obtaining information on all results of GS proof for all conversion variable expressions included in the first conversion variable expression set and the second conversion variable expression set;
A GS certification confirmation unit for confirming all results of the GS certification;
The switcher expression, all the conversion expressions included in the two conversion expression sets, and all the conversion variable expressions included in the first conversion variable expression set and the second conversion variable expression set correspond to the proof object information. An object confirmation unit to confirm that
A verification apparatus comprising:
群の要素同士のペアリングの積で構成された証明の対象となる式を証明式、1つ以上の証明式を含む証明式の集合を証明式集合と呼ぶこととし、
2つの証明式集合のうち少なくとも1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報を証明装置が保有していることを、検証装置に対して証明する証明方法であって、
式内の値であって前記証明装置も前記検証装置も保有している値を定数、式内の値であって前記検証装置に対して秘匿された値を変数と呼ぶこととし、eは群の要素同士のペアリング、Wは群の要素の変数、gは群の要素であって1以外の定数、iとjは対応関係を示す番号とし、
前記証明装置が、前記の2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する証明対象取得ステップと、
前記証明装置が、いずれか1つの証明式集合に含まれるすべての証明式を成り立たせる変数の情報である証拠を取得する証拠取得ステップと、
前記証明装置が、証明式集合ごとに、含まれるすべての証明式について、定数と定数のペアリングのすべてを、定数と変数のペアリングに変換した変換式を生成することで、証明式集合ごとに対応した変換式集合を生成する変換ステップと、
前記証明装置が、Wが1またはgのときのみ成り立つペアリング積の等式を、スイッチャー式として生成するスイッチャー生成ステップと、
前記証明装置が、一方の変換式集合について、前記変換部で定数Bから変換された変数Yごとに、W=gのときにはY=Bでのみ成り立ち、W=1のときにはY=1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第1変換変数式集合とし、
他方の変換式集合について、前記変換部で定数Bから変換された変数Yごとに、W=1のときにはY=Bでのみ成り立ち、W=gのときにはY =1でのみ成り立つペアリング積の等式を、変換変数式として生成し、この変換変数式の集合を第2変換変数式集合とする変換変数式生成ステップと、
前記証明装置が、
(a)前記証拠取得部が取得した前記証拠が前記第1変換変数式集合に対応した証明式集合の証拠である場合は、前記スイッチャー式にW=gを割り当て、前記第1変換変数式集
合に対応した変換式集合に含まれるすべての変換式の変数と前記第1変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、前記第2変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と前記第2変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(b)前記証拠取得部が取得した前記証拠が前記第2変換変数式集合に対応した証明式集合の証拠である場合は、前記スイッチャー式にW=1を割り当て、前記第2変換変数式集合に対応した変換式集合に含まれるすべての変換式の変数と前記第2変換変数式集合に含まれるすべての変換変数式の変数に、前記証拠から得られる値とY=Bを割り当て、前記第1変換変数式集合に対応した変換式集合に含まれるすべての変換式のすべての変数と前記第1変換変数式集合に含まれるすべての変換変数式の変数にペアリングの結果が1となる値を割り当て、
(c)前記(a)または前記(b)の処理で変数に値が割り当てられたスイッチャー式、すべての変換式、すべての変換変数式に対してそれぞれGS証明を行う
GS証明実行ステップと、
前記証明装置が、前記スイッチャー式、前記の2つの変換式集合、前記第1変換変数式集合、前記第2変換変数式集合、および前記GS証明のすべての結果の情報を出力する証明出力ステップと、
前記検証装置が、前記の2つの証明式集合に含まれるすべての証明式に含まれるすべての定数の情報である証明対象情報を取得する検証対象取得ステップと、
前記検証装置が、前記証明装置が出力した前記スイッチャー式、前記の2つの変換式集合、前記第1変換変数式集合、前記第2変換変数式集合、前記GS証明のすべての結果の情報を取得する証明入力ステップと、
前記検証装置が、前記スイッチャー式、前記の2つの変換式集合に含まれるすべての変換式、前記第1変換変数式集合と前記第2変換変数式集合に含まれるすべての変換変数式に対する前記GS証明の結果を確認するGS証明確認ステップと、
前記検証装置が、前記スイッチャー式、前記の2つの変換式集合に含まれるすべての変換式、前記第1変換変数式集合と前記第2変換変数式集合に含まれるすべての変換変数式が、前記証明対象情報に対応していることを確認する対象確認ステップと、
を有する証明方法。
An expression to be proved composed of a pairing product between elements of a group is called a proof expression, and a set of proof expressions including one or more proof expressions is called a proof expression set.
A proof method for proving to a verification device that a proof device has information on variables that hold all proof equations included in at least one proof equation set of two proof equation sets,
A value that is a value in an expression and is held by both the proving device and the verification device is called a constant, and a value that is in the equation and is hidden from the verification device is called a variable, and e is a group W is a group element variable, g is a group element and a constant other than 1, and i and j are numbers indicating correspondence,
A proof object obtaining step in which the proof device obtains proof object information which is information on all constants included in all proof expressions included in the two proof expression sets;
An evidence acquisition step in which the proof device acquires evidence that is information of variables that make up all the proof expressions included in any one proof expression set;
For each proof expression set, the proof device generates a conversion expression in which all constant-constant pairings are converted into constant-variable pairings for all included proof expressions. A conversion step for generating a set of conversion expressions corresponding to
A switcher generating step for generating, as a switcher equation, a pairing product equation that holds only when W is 1 or g;
The certification device, for one of the conversion equation set for each transformed variables Y i from the constant B i by the conversion unit, W = g holds only in Y i = B i when the, when the W = 1 Y i A pairing product equation that holds only when = 1 is generated as a conversion variable expression, and a set of the conversion variable expressions is defined as a first conversion variable expression set;
For the other set of conversion formulas, for each variable Y j converted from the constant B j by the conversion unit, only Y j = B j is satisfied when W = 1, and only Y j = 1 is satisfied when W = g. A pairing product equation is generated as a conversion variable expression, and a set of conversion variable expressions is used as a second conversion variable expression set;
The proof device is
(A) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the first conversion variable expression set, W = g is assigned to the switcher expression, and the first conversion variable expression set Assigning values obtained from the evidence and Y i = B i to variables of all the conversion expressions included in the conversion expression set corresponding to, and all the variables of the conversion variable expressions included in the first conversion variable expression set, The pairing result is 1 for all variables of all the conversion expressions included in the conversion expression set corresponding to the second conversion variable expression set and for all the conversion variable expressions included in the second conversion variable expression set. Assigns the value
(B) If the evidence acquired by the evidence acquisition unit is evidence of a proof expression set corresponding to the second conversion variable expression set, W = 1 is assigned to the switcher expression, and the second conversion variable expression set Assigning the values obtained from the evidence and Y j = B j to all the variables of the conversion expressions included in the conversion expression set corresponding to, and all the variables of the conversion variable expressions included in the second conversion variable expression set, The pairing result is 1 for all variables of all conversion expressions included in the conversion expression set corresponding to the first conversion variable expression set and all variables of the conversion variable expressions included in the first conversion variable expression set. Assigns the value
(C) a GS proof execution step for performing GS proof for each of the switcher formula, all conversion formulas, and all conversion variable formulas in which values are assigned to variables in the process of (a) or (b);
A proof output step in which the proof device outputs information of all results of the switcher formula, the two transformation formula sets, the first transformation variable formula set, the second transformation variable formula set, and the GS proof; ,
A verification object acquisition step in which the verification device acquires proof object information which is information of all constants included in all proof expressions included in the two proof expression sets;
The verification device obtains information on all the results of the switcher formula, the two transformation formula sets, the first transformation variable formula set, the second transformation variable formula set, and the GS certification output from the proof device. A proof input step,
The verification apparatus includes the switcher formula, all the conversion formulas included in the two conversion formula sets, and the GS for all the conversion variable formulas included in the first conversion variable formula set and the second conversion variable formula set. A GS certification confirmation step for confirming the result of the certification;
The verification device includes the switcher formula, all the conversion formulas included in the two conversion formula sets, all the conversion variable formulas included in the first conversion variable formula set and the second conversion variable formula set, An object confirmation step for confirming that the certification object information is supported;
Proving method with.
JP2013021041A 2013-02-06 2013-02-06 Certification system, certification device, verification device, certification method Active JP5907906B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013021041A JP5907906B2 (en) 2013-02-06 2013-02-06 Certification system, certification device, verification device, certification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013021041A JP5907906B2 (en) 2013-02-06 2013-02-06 Certification system, certification device, verification device, certification method

Publications (2)

Publication Number Publication Date
JP2014154953A JP2014154953A (en) 2014-08-25
JP5907906B2 true JP5907906B2 (en) 2016-04-26

Family

ID=51576438

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013021041A Active JP5907906B2 (en) 2013-02-06 2013-02-06 Certification system, certification device, verification device, certification method

Country Status (1)

Country Link
JP (1) JP5907906B2 (en)

Also Published As

Publication number Publication date
JP2014154953A (en) 2014-08-25

Similar Documents

Publication Publication Date Title
JP5736816B2 (en) Authentication device, authentication method, program, and signature generation device
Huang et al. P2ofe: privacy-preserving optimistic fair exchange of digital signatures
WO2021222272A1 (en) Adaptive attack resistant distributed symmetric encryption
Fraser et al. Selectively linkable group signatures—stronger security and preserved verifiability
Asaar et al. A short ID‐based proxy signature scheme
Nunez et al. A parametric family of attack models for proxy re-encryption
JP5330858B2 (en) Signature verification system, signature verification method, blind signature generation method, user device, and blind signature generation program
JP5572580B2 (en) Lost communication system, lost communication method, and program
JP5907906B2 (en) Certification system, certification device, verification device, certification method
Wang et al. Perfect ambiguous optimistic fair exchange
JP5815754B2 (en) Signature verification system, signature device, verification device, and signature verification method
JP5907910B2 (en) Certification system, certification device, verification device, certification method
Wei et al. Designated verifier proxy re-signature for deniable and anonymous wireless communications
JP5314449B2 (en) Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program
Chen et al. Blockchain as a CA: A provably secure signcryption scheme leveraging blockchains
JP2016105567A (en) Zero-knowledge proof system and method, prover device, verifier device and program
JP5227764B2 (en) Electronic signature verification system, electronic signature device, verification device, electronic signature verification method, electronic signature method, verification method, electronic signature program, verification program
JP6228912B2 (en) Blind secret key issuing system, blind data retrieval system, these methods, key generation server, decryption device, and program
JP5331028B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
JP5331027B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program, recording medium
JP2013017017A (en) Oblivious transfer system, oblivious transfer method, and program
JP5330964B2 (en) Signature / verification system, signature / verification method, signature device, verification device, program
JP6087849B2 (en) Proxy signature device, signature verification device, key generation device, proxy signature system, and program
Wang Signer‐admissible strong designated verifier signature from bilinear pairings
Chou A novel anonymous proxy signature scheme

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160322

R150 Certificate of patent or registration of utility model

Ref document number: 5907906

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350